电子商务原理：第5章 电子商务安全交易.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,5,章 电子商务安全交易,电子商务安全概述,电子商务的安全问题,1,卖方面临的问题,(1),中央系统安全性被破坏,(2),竞争对手检索商品递送状况,(3),被他人假冒而损害公司的信誉,(4),买方提交订单后不付款,(5),获取他人的机密数据,2,买方面临的问题,(1),付款后不能收到商品,(2),机密性丧失,(3),拒绝服务,第,5,章 电子商务安全交易,电子商务安全概述,电子商务的安全问题,3,信息传输问题,(1),冒名偷窃,(2),篡改数据,(3),信息丢失,(4),信息传递过程中的破坏,(5),虚假信息,4,信用问题,(1),来自买方的信用问题,(2),来自卖方的信用风险,(3),买卖双方都存在抵赖的情况,第,5,章 电子商务安全交易,电子商务安全概述,电子商务的安全体系,1,电子商务系统硬件安全,2,电子商务系统软件安全,3,电子商务系统运行安全,4,电子商务安全立法,第,5,章 电子商务安全交易,电子商务安全概述,电子商务的安全控制要求,信息传输,的保密性,信息的保密性是指信息在传输,过程或存储中不被他人窃取,交易文件,的完整性,防止非法窜改和破坏网站上的信息,收到的信息与发送的信息完全一样,信息的不,可否认性,发送方不能否认已发送的信息,接收方不能否认已收到的信息,交易者身份,的真实性,交易者身份的真实性是指交易,双方确实是存在的不是假冒的,第,5,章 电子商务安全交易,电子商务安全概述,电子商务的安全管理,1,保密制度,绝密级：网址、密码不在因特网上公开，只限高层管理人员掌握,机密级：只限公司中层管理人员以上使用,秘密级：在因特网上公开，供消费者浏览，但必须防止黑客侵入,2,网络系统的日常维护制度,（,1,）硬件的日常管理和维护,（,2,）软件的日常维护和管理,（,3,）数据备份制度。,（,4,）用户管理,第,5,章 电子商务安全交易,电子商务安全概述,电子商务的安全管理,3,病毒防范制度,（,1,）给电脑安装防病毒软件,（,2,）不打开陌生电子邮件,（,3,）认真执行病毒定期清理制度,（,4,）控制权限,（,5,）高度警惕网络陷阱,3,病毒防范制度,（,1,）给电脑安装防病毒软件,（,2,）不打开陌生电子邮件,（,3,）认真执行病毒定期清理制度,（,4,）控制权限,（,5,）高度警惕网络陷阱,第,5,章 电子商务安全交易,电子商务安全概述,电子商务的安全管理,5,浏览器安全设置,（,1,）管理,Cookie,的技巧,（,2,）禁用或限制使用,Java,、,Java,小程序脚本,ActiveX,控件和插件,（,3,）调整自动完成功能的设置,第,5,章 电子商务安全交易,电子商务安全技术,数据加密技术,加密技术，就是采用数学方法对原始信息,(,通常称为“明文”,),进行再组织，使得加密后在网络上公开传输的内容对于非法,接收者来说成为无意义的文字,(,加密后的信息通常称为“密文”,),加密和解密,密码系统的构成,第,5,章 电子商务安全交易,电子商务安全技术,数据加密技术,通用密钥密码体制,通用密钥密码体制就是加密密钥,Ke,和解密密,钥,Kd,是通用的，即发送方和接收方使用同样,密钥的密码体制，也称之为“传统密码体制”,恺撒密码,第,5,章 电子商务安全交易,电子商务安全技术,数据加密技术,公开密钥密码体制,公开密钥密码体制,的加密密钥,Ke,与解,密密钥,Kd,不同，只,有解密密钥是保密,的，称为私人密钥,而加密密钥完全公,开，称为公共密钥,第,5,章 电子商务安全交易,电子商务安全技术,数字摘要,安全,Hash,编码法,(SHA),数字指纹,SHA,编码法采用单向,Hash,函数将需,加密的明文“摘要”成一串,128bit,的密文,数字签名,数字签名技术,第,5,章 电子商务安全交易,电子商务安全技术,数字签名技术,数字时间戳是一个经加密后形成,的凭证文档，它包括三个部分：,一是需加时间戳的文件的摘要；,二是,DTS,收到文件的日期和时间,三是,DTS,的数字签名。,数字时间戳,第,5,章 电子商务安全交易,电子商务安全技术,数字证书,数字证书又称为数字凭证，数字标识是,一个经证书授权中心数字签名的包含公,开密钥拥有者信息以及公开密钥的文件,证书的版本信息；,证书的序列号；,证书所使用的签名算法；,证书的发行机构名称；,证书的有效期；,证书所有人的名称；,证书所有人的公开密钥；,证书发行者对证书的签名。,X.509,数字证书包含,第,5,章 电子商务安全交易,电子商务安全技术,数字证书,（,1,）个人身份证书,（,2,）个人,Email,证书,（,3,）单位证书,（,4,）单位,Email,证书,（,5,）应用服务器证书,（,6,）代码签名证书,数字证书的类型,（,1,）证书的颁发,（,2,）证书的更新,（,3,）证书的查询,（,4,）证书的作废,（,5,）证书的归档,认证中心的作用,第,5,章 电子商务安全交易,电子商务安全技术,信息加密与数字认证的综合应用,SSL,协议,SSL,安全套接层协议适用于点对点之间的信息传输,通过在浏览器软件和,WWW,服务器建立一条安全通道,SSL,协议,基本结构,SSL,记录协议用来封装高层的协议。,SSL,握手协议能够通过特定的加密算法相互鉴别,第,5,章 电子商务安全交易,电子商务安全技术,安全交易协议,SSL,协议,SET,协议,SET,协议提供对消费者、商家和收单行的认证,确保交易数据的安全性、完整性和交易的不可否认性,SET,协议,设计思想,保证信息的加密性、验证交易各方,保证支付的完整性和一致性、保证互操作性,收单行,商家,用户,购物信息,支付信息,转移存款,SET,保证商家看不到卡号，数字签名,商家的信息用商家公钥加密,银行的信息用银行的公钥加密,用户的信息用自己的私钥加密,第,5,章 电子商务安全交易,电子商务安全技术,安全交易协议,SET,协议,SSL,协议,SEL,协议,参与方,客户、商家和网上银行,客户、商家、支付网关、认证中心和网上银行,软件费用,已被大部分,Web,浏览器和,Web,服务器所内置，因此可直接投入使用，无需额外的附加软件费用,必须在银行网络、商家服务器、客户机上安装相应的软件，而不是象,SSL,协议可直接使用，因此增加了许多附加软件费用,便捷性,SSL,在使用过程中无需在客户端安装电子钱包，因此操作简单；每天交易有限额规定，因此不利于购买大宗商品；支付迅速，几秒钟便可完成支付,SET,协议在使用中必须使用电子钱包进行付款，因此在使用前，必须先下载电子钱包软件，因此操作复杂，耗费时间；每天交易无限额，利于购买大宗商品；由于存在着验证过程，因此支付缓慢，有时还不能完成交易,安全性,只有商家的服务器需要认证，客户端认证则是有选择的；缺少对商家的认证，因此客户的信用卡号等支付信息有可能被商家泄漏,安全需求高，因此所有参与交易的成员：客户、商家、支付网关、网上银行都必须先申请数字证书来认识身份；保证了商家的合法性，并且客户的信用卡号不会被窃取，替消费者保守了更多的秘密，使其在结购物和支付更加放心,SSL,协议与,SET,比较,