第5章电子商务交易安全.pptx

资源描述

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,Network Optimization Expert Team,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,#,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,Bussiness College of Shanxi,University,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编 2009 Guidon Performance Solutions,LLC.All rights reserved.Guidon Performance Solutions is a licensee of LeanSigma,a service mark of TBM Consulting Group.,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,#,第,5,章电子商务交易安全,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,引例：,如何避免“网络钓鱼”的攻击,电子商务已成为人们经济生活中的重要组成部分，而电子商务安全则是保证电子商务健康、有序发展的关键因素，也是网民十分关注的话题。每个网民只有提升自身免疫力，增强安全防范意识，了解和学习必要的网络安全常识，这样才能避免遇到不必要的麻烦。例如，注意观察下面的网站名“,”,与“,”,、“,bank-off-”,与“,bank-of-”,是否一致？这就是当前“网络钓鱼”的典型手段之一，诈骗者利用“障眼法”来诱惑和欺骗用户输入自己的账户密码。其中，“,”,是真正的中国工商银行网站，仅仅是小写字母,i,和数字,1,的不同；“,bank-off-”,与“,bank-of-”,前者是“钓鱼网站”，后者是真正的中国银行网站域名。,目前，“钓鱼网站”主要集中在两个方面：一种是模仿中央电视台等设立抽奖网站，以中奖为诱饵，欺骗网民填写身份信息、银行账户等信息；另一种是模仿淘宝网、中国工商银行等在线支付网页，骗取网民银行卡信息或支付宝账户。如何避免或者减少钓鱼攻击所造成的危害呢？,电子商务安全概述,电子商务安全技术,电子商务安全交易协议,本章主要内容,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,（一）个人电脑面临的威胁,在个人上网时，通常会遇到的威胁有以下几种：被他人盗取用户密码、信用卡账号等；计算机系统被木马攻击；用户在浏览网页时，被恶意程序进行攻击；个人计算机受计算机病毒感染；被黑客攻击等。,（二）网络安全威胁,1,黑客攻击,2,搭线窃听,3,伪装身份,4,信息泄密、篡改、销毁,5,间谍软件袭击,6,网络钓鱼,一、电子商务面临的威胁,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,小贴士,:,网络钓鱼攻击,网络钓鱼（,phishing,）是“,fishing”,和“,phone”,的综合体，由于黑客始祖起初是以电话作案，所以用“,ph”,来取代“,f”,，创造了“,phishing”,。,“钓鱼攻击”是指利用欺骗性的电子邮件和伪造的,Web,站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。“钓鱼攻击”技术多种多样，目前三大网络“钓鱼攻击”是木马攻击（利用木马和黑客技术等手段窃取用户信息后实施盗窃活动）、假冒网站（建立假冒网上银行、网上证券网站，骗取用户账号密码实施盗窃）、邮件诈骗（发送电子邮件，以虚假信息引诱用户中圈套）。,“钓鱼攻击”威胁的预防措施如下。,（,1,）尽量不要在网吧等公用计算机上做在线交易或转账。,（,2,）访问所属银行的网站应该通过输入网址的方式进行。,（,3,）对来路不明的电子邮件及文件，一般不要随意开启，更不要随意单击陌生邮件的链接网址或回复邮件。若要核实电子邮件信息，可以通过网站的客服电话咨询。,5.1,电子商务安全概述,电子商务的安全问题,1,卖方面临的问题,(1),中央系统安全性被破坏,(2),竞争对手检索商品递送状况,(3),被他人假冒而损害公司的信誉,(4),买方提交订单后不付款,(5),获取他人的机密数据,2,买方面临的问题,(1),付款后不能收到商品,(2),机密性丧失,(3),拒绝服务,5.1,电子商务安全概述,电子商务的安全问题,3,信息传输问题,(1),冒名偷窃,(2),篡改数据,(3),信息丢失,(4),信息传递过程中的破坏,(5),虚假信息,4,信用问题,(1),来自买方的信用问题,(2),来自卖方的信用风险,(3),买卖双方都存在抵赖的情况,5.1,电子商务安全概述,电子商务的安全体系,1,电子商务系统硬件安全,2,电子商务系统软件安全,3,电子商务系统运行安全,4,电子商务安全立法,5.1,电子商务安全概述,电子商务的安全控制要求,信息传输,的保密性,信息的保密性是指信息在传输,过程或存储中不被他人窃取,交易文件,的完整性,防止非法窜改和破坏网站上的信息,收到的信息与发送的信息完全一样,信息的不,可否认性,发送方不能否认已发送的信息,接收方不能否认已收到的信息,交易者身份,的真实性,交易者身份的真实性是指交易,双方确实是存在的不是假冒的,5.1,电子商务安全概述,电子商务的安全管理,1,保密制度,绝密级：网址、密码不在因特网上公开，只限高层管理人员掌握,机密级：只限公司中层管理人员以上使用,秘密级：在因特网上公开，供消费者浏览，但必须防止黑客侵入,2,网络系统的日常维护制度,（,1,）硬件的日常管理和维护,（,2,）软件的日常维护和管理,（,3,）数据备份制度。,（,4,）用户管理,5.1,电子商务安全概述,电子商务的安全管理,3,病毒防范制度,（,1,）给电脑安装防病毒软件,（,2,）不打开陌生电子邮件,（,3,）认真执行病毒定期清理制度,（,4,）控制权限,（,5,）高度警惕网络陷阱,3,病毒防范制度,（,1,）给电脑安装防病毒软件,（,2,）不打开陌生电子邮件,（,3,）认真执行病毒定期清理制度,（,4,）控制权限,（,5,）高度警惕网络陷阱,5.1,电子商务安全概述,电子商务的安全管理,5,浏览器安全设置,（,1,）管理,Cookie,的技巧,（,2,）禁用或限制使用,Java,、,Java,小程序脚本,ActiveX,控件和插件,（,3,）调整自动完成功能的设置,5.2,电子商务安全技术,数据加密技术,加密技术，就是采用数学方法对原始信息,(,通常称为“明文”,),进行再组织，使得加密后在网络上公开传输的内容对于非法,接收者来说成为无意义的文字,(,加密后的信息通常称为“密文”,),加密和解密,密码系统的构成,第,5,章电子商务安全交易,5.2,电子商务安全技术,数据加密技术,通用密钥密码体制,通用密钥密码体制就是加密密钥,Ke,和解密密,钥,Kd,是通用的，即发送方和接收方使用同样,密钥的密码体制，也称之为“传统密码体制”,恺撒密码,第,5,章电子商务安全交易,5.2,电子商务安全技术,数据加密技术,公开密钥密码体制,公开密钥密码体制,的加密密钥,Ke,与解,密密钥,Kd,不同，只,有解密密钥是保密,的，称为私人密钥,而加密密钥完全公,开，称为公共密钥,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,一、加密技术,（一）对称加密体制,加密技术是利用技术手段把原始信息变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）信息。原始信息通常称为“明文”，加密后的信息通常称为“密文”。,加密技术包括两个元素：算法和密钥。算法是将明文与一串字符（密钥）结合起来，进行加密运算后形成密文。密钥是在明文转换为密文或将密文转换为明文的算法中输入的一串字符，它可以是数字、字母、词汇或语句。,由此可见，在加密和解密过程中，都涉及信息（明文、密文）、密钥（加密密钥、解密密钥）和算法（加密算法、解密算法）这,3,项内容。,常用的现代加密体制有两种：对称加密体制和非对称加密体制。,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,对称加密体制是指发送方和接收方使用同样密钥的密码体制，即文件加密和解密使用相同的密钥。这类算法要求发送者和接收者在安全通信之前，商定一个密钥。由于对称算法的安全性依赖于密钥，因此，只要通信过程采用了对称加密，密钥就必须保密。,非对称加密体制使用的是密钥对，即加密密钥和解密密钥不同。公钥（,public key,）是公开的，可以像电话簿一样，存储于文件中，文件保存在密钥中心；私钥（,private key,）是用户自己保存，只有自己才能知道。通常用公钥加密，私钥解密来保证信息的机密性；用私钥加密，公钥解密来保证身份的认证性。,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,对称加密体制的工作过程中，主要由,5,个部分组成：明文、加密算法、密钥、密文、解密算法。发送方用对称密钥,K,和加密算法,E,对明文,P,加密，得到密文,C,，然后传输密文,C,。接收方用对称密钥,K,和解密算法,D,对密文解密，得到原来的明文,P,。,1.,对称加密体制的工作过程,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,2.,对称加密体制的优点与缺点,对称加密体制具有算法简单，系统开销小；加密数据效率高，速度快的优点；适合加密大量数据。但是在发送、接收数据之前，对称加密体制需要产生大量的密钥，所以管理密钥会有一定的难度；第二，在网络通信中，密钥难以共享；即密钥的分发是对称加密体制中最薄弱、风险最大的环节，而且无法实现数字签名和身份验证；,3,对称加密体制的算法,目前，比较常用的对称密钥算法有,DES,（,data encryption standard,，数据加密标准）。,DES,算法是一个对称的分组加密算法。,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,（二）非对称加密体制,1,非对称加密体制的工作过程,非对称加密体制由,6,部分组成：明文、加密算法、公钥、私钥、密文、解密算法。图所示为非对称加密体制的工作过程。,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,2.,非对称加密体制的优点与缺点,非对称加密体制在网络中容易实现密钥管理，只要管理好自己的私钥就可以；便于进行数字签名和身份认证，从而保证数据的不可抵赖性；不必记忆大量的密钥，发放方只要得到可靠的接收方的公开密钥就可以给接收方发送信息。然而非对称加密算法实现过程较复杂，加密数据的速度和效率较低，对大报文加密困难。,3,非对称加密体制的算法,目前，非对称加密体制的算法使用最多的是,RSA,。,RSA,是,1978,年由,R.L.Rivest,、,A.Shamir,和,L.Adleman,设计的非对称加密方法，算法以发明者名字的首字母来命名。它是第一个既可用于加密，也可用于数字签名的算法。,一般来说，,RSA,只用于少量数据加密，在互联网中广泛使用的电子邮件和文件加密软件,PGP,（,pretty good privacy,）就是将,RSA,作为传送会话密钥和数字签名的标准算法。,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,（三）两种加密体系的对比,比较项目,对称加密体制,非对称加密体制,代表算法,DES,RSA,密钥数目,单一密钥,密钥是成对的,密钥种类,密钥是秘密的,一个私有，一个公开,密钥管理,产生简单，管理困难,需要数字证书及可靠的第三者,相对速度,快,慢,主要用途,大量数据加密,数字签名或对称密钥的加密,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,（四）对称与非对称加密体系的结合,在实际应用中，通常将对称加密算法和非对称加密算法结合使用，利用,DES,对称加密算法来进行大容量数据的加密，而采用,RSA,非对称加密算法来传递对称加密算法所使用的密钥。这种二者结合的体系，就集成了两类加密算法的优点，既实现了加密速度快，又可以安全、方便地管理密钥。,随着硬件和网络技术的发展，目前，常用的加密算法都有可能在短时间内被破解，那么就得使用更长的密钥或更加先进的算法，才能保证数据的安全，因此，加密算法依然需要不断发展和完善，提供更高的安全强度和运算速度，电子商务的实现才能更加快捷和安全。,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,用户的特征,用户所拥有的,用户所知道的,二、认证技术,指纹,虹膜,DNA,声音,用户的行为,身份证,护照,密钥盘,密码,口令,（一）身份认证概述,第,5,章电子商务安全交易,5.2,电子商务安全技术,数字摘要,安全,Hash,编码法,(SHA),数字指纹,SHA,编码法采用单向,Hash,函数将需,加密的明文“摘要”成一串,128bit,的密文,数字签名,数字签名技术,第,5,章电子商务安全交易,电子商务安全技术,数字签名技术,数字时间戳是一个经加密后形成,的凭证文档，它包括三个部分：,一是需加时间戳的文件的摘要；,二是,DTS,收到文件的日期和时间,三是,DTS,的数字签名。,数字时间戳,第,5,章电子商务安全交易,电子商务安全技术,数字证书,数字证书又称为数字凭证，数字标识是,一个经证书授权中心数字签名的包含公,开密钥拥有者信息以及公开密钥的文件,证书的版本信息；,证书的序列号；,证书所使用的签名算法；,证书的发行机构名称；,证书的有效期；,证书所有人的名称；,证书所有人的公开密钥；,证书发行者对证书的签名。,X.509,数字证书包含,第,5,章电子商务安全交易,电子商务安全技术,数字证书,（,1,）个人身份证书,（,2,）个人,Email,证书,（,3,）单位证书,（,4,）单位,Email,证书,（,5,）应用服务器证书,（,6,）代码签名证书,数字证书的类型,（,1,）证书的颁发,（,2,）证书的更新,（,3,）证书的查询,（,4,）证书的作废,（,5,）证书的归档,认证中心的作用,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,（二）数字证书,1.,数字证书的定义,数字证书又称为数字凭证、数字标识。是由,CA,证书授权中心发行的，能提供在,Internet,上进行身份验证的一种权威性电子文档，人们可以用它来证明自己在互联网中的身份或识别对方的身份。,证书的格式遵循,ITU,的,X.509,国际标准，数字证书包含以下内容。,（,1,）证书拥有者的姓名。,（,2,）证书的版本信息。,（,3,）证书的序列号，同一身份验证机构签发的证书序列号唯一。,（,4,）证书所使用的签名算法。,（,5,）证书发行机构的名称。,（,6,）证书的有效期限。,（,7,）证书所有人的公开密钥。,（,8,）证书发行者对证书的签名。,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,2,数字证书的分类,从数字证书的应用角度来看，数字证书可以分为服务器证书、电子邮件证书和客户端证书。,3,数字证书的应用,一般来说，用户要携带有关证件到各地的证书受理点，或者直接到证书发放机构填写申请表并进行身份审核，审核通过后交纳一定费用就可以得到装有证书的相关介质（磁盘或,Key,）和一个写有密码口令的密码信封。,用户在需要使用证书的网上进行操作时，必须准备好装有证书的存储介质。,（,1,）下载根证书（,2,）申请数字证书（,3,）安装数字证书（,4,）应用数字证书,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,小贴士,:,根证书,根证书是,CA,认证中心给自己颁发的证书，是信任链的起始点。根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表明用户对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即结束。所以说用户在使用自己的数字证书之前必须先下载根证书。,支付宝数字证书,支付宝数字证书是使用支付宝账户资金的身份凭证之一，加密用户的信息并确保账户和资金安全。用户申请后，当进行付款、确认收货等资金操作时，就会验证电脑上是否安装了数字证书。即使用户的账号被盗，对方没有相应的数字证书也就动不了用户的资金了。,电子商务安全技术,信息加密与数字认证的综合应用,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,（二）消息认证概述,数字签名原理示意图,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,5.3,电子商务安全交易协议,（一）传输层安全协议,SSL,1.,秘密性：,使用,对称密钥,实现数据加密，确保连接安全。,2.,完整性：,使用安全的,哈希函数,如,MD5,、,SHA,等计算校验码，确保了信息的完整性和可靠性连接。,3.,认证性：,通过,非对称加密技术,实现身份验证。,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,（一）认证中心,在电子交易中，无论是时间戳服务还是数字证书的发放，都不是靠交易双方自己能完成的，而是需要一个具有权威性和公正性的第三方机构来完成。认证中心就是承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。,1,认证中心的功能,（,1,）证书的颁发。（,2,）证书的更新。（,3,）证书的查询。（,4,）证书的作废（,5,）证书的归档。,2,CA,的国内外发展状况,我国的,CA,认证市场到目前为止仍处于市场培育时期，具体体现为签发证书数量少，证书使用场合少等情况。目前，国内,CA,认证市场主要由行业或地方政府部门建立的认证中心构成。,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,（二）应用层安全协议,SET,安全电子交易（,secure electronic transaction,，,SET,）协议，是由,Master Card,和,Visa,联合,Netscape,、,Microsoft,等公司，于,1997,年,6,月,1,日推出的，该协议主要是为了实现更加完善的即时电子支付。,SET,协议是,B2C,基于信用卡支付模式而设计的，它在保留对客户信用卡认证的前提下，增加了对商家身份的认证；凸显客户、商家、银行之间通过信用卡交易的数据完整性和不可抵赖性等优点，因此，它成为目前公认的信用卡网上交易国际标准。,SET,交易过程中要对商家、客户、支付网关等交易各方进行身份认证，因此，其交易过程相对复杂。在,SET,协议中，参与交易的主要有,4,种实体：持卡人（消费者）、在线商家、收单银行、发卡银行，如图所示。,SET,交易流程示意图,（三）,SSL,协议和,SET,协议的对比,对比项,SSL,协议,SET,协议,参与方,客户、商家和网上银行,客户、商家、支付网关、认证中心和网上银行,软件费用,已被大部分浏览器和服务器所内置，因此可直接投入使用，无需额外的附加软件费用,必须在银行网络、商家服务器、客户机上安装相应的软件，因此增加了许多附加软件费用,便捷性,SSL,在使用过程中无需在客户端安装电子钱包，因此操作简单；每天交易有限额规定，因此不利于购买大宗商品；支付迅速，几秒钟便可完成支付,SET,协议在使用中必须使用电子钱包等进行付款，因此在使用前，必须先下载电子钱包等软件，因此操作复杂，耗费时间；每天交易无限额，利于购买大宗商品；由于存在着验证过程，因此支付缓慢，有时还不能完成交易,安全性,只有商家的服务器需要认证，客户端认证则是有选择的；缺少对商家的认证，因此客户的信用卡号等支付信息有可能被商家泄露,安全需求高，因此所有参与交易的成员,客户、商家、支付网关、网上银行都必须先申请数字证书来认证身份；保证了商家的合法性，并且客户的信用卡号不会被窃取，替消费者保守了更多的秘密，使其购物和支付更加放心,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,法律制度管理,2004,年,8,月,28,日全国人大常委会第十一次会议通过了,中华人民共和国电子签名法,。签名法是我国推进电子商务发展，扫除电子商务发展障碍的重要步骤。该法被认为是中国首部真正电子商务法意义上的立法。,2005,年,1,月,28,日中华人民共和国信息产业部第十二次部务会议审议通过,电子认证服务管理办法,，自,2005,年,4,月,1,日起施行。,2009,年,4,月，央行、银监会、公安部和国家工商总局联合发布,关于加强银行卡安全管理预防和打击银行卡犯罪的通知,，国家监管部门开始真正着手加强第三方支付企业的监管。,2010,年,6,月,1,日国家工商总局出台的,网络商品交易及有关服务行为管理暂行办法,明确规定，通过网络从事商品交易及有关服务行为的自然人，应提交其姓名和地址等真实身份信息。,2010,年,6,月,21,日中国人民银行出台了,非金融机构支付服务管理办法,，要求第三方支付公司必须在,2011,年,9,月,1,日前申请取得,支付业务许可证,，且全国性公司注册资本最低为,1,亿元。该,办法,的出台意在规范当前发展迅猛的第三方支付行业。,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,实训案例,实训一,Office,加密方式及文件保护,实训二安全电子邮件的发送与接收,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,一、选择题,1,在电子商务信息安全要求中，信息在传输过程中或存储中不被他人窃取指的是（）。,A,信息的保密性,B,信息的完整性,C,信息的不可否认性,D,交易者身份的真实性,2,加密和解密密钥不同的密码体制称为（）。,A,DES,密码体制,B,公开密钥密码体制,C,通用密钥密码体制,D,恺撒密码体制,3,加密后的内容称为（）。,A,密钥,B,算法,C,密文,D,明文,4,用户识别方法不包括（）。,A,根据用户知道什么来判断,B,根据用户拥有什么来判断,C,根据用户地址来判断,D,根据用户是什么来判断,5,以下身份认证技术中，属于生物特征识别技术的有（）。,A,数字签名识别法,B,指纹识别法,C,语音识别法,D,头盖骨的轮廓识别法,习题,电子商务概论（第2版）人民邮电出版社白东蕊岳云康主编,6,触发电子商务安全问题的原因有（）。,A,黑客的攻击,B,管理的欠缺,C,网络的缺陷,D,软件的漏洞,7,病毒防范制度包括的内容有（）。,A,为自己的电脑安装防病毒软件,B,不打开陌生地址的电子邮件,C,认真执行病毒定期清理制度,D,高度警惕网络陷阱,8,下面属于不安全口令的有（）。,A,使用用户名作为口令,B,使用自己或者亲友的生日作为口令,C,使用学号或者身份证号码等作为口令,D,使用常用的英文单词做,作,口令,9,认证中心的主要作用有（）。,A,证书的颁发,B,证书的查询,C,证书的归档,D,证书的作废,E,证书的更新,10,在使用数字证书来为邮件签名之前，还应该为电子邮件地址申请（）。,A,密码,B,密钥,C,数字标识,D,账号,技能实训题,利用所学数字证书和相关知识，登录,或其他认证中心，下载个人数字证书或者安全电子邮件证书，进行数字证书的安装和导入,/,导出；并下载,Foxmail,软件（或者,Outlook Express,软件）。要求两名同学一组，利用数字证书发送和接收安全电子邮件。,

展开阅读全文