电子商务课件PPT4.ppt

第四章第四章 电子商务安全电子商务安全 本章的主要内容：本章的主要内容： 第一节 电子商务安全概述 第二节 加密技术 第三节 认证技术 第四节 电子商务安全交易协议本章要点本章要点1. 电子商务的安全威胁2. 电子商务的安全需求3. 电子商务安全保障体系4. 加密技术5. 认证技术6. 数字签名原理7. 电子商务安全交易协议第一节第一节 电子商务安全概述电子商务安全概述 一、 电子商务的安全威胁 二、 电子商务的安全性需求 三、 电子商务安全的保障体系一、电子商务的安全威胁一、电子商务的安全威胁 1. 1.信息传输风险信息传输风险 信息传输风险是指进行网上交易时，因传输的信息失真或者信息被非法窃取、篡改和丢失，而导致网上交易的不必要损失。 （1）冒名偷窃 （2）篡改数据 （3）信息丢失 （4）信息传递过程中的破坏 （5）虚假信息一、电子商务的安全威胁一、电子商务的安全威胁 2 2信用风险信用风险 信用风险主要来自三个方面： 第一，来自买方的信用风险。对于个人消费者来说，可能在网络上使用信用卡进行支付时恶意透支，或使用伪造的信用卡骗取卖方的货物；对于集团来说，存在拖延货款的可能，卖方需要为此承担风险。 第二，来自卖方的信用风险。卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全履行与集团签订的购买合同，造成买方的风险。 第三，买卖双方都存在抵赖的情况。一、电子商务的安全威胁一、电子商务的安全威胁 3 3管理方面的风险管理方面的风险 首先，在网络商品中介交易的过程中，客户进入交易中心，买卖双方签订合同，交易中心不仅要监督买方按时付款，还要监督卖方按时提供符合合同要求的货物。在这些环节上都存在大量的管理风险。 其次，人员管理常常是网上交易安全管理上的最薄弱的环节，计算机犯罪大都呈现内部犯罪。 第三，网络交易技术管理的漏洞也带来较大的交易风险。如一些匿名的FTP，允许telnet登陆无口令用户的系统。一、电子商务的安全威胁一、电子商务的安全威胁 4. 4.法律方面的风险法律方面的风险 在目前的法律条文上找不到现成的条文保护网络交易中的交易方式，因此还存在房率方面的风险。 一方面，在网上交易可能会承担由于法律滞后而无法保证合法交易的权益造成的风险。另一方面，在网上交易可能承担由于法律的事后完善所带来的风险。二、电子商务的安全性需求二、电子商务的安全性需求1信息的保密性2信息的完整性3交易者身份确定性4不可否认性5电子商务交易的有效性6系统的可靠性三、电子商务安全的保障体系 1 1电子商务安全保障的正确理念电子商务安全保障的正确理念 首先，电子商务安全是系统性问题，要综合考虑人、技术、管理、法规、制度等多项要素。 其次，电子商务安全是整体性问题，指望几项离散的安全产品或技术手段解决所有安全问题是不现实的。 第三，安全保障是动态发展的过程，安全保障建设不会是一劳永逸的。 第四，安全是相对性的，安全保障建设投资是可度量的。 三、电子商务安全的保障体系 2 2管理上的安全措施管理上的安全措施 首先，在高层管理要引起对电子商务安全的足够重视，促成管理人员同相关的技术人员一起制定企业内部、外部网络安全规划和标准。在规划中应该指出企业信息安全在近期和未来一段时间内要达到什么级别和标准，预备投入的资源等。 其次，在规划和标准的指导下要制定详细的安全行为规范。 最后，要特别注意安全条例的执行保障，即有了规定就一定要按照规定去执行。三、电子商务安全的保障体系 3 3法律上的安全保障法律上的安全保障 在法律上，电子商务不同于传统商务在纸面上完成交易、有据可查的特点，电子交易如何认证、电子欺诈如何避免和惩治不仅是技术问题，同时也要涉及法律领域。在电子商务这个虚拟世界里，更需要完善的法律体系来维持秩序。 安全的电子商务仅靠单一的技术手段来保证是不会奏效的，必须依靠法律手段、行政手段和技术手段的完美结合来最终保护参与电子商务各方的利益。这就需要在企业和企业之间、政府和企业之间、企业和消费者之间、政府和政府之间明确各自需要遵守的法律义务和责任。 三、电子商务安全的保障体系 4 4技术上的安全保障技术上的安全保障 在技术上，电子商务中涉及的安全技术很多，其中有一些已经获得了广泛的应用和认可。 对于维护企业内部网安全的技术包括用户密码和权限管理技术、防火墙技术、虚拟专用网技术和网络杀毒技术等；维护交易数据在互联网上安全传输的技术包括数据加密和数字签名等，其中为了识别用户在现实世界中的真实身份还要涉及认证中心；另外，为了维护电子交易中最为关键的资金流动，特别是信用卡支付的安全，还要涉及两个应用广泛的协议：SSL和SET协议。 第二节第二节 加密技术加密技术 1 1加密的相关概念加密的相关概念 一般情况下，把信息的原始形式称为明文，明文经过变换加密后的形式称为密文。由明文变成密文的过程称为加密，由密文变成明文的过程称为解密。计算机解决问题的方法和步骤，就是计算机的算法。密钥是一个数值，它和加密算法一起生成特别的密文。 数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密。 第二节第二节 加密技术加密技术 2 2加密技术方法加密技术方法 （1）对称式加密技术 第二节第二节 加密技术加密技术 （2）非对称式加密技术 第二节第二节 加密技术加密技术 （3）混合加密技术 混合加密技术不是一种单一的加密技术，而是一个结合体，是上述两种数据加密技术相互结合的产物。通信双方的通信过程分为两个部分，双方先利用非对称加密技术传送本次通信所用的对称密钥，然后再用对称加密技术加密传送文件。 混合加密技术是用户在实际应用中总结出来的，它可以弥补对称加密技术和非对称加密技术的弱点，使二者优势互补，同时达到方便用户的目的。第二节第二节 加密技术加密技术 3 3加密技术在电子商务中的应用加密技术在电子商务中的应用 （1）加密技术在商务信息保密中的应用 加密技术是人们防止信息失密而常采取的安全技术手段，在电子商务中实现数据加密既可以采用DES算法，也可以采用RSA算法。 （2）加密技术在身份认证中的应用 数字签名技术是确定交易信息内容的真实性的主要鉴别手段，其基础是数据加密中的公开密钥加密技术。 第三节第三节 认证技术认证技术 一、 数字证书 二、 数字签名技术 三、 数字信封技术 四、 数字时间戳 五、 认证中心一、数字证书一、数字证书 1 1数字证书的定义数字证书的定义 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生话中的身份证。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、用户名以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信息，证书的格式遵循X.509国际标准。 一、数字证书一、数字证书一、数字证书一、数字证书 2 2数字证书的原理数字证书的原理 数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。 每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。 通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。一、数字证书一、数字证书 3 3数字证书的应用数字证书的应用 数字证书可以应用于互联网上的电子商务活动和电子政务活动，其应用范围涉及需要身份认证及数据安全的各个行业，包括传统的商业、制造业、流通业的网上交易，以及公共事业、金融服务业、工商税务、海关、政府行政办公、教育科研单位、保险、医疗等网上作业系统。 二、数字签名技术二、数字签名技术 1 1数字签名的概念数字签名的概念 所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证。其验证的准确度是一般手工签名和图章验证无法比拟的。 “数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可。二、数字签名技术二、数字签名技术 2 2数字签名的原理及步骤数字签名的原理及步骤 数字签名是由数字签字软件在计算机上自动完成的，数字签字软件在产生数字签名时是分为两个步骤来完成的： 第一步是数字签字软件根据特定的算法（哈希函数）将被签文件转换成一个比原来文件短得多的杂散码，这个杂散码对该文件是唯一的，当被签文件的任何地方被更改时，相应的杂散码也随之改变。 第二步是由发送者用个人所独有的私人密钥将得到的杂散码进行加密，形成数字签名。发送方将原文和数字签名同时传给接收方。二、数字签名技术二、数字签名技术 3 3数字签名的功能数字签名的功能 数字签名可以解决否认、伪造、篡改及冒充等问题。具体功能有：发送者事后不能否认发送的报文签名；接收者能够核实发送者发送的报文签名；接收者不能伪造发送者的报文签名；接收者不能对发送者的报文进行部分篡改；网络中的某一用户不能冒充另一用户作为发送者或接收者。 数字签名的应用范围十分广泛，在保障电子数据交换（EDI）的安全性上是一个突破性的进展，凡是需要对用户的身份进行判断的情况都可以使用数字签名。三、数字信封技术三、数字信封技术 数字信封是公钥密码体制在实际中的一个应用，是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。 在一些重要的电子商务交易中密钥必须经常更换，为了解决每次更换密钥的问题，结合对称加密技术和公开密钥技术的优点，它克服了秘密密钥加密中秘密密钥分发困难和公开密钥加密中加密时间长的问题，使用两个层次的加密来获得公开密钥技术的灵活性和秘密密钥技术高效性。 三、数字信封技术三、数字信封技术四、数字时间戳四、数字时间戳 1 1数字时间戳的概念与用途数字时间戳的概念与用途 数字时间戳是由第三方提供的一种可信时间标记服务，通过该服务获得的数字时间戳数据可以用来证明在某一时刻数据已经存在。 与寄信用的邮戳一样，数字时间戳服务也是用来证明消息的收发时间的。 数字时间戳在如下几个方面有广泛的应用： 第一，数字签名；第二，电子商务活动中某些时间底线的提交；第三，数字产品专利和版权保护。四、数字时间戳四、数字时间戳 2 2数字时间戳的产生过程数字时间戳的产生过程 数字时间戳的产生过程如图4-7（下页）所示。用户首先将需要加时间戳的文件用哈希编码加密形成摘要，然后将该摘要发送到DTS。DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。 注意：书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由DTS认证单位来加的，并以DTS收到文件的时间为依据。四、数字时间戳四、数字时间戳图 4-7 数字时间戳的产生过程 四、数字时间戳四、数字时间戳 3 3数字时间戳的特点数字时间戳的特点 （1）数据文件加盖的时间戳与存储数据的物理媒体无关。 （2）对已加盖时间戳的文件不能做丝毫改动。 （3）要想对某个文件加盖与当前日期和时间不同的时间戳是不可能的。 五、认证中心五、认证中心 1 1什么是什么是CACA认证认证 所谓CA（Certificate Authority）认证中心，对于任何一个国家来说，要实现B2B、B2C交易方式，建设CA（认证中心或称认证体系）和支付网关是必不可少的，其中CA尤其重要。其作用主要体现在事先验证或识别参与网上交易活动的各个主体的身份，并用相应的电子（数字）证书代表他们在网上的身份，而这