第三章电子商务安全管理及网络支付.pptVIP

第三章电子商务安全管理及网络支付 朱 镇 博士 haitun206@ 第三章 电子商务安全管理及网络支付 第三章 电子商务的安全管理及网络支付 3.1 电子商务的安全控制要求与思路 3.2 安全管理方法 3.3 防止非法入侵 3.4 网上支付 3.1 电子商务的安全控制要求与思路 安全管理思路：跳出单纯从技术角度寻求解决办法 的圈子，从技术、管理、法律等方面综合考虑。 技术方面的考虑:如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等 制度方面的考虑:建立各种有关的合理制度，并加强严格监督，如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。 法律政策与法律保障:如尽快出台电子证据法、电子商务法、网上消费者权益法等。这方面，主要发挥立法部门和执法部门的作用 3.2 电子商务安全管理方法 技术方法 安全管理制度 法律制度 3.2 电子商务安全管理方法—技术方法 密码技术 采用密码技术对信息加密: 加密:对信息进行编码,使它成为不可理解的内容即:密文 解密:加密的逆过程,将密文还原为原来的信息 明文(原有信息) 密文 明文 加密:对信息进行编码 解密:对信息解码 3.2 电子商务安全管理方法—技术方法 密码技术 基于密钥的加密方法有两个元素：　 算法与密钥 加密算法是将普通文本或信息与一串数字（密钥）相结合而产生密文的规则。是加密解密的一步一步过程 密钥:这个规则需要一串数字,这个数字是密钥. 例如,将字母 a、b、c、 d …….w、x、 y、 z 的自然顺序保持不变, 使之与 E、 F、 G、 H……..Z 、A、 B 、C、 D分别对应，即相差4个字母。这条规则就是加密算法，其中的4为密钥。 若原信息为 How are you，按照这个加密算法和密钥，加密后的密文是 LSAEVICSY 3.2 电子商务安全管理方法—技术方法 基于密钥加密方法的优点 加密技术的关键是密钥，加密算法设计困难，而且算法一般公开，基于密钥的变化解决了这一难题。 采用一种算法与许多人实现保密通信。发送方基于一个算法，使用不同的密钥向多个接收者发送密文。 密文被破译，只需更换一个新的密钥，继续通信。 密钥的位数决定加密系统的坚固性。密钥的位数越长，破译的时间越长，难度越大。 例如，一个16位的密钥有2的16次方（65536）种不同的密钥。顺序猜测65536种密钥对于计算机是容易的。如果100位的密钥，计算机猜测密钥的时间需要好几个世纪。 3.2 电子商务安全管理方法—技术方法 基于密钥加密方法的优点 对称密钥加密 非对称密钥加密(公钥/私钥) 消息摘要 3.2 电子商务安全管理方法—技术方法 1）对称密钥加密 接、收双方采用同一密钥加密和解密。 缺点: 密钥的保管复杂：通信方越多,冒用密钥的机率越高，可相互读取别人的信件，无保密性. 无身份鉴别：无法验证消息的发送者和接收者的身份 3.2 电子商务安全管理方法--客户认证技术 2）非对称密钥加密 3.2 电子商务安全管理方法—技术方法 对称密钥加密 3.2 电子商务安全管理方法—技术方法 3）数字签名 证明发件人的身份和文件的有效性： 1.身份的验证：信息是由签名者发送 2.信息的完整性：信息自签发后到收到为止未作任何修改 实现方法: 非对称加密 + 信息摘要 数字签名 数字签名是实现认证的重要工具 3.2 电子商务安全管理方法—技术方法 3.2 电子商务安全管理方法—技术方法 客户认证(Client Authentication，CA): ---是基于用户的客户端主机IP地址的一种认证机制，它允许系统管理员为具有某一特定IP地址的授权用户定制访问权限。 特点: ---CA与IP地址相关，对访问的协议不做直接的限制。服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户的授权、允许访问的服务器资源、应用程序、访问时间以及允许建立的会话次数等等。 内容: 身份认证 信息认证 通过认证机构认证（CA） 3.2 电子商务安全管理方法--技术方法 身份认证 就是在交易过程中判明和确认贸易双方的真实身份 危险：某些非法用户采用窃取口令、修改或伪造等方式对网上交易系统进行攻击，阻止系统资源的合法管理和使用 功能： 可信性 完整性 不可抵赖性 访问控制 3.2 电子商务安全管理方法--技术方法 身份认证 方式: 用户所知道的某个秘密信息 用户所持有的某个秘密信息(硬件)，即用户必须持有合法的随身携带的物理介质，例如智能卡中存