第二章 电子商务支付中的安全.ppt

第2章 电子商务支付中的安全 . 第二章 电子商务支付中的安全 电子商务安全概述 信息加密技术 密钥管理技术 验证技术 数字签名技术 数字证书技术与认证中心 电子商务支付中应用的安全协议 从2005年到2010年，电子支付呈现疯长的态势，交易额连年翻番：2008年中国电子支付的市场规模为2743亿元，2009年为5766亿元，2010年达到10858亿元，环比增长96％。据艾瑞咨询预测，到2012年，中国电子支付行业交易规模将超2万亿元。 根据中国金融认证中心发布的《2009中国网上银行调查报告》显示，2009年全国城镇人口中个人网上银行用户的比例已为20.9％，其中个人用户人均每月使用网上银行5.6次。然而，在这份报告中也同时显示，消费者不选择开通网上银行的最大原因就是“担心不安全”。 案例 2006年12月，朱女士银行账户上的近11万元在几天之内化为乌有，几经投诉之后，最终换得的仅仅是银行出具的一纸“网上银行不存在系统安全问题”的回复 然而，还有比朱女士更窝火的遭遇。2006年8月，一位支付宝用户的密码被盗，她的信用卡在一夜之间被人在网上连刷了4次，损失数千元。这位用户很快便拨打了银行热线，冻结了信用卡。信用卡中心在查卡后，告之钱还在支付宝中，未被取走。但几天之后，她还是眼睁睁地看着资金被人通过支付宝提了现…… 实际上，这绝非个案。2006年，单是上海市公安机关接到的关于银行卡的犯罪报案就达925起，涉及金额1365万元。而在北京、广东、江苏等经济发达地区，同类受害者数量达到上万人。 在网上支付带给人们以便利，并逐渐“飞进寻常百姓家”的同时，它的种种隐患同样暴露得十分彻底。 分析： 案例是关于支付安全的，主要是密码安全。网银账户被盗，用户的理由不外乎“我的钱放在银行，银行就有责任保证它的安全”，而银行方面则认为：“银行系统不存在问题，问题出在客户端。”谁都很无辜，但谁都不肯为消失的钱买单。这样一来会有更多的人，因为担心网上安全问题而不敢使用网上银行卡进行支付，最终受到最大影响的将是中国的电子商务的发展。安全隐患不仅存在网上，实体中也是个大问题。所以出现安全隐患问题时，不应该是互相推卸责任，而是找出原因解决问题。现在木马病毒盛行，窃取帐号的技术是越来越高明。从Google调研全球数以十亿计的网站中抽取的450万个网页的分析测试中发现，至少有45万个页面中含有恶意脚本。在安全防范方面：银行要尽力改进系统，有效防止木马病毒的入侵；个人也要对密码的保密性进行设置，比如说设置一个带“数字+符号+字母”的密码，也就是说密码不能太过于简单，当然难度高的同时也要求便于自己记忆。还有密码最好不要与手机号，身份证号相符，那样是很不安全的，很容易泄露出去。 如果移动硬盘突然丢失了，硬盘内存有公司全体人员的基本信息，能产生什么样的后果？如果落入竞争对手的手里，能产生什么样的后果？如何避免硬盘丢失而对公司的影响最小呢？ 一、信息加密的概念及其技术 信息加密就是将原来大家可以理解的信息与一个特殊的字符串结合，按照一定的规则进行运算，变成不可理解的信息。信息加密实际上是将信息的真实内容隐藏起来。 电子支付过程中常用的加密技术 私有密钥加密法 公开密钥加密法 数字信封 二、私有密钥加密法 私有（对称）密钥加密法就是通信双方通过互联网传输信息时，发送方通过密钥A对信息进行加密，并将生成的密文发送给接收方，接收方通过相同密钥A对密文解密，得到信息明文。 在私有密钥加密法中，发送方和接收方必须保证密钥的安全，一旦泄漏，给双方带来损失。 三、公开密钥加密法 公开（不对称）密钥加密法就是通信双方通过互联网传输信息时，发送方通过密钥A对信息加密，将生成的密文发送给接收方，接收方通过另一个密钥B对密文解密，得到信息明文。 密钥A和密钥B是不相同的，密钥A由发送方私人保管，叫私人密钥，私人密钥和用户的身份是关联的；密钥B对网上的部分或者所有用户都是公开的，叫做公开密钥，是通过数字证书等方式散发给网络上其他接收信息的用户。 四、数字信封技术 数字信封是利用信息加密技术，保证只有规定的接受方才可以阅读信息内容的一种安全手段。 数字信封技术是私有密钥加密法和公开密钥加密法二者结合的产物。 一、密钥的长度 密钥的长度根据信息价值的大小、信息保密期的长短等因素来决定，信息价值越大、保密期越长则要求密钥长度越长，反之越短。 但密钥长度越长，对信息进行加密和解密所进行的计算复杂度也越高，对计算机的要求也越高，使用者所需要付出的成本也越高。因此，对密钥长度的选择需要综合考虑信息价值、保密度、成本等因素。 一般黑客破解密钥的方法是穷举法。 如果密钥长度是8bit，那么有2的八次方=256种可能的密钥。 如果密钥长度为56bit，会有2的56种可能的密钥，如果用一台每秒能检验1