第6章_电子商务安全.ppt

第6章 电子商务安全 2学时 网上交易 你的交易方是谁:是店主么？ 信息在传输过程中是否被篡改:价格对么？ 信息是否会被别人看到:我的报价别人能看到么？ 网上支付后，对方是否会赖帐:他说我没付钱所以拒绝付货。 在没有信誉的世界中怎样提供有信誉的服务？ 引：什么是电子商务(了解) （ELECTRONIC COMMERCE） 1.世界电子商务会议关于电子商务的定义 电子商务是指对整个贸易活动实现电子化。 2.政府部门对电子商务的定义 电子商务是通过电子方式进行的商务活动。 3.权威学者对电子商务的定义 广义地讲，电子商务是一种现代商业方法。 4. IT（信息技术）行业对电子商务的定义 IBM公司关于电子商务的描述，可以用一个公式来概括，即电子商务＝Web＋IT。它强调的是在网络计算环境下的商业化应用，是把买方、卖方、厂商及其合作伙伴在互联网（Internet）、企业内部网（Intranet）和企业外部网（Extranet）结合起来的应用。 广义电子商务和狭义电子商务 一、电子商务介绍 电子商务系统构建 开发一个内容站点，处理离线购买交易。 开发一个在线目录，并处理离线交易。 开发一个在线目录，并处理在线交易。 2.电子商务模式 B2B商务，如EDI（电子数据交换） C2B商务，如Web上的在线购物 C2C商务，如电子钱包间的价值交换 B2G商务，商家到公共管理机构（政府）的商务，如电子退税 C2G商务，用户到公共管理机构的商务（政府） ，如电子退税 3.贸易过程 信息获取：浏览、评估——货比三家 协商：交易方式——讨价还价 执行阶段：支付、交货——钱货两清 售后阶段：退换货、维修——三包服务 4.支付系统的参与者 支付者payer：客户、购买者、买家 收款者payee：商家、零售商、销售者 颁发者issuer：支付卡的发行银行 获取者acquirer：接收银行 支付网关： CA： 协议：取款、支付和存款。 两个前提： 支付者和商家在支付服务供应商处注册 支付者和商家在在参与的银行中有帐户。 二、电子商务安全 2、安全需求 支付认证：买卖双方都必须证明自己的身份。 支付完整性：支付交易数据不可受到非授权的参与方的更改。 支付授权：确保未经用户授权之前不能从该用户的帐户提取现金。 支付机密性：信息在传输或存储中不被他人窃取。 支付不可否认性 技术保障 法律控制 社会道德规范 完善的管理政策、制度 技术体系 三. 安全交易协议 1.SSL SSL是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性，从而实现浏览器和服务器（通常是Web服务器）之间的安全通信。 SSL是一种利用公共密钥技术的工业标准，广泛用于Internet。 目前大多数浏览器都支持SSL，很多Web服务器也支持SSL。 SSL(Secure Socket Layer)是netscape公司设计的主要用于web的安全传输协议。在WEB上获得了广泛的应用。 IETF将SSL作了标准化，即RFC2246,并将其称为TLS（Transport Layer Security），从技术上讲，TLS1.0与SSL3.0的差别非常微小。 在WAP的环境下，由于手机及手持设备的处理和存储能力有限，wap论坛在TLS的基础上做了简化，提出了WTLS协议，以适应无线的特殊环境。 如果利用SSL协议来访问网页，其步骤如下： 用户：在浏览器的地址栏里输入 HTTP层：将用户需求翻译成HTTP请求，如 GET /index.htm HTTP/1.1 Host SSL层: 借助下层协议的的信道安全的协商出一份加密密钥，并用此密钥来加密HTTP请求。 TCP层：与web server的443端口建立连接，传递SSL处理后的数据。 接收端与此过程相反。 SSL在TCP之上建立了一个加密通道，通过这一层的数据经过了加密，因此达到保密的效果。 SSL连接5步骤（参见书9.3.1） SSL客户端（也是TCP的客户端）在TCP链接建立之后，发出一个Clienthello来发起握手，这个消息里面包含了自己可实现的算法列表和其它一些需要的消息； SSL的服务器端会回应一个Serverhello，这里面确定了这次通信所需要的算法，然后发过去自己的证书（里面包含了身份和自己的公钥）；最后发完成消息 Client在收到这个消息后会生成一个秘密消息，包含私钥和证书，用SSL服务器的公钥加密后传过去； SSL服务器端用自己的私钥解密后，会话密钥协商成功，双方可以用同一份会话密钥来通信了。 安全通道建立。 SSL/TLS安全限制 只能防范拦截攻击，机密性收威胁； 保护传输数据完整性，无法防范内部攻击篡改； 服务器鉴别依靠证书