《网络与信息安全》电子教案8重点解读.ppt

第12章 Web电子商务安全 随着互联网的发展，电子商务方兴未艾。也许你使用过网上银行业务，这就是一种电子商务。那么什么是电子商务？电子商务有哪些模式？电子商务是在开放的互联网上进行的，因此特别重要的是如何保障电子商务的安全？这些问题正是本章要讨论的问题。 12.1 电子商务概述 12.1.1 什么是电子商务 电子商务源于英文electronic commerce，简写为EC。顾名思义，其内容包含两个方面，一是电子方式，二是商贸活动。 电子商务指的是利用简单、快捷、低成本的电子通讯方式，买卖双方不谋面地进行各种商贸活动。电子商务可以通过多种电子通讯方式来完成。 总的来说，电子商务可以分为企业(Business)对终端客户（Customer）的电子商务（即B2C）和企业对企业的电子商务（即B2B）两种主要模式。 B2C是从企业到终端客户（包括个人消费者和组织消费者）的业务模式。 B2B是企业与企业之间的业务模式。电子商务B2B的内涵是企业通过内部信息系统平台和外部网站将上游的供应商的采购业务和下游代理商的销售业务有机地联系在一起，从而降低彼此之间的交易成本，提高满意度。 12.1.2 电子商务的安全 从整个电子商务系统着手分析，可以将电子商务的安全问题归类为下面4类风险：信息传输风险、信用风险、管理风险和法律方面风险，其中技术性最强的是信息传输风险。信息传输风险是指进行网上交易时，因传输的信息失真或者信息被非法的窃取、篡改和丢失，而导致网上交易的不必要损失。具体有： （1）冒名偷窥。 （2）篡改数据。 （3）信息丢失。 （4）信息传递过程中的破坏。 电子商务有以下5条要求： 1.有效性：保证贸易数据在确定的时间、确定的地点是有效的。 2.机密性：作为贸易的一种手段，电子商务的信息直接代表着个人、企业或国家的商业机密。 3.完整性：要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复。 4.真实性：如何确定要进行交易的贸易方正是进行交易所期望的贸易方，这一问题是保证电子商务顺利进行的关键。 5.不可抵赖性：在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已不可能。 12.2 安全电子商务的体系结构 12.2.1 电子商务系统的框架结构 12.2.2 电子商务网站的构成 电子商务网站硬件构成和实现 1.网络服务器：提供基本的电子商务服务。 2.应用终端：即工作站，通过通信介质连接到网络服务器上。 3.网络连接设备：网卡、集线器（Hub）、交换机（Switcher）和传输介质等设备将各种类型网络连接在一起。 4.其他设备：商务网站日常工作还要求有许多其他设备，如扫描仪、复印机、打印机、光盘刻录机、网络检测设备等都不可缺少。 电子商务网站软件构成 1.网络操作系统 2.Web服务器软件 3.数据库平台 4.应用程序开发平台：它与网络操作系统和Web服务器软件密切相关。如果是Windows平台，那么应用程序开发平台应该选用Visual Studio系列开发工具。 12.3 安全电子交易SET 随着电子商务的发展其安全问题成为人们关注的焦点。针对B2C的模式，1996年2月，VISA与MASTER CARD两大信用卡国际组织共同发起制定保障在因特网上进行安全电子交易的SET(Secure Electronic Transaction)协议，并且由众多信息产业公司，如Microsoft、Netscape、RSA等共同协作发展而成。该协议围绕客户、商家等交易各方相互之间身份的确认，采用了电子证书等技术，以保障交易安全。 SET支付系统中的相关成员 SET协议消息传输过程 SET协议流程 (1)持卡人使用浏览器在商家的WEB主页上查看在线商品目录，浏览商品。 (2)持卡人选择要购买的商品。 (3)持卡人填写定单。 (4)持卡人选择付款方式，此时SET开始介入。 (5)持卡人发送给商家一个完整的定单及要求付款的指令。在SET中，定单和付款指令由持卡人进行数字签名，同时利用双重签名技术保证商家看不到持卡人的帐号信息。 (6)商家收到定单后，向持卡人的金融机构请求支付认可。通过支付网关到银行，再到发卡机构确认，批准交易。然后返回确认信息给商家。 　　(7)商家发送定单确认信息给顾客。顾客端软件可记录交易日志，以备将来查询。 　　(8)商家给顾客装运货物，或完成订购的服务。到此为止，一个购买过程已经结束。商家可以立即请求银行将钱从购物者的帐号转移到商家帐号，也可以等到某一时间，请求成批划帐处理。 　　(9)商家从持卡人的金融机构请求支付。在认证操作和支付操作中间一般会有一个时间间隔，例如在每天的下班前请求银行结一天的帐。 双重签名 12.4 安全套接字层SSL 安全套接字层