ch6应用安全电子商务安全.pptxVIP

应用安全第十讲 电子商务安全电子科技大学信息与软件工程学院王佳昊 副教授wangjh@主要内容概述基本概念、范畴、发展基本概念电子商务购物流程生成订单加入购物车用户注册选购商品收货支付电子商务销售流程有货库存查询客户订单订单确认无货发货确认生成销售单生成采购单确认出库结算入库电子商务安全范畴发展历程2010年-目前2008-2009年2004-2007年2003年2000至2002年上世纪末期未来电子商务安全将主要聚焦到以下两点：即移动商务的安全以及隐私保护。典型安全问题典型数据安全问题相关案例——用户信息泄露按照小米的说法，确有部分2012年8月前注册的论坛账号信息被非法获取，因为在这个时间点之前小米论坛的账号体系都使用了第三方开源程序。典型的载体安全问题相关案例——百度侵权门事件2011年3月15日，贾平凹、韩寒等50位作家公开发布《中国作家声讨百度书》，指责百度文库“偷走了我们的作品，偷走了我们的权利，偷走了我们的财物，把百度文库变成了一个贼赃市场”。两天后，中国音像协会唱片工作委员会加入“战团”，公开声援文学界维权的呼吁和行动。典型环境安全问题相关案例——网店刷信誉最近商务部对电商加紧整顿，公布的《商品流通法（草案征求意见稿）》显示，网购刷信誉、虚构信用评价等手段将违法。一步步让淘宝刷信誉晒在网友们面前，也许这次将给店铺沉重的打击。典型边界安全问题相关案例——e-Bay受到黑客攻击一个黑客团体于2010年12月对eBay发起拒绝服务攻击，旨在报复该在线支付公司停掉了向该组织进行捐款的通道。相关法律法规标准相关法律法规相关法律法规相关标准相关安全技术电子数据交换EDI网络单证数据单证数据EDI系统EDI系统业务系统业务系统发送方企业接受方企业电子数据交换技术EDI是一种在公司之间传输订单、发票等作业文件的电子化手段。EDI安全技术安全电子交易协议SETSET协议采用了对称密钥和非对称密钥体制把对称密钥的快速、低成本和非对称密钥的有效性结合在一起，以保护在开放网络上传输的个人信息，保证交易信息的隐蔽性。确保商家和消费者的身份和行为的认证和不可抵赖性其理论基础是著名的非否认协议(Non-repudiation)，核心技术包括X.509电子证书标准与数字签名技术(Digital Signature)、报文摘要、数字信封、双重签名等技术。 SET协议相关技术消息摘要技术数字签名技术数字信封技术双重签名数字信封技术接收者的公钥数字信封对称密钥K加密后的对称密钥K加密SET消息SET消息密文加密数字信封的生成过程数字信封技术接收者的公钥数字信封对称密钥K加密后的对称密钥K解密SET消息SET消息密文解密数字信封的“拆封”过程双重签名持卡人的公钥商家双重签名的验证过程OIMD摘要算法支付摘要PIMDOP’连接摘要算法不同比较解密消息被篡改相同双重签名消息正确有效持卡人的公钥银行双重签名验证过程PIMD摘要算法订单摘要PIMDOP’连接摘要算法不同比较解密消息被篡改相同双重签名消息正确有效SET协议流程（1）初始请求（2）初始应答（3）购买请求（8）购买应答（4）支付授权请求(7)支付授权应答（5）支付授权请求（6）支付授权应答购买请求支付网关的公钥交换密钥 持卡人发送购买请求购买请求 商家验证客户的购买请求加密会话密钥支付网关私钥持卡人公钥支付网关核对付款指示的过程摘要算法连接+加密后的付款支付PI等解密摘要算法++比较支付网关数字信封解密解密+持卡人的数字证书其他安全技术安全保障案例第三方支付平台解决方案案例背景方案描述——业务流程方案描述—系统架构方案描述—安全功能设计安全分析和建议安全分析和建议平台安全体系结构图小结QA谢谢！电子商务：是指包括电子交易在内的利用互联网在网上所进行的全部贸易活动，即在网上将信息流、商流、部分物流、资金流完整的实现。狭义电子商务：指通过互联网对整个贸易活动实现电子化。电子商务的特征是在网上进行交易。因此，商务交易系统的安全是电子商务安全的首要考虑。电子商务中的支付大量采用在线支付方式，保障在线支付的安全是电子商务安全的核心内容。电子商务是依赖网络的商业模式，因此承载交易的网络的安全也是电子商务安全涵盖的范畴。电子商务是通过互联网使毫不相干的陌生人直接交互和交易，它可使得交互的目的各种各样、从未有过交易历史的双方成为合作伙伴。由于交易双方都缺少对方的背景，直接经历等，往往会引起相互的猜疑和不信任等，从而直接影响电子商务的正常发展。问题根源：移动网络的开放性，移动终端的便携和多样性，移动终端恶意代码，运营管理安全（内容安全和管理规范），法律法规的不健全其核心是数据和通信的标准化。安全电子交易协议SET是一个开放的协议和电子支付规范，其主要目的是为在网上在线交易时信用卡的安全支付提供保障。SET提供了