电子商务——第4章节 电子商务安全的管理.pptVIP

2006.9 第4章 电子商务的安全管理 第四章 电子商务安全管理 内容提要 4.1 电子商务的安全要求 4.2 客户认证 4.3 安全管理制度 4.4 法律制度 4.5 其他安全措施 4.6 容灾备份 课前故事——网络上的肉鸡 4.1 电子商务的安全要求 一、电子商务存在的安全隐患 二、电子商务安全风险的来源 三、实施电子商务的安全要求 一、电子商务存在的安全隐患 1.电子商务系统的安全隐患 数据的安全 2.电子商务交易过程中的安全隐患 （1）购买者 （2）销售者 购买者存在的安全隐患 虚假产品 付款后不能收到商品 机密性丧失 拒绝服务 销售者存在的安全隐患 中央系统安全性被破坏 客户资料被竞争者获悉 被他人假冒而损害公司的信誉 消费者提交订单后不付款 虚假订单 二、电子商务安全风险的来源 1.信息传输风险 2.信用风险 3.管理方面的风险 4.法律方面的风险 信息传输风险 信息传输风险含义 信息传输风险来源 冒名偷窃 篡改数据 信息丢失 信息传递过程中的破坏 虚假信息 信用风险 信用风险来源 来自买方的信用风险 来自卖方的信用风险 买卖双方都存在抵赖的情况 信用风险特点 传统可以控制风险；网上交易更加依赖信用体系，同时信用体系也更加脆弱 管理方面的风险 网上交易管理风险 交易流程管理风险 人员管理风险 交易技术管理风险 法律方面的风险 法律滞后风险 法律调整风险 三、实施电子商务的安全要求 1.有效性 2.机密性 3.完整性 4.真实性和不可抵赖性的鉴别 防范思路 技术方面的考虑 制度方面的考虑 法规政策与法律保障 4.2 客户认证 一、信息认证 二、身份认证 三、网络中的身份认证——PKI 四、CA中心 五、网络中身份认证的实现 六、综合应用举例 一、信息认证 1.什么是信息认证？ 2.信息认证的要求 保证信息内容的保密性 保证数据的完整性 对数据和信息的来源进行验证，以确保发信人的身份 3.信息认证的实现方式 采用私密（对称）密钥加密系统(Secret Key Encryption) 公开（非对称）密钥加密系统(Public Key Encryption) 两者相结合的方式 加密和解密过程 对称密钥密码体制与DES算法 1.对称密钥密码体制 2.DES (Data Encryption Standard) 3.DES的加密与解密过程 4.DES 的优势和劣势 非对称密钥密码体制与RSA算法 1.非对称密钥密码体制 2.RSA（Rivest, Shamir, Adleman） 3.RSA的加密与解密过程 4.RSA的优势和劣势 5.DES与RSA的互补应用 二、身份认证 1.什么是身份认证？ 2.身份认证的功能 可信性 完整性 不可抵赖性 访问控制 3.传统身份认证的方式 所知、所有、个人特征或者混合 三、网络中的身份认证——PKI 1.什么是PKI 公钥基础设施PKI（Public Key Infrastructure），是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。 三、网络中的身份认证——PKI 2.PKI的组成 （1）认证机构(CA) （2）数字证书库 （3）密钥备份及恢复系统 （4）证书作废系统 （5）应用接口（API） 三、网络中的身份认证——PKI 3.PKI要解决的问题 （1）数据的机密性（Confidentiality） （2）数据的完整性（Integrity） （3）身份验证性（Authentication） （4）不可抵赖性（Non-Repudiation） 4.PKI的基础技术 加密、数字签名、数据完整性机制、数字信封、双重数字签名等 四、CA中心 1.什么是CA（Certified Authentication）认证机构（中心）？ 2.认证中心的基本原理 顾客向CA申请证书，证书包含了顾客的名字和他的公钥，以此作为网上证明自己身份的依据 做交易时，应向对方提交一个由CA中心签发的包含个人身份的证书，以使对方相信自己的身份 CA中心负责证书的发放、验收，并作为中介承担信用连带责任 四、CA中心（2） 3.认证中心的工作职能 （1）接收验证最终用户数字证书的申请 （2）证书审批 （3）证书发放 （4）证书的更新 （5）接收最终用户数字证书的查询、撤销 （6）产生和发布证书废止列表（CRL） （7）数字证书的归档 （8）密钥归档 （9）历史数据归档 五、网络中身份认证的实现 1.数字证书 数字证书又称为数字标识，是网络通讯中标志通讯各方身份信息的一系列数据，它是一个经证书授