九电子商务安全管理教程.ppt

电 子 商 务;第九章 电子商务的安全管理;第一节 电子商务的安全问题;（一）电子商务的安全威胁;（一）电子商务的安全威胁;（二）电子商务的安全风险类型;（二）电子商务的安全风险类型;（二）电子商务的安全风险类型;二、电子商务的安全管理要求与思路;二、电子商务的安全管理要求与思路;第二节 电子商务安全技术;一、交易方自身安全保障技术;二、电子商务信息传输安全保障技术;三、身份和信息认证技术;客户认证技术;建行网银盾，是指建设银行向客户提供的具备USB接口，具有一定的存储空间，用于存储用户数字证书，实现对用户身份认证和交易信息加密的硬件设备。;客户认证技术;四、电子商务安全支付技术;一、SSL安全协议;(一)SSL安全协议的基本概念;SSL的缺陷：只能保证传输过程的安全，无法知道在传输过程中是否受到窃听，黑客可以此破译SSL的加密数据，破坏和盗窃WEB信息。 SSL安全协议主要提供三方面的服务： （1）认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上。 （2）加密数据以隐藏被传送的数据。 （3）维护数据的完整性，确保数据在传输过程中不被改变。;（1）接通阶段：客户通过网络向服务商打招呼，服务商回应。 （2）密码交换阶段：客户与服务商之间交换双方认可的密码。 （3）会谈密码阶段：客户与服务商间产生彼此交谈的会谈密码。 （4）检验阶段：检验服务商取得的密码。 （5）客户认证阶段：验证客户的可信度。 （6）结束阶段：客户与服务商之间相互交换结束的信息。 ;在电子商务交易过程中，有银行参与，按照SSL协议，客户购买的信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，将商品寄送客户（参见下图）。;SSL安全协议是国际上最早应用于电子商务的一种网络安全协议。目前，我国开发的电子支付系统，均未采用SSL协议。 SSL协议运行的基点是商家对客户信息保密的承诺。SSL协议有利于商家而不利于客户。客户的信息首先传到商家，商家阅读后再传到银行。这样，客户资料的安全性便受到威胁。???家认证客户是必要的，但整个过程中缺少了客户对商家的认证。;二、SET安全协议;SET（电子商务交易安全协议）是一种应用于开放网络环境下、以智能卡为基础的电子支付系统协议。它给出了一套完备的电子交易过程的安全协议，可实现电子商务交易中的加密、认证、密钥管理等任务。在保留对客户信用卡认证的前提下，SET又增加了对商家身份的认证。 安全电子交易是基于因特网的卡基支付，是授权业务信息传输的安全标准，它采用RSA公开密钥体系对通信双方进行认证。利用DES、RC4或任何标准对称加密方法进行信息的加密传输，并用HASH算法来鉴别消息真伪，有无篡改。在SET体系中有一个关键的认证机构（CA），CA根据X.509标准发布和管理证书。;(一)SET安全协议运行的目标;(二) SET安全协议涉及的范围;(三) SET安全协议的工作原理 下图是SET工作原理的一个形象性的示意图。;SET协议的工作流程图 ; 根据以上两图，可将SET协议的整个工作程序分为下面 7 个步骤： （1）消费者利用自己的PC机通过因特网选定所要购买的物品，并在计算机上输入定货单，定货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。 （2）通过电子商务服务器与有关在线商店联系，在线商店作出应答，告诉消费者所填定货单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。 （3）消费者选择付款方式，确认定单，签发付款指令。此时SET开始介入。;（4）在SET中，消费者必须对定单和付款指令进行数字签名。同时利用双重签名技术保证商家看不到消费者的帐号信息。 （5）在线商店接受定单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。 （6）在线商店发送定单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。 （7）在线商店发送货物，或提供服务；并通知通知收单银行将钱从消费者帐号转移到商店帐号，或通知发卡银行请求支付。 ;协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书。否则，消费者提出疑义，产品责任问题很难落实。 协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是由签署证书的消费者发出的。 协议提供了多层次的安全保障，但显著增加了复杂程度，因而变得昂贵、互操作性差。 SET 技术规范没有提及在事务处理完成后，如何安全地保存或销毁数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。;商家初始授权扩展。允许一个商家为非SET的