7电子商务安全教材.pptVIP

第三讲 电子商务安全管理;引入案例;国外 2000年2月7日－9日，Yahoo, ebay, Amazon 等著名网站被黑客攻击，直接和间接损失10亿美元。 国内 2000年春天，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。;第一节 电子商务系统安全管理概述;第二类：交易过程的安全问题 窃取信息 篡改内容或身份 假冒他人身份 拒绝服务/拒绝付款 否认已经做过的交易 恶意破坏等;二、电子商务系统的安全要求;信息与网络安全的目标;三、电子商务系统的安全管理框架;技术手段 管理制度 人员管理制度、保密制度、跟踪审计制度、系统日常维护制度、病毒防范制度、应急措施等 法律制度;第二节 电子商务网络安全管理;第三节 数据加密技术;一、数据加密的原理 加密、解密用的算法就是HASH函数 而加密、解密中用的可变参数就是密钥 明文加密后得到密文，把密文解密得到明文 加密技术隐蔽信息的真实内容，可以满足信息完整性、不可抵赖性等安全要求。;数据加密、解密过程;字母;信息;二、对称密钥加密技术 加密密钥和解密密钥相同。;对称式密钥加密技术 优点： 加解密速度快。 缺点： 网络规模扩大后，密钥管理很困难； 缺乏自动检测密钥泄露的能力。;三、非对称式密码加密技术 加密密钥和解密密钥不同。 公开密钥用于加密，通过非保密方式向他人公开，私钥用于解密，由交易方掌握和保存。;非对称式密码加密技术——公开密钥加密技术 优点： 可以适用网络的开放性要求，密钥管理相对简单； 可以实现数字签名功能。 缺点： 算法一般比较复杂，加解密速度慢。;数字签名;一、信息认证的目的 可信性 完整性 不可抵赖性 访问控制 认证技术：数字签名、数字时间戳、数字信封、CA认证中心及数字证书;二、数字签名 数字签名的作用： 信息是由签名者发送的； 信息自签发后到收到为止未曾做过任何修改。 数字签名的实现方式 数字摘要技术。 签名算法有RSA、DES、HASH算法等。;信息摘要过程;数字签名过程;三、数字时间戳; 获得数字时间戳的过程;四、数字信封;数字信封的具体过程 第一步，数据发送者A用对称密钥把需要发送的数据加密。 第二步，A用B的公开密钥将对称密钥加密，形成数字信封，然后一起把加密数据和数字信封传给B。 第三步，B收到A的加密数据和数字信封后，用自己的私钥将数字信封解密，获取A加密数据时的对称密钥。 第四步，B使用A加密的对称密钥把收到的加密数据解开。;数字信封;五、CA认证中心及数字证书;五、CA认证中心及数字证书; 认证中心（Certificate Authority，CA）就是这样的第三方，它是一个权威机构，专门验证交易双方的身份。验证方法是接收个人、商家、银行等涉及交易的实体申请数字证书，核实情况，批准或拒绝申请，颁发数字证书。认证中心除了颁发数字证书外，还具有更新、撤销和验证证书的职能。 ; 证书的验证是通过分级体系来完成的，每一种证书归属于签发它的单位，通过层层认证，可达根CA。 ;CA的树形验证结构(如图所示）;国内外常见的CA（共140多家，信产部颁发资质的有20多家）;2.数字证书 数字证书就是标志网络用户身份信息的一系列数据，用来在网络应用中识别通讯各方的身份，它是由权威公正的第三方机构（CA中心）签发的。 数字证书是用来证实一个用户的身份和对网络资源访问的权限。 数字证书确保网上传递信息的机密性、完整性及交易的不可抵赖性。;数字证书的类型 客户证书 服务器证书 安全邮件证书 CA机构证书;数字证书的内容;数字证书的有效性; 查看证书内容（1） ; 查看证书内容（2） ; 查看证书内容（3）;第五节 主要的安全技术协议;电子商务安全协议 将各种安全技术集成起来，形成一整套电子商务安全问题的整体解决方案。许多集成商针对不同的网络应用提出了不同的商业实现标准，其中比较有名的是SSL和SET协议。;安全套接层协议——SSL;SSL的原理;SSL握手协议;SSL记录协议;应用软件;SSL的工作过程;SSL协议;SSL协议的优缺点 （1）优点：支持多种加密算法、实现过程简单、方便 （2）缺点：只能建立两点之间的安全连线。在涉及多方面的电子交易中,SSL协议并不能协调各方面的安全传输和信任关系。;安全电子交易协议（SET）;SET协议的工作原理;SET协议核心技术;SET协议的主要目标 （1）保障付款信息的安全 （2）保障付款过程的安全 （3）保证付款过程遵守相同协议和格式标准 SET协议的优缺点 （1）优点：SET协议对顾客提供了更好的安全保护、 SET协议为商家提供了保护自己的手段