1303第五章电子商务安全技术.ppt

邵兵家 主编 《电子商务概论》 高等教育出版社 2003版 2000年9月9日 《电子商务概论》高等教育出版社 2003版 重庆大学经济与工商管理学院 邵兵家 博士 第五章 电子商务安全技术 学习目标 了解电子商务面临的主要安全威胁 了解电子商务对安全的基本要求 熟悉电子商务常用的安全技术 掌握防火墙的功能和工作原理 了解电子商务常用的加密技术 了解电子商务的认证体系 掌握SSL和SET的流程和工作原理 学习内容 电子商务安全隐患 电子商务安全体系 电子商务安全技术 数字证书及其应用 案 例 案例1:曾经有9位通过网络炒股的股民在“银广夏”复牌后“跳水”时期，被莫名其妙地盗卖而后又盗买了大量股票，总损失超过12万元！也就是说，如果要冒充股民实施盗买盗卖，只需要知道他们的密码就可以。 案例2:北京某高校一女生，历尽千辛万苦，考上了美国一家著名大学，并收到了大学发来的录取通知书。不料，她的一个同学竟然冒她之名，向对方学校发送了一封“放弃入学”的Email，等她发现，对方的录取工作已经结束，留学之路严重受挫！ CNNIC调查结果 用户认为目前网上交易存在的最大问题是： 安全性得不到保障： 23.4% 付款不方便： 10.8% 价格不够诱人： 10.8% 产品质量、售后服务及厂商信用得不到保障： 9.3% 送货不及时： 8.6% 网上提供的信息不可靠： 6.4% 其它： 30.7% 5.1.2 电子安全交易的基本要求 1,授权合法性 安全管理人员能够控制用户的权限,分配或终止用户的访问、操作、接入等权利，被授权用户的访问不能被拒绝。 2，信息的保密性 要保证信息如信用卡的帐号和用户名等不泄漏给未授权的他人或供其使用，防止信息被盗用和恶意的破坏。 3,不可抵赖性 信息的发送方不能抵赖曾经发送的信息，不能否认自己的行为。网上交易一旦达成，并形成交易文件，参与交易的各方不可擅自否认和修改交易信息文件，不得因为是电子记录而否定合约的有效性及可强制执行性。 4,交易者身份的真实性 信息的真实性一方面是指网上交易双方提供信息内容的真实性，另一方面是指网上交易双方身份信息的真实性，双方交换信息之前通过各种方法获取对方的证书，可以有效鉴别确定交易方的身份。 5.2 电子商务安全体系 技术保障 完善的管理政策、制度 法律控制、社会道德规范 第一、二、三层：信息、软件、网络安全 对自然灾害防范： 防火、防水、防地震。如：建立备份中心。 防范计算机设备被盗： 固定件、添加锁、设置警铃、购置柜机、系统外人员不得入内等。 尽量减少对硬件的损害： 采用不间断电源、消除静电、系统接地等方法和手段。 管理制度的建立与实施 包括运行与维护的管理规范、系统保密管理的规章制度、安全管理人员的教育培训、制度的落实、职责的检查等方面内容。 法律制度与道德规范 要求国家制定出严密的法律、政策，规范来制约人们的思想和行为，将信息系统纳入规范化、法制化和科学化的轨道。有关的条例有：《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等。 5.3 电子商务安全技术 信息加密 防火墙 安全协议 数字证书 5.3.1 数据加密技术 1，数据加密技术的概念 所谓信息加密技术，就是采用数学方法对原始信息（通常称为“明文”）进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字（加密后的信息通常称为“密文”）。而对于合法的接收者，因为其掌握正确的密钥，可以通过解密过程得到原始数据（即“明文”） 在加密和解密的过程中，都要涉及信息（明文、密文）、密钥（加密密钥、解密密钥）和算法（加密算法、解密算法）这三项内容。 加密技术对所发送的信息进行加密，保证信息在网上传输过程中不被篡改 。 例如：将英文26个字母a，b，c，d，e，… x，y，z的自然顺序保持不变，但使之与D，E，F，G，H，…，Y，Z，A，B，C分别对应（即相差3个字符）。若明文为and，则对应密文为DQG。（接收方知其密码为3，它就能解开此密文）。 2，对称密钥密码体系 对称密钥密码体系(Symmetric Cryptography)又称对称密钥技术。 对称式密钥技术是指加密和解密均采用同一