电子商务概论(第三章电子商务支付与安全措施).pptVIP

邵兵家 主编 《电子商务概论》 高等教育出版社 2003版 2000年9月9日 《电子商务概论》 高等教育出版社 2003版 重庆大学经济与工商管理学院 邵兵家 博士 第三章电子商务支付与安全措施 3.1电子商务与信息安全 3.1.1电子商务安全的现状 美国每年因电子商务安全问题所造成的经济损失达75亿美元，电子商务企业的电脑安全受到侵犯的比例从1997年的39%升到1999年的53%。一家大公司网络联机通信服务公司的主干网出现重大故障，30万用户被迫中断联络30小时。 从 1993年起，黑客在中国的活动就没有停止过。在1997年以后，黑客入侵活动日益猖獗，逐步转向电子商务领域，国内各大网络几乎都不同程度地遭到黑客的攻击。 ? 3.1.2 电子商务安全的要素 1）可靠性 2）真实性 3）机密性 3）完整性 5）有效性 6）不可抵赖性 7）内部网的严密性 3.1.3网络攻击的常用方法 1）系统穿透 2）违反授权原则 3）植入 3）通信监听 5）通信窜扰 6）中断 7）拒绝服务 8）电子邮件轰炸 9）病毒技术 3.2电子商务安全协议 3.2.1电子商务安全协议分类 1）加密协议 2）身份验证协议 3）密钥管理协议 4）数据验证协议 5）安全审计协议 6）防护协议 3.2.2国际通用电子商务安全协议 1）安全套接层协议SSL （1）安全套接层协议的概念 安全套接层协议（Secure Sockets Layer），是由网景公司设计开发的，主要用于提高应用程序之间的数据安全系数，实现兼容浏览器和服务器（通常是WWW服务器）之间安全通信的协议。SSL在客户机和服务器开始交换一个简短信息时提供一个安全的握手信号。在开始交换的信息中，双方确定将使用的安全级别并交换数字证书。每个计算机都要正确识别对方。SSL支持的客户机和服务器间的所有通讯都加密了。在SSL对所有通讯都加密后，窃听者得到的是无法识别的信息。 实现SSL协议的是HTTP的安全版，名为HTTPS。 图3.2.1 HTTPS协议的使用 （2）安全套接层协议的工作原理 SSL需要认证服务器，并对两台计算机之间所有的传输进行加密。 SSL用公开密钥（非对称）加密和私有密钥（对称）加密来实现信息的保密。虽然公开密钥非常方便，但速度较慢。这就是SSL对几乎所有的安全通讯都使用私有密钥加密的原因。 （3）建立SSL安全连接的过程 图3.2.2显示在eCoin上在登陆（Login）用户名时即进入SSL安全连接。 图3.2.2 在eCoin上连接交换敏感信息的页面 这时浏览器发出安全警报，开始建立安全连接，参见图3.2.3。同时验证安全证书，参见图3.2.3。用户单击“确定”键即进入安全连接。 图3.2.3 浏览器开始建立安全连接 图3.2.3 浏览器验证服务器安全证书 该图显示在eCoin上的安全连接已经建立，浏览器右下角状态栏的锁型图案表示用户通过网页传输的用户名和密码都将通过加密方式传送。 当加密方式传送结束后，浏览器会离开交换敏感信息的页面，自动断开安全连接。 图3.2.6 离开交换敏感信息的页面，浏览器自动断开安全连接 2）安全电子交易协议SET 为了克服SSL安全协议的缺点，更为了达到交易安全及合乎成本效益之市场要求，VISA和MasterCard联合其他国际组织，共同制定了安全电子交易（Secure Electronic Transaction，SET）协议。 在SET中采用了双重签名技术，支付信息和订单信息是分别签署的，这样保证了商家看不到支付信息，而只能看到订单信息。支付指令中包括了交易ID、交易金额、信用卡数据等信息，这些涉及到与银行业务相关的保密数据对支付网关是不保密的，因此支付网关必须由收单银行或其委托的信用卡组织来担当。 3）S-HTTP安全协议