第四章电子商务的安全问题资料.ppt

* * 在eCoin上的安全连接已经建立 二、安全电子交易协议（SET-Secure Electronic Transfer Protocol 是能保证通过开放网络(包括Internet)进行安全资金支付的技术标准，可应用于任何银行支付服务 。 客户的银行账户信息用发卡公司的公钥加密 商家收到客户信息后无法译出，要通过支付网关送到自己的开户银行，再送到发卡行请求支付认可，发卡行审核后把确认信息返回商家。 商家确认订单并发货，同时把发货证明送开户银行请求付款； 开户银行把有关资料通知发卡行，发卡行根据授权划款 不仅对商家进行保障，对消费者也有保障 。 第六节 其它安全控制措施 一、对人为破坏的控制 1．一次性口令（One-time Password）。 2．对轰炸式进攻的控制(Controlling Denial-of-Service Attacks)。 3．自动登记收发的信息业务(Message Transaction Log) 二、对线路故障所产生问题的控制 三、电子商务业务的控制 1．业务授权和有效性控制(Transaction Authorization and validation Control)。 2．VPN和VAN网均有检查客户ID和密码的功能，合法的客户ID和口令存储在一个有效的客户文件中，如不匹配的客户，则业务被拒绝。 3．对于电子购物中的个人客户，购物前需先向商家登记一个账号，通常商家会要求客户把自己的真实姓名、地址、电话、电子邮件地址、身份证号、工作单位等特征信息提供给商家存储起来，并通过电话、邮件等对客户身份进行验证，以确保个人客户是有效的。 4．业务处理控制（Transactions Processing control） 5．访问控制（Access Control） 6．保留审计线索（Audit Trail） 四、对电子商务安全控制进行审计 * * 电子商务交易安全 电子商务交易风险的识别 1、从信息内容上辨别真伪 2、查询企业信用记录 3、从论坛搜索相关信息 4、通过搜索引擎搜索 6、通过工商管理部门网站查询 7、通过手机归属地判断 8、专业性测试 * * 电子商务交易风险的防范及应对： 1、保障账户密码安全 2、养成良好的网络使用习惯 3、使用第三方支付平台支付货款 4、访问诚信论坛与防骗专家 遭遇网络诈骗后的应对策略 1、搜集、保留诈骗证据 2、及时报警 3、进行投诉 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * * * 数字信封技术示意图 明文 信息密文 信息密文 明文 对称密钥 密钥密文 密钥密文 对称密钥 接收方公钥 接收方私钥 发送方 接收方 加密1 加密2 解密1 解密2 第四节　认证技术 数字摘要(digital digest) 发文方用一个称为ＨＡＳＨ的函数对待发文件进行处理，产生一个位数不长（如１２８位）的与所要发送的文件内容相关的“浓缩”了的文件信息，称为“数字摘要”或“文件摘要”。 数字签名(Digital Signature) 把文件摘要用私钥加密后称为数字签名（也称电子签名） * * 电子签名技术 1）电子签名的概念 电子签名技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。 目前的电子签名建立在公钥加密体制基础上，是非对称加密技术的另一类应用。电子签名主要有3种应用广泛的方法：RSA签名、DSS签名和Hash签名。 * * 附：HASH函数的特点 一个单向散列函数 对于单向函数y=f(x)，当给定一个值x,很容易求出y的值，但是如果给定y，则不可能求出相应的x值 对于散列函数y=f(x)，当给定两个不同的x值时，不可能求出相同的y值 * * Hash签名技术工作原理 发送方对原文使用HASH函数（单向散列函数）得到一个长度固定为128位的数字摘要1 发送方将数字摘要1与原文一起发送给接收方 接收方对接收到的原文应用HASH函数生成数字摘要2 将接收方生成的数字摘要2与发送方发来的数字摘要1进行对比，若两者相同则表明原文在传输过程中没有被篡改，否则就说明原文被篡改过 注：由数字摘要无法反推出原文，不同的原文得到的摘要不同。当摘要被改动，该摘要会无法读取 * * 数字签名文件在公开网络上的加密传输过程图示 解密3 解密2 解密1 加密3 加密2 数字 摘要1 信息 密文