第六章电子商务安全管理与技术.pptVIP

第六章 电子商务安全管理与技术 6.1 电子商务的安全 6.2 安全协议 6.3 密码学和数据加密技术 6.4 数字签名和认证技术 6.5 防火墙技术 6.6 虚拟专用网(VPN)技术 6.7 其他的安全技术 6.1 电子商务的安全 6.1.1 电子商务的安全要素 （1）有效性。 （2）机密性。 （3）完整性。 （4）可靠性/不可抵赖性/鉴别。 （5）审查能力。 6.1.2 电子商务存在的安全问题 在电子商务系统中，存在的安全威胁主要有： （1）系统穿透。 （2）违反授权规则。 （3）植入后门程序。 （4）通信监视。 （5）通信窜扰。 （6）中断。 （7）拒绝服务。 （8）否认。 6.1.3 电子商务的安全技术 电子商务一个基本的问题就是如何通过现有的网络技术如Internet Web、数据加密、PKI-CA认证系统、防火墙技术、虚拟专用网技术、各种交易协议（如SET）、客户端浏览技术和软件等，使得客户和商家透明地进行安全交易。 6.2 安全协议 6.2.1 安全协议的基本概念 所谓安全协议，是指两个或两个以上的参与者为完成与安全任务（如加密、认证、密钥分配等）有关且能抗攻击任务所作的约定与采取的一系列步骤。 6.2.2 安全套接层协议(SSL) 1. 什么是安全套接层协议（Secure Socket Layer,简称SSL） SSL主要用于提高应用程序之间数据的安全系数。 2. 安全套接层协议的作用 （1）用户和服务器的合法性认证。 （2）加密数据以隐藏被传送的数据。 （3）保护数据的完整性。 3. 安全套接层协议的实现过程 （1）接通阶段。 （2）密码交换阶段。 （3）会谈密码阶段。 （4）检验阶段。 （5）客户认证阶段。 （6）结束阶段。 6.2.3 安全电子交易协议（SET） 1. 什么是安全电子交易协议 SET主要是为解决用户、商家和银行之 间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份以及可操作性。SET中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。 2. SET协议的作用 （1）保证电子商务参与者信息的相互隔离。 （2）保证信息在Internet上安全传输。 （3）解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度认证，同时还有消费者、在线商店与银行间的认证。 （4）保证网上交易的实时性。 （5）规范协议和消息格式。 3. SET协议的工作原理 主要包括以下七个步骤： （1）消费者在网上选定的物品，并下电子订单。 （2）通过电子商务服务器与在线商店联系，在线商店作出应答，告诉消费者订单的相关情况。 （3）消费者选择付款方式，确认订单，签发付款指令（此时SET介入）。 （4）在SET中，消费者必须对订单和付款指令进行数字签名。 （5）在线商店接受订单后，向消费者所在银行请求支付认可，批准交易后，返回确认信息给在线商店。 （6）在线商店发送订单确认信息给消费者，消费者端软件可记录交易日志，以备将来查询。 （7）在线商店发送货物或提供服务，并通知收单银行将钱从消费者的账号转移到商店账号，或通知发卡银行请求支付。 4. SET和SSL的区别 事实上，SET是由认证中心与加密技术相结合所产生的一种完全适合电子商务的加密技术协议，安全套接层协议（SSL）加密方法仅仅是实现了传输加密和数据完整性，相当于在两台计算机之间建立一个安全的通道。 SET的技术特点有： （1）对订单信息和支付信息进行双重签名。 （2）采用信息摘要技术保证了交易的完整性。 （3）采用公钥体系和密钥体系结合进行加密，而SSL只采用了公钥体系。 与SSL相比，SET是在应用层上实现了数据的加密和完整性，因此，SET已经成为国际公认的Internet电子商务的安全标准，非常详细地反映了电子交易各方之间存在的各种关系。 SET的购物模式如下图所示。 6.2.4 其他安全协议 1. 安全交易技术协议（STT） 安全交易技术协议（Secure Transaction Technology，简称STT）。由Microsoft公司提出，在Internet Explorer中采用这一技术。 2. NetBill协议 协议步骤如下： （1）客户向商家查询某商品价格。 （2）商家向该客户报价。 （3）客户告知商家他接受该报价。 （4）商家将所请求的信息商品用密钥K加密后发送给客户。 （5）客户准备一份电子采购订单(Electronic Purchase Order，EPO) ，客户将该已数字签名