《电子商务安全与实训》--8章.pptVIP

* 第八章电子商务的安全认证体系 * * 【案例导入】 黑客侵入全球最大酒店网站——800万客户资料外泄 2008年08月26日，全球最大连锁酒店集团“最佳西方(Best Western)”宣布，其网上预约系统遭黑客入侵，据报过去12个月曾入住该集团酒店的800万名顾客资料可能外泄。 * * 据香港《文汇报》报道，一份报纸最先报道了这则消息，“最佳西方”集团则在24日晚证实事件。被盗资料包括住址、电话及信用卡资料，并已在一个由俄罗斯黑帮控制的地下网站出售，估计黑市价值28亿英镑。 据报入侵者来自印度，他利用木马程序入侵集团计算机盗取资料。集团发言人表示，黑客“应该”不会掌握到所有顾客资料，他又表示已与信用卡公司合作，防止信用卡资料被滥用。 * * 因此，必须建立以“信任”为主题的互联网信任环境。从1995年互联网走进中国到现在，互联网以人们无法想像的速度和张力淹没了我们的工作和生活，它的触角渗透到各个领域。无论是政治、经济和社会还是科技、教育和文化，互联网都是一股无形的力量，它推动着一切往前走。因此互联网的真实性和可信度对我们已经越来越重要。 * * CNNIC刚刚发布的《第20次中国互联网络发展状况统计报告》显示，互联网信息渠道的代表性应用 ——网络新闻和搜索引擎的网民使用比例已达3/4（76.3％），可以看到，网民对于互联网整体信任度有了较大提高，对互联网环境持乐观态度。而之前支付宝举办了国内首个以信任为主题的互联网信任环境调查，调查结果显示，69%的网民认为互联网可信度很高，把互联网作为获取信息的主要渠道，对其日常消费行为起到决定性参考，另有27%的网民认为互联网可以作为日常行为的参考。 * * 《相互信任》 互联网是真实世界的一个延伸，在这里，我们同样需要建立一个相互“信任”的环境，使得我们的网络变得生活更“简单”。 建立一个可以“相互信任”的互联网环境，是一个漫长而艰巨的工程，虽然在互联网生态链中，支付宝只是其中一个环节，但是支付正是电子商务的安全认证体系重要支撑力量。 * * 8.1 身份认证与认证体系 身份认证作为网络安全中的一种重要技术手段，其作用是一方面能够保护网络中的数据和服务不会被未授权的用户所访问，另一方面是能够保障有足够的信息进行双方身份的确认。只有这样，商家才能放心地开展电子商务业务。 * * 身份认证的概念 电子商务是互联网应用的重要趋势之一，也是国际金融贸易中越来越重要的经营模式之一，以后会逐渐地成为我们经济生活中一个重要的部分，安全是保证电子商务健康有序发展的关键因素，也是目前大家十分关注的话题 * * 身份认证一般是通过对被认证对象（人或事）的一个或多个参数进行验证，从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系，最好是唯一对应的。比如银行的自动取款机（ATM）可将现款发放给经它正确识别的账号持卡人。常用的参数有口令、标识符、随机数、密钥或人的生理特征参数如指纹、声纹、视网膜纹等，身份认证是许多应用系统的第一道防线，可以鉴别出和排除非法访问。 * * 身份识别 身份认证又称为身份识别，它是数字签名技术和身份鉴别技术的一个重要的应用领域。在当今网络应用环境中，网络资源的安全性保障通常采用基于用户身份的资源访问控制策略。身份认证的作用就是对资源使用者即用户的身份进行鉴别。它是网络安全管理的重要基础之一。身份识别技术使得被识别人让对方能够识别出自己的真正身份，以使其合法权益得到保障。 * * 目前，身份认证的内容包括：认证、授权和审计。 1、认证（Authentication）：在进行任何操作之前必须有有效的方法来识别操作执行者的真实身份。认证又称为鉴别、确认。身份认证主要是通过表示和鉴别用户的身份，防止攻击者假冒合法用户获取访问权限。 2、授权（Authorization）：授权是指当用户身份被确认合法后（即通过认证），赋予该用户操作文件和数据等的权限。赋予的权限包括读、写、执行及从属权。 3、审计（Auditing）：每一个人都应该为自己所作的操作负责，所以在事情完成后都应该有记录，以便核查责任。 * * 日常生活中，人们的身份主要是通过各种证件来确认的，比如身份证、户口簿、军官证，驾驶证等。在计算机网络系统中，各种资源（如文件、数据等）也要求有一定的保证机制来确保这些资源被应该使用的人使用。身份认证通常是许多应用系统中安全保护的第一道防线，它的失败可能导致整个系统的失败。 * * 8.1.2 身份认证的分类 被认证方根据不同的凭证信息来证明自己的身份，根据个人信息的不同我们可以将身份认证分为以下三大类： * * 基于个人生物特征的身份认证：个人特征可以是指纹、掌纹、面孔、声音、视网膜血管图、虹