第10章电子商务安全技术.pptx

第十章 电子商务安全技术;案例;CNNIC调查结果（2003年1月）;学习目标;学习内容;10.1 电子商务安全隐患与类型; 10.1.3 电子安全交易的基本要求;10.2 电子商务安全体系;信息系统安全层次模型;一、二、三层：信息、软件、网络安全; 对自然灾害防范：防火、防水、防地震。如：建立备份中心; 防范计算机设备被盗：固定件、添加锁、设置警铃、购置柜机、系统外人员不得入内等; 尽量减少对硬件的损害：不间断电源、消除静电、系统接地等.; 管理制度的建立与实施 包括运行与维护的管理规范、系统保密管理的规章制度、安全管理人员的教育培训、制度的落实、职责的检查等方面内容。 法律制度与道德规范 要求国家制定出严密的法律、政策，规范和制约人们的思想和行为，将信息系统纳入规范化、法制化和科学化的轨道。有关的条例有：《中华人民共和国计算机信息系统安全保护条例》、?《计算机信息系统保密管理暂行规定》等。;10.3 电子商务安全技术;信息加密技术;10.3 电子商务安全技术; 部分告之：在网上交易中将最关键的数据略去，再告之。 另行确认：交易后，用电子邮件对交易进行确认。 在线服务：用企业提供的内部网来提供联机服务。;10.3.1 数字加密技术;1 对称密钥密码体系;对称加密和解密的示范;2. 非对称密钥密码体系;RSA算法;RSA算法;RSA算法;RSA算法;3. 数字签名技术;数字签名;4. 数字信封;数字签名应该确定以下两点：;10.3.2 防火墙;包过滤型防火墙;双宿网关防火墙;屏蔽主机防火墙;屏蔽子网防火墙;3、防火墙的安全策略及局限性;10.3.3 电子商务安全协议;10.3.3 电子商务安全协议; SSL是Netscape公司率先采用的一种网络安全协议，它能把在网页和服务器之间的传输数据加密。这种加密措施能够防止资料在传输过程中被窃取。SSL可以被理解成一条受密码保护的通道。通道的安全性取决于协议中采用的加密算法。 SSL是介于HTTP协议与TCP协议之间的一个可选层。协议分两部分：握手协议和记录协议。其中握手协议用于协商密钥，记录协议定义了传输的格式。;? SSL记录协议基本特点: 连接是专用的； 连接是可靠的。 ? SSL握手协议基本特点: 能对通信双方的身份的认证； 进行协商的双方的秘密是安全的； 协商是可靠的。; SSL客户端（TCP的客户端）在TCP连接建立后，发出一个消息，该消息中包含了SSL可实现的算法列表和其他一些必要的消息。SSL的服务器端将回应一个消息，其中确定了该次通信所要用的算法，然后发出服务器的证书（包含身份和公钥），客户端在收到该消息后会生成一个秘密消息，并用SSL服务器的公钥加密后传回服务器。服务器用自己的私钥解密后，会话密钥协商成功，则双方可以用同一份会话密钥通信了。; SET协议是由VISA和MasterCardr开发，是为了在Internet上进行在线交易时保证用卡支付的安全而设立的一个开放的规范。已形成了事实上的工业超标准，目前已获得互联网工程任务组标准的认可。;?个人账号信息与订单信息的隔离。 ?商家只能看到定货信息,而看不到持卡人的帐户信息。 ?对交易者的身份进行确认和担保。 ?持卡人、商家和银行等交易者通过第三方权威机构的身份认证服务。 ?统一协议和报文的格式。 ?使不同厂家开发的软件能相互兼容。;SET保证了商家的合法性，并且用户的信用卡号不会被窃取。 SET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑。 SET可以用在系统的一部分或者全部。;消费者 发卡机构 商家 银行 支付网关;⑴消费者在商家的WEB主页上查看在线商品目录浏览商品； ⑵消费者选择要购买的商品； ⑶消费者填写订单； ⑷消费者选择付款方式。此时SET开始介入； ⑸消费者发送给商家一个完整的订单及要求付款的指令； ⑹商家接受订单后，向消费者的金融机构请求支付认可； ⑺商家发送订单确认信息给顾客； ⑻商家给顾客装运货物或完成订购的服务； ⑼商家从消费者的金融机构请求支付． ;SET协议的工作原理;10.4 数字证书与CA认证中心;10.4.1 数字证书;一个标准的X.509数字证书内容 ? 证书的版本信息； ? 证书的序列号，每个证书都有一个唯一的证书序列号； ? 证书所使用的签名算法； ? 证书的发行机构名称，命名规则一般采用X.500格式； ? 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049； ? 证书所有人的名称，命名规则一般采用X.500格式； ?