第5章 电子商务安全
第5章电子商务安全与电子支付
第5章电子商务安全与电子支付5.1电子商务安全概述5.1.1电子商务安全体系1.电子商务硬件安全2.电子商务系统软件安全3.电子商务系统运行安全4.电子商务安全立法1.电子商务硬件安全硬件安全是指保护计算机系统硬件(包括外部设备)的安全,保证其自身的可靠性、为系统提供基本安全机制。
2.电子商务系统软件安全软件安全是指保护软件和数据不被篡改、破坏和非法复制。
软件安全的目标是保证计算机系统逻辑上的安全,主要是使系统中信息的存储、处理和传输满足系统安全策略的要求。
3.电子商务系统运行安全运行安全是指保护系统能连续和正常地运行。
4.电子商务安全立法电子商务安全立法是对电子商务犯罪的约束,它是利用国家机器,通过制定相应的法律和法规,体现与犯罪斗争的国家意志。
5.1.2电子商务安全需求1.信息的保密性2.信息的完整性3.信息的不可否认性4.信息的可用性5.交易身份的真实性6.系统的可靠性(1)网络传输的可靠性(2)数据信息的可靠性5.2电子商务网络安全技术5.2.1网络常用攻击方法HTTPInternet图5-1WWW的工作方式5.2.2网络安全技术1.防火墙技术2.VPN技术3.入侵检测技术1.防火墙技术所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种取得安全性方法的形象说法。
它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成下图是window某p操作系统中自带的软件防火墙。
利用“添加程序”和“添加端口”功能可以控制允许访问该计算机的资源。
图5-2window某p操作系统中自带的软件防火墙2.VPN技术(1)VPN的含义VPN(virtualprivatenetwork),是虚拟专用网的简称。
电子商务交易安全PPT课件
请给 丙汇 100 元
甲 请给 丁汇 100 元 请给 丙汇 100 元
丙
13
四、电子商务安全的特点 电子商务安全是一个系统的概念 电子商务安全是相对的 电子商务安全是有代价的 电子商务安全是发展的、动态的
14
早在公元前2000年前,古埃及人为了保障信息安 全,使用特别的象形文字作为信息编码; 罗马帝国时代,凯撒大帝使用信息编码,以防止 敌方了解自己的战争计划; 一战期间,德国间谍曾依靠字典编写密码,美国 情报部门搜集了所有的德文字典,只用了几天时间 就破译了密码,给德军造成了巨大损失; 二战期间,德国人创建了加密信息的机器-Enigma 编码机,英国情报部门在波兰人的帮助下,于1940 年破译了德国直至1944年还自认为可靠的密码系统, 使德方遭受重大损失; 随着计算机互联网技术的普及,一个新兴产业正 在迅猛兴起—互联网保密技术产业。
16
2、密码系统的构成
明文M 密文C 明文M
加密E
解密D
Ke 加密密钥
Kd 解密密钥
17
密码学
在计算机的信息安全中,解决信息的机密性和完整 性问题的基础是现代密码学。在信息加密、解密过 程中,产生了密码学,它属于保密学的研究范畴, 重点研究消息的变形及合法复现,涉及数学、物理、 计算机、电子学、系统工程、语言学等学科内容。
15
5.2 电子商务安全技术—数据加密技术
一、数据加密技术 1、加密和解密 信息加密技术是指采用数学方法对原始信息进行 再组织,使得加密后在网络上公开传输的内容对于 非法接收者来说成为无意义的文字。加密和解密包 含三个要素: 信息:明文和密文 密钥:用于加密和解密的一些特殊信息,是控制 明文与密文之间变换的关键,可以是数字、词汇或 语句,通常是借助数学算法生成。密钥包括加密密 钥和解密密钥 算法:加密和解密的数学函数,包括加密算法和 解密算法,强的加密算法很难破解。
电子商务法律法规第5章
电子商务法律法规第5章电子商务法律法规第5章第一节电子商务平台责任根据《电子商务法》第五章,电子商务平台在经营活动中需要承担一定的责任和义务。
本节将详细介绍电子商务平台的责任内容。
第一条电子商务平台的主体责任电子商务平台是指提供电子商务交易场所、信息发布和共享、电子支付等服务的经营者。
平台经营者应当依法对其平台上经营的商品或服务的真实性、合法性进行审核和把关,对违法违规行为进行及时处置和整改,并承担相应的法律责任。
第二条电子商务平台的信息公示义务电子商务平台应当在明显位置公示经营者的名称、经营地质、等基本信息,并向用户提供合理便捷的。
第三条电子商务平台的信息发布责任电子商务平台对于发布在其平台上的信息承担的法律责任与发布者相同,应当采取合理措施保护用户个人信息的安全,并禁止发布违法违规信息。
第四条电子商务平台的维权责任电子商务平台应当建立健全维权机制,及时受理用户的投诉和举报,并依法对侵权行为进行调查和处理。
第五条电子商务平台的用户资金安全保障责任电子商务平台应当建立用户资金安全保障制度,确保用户交易资金的安全性。
第二节电子商务交易纠纷解决根据《电子商务法》第五章,电子商务交易纠纷的解决机制包括自愿协商、网络仲裁、诉讼等多种方式。
第六条自愿协商解决电子商务交易纠纷双方可以通过自愿协商的方式解决争议。
协商解决纠纷的过程应当公平、公正、公开。
第七条网络仲裁解决当电子商务交易纠纷无法通过协商解决时,当事人可以选择通过网络仲裁机构进行仲裁。
网络仲裁机构应当依法独立、公正地履行仲裁职责,并对仲裁结果予以执行。
第八条诉讼解决当电子商务交易纠纷无法通过协商或网络仲裁解决时,当事人可以向人民法院提起诉讼。
人民法院应当依法独立、公正地审理电子商务交易纠纷案件,并做出公正的裁决。
第三节电子商务行业监管根据《电子商务法》第五章,电子商务行业需要进行有效监管,严禁虚假宣传、侵犯消费者合法权益等违法违规行为。
第九条电子商务行业的注册管理电子商务经营者应当按照法律规定进行注册,并向相关行政机关报备相关信息。
第五章 电子商务安全技术
5.1.1电子商务中的安全隐患 5.1.1电子商务中的安全隐患
概率高
信息的截获和窃取:如消费者的银行 信息的截获和窃取: 控制 预防 账号、 账号、密码以及企业的商业机密等 I II 影响小 影响大 信息的篡改 III IV 不用理会 保险或 信息假冒:一种是伪造电子邮件, 信息假冒:一种是伪造电子邮件,一 备份计划 种为假冒他人身份 概率低 交易抵赖: 交易抵赖:事后否认曾经发送过某条 风险管理模型 信息或内容
8
3.计算机网络安全技术术 3.计算机网络安全技术术
病毒防范技术 身份识别技术 防火墙技术 虚拟专用网VPN技术 虚拟专用网 技术
9
5.2.2防火墙技术 5.2.2防火墙技术
1.概念 1.概念 防火墙是一种将内部网和公众网如Internet 防火墙是一种将内部网和公众网如Internet 分开的方法。 分开的方法。它能限制被保护的网络与互联网络 之间,或者与其他网络之间进行的信息存取、 之间,或者与其他网络之间进行的信息存取、传 递操作。 递操作。 防火墙可以作为不同网络或网络安全域之间 信息的出入口, 信息的出入口,能根据企业的安全策略控制出入 网络的信息流,且本身具有较强的抗攻击能力。 网络的信息流,且本身具有较强的抗攻击能力。 它是提供信息安全服务, 它是提供信息安全服务,实现网络和信息安 全的基础设施。 全的基础设施。
①防火墙不能组织来自内部的破坏 是根据所请求的应用对访问进行过滤的防火墙。 网关服务器是根据所请求的应用对访问进行过滤的防火墙。网关服
务器会限制诸如Telnet、FTP和HTTP等应用的访问。与包过滤技术不同 、 等应用的访问。 务器会限制诸如 和 等应用的访问 ,应用级的防火墙不是较低的IP层,而是在应用层来过滤请求和登陆。 应用级的防火墙不是较低的 层 而是在应用层来过滤请求和登陆。 代理服务器是代表某个专用网络同互联网进行通信的防火墙, 代理服务器是代表某个专用网络同互联网进行通信的防火墙,类似在股 ③防火墙无法完全防止新出现的网络威胁 东会上某人以你的名义代理你来投票。代理服务器也用于页面缓存。 东会上某人以你的名义代理你来投票。代理服务器也用于页面缓存。
第五章电子商务安全管理
4、为监视互联网安全提供方便。
第五章电子商务安全管理
防火墙的类型
1. 包过滤防火墙:通常安装在路由器上,根据 网络管理员设定的访问控制清单对流经防火 墙信息包的IP源地址,IP目标地址、封装协 议(如TCP/IP 等)和端口号等进行筛选。基 于网络层。
• 常用的防病毒软件
第五章电子商务安全管理
5.2计算机网络安全 5.2.3防火墙软件的使用(实操平台讲解) 5.2.4防病毒软件的使用(实操平台讲解)
第五章电子商务安全管理
5.3商务交易安全 5.3.1电子商务交易安全基础 1、电子商务交易的安全要求
1)信息的保密性。 2)信息的完整性。 3)通信的不变动性。 4)交易各方身份的认证。 5)信息的有效性。
5.3.5网上贸易安全防骗 1.网上银行常用安全手段
1)软键盘输入密码方式 2)ACTIVE X控件输入密码方式 3)动态密码方式 4)数字证书方式
2.网上银行进行安全交易的方法
1)设置、保护好网银密码
第五章电子商务安全管理
2)谨防网络钓鱼 3)定期查询详细交易 4)利用银行提供的各种增值服务 5)配置安全软件
3.第三方支付安全
1)不要看到支持支付宝的产品就放松警惕 2)货到付款注意事项 3)小心实时到账功能
第五章电子商务安全管理
4.网上贸防骗方法
1)验明对方身份 2)通过联系方式判断真伪 3)完善必要的买卖手续 4)汇款注意事项
– 常采用的手段:A利用UNIX提供的缺省账户进 行攻击。B截取口令;C录找系统漏洞;D偷取 特权;E清磁盘。
第五章电子商务安全管理
2)计算机病毒
– 一种恶意破坏用户系统的应用程序。 – 计算机病毒的特点: – 隐蔽性 、传染性 、破坏性 、潜伏性 、可触发
第五章 电子商务安全管理 (全)
5.1 电子商务安全概述 5.2 计算机 网络安全 5.3 商务交易安全 5.4 电子商务系统安全管理制度
朱泽娜
5.1 电子商务安全概述
5.1.1 电子商务安全的重要性
根据近几年来中国互联网络信息中心(CNNIC) 发 布的《中国互联网络发展状况统计报告》,网上交 易的安全性成为大众关注的焦点。 2005 年公布的《中国互联网络发展状况统计报告 》显示,在网上购物最大问题一项中,有34.3 %的 人选择“安全性得不到保障”,在用户选择网上银 行最看重的因素中,有47. 5 %的人选择“交易的 安全性”。
在网络边界上使用代理服务器来保护内部网络。代理 服务器对内部网像一台真的服务器,对互联网来像一 台客户机,代理服务器就像一堵墙挡在内部用户和互 联网之间。
内部网络
代理服 务器
Internet
客户 机
感觉的 连接 实际的 连接
真正的服 务器
代理服务器的工
过滤规则举例
第一条规则:主机10.1.1.1任何端口访问任何主机的任何端口, 基于TCP协议的数据包都允许通过。 第二条规则:任何主机的20端口访问主机10.1.1.1的任何端口, 基于TCP协议的数据包允许通过。 第三条规则:任何主机的20端口访问主机10.1.1.1小于1024的 端口,如果基于TCP协议的数据包都禁止通过。
5.2.1 网络安全威胁的来源
2)计算机病毒
计算机病毒是一种恶意破坏用户系统的应用程序, 它可以在用户未察觉的情况下在计算机间自我复制 和传播。 如Melissa、Iloveyou、红色代码、熊猫烧香
防火墙的类型
1、包过滤----基于网络层的防火墙
电子商务法律法规第5章(一)2024
电子商务法律法规第5章(一)引言概述:第5章《电子商务法律法规》是我国电子商务领域的重要法规之一。
该章主要涵盖了电子商务中涉及的法律法规内容。
本文将以该章为核心,从五个大点展开阐述,包括电子商务合同的订立、电子商务交易的保护、电子商务投诉与争议解决、电子支付的监管和电子商务安全的保护。
正文:一、电子商务合同的订立1. 确定电子商务合同的基本要素2. 确认电子商务合同的法律效力3. 约定电子商务合同的履行方式4. 规范电子商务合同的撤销和解除5. 保护消费者的权益二、电子商务交易的保护1. 确保交易安全和隐私保护2. 禁止虚假广告和欺诈行为3. 规范电子商务运营者的责任和义务4. 加强电子商务商品质量监管5. 加大对违法行为的处罚力度三、电子商务投诉与争议解决1. 建立电子商务投诉与争议解决机制2. 提供便捷的投诉渠道和解决途径3. 鼓励和推广网络调解、仲裁和诉讼4. 提供公正、高效的争议解决平台5. 加强对争议解决结果的执行力度四、电子支付的监管1. 确立电子支付的合法性和有效性2. 加强对电子支付机构的监管3. 规范电子支付的技术标准和安全要求4. 加强对电子支付业务的风险管理5. 提升电子支付的便利性和安全性五、电子商务安全的保护1. 建立健全电子商务安全管理制度2. 加强对电子商务平台的安全监控3. 提升电子商务交易的风险防范和识别能力4. 提供权威、及时的安全警示和预警服务5. 加强对电子商务安全违法行为的打击和处罚总结:第5章《电子商务法律法规》涵盖了重要的电子商务法律法规内容,对于促进电子商务的健康发展具有重要意义。
本文从电子商务合同的订立、电子商务交易的保护、电子商务投诉与争议解决、电子支付的监管和电子商务安全的保护等五个大点进行了阐述。
在电子商务领域,我们应积极遵守相关法规,促进电子商务环境的良性发展,为推动数字经济发展作出贡献。
第5章 公钥基础设施PKI 《电子商务安全》PPT课件
书,如商家证书和服务器证书等的密钥
一般由专用程序或CA中心直接产生,这
样产生的密钥强度大,适合重要的应用
场合。
电子商务安全
公钥基础设施概述 PKI发展历程
PKI公钥基础设施的含 义
密钥管理与信任模式 密钥的管理
密钥分配技术 密钥控制技术
信任模式
PKI的体系结构 PKI体系
CA体系结构 PKI系统
数字证书与认证过程 数字证书 认证过程
用户证书在安全电子 商务交易中的应用
本章小结
第5章 公钥基础设施PKI
密钥管理的内容
(3)密钥的分发。密钥的分发指密 钥的分配和发送。分配是指产生并获 得密钥的过程; 密钥的发送分集中发送和分散发送两 类。集中发送是指将密钥整体传送, 这时需要使用主密钥来保护会话密钥 的传送,并通过安全渠道传递主密钥。 分散传递是指将密钥分解成多个部分, 用秘密分享的方法传递,只要有部分 到达就可以恢复,这种方法适用于在 不安全的信道中传输。
电子商务安全
公钥基础设施概述 PKI发展历程
PKI公钥基础设施的含 义
密钥管理与信任模式 密钥的管理
密钥分配技术 密钥控制技术
信任模式
PKI的体系结构 PKI体系
CA体系结构 PKI系统
数字证书与认证过程 数字证书 认证过程
用户证书在安全电子 商务交易中的应用
本章小结
第5章 公钥基础设施PKI
5.1.2 PKI公钥基础设施的含义
PKI是解决信任和加密问题的基本解决方案,实际
上也就是密钥管理的一个解决方案。密钥管理是数
据加密技术中的重要一环。密钥管理的目的是确保
密钥的安全性、真实性和有效性。
密钥管理的目的
电子商务安全技术课件PPT(33张)
2、电子商务的安全要素 (1)完整性 (2)机密性 (3)不可否认性 (4)真实性 (5)可靠性 (6)可用性
三、我国电子商务安全的现状 1、基础技术相对薄弱 2、体系结构不完整 3、支持产品不过硬 4、多种“威胁”纷杂交织、频频发
生
第二节 网络安全技术
一、操作系统安全
操作系统是计算机的核心软件,操作 操作系统是计算机的核心软件,操作系统的安全对计算机的安全起着至关重要的作用,操作系统的安全性主要是对外部攻击的防范,
(二)VPN的优势 安全通道 低成本 可扩展性 灵活性 便于管理服务质量保证
四、病毒防范技术
(一)计算机病毒定义
计算机病毒是一种人为编制的程序或 指令集合,这种程序能潜伏在计算机系统 中,并通过自我复制传播和扩散,在一定 条件下被激活,给计算机带来故障和破坏。
(二)计算机病毒的分类
引导区病毒、文件型病毒、复合型病毒、 宏病毒、特洛伊木马、蠕虫及其他病毒
(三)计算机病毒的特点 隐蔽性、传染性、潜伏性、 可激发性、 破坏性
(四)计算机病毒的防治方法 邮件; 4、使用外来磁盘前先查杀病毒; 5、备份重要数据。
第三节 信息安全技术
一、密码学概述 将明文数据进行某种变换,使其成为
不可理解的形式,这个过程就是加密,这种 不可理解的形式称为密文。解密是加密的逆 过程,即将密文还原成明文。
攻击的防范,保证数据的保密性、完整性 密钥是加密和加密所需的一串数字。
2、系统安全性攻击。 (1)从证书的使用者分类:
和可用性。 灵活性 便于管理 服务质量保证
5、备份重要数据。 一、电子商务安全的概念 (5)可靠性
(一)操作系统安全分类 (4)真实性
颁发数字证书单位的数字签名;
电子商务交易安全习题答案
电子商务交易安全习题答案Document serial number【UU89WT-UU98YT-UU8CB-UUUT-UUT108】《电子商务》习题集第5章电子商务交易安全一.单项选择题1. 下列选项中不属于电子商务过程中买家面临的问题的是: (C)A. 付款后不能收到商品B. 机密性丧失C. 没有隐私D.拒绝服务2. “也许网络的另一端是一只狗”这句话指出了如下电子商务中的哪一个安全需求:(C)A. 信息传输的保密性B. 交易文件的完整性C. 交易者身份的真实性D. 信息的不可否认性3. 古罗马时代使用的“凯撒密码”算法属于: (A)A. 通用密钥密码体制B. 非通用密钥密码体制C. 公开密钥体制 C. 非公开密钥体制4. 下列属于对称密钥加密算法的是: (B)A. RSAB. DESC. DSAD. RST5. 公开密钥密码体制中私钥与公钥之间有着一种: (C)A. 对称关系B. 非对称关系C. 特殊的数学关系D. 相关性6. 下列属于公开密钥密码体制的算法的是: (A)A. RSAB. DESC. DSAD. RST7. 下列技术能实现对电子文件发表时间的安全保护的是: (D)A. RSAB. DESC. DSAD. DTS8. 下列与数字证书无关的是: (C)A. 数字凭证B. 数字标识C. 数字符号D.9. SSL协议对于电子商务应用的劣势主要是无法保证: (C)A. 信息的真实性B. 信息的完整性C. 信息的不可否认性D. 信息的保密性10. 在SET协议定义的三个交易阶段中,与每个阶段都有关联的只有:(C)A. 用户B. 银行C. 商家D. 中间平台11. SET协议没有担保(B),这意味着在线商店没有办法证明订购是不是由签署证书的买方发出的。
A. 拒绝行为B. 非拒绝行为C. 授权行为D. 非授权行为12. SET安全协议版面世的时间是: (C)A. 1996年3月B. 1997年3月C. 1996年4月D. 1997年4月13. 通常,完成一个SET协议交易过程需花费(B),甚至更长的时间。
电子商务安全 第5章 认证机构CA
5.1.1证书的申请
金融CA电子证书的申请,分为:
个人普通证书的申请 Web证书的申请 企业高级证书的申请 SET证书的申请 证书的申请也称注册。
金融CA证书申请的前提条件
(1)证书申请者必须在某商业银行开有账户。 (2)证书申请必须具有唯一的身份证号码或工商 营业执照号码,或全国机构代码。 (3)证书申请必须具有电子邮件地址。 (4)各商业银行总行应具有PKI管理能力,设管 理官员;各商业银行总行应拥有一个证书申请 注册机构RA( Registration Authority)及多个分 支机构的证书申请受理点LRA(Local Registration Authority)。 (5)各个PKI实体之间可以进行基于TCP/IP的通 信。
Web证书,即个人证书,申请方式可通过 在线或离线方式:
在线申请方式即客户通过因特网使用浏览器 连接到商业银行网站并下载一个浏览器专用 的客户端软件,做好填写申请信息的准备 离线方式即客户持有效证件(身份证、信用卡 等),填写申请表格中的有关信息。
4.企业高级证书的申请
企业高级证书的申请只能以面对面的方式 进行,企业负责人到他们所在的商业银行 开户行所设置的注册申请机构RA进行申 请,企业高级证书申请者需提供一张证明 企业法人身份的证明、营业执照及电子邮 件地址等。
5.1.4证书的归档及撤消
CA所发证书要定期归档,以备查询。除用于用 户的签名密钥外,对证书所有数据信息,都要 进行归档处理。 CA使用符合LDAP X.500标准的目录服务器系 统存储证书和证书的撤消列表。 目录和数据库备份,可以根据组织机构的安全 策略执行归档,最长时间可达7年保存期。 数据库还保存审计和安全记录。 对于用户密钥对,金融CA是通过专用程序自动 存储和管理密钥历史及密钥备份。
第5章电子商务交易安全习题答案
第5章电⼦商务交易安全习题答案《电⼦商务》习题集第5章电⼦商务交易安全⼀.单项选择题1. 下列选项中不属于电⼦商务过程中买家⾯临的问题的是: (C)A. 付款后不能收到商品B. 机密性丧失C. 没有隐私D.拒绝服务2. “也许⽹络的另⼀端是⼀只狗”这句话指出了如下电⼦商务中的哪⼀个安全需求:(C)A. 信息传输的保密性B. 交易⽂件的完整性C. 交易者⾝份的真实性D. 信息的不可否认性3. 古罗马时代使⽤的“凯撒密码”算法属于: (A)A. 通⽤密钥密码体制B. ⾮通⽤密钥密码体制C. 公开密钥体制 C. ⾮公开密钥体制4. 下列属于对称密钥加密算法的是: (B)A. RSAB. DESC. DSAD. RST5. 公开密钥密码体制中私钥与公钥之间有着⼀种: (C)A. 对称关系B. ⾮对称关系C. 特殊的数学关系D. 相关性6. 下列属于公开密钥密码体制的算法的是: (A)A. RSAB. DESC. DSAD. RST7. 下列技术能实现对电⼦⽂件发表时间的安全保护的是: (D)A. RSAB. DESC. DSAD. DTS8. 下列与数字证书⽆关的是: (C)A. 数字凭证B. 数字标识C. 数字符号D. X.5099. SSL协议对于电⼦商务应⽤的劣势主要是⽆法保证: (C)A. 信息的真实性B. 信息的完整性C. 信息的不可否认性D. 信息的保密性10. 在SET协议定义的三个交易阶段中,与每个阶段都有关联的只有: (C)A. ⽤户B. 银⾏C. 商家D. 中间平台11. SET协议没有担保(B),这意味着在线商店没有办法证明订购是不是由签署证书的买⽅发出的。
A. 拒绝⾏为B. ⾮拒绝⾏为C. 授权⾏为D. ⾮授权⾏为12. SET安全协议1.0版⾯世的时间是: (C)A. 1996年3⽉B. 1997年3⽉C. 1996年4⽉D. 1997年4⽉13. 通常,完成⼀个SET协议交易过程需花费(B),甚⾄更长的时间。
电子商务概论第五版周曙东 第5章
22
电子商务概论
5.2.3服务器安全
服务器需要对外提供特定的功能服务,所以服务器安全的 关键之一就是对各种服务进行控制与管理。可以通过安装 防火墙和入侵检测系统来加强服务器安全管控。
1)防火墙
防火墙是指在两个网络之间加强访问控制的一个保护 装置,强制所有的访问和连接都必须经过这个保护层,并在 此进行连接和安全检查。只有合法的数据包才能通过此保护 层,从而保护内部网资源免遭非法入侵。
5
5.1.1 电子商务的安全现状
电子商务概论
通过对2017年遭遇网上诈骗的用户的进一步调查发现,虚 拟中奖信息诈骗依然是受众最为广泛的网上诈骗类型,在 遭遇网络诈骗的用户中占比达到70.5%,其次为利用社交 软件冒充好友进行诈骗,占48.4%,但这两类诈骗行为的 占比较2016年均有所下降,而遇到网络兼职诈骗、网络购 物诈骗、虚拟招聘信息诈骗、钓鱼网站诈骗的用户较2016 年略有升高。
7
电子商务概论
5.1.2 电子商务安全的要素
可靠性
真实性
机密性 完整性 不可否认性
交易的真实性是指商务活动中交易者 身份是真实有效的,也就是要确定交 易双方是真实存在的。真实性通常采 用电子签名技术、数字证书来实现。
8
电子商务概论
5.1.2 电子商务安全的要素
可靠性 真实性
机密性
完整性 不可否认性
4
5.1.1 电子商务的安全现状
电子商务概论
一般来说,电子商务中必须重视的问题还包括如何确保交 易过程的安全,如何保证电商活动中隐私数据的安全等。
中国互联网络信息中心(CNNIC)在2018年3月发布的第 41次《中国互联网络发展状况统计报告》显示:“2017年 我国网络安全整体保持平稳态势,但用户信息泄露、网络 黑客勒索和通讯信息诈骗等问题仍频繁出现。” 2017年我 国网民在上网过程中遇到安全问题的比例明显下降, 47.4%的网民表示在在过去半年中并未遇到过任何网络安 全问题,较2016年提升了17.9个百分点。各类安全问题中, 个人信息泄露问题占比最高,达到27.1%,网上诈骗成为 占比第二高的类别,达到26.6%,设备中病毒或木马占比 21.8%,账号或密码被盗网民占比为18.8%。
第5章,电子商务安全
典型PKI系统
• 注册机构(registration authority RA) • 认证中心(certificate authority CA) • 证书库(certificate repository CR) • 证书信任方 • 证书申请者
核心
参与者
5.5
电子商务支付安全
SSL协议(安全套接层协议 )
Server
Internet
内部网
代理服务
选用和建立合适的防火墙系统
• 防火墙并不能对企业内部网络进行全面的
保护 • 必须与企业整体安全防护措施、其他网络 安全技术相结合才能更好地发挥作用
5.3
电子商务数据传输安全保障技术
数据加密
采用数学方法对原始信息(明文)进行再组织,使 得加密后在网络上公开传输的内容对于非法接 受者来说是无意义的文字(密文),对于合法接收 者,因为掌握正确地密钥,可以通过解密过程得 到原始数据(明文) • 加密 • 解密 • 密钥
• SSL协议工作原理
利用认证技术识别各自的身份 利用加密技术保证通道的保密性 利用数字签名技术保证信息传送的完整性
• SSL协议的安全交易过程 • SSL协议的优点和缺点
SSL协议工作原理
• 协议分为两层 • TLS记录协议
– 底层:TLS记录协议- TLS Record Protocol – 上层:TLS握手协议- TLS Handshake Protocol 、TLS密码变化协议Change Cipher Spec Protocol 、TLS警告协议-Alert Protocol – 建立在可靠的传输协议(如TCP)之上 – 它提供连接安全性,有两个特点 – 用来封装高层的协议
加密技术的主要分类
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5.3 信息认证技术
5.3.1 身份认证 身份认证是指计算机及网络系统确认操作者身份的过 程。计算机和计算机网络组成了一个虚拟的数字世界。在 数字世界中,一切信息(包括用户的身份信息)都是由一 组特定的数据表示的,计算机只能识别用户的数字身份, 给用户的授权也是针对用户数字身份进行的。而我们的生 活从现实世界到一个真实的物理世界,每个人都拥有独一 无二的物理身份。
第五章 电子商务安全
第五章 电子商务安全
熟悉电子商务安全的含义
了解目前常见的电子商务安全威胁
学 习 目 标
掌握电子商务安全的需求 了解电子商务安全常见的技术 了解电子商务安全协议
2015-2-27
2
5.1 电子商务安全概述
电子商务的一个重要技术特征是利用 IT技术来传输和处 理商业信息。因此,电子商务安全从整体上可分为两大部分 :计算机网络安全和商务交易安全。 计算机网络安全的内容包括:计算机网络设备安全、计 算机网络系统安全和数据库安全等。其特征是针对计算机网 络本身可能存在的安全问题,实施网络安全增强方案,以保 证计算机网络自身的安全性。
图5-6 两种加密组合使用
5.3 信息认证技术
在电子商务中,由于参与的各方往往是素未谋面的, 身份认证成了必须解决的问题,即在电子商务中,必须解 决不可抵赖性问题。交易抵赖包括多个方面,如发言者事 后否认曾经发送过某条信息或内容,收信者事后否认曾经 收到过某条消息或内容,购买者做了订货单不承认,商家 卖出的商品因价格差而不承认原有的交易等。电子商务关 系到贸易双方的商业交易,如何确定要进行交易的贸易方 正是所期望的贸易伙伴这一问题则是保证电子商务顺利进 行的关键。
5.3 信息认证技术
5.3.1 身份认证
3. 动态口令
动态口令技术是一种让用户密码按照时间或使用次 数不断变化、每个密码只能使用一次的技术。用户使用时 只需要将动态令牌上显示的当前密码输入客户端计算机, 即可实现身份认证。由于每次使用的密码必须由动态令牌 来产生,只有合法用户才持有该硬件,所以只要通过密码 验证就可以认为该用户的身份是可靠的。而用户每次使用 的密码都不同,即使黑客截获了一次密码,也无法利用这 个密码来仿冒合法用户的身份。
5.3 信息认证技术
5.3.1 身份认证
B Key认证
基于USB Key的身份认证方式是近几年发展起来的 一种方便、安全的身份认证技术。它采用软硬件相结合、 一次一密的强双因子认证模式,很好地解决了安全性与易 用性之间的矛盾。USB Key是一种USB接口的硬件设备, 它内置单片机或智能卡芯片,可以存储用户的密钥或数字 证书,利用USB Key内置的密码算法实现对用户身份的认 证。USB Key的硬件和PIN码构成了可以使用证书的两个 必要因素。如果用户PIN码被泄漏,只要USB Key本身不 被盗用即安全。黑客如果想要通过破解加密狗的方法破解 USB Key,那么需要先偷到用户USB Key的物理硬件,而 这几乎是不可能的。
5.2 信息加密技术
5.2.1 密码学概述
一般的数据加密模型如图 5-1 所示,它是采用数学方 法对原始信息(明文)进行再组织,使得加密后在网络上 公开传输的内容对于非法者来说成为无意义的文字(密文 ),而对于合法的接收者,由于掌握正确的密钥,可以通
过访问解密过程得到原始数据。
密码学分为两类:密码编码学和密码分析学。
5.3 信息认证技术
5.3.2 数字摘要与数字签名
发送方的私钥
数字签名 信息摘要 RSA私钥加密 明文
图5-7 生成数字签名流程
5.3 信息认证技术
5.3.2 数字摘要与数字签名
图5-8 数字签名的过程示意
5.3 信息认证技术
5.3.3 数字信封与数字时间戳
1. 数字信封
数字信封是用加密技术来保证只有特定的收信人才 能阅读信的内容。在数字信封中,信息发送方采用对称密 钥来加密信息,为了能安全地传输对称密钥,将对称密钥 使用接收方的公开密钥来加密(这部分称为“数字信封” )之后,将它和对称加密信息一起发送给接收方,接收方 先用相应的私有密钥打开数字信封,得到对称密钥,然后 使用对称密钥解开信息。采用数字信封技术后,即使加密 文件被他人非法截获,截获者由于无法得到发送方的通信 密钥,也不可能对文件进行解密。
5.3 信息认证技术
5.3.2 数字摘要与数字签名
2.数字签名
在传统的交易中,我们是用书面签名来确定身份的 。在书面文件上签名的作用有两点,一是确定为自己所签 署难以否认;二是因为签名不易仿冒,从而判断文件是否 为非伪造签署文件。随着电子商务的应用,人们希望通过 数字通信网络迅速传递贸易合同,这就出现了合同真实性 认证的问题,数字签名就应运而生了。
图 5-2 对称加密、解密过程
5.2 信息加密技术
5.2.2 对称密钥系统 对称密钥系统的安全性依赖于两个因素:第一,加密 算法必须是足够强的,仅仅基于密文本身去解密信息在实 践上是不可能的;第二,加密方法的安全性依赖于密钥的 秘密性,而不是算法的秘密性。密码学的一个原则是“一 切秘密寓于密钥之中”,算法可以公开,因此,我们没有 必要确保算法的秘密性,而需要保证密钥的秘密性。对称 密钥系统的这些特点使其有着广泛的应用。
2015-2-27
4
5.1 电子商务安全概述
5.1.2 电子商务的安全威胁及主要的安全技术 电子商务的安全威胁包括:信息在网络的传输过程中被 截获、传输的文件被篡改、假冒他人身份、不承认已经做过 的交易、抵赖、非法访问和计算机病毒等。 电子商务的主要安全技术包括:加密技术、认证技术、 数字签名、安全套接字协议(SSL)和安全电子交易规范( SET)。
5.3 信息认证技术
5.3.4 数字证书
2.数字证书的应用
数字证书由CA颁发,并利用CA的私钥签名。CA中 心所发放的数字安全证书可以应用于公众网络上的商务和 行政作业活动,包括支付型和非支付型电子商务活动,其 应用范围涉及需要身份认证及数据安全的各个行业,包括 传统的商业、制造业、流通业的网上交易,以及公共事业 、金融服务业、科研单位和医疗等网上作业系统。它主要 应用于网上购物、企业与企业的电子贸易、网上证券交易 和网上银行等方面。 CA中心还可以与企业代码中心合作 ,将企业代码证和企业数字安全证书一体化,为企业网上 交易、网上报税和网上作业奠定基础。数字证书广泛应用 ,对网络经济活动有非常重要的意义。
5.3 信息认证技术
5.3.3 数字信封与数字时间戳
图5-9 数字信封的生成
5.3 信息认证技术
5.3.3 数字信封与数字时间戳5-10 数字信封的解除
5.3 信息认证技术
5.3.3 数字信封与数字时间戳
2.数字时间戳
在电子交易中,需对交易文件的日期和时间采取安全 措施,而数字时间戳就能提供电子文件发表时间的安全保 护。数字时间戳服务(DTS)是网络安全服务项目,由专 门的机构提供。时间戳是一个经加密后形成的凭证文档, 它包括3个部分:需加时间戳的文件的摘要、 DTS收到文 件的日期和时间、DTS的数字签名。DTS的过程为:用户 将需要加上时间的文件生成文件摘要,然后将摘要传给 DTS服务机构;DTS将收到的摘要加上时间,再用自己的 私钥进行加密;最后将加有时间和数字签名的文件发回给 客户,完成数字时间戳的服务过程。
2015-2-27
3
5.1 电子商务安全概述
5.1.1 电子商务安全要素 由于电子商务是在互联网环境下进行的商务活动,交易 的安全性、可靠性和匿名性一直是人们在交易活动中最为关 注的问题。因此,为了保证电子商务整个交易活动的顺利进 行,电子商务系统必须具备以下几个安全要素: 有效性和真实性 机密性和隐私权 数据的完整性 可靠性和不可抵赖性 审查能力
5.3 信息认证技术
5.3.1 身份认证
2.生物学特征
生物学特征认证是指采用每个人独一无二的生物学 特征来验证用户身份的技术。常见的有指纹识别、虹膜识 别等。从理论上说,生物学特征认证是最可靠的身份认证 方式,因为它直接使用人的生理特征来表示每个人的数字 身份,不同的人具有不同的生物学特征,因此几乎不可能 被仿冒。
5.3 信息认证技术
5.3.1 身份认证
1.密码方式
密码方式是最简单也是最常用的身份认证方法,是 基于“what you know”的验证手段。每个用户的密码是由 用户自己设定的,只有用户自己才知道。只要能够正确输 入密码,计算机就认为操作者是合法用户。由于密码是静 态的数据,在验证过程中需要在计算机内存中和网络中传 输,而每次验证使用的验证信息都是相同的,很容易被驻 留在计算机内存中的木马程序或网络中的监听设备截获。 因此密码方式是一种不安全的身份认证方式。
5.2 信息加密技术
5.2.2 对称密钥系统 DES算法大致可以分成四个部分:初始置换、迭代过 程、逆置换和子密钥生成。
64位明文输入 初始置换P L0 + L1=R0 + L2=R1 + L15=R14 + R16=L15⊕f(R15,K16) f L16=R15 f R15=L14⊕f(R14,K15) K16 f R2=L1⊕f(R1,K2) Kn f R1=L0⊕f(R0,K1) K2 R0 K1
5.2 信息加密技术
5.2.1 密码学概述
图5-1 数据加密模型
5.2 信息加密技术
5.2.2 对称密钥系统 对称密钥系统,又称单钥密钥系统或密钥系统,是指 在对信息的加密和解密过程中使用相同的密钥。也就是说 ,私钥密钥就是将加密密钥和解密密钥作为一把密钥。对 称加密、解密的过程如图5-2所示。
5.3 信息认证技术
5.3.3 数字信封与数字时间戳
图5-11 数字时间戳的使用
5.3 信息认证技术
5.3.4 数字证书
1. 数字证书的含义
数字证书就是网络通信中标志各通信方身份信息的 一系列数据,其作用类似于现实生活中的身份证。它是由 权威机构发行的,人们可以在交往中用它来识别对方的身 份。 数字证书的内容由 6 个部分组成:用户的公钥、用 户名、公钥的有效期、CA颁发者(颁发数字证书的CA) 、数字证书的序列号、颁发者的数字签名。