大学行政管理电子商务第7章

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,Network Optimization Expert Team,第七章 电子商务安全,电子商,务,务的安,全,全目标,电子商,务,务安全,技,技术,电子商,务,务的安,全,全管理,本章主,要,要内容,第一节,电,电子,商,商务的,安,安全目,标,标,一、电,子,子商务,面,面临的,威,威胁,二、电,子,子商务,安,安全的,目,目标,1.,黑,黑客攻,击,击,2.,搭,搭线,窃,窃听,3.,伪,伪装,身,身份,4.,信,信息泄,密,密、篡,改,改、销,毁,毁,5.,间,间谍软,件,件袭击,6.,网,网络钓,鱼,鱼,一、电,子,子商务,面,面临的,威,威胁,二、电,子,子商务,安,安全的,目,目标,完整性,保密性,可靠性,不可否,认,认性,安全目,标,标,真实性,第二节,电,电子,商,商务安,全,全技术,一、加,密,密技术,二、认,证,证技术,三、安,全,全协议,四、防,火,火墙技,术,术,一、加,密,密技术,1.对称加,密,密体制,的,的工作,过,过程(如图所,示,示）,（一）,对,对称,加,加密体,制,制,2.对称加,密,密体制,的,的优点,与,与缺点,1）算法,简,简单，,系,系统开,销,销小；,2）加密,数,数据效,率,率高，,速,速度快,；,；,3）适合,加,加密大,量,量数据,。,。,1）密钥,难,难以共,享,享；,2）管理,密,密钥有,困,困难；,3）无法,实,实现数,字,字签名,和,和身份,验,验证；,4）密钥,的,的分发,是,是加密,体,体系中,最,最薄弱,、,、风险,最,最大的,环,环节。,优点,缺点,3.对称加,密,密体制,的,的算法,DES,（,（DataEncryption Standard）是,一,一个对,称,称的分,组,组加密,算,算法。,DES,算,算法以64位,为,为分组,进,进行明,文,文的输,入,入，在,密,密钥的,控,控制下,产,产生64位的,密,密文；,反,反之输,入,入64,位,位的密,文,文，输,出,出64,位,位的明,文,文。它,的,的密钥,总,总长度,是,是64,位,位，因,为,为密钥,表,表中每,个,个第8,位,位都,用,用作奇,偶,偶校验,，,，所以,实,实际有,效,效密钥,长,长度为56位,。,。,DES,算,算法可,以,以通过,软,软件或,硬,硬件实,现,现。,（二）,非,非对称,加,加密体,制,制,2.非对称,加,加密体,制,制的优,点,点与缺,点,点,1）密钥管,理,理简单,；,；,2）便于,进,进行数,字,字签名,和,和身份,认,认证，,从,从而保,证,证数据,的,的不可,抵,抵赖性,；,；,1）算法,复,复杂；,2）加密,数,数据的,速,速度和,效,效率较,低,低；,3）存在,对,对大报,文,文加密,困,困难。,优点,缺点,3.,非,非对称,加,加密体,制,制的算,法,法,RSA是1978年由R.L,.,.Rivest、A.Shamir和L.Adleman设计的,非,非对称,的,的方法,，,，算法,以,以发明,者,者的名,字,字的首,字,字母来,命,命名的,。,。它是,第,第一个,既,既可用,于,于加密,，,，也可,用,用于数,字,字签名,的,的算法,。,。,RSA只用于,少,少量数,据,据加密,，,，在Internet中广泛,使,使用的,电,电子邮,件,件和文,件,件加密,软,软件PGP,(,(PrettyGood Privacy,),)就是将RSA作为传,送,送会话,密,密钥和,数,数字签,名,名的标,准,准算法,。,。,（三）,两,两种加,密,密体系,的,的对比,比较项目,对称加密体制,非对称加密体制,代表算法,DES,RSA,密钥数目,单一密钥,密钥是成对的,密钥种类,密钥是秘密的,一个私有,一个公开,密钥管理,简单不好管理,需要数字证书及可靠的第三者,相对速度,非常快,慢,主要用途,大量数据加密,数字签名密钥分配加密,（四）,对,对称与,非,非对称,加,加密体,系,系的结,合,合,在实际,应,应用中,，,，通常,将,将利用DES对称加,密,密算法,来,来进行,大,大容量,数,数据的,加,加密，,而,而采用RSA非对称,加,加密算,法,法来传,递,递对称,加,加密算,法,法所使,用,用的密,钥,钥。,这种二,者,者结合,的,的体系,，,，就集,成,成了两,类,类加密,算,算法的,优,优点，,既,既实现,了,了加密,速,速度快,的,的优点,，,，又实,现,现了安,全,全方便,管,管理密,钥,钥的优,点,点。,用户的,特,特征,用户所,拥,拥有的,用户所,知,知道的,二、认,证,证技术,指纹,虹膜,DNA,声音,用户的,行,行为,身份证,护照,密钥盘,密码,口令,（一）,身,身份,认,认证概,述,述,（二）,消,消息认,证,证概述,数字签,名,名原理,示,示意图,数字时,间,间戳,数字时,间,间戳服,务,务（DigitalTime-Stamp Service，DTS）由专,门,门的机,构,构提供,。,。能提,供,供电子,文,文件发,表,表时间,的,的安全,保,保护。,数字时,间,间戳是,一,一个经,加,加密后,形,形成的,凭,凭证文,档,档，它,包,包括三,个,个部分,：,：,需加时,间,间戳的,文,文件的,摘,摘要；,DTS收到文,件,件的日,期,期和时,间,间,DTS的数字,签,签名。,三、安,全,全协议,（一）,传,传输层,安,安全协,议,议SSL,1.秘密性：,使用对称密,钥,钥实现数,据,据加密,，,，确保,连,连接安,全,全。,2.完整性：,使用安,全,全的哈希函,数,数如MD5、SHA等计算,校,校验码,，,，确保,了,了信息,的,的完整,性,性和可,靠,靠性连,接,接。,3.认证性：,通过非对称,加,加密技,术,术实现身,份,份验证,。,。,BANK,顾客,商家,银行,商品选,择,择，订,单,单的完,成,成,数字签,名,名,(3)向消费,者,者所在,银,银行请,求,求支付,认,认可。,(4)商店发,货,货或提,供,供服务,，,，请求,支,支付。,（二）,应,应用,层,层安全,协,协议,SET,交易流,程,程示意,图,图,SET协议的,目,目标,SET,协,协议保,证,证了在,电,电子交,易,易过程,中,中：,(1),机,机密性,-,-保,证,证信息,的,的安全,传,传输。,(2),数,数据完,整,整性-,-,-保证,电,电子商,务,务参与,者,者信息,的,的相互,隔,隔离。,(3),身,身份的,合,合法性,-,-解,决,决多方,认,认证问,题,题。,(4),不,不可否,认,认性-,-,-保证,网,网上交,易,易的实,时,时性。,(5),兼,兼容性,和,和互操,作,作功能,。,。,SSL,协,协议和SET,协,协议的,对,对比,对比项,SSL协议,SEL协议,参与方,客户、商家和网上银行,客户、商家、支付网关、认证中心和网上银行,软件费用,可直接投入使用，无需额外的附加软件费用,须在银行网络、商家服务器、客户机上安装相应的软件，因此增加了许多附加软件费用,便捷性,SSL在使用过程中无需在客户端安装电子钱包，因此操作简单；每天交易有限额规定，因此不利于购买大宗商品；支付迅速，几秒钟便可完成支付,SET协议在使用中必须使用电子钱包进行付款，因此在使用前，必须先下载电子钱包软件，因此操作复杂，耗费时间；每天交易无限额，利于购买大宗商品；由于存在着验证过程，因此支付缓慢，有时还不能完成交易,安全性,只有商家的服务器需要认证，客户端认证则是有选择的；缺少对商家的认证，因此客户的信用卡号等支付信息有可能被商家泄漏,安全需求高，因此所有参与交易的成员：客户、商家、支付网关、网上银行都必须先申请数字证书来认识身份；保证了商家的合法性，并且客户的信用卡号不会被窃取，替消费者保守了更多的秘密，使其在结购物和支付更加放心,四、防,火,火墙技,术,术,防火墙,是,是一种,隔,隔离技,术,术，是,指,指一种,将,将内部,网,网和公,众,众访问,网,网（如Internet）分开,的,的方法,。,。防火,墙,墙可以,通,通过过,滤,滤不安,全,全的服,务,务而降,低,低风险,，,，可以,强,强化网,络,络安全,策,策略，,对,对网络,存,存取和,访,访问进,行,行监控,审,审计，,防,防止内,部,部信息,的,的外泄,；,；,防火墙,还,还支持,具,具有Internet服务特,性,性的企,业,业内部,网,网络技,术,术体系VPN（虚拟,专,专用网,）,）；,在实际,使,使用中,，,，用户,在,在受信,任,任的网,络,络上通,过,过防火,墙,墙访问Internet时，,经,经常会,发,发现存,在,在延迟,并,并且必,须,须进行,多,多次登,录,录才能,访,访问互,联,联网或,企,企业内,部,部网。,一、机,构,构制度,管,管理,二、风,险,险制度,管,管理,三、法,律,律制度,管,管理,第三节,电,电子,商,商务的,安,安全管,理,理,一、机,构,构制度,管,管理,（一）,认,认证机,构,构,在电子,交,交易中,，,，无论,是,是时间,戳,戳服务,还,还是数,字,字证书,的,的发放,，,，都不,是,是靠交,易,易双方,自,自己能,完,完成的,，,，而是,需,需要一,个,个具有,权,权威性,和,和公正,性,性的第,三,三方机,构,构来完,成,成。,认证机,构,构CA(CertificationAuthority,),)就是承,担,担网上,安,安全电,子,子交易,认,认证服,务,务、签,发,发数字,证,证书并,能,能确认,用,用户身,份,份的服,务,务机构,。,。,（二）,数,数字,证,证书,数字证,书,书又称,为,为数字,凭,凭证、,数,数字标,识,识。是,由,由CA证书授,权,权中心,发,发行的,，,，能提,供,供在Internet上进行,身,身份验,证,证的一,种,种权威,性,性电子,文,文档，,人,人们可,以,以用它,来,来证明,自,自己在,互,互联网,中,中的身,份,份或识,别,别对方,的,的身份,。,。,二、风,险,险制度,管,管理,电子商,务,务风险,管,管理就,是,是跟踪,、,、评估,、,、监测,和,和管理,商,商务整,个,个过程,中,中所形,成,成的电,子,子商务,风,风险，,尽,尽力避,免,免电子,商,商务风,险,险给企,业,业造成,的,的经济,损,损失、,商,商业干,扰,扰以及,商,商业信,誉,誉丧失,等,等，以,确,确保企,业,业电子,商,商务的,顺,顺利进,行,行。,三、法,律,律制度,管,管理,2004年8月28日全国,人,人大常,委,委会第,十,十一次,会,会议通,过,过了中华人,民,民共和,国,国电子,签,签名法。签名,法,法是我,国,国推进,电,电子商,务,务发展,，,，扫除,电,电子商,务,务发展,障,障碍的,重,重要步,骤,骤。该,法,法被认,为,为是中,国,国首部,真,真正电,子,子商务,法,法意义,上,上的立,法,法。,2005年1月28日中华,人,人民共,和,和国信,息,息产业,部,部第十,二,二次部,务,务会议,审,审议通,过,过电子认,证,证服务,管,管理办,法,法，自2005年4月1日起施,行,行。,2005年11月10日中国,银,银行业,监,监督管,理,理委员,会,会第40次主席,会,会议通,过,过电子银,行,行业务,管,管理办,法,法自2006年3月1日起施,行,行。,一、选,择,择题,1.用户识,别,别方法,不,不包括,：,：(,),),A.根据用,户,户知道,什,什么来,判,判断B.根据用,户,户拥有,什,什么来,判,判,C.根据用,户,户地址,来,来判断D.根据用,户,户是什,么,么来判,断,断,2.以下身,份,份认证,技,技术中,，,，属于,生,生物特,征,征识别,技,技术的,有,有包括,：,：(,),),A.数字签,名,名识别,法,法B.指纹识,别,别法,C.语音识,别,别法D.头盖骨,的,的轮廓,识,识别法,3.触