电子商务交易安全技术与交易协议.pptx
- 文档编号:30844583
- 上传时间:2024-02-02
- 格式:PPTX
- 页数:90
- 大小:871.88KB
电子商务交易安全技术与交易协议.pptx
《电子商务交易安全技术与交易协议.pptx》由会员分享,可在线阅读,更多相关《电子商务交易安全技术与交易协议.pptx(90页珍藏版)》请在冰豆网上搜索。
第第5章电子商务交易安全章电子商务交易安全第第5章电子商务交易安全章电子商务交易安全电子商务安全概述电子商务安全概述5.1电子商务安全技术电子商务安全技术5.2电子商务安全交易协议电子商务安全交易协议5.3CompanyLogov2009年年4月月24日,瑞星公司市场总监日,瑞星公司市场总监马刚在接受采访时称马刚在接受采访时称,木马已经成为互木马已经成为互联网的最大威胁联网的最大威胁,虽然该公司的绞杀计虽然该公司的绞杀计划初见成效划初见成效,但木马问题不可能在短时但木马问题不可能在短时间内得以解决。
间内得以解决。
CompanyLogov瑞星公司近日公布的一项安全报告从瑞星公司近日公布的一项安全报告从数量上阐释了这个产业的庞大。
该报数量上阐释了这个产业的庞大。
该报告称告称,2009,2009年年11月至月至33月月,互联网上出互联网上出现的”挂马”网页累计达现的”挂马”网页累计达1.91.9亿多个亿多个,平均每天有平均每天有589589万余人次网民访问这万余人次网民访问这些网页些网页,累计有累计有88亿人次网民遭木马攻亿人次网民遭木马攻击。
击。
CompanyLogov据金山毒霸“云安全”中心检测数据数据金山毒霸“云安全”中心检测数据数据显示,据显示,20082008年,中国新增计算机病年,中国新增计算机病毒、木马数量呈爆炸式增长,总数量已毒、木马数量呈爆炸式增长,总数量已突破千万。
突破千万。
CompanyLogoCompanyLogoCompanyLogov病毒制造者的“逐利性”依旧没有改病毒制造者的“逐利性”依旧没有改变,网页挂马、漏洞攻击成为黑客获变,网页挂马、漏洞攻击成为黑客获利的主要渠道。
利的主要渠道。
CompanyLogo近年重大病毒及损失代价近年重大病毒及损失代价年份年份病毒名称病毒名称损失金额损失金额(亿美元)(亿美元)感染电脑数目感染电脑数目(万台)(万台)2001CodeRed(红色警戒)(红色警戒)26.21002002Klez(求职信)(求职信)906002003Blaster(冲击波)(冲击波)20100CompanyLogov据美联社报道据美联社报道,为应对每日数以百为应对每日数以百万计的网络攻击和欺诈万计的网络攻击和欺诈,美国联邦美国联邦政府正在积极寻找黑客高手政府正在积极寻找黑客高手,这次这次不是为了抓捕他们而是向他们支付不是为了抓捕他们而是向他们支付费用保护国家网络。
费用保护国家网络。
(2009.4.202009.4.20)CompanyLogo网络安全企业网络安全企业公司公司成立时间成立时间总部总部赛门铁克赛门铁克(Symantec)1982美国美国趋势科技(趋势科技(TrendMicro)1988美国美国卡巴斯基(卡巴斯基(KasperskyLab)1997俄罗斯俄罗斯比特梵德比特梵德(BitDefender)2001罗马尼亚罗马尼亚金山金山1989深圳深圳江民科技江民科技1996北京北京瑞星瑞星1997北京北京CompanyLogo5.1电子商务安全概述电子商务安全概述一、电子商务安全问题一、电子商务安全问题网民中网络安全问题发生的比率网民中网络安全问题发生的比率CompanyLogo安全问题安全问题比例比例电脑感染病毒电脑感染病毒90.8%账号账号/个人信息被盗、被改个人信息被盗、被改44.8%网上遭到黑客攻击网上遭到黑客攻击26.7%被仿冒网站欺骗被仿冒网站欺骗23.9%都没有碰到过都没有碰到过2.5%其他其他1.2%网民网民2007年下半年网络安全问题发生的频年下半年网络安全问题发生的频次次CompanyLogo0次次至至2次次3至至5次次5次以上次以上电脑感染病毒的次数电脑感染病毒的次数3.6%37.0%23.7%35.8%账号账号/个人信息被盗、被改的次数个人信息被盗、被改的次数16.3%63.2%13.1%7.4%网上遭到黑客攻击的次数网上遭到黑客攻击的次数18.8%47.8%13.8%19.6%被仿冒网站欺骗的次数被仿冒网站欺骗的次数12.4%53.7%16.1%17.7%网民发生帐号或密码被盗的网民发生帐号或密码被盗的场所场所CompanyLogo比例比例网吧网吧56.5%家里(包括亲戚朋友家)家里(包括亲戚朋友家)37.1%工作场所工作场所24.7%学校学校17.5%公共场所(图书馆公共场所(图书馆/机场机场/咖咖啡厅等)啡厅等)15.5%其他其他2.5%电子商务安全隐患及防范措施电子商务安全隐患及防范措施问题问题数据被非法截获、读取或者修改数据被非法截获、读取或者修改冒名顶替和否认行为冒名顶替和否认行为一个网络的用户未经授权访问了一个网络的用户未经授权访问了另一个网络另一个网络计算机病毒计算机病毒措施措施数据加密数据加密数字签名、加密、认证等数字签名、加密、认证等防火墙防火墙计算机病毒防治措施计算机病毒防治措施黑客恶意攻击黑客恶意攻击黑客攻击防范措施黑客攻击防范措施CompanyLogo电子商务安全不单是技术问题1机构机构与与管理管理2法律法律与与法规法规3技术技术与与人才人才CompanyLogov例如:
例如:
2727岁的赖某利用“木马”程岁的赖某利用“木马”程序,一个月内从他人网上银行账户中序,一个月内从他人网上银行账户中盗走盗走60006000余元,判处其有期徒刑一年余元,判处其有期徒刑一年零六个月,缓刑两年,并处罚金零六个月,缓刑两年,并处罚金1200012000元。
元。
CompanyLogo安全性需要代价1安全性与便捷性安全性与便捷性2安全性与成本安全性与成本CompanyLogo二、电子商务的安全体系二、电子商务的安全体系电子商务电子商务交易安全交易安全电子商务电子商务安全体系安全体系计算机网计算机网络系统安络系统安全全CompanyLogo
(一)计算机网络系统的安全问题
(一)计算机网络系统的安全问题11、物理实体的安全、物理实体的安全(硬件安全硬件安全)设备的功能失常设备的功能失常电源故障电源故障由于电磁泄漏引起的信息失密由于电磁泄漏引起的信息失密搭线窃听搭线窃听CompanyLogo22、自然灾害的威胁、自然灾害的威胁各种自然灾害、风暴、泥石流、各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。
对计算机网络系统都构成强大的威胁。
CompanyLogo33、黑客的恶意攻击、黑客的恶意攻击所谓黑客,现在一般泛指计算机信息系所谓黑客,现在一般泛指计算机信息系统的非法入侵者。
统的非法入侵者。
主动攻击:
它以各种方式有选择地破坏主动攻击:
它以各种方式有选择地破坏信息的有效性和完整性;信息的有效性和完整性;被动攻击:
它是在不影响网络正常工作被动攻击:
它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重的情况下,进行截获、窃取、破译以获得重要机密信息。
要机密信息。
CompanyLogo44、软件的漏洞和“后门”、软件的漏洞和“后门”55、网络协议的安全漏洞、网络协议的安全漏洞66、计算机病毒的攻击、计算机病毒的攻击CompanyLogo
(二)计算机网络系统的安全管理制度
(二)计算机网络系统的安全管理制度11、保密制度、保密制度绝密级:
不在因特网上公开,只限高层管理人绝密级:
不在因特网上公开,只限高层管理人员掌握;员掌握;机密级:
只限公司中层管理人员以上使用;机密级:
只限公司中层管理人员以上使用;秘密级:
在因特网上公开,供消费者浏览,但秘密级:
在因特网上公开,供消费者浏览,但必须有保护程序防止黑客侵入;必须有保护程序防止黑客侵入;CompanyLogo22、网络系统的日常维护、网络系统的日常维护硬件的日常管理和维护硬件的日常管理和维护软件的日常管理和维护软件的日常管理和维护数据备份制度数据备份制度用户管理用户管理CompanyLogo33病毒防范制度病毒防范制度安装防病毒软件安装防病毒软件不打开陌生电子邮件不打开陌生电子邮件认真执行病毒定期清理制度认真执行病毒定期清理制度控制权限控制权限高度警惕网络陷阱高度警惕网络陷阱CompanyLogo(三)电子商务交易安全问题(三)电子商务交易安全问题11卖方面临的问题卖方面临的问题
(1)
(1)中央系统安全性被破坏中央系统安全性被破坏
(2)
(2)竞争对手检索商品递送状况竞争对手检索商品递送状况(3)(3)被他人假冒而损害公司的信誉被他人假冒而损害公司的信誉(4)(4)买方提交订单后不付款买方提交订单后不付款(5)(5)有人恶意从卖方获取他人的机密数据有人恶意从卖方获取他人的机密数据CompanyLogo22买方面临的问题买方面临的问题
(1)
(1)付款后不能收到商品付款后不能收到商品
(2)
(2)机密性丧失机密性丧失(3)(3)拒绝服务拒绝服务CompanyLogo33信息传输问题信息传输问题
(1)
(1)冒名偷窃冒名偷窃
(2)
(2)篡改数据篡改数据(3)(3)信息丢失信息丢失(4)(4)信息传递过程中的破坏信息传递过程中的破坏(5)(5)虚假信息虚假信息CompanyLogo44信用问题信用问题
(1)
(1)来自买方的信用问题来自买方的信用问题
(2)
(2)来自卖方的信用风险来自卖方的信用风险(3)(3)买卖双方都存在抵赖的情况买卖双方都存在抵赖的情况CompanyLogo(四)电子商务交易的安全控制要求(四)电子商务交易的安全控制要求11、交易者身份的可认证性(数字签名和数、交易者身份的可认证性(数字签名和数字证书)字证书)在双方进行交易前,首先要能确在双方进行交易前,首先要能确认对方的身份,要求交易双方的身认对方的身份,要求交易双方的身份不能被假冒或伪装。
份不能被假冒或伪装。
CompanyLogo电子商务系统应该提供交易双方进行电子商务系统应该提供交易双方进行身份鉴别的机制。
一般可以通过数字身份鉴别的机制。
一般可以通过数字签名和数字证书相结合的方式实现用签名和数字证书相结合的方式实现用户身份的验证,证实交易双方都是他户身份的验证,证实交易双方都是他们所声称的那个人。
们所声称的那个人。
CompanyLogo22、信息的保密性(加密)、信息的保密性(加密)要对敏感重要的商业信息或个人要对敏感重要的商业信息或个人信息进行加密,即使别人截获或窃取了信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,这数据,也无法识别信息的真实内容,这样就可以使商业机密或有价值的个人信样就可以使商业机密或有价值的个人信息难以被泄露。
息难以被泄露。
CompanyLogo33、信息的完整性(数字签名)、信息的完整性(数字签名)请给请给丁汇丁汇100元元乙乙甲甲请给请给丁汇丁汇100元元请给请给丙汇丙汇100元元丙丙请给请给丙汇丙汇100元元传输:
接收方传输:
接收方收到的信息和收到的信息和发送方发送的发送方发送的信息完全一致信息完全一致。
存储:
防止被存储:
防止被非法篡改和破非法篡改和破坏。
坏。
CompanyLogo44、信息不可否认性(数字签名)、信息不可否认性(数字签名)在电子交易通信过程的各个环节在电子交易通信过程的各个环节中都必须是不可否认的,即交易一旦达中都必须是不可否认的,即交易一旦达成,发送方不能否认他发送的信息,接成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。
这在收方则不能否认他所收到的信息。
这在交易系统中十分重要。
交易系统中十分重要。
CompanyLogo5.2电子商务安全技术电子商务安全技术数字信息的安全要求数字信息的安全要求身份验证身份验证信息保密性(存储与传输)信息保密性(存储与传输)信息完整性信息完整性交易的不可否认性交易的不可否认性解决方案解决方案数字证书与数字签名数字证书与数字签名加密加密数字签名数字签名数字签名数字签名CompanyLogo一、数据加密技术一、数据加密技术
(一)加密和解密
(一)加密和解密加密:
发送方使用数学的方法将原始加密:
发送方使用数学的方法将原始信息(明文)重新组织与变换成只有授权用信息(明文)重新组织与变换成只有授权用户才能解读的密码形式(密文)。
户才能解读的密码形式(密文)。
解密:
接收方将密文重新恢复成明文。
解密:
接收方将密文重新恢复成明文。
CompanyLogo加密加密解密解密信息信息密钥密钥算法算法明文和密文明文和密文加密密钥加密密钥解密密钥解密密钥加密算法加密算法解密算法解密算法CompanyLogo加密E解密D明文M明文MKd解密密钥Ke加密密钥密文C密码系统的构成密码系统的构成CompanyLogo
(二)密码体制的分类
(二)密码体制的分类11、通用密码体制(对称式密码体、通用密码体制(对称式密码体制)制)定义:
在对数据加密的过程定义:
在对数据加密的过程中,使用同样的密匙进行加密和解密的中,使用同样的密匙进行加密和解密的密码体制,也称“传统密码体制”。
密码体制,也称“传统密码体制”。
CompanyLogo通用密码体制加密过程通用密码体制加密过程明文消息明文消息密匙密匙AA加密加密加密消息加密消息明文消息明文消息密匙密匙AA解密解密CompanyLogo通用密码体制实例
(一)通用密码体制实例
(一)明文:
CRYPTOGRAPHYFUBSWRJUDSKB密文:
密钥:
n=4恺撒密码恺撒密码CompanyLogoKey=4例:
若明文(记做m)为“important”,Key=4,则密文(记做C)则为“LPSRUWDQW”。
CompanyLogo例1:
Caesar(恺撒)密码,见表1。
表1Caesar(恺撒)密码表明文字母abcdefghijklm密文字母DEFGHIJKLMNOP明文字母nopqrstuvwxyz密文字母QRSTUVWXYZABC通用密码体制举例
(二)通用密码体制举例
(二)简单多表式密码加密简单多表式密码加密CompanyLogo要求:
要求:
11)在首次通信前,双方必须通过除)在首次通信前,双方必须通过除网络以外的另外途径传递统一的密钥。
网络以外的另外途径传递统一的密钥。
22)当通信对象增多时,密码使用者)当通信对象增多时,密码使用者要保存所有通信对象的密钥。
要保存所有通信对象的密钥。
CompanyLogo33)对称加密是建立在共同保守秘密)对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥过程的基础之上的,在管理和分发密钥过程中,任何一方的泄密都会造成密钥的失中,任何一方的泄密都会造成密钥的失效,存在着潜在的危险和复杂的管理难效,存在着潜在的危险和复杂的管理难度。
度。
CompanyLogo特点密钥管密钥管理与传递困理与传递困难难优点优点缺点缺点加加/解密速度快;解密速度快;适合大数据量适合大数据量进行加密;进行加密;CompanyLogo2、公开密钥体制(非对称式密码体制)、公开密钥体制(非对称式密码体制)定义:
它需要使用一对密钥来分别完定义:
它需要使用一对密钥来分别完成加密和解密操作,一个公开发布,称为成加密和解密操作,一个公开发布,称为公开密钥(公开密钥(Public-Key),用于加密;),用于加密;另一个由用户自己秘密保存,称为私有密另一个由用户自己秘密保存,称为私有密钥(钥(Private-Key),用于解密。
),用于解密。
CompanyLogo公用密码体制加密过公用密码体制加密过程程明文消息明文消息公钥加密公钥加密加密消息加密消息明文消息明文消息私钥解密私钥解密CompanyLogoKdz私人密钥Kdy私人密钥Kdx私人密钥公众通信网XZY密钥中心Kex,Key,Kez,公共密钥CompanyLogo公开密钥体制的功能公开密钥体制的功能老张老张小李的公开小李的公开密匙密匙小李小李老张老张密文密文小李小李小李的私有小李的私有密匙密匙老张的私有老张的私有密匙密匙老张的公开老张的公开密匙密匙密文密文鉴别鉴别保密保密只有老张能发出该信息只有老张能发出该信息只有小李能解开此信息只有小李能解开此信息CompanyLogo特点特点加加/解密解密速度比通用密速度比通用密钥体制慢钥体制慢优点优点缺点缺点体制灵活;体制灵活;密钥管理简单密钥管理简单CompanyLogo对称与非对称加密体制对比对称与非对称加密体制对比特特性性对对称称非非对对称称密钥的数目密钥的数目单一密钥单一密钥密钥是成对的密钥是成对的密钥种类密钥种类密钥是秘密的密钥是秘密的一个私有、一个公开一个私有、一个公开密钥管理密钥管理简单,但不好管理简单,但不好管理需要数字证书及可靠需要数字证书及可靠第三者管理公开密钥第三者管理公开密钥相对速度相对速度快快慢慢用途用途大量资料的加密大量资料的加密加密小文件或对信息加密小文件或对信息保密性要求相对严格保密性要求相对严格的情况的情况CompanyLogo二、数字签名技术二、数字签名技术(一一)数字摘要保证交易文件的完整数字摘要保证交易文件的完整性性信息摘要过程信息摘要过程CompanyLogoHash算法原文摘要摘要对比?
原文摘要InternetHash算法发送方接收方
(二)数字签名(保证交易的不可否认性和完整
(二)数字签名(保证交易的不可否认性和完整性)性)11、作用:
确认信息是由签名者发送的;、作用:
确认信息是由签名者发送的;信息自签发后到收到为止未曾作过信息自签发后到收到为止未曾作过任何修改。
任何修改。
CompanyLogo22、数字签名原理、数字签名原理数字签名原理示意数字签名原理示意图图信息数字签名信息被确认信息摘要摘要摘要数字签名SHA加密PrivateKey加密发送PublicKey解密SHA加密比较二者若一致发送方接受方InternetCompanyLogo(三)数字时间戳电子文件发表时间的(三)数字时间戳电子文件发表时间的安全保护安全保护11、数字时间戳服务(、数字时间戳服务(DTSDTS)是网上安全)是网上安全服务项目,由专门的机构提供。
服务项目,由专门的机构提供。
CompanyLogo22、数字时间戳是一个经加密后形成的凭证、数字时间戳是一个经加密后形成的凭证文档,它包括三个部分:
文档,它包括三个部分:
一是需加时间戳的文件的摘要;一是需加时间戳的文件的摘要;二是二是DTSDTS收到文件的日期和时间;收到文件的日期和时间;三是三是DTSDTS的数字签名。
的数字签名。
CompanyLogo原文原文SHA加密加密摘要摘要发送方发送方摘要摘要DTS加入日期加入日期和时间和时间带数字时间带数字时间戳的摘要戳的摘要带数字签名和带数字签名和数字时间戳的摘要数字时间戳的摘要数字签名数字签名Internet数字时间戳产生过数字时间戳产生过程程CompanyLogo三、数字认证技术三、数字认证技术
(一)数字证书的原理
(一)数字证书的原理11、数字证书又称为数字凭证,数字标、数字证书又称为数字凭证,数字标识。
是用来证明网络交易者真实身份的识。
是用来证明网络交易者真实身份的有效手段。
有效手段。
CompanyLogo22、数字证书是一种由证书授权中心负、数字证书是一种由证书授权中心负责发放和管理的包含证书持有人个人信责发放和管理的包含证书持有人个人信息、公开密钥、证书序号、有效期、发息、公开密钥、证书序号、有效期、发放单位的电子签名等内容的电子文档。
放单位的电子签名等内容的电子文档。
CompanyLogo3、数字证书采用公私钥密码体制,每数字证书采用公私钥密码体制,每个用户拥有一把仅为本人所掌握的私钥,个用户拥有一把仅为本人所掌握的私钥,用它进行信息解密和数字签名;同时拥有用它进行信息解密和数字签名;同时拥有一把公钥,并可以对外公开,用于信息加一把公钥,并可以对外公开,用于信息加密和签名验证。
密和签名验证。
CompanyLogo44、数字证书可用于:
发送安全电子邮、数字证书可用于:
发送安全电子邮件、网上缴费、访问安全站点、网上证件、网上缴费、访问安全站点、网上证券交易、网上采购招标、网上办公、网券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易行等安全电子事务处理和安全电子交易活动。
活动。
CompanyLogo
(二)数字证书的类型
(二)数字证书的类型11、个人身份证书、个人身份证书22、个人、个人EEmailmail证书证书33、单位证书、单位证书44、单位、单位EEmailmail证书证书55、应用服务器证书(安全鉴别的服务、应用服务器证书(安全鉴别的服务器)器)66、代码签名证书(软件开发人员或企、代码签名证书(软件开发人员或企业)业)CompanyLogo(三)认证中心的作用(三)认证中心的作用11、证书的颁发、证书的颁发22、证书的更新、证书的更新33、证书的查询(证书申请查询和用户证书查、证书的查询(证书申请查询和用户证书查询)询)44、证书的作废(私钥泄密或过了有效期)、证书的作废(私钥泄密或过了有效期)55、证书的归档(管理作废证书和作废私钥)、证书的归档(管理作废证书和作废私钥)认证中心(认证中心(CACA):
承担网上安全电:
承担网上安全电子交易认证服务、子交易认证服务、签发数字证书并确签发数字证书并确认用户身份的服务认用户身份的服务机构,该机构必须机构,该机构必须是具有权威性和公是具有权威性和公正性的第三方机构正性的第三方机构。
CompanyLogo(四)国内常见的(四)国内常见的CACACompanyLogo(五)数字证书的申请(五)数字证书的申请11、下载并安装根证书、下载并安装根证书22、申请证书、申请证书33、将个人身份信息连同证书序列号、将个人身份信息连同证书序列号一并邮寄到中国数字认证网一并邮寄到中国数字认证网CompanyLogoCompanyLogo下载根CACompanyLogoCompanyLogoCompanyLogo5.3电子商务安全交易协议电子商务安全交易协议一、一、SSLSSL(安全套接层)协议(安全套接层)协议二、二、SETSET(安全电子交易)协议(安全电子交易)协议协议(协议(protocolprotocol)是指两个或两个以上实指两个或两个以上实体为了开展某项活动,经过协商后达成的体为了开展某项活动,经过协商后达成的一致意见一致意见。
协议总是指某一层的协议。
它是在同等层之间的实体通信时,有关通信规则和约定的集合就是该层协议。
CompanyLogo一、一、SSL协议协议
(一)协议简介
(一)协议简介11、SSLSSL协议(协议(SecuritySocketLayerSecuritySocketLayer,安,安全套接层协议)是全套接层协议)是NetscapeNetscape公司提出的基于公司提出的基于WebWeb应用的安全协议,为互联网上进行保密文档应用的安全协议,为互联网上进行保密文档传送而开发的。
该协议向基于传送而开发的。
该协议向基于TCP/IPTCP/IP的的C/SC/S应应用程序提供了客户端和服务器的鉴别、信息完用程序提供了客户端和服务器的鉴别、信息完整性及信息机密性等安全措施。
整性及信息机密性等安全措施。
CompanyLogo22、SSLSSL采用对称密码技术和公开密码技术采用对称密码技术和公开密码技术相结合,提供了如下三种基本的安全服务:
相结合,提供了如下三种基本的安全服务
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 交易 安全技术 协议