电子商务安全概述(新)

1、电子商务(din z shn w)安全技术共五十九页课程目的(md)与任务通过本课程的学习(xux)，对信息安全与加密，及电子商务安全的概念有较全面的了解，掌握在安全网络环境下构建电子商务安全实用技术，并能具体应用于电子商务的实践中。电子商务安全技术2022/7/212第1章 电子商务安全概述共五十九页课程(kchng)的要求理解和掌握(zhngw)电子商务安全的基本概念、理论、技术与体系结构，通过课堂学习、课后复习与习题作业相结合，加深对所学的电子商务安全知识的理解，并能掌握(zhngw)电子商务安全实用技术。教材：管有庆、王晓军、董小燕，电子商务安全技术，北京邮电大学出版社，05年12月电

2、子商务安全技术2022/7/213第1章 电子商务安全概述共五十九页电子商务(din z shn w)安全技术第一章 电子商务安全概述(i sh)第二章 密码学基础第三章 电子商务安全技术第四章 电子商务身份认证第五章 电子商务支付系统第六章 网络银行的构架第七章 安全电子交易协议SET电子商务安全技术2022/7/214第1章 电子商务安全概述共五十九页 第1章 电子商务安全概述 1.1 电子商务的基本概念 1.2 电子商务安全概念(ginin)与需求 1.3 电子商务安全体系结构 电子商务安全(nqun)技术共五十九页1.1 电子商务(din z shn w)的基本概念 随着因特网时代来临

3、，涉及的问题有：上网了没有？每天都要收发电子邮件(din z yu jin)？敢不敢在网上买东西？2022/7/216第1章 电子商务安全概述共五十九页1.1 电子商务(din z shn w)的基本概念 因特网的发展过程：1969年：两强对立，美国建立ARPANET1986年：学术界加入研究(ynji)成立NSFNET(美国国家科学基金网)1987年：网络上主机已超过一万台，走入商业化 1990年：internet、WWW兴起 1993年：Mosaic图形浏览器推出 1995年：网络旋风袭卷全世界，网景公司上市1996年：Yahoo!上市 1997年：Amazon(亚马逊)上市 2022/7

4、/217第1章 电子商务安全概述共五十九页1.1 电子商务(din z shn w)的基本概念 2022/7/218第1章 电子商务安全(nqun)概述共五十九页1.1 电子商务(din z shn w)的基本概念 2022/7/219第1章 电子商务(din z shn w)安全概述共五十九页1.1 电子商务(din z shn w)的基本概念 1.1.1 电子商务(din z shn w)内容 1.1.2 电子商务分类 1.1.3 电子商务架构 1.1.4 电子商务意义 Electronic Commerce/Electronic Business/E-commerce/E-busines

5、s/E-trade/EC “电子”+“商务”；电子是手段，商务是结果电子商务是以因特网为媒介、以商品交易双方为主体、以银行电子支付与结算为手段的全新商务模式运用现代通信技术、计算机和网络技术进行的一种社会经济形态，其目的是通过降低社会经营成本，提高社会生产效率，优化社会资源配置，从而实现社会财富的最大化利用 2022/7/2110第1章 电子商务安全概述共五十九页生活中的电子商务(din z shn w)实例实例(shl)1网上订购CD实例2网上订花实例3网上交易2022/7/2111第1章 电子商务安全概述共五十九页中国音像信息中心网站(wn zhn)主页（）2022/7/2112第1章 电

6、子商务安全(nqun)概述共五十九页上海正广和网上购物中心(u w zhn xn)主页（）2022/7/2113第1章 电子商务安全(nqun)概述共五十九页阿里巴巴商务网站(wn zhn)主页（）2022/7/2114第1章 电子商务(din z shn w)安全概述共五十九页1.1.1 电子商务(din z shn w)内容 网上商业信息服务如：网上商店的商品信息网络银行的金融服务信息(xnx)电子购物和交易 如：在网上商店选购商品电子银行与金融交易服务如：在网络银行进行帐务处理2022/7/2115第1章 电子商务安全概述共五十九页电子商务必须面对(min du)的四大层面 信息流采用(

7、ciyng)电子信息交换，解决好信息流的问题，将是电子商务成功的关键资金流一个真正的商务过程的完成，必须靠资金的转移来实现物流商品转移安全假冒、欺诈、抵赖、泄密2022/7/2116第1章 电子商务安全概述共五十九页1.信息流信息流主要是传递消费者的订单资料,其中包含消费者的数据(收件人、收件地址、收件时间),以及订购的产品(chnpn)信息(产品名称、数量)。信息流发生在消费者、电子商务网站、以及产品的发货中心。网络(wnglu)消费者 电子商务网站 发货中心 消费者上网订购并提供付款资料 订单资料 2022/7/2117第1章 电子商务安全概述共五十九页2. 资金流资金流主要处理电子商务中

8、的付款机制，所传递的资料主要为消费者的付款资料，而此资料必须保证安全性及正确性，因此必须配合加密及认证技术来完成。资金流主要发生在电子商务网站(wn zhn)及金融机构之间。 电子商务(din z shn w)网站 确认消费者付款资料 请款 金融机构 2022/7/2118第1章 电子商务安全概述共五十九页3. 物流物流处理(chl)实体的货物运送,倘若所销售的是数字化的产品,将没有实际的物流；若是实体货物,则物流是电子商务三流程之中,成本最高的部分。物流会发生在发货中心及消费者之间。网络(wnglu)消费者 发货中心 货品送达客户 2022/7/2119第1章 电子商务安全概述共五十九页电子

9、商务(din z shn w)的流程网络(wnglu)消费者电子商务网站发货中心 金融机构 1.消费者上网订购并提供付款资料 2.确认付款5.请款3.订单资料4.货品送达客户 信息流资金流物流2022/7/2120第1章 电子商务安全概述共五十九页4. 安全(nqun)电子商务的三流程中,除了物流以外,其余的信息流及资金流均是通过过因特网来完成, 网络虽有传递快速、方便、成本低廉的好处(ho chu),但相对的网络资料的安全性却也比较令人担忧。把在网络上传递的资料加密,即可解决网络资料安全性的问题。 身份认证则是让没有面对面的交易双方,具有交易对象身份的确认以及交易的不可否认性。 2022/7

10、/2121第1章 电子商务安全概述共五十九页1.1.2 电子商务(din z shn w)分类 企业间的电子商务(B2B)企业通过计算机网络向它的供应商进行采购与付款企业与消费者之间的电子商务(B2C)许多大型的网络商店，所出售的商品一应俱全(y yng j qun)政府与企业之间的电子商务(G2B) 政府将采购，通过网上竞价方式进行招标，企业也要通过电子商务的方式进行投标政府与消费者之间的电子商务(G2C) 社会福利金的支付、个人所得税的征收电子商务按照应用群体的角度进行分类 2022/7/2122第1章 电子商务安全概述共五十九页1.1.3 电子商务(din z shn w)架构远程教育股

11、票交易网上订票网上商店网上交税远程医疗网上银行认证中心CA 、支付网关、社会配送体系等基础平台网络基础设施相关政策法律法规技术标准安全协议2022/7/2123第1章 电子商务(din z shn w)安全概述共五十九页1.1.3 电子商务(din z shn w)架构底层(d cn)是网络基础平台是信息传送的载体和用户接入手段，它包括各种各样的网络传输平台、网络传输设备和网络接入方式等中间层是电子商务基础平台(1)基本加密算法层(2)基本安全技术层(3)安全协议层 第三层是各种各样的电子商务业务(应用)系统包括支付型业务系统和非支付型业务系统。电子商务业务系统中主要是支付型业务系统三层框架

12、2022/7/2124第1章 电子商务安全概述共五十九页1.1.4 电子商务(din z shn w)意义 全球化电子商务能够让商家向全球范围内的客户提供商品，也可以让客户在全球范围内选购商品电子商务实现在线销售、在线购物、在线支付，使商家和企业能及时跟踪顾客的购物趋势 成本降低省去了中间环节，通过高效的信息传递手段，使得网上业务的运行(ynxng)成本大大降低商家和企业可以利用电子商务，同合作伙伴保持密切的联系，改善合作关系 2022/7/2125第1章 电子商务安全概述共五十九页1.1.4 电子商务(din z shn w)意义 商家和企业可以利用电子商务在网上广泛(gungfn)传播自己

13、的独特形象通过电子商务可以促使商家和企业内部之间的信息交流，内部与外部的信息交流，及时得到各种信息，保证决策的科学性和及时性 2022/7/2126第1章 电子商务安全概述共五十九页1.2 电子商务安全概念(ginin)与需求2022/7/2127第1章 电子商务(din z shn w)安全概述共五十九页1.2 电子商务(din z shn w)安全概念与需求2022/7/2128第1章 电子商务安全(nqun)概述共五十九页1.2 电子商务(din z shn w)安全概念与需求1.2.1 安全(nqun)层面1.2.2 安全威胁1.2.3 安全需求 电子商务的安全与其他计算机应用系统的安

14、全一样，是一个完整的安全体系结构，它包含了从物理硬件到人员管理的各个方面，任何一个方面的缺陷都将在一定程度上影响整个电子商务系统的安全性 2022/7/2129第1章 电子商务安全概述共五十九页1.2.2 安全(nqun)威胁 在一个调查报告中，调研(dio yn)样本中有3526位网民未使用过网上银行，在分析其不使用网上银行的原因时发现，排在最前的因素是网民担心交易安全问题(56.1%) 2022/7/2130第1章 电子商务安全概述共五十九页有关(yugun)计算机安全事件的统计年份事件报道数目198861989132199025219914061992773199313341994234

15、0199524121996257319972134199837341999985920002175620015265820028209420031375292022/7/2131第1章 电子商务安全(nqun)概述共五十九页1.2.2 安全(nqun)威胁 虚假定单：假冒者以客户名义订购商品，而要求(yoqi)客户付款或返还商品付款后收不到商品商家发货后，得不到付款 目前电子商务发展面临的主要问题之一是如何保障电子商务交易过程中的安全性。交易的安全是网上贸易的基础和保障，同时也是电子商务技术的难点，围绕电子商务安全的防护技术已经成为目前电子商务研究的重点之一。交易安全是电子商务系统所特有的安全

16、要求。在交易过程中，消费者和商家面临的安全威胁通常有： 2022/7/2132第1章 电子商务安全概述共五十九页1.2.2 安全(nqun)威胁 机密性丧失PIN或口令在传输过程中丢失；商家(shn ji)的定单确认信息被窜改电子货币丢失可能是物理破坏，或者被偷窃。这个通常会给用户带来不可挽回的损失 非法存取 指未经授权者进入计算机系统中，存取数据的情形；或合法授权者另有其他目的地使用系统 侵入 攻击者在入侵系统后离去，并为日后的攻击行为预留管道。如：木马病毒 2022/7/2133第1章 电子商务安全概述共五十九页1.2.2 安全(nqun)威胁 通信监听攻击者无须入侵系统即可窃取到机密信息

17、；欺诈攻击者伪造数据或通信程序以窃取机密信息。例如，安装伪造的服务器系统以欺骗使用者主动泄漏机密；拒绝服务攻击者造成合法使用者存取信息(xnx)时被拒绝的情况；否认交易双方之一方在交易后，否认该交易曾经发生，或曾授权进行此交易的事实 2022/7/2134第1章 电子商务安全概述共五十九页1.2.3 安全(nqun)需求 由于因特网本身(bnshn)的开放性及目前网络技术发展的局限性，网上交易面临着种种安全性威胁。交易与支付安全问题可归结为如下几个核心问题：可靠性、保密性、完整性、抗否认性、匿名性、原子性和有效性。 2022/7/2135第1章 电子商务安全概述共五十九页1.2.3 安全(nq

18、un)需求 1.可靠性 传统交易:交易双方主要是面对面进交易行活动的，易于身份验证电子商务模式：网上进行交易的双方大多素昧平生(s mi png shng)电子商务首要的安全需求:保证身份的可认证性，确保交易双方身份信息的可靠，防止攻击者以假冒身份在网上进行交易和诈骗。 2022/7/2136第1章 电子商务安全概述共五十九页1.2.3 安全(nqun)需求 2.保密性 传统的交易面对面地进行敏感信息的交换通过专用、封闭的安全通信(tng xn)信道进行交换。利用保险柜保存机密文件。电子商务模式电子商务是建立在开放的网络环境上电子商务系统的最根本的安全需求：维护敏感信息的机密性，保证敏感信息的

19、安全传输和存储。实现方法：加密2022/7/2137第1章 电子商务安全概述共五十九页1.2.3 安全(nqun)需求 3.完整性 电子商务系统应防止(fngzh)对交易信息的篡改，防止(fngzh)数据传输过程中交易信息的丢失和重复，并保证信息传递次序的统一。 当网络面临主动攻击时，攻击者通过篡改或部分删除交易过程中发送的信息，破坏信息的完整性，使交易的双方蒙受损失。 例如，用户A截取C的邮购地址A的邮购地址网上书店2022/7/2138第1章 电子商务安全概述共五十九页1.2.3 安全(nqun)需求 4.不可否认性 传统交易交易双方通过在书面文件上手写签名(qin mng)方式确定书面文

20、件的可靠性，预防抵赖行为的发生。 电子商务模式无纸化的电子交易无法通过传统的“白纸黑字”方式防止交易参与方的抵赖行为。不可否认性需求保证电子交易过程中的各个环节都必须是不可否认的2022/7/2139第1章 电子商务安全概述共五十九页1.2.3 安全(nqun)需求 5.匿名性 电子商务系统应确保交易的匿名性，防止交易过程被跟踪，保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体，确保合法用户的隐私不被侵犯。6. 原子性原子性包括：钱原子性(money atomicity)、商品原子性(goods atomicity)、确认发送原子性(certified delivery atomic

21、ity)。原子性是满足(mnz)商品交易的要求之一。必须保证购买者一旦付了款就一定会得到商品，购买者如果得到了商品则一定付了款，不存在付了款而得不到商品或者得到了商品而未曾付款的情况。 2022/7/2140第1章 电子商务安全概述共五十九页1.2.3 安全(nqun)需求 7. 有效性电子商务系统应有效防止系统延迟或拒绝服务情况的发生。要对网络故障、硬件故障、操作错误、应用程序错误、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，保证交易数据在确定的时刻(shk)、确定的地点是有效的。 2022/7/2141第1章 电子商务安全概述共五十九页1.3 电子商务(din z shn w)

22、安全体系结构 电子商务(din z shn w)安全系统结构组成：由网络服务层加密技术层安全认证层交易协议层商务应用系统层等5个层次组成 电子商务的安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构，同时它也为交易过程的安全提供了基本保障 2022/7/2142第1章 电子商务安全概述共五十九页电子商务(din z shn w)安全体系结构图 网络安全交易(jioy)安全2022/7/2143第1章 电子商务安全概述共五十九页1.3 电子商务(din z shn w)安全体系结构 1.3.1 网络安全：网络服务层提供网络安全1.3.1 交易安全(nqun)加密技术层、安全认证层、交易协议

23、层、商务系统层满足电子商务所特有的安全要求商务交易安全 电子商务安全问题可归结为网络安全和商务交易安全这两个方面。计算机网络安全和商务交易安全是密不可分的，两者相辅相成、缺一不可。没有计算机网络安全作为基础，商务交易安全无从谈起；没有商务交易安全，即使计算机网络本身再怎么安全，也无法满足电子商务所特有的安全要求，电子商务安全也无法实现。2022/7/2144第1章 电子商务安全概述共五十九页1.3.1 网络安全 网络服务层也提供计算机网络安全。计算机网络安全主要包括：计算机网络的物理安全、计算机网络系统安全和数据库安全等。网络安全主要是针对计算机网络本身可能存在的安全问题，实施网络安全方案。计

24、算机网络安全采用(ciyng)的主要安全技术有：防火墙技术、加密技术、漏洞扫描技术、入侵检测技术、反病毒技术和安全审计技术等，用以保证计算机网络自身的安全。 2022/7/2145第1章 电子商务(din z shn w)安全概述共五十九页1.3.1 网络安全 1.防火墙技术(jsh) 2022/7/2146第1章 电子商务安全(nqun)概述共五十九页1.3.1 网络安全 2.加密技术 数据加密技术可以用来保护网络系统中包括用户数据在内的所有数据流。只有接收信息的用户或网络设备才能够解密所加密的数据，从而在不对网络环境作特殊要求的前提下从根本上保证网络信息的完整性和可用性。 3.漏洞扫描技术

25、 漏洞扫描是自动检测远端或本地主机安全漏洞的技术。它通过执行一些脚本文件对系统进行攻击并记录它的反应，从而发现其中的漏洞。漏洞的危害可以简单地用木桶原理加以说明：一个木桶能盛多少水，不在于组成它的最长的那根木料，而取决于它身上最短的那一根(y n)。同样对于一个系统来说，它的安全性不在于它是否采用了最新的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。 2022/7/2147第1章 电子商务(din z shn w)安全概述共五十九页1.3.1 网络安全 4.入侵检测技术 入侵检测技术通过获取网络上的所有报文，并对报文进行分析处理，报告异常和重要的数据模式和行为模式，使网络安

26、全管理员清楚地了解网络上发生的事件，以便能够采取行动阻止可能的破坏。 入侵检测可被定义为对计算机和网络资源的恶意使用行为进行识别和响应的处理过程。它不仅检测来自外部的入侵行为，同时也检测内部用户的未授权活动，还能发现合法用户滥用特权，提供追究(zhuji)入侵者法律责任的有效证据。 2022/7/2148第1章 电子商务安全(nqun)概述共五十九页1.3.1 网络安全 5.反病毒技术 计算机病毒数据将导致计算机系统瘫痪，程序(chngx)和数据遭受严重破坏，使网络的效率和作用大大降低，许多功能无法使用或不敢使用。反病毒技术大体分为：病毒检测 病毒清除 病毒免疫 病毒预防 2022/7/214

27、9第1章 电子商务安全(nqun)概述共五十九页1.3.1 网络安全 6.安全审计技术 安全审计是一个安全的网络必须支持的功能特性，审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别是谁访问了系统，还能指出系统正被怎样地使用。在确定是否发生网络攻击这一点上，审计信息对于确定问题和攻击源十分重要。同时，系统事件的记录能够更迅速、更系统地识别问题，并且它是后一阶段事故处理的重要依据，为网络犯罪行为及泄密行为提供取证(q zhn)基础。 2022/7/2150第1章 电子商务(din z shn w)安全概述共五十九页1.3.2 交易(jioy)安全 交易安

28、全是针对传统商务在因特网上运用时产生的各种安全问题而设计的一套安全技术。目的是在计算机网络安全的基础上确保电子商务过程(guchng)的顺利进行，即实现电子商务的保密性、完整性、可靠性、.匿名性、原子性和不可否认性等。 加密技术层、安全认证层和交易协议层一起构成电子商务交易安全。 2022/7/2151第1章 电子商务安全概述共五十九页1.3.2 交易(jioy)安全 商务交易过程的特点(tdin)：参与方通过网络进行的商务活动彼此通常是互不见面在交易过程中必然会涉及到用户的一些敏感信息2022/7/2152第1章 电子商务安全概述共五十九页1.3.2 交易(jioy)安全 1.加密技术层 加

29、密技术是电子商务最基本的安全措施。在目前技术条件下，加密技术通常分为对称加密和非对称加密两类。(1)对称密钥加密：对称加密采用相同的加密算法，并只交换共享的专用密钥（加密和解密都使用相同的密钥）。如果进行通信(tng xn)的交易各方能够确保专用密钥在密钥交换阶段不发生泄露，可以通过对称加密方法对信息进行加密，并随加密信息发送消息摘要，以保证保密性和完整性。在对称密钥加密中，密钥安全交换是关系到对称加密有效性的重要环节。目前常用的对称加密算法有DES、PCR、IDEA、3DES等等。 2022/7/2153第1章 电子商务安全概述共五十九页1.3.2 交易(jioy)安全 (2)非对称密钥加密：不同于对称加密，非对称加密的密钥被分解为公开密钥和私有密钥。公开密钥和私有密钥构成一个密钥对，密钥对生成后，公开密钥以非保密方式(fngsh)对外公开，私有密钥则保存在密钥发布者手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的发布者，而发布者得到加密信息后，使用与公开密钥相应对的私有密钥进行解密。目前，常用的非对称加密算法有RSA算法。 2022/7/2154第1章 电子商务安全概述共五十九页1.3.2 交易(jioy)安全 2.安全认证层 (1)报文摘要：通过使用单向(dn xin)哈希（H