电子商务安全问题与安全交易标准

1、电子商务Electronic Business2007-2008学年第二学期 经济贸易学院财务管理系wt.2课程前言0电子商务模式2电子商务支付4电子商务法律法规6电子商务概述1电子商务安全3电子商务物流管理5企业电子子商务7课程索引Index of EB3DesignedByWand经济贸易学院财务管理系Department of Financial Management第三章引言第三章：电子商商务安全全3.1电子子商务安安全问题题3.2电子子商务系系统安全全常用技技术3.3电子子商务安安全交易易标准3.4电子商务务安全管管理制度度3DesignedByWand经济贸易学院财务管理系Depa

2、rtment of Financial Management3.1电电子商务务安全问问题一、电子子商务安安全问题题的提出出3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.1电电子商务务安全问问题一、电子子商务安安全问题题的提出出3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.1电电子商务务安全问问题一、电子子商务安安全问题题的提出出3DesignedByWand经济贸易学院财务管理系Department of Financial Managem

3、ent3.1电电子商务务安全问问题二、电子子商务存存在的安安全隐患患1、系统统中断与与瘫痪（稳定性性隐患）2、信息息被窃取取（机密密性隐患患）3、信息息被篡改改（完整整性隐患患）4、信息息被伪造造（有效效性隐患患）5、对交交易行为为进行抵抵赖3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.1电电子商务务安全问问题三、电子子商务的的安全要要素1、真实实有效性性（对信息息的真伪伪、实体体的有效效性进行行鉴别）；2、机密密性（保保证信息息不被泄泄露给非非授权的的第三方方）；3、数据据的完整整性（保保证数据据一致性性，防止止数

4、据被被非授权权建立、修改和和破坏）；4、可靠靠性、不不可否认认性和可可控性3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.1电电子商务务安全问问题四、电子子商务安安全涉及及的范围围1、信息息的安全全；2、信息传传递的安安全；3、信用用的安全全；4、设备的的安全。五、电子子商务安安全的保保障1、社会会的法律律政策与与法律保保障；2、信息息技术方方面的措措施；3、信息息安全管管理制度度的保障障。3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电

5、子商务务安全常常用技术术一、防火火墙（Firewall）1、定义义：所谓谓防火墙墙就是设设置在被被保护网网络和外外部网络络之间的的一道屏屏障，以以防止发发生不可可预测的的、潜在在破坏性性的侵入入。被保护网络外部网络3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术一、防火火墙（Firewall）2、防火火墙图示示：防火墙逻辑位置示意图3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术二、加

6、密密技术所谓加密密，即指指用基于于数学方方法的程程序和保保密的密密钥对信信息进行行编码，把计算算机数据据变成一一堆杂乱乱无章难难以理解解的字符符串。加密的实实质是由由加密过过程和解解密过程程组成的的。明文明文密文3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术二、加密密技术加密的两两个要素素：（1）加加密算法法：是加密程程序的逻逻辑算法法（2）密密钥：指加密算算法中的的可变参参数例如：Y=X+k思考其中中的算法法和密钥钥3DesignedByWand经济贸易学院财务管理系Departmen

7、t of Financial Management3.2电电子商务务安全常常用技术术二、加密密技术1、对称称加密（私有密密钥加密密）SecretKey Cryptography数据发送送方和接接收方使使用同一一把私有有密钥，把明文文加密成成密文和和把密文文解密成成明文用用的是同同一把私私有密钥钥。（一一把钥匙匙开一把把锁）明文密文加密解密密钥（发送方）密钥（接收方）明文密文网络3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术明文3DesignedByWand经济贸易学院财务管理系Depar

8、tment of Financial Management3.2电电子商务务安全常常用技术术乙银行：有一笔元资金金转账至至贵行abcde账号号上。甲银行#!$!%(!#$%&*()_+网络传输输#!$!%(!#$%&*()_+乙银行：有一笔元资金金转账至至贵行abcde账号号上。甲银行加密解密信息明文文信息密文文信息密文文信息明文文相同的私私有密钥钥A甲银行乙银行3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术二、加密密技术1、对称称加密（私有密密钥加密密）SecretKey Crypto

9、graphy私有密钥钥加密的的常用算算法：数据加密密标准DES（DataEncryption Standard）国际数据据加密算算法IDEA（International DataEncryptionAlgorithm）3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术二、加密密技术2、非对对称加密密（公开开密钥加加密）PublicKey Cryptography公开密钥钥主要用用于对发发送的消消息进行行加密，可以把把公开密密钥发给给希望与与公开密密钥持有有者进行行安全通通信的任任何人，私有密

10、密钥主要要用于对对收到的的信息进进行解密密。明文密文公开密钥（接收方）私有密钥（接收方）明文密文网络3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术乙银行：将200元资金金从本账账号转移移至贵行行XYZ账号上上。客户甲#!$!%(!#$%&*()_+网络传输输#!$!%(!#$%&*()_+乙银行：将200元资金金从本账账号转移移至贵行行XYZ账号上上。客户甲加密解密通知明文文通知密文文通知密文文通知明文文私有密钥钥A客户甲乙银行公开密钥钥B3DesignedByWand经济贸易学院财务管

11、理系Department of Financial Management3.2电电子商务务安全常常用技术术客户甲：本行已将将200元资金金从你账账号转移移至XYZ账号号上。银行乙#!$!%(!#$%&*()_+网络传输输#!$!%(!#$%&*()_+客户甲：本行已将将200元资金金从你账账号转移移至XYZ账号号上。银行乙加密解密确认明文文确认密文文确认密文文确认明文文私有密钥钥A客户甲乙银行公开密钥钥B3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术二、加密密技术2、非对对称加密密（公开

12、开密钥加加密）PublicKey Cryptography公开密钥钥加密的的常用算算法：（一般般基于复复杂的数数学难题题）RSA算法（大大整数因因子分解解系统）ECC算法（椭椭圆曲线线离散对对数系统统）DSA算法（离离散对数数系统）3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术3、两种种加密方方法的结结合；明文密文对称加密发送方私有密钥发送方私有密钥不对称加密接收方公开密钥加密后的密钥网络密文加密后的密钥加密后的密钥不对称解密接收方私有密钥发送方私有密钥密文明文对称解密发送方私有密钥发送

13、方接收方3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术三、数字字摘要（Digital Digest）定义：数数字摘要要是发送送者对被被传送的的一个信信息报文文，根据据某种数学算法法计算出一一个此信信息报文文的摘要要值，并并将此摘摘要值与与原始信信息报文文一起通通过网络络传送给给接收者者，接受受者应用用此摘要要值来检检验信息息报文在在网络传传送过程程中有没没有发生生改变来来判断信信息报文文的真实实与否。另称为：数字指纹纹FingerPrint数字手印印Digital Thumbprint3

14、DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术三、数字字摘要（Digital Digest）产生示例例：乙银行：将200元资金金从本账账号转移移至贵行行XYZ账号上上。客户甲AdsE W3298woei（数数字摘要要）网络传输输Hash算法客户甲乙银行乙银行：。客户甲。（数数字摘要要）AdsE W3298woei（数数字摘要要）Hash算法比对3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用

15、技术术四、数字字签名（Digital Signature）3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术五、数字字时间戳戳（DTS）Digital Time-stampService,对电子商商务中交交易数据据的日期期和时间间信息采采取安全全措施，提供电电子信息息在时间间上的安安全保护护。数字字时间戳戳一般由由大家均均信任的的第三方方机构提提供，是是一个经经加密后后形成的的凭证文文档，包包括需要加时时间戳的的信息摘摘要；时间戳服服务机构构收到该该信息的的时间日日期；数字时间间戳服务务机构

16、的的数字签签名。3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术数字信封封使用加加密技术术来保证证只有规规定的特特定收信信人才能能阅读信信的内容容。在数字信信封中，信息发发送方采采用对称称密钥钥来来加密信信息，然然后将此此对称密密钥用接受方的的公公开密钥钥来加密（这部分分称为数数字信封封）之后后，将它它和信息息一起发发送给接接受方，接受方方先用相相应的私私有密钥钥打开数数字信封封，得到到对称密密钥，然然后使用用对称密密钥解开开信息。六、数字字信封3DesignedByWand经济贸易学院财

17、务管理系Department of Financial Management3.2电电子商务务安全常常用技术术七、数字字证书（Digital Certificates）1、简介介数字证书书是用电电子手段段来证实实一个用用户的身身份和对对网络资资源的访访问权限限。证书书就是一一份文档档，记录录了用户户的公开开密钥和和其他身身份信息息。数字证书书是由CA认证中心心（CertificateAuthorities）颁发的的、包含含公开密密钥持有有者信息息、公开开密钥的的文件，以及CA证认中心心的数字字签名。3DesignedByWand经济贸易学院财务管理系Department of Financia

18、l Management3.2电电子商务务安全常常用技术术七、数字字证书（Digital Certificates）2、数字字证书类类型（1）个个人数字字证书（2）服服务器证证书（3）开开发者证证书3、CA认证中心心又称认证证权威、认证中中心、证证书授权权机构，是承担担网上认认证服务务，能签签发数字字证书并并能确认认用户身身份的第第三方机机构。3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术七、数字字证书（Digital Certificates）3DesignedByWand经济贸易学院

19、财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术七、数字字证书（Digital Certificates）3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术七、数字证书书（Digital Certificates）3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术七、数字字证书（Digital Certificates）3De

20、signedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术七、数字字证书（Digital Certificates）3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.2电电子商务务安全常常用技术术七、数字字证书（Digital Certificates）3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.3电电子商务务安全交交易标准准常用电子子商务安安全协议议：

21、1、安全全多用途途互联网网邮件扩扩充协议议S/MIME；2、安全全超文本本传输协协议S-HTTP；3、安全全套接层层协议SSL；（）SecureSocket Layer4、安全全电子交交易协议议SET。（）SecureElectronicTransaction3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.3电电子商务务安全交交易标准准3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.3电电子商务务安全交交易标准准3DesignedByWand经

22、济贸易学院财务管理系Department of Financial Management3.3电电子商务务安全交交易标准准3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.3电电子商务务安全交交易标准准SSL安全机制（发送方）信息数字摘要数字签名发送方私钥加密（对称密钥）加密后的信息接收方 数字证书信息数字签名发送方 数字证书 加密（使用接收方公开密钥）数字信封3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.3电电子商务务安全交交易标准准SSL安

23、全机制（接收方）数字签名加密后的信息数字信封 解密（使用接收方私有密钥）加密（对称密钥）信息数字签名发送方 数字证书数字摘要 解密（使用发送方公开密钥）数字摘要比较3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.4电电子商务务安全管管理制度度一、人员员管理制制度1.工作作责任制制：双人负责责；任期期有限；最小权权限2.普通通用户安安全要求求：上网行为为；账户户安全；信息处处理3.系统统管理员员的安全全职责：对外界访访问的关关注；检检查安全全漏洞4.随时时进行病病毒检查查3DesignedByWand经济贸易学院财务管理系Department of Financial Management3.4电电子商务务安全管管理制度度二、保密密制度三、跟踪踪、审计计、稽核核制度跟踪制度度要求建建立网交交易系统统日志；审计制度度指对系系统日志志的检查查审核；稽核是相相关部门门对交易易安全及及合