电子商务安全 第10章 电子商务安全应用

第10章电子商务安全应用10.1在线电子银行系统的体系结构和安全需求10.1.1在线电子银行系统的体系结构图10.1基于Internet的电子银行系统构架

图10.2基无线应用协议的在线电子银行系统基本构架10.1.2在线电子银行系统的安全需求①

机密性②

实体鉴别数据鉴别④

不可抵赖性10.1.2在线电子银行系统的安全需求①

机密性②

实体鉴别数据鉴别④

不可抵赖性10.2在线电子银行系统的通信安全和客户认证10.2.1在线电子银行系统的通信安全

SSL/TLS/WTLS协议：

SSL/TLS/WTLS协议在客户和银行之间提供一条安全通道。这意味着在客户和银行两端间可以秘密地传输数据（数据的机密性）并且可以检测出数据是否被篡改（数据完整性）。SSL/TLS/WTLS协议的优点之一是能够它们可以在不同的通信协议中使用，而不严格要求是http协议。但它们还不能实现不可抵赖性，所以电子银行系统应该在安全通道之上实现不可抵赖的安全机制。10.2.1在线电子银行系统的通信安全

建立连接时，握手的目的：第一，客户和银行对所采用的加密算法达成一致；第二，生成密钥；双方相互鉴别。10.2.1在线电子银行系统的通信安全

建立连接时，握手的目的：第一，客户和银行对所采用的加密算法达成一致；第二，生成密钥；双方相互鉴别。10.2.2在线电子银行系统的客户认证常见的实现实体鉴别与事务鉴别的方法：（1）固定口令（2）动态口令（3）询问/应答（4）SSL/TLS/WTLS协议（5）数字签名（6）硬件标识10.2.2在线电子银行系统的客户认证常见的实现实体鉴别与事务鉴别的方法：（1）固定口令（2）动态口令（3）询问/应答（4）SSL/TLS/WTLS协议（5）数字签名（6）硬件标识10.3在线电子银行系统的其他安全问题10.3在线电子银行系统的其他安全问题（1）登录注册（2）授权（3）支付网关的安全措施（4）（5）安全平台（6）人为因素（7）日志和监控10.4在线网络证券交易系统的安全网络证券交易系统的优点①

系统中所有的交易与服务通过Web页面或者有线电话、无线电话呼叫中心自动进行，跨越了时间与空间的界限。②

系统按照每个用户的具体需求提供个性化服务，服务方式既可以是主动服务又可以是被动服务。③

所有交易的事务性工作均由计算机系统自动完成，大大提高了处理效率、降低了运营成本。网络证券交易系统的安全隐患对于在线网络证券交易系统而言，它仍然存在着与在线电子银行系统类似的安全问题，比如，它可能遭受黑客的入侵攻击、拒绝服务，在因特网上传输的数据被非法窃取、篡改、假冒或者重传，等等。

这些安全问题一方面有可能导致交易中断甚至导致委托交易服务器瘫痪，另一方面也会导致股民缺乏对在线网络证券交易系统的信任。

实际应用中应当高度重视在线网络证券交易系统的安全问题。客户与证券交易系统服务器进行保密通信过程客户端交易软件生成随机会话密钥，并利用证券公司的证书加密此会话密钥使用股民的私钥对加密结果进行数字签名将签名数据经过因特网发送到证券交易系统服务器服务器收到签名数据后，由服务器端交易软件使用股民的证书验证交易股民的身份。通过身份验证，证券交易系统服务器利用私钥解密还原出会话密钥，并利用此会话密钥进行双方的保密通信、完成相应的操作并提供需要的服务；否则，拒绝进行保密通信并断开与连接。1、客户认证和事务鉴别在在线安全电子银行系统中分别起到什么作用？2、试述在线电子银行系统采用SSL/TLS/WTLS协议的优缺点。3、试比较实现在线电子银行系统客户认证的几种常用方法的优缺点。4、为了解决不可抵赖性问题，实现在线电子银行系统时最好采用何种加密机制？5、