电子商务概论07章

电子商务概论2023/2/62电子商务概论第七章电子商务安全技术

电子商务安全概述1加密技术2认证技术3电子商务安全交易协议42023/2/63电子商务概论第七章电子商务安全技术

Internet之所以能发展成为今天的全球性网络，主要是依赖于它的开放性。但是，这种开放式的信息交换方式使其网络安全具有很大的脆弱性。由于电子商务交易平台的虚拟性和匿名性，其安全问题也变得越来越突出，成为制约其进一步发展的重要瓶颈。电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。2023/2/64电子商务概论第一节电子商务安全概述一、电子商务中的风险

1.信息传输风险

2023/2/65电子商务概论第一节电子商务安全概述一、电子商务中的风险

2.信用风险——买家、卖家、买卖双方3.管理方面的风险4.法律方面的风险2023/2/66电子商务概论第一节电子商务安全概述二、电子商务安全需求1．信息的保密性

2．信息的完整性

3．交易者身份确定性

4．不可否认性

5．系统的可靠性2023/2/67电子商务概论第一节电子商务安全概述二、电子商务安全需求

请给丁汇100元乙甲请给丁汇100元请给丙汇100元丙请给丙汇100元

交易各方能够验证收到的信息是否完整，即信息是否被人篡改过，或者在数据传输过程中是否出现信息丢失、信息重复等差错。2023/2/68电子商务概论第一节电子商务安全概述三、电子商务安全的保障体系技术上的安全保障4312电子商务安全保障的正确理念管理上的安全措施法律上的安全保障2023/2/69电子商务概论第二节加密技术一、加密的相关概念

一般情况下，把信息的原始形式称为明文，明文经过变换加密后的形式称为密文。那么由明文变成密文的过程称为加密，由密文变成明文的过程称为解密。2023/2/610电子商务概论第二节加密技术一、加密的相关概念

算法：计算机解决问题的方法和步骤，就是计算机的算法。

密钥：密钥是一个数值，它和加密算法一起生成特别的密文。2023/2/611电子商务概论第二节加密技术二、加密技术方法

数据加密技术就是通过信息的变换编码，将机密的敏感信息变换成难以读懂的乱码型信息的方法。（1）对称加密技术2023/2/612电子商务概论第二节加密技术二、加密技术方法（1）对称加密技术优点:

加密速度快、保密度高等缺点：（1）密钥是保密通信安全的关键。（2）多人通信时密钥和组合的数量会出现爆炸性的膨胀，使密钥分发更加复杂化。（3）通信双方必须统一密钥，才能发送保密的信息。2023/2/613电子商务概论第二节加密技术二、加密技术方法

（2）非对称式加密技术2023/2/614电子商务概论第二节加密技术二、加密技术方法（2）非对称式加密技术优点：（1）密钥少便于管理。（2）密钥分配简单。（3）不需要秘密的通道和复杂的协议来传送密钥。（4）可以实现数字签名和数字鉴别。缺点：加、解密速度慢。2023/2/615电子商务概论第二节加密技术二、加密技术方法

（3）混合加密技术混合加密技术不是一种单一的加密技术，而是一个结合体，是上述两种数据加密技术相互结合的产物。混合加密技术是用户在实际应用中总结出来的，它可以弥补对称加密技术和非对称加密技术的弱点，使二者优势互补，同时达到方便用户的目的。2023/2/616电子商务概论第二节加密技术三、密钥的管理

（1）密钥的使用要注意时效和次数

（2）多密钥的管理2023/2/617电子商务概论第二节加密技术四、加密技术在电子商务中的应用

（1）加密技术在商务信息保密中的应用（2）加密技术在身份认证中的应用2023/2/618电子商务概论第三节认证技术一、数字证书1.数字证书的定义与工作原理数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生话中的身份证。它是一个由权威机构——CA机构，又称为证书授权（CertificateAuthority）中心发行的，人们可以在交往中用它来识别对方的身份。2023/2/619电子商务概论第三节认证技术一、数字证书1.数字证书的定义与工作原理

数字证书的工作原理，就是信息接收方在网上收到发送方发来的业务信息的同时，还收到发送方的数字证书。在发送方与接收方交换数字证书的同时，双方得到对方的公开密钥。由于公开密钥是包含在数字证书中的，且借助证书上数字摘要（缩略图）的验证，确信收到的公开密钥肯定是对方的。通过这个公开密钥，双方就可完成数据传送中的加／解密工作。2023/2/620电子商务概论第三节认证技术一、数字证书

数字证书的内容2023/2/621电子商务概论第三节认证技术一、数字证书3.数字证书的使用与有效性

（1）证书没有过期。（2）密钥没有被修改。（3）有可信任的相应的颁发机构CA及时管理与回收无效证书，并且发行无效证书清单。2023/2/622电子商务概论第三节认证技术一、数字证书4.数字证书的种类

（1）持卡者证书

（2）商家证书

（3）支付网关证书

（4）收单行证书

（5）发卡行证书2023/2/623电子商务概论第三节认证技术二、数字签名数字签名中很常用的就是散列（HASH）函数，也称消息摘要（MessageDigest）、哈希函数或杂凑函数等，其输入为一可变长输入，返回一固定长度串，该串被称为输入的散列值（消息摘要）。日常生活中，通常通过对某一文档进行签名来保证文档的真实有效性，可以对签字方进行约束，防止其抵赖行为，并把文档与签名同时发送以作为日后查证的依据。2023/2/624电子商务概论第三节认证技术二、数字签名

1.数字签名概念把HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的HASH，而不是由其他人假冒。而把这两种机制结合起来就可以产生所谓的数字签名（DigitalSignature）。2023/2/625电子商务概论第三节认证技术二、数字签名

2.数字签名步骤数字签名的生成

2023/2/626电子商务概论第三节认证技术二、数字签名

2.数字签名步骤数字签名的验证

2023/2/627电子商务概论第三节认证技术二、数字签名

3.数字签名的功能数字签名可以解决否认、伪造、篡改及冒充等问题。具体功能有：发送者事后不能否认发送的报文签名；接收者能够核实发送者发送的报文签名；接收者不能伪造发送者的报文签名；接收者不能对发送者的报文进行部分篡改；网络中的某一用户不能冒充另一用户作为发送者或接收者。2023/2/628电子商务概论第三节认证技术三、认证技术

1.CA的定义所谓认证中心，也称数字证书认证中心，英文为CertificationAuthority，简称CA，是基于Internet平台建立的一个公正的、有权威性的、独立的（第三方的）和广受信赖的组织机构，主要负责数字证书的发行、管理以及认证服务，以保证网上业务安全可靠地进行。2023/2/629电子商务概论第三节认证技术三、认证技术

2.CA的技术基础

CA的技术基础是PKI体系。PKI就是利用公钥理论和技术建立的提供网络安全服务的基础设施。一个完整的PKI系统的基本构成包括权威的认证中心CA、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等。2023/2/630电子商务概论第三节认证技术三、认证技术

3.CA的功能（1）生成密钥对及CA证书（2）验证申请人身份（3）颁发数字证书（4）证书以及持有者身份认证查询2023/2/631电子商务概论第三节认证技术三、认证技术

3.CA的功能（5）证书管理及更新（6）吊销证书（7）制定相关政策（8）有能力保护数字证书服务器的安全2023/2/632电子商务概论第三节认证技术三、认证技术

4.CA的组成框架证书的发放过程实际上由两大部分组成：一部分是证书的申请、制作、发放；另一部分是用户的身份认证。2023/2/633电子商务概论第三节认证技术三、认证技术

4.CA的组成框架2023/2/634电子商务概论第四节电子商务安全交易协议一、SSL协议

由美国Netscape公司于1995年开发和倡导的安全套接层（SSL）协议，是目前安全电子商务交易中使用最多的协议之一。SSL协议主要用于提高应用程序之间的数据的安全系数。SSL协议的实现属于Socket层，在Internet网络层次中的位置处于应用层和传输层之间。SSL协议是国际上最早应用于电子商务的一种网络安全协议，至今仍然有很多网上商店使用。2023/2/635电子商务概论第四节电子商务安全交易协议一、SSL协议

1.SSL协议提供的安全服务SSL协议对计算机之间的各种通信HTTP、FTP、Telnet等都提供安全保护。SSL协议主要提供如下三方面的服务：（1）用户和服务器的合法性认证。（2）加密数据以隐藏被传送的数据。（3）保护数据的完整性。2023/2/636电子商务概论第四节电子商务安全交易协议一、SSL协议

2.SSL协议的运行步骤（1）接通阶段。（2）密钥交换阶段。（3）协商密钥阶段。（4）检验阶段。（5）客户认证阶段。（6）结束阶段。2023/2/637电子商务概论第四节电子商务安全交易协议一、SSL协议

3.SSL协议的体系结构（1）SSL记录协议（2）更改密文规范协议（3）告警协议（4）SSL握手协议2023/2/638电子商务概论第四节电子商务安全交易协议二、SET协议SET协议（SecureElectronicTransaction，安全电子交易）是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。它采用公钥密码体制（PKI）和X.509电子证书标准，通过相应软件、电子证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。2023/2/639电子商务概论第四节电子商务安全交易协议二、SET协议1.SET协议的安全服务

（1）信息在Internet上安全传输，保证网上传输的数据不被黑客窃取；

（