购买

¥ 13.0

加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 电子商务交易安全

电子商务交易安全.ppt

电子商务交易安全

三千越甲
2019-06-05 0人阅读 举报 0 0 暂无简介

简介:本文档为《电子商务交易安全ppt》,可适用于战略管理领域

第五章电子商务交易安全引例:电子商务网站的安全隐患年月日,菲律宾的一名计算机人员制造了一种为ldquo爱虫rdquo的计算机病毒天内侵入了全球多万台计算机造成经济损失高达亿美元。年我国曾有人利用新闻组查到普通技术手段轻松的从多个商业网站窃取了万多个用户的信用卡帐户和密码并且公开在网络于万人民币出售引例:美国的黑色三天年月日雅虎网站除了三个邮件的服务器没有被攻击以外其他的网站都是被黑客攻击了。年月日美国股市和EBAY网络上书店AMAZON都是被黑客攻击。年月日美国科技新闻出现的内容被中断了个小时我国历年计算机病毒感染率 年 年 年 年年熊猫烧香病毒经历了几次大规模爆发后ldquo熊猫烧香rdquo掀起了电脑病毒蔓延的狂潮成为众多电脑用户谈之色变的词汇。《瑞星安全报告》将其列为十大病毒之首它的蔓延拷问着网络的公共安全。犯罪嫌疑人李俊今年岁是武汉人年毕业后李俊曾多次到北京、广州等地寻找工作尤其钟情于网络安全公司但均未成功。为了泄愤李俊开始编写病毒年曾编写过ldquo武汉男生rdquo病毒年编写了ldquo武汉男生rdquo病毒及ldquoQQ尾巴rdquo病毒。李俊交代他编写ldquo熊猫烧香rdquo还具有强烈的商业目的:可以暗中盗取用户游戏账号、QQ账号以供出售牟利还可以控制受感染电脑暗中访问一些按访问流量付费的网站从而获利。部分变种中还含有盗号木马。电子商务安全概述电子商务安全关键技术电子商务安全解决方案电子商务安全面临的挑战电子商务迅速发展年全球电子商务交易额为亿美元预计年电子商务交易额将达到.万亿美元约占世界贸易总额的/。到年月日为止我国上网人数约为万年全国有多个电子商务网站年达到家我国电子商务交易额年约为亿元年约为亿元预计到年将突破lOO亿元。根据中国互联网络信息中心(CNNIC)发布的ldquo中国互联网络发展状况统计报告()rdquo在电子商务方面%的用户最关心的是交易的安全可靠性。由此可见电子商务的安全问题是实现电子商务的关键之所在。电子商务安全的体系结构电子商务安全从整体上可分为两大部分:一是计算机网络安全二是商务交易安全计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题实施网络安全增强方案以保证计算机网络自身的安全性为目标商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题在计算机网络安全的基础上如何保障电子商务过程的顺利进行计算机网络安全与商务交易安全实际上是密不可分的两者相辅相成缺一不可网络安全的基本要求保密性:保持个人的、专用的和高度敏感数据的机密认证性:可鉴别性确认通信双方的合法身份完整性:保证所有存储和管理的信息不被篡改可访问性:保证系统、数据和服务能由合法的人员访问防御性:能够阻挡不希望的信息和黑客不可抵赖性:防止通信或交易双方对已进行业务的否认合法性:保证各方面的业务符合可适用的法律和法规计算机网络安全体系结构一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术在攻击者和受保护的资源间建立多道严密的安全防线极大地增加了恶意攻击的难度并增加了审核信息的数量利用这些审核信息可以跟踪入侵者。电子商务安全威胁?信息的截获和窃取如果没有采用加密措施或加密强度不够攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器时截获数据等方式获取输的机密信息或通过对信息流量和流向、通信频度和长度等参数的分析推出有用信息如消费者的银行帐号、密码以及企业的商业机密等。电子商务安全威胁(续)信息的篡改当攻击者熟悉了网络信息格式以后通过各种技术方法和手段对网络传输的信息进行中途修改并发往目的地从而破坏信息的完整性。这种破坏手段主要有三个方面:()篡改改变信息流的次序更改信息的内容如购买商品的出货地址()删除删除某个消息或消息的某些部分()插入在消息中插入一些信息让收方读不懂或接收错误的信息。数据的非法截获、读取或者修改信源信宿(a)正常信源信宿(b)中断信源信宿(c)截获第三者信源信宿(d)篡改第三者电子商务安全威胁(续)信息假冒当攻击者掌握了网络信息数据规律或解密了商务信息以后可以假冒合法用户或发送假冒信息来欺骗其他用户主要有两种方式()伪造电子邮件:虚开网站和商店给用户发电子邮件收定货单伪造大量用户发电子邮件穷尽商家资源使合法用户不能正常访问网络资源使有严格时间要求的服务不能及时得到响应伪造用户发大量的电子邮件窃取商家的商品信息和用户信用等信息。()假冒他人身份:如冒充领导发布命令、调阅密件冒充他人消费、栽赃冒充主机欺骗合法主机及合法用户冒充网络控制程序套取或修改使用权限、通行字、密钥等信息接管合法用户欺骗系统占用合法用户的资源电子商务安全威胁(续)交易抵赖交易抵赖包括多个方面:()发信者事后否认曾经发送过某条消息或内容()收信者事后否认曾经收到过某条消息或内容()购买者做了订货单不承认()商家卖出的商品因价格差而不承认原有的交易。冒名顶替和否认行为不是我们买的!电子商务安全需求机密性(confidentiality):预防非法的信息存取和信息在传输过程中被非法窃取。一般通过密码技术来对传输的信息进行加密处理来实现。完整性(integrity):预防对信息的随意生成、修改和删除同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息消息摘要的加密技术来获得。不可抵赖性(nonrepudiation):对人或实体的身份进行鉴别为身份的真实性提供保证即交易双方能够在相互不见面的情况下确认对方的身份。一般都通过数字签名、证书机构CA和证书来实现。真实性(authenticity):在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。一般通过对发送的消息进行数字签名来获取。电子交易的安全技术身份认证:确定贸易伙伴的真实性数据加密和解密:保证电子单证的秘密性时间戳、消息的流水作业号:保证被传输的业务单证不会丢失散列技术:保证电子单证内容的完整性数字签名技术:保证电子单证的真实性CA认证:防止收发双方可能的否认或抵赖电子交易的安全协议标准安全超文本传输协议(S-HTTP)安全套接层协议(SSL)安全交易技术协议(STTSecureTransactionTechnology)安全电子交易协议(SETSecureElectronicTransaction)电子商务安全概述电子商务安全关键技术电子商务安全解决方案电子商务的安全技术、病毒防范、黑客防范、加密技术、认证技术、安全协议加密技术加密技术是保证信息的保密性的有效手段。信息加密所必需的两个要素:密钥、算法。)密钥的概念将明文数据进行某种变换使其成为不可理解的形式这个过程就是加密这种不可理解的形式称为密文。解密是加密的逆过程即将密文还原成明文。加密和解密必须依赖两个要素这两个要素就是算法和密钥。算法是加密和解密的计算方法密钥是加密和加密所需的一串数字。密钥的产生过程例如:采用移位加密法使移动位后的英文字母表示原来的英文字母对应关系如下:例如:将字母abcdehellipxyz的自然顺序保持不变但使之与DEFGHhellipYZAB分别对应(即相差个字符)。若明文为and则对应密文为DQG。(接收方知其密码为它就能解开此密文)。加密有两种基本的体制mdashmdash对称加密体制mdashmdash非对称加密体制。对称加密体制对信息的加密、解迷密使用相同的密钥代表:DES优点:简单、速度快问题:密钥的分发密钥的管理对称密钥系统(DES)非对称加密体制特点特点:加密密钥与解密密钥不同一个公开作为加密密钥一个为用户专用作为解密密钥优点:适合密钥分发、数字签名、鉴别等缺点:计算量大不适合信息量大、速度要求快的加密代表:RSA算法非对称加密体制(RSA)是非对称密码算法:加密密钥和解密密钥不相同、并且由加密密钥推导出解密密钥(或者由解密密钥推导出加密密钥)是计算上不可行的若以公钥作为加密密钥以用户专用密钥作为解密密钥则可实现多个用户加密的消息只能由一个用户解读通常用于保密通信若以用户专用密钥作为加密密钥而以公钥作为解密密钥则可实现由一个用户加密的消息使多个用户解读通常用于数字签字对称加密体制和非对称加密体制比较对称加密体制密钥长度短运算速度快密钥个数一个加、解密算法相同密钥分配困难可用于数据加密和消息的认证无法满足互不相识的人之间进行私人谈话时的保密性需求非对称加密体制密钥长度长运算速度慢密钥个数两个加、解密算法不同密钥分配简单可以完成数字签名和实现保密通信可满足互不相识的人之间进行私人谈话时的保密性需求认证技术加密和认证是Internet信息安全彼此独立的两个方面它们都采用了密码学的基本理论加密保证了Internet信息的机密性认证则保护了信息的真实性和完整性。实现认证功能的密码系统称为认证系统(AuthenticationSystem)。一个安全的认证系统应满足防伪造、防抵赖、防窃听、防篡改的要求。消息的认证性和消息的保密性不同mdashmdash保密性是使截获者在不知密钥条件下不能解读密文的内容mdashmdash认证性是使任何不知密钥的人不能构造一个密报使意定的接收者解密一个可理解的消息(合法消息)()信息认证内容mdash确认信息的来源mdash验证信息内容的完整性mdash确认信息的序号和时间数字签名技术身份认证技术数字签名技术数字时间戳消息的流水作业号技术()身份认证目标:可信性、完整性、不可抵赖性、访问控制基本方式mdash用户所知道的某个秘密信息(如口令)mdash用户所持有的某个秘密信息或硬件(如智能卡)mdash用户所具有的某些生物学特征(如指纹)常用方法mdash身份认证的单因素法:口令改进:计算机不存储口令只存储口令的单项函数值身份认证(续)mdash基于智能卡的用户身份认证(双因素法)mdash一次口令机制mdash基于Kerberos协议的认证KDCCS许可证会话key会话key加密Kerberos系统基于CA的身份认证Internet的认证系统可分为用户对主机、主机对主机、用户对用户以及第三方验证。目前用的最多的是第三方验证是在一系列安全协议的支持下建立起来的认证系统由一个大家都相信的第三方认证中心(CertificateAuthority)来验证公钥的真实可靠性数字证书(Digitalcertificates)数字证书:是一个担保个人、计算机系统或组织的身份和密钥所有权的电子文档它的格式必须符合CCITTX国际标准的规定数字证书可以解决公开密钥的认证问题基于公开密钥体制(PKI)的数字证书是电子商务安全体系的核心其用途是利用公共密钥加密系统来保护与验证公众的密钥由可信任的、公正的权威机构CA颁发应用程序能识别的证书类型如下:客户证书(个人证书)、站点证书(服务器证书)、安全邮件证书、CA证书数字证书的作用数字证书可用于:发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。数字证书(续)证书的内容(证书格式遵循X国际标准)mdash证书的数据:版本信息、证书序列号、CA使用的签名算法、发行证书CA的名称、证书的有效期、被证明的公钥信息mdash发行证书的CA签名:CA签名和签名算法证书的有效性mdash证书没有过期mdash密钥没有修改mdash用户仍然有权使用这个密钥mdashCA负责回收证书发行无效证书清单证书使用证书帮助证实个人身份你的证书和你的密钥就是你是谁的证据查看证书内容()查看证书内容()查看证书内容()认证机构(CertificateAuthority)CA机构又称为证书授证(CertificateAuthority)中心作为电子商务交易中受信任的第三方承担公钥体系中公钥的合法性检验的责任通常由一个或多个用户信任的组织实体组成CA的核心职能是发放和管理用户的数字证书。主要功能有接收注册请求处理、批准拒绝请求颁发证书CA的基本功能生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名对数字证书和数字签名进行验证对数字证书进行管理重点是证书的撤消管理同时追求实施自动管理(非手工管理)建立应用接口特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键证书的树形验证机构根CA南方电子商务中心(广东CA)SouthernElectronicBusinessCenterClassBCA(海南)HNCA(湖北)HBECA证书证书证书证书数字证书的类型数字证书主要有以下类型:()个人数字证书()单位证书()软件数字证书数字证书的申请()下载并安装根证书()申请证书()将个人身份信息连同证书序列号一并邮寄到中国数字认证网下载根证书()下载根CA下载根证书()安装根证书()安装根证书()查看根证书申请个人免费证书下载个人证书查看个人证书数字签名(DigitalSignature)数字签名必须保证:mdash接收者能够核实发送者对报文的签名mdash发送者事后不能抵赖对报文的签名mdash接收者不能伪造对报文的签名数字签名与手书签名:mdash手书签名是模拟的因人而异mdash数字签名是由和组成的数字串因消息而异数字签名方法Hash算法原文摘要摘要对比?原文摘要数字签名InternetHash算法发送方接收方发送者私钥加密数字签名发送者公钥解密消息摘要技术ldquo数字摘要rdquo技术(DigitalDigest)也称作安全HASH编码法采用单向HASH函数将需要加密的明文ldquo摘要rdquo成一串密文保证:信息的完整性信息摘要过程Hash算法原文摘要摘要对比?原文摘要InternetHash算法发送方接收方数字时间戳(DigitalTimeStamp)交易文件中文件签署日期和签名一样是防止被伪造和篡改的关键性内容数字时间戳服务(DTS)是网上安全服务项目由专门的机构提供时间戳是一个经过加密后形成的凭证文档包括:需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名时间戳产生过程:用户将需加时间戳的文件用HASH编码加密形成摘要并将其发送到DTSDTS在加入了收到日期和时间信息后再对该文件加密和数字签名然后返回用户数字时间戳图获得数字时间戳的过程Hash算法原文摘要摘要加时间数字时间戳数字时间戳Hash算法Internet用DTS机构的私钥加密发送方DTS机构加了时间后的新摘要摘要时间数据的完整性(integrity)数据的完整性是用来认证消息、检验数据是否被篡改的技术是另一类型的数字签名实现技术:双钥加密算法和消息摘要算法应用:消息不需加密但要鉴别如银行发出的支票Alice与Bob通话Bob希望验证消息的完整性:mdashAlice就要使用SHA来计算消息(密文)的消息摘要并使用自己的私有密钥对这个消息摘要进行加密(即该消息的签名)mdashAlice将消息发给BobmdashBob接到消息后首先用Alice的公开密钥解密然后计算消息的消息摘要再比较两者是否相同mdash若相同Bob就能确信接受到的消息是完整的不可否认性(nonrepudiation)分类:mdash发方的不可否认性mdash收方的不可否认性mdash传递方的不可否认性技术:mdash数字签名:发方、收方和传递方均可用mdash可信赖第三方:公钥证书、时戳、证据保存、中介递送、解决纠纷、仲裁mdash智能处理:把传递方当作服务器实行接收方先签名再阅读信件电子商务安全概述电子商务安全关键技术电子商务安全解决方案安全协议安全套接层服务(SSL:SecureSocketsLayer)安全电子交易协议(SET:SecureElectronicTransaction)包括SSL记录协议与SSL握手协议SSL记录协议基本特点:连接是专用的连接是可靠的SSL握手协议基本特点:能对通信双方的身份认证进行协商的双方的秘密是安全的协商是可靠的SSL安全协议主要提供三方面的服务:()认证用户和服务器使得它们能够确信数据将被发送到正确的客户机和服务器上。()加密数据以隐藏被传送的数据。()维护数据的完整性确保数据在传输过程中不被改变。安全电子交易协议(SET:SecureElectronicTransaction)SET是在统一了SEPP(SecureElectronicPaymentProtocol)和STT(SecureTransationTechnology)后由IBM、Mastercard、Visa、Microsoft、Netscape、GET、VeriSign、SAIC、Terisa等于年月共同发布的它涵盖了信用卡在电子商务交易中的交易协议、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球国际网络的标准它的交易形态将成为末来电子商务的规范。SET安全技术协议(安全电子交易协议)SET安全技术协议的作用信息能在网上安全传输个人帐号信息与订单信息的隔离对交易者的身份进行确认和担保统一协议和报文的格式SET安全技术协议的特点对商家提供了保护自己的手段使商家免受欺诈对消费者而言SET保证了商家的合法性并且用户的信用卡号不会被窃取SET帮助银行及信用卡机构将业务扩展到INTERNET上全信用卡网上支付具有更低的欺骗概率比其他支付方式具有更大竞争力SET对于参与交易的各方定义了互操作接口一个系统可以由不同厂商的产品构筑SET具体工作流程说明如下:SSL与SET的比较

VIP尊享8折文档

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/79

电子商务交易安全

¥13.0

会员价¥10.4

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利