電子商務(wù)概論07章

電子商務(wù)概論2023/2/62電子商務(wù)概論第七章電子商務(wù)安全技術(shù)

電子商務(wù)安全概述1加密技術(shù)2認證技術(shù)3電子商務(wù)安全交易協(xié)議42023/2/63電子商務(wù)概論第七章電子商務(wù)安全技術(shù)

Internet之所以能發(fā)展成為今天的全球性網(wǎng)絡(luò)，主要是依賴于它的開放性。但是，這種開放式的信息交換方式使其網(wǎng)絡(luò)安全具有很大的脆弱性。由于電子商務(wù)交易平臺的虛擬性和匿名性，其安全問題也變得越來越突出，成為制約其進一步發(fā)展的重要瓶頸。電子商務(wù)安全從整體上可分為兩大部分：計算機網(wǎng)絡(luò)安全和商務(wù)交易安全。2023/2/64電子商務(wù)概論第一節(jié)電子商務(wù)安全概述一、電子商務(wù)中的風(fēng)險

1.信息傳輸風(fēng)險

2023/2/65電子商務(wù)概論第一節(jié)電子商務(wù)安全概述一、電子商務(wù)中的風(fēng)險

2.信用風(fēng)險——買家、賣家、買賣雙方3.管理方面的風(fēng)險4.法律方面的風(fēng)險2023/2/66電子商務(wù)概論第一節(jié)電子商務(wù)安全概述二、電子商務(wù)安全需求1．信息的保密性

2．信息的完整性

3．交易者身份確定性

4．不可否認性

5．系統(tǒng)的可靠性2023/2/67電子商務(wù)概論第一節(jié)電子商務(wù)安全概述二、電子商務(wù)安全需求

請給丁匯100元乙甲請給丁匯100元請給丙匯100元丙請給丙匯100元

交易各方能夠驗證收到的信息是否完整，即信息是否被人篡改過，或者在數(shù)據(jù)傳輸過程中是否出現(xiàn)信息丟失、信息重復(fù)等差錯。2023/2/68電子商務(wù)概論第一節(jié)電子商務(wù)安全概述三、電子商務(wù)安全的保障體系技術(shù)上的安全保障4312電子商務(wù)安全保障的正確理念管理上的安全措施法律上的安全保障2023/2/69電子商務(wù)概論第二節(jié)加密技術(shù)一、加密的相關(guān)概念

一般情況下，把信息的原始形式稱為明文，明文經(jīng)過變換加密后的形式稱為密文。那么由明文變成密文的過程稱為加密，由密文變成明文的過程稱為解密。2023/2/610電子商務(wù)概論第二節(jié)加密技術(shù)一、加密的相關(guān)概念

算法：計算機解決問題的方法和步驟，就是計算機的算法。

密鑰：密鑰是一個數(shù)值，它和加密算法一起生成特別的密文。2023/2/611電子商務(wù)概論第二節(jié)加密技術(shù)二、加密技術(shù)方法

數(shù)據(jù)加密技術(shù)就是通過信息的變換編碼，將機密的敏感信息變換成難以讀懂的亂碼型信息的方法。（1）對稱加密技術(shù)2023/2/612電子商務(wù)概論第二節(jié)加密技術(shù)二、加密技術(shù)方法（1）對稱加密技術(shù)優(yōu)點:

加密速度快、保密度高等缺點：（1）密鑰是保密通信安全的關(guān)鍵。（2）多人通信時密鑰和組合的數(shù)量會出現(xiàn)爆炸性的膨脹，使密鑰分發(fā)更加復(fù)雜化。（3）通信雙方必須統(tǒng)一密鑰，才能發(fā)送保密的信息。2023/2/613電子商務(wù)概論第二節(jié)加密技術(shù)二、加密技術(shù)方法

（2）非對稱式加密技術(shù)2023/2/614電子商務(wù)概論第二節(jié)加密技術(shù)二、加密技術(shù)方法（2）非對稱式加密技術(shù)優(yōu)點：（1）密鑰少便于管理。（2）密鑰分配簡單。（3）不需要秘密的通道和復(fù)雜的協(xié)議來傳送密鑰。（4）可以實現(xiàn)數(shù)字簽名和數(shù)字鑒別。缺點：加、解密速度慢。2023/2/615電子商務(wù)概論第二節(jié)加密技術(shù)二、加密技術(shù)方法

（3）混合加密技術(shù)混合加密技術(shù)不是一種單一的加密技術(shù)，而是一個結(jié)合體，是上述兩種數(shù)據(jù)加密技術(shù)相互結(jié)合的產(chǎn)物?；旌霞用芗夹g(shù)是用戶在實際應(yīng)用中總結(jié)出來的，它可以彌補對稱加密技術(shù)和非對稱加密技術(shù)的弱點，使二者優(yōu)勢互補，同時達到方便用戶的目的。2023/2/616電子商務(wù)概論第二節(jié)加密技術(shù)三、密鑰的管理

（1）密鑰的使用要注意時效和次數(shù)

（2）多密鑰的管理2023/2/617電子商務(wù)概論第二節(jié)加密技術(shù)四、加密技術(shù)在電子商務(wù)中的應(yīng)用

（1）加密技術(shù)在商務(wù)信息保密中的應(yīng)用（2）加密技術(shù)在身份認證中的應(yīng)用2023/2/618電子商務(wù)概論第三節(jié)認證技術(shù)一、數(shù)字證書1.數(shù)字證書的定義與工作原理數(shù)字證書就是網(wǎng)絡(luò)通訊中標志通訊各方身份信息的一系列數(shù)據(jù)，其作用類似于現(xiàn)實生話中的身份證。它是一個由權(quán)威機構(gòu)——CA機構(gòu)，又稱為證書授權(quán)（CertificateAuthority）中心發(fā)行的，人們可以在交往中用它來識別對方的身份。2023/2/619電子商務(wù)概論第三節(jié)認證技術(shù)一、數(shù)字證書1.數(shù)字證書的定義與工作原理

數(shù)字證書的工作原理，就是信息接收方在網(wǎng)上收到發(fā)送方發(fā)來的業(yè)務(wù)信息的同時，還收到發(fā)送方的數(shù)字證書。在發(fā)送方與接收方交換數(shù)字證書的同時，雙方得到對方的公開密鑰。由于公開密鑰是包含在數(shù)字證書中的，且借助證書上數(shù)字摘要（縮略圖）的驗證，確信收到的公開密鑰肯定是對方的。通過這個公開密鑰，雙方就可完成數(shù)據(jù)傳送中的加／解密工作。2023/2/620電子商務(wù)概論第三節(jié)認證技術(shù)一、數(shù)字證書

數(shù)字證書的內(nèi)容2023/2/621電子商務(wù)概論第三節(jié)認證技術(shù)一、數(shù)字證書3.數(shù)字證書的使用與有效性

（1）證書沒有過期。（2）密鑰沒有被修改。（3）有可信任的相應(yīng)的頒發(fā)機構(gòu)CA及時管理與回收無效證書，并且發(fā)行無效證書清單。2023/2/622電子商務(wù)概論第三節(jié)認證技術(shù)一、數(shù)字證書4.數(shù)字證書的種類

（1）持卡者證書

（2）商家證書

（3）支付網(wǎng)關(guān)證書

（4）收單行證書

（5）發(fā)卡行證書2023/2/623電子商務(wù)概論第三節(jié)認證技術(shù)二、數(shù)字簽名數(shù)字簽名中很常用的就是散列（HASH）函數(shù)，也稱消息摘要（MessageDigest）、哈希函數(shù)或雜湊函數(shù)等，其輸入為一可變長輸入，返回一固定長度串，該串被稱為輸入的散列值（消息摘要）。日常生活中，通常通過對某一文檔進行簽名來保證文檔的真實有效性，可以對簽字方進行約束，防止其抵賴行為，并把文檔與簽名同時發(fā)送以作為日后查證的依據(jù)。2023/2/624電子商務(wù)概論第三節(jié)認證技術(shù)二、數(shù)字簽名

1.數(shù)字簽名概念把HASH函數(shù)和公鑰算法結(jié)合起來，可以在提供數(shù)據(jù)完整性的同時，也可以保證數(shù)據(jù)的真實性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改，而真實性則保證是由確定的合法者產(chǎn)生的HASH，而不是由其他人假冒。而把這兩種機制結(jié)合起來就可以產(chǎn)生所謂的數(shù)字簽名（DigitalSignature）。2023/2/625電子商務(wù)概論第三節(jié)認證技術(shù)二、數(shù)字簽名

2.數(shù)字簽名步驟數(shù)字簽名的生成

2023/2/626電子商務(wù)概論第三節(jié)認證技術(shù)二、數(shù)字簽名

2.數(shù)字簽名步驟數(shù)字簽名的驗證

2023/2/627電子商務(wù)概論第三節(jié)認證技術(shù)二、數(shù)字簽名

3.數(shù)字簽名的功能數(shù)字簽名可以解決否認、偽造、篡改及冒充等問題。具體功能有：發(fā)送者事后不能否認發(fā)送的報文簽名；接收者能夠核實發(fā)送者發(fā)送的報文簽名；接收者不能偽造發(fā)送者的報文簽名；接收者不能對發(fā)送者的報文進行部分篡改；網(wǎng)絡(luò)中的某一用戶不能冒充另一用戶作為發(fā)送者或接收者。2023/2/628電子商務(wù)概論第三節(jié)認證技術(shù)三、認證技術(shù)

1.CA的定義所謂認證中心，也稱數(shù)字證書認證中心，英文為CertificationAuthority，簡稱CA，是基于Internet平臺建立的一個公正的、有權(quán)威性的、獨立的（第三方的）和廣受信賴的組織機構(gòu)，主要負責(zé)數(shù)字證書的發(fā)行、管理以及認證服務(wù)，以保證網(wǎng)上業(yè)務(wù)安全可靠地進行。2023/2/629電子商務(wù)概論第三節(jié)認證技術(shù)三、認證技術(shù)

2.CA的技術(shù)基礎(chǔ)

CA的技術(shù)基礎(chǔ)是PKI體系。PKI就是利用公鑰理論和技術(shù)建立的提供網(wǎng)絡(luò)安全服務(wù)的基礎(chǔ)設(shè)施。一個完整的PKI系統(tǒng)的基本構(gòu)成包括權(quán)威的認證中心CA、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口等。2023/2/630電子商務(wù)概論第三節(jié)認證技術(shù)三、認證技術(shù)

3.CA的功能（1）生成密鑰對及CA證書（2）驗證申請人身份（3）頒發(fā)數(shù)字證書（4）證書以及持有者身份認證查詢2023/2/631電子商務(wù)概論第三節(jié)認證技術(shù)三、認證技術(shù)

3.CA的功能（5）證書管理及更新（6）吊銷證書（7）制定相關(guān)政策（8）有能力保護數(shù)字證書服務(wù)器的安全2023/2/632電子商務(wù)概論第三節(jié)認證技術(shù)三、認證技術(shù)

4.CA的組成框架證書的發(fā)放過程實際上由兩大部分組成：一部分是證書的申請、制作、發(fā)放；另一部分是用戶的身份認證。2023/2/633電子商務(wù)概論第三節(jié)認證技術(shù)三、認證技術(shù)

4.CA的組成框架2023/2/634電子商務(wù)概論第四節(jié)電子商務(wù)安全交易協(xié)議一、SSL協(xié)議

由美國Netscape公司于1995年開發(fā)和倡導(dǎo)的安全套接層（SSL）協(xié)議，是目前安全電子商務(wù)交易中使用最多的協(xié)議之一。SSL協(xié)議主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的實現(xiàn)屬于Socket層，在Internet網(wǎng)絡(luò)層次中的位置處于應(yīng)用層和傳輸層之間。SSL協(xié)議是國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議，至今仍然有很多網(wǎng)上商店使用。2023/2/635電子商務(wù)概論第四節(jié)電子商務(wù)安全交易協(xié)議一、SSL協(xié)議

1.SSL協(xié)議提供的安全服務(wù)SSL協(xié)議對計算機之間的各種通信HTTP、FTP、Telnet等都提供安全保護。SSL協(xié)議主要提供如下三方面的服務(wù)：（1）用戶和服務(wù)器的合法性認證。（2）加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。（3）保護數(shù)據(jù)的完整性。2023/2/636電子商務(wù)概論第四節(jié)電子商務(wù)安全交易協(xié)議一、SSL協(xié)議

2.SSL協(xié)議的運行步驟（1）接通階段。（2）密鑰交換階段。（3）協(xié)商密鑰階段。（4）檢驗階段。（5）客戶認證階段。（6）結(jié)束階段。2023/2/637電子商務(wù)概論第四節(jié)電子商務(wù)安全交易協(xié)議一、SSL協(xié)議

3.SSL協(xié)議的體系結(jié)構(gòu)（1）SSL記錄協(xié)議（2）更改密文規(guī)范協(xié)議（3）告警協(xié)議（4）SSL握手協(xié)議2023/2/638電子商務(wù)概論第四節(jié)電子商務(wù)安全交易協(xié)議二、SET協(xié)議SET協(xié)議（SecureElectronicTransaction，安全電子交易）是由VISA和MasterCard兩大信用卡公司于1997年5月聯(lián)合推出的規(guī)范。它采用公鑰密碼體制（PKI）和X.509電子證書標準，通過相應(yīng)軟件、電子證書、數(shù)字簽名和加密技術(shù)能在電子交易環(huán)節(jié)上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性。2023/2/639電子商務(wù)概論第四節(jié)電子商務(wù)安全交易協(xié)議二、SET協(xié)議1.SET協(xié)議的安全服務(wù)

（1）信息在Internet上安全傳輸，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客竊取；

（