1、第5章 電子商務(wù)安全交易,電子商務(wù)安全概述,電子商務(wù)的安全問題,1賣方面臨的問題 (1)中央系統(tǒng)安全性被破壞 (2)競爭對手檢索商品遞送狀況 (4)買方提交訂單后不付款 (5)獲取他人的機(jī)密數(shù)據(jù),2買方面臨的問題 (1)付款后不能收到商品 (2)機(jī)密性喪失 (3)拒絕服務(wù),第5章 電子商務(wù)安全交易,電子商務(wù)安全概述,電子商務(wù)的安全問題,3信息傳輸問題 (1)冒名偷竊 (2)篡改數(shù)據(jù) (3)信息丟失 (4)信息傳遞過程中的破壞 (5)虛假信息,4信用問題 (1)來自買方的信用問題 (2)來自賣方的信用風(fēng)險 (3)買賣雙方都存在抵賴的情況,第5章 電子商務(wù)安全交易,電子商務(wù)安全概述,電子商務(wù)的安全

2、體系,1電子商務(wù)系統(tǒng)硬件安全 2電子商務(wù)系統(tǒng)軟件安全 3電子商務(wù)系統(tǒng)運行安全 4電子商務(wù)安全立法,第5章 電子商務(wù)安全交易,電子商務(wù)安全概述,電子商務(wù)的安全控制要求,信息傳輸 的保密性,信息的保密性是指信息在傳輸 過程或存儲中不被他人竊取,交易文件 的完整性,防止非法竄改和破壞網(wǎng)站上的信息 收到的信息與發(fā)送的信息完全一樣,信息的不 可否認(rèn)性,發(fā)送方不能否認(rèn)已發(fā)送的信息 接收方不能否認(rèn)已收到的信息,交易者身份 的真實性,交易者身份的真實性是指交易 雙方確實是存在的不是假冒的,第5章 電子商務(wù)安全交易,電子商務(wù)安全概述,電子商務(wù)的安全管理,1保密制度 絕密級：網(wǎng)址、密碼不在因特網(wǎng)上公開，只限高層管

3、理人員掌握 機(jī)密級：只限公司中層管理人員以上使用 秘密級：在因特網(wǎng)上公開，供消費者瀏覽，但必須防止黑客侵入,2網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度 （1）硬件的日常管理和維護(hù) （2）軟件的日常維護(hù)和管理 （3）數(shù)據(jù)備份制度。 （4）用戶管理,第5章 電子商務(wù)安全交易,電子商務(wù)安全概述,電子商務(wù)的安全管理,3病毒防范制度 （1）給電腦安裝防病毒軟件 （2）不打開陌生電子郵件 （3）認(rèn)真執(zhí)行病毒定期清理制度 （4）控制權(quán)限 （5）高度警惕網(wǎng)絡(luò)陷阱,3病毒防范制度 （1）給電腦安裝防病毒軟件 （2）不打開陌生電子郵件 （3）認(rèn)真執(zhí)行病毒定期清理制度 （4）控制權(quán)限 （5）高度警惕網(wǎng)絡(luò)陷阱,第5章 電子商務(wù)安全交易

4、,電子商務(wù)安全概述,電子商務(wù)的安全管理,5瀏覽器安全設(shè)置 （1）管理Cookie的技巧 （2）禁用或限制使用Java、Java小程序腳本 ActiveX控件和插件 （3）調(diào)整自動完成功能的設(shè)置,第5章 電子商務(wù)安全交易,電子商務(wù)安全技術(shù),數(shù)據(jù)加密技術(shù),加密技術(shù)，就是采用數(shù)學(xué)方法對原始信息(通常稱為“明文”) 進(jìn)行再組織，使得加密后在網(wǎng)絡(luò)上公開傳輸?shù)膬?nèi)容對于非法 接收者來說成為無意義的文字(加密后的信息通常稱為“密文”),加密和解密,密碼系統(tǒng)的構(gòu)成,第5章 電子商務(wù)安全交易,電子商務(wù)安全技術(shù),數(shù)據(jù)加密技術(shù),通用密鑰密碼體制,通用密鑰密碼體制就是加密密鑰Ke和解密密 鑰Kd是通用的，即發(fā)送方和接收

5、方使用同樣 密鑰的密碼體制，也稱之為“傳統(tǒng)密碼體制”,愷撒密碼,第5章 電子商務(wù)安全交易,電子商務(wù)安全技術(shù),數(shù)據(jù)加密技術(shù),公開密鑰密碼體制,公開密鑰密碼體制 的加密密鑰Ke與解 密密鑰Kd不同，只 有解密密鑰是保密 的，稱為私人密鑰 而加密密鑰完全公 開，稱為公共密鑰,第5章 電子商務(wù)安全交易,電子商務(wù)安全技術(shù),數(shù)字摘要,安全Hash編碼法(SHA),數(shù)字指紋,SHA編碼法采用單向Hash函數(shù)將需 加密的明文“摘要”成一串128bit的密文,數(shù)字簽名,數(shù)字簽名技術(shù),第5章 電子商務(wù)安全交易,電子商務(wù)安全技術(shù),數(shù)字簽名技術(shù),數(shù)字時間戳是一個經(jīng)加密后形成 的憑證文檔，它包括三個部分： 一是需加時間

6、戳的文件的摘要； 二是DTS收到文件的日期和時間 三是DTS的數(shù)字簽名。,數(shù)字時間戳,第5章 電子商務(wù)安全交易,電子商務(wù)安全技術(shù),數(shù)字證書,數(shù)字證書又稱為數(shù)字憑證，數(shù)字標(biāo)識是 一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公 開密鑰擁有者信息以及公開密鑰的文件,證書的版本信息； 證書的序列號； 證書所使用的簽名算法； 證書的發(fā)行機(jī)構(gòu)名稱； 證書的有效期； 證書所有人的名稱； 證書所有人的公開密鑰； 證書發(fā)行者對證書的簽名。,X.509數(shù)字證書包含,第5章 電子商務(wù)安全交易,電子商務(wù)安全技術(shù),數(shù)字證書,（1）個人身份證書 （2）個人Email證書 （3）單位證書 （4）單位Email證書 （5）應(yīng)用服務(wù)器證書

7、 （6）代碼簽名證書,數(shù)字證書的類型,（1）證書的頒發(fā) （2）證書的更新 （3）證書的查詢 （4）證書的作廢 （5）證書的歸檔,認(rèn)證中心的作用,第5章 電子商務(wù)安全交易,電子商務(wù)安全技術(shù),信息加密與數(shù)字認(rèn)證的綜合應(yīng)用,SSL協(xié)議,SSL 安全套接層協(xié)議適用于點對點之間的信息傳輸 通過在瀏覽器軟件和WWW服務(wù)器建立一條安全通道,SSL協(xié)議 基本結(jié)構(gòu),SSL記錄協(xié)議用來封裝高層的協(xié)議。 SSL握手協(xié)議能夠通過特定的加密算法相互鑒別,第5章 電子商務(wù)安全交易,電子商務(wù)安全技術(shù),安全交易協(xié)議,SSL協(xié)議,SET協(xié)議,SET協(xié)議提供對消費者、商家和收單行的認(rèn)證 確保交易數(shù)據(jù)的安全性、完整性和交易的不可否認(rèn)性,SET協(xié)議 設(shè)計思想,保證信息的加密性 、驗證交易各方 保證支付的完整性和一致性 、保證互操作性,收單行,商家,用戶,購物信息,支付