第9章电子商务安全技术与法律制度大纲

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

71第9章电子商务安全技术与法律制度一、主要内容与重点本章主要讲述以下四部分内容:1.电子商务安全基础知识:首先介绍了电子商务七大安全要素,然后介绍了网络攻击的九大常用方法。2.电子商务安全技术:首先介绍了密码技术,其中包含密码学的概念,加密和解密的示范以及加密的分类的内容。其次介绍了数字签名技术,其中包含数字签名的概念及使用方法。再次介绍了认证中心的概念,职能和基本组成部分以及中国知名的认证中心。最后简要介绍了PKI,重点讲解了电子商务安全协议。3.计算机病毒防范措施:首先介绍了计算机病毒的基础知识,包括概念,特点,计算机网络病毒的四种类型和组成部分。然后介绍了特洛伊木马病毒,包括木马的危害,原理,隐藏方式,防范工具和查杀方式。最后介绍了计算机网络病毒的危害与防范及防火墙。4.电子商务法律制度:介绍了电子商务参与各方的法律关系以及国内外电子商务法律体系的建设。9.1引言从案例说开去:9.1.1六作家状告网络公司著作权侵权案被告世纪互联通讯有限公司被六作家告上法庭未经许可将原告六作家的作品在网上传播,侵害了原告对其作品享有的使用权和获得报酬权。9.1.2百度下载MP3侵权案百度因MP3下载一事不断惹祸上身(中国法院网:)。1.上海步升音乐文化传播有限公司诉百度MP3下载侵权案上海步升音乐文化传播有限公司诉北京百度网讯科技有限公司侵犯其录音制作者权纠纷一案,2005年9月16日在北京市海淀区人民法院宣判,被告百度公司败诉,赔偿原告上海步升音乐文化传播有限公司经济损失6.8万元。2.香港七大唱片公司诉百度MP3下载侵权案2005年9月26日上午,百度公司在北京市第一中级人民法院再次坐上了被告席。此72次起诉百度的原告是香港七大唱片公司,他们状告百度公司未经允许在其经营的网站上对涉案的137首歌曲提供在线播放和下载服务,并为此向百度公司索赔经济损失167万元。9.1.3震撼世界的“蠕虫”病毒案罗伯特·莫瑞斯(RobertT·Morris,Jr.)是美国康奈尔大学(CornellUniversity)年仅23岁的学生,1988年11月2日,他在自己的计算机上,用远程命令将自己编写的蠕虫(Worm)程序送进互联网,希望这个“无害”的蠕虫程序可以慢慢地渗透到政府与研究机构的网络中,然而,由于莫瑞斯在他的程序编制中犯了一个小错误,结果这个蠕虫程序疯狂地不断复制自己,并向整个互联网迅速蔓延。9.2电子商务安全基础知识9.2.1电子商务安全要素1.可靠性2.真实性3.机密性4.完整性5.有效性6.不可抵赖性7.内部网的严密性9.2.2网络攻击的常用方法由于网络的全球性、开放性、无缝性、共享性、动态性,使得任何人都可以自由地接入互联网,包括黑客(Hacker)、入侵者(Cracker)和病毒制造者会采用各种攻击手段进行破坏活动,他们常用的攻击方法主要有:1.系统穿透2.违反授权原则3.植入4.通信监听5.通信窜扰6.中断7.拒绝服务8.电子邮件轰炸9.病毒技术9.3电子商务安全技术9.3.1密码技术1.密码学密码学分为密码编码学和密码分析学。密码编码学研究设计出安全的密码体制,防止被破译,而密码分析学则研究如何破译密文。加密包含两个元素:加密算法和密钥。2.加密和解密的示范3.加密的分类:散列编码、对称加密和非对称加密。9.3.2.数字签名技术1.数字签名数字签名(DigitalSignature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。目前的数字签名建立在公钥加密体制基础上,是非对称加密技术的另一类应用。数字签名主要有3种应用广泛的方73法:RSA签名、DSS签名和Hash签名。2.数字签名的使用方法只有加入数字签名及验证(Verification)才能真正实现在公开网络上的安全传输,满足这两点的文件传输过程:(1)发送方首先用哈希函数从明文文件中生成一个数字摘要,用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。(2)发送方选择一个对称密钥对文件加密,然后通过网络传输到接收方,最后通过网络将该数字签名作为附件和报文密文一起发送给接收方。(3)发送方用接收方的公钥给对称密钥加密,并通过网络把加密后的对称密钥传输到接收方。(4)接收方使用自己的私钥对密钥信息进行解密,得到对称密钥。(5)接收方用对称密钥对文件进行解密,得到经过加密的数字签名。(6)接收方用发送方的公钥对数字签名进行解密,得到数字签名的明文。(7)接收方用得到的明文和哈希函数重新计算数字签名,并与解密后的数字签名对比。如果两个数字签名是相同的,说明文件在传输过程中没有被破坏。9.3.3认证中心1.认证中心(CA)电子商务认证授权机构也称为电子商务认证中心(CertificateAuthority,CA)。CA是提供身份证的第三方机构,由一个或多个用户信任的组织实体组成,例如,持卡人要与商家通信,持卡人从公开媒体上获得了商家的公开密钥,但持卡人无法确定商家不是冒充的,于是持卡人要求CA对商家认证,CA对商家进行调查、验证和鉴别后,将包含商家PublicKey的证书传给持卡人。2.认证中心的职能认证中心基本功能:认证中心的核心职能是发放和管理用户的数字证书。用户向认证中心提出申请证书,并说明自己的身份。认证中心在验证用户身份后,向用户发放数字证书。认证中心在发放证书时要遵循一定的准则。例如,保证所发证书的序号各不相同;不同实体所申请的证书的主体内容不一致;不同主体内容的证书所包含的公开密钥各不相同。认证中心应管理其所发放的所有证书,这些管理功能包括:用户能够方便地查找各种证书,以及已经撤销的证书;能够根据用户请示或其他信息撤销用户的证书;能够根据证书的有74效期自动地撤销证书;能够完成证书数据库的备份工作;有效地保护证书和密钥服务器的安全,特别是认证中心的签名密钥不被非法使用。(1)证书发放(2)证书更新(3)证书撤消(4)证书验证3.CA基本组成(1)注册服务器(SA):注册服务器是一个通过网络面向用户的系统,包括计算机系统和功能接口部分。(2)注册中心(RA):注册中心负责证书申请的审批,它通常是金融机构,如持卡人发行或商家的收单行。证书的审批需要制定审批的标准。(3)认证中心(CA):认证中心负责证书的颁发,是被信任的部门。在证书申请被审批部门批准后,认证注册服务器将证书发放给申请者。4.中国知名的认证中心9.3.4公开密钥基础设施(PKI)公开密钥基础设施(PublicKeyInfrastructure)是一种以公钥加密技术为基础技术手段实现安全性的技术。它是一个遵循标准的密钥管理平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,并支持SET、SSL协议。9.3.5电子商务安全协议电子商务发展的核心问题是交易的安全性问题,这也是企业应用电子商务最担心的问题,因此如何在开放的公用网上构筑安全的交易模式,一直是人们研究的热点和大家关注的话题,要构筑一个安全的电子交易模式,必须满足:(1)数据保密。防止信息被截获或非法存取而泄密;(2)对象认证。通信双方对各自通信对象的合法性、真实性进行确认,以防第三者假冒;(3)数据完整性。阻止非法实体对交换数据的修改、插入、删除及防止数据丢失;(4)防抗抵赖。用于证实已发生过的操作,防止交易双方对发生的行为抵赖;(5)访问控制。防止非授权用户非法使用系统资源。迄今为止,国内外已经出现了多种电子支付协议,目前有两种安全在线支付协议被广泛采用,即安全套接层SSL协议和安全电子交易SET协议。1.安全套接层协议SSL(1)安全套接层协议的概念75安全套接层协议(SecureSocketsLayer),是由网景公司(NetscapeCommunication)设计开发的,在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术,主要用于提高应用程序之间的数据安全系数,实现兼容浏览器和服务器(通常是服务器)之间安全通信的协议。(2)SSL交易过程采用SSL协议的电子交易过程如图9.7所示。SSL交易过程客户购买的信息首先发往商家,商家再将信息转发银行,银行验证客户信息的合法性后,再通知商家付款成功,商家再通知客户购买成功。SSL是对计算机之间整个会话进行加密的协议,它在Internet上广泛用于处理财务上敏感的信息。在SSL中,采用了公开密钥和专有密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。在每个SSL会话中,要求服务器完成一次使用服务器专用密钥的操作和一次使用客户机公开密钥的操作。(3)SSL协议的工作原理客户机的浏览器在登录服务器的安全网站时,服务器将招呼要求发给浏览器(客户机),浏览器以客户机招呼来响应。接着浏览器要求服务器提供数字证书,如同要求查看有照片的身份证。作为响应,服务器发给浏览器一个认证中心签名的证书。浏览器检查服务器证书的数字签字与所存储的认证中心的公开密钥是否一致。一旦认证中心的公开密钥得到验证,签名也就证实了。此动作完成了对商务服务器的认证。由于客户机和服务器需要在互联网上传输信用卡号、发票和验证代码等,所以双方都同意对所交换的信息进行安全保护。(4)建立SSL安全连接的过程①接通阶段:客户通过网络向服务商打招呼,服务商回应;②密码交换阶段:客户与服务商之间交换双方认可的密码,一般选用RSA密码算法,也有的选用其他密码算法;③会谈密码阶段:客户与服务商间产生彼此交谈的会谈密码;④检验阶段:检验服务商取得的密码;客户商家银行76⑤客户认证阶段:验证客户的可信度;⑥结束阶段,客户与服务商之间相互交换结束的信息。当上述动作完成之后,两者间的资料传送就会加以密码,等到另外一方收到资料后,再将编码资料还原。即使盗窃者在网络上取得编码后的资料,如果没有原先编制的密码算法,也不能获得可读的有用资料。2.安全电子交易协议SET(1)什么是SET协议在开放的网络(如Internet)上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要的因素之一;为了克服SSL安全协议的缺点,满足电子交易持续不断增加的安全要求,更为了达到交易安全及合乎成本效益之市场要求,VISA和MasterCard联合其他国际组织,如Microsoft、IBM、Netscape、GTE、SAIC、Terisa和Verisign等,共同制定了安全电子交易(SecureElectronicTransaction,SET)协议。(2)使用SET协议的好处1)信息在Internet上安全的传输,保证网上传输的信息不被黑客窃取。2)订单信息和个人账号的隔离。3)持卡人和商家相互认证,以确定双方的身份。4)要求软件遵循相同协议和消息格式,使不同厂家开发的软件具有兼容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。(3)SET协议中的角色1)持卡人:在电子商务环境中,消费者和团体购买者通过计算机与商家交流,持卡人通过由发卡机构颁发的付款卡(例如信用卡、借记卡等)进行结算。2)发卡机构:它是一个金融机构,为每一个建立了账户的顾客颁发付款卡,发卡机构根据不同品牌卡的规定和政策,保证对每一笔认证交易的付款。3)商家:提供商品或服务,使用SET就可以保证持卡人个人信息的安全。接受卡支付的商家必须和银行有关系。4)银行:在线交易的商家在银行开立账号,并且处理支付卡的认证和支付。5)支付网关:是由银行操作的将Internet上的传输数据转换为金融机构内部数据的设备或由指派的第三方处理商家支付信息和顾客的支付指令。(4)SET协议的交易模式771)客户资料虽然要通过商家到达银行,但商家不能阅读这些资料,所以SET解决了客户资料安全性问题。2)SET协议解决了网上交易存在的客户与银行之间、客户与商家之间、商家与银行之间的多方认证问题。3)由于整个交易过程是建立在Intranet、Extranet

1 / 15
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功