搜索
Copyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-1Section4.SecurityandEncryptionofE-commerce(1)XiaolinZhengxlzheng@cs.zju.edu.cnCopyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-2AgendaOpeningCase:TheMerchantPays.TheE-commerceSecurityEnvironment.SecurityThreatsintheE-commerceEnvironment.TechnologySolutions.Policies,Procedures,andLaws.CaseStudy:Verisign-TheWeb'sSecurityBlanket.Copyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-31.OpeningCase:TheMerchantPays“骇客攻击…网站”;“网上信用卡威胁剧增”;“FBI警告:信用卡盗窃团伙正在网上徘徊”……所有的注意力都集中到消费者在网上信用卡面临的欺诈风险时,这种风险实际上对于消费者来说是很小的——通常是商家昀终充当了受害者!Copyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-4VictorSteinStein是纽约市的一个糖类经销商,兼营一个做台球生意的电子商务网站;2000年初,他很高兴地处理了一笔自称名叫AminaHadir的消费者的订单,这位消费者定购了一本价值700美元的台球百科全书;经过VISA信用卡的购买授权,Stein给这位消费者寄出了书;从纽约到摩洛哥的运输过程没有任何问题,但是Hadir女士否认曾经购买过这本书,也不承认收到书。结果Stein的银行履行了“退款”手续:将原本已经划入Stein的VISA帐户上的700美元退还给了Hadir女士。Stein损失了交易款,也损失了货物!Copyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-5Expedia.com旅游网站不法之徒用盗窃来的信用卡购买飞机票而使其损失了400多万美元窃贼们一收到机票,就将其卖出变成现金;而Expedia公司腰因信用卡公司的退款请求而承担所有这些机票的零售成本。Copyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-6原因现实世界:信用卡被盗,并且被用来购买商品时,如果商家遵循了正确的程序(如用户签名与信用卡背面的签名核对无误),则相关的损失由信用卡发行者承担;Internet上:信用卡的收费是在持卡人不必到场(CNP,Cardholdernotpresent)交易的情况下进行的,通常就不存在一个检验并作为消费者下订单的证据的有形签名。Copyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-7原因(Cont’d)Internet的全球化特性:美国的信用卡公司可以验证美国居民的地址,但不能对Internet上的国际购买者进行地址验证;特别是有的产品如软件采用数字化传递方式,根本不存在地址;结果:尽管信用卡公司对交易进行了授权,但信用卡公司还是把电子商务中的大部分风险转嫁给了商家。因此,信用卡持有者只对未授权的交易负担前50美元责任,作为信用卡欺诈受害者的网上商家则通常要承担所有发出货物的损失。Copyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-8TheMerchantPaysCopyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-9TheMerchantPaysPercentageofInternettransactionschargedback(退款)toonlinemerchantsmuchhigherthanfortraditionalretailers(3-10%comparedto½-1%)Toprotectselves,merchantscan:RefusetoprocessoverseaspurchasesInsistthatcreditcardandshippingaddressmatchRequireuserstoinput3-digitsecuritycodeprintedonbackofcardUseanti-fraudsoftware(SuchasOrderProcessorofYahoo,淘宝的支付宝)Copyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-10TheMerchantPays(cont’d)Creditcardcompanysolutionsinclude:客户通过VerifiedbyVisa(Visa)获取安全码,使用此安全码付费,如果有诈骗事件发生,则由VISA赔偿;SecureCode(MasterCard)Requiringissuingbankstoassumealargeshareofriskandliability(Visa和MasterCard都承诺要将诈骗事件的责任转移到发卡银行上,以此鼓励网上商家和消费者)Copyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-112.TheE-commerceSecurityEnvironment:TheScopeoftheProblem2.1Overview2002ComputerSecurityInstitute(美国计算机安全局)surveyof538securitypersonnelinU.S.corporationsandgovernment85%ofrespondentshaddetectedbreaches(漏洞)ofcomputersecuritywithinlast12monthsand64%sufferedfinanciallossasaresultOnly44%werewillingorabletoquantifyloss,whichtotaled$456millioninaggregate40%reportedattacksfromoutsidetheorganization40%experienceddenialofserviceattacks94%detectedvirusattacksCopyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-12InternetFraudComplaintsReportedtotheIFCC(FBIInternet诈骗投诉中心)Figure5.1,Page253Copyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-13电子商务系统安全整体架构软件错误偷窃自然灾害恶意破坏电脑玩家欺诈非法泄漏隐私法刑法保险道德与教育实体与环境安全人员与操作安全系统与资料身份识别存取控制审核追踪资料保密密钥管理组织与行政安全意外損害Copyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-142.2DimensionsofE-commerceSecurity完整性(Integrity):abilitytoensurethatinformationbeingdisplayedonaWebsiteortransmitted/receivedovertheInternethasnotbeenalteredinanywaybyanunauthorizedparty不可否认性(Nonrepudiation):abilitytoensurethate-commerceparticipantsdonotdeny(repudiate)onlineactions真实性(Authenticity):abilitytoidentifytheidentityofapersonorentitywithwhomyouaredealingontheInternet机密性(Confidentiality):abilitytoensurethatmessagesanddataareavailableonlytothoseauthorizedtoviewthem隐私(Privacy):abilitytocontroluseofinformationacustomerprovidesabouthimselforherselftomerchant可用性(Availability):abilitytoensurethatane-commercesitecontinuestofunctionasintendedCopyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-15从消费者和商家角度来看电子商务安全的不同层面不同层面消费者角度商家角度完整性我发出或接受的信息是否被篡改了?网站上的数据是否未经授权就被改变了?数据是否来自合法的消费者?不可否认性和我交易的一方是否会否认曾进行过交易?消费者会否认定购的产品吗?真实性谁在和我做交易?我如何确认此人或者此团体就是他所声称的那个?消费者的真实身份是什么?机密性除了我指定的接收方外,还有人能读取我的信息吗?信息或者机密数据是否会被那些没有经过授权的人看到?隐私我能控制电子商务商家对我提交的个人信息的使用吗?如果可能的话,作为电子商务交易的一部分所采集到的用户信息该如何使用?消费者个人信息可以在没得到授权的情况下使用吗?可用性我能访问该网站吗?网站在正常运营吗?Copyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-162.3TheTensionBetweenSecurityandOtherValuesSecurityvs.easeofuse:themoresecuritymeasuresthatareadded,themoredifficultasiteistouse,andthesloweritbecomesSecurityvs.desireofindividualstoactanonymously(个人希望匿名使用,公共官员需要维护公共安全-》监控,监听…)Copyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-173.SecurityThreatsintheE-commerceEnvironmentThreekeypointsofvulnerability(弱点):ClientServerCommunicationschannelCopyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-18ATypicalE-commerceTransactionCopyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-19Vulnerable(易受攻击的)PointsinanE-commerceEnvironmentFigure5.4,Page260搭线与窃听恶意破坏Copyright©2006XiaolinZheng,ZhejiangUniversity.Slide6-20MostcommonthreatstoE-CommerceMaliciouscode(恶意代码)Hackingandcybervandalism(黑客与网络破坏行为)Creditcardfraud/theft(信用卡诈骗)Sp