第六章 电子商务安全支付技术

1第6章电子商务安全支付技术电子商务中使用的核心安全技术主要包括：1.加密2.电子数据签名3.电子信封4.电子证书5.防火墙等26.1电子商务的安全概述计算机是电子商务活动中所使用的重要工具，因此计算机的安全对于电子商务安全具有很重要的影响，如何保证计算机的安全也就成为电子商务安全中重点关注的问题。36.1.1网络安全定义国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。46.1.2电子商务的安全分类网络安全所遭受到的攻击可以分为四类（1）瘫痪（2）介入（3）篡改（4）假造56.1.3电子商务的安全隐患电子商务安全的隐患主要表现在四个方面（1）开放性。（2）传输协议。（3）操作系统（OS）。（4）应用系统。66.1.4电子商务对安全的基本要求电子商务安全的基本要求体现在:1．有效性2．机密性3．可靠性和完整性4．抗抵赖性76.2电子商务安全对策网络安全系到两个方面的问题。1.一是如何看待目前的计算机网络，尤其是国际互联网中存在的各种各样的安全漏洞。2.二是如何看待网络安全的公开讨论。必须时刻关注网络的漏洞和不安全因素，从而不断提高网络的安全防范能力。86.2.1网络安全形势病毒和黑客威胁的四大发展趋势：（1）变种病毒数量翻番，防不胜防。（2）漏洞被发现和漏洞病毒出现的时间间隔越来越短。（3）国产木马、后门程序成为主流，目标指向网民真实财产。（4）“网络钓鱼”形式的诈骗活动增多。96.2.3电子商务系统安全制度电子商务安全管理制度应当包括：（1）人员管理制度。（2）保密制度。（3）跟踪审计制度。（4）系统维护制度。（5）病毒防范制度。（6）应急措施。106.2.4电子商务系统安全保护措施1．构建纵深的防御体系2．采取互补的安全措施3．保证一致的安全强度116.2.5木桶原理木桶原理示意图126.2.6容灾系统远程系统接管136.3数据加密与信息安全技术数据加密的一般模型146.3.2对称密钥加密技术对称加密算法在电子商务交易过程中存在的问题：（1）要求提供一条安全的渠道使通讯，双方在首次通讯时协商一个共同的密钥。（2）密钥的数目难于管理。（3）对称加密算法一般不能提供信息抗抵赖性的鉴别。156.3.3非对称密钥加密技术RSA公钥加密原理：（1）选取两个素数:p、q,（p≠q）。（2）计算m=p*q，n=（p-1）*（q-1）。（3）选取t1，满足：0t1n且t1与n互素。（4）计算得t2，使满足：t1*t2MODn=1且t1≠t2。（5）假设M为源数据，C为加密数据，则加密公式为：C=Mt1modm，解密公式为：M=Ct2modm，t1,m数字序列叫做公钥，t2,m数字序列叫做私钥。166.3.4USB安全钥USB安全钥大致有以下几个特点：（1）体积小（2）兼容性好（3）使用方便（4）功能强大（5）安全性好（6）价格便宜176.3.5数字签名数字签名是公开密钥加密技术的一类应用。数字签名的加密和解密过程与一般秘密密钥的加密和解密过程虽然都使用公开密钥系统，但实现的过程正好相反，使用的密钥对也不同。186.3.6数字时间戳数字时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要（digest）收到文件的日期和时间数字签名196.3.7数字信封数字信封是数据加密技术的又一类应用，信息发送端用接收端的公开密钥，将一个通信密钥加密后传送到接收端，只有指定的接收端才能打开信封，取得私有密钥（sk）用它来解开传送来的信息。206.4数字证书（1）版本信息，用来与X.509的将来版本兼容；（2）证书序列号，每一个由CA发行的证书必须有一个唯一的序列号；（3）CA所使用的签名算法；（4）发行证书CA的名称；（5）证书的有效期限，一般采用UTC时间格式，它的计时范围为1950～2049；（6）证书主题名称；（7）被证明的公钥信息，包括公钥算法、公钥的位字符串表示；（8）包含额外信息的特别扩展。216.4.1数字证书的三种类型数字证书通常分为三种类型：（1）个人证书（personaldigitalID）（2）企业（服务器）凭证（3）软件（开发者）证书226.4.2数字证书申请1．获得免费数字签名证书2．将数字证书备份到软盘3．发送签名邮件4．加密发送邮件236.5安全传输协议6.5.1安全通信协议（SSL）SSL协议提供的安全信道有以下三个特性：（1）私密性（2）确认性（3）可靠性HTTPSFTPSSSL握手协议SSL记录协议TCPIPSSL协议与TCP/IP协议间的关系246.5.2安全电子交易协议（SET）SET包括如下的角色：（1）消费者（2）商家（3）发卡机构（4）收单银行（5）支付网关（6）认证中心采用SET协议的购物过程256.5.3SSL协议和SET协议的对比SSL协议和SET协议的差别（1）接口（2）处理速度（3）认证要求（4）安全性266.6电子支付业务发展情况（1）网上支付交易额成长空间广阔（2）各应用行业网上支付交易渗透率将逐步提高（3）网上支付深度用户比例将有所提升。图6-21第三方网上支付276.6.1电子支付与网络银行发展的重点将主要集中在以下层面（1）深化网关型向服务型转变。（2）整合多元化的支付平台。286.6.2电子支付产品电子支付产品分为三大类：一类是电子货币类，如电子现金、电子钱包等。另一类是银行卡类。296.7黑客防范黑客破坏的常见形式防范黑客的措施防火墙30本章小结1.网络安全是指保证信息数据在一个网络环境里的机密性、完整性及抗抵赖性。2.计算机安全分成三类：保密、完整和抗抵赖。3.电子现金、电子钱包、智能卡、借记卡、购物卡、信用卡和电子支票等支付方式各有自己的特点和运作模式，适用于不同的交易过程。4.电子现金是以电子化数字形式存在的现金货币。5.电子现金比现有的实际现金（纸币和硬币）有更多的优点，实际现金要承担的较大的存储风险、高昂传输费用、较大的安全保卫和防伪的投资。31习题1．电子商务对安全的要求主要体现在哪些方面？2．什么是数字证书？3．信用卡有哪些功能？4．与传统的支付方式相比较，电子支付具有哪些特征？5．如何使用电子钱包进行网上购物？