Ch13 电子商务的安全性

网络集成与安全技术——电子商务的安全性天津工业大学计算机系丁刚2020/6/172主要内容电子商务简介电子商务的安全性要求电子支付系统的安全性电子现金系统2020/6/1731.电子商务简介内容介绍电子商务的概念电子商务的分类电子商务系统的支持环境2020/6/1741.电子商务简介电子商务的概念——发展电子商务的发展：电子商务的早期形式是EDI（ElectronicDataInterchange），EDI主旨是商务票据传送的电子化。20世纪80年代，随着因特网的广泛使用，开始提出电子商务。2020/6/1751.电子商务简介电子商务的概念——定义从广义上讲，电子商务是指通过电子数据交换来完成某种与商务或服务有关的工作，它可以是各种形式、各种内容、各种目的、各种风格、各种程度的电子数据的交换，其基础是以电子化的形式来处理和传输商务数据，包括文本、声音、视频、图像等数据类型。简单的说，电子商务就是利用计算机网络进行产品、服务和信息的买卖。2020/6/1761.电子商务简介电子商务的概念——界定从商业角度：使商业交易及工作流程自动化；从服务角度：在提高产品质量及缩短服务提供时间的同时降低服务费用；从通信角度：通过电话、通信网络或其他手段提供信息、产品、服务及支付；从在线角度：提供经因特网及其其他在线服务进行产品及信息买卖的能力2020/6/1771.电子商务简介电子商务的分类1商业活动运作方式：完全电子商务：完全通过电子商务方式实现和完成整个交易过程的交易不完全电子商务：需要依靠一些外部要素（eg.运输系统）来完成。2020/6/1781.电子商务简介电子商务的分类2应用服务的领域范围：企业对消费者（BtoC）：等同于电子零售商业企业对企业（BtoB）：商业机构使用因特网或各种商务网络向供应商订货和付款://电子商务简介电子商务的分类2应用服务的领域范围：企业对政府结构（BtoG）：可以覆盖公司和政府组织间的许多事务,如政府网上采购工程消费者对政府机构（CtoG）：政府将把电子商务扩展到关系到消费者个人方面上。政府将会把电子商务扩展到福利费发放和自我估税及个人税收的征收方面。2020/6/17101.电子商务简介电子商务的分类（BtoG）2020/6/17111.电子商务简介电子商务的分类3电子商务的服务形式：间接电子商务：网络定购、传统方式购销直接电子商务：交易完全通过网络进行（eg.股票交易）2020/6/17121.电子商务简介电子商务系统的支持环境网络环境～开展电子商务的基础制约因素：因特网技术、稳定性、带宽和接入费用等支付系统～网上银行及网上支付系统的建立与完善安全认证系统～需考虑问题：确定消费信用、保护商业秘密、保证网上帐户和数据传送的安全配送系统～考虑问题：电子商务下的物流问题2020/6/17132.电子商务的安全性要求内容介绍电子商务与传统商务的比较电子商务面临的威胁和安全要求电子商务系统所需的安全服务电子商务的安全体系结构2020/6/17142.电子商务的安全性要求电子商务与传统商务的比较2020/6/17152.电子商务的安全性要求电子商务与传统商务的比较2020/6/17162.电子商务的安全性要求电子商务与传统商务的比较传统商务与电子商务在形式上极其相似。差异：安全和信任关系。在传统交易过程中：买卖双方是面对面的，因此很容易保证交易过程的安全性和建立起信任关系。在电子商务过程中：买卖双方是通过网络来联系，由于网络既不是安全的，也不是可信的，因而给交易双方进行交易的安全和建立信任关系带来困难。2020/6/17172.电子商务的安全性要求电子商务面临的威胁和安全要求电子商务中对销售者的威胁：1、中央系统安全性被破坏：入侵者假冒；2、竞争者检索商品递送状况；3、客户资料被竞争者获悉；4、被他人假冒而损害公司的信誉：假冒服务器；5、消费者提交订单后不付款；6、虚假订单；7、获取他人的机密数据2020/6/17182.电子商务的安全性要求电子商务面临的威胁和安全要求电子商务中对消费者的威胁：1、虚假订单：假冒客户；2、付款后不能收到产品；3、机密性丧失：泄漏个人信息；4、拒绝服务：攻击者发送大量虚假订单耗尽销售商服务器资源，使之不能提供给合法用户服务2020/6/17192.电子商务的安全性要求电子商务面临的威胁和安全要求销售者对电子商务的要求：1、能鉴别消费者身份的真实性，确信消费者对产品或服务的支付能力；2、知识产权保护3、有效的争议解决机制2020/6/17202.电子商务的安全性要求电子商务面临的威胁和安全要求消费者对电子商务的要求：1、能对销售者的身份进行鉴别2、能保证消费者的机密信息和个人隐私不被泄露给非授权的人；3、有效的争议解决机制2020/6/17212.电子商务的安全性要求电子商务面临的威胁和安全要求对电子商务的安全性要求：1、真实性要求：能对信息、实体的真实性进行鉴别；2、机密性要求：保证信息不被泄露给非授权的人或实体；3、完整性要求：保证数据的一致性，防止数据被非授权建立、修改和破坏；4、可用性要求：保证合法用户对信息和资源的使用不会被不正当的拒绝；5、不可否认要求：建立有效的责任机制，防止实体否认其行为；6、可控性：能控制使用资源的人或实体的使用方式2020/6/17222.电子商务的安全性要求电子商务系统所需的安全服务1、鉴别服务：对人或实体的身份进行鉴别；2、方位控制服务：防止非授权访问；3、机密性服务：提供在存储、处理、传输过程中的信息保密4、不可否认服务：合法用户不能否认已完成交易过程中的行为或否认对某信息的发送和接收2020/6/17232.电子商务的安全性要求电子商务系统的安全体系结构（层次）1、基本加密算法：包括单钥密码体制和公钥密码体制、安全杂凑函数等算法2、以基本加密算法为基础的CA体系、数字签字等基本安全技术3、以基本加密算法、安全技术、CA体系为基础的各种安全应用协议：如X.509、SSL.PGP.S/MIME、SET(SecureElectronicTransaction—安全电子交易)2020/6/17242.电子商务的安全性要求电子商务系统的安全体系结构（层次）2020/6/17253.电子支付系统的安全性内容介绍电子支付系统的安全要求电子支付手段2020/6/17263.电子支付系统的安全要求电子支付系统的安全要求电子支付系统的介绍“网上支付”——通过网络进行货币支付，其本质是试图在网上把现有的支付结构转化为电子形式。如：电子支票、信用卡、电子现金。2020/6/17273.电子支付系统的安全要求电子支付系统的安全要求——支付系统功能使用X.509和数字签名实现对各方的认证；使用加密算法对业务进行加密；使用消息摘要算法以保证业务的完整性；在业务出现异议时，保证对业务的不可否认性；处理多方贸易的多支付协议2020/6/17283.电子支付系统的安全要求电子支付系统的安全要求——安全要求1、认证～对参与贸易的各方其身份的有效性进行认证2、保密和数据的完整性～使用加密算法和SSL、S-HTTP等3、业务的不可否认性～通过公钥体制和X.509证书体制实现4、多支付协议～商家只能读取订单消息，接收行只需知道支付消息2020/6/17293.电子支付系统的安全要求电子支付系统的安全要求2020/6/17303.电子支付系统的安全要求典型的电子支付手段电子信用卡电子支票电子现金2020/6/17313.电子支付系统的安全要求典型的电子支付手段——电子信用卡对信用卡号的明码传送及确认，并使用SSL保证浏览器与Web服务器间的通信信息不会被第三方获取。使用信用卡业务的三个阶段：1)完成客户的购物2)从客户帐目向商家帐目转帐3)通知客户应支付的款额，并为客户下帐2020/6/17323.电子支付系统的安全要求典型的电子支付手段——电子信用卡2020/6/17333.电子支付系统的安全要求典型的电子支付手段——电子信用卡使用信用卡的业务手段：2020/6/17343.电子支付系统的安全要求典型的电子支付手段——电子支票电子支票系统用于发出支付和处理支付的网上服务。使用电子签名，实现方案依赖第三方。使用电子支票业务的三个阶段：1、购买货物2、把支票存入商家的开户银行3、不同银行之间交换支票2020/6/17353.电子支付系统的安全要求典型的电子支付手段——电子支票2020/6/17363.电子支付系统的安全要求典型的电子支付手段——电子支票2020/6/17373.电子支付系统的安全要求典型的电子支付手段——电子支票电子支票的优点：节省时间减少处理纸支票时的费用减少了支票被退回情况的发生电子支票在用于支付时，不必担心丢失或被盗：若被盗，接收者可要求支付者停止支付电子支票不需要安全的存储：只需安全存储用户的秘密钥2020/6/17383.电子支付系统的安全要求典型的电子支付手段——电子现金电子现金又称为数字现金，是能被客户和商家接受的、通过因特网购买商品和服务时使用的一种交易媒介。系统中有一电子现金的发行银行，记为E-Mint，它根据客户所存款项向客户兑换等值的电子现金，所兑换的电子现金须经它数字签字。客户可用E-Mint发行的电子现金在网上购物。2020/6/17393.电子支付系统的安全要求典型的电子支付手段——电子现金2020/6/17403.电子支付系统的安全要求典型的电子支付手段——电子现金使用电子现金业务的三个阶段：2020/6/17413.电子支付系统的安全要求典型的电子支付手段——电子现金使用电子现金业务的三个阶段：2020/6/17424.电子现金系统内容介绍电子支付系统的安全要求脱机实现方式中的密码技术电子钱包2020/6/17434.电子现金系统电子现金中的安全——安全性要求1.独立性：不依赖于所使用的计算机系统2.不可重复使用：电子现金只能花费一次3.匿名性：不提供持有者信息4.可传递性5.可分性：不同货币单位的转换6.安全存储：存储在计算机或smart卡中，并方便传送2020/6/17444.电子现金系统电子现金中的安全——电子现金的产生E-Mint在其产生的电子现金上产生唯一的识别数。客户购买电子现金时，通过其计算机产生一个或多个64比特（或更长）的随机二进制数，银行打开客户加密的信封，检查并记录这些数，并对这些数数字化签字后再发送给客户，经过签字的每个二进制数表示某一数额的电子现金。客户可用这一电子现金向任一商家购物。商家把电子现金发送给银行，银行核对其顺序号，如果顺序号正确，商家则得到款项。2020/6/17454.电子现金系统电子现金中的安全——认证电子现金由E-Mint的秘密钥数字化签字接收者使用E-Mint的公钥来解密电子现金。可向接收者保证电子现金事由秘密钥的拥有者、即经授权的E-Mint签署的。2020/6/17464.电子现金系统电子现金中的安全——电子现金的传送通过加密实现安全性通过计算并嵌入一加密的消息摘要实现完整性保护通过加密和消息摘要实现，并允许对丢失的数据进行恢复。2020/6/17474.电子现金系统电子现金中的安全——电子现金的存储电子支票丢失后，用户可要求停止支付。电子现金文件丢失后，则意味着用户的钱确实丢了。如果所有业务均在线进行，则当被盗的现金在使用时，可进行跟踪并拒绝支付。或让用户持有存着电子现金的Smart卡。2020/6/17484.电子现金系统电子现金中的安全——不可重复使用防范的电子现金复制和非法多次使用：在联机的清算系统中，用于支付的电子现金会被马上传送到发行这个电子现金的E-Mint，然后对照记录在案的已使用过的电子现金，确定这些现金是否有效