搜索
《电子商务概论(第4版)》白东蕊主编人民邮电出版社出版第八章电子商务安全【知识框架图】目录Contents第一节电子商务安全的内涵第二节电子商务安全技术第三节电子商务安全管理本章学习要求【知识目标】1.了解电子商务面临的安全威胁,明确电子商务对安全性的要求。2.熟悉应用保障电子商务安全的方法与技术,以保证电子商务活动的顺利进行。3.熟知电子商务安全方面不断完善的管理政策与法规制度。【技能目标】1.能够对Office文档加密,实现文件保护。2.学会应用计算机端和移动端的日常安全防范措施。二维码暗藏木马病毒二维码时代到来了,用微信扫一扫就可以交友、支付、领取礼品,不少人见二维码就想扫。殊不知,扫二维码的过程中存在很多安全隐患。2015年11月17日一大早,南京市公安局双塘派出所接到了胡女士的报警电话。她称,自己一大早收到了好多条银行短信,银行卡里的37万元没了。引例令胡女士奇怪的是:为什么自己的银行卡和手机都在家里,却被人转了账?民警分析后告诉她,是一个第三方机构通过植入手机木马病毒,绑定了银行卡进行操作,将钱转走的。胡女士这才想起来,前两天街头有人向她推广手机软件,说是扫描二维码下载后就送东西。她虽然下载了但是并没有安装使用,没想到这竟然是个木马病毒。警方通过胡女士银行卡的发卡行了解到,胡女士卡里的37万元被全部转到了一个第三方交易机构,而这个第三方交易机构实行的是当天交易。也就是说,如果不立即采取行动,这笔钱在24小时之内就可能被转走。幸运的是,因为处理及时,胡女士的37万元被冻结后通过警方追了回来。引例电子商务安全的内涵第一节电子商务安全的内涵电子商务面临的安全威胁01电子商务的安全性要求02点击视频:马云对黑客说。。。。第一节电子商务安全的内涵计算机病毒流氓软件木马程序网络钓鱼一、电子商务面临的安全威胁(一)个人计算机受到的威胁第一节电子商务安全的内涵学而思,思而学流氓软件的最大商业用途就是散布广告。为了将广告插件神不知鬼不觉地装在用户计算机上,大多数情况下广告公司会联系热门免费共享软件的作者,以每次几分钱的价格把广告程序捆绑到免费共享软件上。用户在下载安装软件时广告程序也就趁虚而入。你遇到过这种情况吗?第一节电子商务安全的内涵案例网上购机票被钓鱼网站欺诈准备去大连过年的黄先生打算购买飞机票。某一天,黄先生为了抢到廉价机票,在网上搜索了一家购票网站,按照网站的提示填写了身份信息。之后,一名自称客服的工作人员打来了电话,说希望和黄先生核对购票信息,并要求黄先生到ATM机上转账。黄先生按照对方的指示操作,在ATM机上汇出机票款后,客服突然又打来电话说黄先生的飞机因故不能起飞,要黄先生改签。黄先生回忆:“我当时还想,这网站实在太好了,这么快就通知机票改签,省得我跑飞机场。我询问客服如何改签,她说会有短信发到我手机上,然后点击链接就可以了。”第一节电子商务安全的内涵之后,黄先生果然收到了短信,上面有他准确的身份信息,他毫不犹豫地点击了链接。结果过了几分钟,他突然收到银行短信,提示卡里的30000元被转走了。启发思考:本案例中,黄先生网上购买机票时是如何被骗的?应该如何防范?案例第二节电子商务安全技术手机病毒手机系统漏洞无线网钓鱼(二)移动端受到的威胁第一节电子商务安全的内涵消费预警:免费Wi-Fi很危险(视频)视野拓展第一节电子商务安全的内涵二、电子商务的安全性要求机密性完整性不可否认性可鉴别性可靠性点击视频:支付宝快捷支付安全吗?第一节电子商务安全的内涵推荐读者课外观看《中国工商银行防电信诈骗宣传片2015》视频,提高防范意识。视野拓展第一节电子商务安全的内涵案例电子面单将破解信息安全的难题2018年3月,多家快递网点收到了一则“纸质快递面单加价通知”,而电子面单价格保持不变。信息技术的高速发展和行业的倒逼使纸质面单逐步退出历史舞台。与电子面单相比,传统纸质面单价格高、信息录入效率低、信息安全隐患多等劣势已愈发突显。1.实名制增加了个人信息泄露的风险2.电子面单有望破解信息安全死穴第一节电子商务安全的内涵事实上,一些业内企业早已经开始布局电子面单了。2016年6月,京东商城就已经开始试行“微笑面单”,即在包裹生成时就部分隐藏用户的姓名和手机号码信息,以“笑脸”符号代替。2017年5月,菜鸟推出“隐私面单”,以避免将消费者个人信息全部暴露在快递面单上。顺丰自从推行电子面单以来,其电子面单覆盖率在有些地方甚至已达到90%以上。“四通一达”等主流快递也在加快淘汰五联纸质快递面单的步伐。启发思考:1.电子面单与纸质面单相比具有哪些优势?2.电子面单应如何保证寄件人信息的安全?案例电子商务安全技术第二节电子商务安全技术加密技术认证技术安全协议第二节电子商务安全技术图8.1电子商务系统安全示意图第二节电子商务安全技术一、加密技术加密技术是利用技术手段把原始信息变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)信息。原始信息通常被称为“明文”,加密后的信息通常被称为“密文”。加密技术涉及两个元素:算法和密钥。算法是将明文与一串字符(密钥)结合起来,进行加密运算后形成密文。密钥是在将明文转换为密文或将密文转换为明文的算法中输入的一串字符,可以是数字、字母、词汇或短语。第二节电子商务安全技术(一)对称加密体制1.对称加密体制的工作过程图8.1对称加密体制的工作过程第二节电子商务安全技术2.对称加密体制的算法经典的对称加密体制算法为数据加密标准(DataEncryptionStandard,DES)。DES算法是一种对称的分组加密算法。简单的DES算法是以64位为分组进行明文输入,在密钥的控制下产生64位的密文;反之,输入64位的密文,则输出64位的明文。加密过程中,密钥总长度是64位,由于密钥表中每个字节的第8位都用作奇偶校验,所以实际有效密钥长度为56位。DES算法可以通过软件或硬件来实现。第二节电子商务安全技术案例个人账户信息等一些重要信息在网络中传递之前,通信双方(如银行与用户)事先约定密钥,通过加密工具利用对称加密技术进行加密处理,然后进行安全传递;到达接收方时,接收方利用已知的密钥解密获取信息。如果传递过程中该信息被非法第三方截获,则其得到的将是看不懂的密文。因而,个人账户信息的机密性得到了保障。加密过程示例:已知明文为“个人银行存款账户是自然人因投资、消费、结算等需要而开立的可办理支付结算业务的存款账户”,密钥为123456,则加密得到的密文如图8.2所示。启发思考:利用对称加密体制,个人账户信息在网络中传递时,如何保障个人账户信息的机密性?第二节电子商务安全技术图8.2示例中明文加密结果第二节电子商务安全技术(二)非对称加密体制1.非对称加密体制的工作过程图8.3非对称加密体制的工作过程第二节电子商务安全技术2.非对称加密体制的算法目前,非对称加密体制的算法中,使用最多的是RSA算法。RSA算法是1978年由R.L.Rivest、A.Shamir和L.Adleman设计的非对称加密体制的算法,算法以发明者姓氏的首字母来命名。它是第一种既可用于加密,又可用于数字签名的算法。在实际应用中,通常将对称加密算法和非对称加密算法结合使用,利用DES算法进行大容量数据的加密,而利用RSA算法来传递对称加密算法所使用的密钥。二者结合使用集成了两类加密算法的优点,既加快了加密速度,又可以安全、方便地管理密钥。表8.1所示为对称加密体制和非对称加密体制的对比。第二节电子商务安全技术二、认证技术在信息安全领域,常见的信息保护手段除了加密技术以外,还有认证技术。目前,认证技术有身份认证(也叫用户认证)和消息认证两种方式。身份认证用于鉴别用户的身份是否合法;消息认证可用于验证所收到的消息确实来自真正的发送方且未被修改(即完整性),也可以用于验证消息的顺序性和及时性。消息认证主要包括数字签名和数字时间戳等技术。第二节电子商务安全技术表8.1对称加密体制和非对称加密体制的对比比较项目对称加密体制非对称加密体制代表算法DESRSA密钥数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有,一个公开密钥管理产生简单,管理困难需要数字证书及可靠的第三者相对速度快慢主要用途大量数据加密数字签名或对称密钥的加密第二节电子商务安全技术1.身份认证用户所知道的用户所具有的特征用户所拥有的实现身份认证的物理基础主要有以下三种:第二节电子商务安全技术2.消息认证消息认证是指验证消息的完整性,当接收方收到发送方的报文时,接收方能够验证收到的报文是真实的和未被篡改的。消息认证常用的方法就是消息摘要,即发送方在发送的消息中附加一个鉴别码,并经加密后发送给接收方。接收方利用约定的算法对解密后的消息进行鉴别运算,将得到的鉴别码与收到的鉴别码进行比较,若二者相等,则接收,否则拒绝接收。第二节电子商务安全技术3.数字签名数字签名能够确认两点:信息是由签名者发送的;信息自签发后到收到为止未曾做过任何修改。第二节电子商务安全技术图8.4数字签名原理示意图第二节电子商务安全技术4.数字时间戳在电子商务交易中,需对交易文件的时间信息采取安全措施。数字时间戳服务(DigitalTime-stampService,DTS)是由专门的机构提供的对电子文件发送时间进行安全保护的服务。第二节电子商务安全技术需加时间戳的电子文件数字时间戳发送和接收文件的时间数字时间戳服务的数字签名数字时间戳是一个经加密后形成的凭证文档,包括以下三部分:第二节电子商务安全技术三、安全协议(1)安全套接层(SecureSocketLayer,SSL)协议是指使用公钥和私钥技术相组合的安全网络通信协议,是网景公司(Netscape)推出的基于互联网应用的安全协议。安全套接层协议指定了一不可否认性应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP之间提供数据安全性分层的机制。(2)安全电子交易(SecureElectronicTransaction,SET)协议是由万事达卡(MasterCard)和维萨(Visa)联合网景、微软等公司,于1997年6月1日推出的。该协议主要是为了实现更加完善的即时电子支付。第二节电子商务安全技术四、防火墙技术防火墙是一种将内部网和外部网(如互联网)相互隔离的技术。防火墙可以通过过滤不安全的服务,降低风险,强化网络安全策略,对网络存取和访问进行监控;防止内部信息外泄,外部用户非法访问或占用内部资源。另外,防火墙还支持具有互联网服务特性的企业内部网络技术体系虚拟专用网(VirtualPrivateNetwork,VPN)。电子商务安全管理第三节电子商务安全管理数字证书认证中心法律制度管理日常安全防范第三节电子商务安全管理一、数字证书认证中心实现网上安全支付是顺利开展电子商务的前提,建立安全的数字证书认证中心(CertificateAuthority,CA)是电子商务的中心环节,其目的是加强数字证书和密钥的管理,增强网上交易各方的相互信任,提高网上交易的安全性,控制网上交易的风险,从而推动电子商务的发展。第三节电子商务安全管理(一)认证中心在电子交易中,无论是数字时间戳服务还是数字证书的发放,都不是交易双方自己能完成的,而是需要具有权威性和公正性的第三方机构来完成。认证中心就是承担网上安全电子交易认证服务、签发数字证书并确认用户身份的服务机构。第三节电子商务安全管理认证中心的主要功能如下:证书的颁发证书的更新证书的查询证书的作废证书的归档第三节电子商务安全管理(二)数字证书1.数字证书的定义数字证书又称为数字凭证或数字标识,是由认证中心发行的、能提供在互联网上进行身份验证服务的电子文档。人们可以用它来表明自己在互联网中的身份或识别对方的身份。数字证书的格式遵循ITU的X.509国际标准,X.509标准数字证书包含以下内容。第三节电子商务安全管理图8.5数字证书示例第三节电子商务安全管理2.数字证书的分类服务器证书电子邮件证书客户端证书第三节电子商务安全管理密信MeSince是沃通子公司2018年推出的加密电子邮件客户端软件,该软件支持Windows/安卓手机