第二十四章 电子商务安全
电子商务安全
? 电子商务安全问题
? 电子商务安全技术
? CA认证
? 安全电子商务发展
? 网上银行的安全性分析
? 电子证券
传统商务
? 商务是指以商品交易为中心的各种经济事
务机管理活动
? 传统商业采用的是柜台式,,一手交钱一
手交货, 的交易方式
电子商务
? ELECTRONIC COMMERCE(EC)
? 内容包含两个方面,一是电子方式,二是商
贸活动
? 电子商务指的是利用简单、快捷、低成本
的电子通讯方式,买卖双方不谋面地进行
各种商贸活动
电子商务的几种定义
? IBM第一次使用术语, 电子商务,
? 加拿大电子商务协会给出的电子商务定义
? 联合国经济合作和发展组织( OECD)电子
商务的定义
? 中国企业家们的电子商务的定义
? 国际商会世界电子商务会议电子商务定义
电子商务的发展历史
? 始于 20世纪 80年代中期的 EDI电子商务
? 20世纪 90年代初期后的 Internet电子商务
电子商务的分类
? 从采用的技术标准和支付角度来分
? 从服务类型来分
? 从商务形式来分
电子商务的应用领域
? 电信
? 媒体及娱乐业
? 金融服务业
? 医疗
电子商务的应用
? 虚拟银行 (网络银行 )
? 网上购物
? 网络广告
? 好处:企业使用电子商务总体说来可以获
得 3个方面的好处:战略优势、收入增长和
开销降低
电子商务的发展趋势
? 电子商务会飞速发展
? 利用网络开展电子商务的企业很多
? 电子商务还改变了人们消费的方式
电子商务主要的安全要素
? 有效性
? 机密性
? 完整性
? 可靠性 /不可抵赖性 /鉴别
? 审查能力
电子商务安全
? 电子商务安全问题
? 电子商务安全技术
? CA认证
? 安全电子商务发展
? 网上银行的安全性分析
? 电子证券
数据加密技术
? 数据加密模型
? 数据加密算法
数据加密模型
? 明文( plaintext)
? 密文( ciphertext)
? 加密( encryption)
? 解密( decryption)
? 加密算法
? 解密算法
? 密钥( key)
数据加密算法
? 简单代替密码就是将明文字母表 M中的每个
字母用密文字母表 C中的相应字母来代替
? 在常规密码中,收信方和发信方使用相同
的密钥,即加密密钥和解密密钥是相同或
等价的,美国的 DES,欧洲的 IDEA等
? 在公钥密码中,收信方和发信方使用的密
钥互不相同,而且几乎不可能从加密密钥
推导解密密钥, RSA等
认证技术
? 数字签名与数字信封
? 数字证书
? 认证中心( Certification Authority,CA)
? PKI技术
? 几种安全技术及其相关标准规范
数字签名与数字信封
? 数字签名是指用户用自己的私钥对原始数
据的哈希摘要进行加密所得的数据。
? 数字信封采用密码技术保证只有规定的接
收人才能阅读信息的内容
? 数字信封中采用了单钥密码体制和公钥密
码体制
数字证书
? 数字证书是各类实体(持卡人 /个人、商户 /
企业、网关 /银行等)在网上进行信息交流
及商务活动的身份证明,在电子交易的各
个环节,交易的各方都需验证对方证书的
有效性,从而解决相互间的信任问题
? 传送过程
CA
? 为了解决电子商务活动中交易参与各方身
份
? 认证机构 (CA)扮演者一个买卖双方签约、
履约的监督管理的角色,买卖双方有义务
接受认证中心的监督管理
? 电子商务认证机构对登记的客户证书履行
证书的验证请求
PKI技术
? PKI技术采用证书管理公钥,通过第三方的可信任
机构 ――认证中心 CA(Certificate Authority),把用
户的公钥和用户的其他标识信息(如名称,e-
mail、身份证号等)捆绑在一起,在 Internet网上
验证用户的身份
? 由公开密钥密码技术、数字证书、证书发放机构
( CA)和关于公开密钥的安全策略等基本成分共
同组成的
? PKI的核心的技术基础是给予公钥密码学的 "加密 "
和 "签名 "技术
几种安全技术及其相关标准规范
? 密钥管理技术
? Internet电子邮件的安全协议
? UN/EDIFACT的安全
? 安全电子交易规范 (SET)
电子商务安全
? 电子商务安全问题
? 电子商务安全技术
? CA认证
? 安全电子商务发展
? 网上银行的安全性分析
? 电子证券
CA认证
? 数字证书认证中心机构( CA)
? CA中心的概念
? CA的工作原理
? CA中心所发放的证书的种类
? 国外的认证中心机构介绍
? 国内的 CA认证
? 与电子商务安全有关的其他技术
CA技术
? CA中心的核心职能是发放和管理用户的数
字安全证书
? 整个信任链的起点
? 公开密钥技术
? 数字签名
? CA中心发放的证书分为两类,SSL证书和
SET证书
国外的认证中心机构介绍
? VeriSign认证中心,软件行业第一家具有商
业性质的证书授权机构,世界著名的
Micorsoft和 Netscape(网景)公司的数字
标识均在该中心注册的
? BankGate认证中心
国内的 CA认证
? 行业 CA,中国人民银行认证中心( CFCA),中
国邮政认证中心,外经贸部认证中心等
? 地域 CA,如上海 CA认证中心、广东 CA认证中心等
? 主要的应用 CA证书主要是 CTCA(中国电信 CA安
全认证中心),CFCA(中国金融认证中心)和
SHECA(中国协卡认证体系)
? 电子商务 CA技术的发展势必会改变传统国际贸易
的运行模式
与电子商务安全有关的其他技术
? 访问控制
? 防火墙技术
? 数字时间戳
电子商务安全
? 电子商务安全问题
? 电子商务安全技术
? CA认证
? 安全电子商务发展
? 网上银行的安全性分析
? 电子证券
安全电子商务的发展
? 生物认证
? 安全电子商务模型
生物认证
? 以人自身的物理特征作为身份认证依据的技术
? 虹膜识别技术
? 视网膜识别技术
? 面部识别技术
? 签名识别
? 声音识别技术
? 指纹识别技术
安全电子商务模型
? 安全电子商务系统的功能体系结构
? 电子商务系统的功能模块
? 电子柜员机
? 用户端电子钱包
安全电子商务系统的功能体系结构
? 功能体系结构可以分为三层
? 安全基础结构包括 CA安全安全认证体系
(包括 SET CA体系和通用体系)和基本的
安全技术
? 支付体系只与电子商务业务中的支付型业
务有关
? 电子商务业务包括支付型业务和非支付型
业务
电子商务系统的功能模块
? CA体系:为用户的公钥签发证书,以实现
公钥的分发并证明其有效性。该证书证明
了该用户拥有证书中列出的公开密钥
? 支付网关:支付网关与支付型电子商务业
务相关,位于公众网和传统的银行网络之
间
电子柜员机
? 支付型电子商务业务通过电子柜员机接入公众网,
是电子商务系统中提供支付型电子商务服务的服
务者的支付服务器,它必须能够处理用户的申请
并和银行(通过支付网关)进行通信,发送和接
收加密信息,存储签名钥匙和交换钥匙,申请和
接受认证,与数据库进行通信以便存储和填写订
单及保留和处理记录。
? CN POS和 SET电子柜员机
用户端电子钱包
? 用户端软件称为电子钱包
? CN Wallet和 SET Wallet
? 电子商务模式有以下几个特点:多样化,
CA,多种支付平台,服务于广大客户,多
种终端
电子商务安全
? 电子商务安全问题
? 电子商务安全技术
? CA认证
? 安全电子商务发展
? 网上银行的安全性分析
? 电子证券
网上银行的安全性分析
? 网络银行的风险类型,
? 电子扒手
? 网上诈骗
? 电脑黑客
? 计算机病毒
? 信息污染
银行交易系统的安全性
? 建立网络安全防护体系
? 加快发展网络加密技术发展数据库技术,
建立大型网络银行数据库
? 加速金融工程学科在我国的研究、开发和
利用
? 加快电子商务和网络银行的立法进程加入
WTO后
? 我国银行金融业面临的问题
网上银行的技术措施
? 设立防火墙,隔离相关网络
? 高安全级的 Web应用服务器
? 24小时实时安全监控
? 身份识别和 CA认证
? 网络通讯的安全性
?
电子商务安全
? 电子商务安全问题
? 电子商务安全技术
? CA认证
? 安全电子商务发展
? 网上银行的安全性分析
? 电子证券
电子证券
? 定义
? 安全问题
? 安全防范体系
定义
? 各证券公司基本都已开展了网上证券交易
业务
? 电子证券软件系统是运行于双向交互网络
上的实时资讯交易系统
? 可与全球 Internet网络相连,也可自成一个
独立的广域网络
? 网上交易客户最关心也是最担心的就是安
全问题
安全问题
? 共享
? 不可知的周界
? 许多攻击点
? 不可知的路径
安全防范体系
? 站点的安全
? 网络的安全
? 用户的安全
? 管理的安全
? 网络数据加密:在较大程度上存在数据泄
露的危险,因此网络中经常使用加密
? 电子记录的保存:电子档案记录与制作安
全日志
作业
? 校园 CA
? 编写校园网内的 CA中心( RSA等 PKI算法可
以使用开源代码)
? 提供 API
? 实现一个简单使用 CA的例子
电子商务安全
? 电子商务安全问题
? 电子商务安全技术
? CA认证
? 安全电子商务发展
? 网上银行的安全性分析
? 电子证券
传统商务
? 商务是指以商品交易为中心的各种经济事
务机管理活动
? 传统商业采用的是柜台式,,一手交钱一
手交货, 的交易方式
电子商务
? ELECTRONIC COMMERCE(EC)
? 内容包含两个方面,一是电子方式,二是商
贸活动
? 电子商务指的是利用简单、快捷、低成本
的电子通讯方式,买卖双方不谋面地进行
各种商贸活动
电子商务的几种定义
? IBM第一次使用术语, 电子商务,
? 加拿大电子商务协会给出的电子商务定义
? 联合国经济合作和发展组织( OECD)电子
商务的定义
? 中国企业家们的电子商务的定义
? 国际商会世界电子商务会议电子商务定义
电子商务的发展历史
? 始于 20世纪 80年代中期的 EDI电子商务
? 20世纪 90年代初期后的 Internet电子商务
电子商务的分类
? 从采用的技术标准和支付角度来分
? 从服务类型来分
? 从商务形式来分
电子商务的应用领域
? 电信
? 媒体及娱乐业
? 金融服务业
? 医疗
电子商务的应用
? 虚拟银行 (网络银行 )
? 网上购物
? 网络广告
? 好处:企业使用电子商务总体说来可以获
得 3个方面的好处:战略优势、收入增长和
开销降低
电子商务的发展趋势
? 电子商务会飞速发展
? 利用网络开展电子商务的企业很多
? 电子商务还改变了人们消费的方式
电子商务主要的安全要素
? 有效性
? 机密性
? 完整性
? 可靠性 /不可抵赖性 /鉴别
? 审查能力
电子商务安全
? 电子商务安全问题
? 电子商务安全技术
? CA认证
? 安全电子商务发展
? 网上银行的安全性分析
? 电子证券
数据加密技术
? 数据加密模型
? 数据加密算法
数据加密模型
? 明文( plaintext)
? 密文( ciphertext)
? 加密( encryption)
? 解密( decryption)
? 加密算法
? 解密算法
? 密钥( key)
数据加密算法
? 简单代替密码就是将明文字母表 M中的每个
字母用密文字母表 C中的相应字母来代替
? 在常规密码中,收信方和发信方使用相同
的密钥,即加密密钥和解密密钥是相同或
等价的,美国的 DES,欧洲的 IDEA等
? 在公钥密码中,收信方和发信方使用的密
钥互不相同,而且几乎不可能从加密密钥
推导解密密钥, RSA等
认证技术
? 数字签名与数字信封
? 数字证书
? 认证中心( Certification Authority,CA)
? PKI技术
? 几种安全技术及其相关标准规范
数字签名与数字信封
? 数字签名是指用户用自己的私钥对原始数
据的哈希摘要进行加密所得的数据。
? 数字信封采用密码技术保证只有规定的接
收人才能阅读信息的内容
? 数字信封中采用了单钥密码体制和公钥密
码体制
数字证书
? 数字证书是各类实体(持卡人 /个人、商户 /
企业、网关 /银行等)在网上进行信息交流
及商务活动的身份证明,在电子交易的各
个环节,交易的各方都需验证对方证书的
有效性,从而解决相互间的信任问题
? 传送过程
CA
? 为了解决电子商务活动中交易参与各方身
份
? 认证机构 (CA)扮演者一个买卖双方签约、
履约的监督管理的角色,买卖双方有义务
接受认证中心的监督管理
? 电子商务认证机构对登记的客户证书履行
证书的验证请求
PKI技术
? PKI技术采用证书管理公钥,通过第三方的可信任
机构 ――认证中心 CA(Certificate Authority),把用
户的公钥和用户的其他标识信息(如名称,e-
mail、身份证号等)捆绑在一起,在 Internet网上
验证用户的身份
? 由公开密钥密码技术、数字证书、证书发放机构
( CA)和关于公开密钥的安全策略等基本成分共
同组成的
? PKI的核心的技术基础是给予公钥密码学的 "加密 "
和 "签名 "技术
几种安全技术及其相关标准规范
? 密钥管理技术
? Internet电子邮件的安全协议
? UN/EDIFACT的安全
? 安全电子交易规范 (SET)
电子商务安全
? 电子商务安全问题
? 电子商务安全技术
? CA认证
? 安全电子商务发展
? 网上银行的安全性分析
? 电子证券
CA认证
? 数字证书认证中心机构( CA)
? CA中心的概念
? CA的工作原理
? CA中心所发放的证书的种类
? 国外的认证中心机构介绍
? 国内的 CA认证
? 与电子商务安全有关的其他技术
CA技术
? CA中心的核心职能是发放和管理用户的数
字安全证书
? 整个信任链的起点
? 公开密钥技术
? 数字签名
? CA中心发放的证书分为两类,SSL证书和
SET证书
国外的认证中心机构介绍
? VeriSign认证中心,软件行业第一家具有商
业性质的证书授权机构,世界著名的
Micorsoft和 Netscape(网景)公司的数字
标识均在该中心注册的
? BankGate认证中心
国内的 CA认证
? 行业 CA,中国人民银行认证中心( CFCA),中
国邮政认证中心,外经贸部认证中心等
? 地域 CA,如上海 CA认证中心、广东 CA认证中心等
? 主要的应用 CA证书主要是 CTCA(中国电信 CA安
全认证中心),CFCA(中国金融认证中心)和
SHECA(中国协卡认证体系)
? 电子商务 CA技术的发展势必会改变传统国际贸易
的运行模式
与电子商务安全有关的其他技术
? 访问控制
? 防火墙技术
? 数字时间戳
电子商务安全
? 电子商务安全问题
? 电子商务安全技术
? CA认证
? 安全电子商务发展
? 网上银行的安全性分析
? 电子证券
安全电子商务的发展
? 生物认证
? 安全电子商务模型
生物认证
? 以人自身的物理特征作为身份认证依据的技术
? 虹膜识别技术
? 视网膜识别技术
? 面部识别技术
? 签名识别
? 声音识别技术
? 指纹识别技术
安全电子商务模型
? 安全电子商务系统的功能体系结构
? 电子商务系统的功能模块
? 电子柜员机
? 用户端电子钱包
安全电子商务系统的功能体系结构
? 功能体系结构可以分为三层
? 安全基础结构包括 CA安全安全认证体系
(包括 SET CA体系和通用体系)和基本的
安全技术
? 支付体系只与电子商务业务中的支付型业
务有关
? 电子商务业务包括支付型业务和非支付型
业务
电子商务系统的功能模块
? CA体系:为用户的公钥签发证书,以实现
公钥的分发并证明其有效性。该证书证明
了该用户拥有证书中列出的公开密钥
? 支付网关:支付网关与支付型电子商务业
务相关,位于公众网和传统的银行网络之
间
电子柜员机
? 支付型电子商务业务通过电子柜员机接入公众网,
是电子商务系统中提供支付型电子商务服务的服
务者的支付服务器,它必须能够处理用户的申请
并和银行(通过支付网关)进行通信,发送和接
收加密信息,存储签名钥匙和交换钥匙,申请和
接受认证,与数据库进行通信以便存储和填写订
单及保留和处理记录。
? CN POS和 SET电子柜员机
用户端电子钱包
? 用户端软件称为电子钱包
? CN Wallet和 SET Wallet
? 电子商务模式有以下几个特点:多样化,
CA,多种支付平台,服务于广大客户,多
种终端
电子商务安全
? 电子商务安全问题
? 电子商务安全技术
? CA认证
? 安全电子商务发展
? 网上银行的安全性分析
? 电子证券
网上银行的安全性分析
? 网络银行的风险类型,
? 电子扒手
? 网上诈骗
? 电脑黑客
? 计算机病毒
? 信息污染
银行交易系统的安全性
? 建立网络安全防护体系
? 加快发展网络加密技术发展数据库技术,
建立大型网络银行数据库
? 加速金融工程学科在我国的研究、开发和
利用
? 加快电子商务和网络银行的立法进程加入
WTO后
? 我国银行金融业面临的问题
网上银行的技术措施
? 设立防火墙,隔离相关网络
? 高安全级的 Web应用服务器
? 24小时实时安全监控
? 身份识别和 CA认证
? 网络通讯的安全性
?
电子商务安全
? 电子商务安全问题
? 电子商务安全技术
? CA认证
? 安全电子商务发展
? 网上银行的安全性分析
? 电子证券
电子证券
? 定义
? 安全问题
? 安全防范体系
定义
? 各证券公司基本都已开展了网上证券交易
业务
? 电子证券软件系统是运行于双向交互网络
上的实时资讯交易系统
? 可与全球 Internet网络相连,也可自成一个
独立的广域网络
? 网上交易客户最关心也是最担心的就是安
全问题
安全问题
? 共享
? 不可知的周界
? 许多攻击点
? 不可知的路径
安全防范体系
? 站点的安全
? 网络的安全
? 用户的安全
? 管理的安全
? 网络数据加密:在较大程度上存在数据泄
露的危险,因此网络中经常使用加密
? 电子记录的保存:电子档案记录与制作安
全日志
作业
? 校园 CA
? 编写校园网内的 CA中心( RSA等 PKI算法可
以使用开源代码)
? 提供 API
? 实现一个简单使用 CA的例子
