第5章风险控制——电子商务安全试题.ppt

SSL 协议 是建立两台计算机之间的安全连接通道的属会话层的协议。 在该通道上可透明加载任何高层应用协议（如FTP、TELNET等）以保证应用层数据传输的安全性。 认证用户和服务器，它们能够确信数据将被发送到正确的客户机和服务器上。 加密数据以隐藏被传送的数据。 维护数据的完整性，确保数据在传输过程中不被改变。 要求服务器端安装数字证书，客户端可选。 在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系； SSL协议有利于商家而不利于客户，适合B2B； SET协议 SET协议保证了电子交易的机密性、数据完整性、身份的合法性和防抵赖性。 用到了对称密钥系统、公钥系统、数字签名、数字信封、双重签名、身份认证等技术； 消费者、在线商店、支付网关都通过CA来验证通信主体的身份。 对购物信息和支付信息采用双重签名，保证商户看不到信用卡信息，银行看不到购物信息； 速度偏慢，但是进行电子商务的最佳协议标准，主要适用于B2C模式； SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式。 SET协议 SET协议提供对消费者、商家和收单行的认证 确保交易数据的安全性、完整性和交易的不可否认性 SET协议 设计思想 保证信息的加密性 、验证交易各方 保证支付的完整性和一致性 、保证互操作性 收单行 商家 用户 购物信息 支付信息 转移存款 SET保证商家看不到卡号，数字签名 商家的信息用商家公钥加密 银行的信息用银行的公钥加密 用户的信息用自己的私钥加密 第5章 电子商务安全 电子商务安全技术 安全交易协议 SET协议 * * CIA Central Intelligence Agency? Central Idiot Agency 了解了电子商务安全主要的组成,我们来看一下安全体系应该如何构建 1．信息传输的必威体育官网网址性 信息的必威体育官网网址性是指信息在传输过程或存储中不被他人窃取。因此，信息需要加密以及在必要的节点上设置防火墙。例如，信用卡号在网上传输时，如果非持卡人从网上拦截并知道了该号码，他也可以用这个号码在网上购物。因此，必须对要必威体育官网网址的信息进行加密，然后再放到网上传输。 2．交易文件的完整性 信息的完整性是从信息传输和存储两个方面来看的。在存储时，要防止非法篡改和破坏网站上的信息。在传输过程中，接收端收到的信息与发送的信息完全一样，说明在传输过程中信息没有遭到破坏。尽管信息在传输过程中被加了密，能保证第三方看不到真正的信息，但并不能保证信息不被修改。例如，如果发送的信用卡号码是“9856”，接收端收到的却是“9894”，这样，信息的完整性就遭到了破坏。 3．信息的不可否认性 信息的不可否认性是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。由于商情的千变万化，交易达成后是不能否认的，否则，必然会损害一方的利益。例如，买方向卖方订购石油，订货时世界市场的价格较低，收到订单时价格上涨了，如果卖方否认收到的订单的时间，甚至否认收到订单，那么买方就会受到损失。再例如，买方在网上买了书，不能说没有买，慌称寄出的订单不是自己的，而是信用卡被盗用。 4．交易者身份的真实性 交易者身份的真实性是指在虚拟市场中确定交易者的实际身份。网上交易的双方很可能素昧平生，相隔千里。要使交易成功首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、必威体育官网网址、可靠地开展服务活动，都要进行身份认证的工作。对有关的销售商店来说，他们对顾客所用的信用卡的号码是不知道的，商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种必威体育官网网址与识别方法，确认顾客的身份是否合法，同时还要防止发生拒付款问题以及确认订货和订货收据信息等。 加密技术目的是为了防止合法接收者之外的人获取信息系统中的机密信息，是实现信息必威体育官网网址性的一种重要的手段。所谓信息加密技术，就是采用数学方法对原始信息(通常称为“明文”)进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(加密后的信息通常称为“密文”)。通过解密过程得到原始数据(即“明文”)。加密和解密过程依靠两个元素，缺一不可，这就是算法和密钥。算法是加密或解密的一步一步的过程。在这个过程中需要一串数字，这个数字就是密钥。 由此可见，在加密和解密的过程中，都