电子商务chapter8课件.pptVIP

二、电子商务的安全威胁 卖方面临的安全威胁：系统中心安全性被破坏；商业机密的安全性；竞争者的威胁；假冒的威胁；信用的威胁。 买方面临的威胁：虚假订单；付款后不能收到商品；机密性丧失；拒绝服务。 三、电子商务的安全要求 电子商务安全是一个复杂的系统问题，在使用电子商务的过程中会涉及到以下几个有关安全方面的要素。 1．信息的必威体育官网网址性 是指信息在传输过程或存储中不被他人窃取。 2．信息的完整性 信息的完整性包括信息传输和存储两个方面。在存储时，要防止非法篡改和破坏网站上的信息。在传输过程中，接收端收到的信息与发送的信息完全一样，说明在传输过程中信息没有遭到破坏。 3．不可否认性 指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。 4．身份的真实性 指网上交易双方身份信息的真实性。双方交换信息之前通过各种方法保证身份的精确性，分辨参与者身份的真伪，防止伪装攻击 5．系统的可靠性 指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。保证存储在介质上的信息的正确性。 四、电子商务的安全体系 电子商务系统的三方安全 (1)银行方 (2)服务方 (3)客户方 电子商务的安全体系 三、非对称密钥加密体制 １．概念 　　非对称密钥加密系统，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥（Public-Key）；另一个由用户自己秘密保存，称为私有密钥（Private-Key）。 2.何为数字签名？ 数字签名后的文件传输 3.对数字证书的验证 （1）需要： 电子交易的各方都必须拥有合法的身份，即由数字证书认证中心（CA）签发的数字证书，在交易的各个环节，交易的各方都需检验对方数字证书的有效性，从而解决了用户信任问题。 电子商务安全认证体系是一套融合了各种先进的加密技术和认证技术的安全体系，它主要定义和建立自身认证和授权规则，然后分发、交换这些规则，并在网络之间解释和管理这些规则。 电子商务安全认证体系的核心机构就是CA认证中心。 （2）概念： 认证中心（Certificate Authority,CA）是网上各方都信任的承担网上安全电子交易的认证服务机构，主要负责产生、分配并管理所有参与网上交易的主体所需的身份认证数字证书。 5.4 电子商务安全协议 为了保障电子商务的安全性，一些公司和机构制定了电子商务的安全协议，来规范在Internet上从事商务活动的流程。 目前，典型的电子商务安全协议有： SSL（安全套接层）协议 SET（安全电子交易）协议 2、SSL提供的安全服务： SSL采用对称密码技术和公开密码技术相结合，提供了如下三种基本的安全服务： 秘密性。SSL客户机和服务器之间通过密码算法和密钥的协商，建立起一个安全通道。以后在安全通道中传输的所有信息都经过了加密处理。 完整性。SSL利用密码算法和hash函数，通过对传输信息特征值的提取来保证信息的完整性。 认证性。利用证书技术和可信的第三方CA，可以让客户机和服务器相互识别对方的身份。 （1）持卡人通过浏览器从商家网站选择要购买的商品，填写订单。选择付款方式，此时SET开始介入。持卡人通过网络发送给商家一个完整的订单及要求付款的指令。在SET中，订单和付款指令由持卡人进行数字签名，同时，利用双重签名技术保证商家看不到持卡人的账号信息。 （2）、（3）商家接受订单，通过支付网关向持卡人的金融机构请求支付认可。 （4）、（5）在银行和发卡机构确认和批准交易后，支付网关给商家返回确认信息。 （6）商家通过网络给顾客发送订单确认信息，为顾客配送货物，完成订购服务。客户端软件可记录交易日志，以备将来查询。 （7）—（9）商家请求银行将钱从购物者的账号转移到商家账号。 一、防火墙的概念 防火墙 5.5电子商务网站常用的防御方法——防火墙技术 防火墙是在内部网和互联网之间构筑的一道屏障，是在内外有别及在需要区分处设置有条件的隔离设备，用以保护内部网中的信息、资源等不受来自互联网中非法用户的侵犯。 防火墙的目的是阻止对信息资源的非法访问，也可以阻止对内部信息的非法窃取。换言之，防火墙是一道门槛，控制进出两个方向的通信。 二、防火墙的主要功能 保护易受攻击的服务 控制对特殊站点的访问 安全管理集中化 检测外来黑客攻击的行为 对网络访问进行日志记录和统计 三. 防火墙的基本类型 包过滤型防火墙 应用级网关 电路级网关 规则检查防火墙 OSI 防火墙 应用层 应用级网关 表示层 会话层 电路级网关 传输层