网络安全13 - 电子商务安全.ppt

网络与信息安全 电子商务安全 电子商务的概念 利用计算机网络，通过电子数据交换来完成某种与商务或服务相关的工作 将传统商务移植到互联网上 基础：以电子化的形式处理和传输商务数据 电子商务三要素 信息 电子数据交换 电子资金转账 电子商务分类 按照应用领域 企业对消费者（Business to Customer, B2C） 电子零售 如：网上书店 企业对企业（Business to Business, B2B) 企业对政府机构（Business to Government, B2G） 消费者对政府机构（Customer to Government, C2G) 按照付款方式 电子数据交换 信用卡 电子支票 电子现金 记账卡 物物交换 电子商务的支撑环境 网络环境 Internet 支付系统 网上银行、网上支付系统 安全认证系统 配送系统 电子商务面临的安全威胁 对销售者的威胁 中央系统被破坏 客户资料被竞争者获悉 被竞争者假冒 消费者提交订单而不付款 …… 销售者对电子商务的要求 鉴别消费者身份 争议解决机制 信息必威体育官网网址 对消费者的威胁 被他人假冒 付款后不能收到商品 机密信息泄露 …… 消费者对电子商务的要求 鉴别销售者身份 信息必威体育官网网址 争议解决机制 电子商务安全的技术要求 真实性 对消息和实体身份进行鉴别 机密性 信息不被泄露给非授权者 完整性 保证数据一致性 可用性 合法用户的使用不被不正当地拒绝 不可否认性 防止实体的抵赖行为 可控性 控制资源的使用方式 电子商务系统所需安全服务 鉴别服务 对实体身份进行鉴别 访问控制服务 通过授权控制使用资源的方式 机密性服务 为电子信息提供机密性保证 不可否认服务 为交易双方提供不可否认的证据 电子商务的安全体系结构 电子支付系统的安全 电子支付 通过网络进行货币支付 本质是试图把现有支付结构转化为电子形式 电子支付手段 电子信用卡 电子支票 电子现金 对电子支付系统的安全要求 认证：对实体身份进行鉴别，X.509证书和数字签名 必威体育官网网址：加密算法对业务进行加密 业务完整性：消息摘要算法以保证业务完整性 业务的不可否认性 多方支付协议：处理多方贸易 网上支付系统的基本组成 必威体育官网网址和完整性：SSL协议和S-HTTP协议，加密和消息摘要 不可否认：公钥体制和X.509证书 多支付协议： 商家只能读取订单信息而不是信用卡信息 接收银行只是读取支付信息而不是订单信息 SET协议 安全电子交易 - Secure Electronic Transaction， SET 一套开放的协议标准，保护Internet上信用卡支付的安全 支持B2C的模式，使得消费者可以持卡在网上交易和购物 众多厂商和机构参与了SET的制定 信用卡机构 计算机厂商 网络安全提供商 SET是一组安全协议的集合，将现有信用卡支付的基础设施安全地配置在开放的Internet上 SET提供三种服务 交易各方的安全通信 基于X.509证书的信任 消息的机密性保证 SET商业模型的需求 对订购信息和支付信息提供必威体育官网网址性 保证信息传输的完整性 对持卡人的身份认证 是否信用卡帐户的合法用户 对商家的身份认证 建立不依赖于任何安全协议的安全通信机制 方便和鼓励互操作性 SET的关键特征 信息机密性 使用DES对信息进行加密 数据完整性 使用SHA-1+RSA数字签名来提供完整性 制卡用户帐户鉴别 商家身份鉴别 SET的模型 SET交易过程 - 1 消费者申请信用卡 持卡用户获得X.509证书 证书包含了用户的RSA公钥 商家获得证书 两个证书，一个用于消息签名，一个用于密钥交换 持卡用户订购商品 持卡用户对商家进行身份认证 商家向用户提供自己的证书 SET交易过程 - 2 用户发送订购、支付信息以及自己的证书 订单确认对商品的购买 支付信息包含信用卡细节，被加密，商家不可读 证书用于商家对用户的认证 商家请求支付认可 商家将用户的支付信息发给支付网关，请求核准用户的余款是否足以支持本次交易 商家确认订购 支付请求被确认，商家给用户一个订单确认 供货 商家请求支付 商家将支付请求发给支付网关，支付网关将货款从用户的信用卡帐户转到商家帐户 谢谢！ * * 基本密码算法 CA体系、数字签名 安全应用协议 X509、SET、SSL、PGP、…… 电子商务支付系统 电子商务业务系统 客户的开户银行 客户 商家的开户银行 商家 认证机构 *