第5章,电子商务安全教学教材.ppt

* * * * * * * * * * * * * * 　　6 商家给顾客装运货物，或完成订购的服务。到此为止，一个购买过程已经结束。商家可以立即请求银行将货款从购物者的帐号转移到商家帐号，也可以等到某一时间，请求成批划帐处理。 　　商家从持卡人的金融机构请求支付。在认证操作和支付操作中间一般会有一个时间间隔。 　　 前三步与SET无关，从第四步开始SET起作用。在处理过程中，通信协议、请求信息的格式、数据类型的定义等，SET都有明确的规定。 在操作的每一步，持卡人、商家、网关都通过CA来验证通信主体的身份，以确认对方身份。 SET购物与支付处理流程 SET的相关技术 （1）加密技术 　SET采用两种加密算法进行加密、解密处理,其中密钥加密是基础、公钥加密是应用的核心：　 　用同一个密钥来加密和解密数据。主要算法是DES，例如加密银行卡持卡人的个人识别代码（PIN）； 公开密钥要求使用一对密钥，一个公开发布，另一个由收信人保存。发信人用公开密钥加密数据，收信人则用私用密钥去解密。主要算法是RSA，例如加密支付请求数据。加密过程可保证不可逆，必须使用私用密码才能解密。 　 （2）数字签名 金融交易要求发送报文数据的同时发送签名数据作为查证。这种电子数字签名是一组加密的数字。SET要求用户在进行交易前首先进行电子签名，然后进行数据发送。 　 SET的相关技术 SET的相关技术 双重签名技术 （3）电子认证 　 　电子交易过程中必须确认用户、商家及所进行的交易本身是否合法可靠。一般要求建立专门的电子认证中心（CA）以核实用户和商家的真实身份以及交易请求的合法性。认证中心将给用户、商家、银行等进行网络商务活动的个人或集团发电子证书。 　 　 SET的相关技术 （4）电子信封 　　金融交易所使用的密钥必须经常更换，SET使用电子信封来传递更换密钥。其方法是由发送数据者自动生成专用密钥，用它加密原文，将生成的密文连同密钥本身一起再用公开密钥手段传送出去。收信人再解密后同时得到专用密钥和用其加密后的密文。这样保证每次传送都可以由发送方选定不同的密钥进行交易。根据SET标准设计的软件系统必须经过SET验证才能授权使用。首先进行登记，再进行SET标准的兼容性试验，目前已经有多家公司的产品通过了SET验证。 　 　 SET的相关技术 B2C电子商务的运作流程 ——基于SET，使用信用卡支付  SET协议和SSL协议的比较 SET协议给银行、商家、持卡客户带来了更多的安全，使他们在进行网上交易时更加放心，但实现复杂、成本高； 而SSL协议则简单快捷，但仍然存在安全漏洞； 随着Internet宽带接入的大规模应用，越来越多商家追求更加安全的电子商务，SET协议机制将逐步被更多的企业、商家与客户所接受，仍然具有良好的应用前景 5.６电子商务安全评估与安全策略 电子商务安全评估 评估内容 评估标准及其发展 系统安全评估的一般步骤 １、内部网络的安全评估 ２、从企业外部进行评估 １、制定系统安全标准 ２、按照安全标准对系统进行监测，找出问题和漏洞 ３、对问题进行分析 电子商务安全策略 制定安全策略时需要考虑的问题 从均衡性和整体性考虑问题 不能由单一的网络技术或产品来达到 需要系统具有可评估性 要求安全策略的制定具有动态性 安全策略的制定 １、首先需要进行安全需求分析 ２、对网络资源进行安全检测评估，对可能存在的风险进行分析 ３、建立安全体系结构 ４、制定安全管理措施 ５、制定实施方案 电子商务安全解决方案介绍 电子商务安全解决方案通常需要包含的内容 基于CA eTrust的电子商务安全解决方案 1、单机安全解决方案 2、系统内部网安全解决方案 3、企业级安全解决方案 * * * * * * * * * * * * * * ①A生成一随机的对称密钥，即会话密钥 ②A用会话密钥加密明文 ③B的公钥加密会话密钥 ④A将密文以及加密后的会话密钥传送给B ⑤B使用自己的私钥解密会话密钥 ⑥B使用会话密钥解密密文，得到明文 * * * 公开密匙/私有密匙加密 老张 小李的公开密匙 小李 老张 密文 小李 小李的私有密匙 老张的私有密匙 老张的公开密匙 密文 鉴别 必威体育官网网址 用RSA鉴别,只有老张能发出该信息 用RSA必威体育官网网址,只有小李能解开该信息 (3)公钥密钥与对称密钥技术的综合应用 A B 如何管理密钥 对称密钥管理 公开密钥管理/数字证书 (4) 密钥管理与自动分配 1 分发密钥 2 验证密钥 密钥附着一些检错和纠错位来传输，当密钥在传输中发生错误时，能很容易地被检查出来。如果需要，密钥可被重传。接收端也可以验证接收的密钥是否正确。 3 更新密钥 4 存储密钥 通过密钥分