管理信息系统.ppt

**电子商务安全体系电子商务安全不仅仅是技术层面问题，而且是包含预防、检测、管理和制度层面在内的一整套体系的建设问题。法律、规范、道德、纪律管理细则、保护措施物理实体安全网络系统安全网络交易安全网络信息安全社会层面管理层面技术层面应用层面第154页,共180页，5月，星期六，2024年，5月电子商务业务系统电子商务支付系统安全交易协议

SET、SSL、S/HTTP、S/MIME、PKI???安全认证技术

数字摘要、数字签名、数字信封、CA证书???加密技术

非对称密钥加密、对称密钥加密、DES、RSA???安全策略、防火墙、查杀病毒、虚拟专用网安全应用信息安全网络安全电子商务安全技术结构示意图第155页,共180页，5月，星期六，2024年，5月（3）网络交易安全——参与对象之间交易过程的安全，如安全套接层协议（SSL）、安全电子交易协议（SET）、公钥基础设施（PKI）。第156页,共180页，5月，星期六，2024年，5月安全套接层协议SSL的主要目的是解决Web上信息传输的安全顾虑。SSL构架在可靠传输层协议（TCP）和应用层协议之间。SSL是一个层次化的协议，共分两层：记录层（RecordLayer）和握手层（HandshakeLayer）。第157页,共180页，5月，星期六，2024年，5月记录层用于封装上层协议数据。握手层完成服务器和客户之间的相互认证、协商加密算法和加密密钥等发生在应用协议层传输数据之前的事务。还负责协调客户端和服务器之间的状态。SSL的具体功能：把要传输的信息分成可以控制的数据段，对这些数据进行压缩、“文摘”、加密等操作（有的操作可选），然后传送结果。另一方面，对收到的数据进行解密、检验、解压等操作后，把数据产给上层协议。第158页,共180页，5月，星期六，2024年，5月SSL握手协议SSL中的握手协议，是在客户机和服务器之间交换消息的强化性协议，一般有六个阶段：（1）接通阶段：（2）密钥交换阶段：（3）会话密钥生成阶段：（4）服务器证实阶段：（5）客户机认证阶段：（6）结束阶段：上述过程完成以后，双方之间的信息传送就会加以密码，另一端收到信息后，再将加密的信息还原。第159页,共180页，5月，星期六，2024年，5月客户机服务器Client-HelloServer-HelloClient-DH-KeyClient-Session-KeyServer-VerifyRequest-CertificationClient-CertificationClient-FinishedServer-FinishedClient-Master-Key接通密钥交换会话密钥生成服务器证实客户机认证结束可信赖的通信第160页,共180页，5月，星期六，2024年，5月SSL协议运行基点是商家对客户信息必威体育官网网址的承诺。SSL协议的流程（如下图）：客户信息首先传到商家，商家阅读后再传到银行。银行验证客户信息合法性后，通知商家付款成功。商家再通知客户购买成功，并将商品寄送客户。客户商家银行SSL协议流程图第161页,共180页，5月，星期六，2024年，5月公钥基础设施（PKI）什么是PKIPKI是利用公钥理论和技术建立的提供安全服务的基础设施。PKI的基础技术包括加密、数字签名、数字完整性机制、数字信封、双重数字签名等。PKI系统的组成：权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）。X.509已经成为关于数字证书应用模型的国际标准，是一个很重要的PKI标准。PKI的目的在安全域中或不同安全域中，建立各终极实体之间的信任关系。其中：终极实体是指参与电子商务交易活动的人及其使用的某应用程序。第162页,共180页，5月，星期六，2024年，5月PKI的基本功能①验证用户数字证书；②确定是否接受用户的数字证书申请；③向申请者颁发或拒绝颁发数字证书；④接受、处理用户数字证书的更新要求；⑤接受用户的数字证书查询；⑥产生广播黑名单（CRL）及品牌黑名单标识（BCI）；⑦数字证书归档；⑧密钥归档