第二十四章电子商务安全

第二十四章电子商务安全

电子商务安全 • 电子商务安全问题 • 电子商务安全技术 • CA认证 • 安全电子商务发展 • 网上银行的安全性分析 • 电子证券

传统商务 • 商务是指以商品交易为中心的各种经济事务机管理活动 • 传统商业采用的是柜台式、“一手交钱一手交货”的交易方式

电子商务 • ELECTRONIC COMMERCE(EC) • 内容包含两个方面:一是电子方式，二是商贸活动 • 电子商务指的是利用简单、快捷、低成本的电子通讯方式，买卖双方不谋面地进行各种商贸活动

电子商务的几种定义 • IBM第一次使用术语“电子商务” • 加拿大电子商务协会给出的电子商务定义 • 联合国经济合作和发展组织（OECD）电子商务的定义 • 中国企业家们的电子商务的定义 • 国际商会世界电子商务会议电子商务定义

电子商务的发展历史 • 始于20世纪80年代中期的EDI电子商务 • 20世纪90年代初期后的Internet电子商务

电子商务的分类 • 从采用的技术标准和支付角度来分 • 从服务类型来分 • 从商务形式来分

电子商务的应用领域 • 电信 • 媒体及娱乐业 • 金融服务业 • 医疗

电子商务的应用 • 虚拟银行(网络银行) • 网上购物 • 网络广告 • 好处：企业使用电子商务总体说来可以获得3个方面的好处：战略优势、收入增长和开销降低

电子商务的发展趋势 • 电子商务会飞速发展 • 利用网络开展电子商务的企业很多 • 电子商务还改变了人们消费的方式

电子商务主要的安全要素 • 有效性 • 机密性 • 完整性 • 可靠性/不可抵赖性/鉴别 • 审查能力

数据加密技术 • 数据加密模型 • 数据加密算法

数据加密模型 • 明文（plaintext） • 密文（ciphertext） • 加密（encryption） • 解密（decryption） • 加密算法 • 解密算法 • 密钥（key）

数据加密算法 • 简单代替密码就是将明文字母表M中的每个字母用密文字母表C中的相应字母来代替 • 在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的，美国的DES ，欧洲的IDEA等 • 在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导解密密钥，RSA等

认证技术 • 数字签名与数字信封 • 数字证书 • 认证中心（Certification Authority，CA） • PKI技术 • 几种安全技术及其相关标准规范

数字签名与数字信封 • 数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。 • 数字信封采用密码技术保证只有规定的接收人才能阅读信息的内容 • 数字信封中采用了单钥密码体制和公钥密码体制

数字证书 • 数字证书是各类实体（持卡人/个人、商户/企业、网关/银行等）在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题 • 传送过程

CA • 为了解决电子商务活动中交易参与各方身份 • 认证机构(CA)扮演者一个买卖双方签约、履约的监督管理的角色，买卖双方有义务接受认证中心的监督管理 • 电子商务认证机构对登记的客户证书履行证书的验证请求

PKI技术 • PKI技术采用证书管理公钥，通过第三方的可信任机构――认证中心CA(Certificate Authority)，把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，在Internet网上验证用户的身份 • 由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的 • PKI的核心的技术基础是给予公钥密码学的"加密"和"签名"技术

几种安全技术及其相关标准规范 • 密钥管理技术 • Internet电子邮件的安全协议 • UN/EDIFACT的安全 • 安全电子交易规范(SET)

CA认证 • 数字证书认证中心机构（CA） • CA中心的概念 • CA的工作原理 • CA中心所发放的证书的种类 • 国外的认证中心机构介绍 • 国内的CA认证 • 与电子商务安全有关的其他技术

CA技术 • CA中心的核心职能是发放和管理用户的数字安全证书 • 整个信任链的起点 • 公开密钥技术 • 数字签名 • CA中心发放的证书分为两类：SSL证书和SET证书

国外的认证中心机构介绍 • VeriSign认证中心，软件行业第一家具有商业性质的证书授权机构，世界著名的Micorsoft和Netscape（网景）公司的数字标识均在该中心注册的 • BankGate认证中心

国内的CA认证 • 行业CA ：中国人民银行认证中心（CFCA），中国邮政认证中心，外经贸部认证中心等 • 地域CA，如上海CA认证中心、广东CA认证中心等 • 主要的应用CA证书主要是CTCA（中国电信CA安全认证中心）、CFCA（中国金融认证中心）和SHECA（中国协卡认证体系） • 电子商务CA技术的发展势必会改变传统国际贸易的运行模式

与电子商务安全有关的其他技术 • 访问控制 • 防火墙技术 • 数字时间戳

安全电子商务的发展 • 生物认证 • 安全电子商务模型

生物认证 • 以人自身的物理特征作为身份认证依据的技术 • 虹膜识别技术 • 视网膜识别技术 • 面部识别技术 • 签名识别 • 声音识别技术 • 指纹识别技术

安全电子商务模型 • 安全电子商务系统的功能体系结构 • 电子商务系统的功能模块 • 电子柜员机 • 用户端电子钱包

安全电子商务系统的功能体系结构 • 功能体系结构可以分为三层 • 安全基础结构包括CA安全安全认证体系（包括SET CA体系和通用体系）和基本的安全技术 • 支付体系只与电子商务业务中的支付型业务有关 • 电子商务业务包括支付型业务和非支付型业务

电子商务系统的功能模块 • CA体系：为用户的公钥签发证书，以实现公钥的分发并证明其有效性。该证书证明了该用户拥有证书中列出的公开密钥 • 支付网关：支付网关与支付型电子商务业务相关，位于公众网和传统的银行网络之间

电子柜员机 • 支付型电子商务业务通过电子柜员机接入公众网，是电子商务系统中提供支付型电子商务服务的服务者的支付服务器，它必须能够处理用户的申请并和银行（通过支付网关）进行通信，发送和接收加密信息，存储签名钥匙和交换钥匙，申请和接受认证，与数据库进行通信以便存储和填写订单及保留和处理记录。 • CN POS和SET电子柜员机

用户端电子钱包 • 用户端软件称为电子钱包 • CN Wallet和SET Wallet • 电子商务模式有以下几个特点：多样化，CA，多种支付平台，服务于广大客户，多种终端

网上银行的安全性分析 • 网络银行的风险类型： • 电子扒手 • 网上诈骗 • 电脑黑客 • 计算机病毒 • 信息污染

银行交易系统的安全性 • 建立网络安全防护体系 • 加快发展网络加密技术发展数据库技术，建立大型网络银行数据库 • 加速金融工程学科在我国的研究、开发和利用 • 加快电子商务和网络银行的立法进程加入WTO后 • 我国银行金融业面临的问题

网上银行的技术措施 • 设立防火墙，隔离相关网络 • 高安全级的Web应用服务器 • 24小时实时安全监控 • 身份识别和CA认证 • 网络通讯的安全性 • 客户的安全意识

电子证券 • 定义 • 安全问题 • 安全防范体系

定义 • 各证券公司基本都已开展了网上证券交易业务 • 电子证券软件系统是运行于双向交互网络上的实时资讯交易系统 • 可与全球Internet网络相连，也可自成一个独立的广域网络 • 网上交易客户最关心也是最担心的就是安全问题

安全问题 • 共享 • 不可知的周界 • 许多攻击点 • 不可知的路径

安全防范体系 • 站点的安全 • 网络的安全 • 用户的安全 • 管理的安全

网络数据加密：在较大程度上存在数据泄露的危险，因此网络中经常使用加密网络数据加密：在较大程度上存在数据泄露的危险，因此网络中经常使用加密 • 电子记录的保存：电子档案记录与制作安全日志

作业 • 校园CA • 编写校园网内的CA中心（RSA等PKI算法可以使用开源代码） • 提供API • 实现一个简单使用CA的例子

第二十四章 电子商务安全