8电子商务基础与应用 清华大学出版社.ppt

第8章 电子商务安全 案 例 国外 2000年2月7日－9日，Yahoo, ebay, Amazon 等著名网站被黑客攻击，直接和间接损失10亿美元。 2003年，易趣用户收到“网络钓鱼”邮件…… 国内 2000年春天，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。 2009年QQ交谈中以网上购物打折为诱饵…… CNNIC调查结果（2003年1月） 用户认为目前网上交易存在的最大问题是： 安全性得不到保障： 23.4% 付款不方便： 10.8% 产品质量、售后服务及厂商信用得不到保障：39.3% 送货不及时： 8.6% 价格不够诱人： 10.8% 网上提供的信息不可靠： 6.4% 其它： 0.7% 8.1 电子商务系统安全概述 1.电子商务的安全，从整体上可分为两部分： (1)计算机网络安全： 包括计算机网络设备、网络系统、数据库等的安全。 (2)商务交易安全： 即实现电子商务的保密性、信息的完整性、可鉴别性、不可伪造性和不可抵赖性，保证电子商务过程的顺利进行。 2. 电子商务安全构架 3. 国际通用电子商务安全协议 （1）安全套接层协议SSL （2）安全电子交易协议SET （3）安全超文本传输协议S-HTTP （4）Internet电子邮件安全协议 （1）安全套接层协议SSL 1）安全套接层协议的概念 安全套接层协议（Secure Sockets Layer），是由网景公司设计开发的，向基于TCP/IP协议的客户/服务器应用程序提供客户端和服务器之间的安全连接技术，实现兼容浏览器和服务器（通常是WWW服务器）之间安全通信的协议，主要用于提高应用程序之间的数据安全系数。 2）安全套接层协议SSL的工作原理 SSL安全加密机制主要是使用数字证书来实现的。当采用了SSL加密机制后，客户机首先要与IIS服务器建立通信连接，IIS服务器会把数字证书和公开密钥发送给客户机，与客户机交换密码，一般选用的是RSA密码算法（也有选用Diffie-Hellman和Fortezza-KEA密码算法），当身份验证确认后，这个公开密钥对用户端的会话密钥进行加密并将其传送到IIS服务器，IIS服务器接到这个会话密钥后会对会话密钥进行解密，这时用户就和IIS服务器建立了一条加密通信通道。 3） SSL协议提供的安全服务 SSL协议对基于TCP／IP网络的客户机/服务器提供下列安全服务: ● 认证用户和服务器：用服务器端证书认证Web服务器的资格(在电子商务中就是认证网上商店的资格)，用客户端证书认证客户身份，以能确信数据被发送到正确的客户机和服务器上。 ? ● 对通信数据进行加密：SSL协议采用了对称加密技术(DES)和公、私钥加密技术(RSA)。 ● 维护数据的完整性：使用消息摘要技术确保数据在传输过程中不被改变。 4）SSL协议的通信过程 (1) 客户机向服务器打招呼，并将本机可支持的安全模块告诉服务器。 (2) 服务器回应客户机，向客户机发送本机的服务器数字证书、公钥，如果服务器需要双方认证，还要向对方提出认证请求。 (3) 客户机用服务器公钥加密向服务器发送自己的公钥，根据服务器是否需要认证客户身份，发送客户端数字证书。 (4) 双方根据前面联络的情况，确定专门用于本次会话的专用密钥。 (5) 双方使用专用密钥进行会话。 (6) 会话结束时双方交换结束信息。 在电子商务交易中，客户、商家和银行之间都遵从SSL协议进行通信。客户信息先发送到商家，商家再将信息发送到银行，银行验证客户信息(如信用卡信息)的合法性后，通知商家付款成功，商家再通知客户交易成功，并将商品配送给客户。 首先，客户的信息先到商家，让商家阅读，这样，客户资料的安全性就得不到保证； 第二，SSL只能保证资料传递过程的安全性