网络交易安全管理课程.pptx

第九章网络交易安全管理;第一节 电子商务的安全问题;主 要 内 容;一、电子商务的安全问题;拒绝服务 攻击者使合法接入的信息、业务或其他资源受阻 对发出的信息予以否认 某些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。 非法入侵和病毒攻击 计算机网络会经常遭受非法的入侵攻击以及计算机病毒的破坏。 ;2. 触发安全问题的原因;3. 网络黑客及其演变;从上世纪60年代诞生到80年代以来，黑客群体开始演变为“黑帽子”(以伤害性行为牟取利益)、“灰帽子”(时而做恶，时而行善事)、“白帽子”(一般仅对技术感兴趣)和“红帽子”(为政治服务)四种 窃客：实施网络攻击，获取非法经济利益；2005年以来，计算机病毒作者更是常常以获取经济利益为目标，网银大盗、证券大盗、游戏大盗、QQ大盗等都是如此，且已触犯了我国的刑法。2006年5月“证券大盗”木马病毒作者一审被判无期徒刑;1. 口令攻击;2. 服务攻击;3. 电子邮件轰炸;4. 利用文件系统入侵;5. 计算机病毒;6. IP欺骗;术语;密码安全、计算机安全、网络安全和信息安全之 间 的 关 系;减少安全隐患的主要策略;电子商务安全构架;第二节 数据加密技术;一、密码学基本概念;加密图示;传统的密码体制所用的加密密钥和解密密钥相同，形成了对称式密钥加密技术 在一些新体制中，加密密钥和解密密钥不同，形成非对称式密码加密技术，即公开密钥加密技术 ;二、对称式密钥加密技术;对称密匙（保密密匙）加密;对称式密钥加密技术的优缺点;三、公开密钥加密技术;;公开密钥加密技术的优缺点;第三节 认证技术;一、身份认证技术;身份认证的目标;用户身份认证的基本方式;常用的身份认证方法;二、数字签名;数字签字过程（1）;发送方用自己的私有密钥对报文摘要进行加密，然后将其与原始的报文附加在一起，合称为数字签字 数字签字代表文件的特征，文件如果发生改变，数字签字的值也将发生变化。不同的文件将得到不同的数字签字 数字签字机制提供一种鉴别方法，通过它能够实现对原始报文的鉴别和验证，保证报文完整性、权威性和发送者对所发报文的不可抵赖性，以解决伪造、抵赖、冒充、篡改等问题; 数字签字 ;三、数字时间戳;时间戳产生的过程;四、通过认证机构认证;数字证书;基于公开密钥体制的数字证书是电子商务安全体系的核心，用途是利用公开密钥加密系统来保护与验证公众的密钥，由可信任的、公正的权威认证中心颁发 认证中心对申请者所提供的信息进行验证，然后通过向电子商务各参与方签发数字证书，来确认各方的身份，保证网上支付的安全性 数字证书由申请证书主体的信息和发行证书的认证中心签字两部分组成;证书的树形验证机构;第四节 安全支付技术;1. SSL安全协议提供的服务;2. SSL安全协议的工作流程;3. SSL安全协议的运行步骤;4. SSL安全协议的应用; SET（Secure Electronic Transaction）是两大信用卡组织Visa和Master，为克服SSL安全协议的缺点而联合开发的电子商务交易安全协议，用以保证支付信息的机密、支付过程的完整、商户和持有人的合法身份以及互可操作性 ;SET的运作通过四个组件完成：电子钱包、电子证书、支付网关和认证中心 四个软件分别存储在客户、商家、银行以及认证中心的计算机上 ;;2. SET协议的工作流程;图示SET协议的工作流程;3. SET协议的主要目标;Thank You