電子商務課件 第3講

1、第三講 電子商務的安全問題,1、電子商務安全威脅概述2、電子商務常用安全技術,,主要內容：,,電子商務安全問題,賣方面臨問題買方面臨問題信息傳輸問題信用問題,保密性（防止被竊?。┱J證性（身份真實性）完整性（報文完整及防止被篡改）不可否認性（不可抵賴性）,網絡安全的基本要求（目標）,,電子商務常用安全技術,,,明文：被隱蔽的信息的原來可讀的形式。,密文：密碼將明文變換成另一種隱蔽的不可理解的形式。,數(shù)據(jù)加密,基本概念一,加密

2、和解密的規(guī)則(過程）稱為加密算法。,這一過程中需要一串數(shù)字，這串數(shù)字稱為密鑰。,例：加密過程,密鑰=17,18,19,20,明文,密文,20,08,09,19,27,09,19,27,01,19,05,05,03,18,20,37,25,26,36,44,26,36,44,18,36,22,22,20,35,37,27,44,,,,密鑰,網絡,被動攻擊非法竊聽,主動攻擊非法接入,,,加密系統(tǒng)運作示意圖,,密鑰,,數(shù)據(jù)加密技術,對稱密

3、鑰加密體制,非對稱密鑰加密體制,,基本概念二,,,,密鑰K1,密鑰K2,?對稱密碼加密體制,,,K2=K1=K,,,,密鑰K1,密鑰K2,?非對稱密碼加密體制,,,K2不同于K1,基本概念三,計算機算法,DES算法（數(shù)據(jù)加密標準）用于對稱密碼加密體制中,RSA算法用于非對稱密碼加密體制中,DSA算法是公開密鑰算法，不能用作加密,,,對稱密鑰加密方式,,安全認證技術,數(shù)字信封,數(shù)字摘要,數(shù)字簽名,數(shù)字時間戳,數(shù)字證書,認證中心（CA

4、）,,“數(shù)字信封”技術結合了對稱加密和非對稱加密的優(yōu)點，使用兩個層次的加密來獲得非對稱加密的靈活性和對稱加密的高效性。,數(shù)字信封,,對稱密鑰,,,解密,用戶B,,,用戶B的私鑰,,,,,對稱密鑰,,“數(shù)字摘要”:主要用于驗證通過網絡傳輸收到的文件是否是原始的、未被篡改的文件原文。它利用Hash函數(shù)也稱為數(shù)字指紋(Finger Print).特性：任意大小的信息經Hash函數(shù)變換后都能形成固定的長度的“摘要”，且不同的明文摘要成密文，其

5、結果總是不同的，而同樣的明文其摘要必定一致。同時不可能通過數(shù)字摘要經過逆運算生成源數(shù)據(jù)。,,單向HASH函數(shù),?單向HASH函數(shù),“數(shù)字簽名”與書面文件簽名有相同之處，作用如下：,其一，信息是由簽名者發(fā)送的；,其二，信息自簽發(fā)后到收到為止未曾作過任何修改。,,Hash加密,,RSA加密,,,發(fā)送,,RSA解密,,,,Hash加密,,,,數(shù)字簽名應用過程,數(shù)字時間戳 DTS（Digital Time-Stamp Service）,它是一個

6、經加密后形成的證書文件，由專門機構提供。,它包括,1、相聯(lián)系文件的摘要,2、DTS機構收到文件的日期和時間,3、DTS機構的數(shù)字簽名,,數(shù)字時間戳的應用過程,,證書的版本號數(shù)字證書的序列號證書擁有者的姓名證書擁有者的公開密鑰公開密鑰的有效期簽名算法頒發(fā)數(shù)字證書的驗證,數(shù)字證書格式（X.509）,X.509 證書,CA 的簽名保證證書的真實性,證書以一種可信方式將密鑰“捆綁”到唯一命名,持有人: Zhang Min,公開密

7、鑰: 9f 0a 34 ...,序列號: 123465,有效期: 2/9/1997- 1/9/1998,發(fā)布人: CA-名,,,簽名: CA 數(shù)字簽名,證書可能存放到文件、軟盤、智能卡、數(shù)據(jù)庫,,認證中心的作用,頒發(fā)證書更新證書證書的作廢證書的管理,完整的數(shù)據(jù)加密及身份認證流程,,明文,,密文,,用戶B,,,,,,,,,,,,,,,,安全協(xié)議：,安全套接層協(xié)議（Secure Sockets Layer），主要用于提高應用程序之

8、間的數(shù)據(jù)安全系數(shù)，實現(xiàn)兼容瀏覽器和服務器（通常是WWW服務器）之間安全通信的協(xié)議。,（1）安全套接層協(xié)議SSL,SSL好比在開放的Internet世界中使消費者和商家之間建立了一個秘密通道,SSL安全套接層協(xié)議,SSL的體系結構,OSI參考模型,,安全子層,物理層,數(shù)據(jù)鏈路層,網絡層,應用層,物理層,數(shù)據(jù)鏈路層,IP,TCP,SSl,（2）SET（Secure Electronic Transfer protocol）安全數(shù)據(jù)交換協(xié)議,

9、不僅對客戶信用卡認證，還對商家身份認證。,安全協(xié)議：,發(fā)卡行,商家銀行,商家,用戶,開戶,認證,SET協(xié)議,SET協(xié)議,認證,信用卡認證,認證機構（CA）,,,,,,,,訂單、支付指令（數(shù)字簽名、加密）,,SET交易流程,,馬來西亞1997年制定了《數(shù)字簽名法》意大利，1997年， 《數(shù)字簽名法》德國，1997，《數(shù)字簽名法》、《數(shù)字簽名條例》新加坡，1998，《電子交易法》；1999，《新加坡認證機構安全方針》、《新加坡電子交易

10、（認證機構）規(guī)則》加拿大，1999，《統(tǒng)一電子商務法》韓國，1999，《電子商務基本法》澳大利亞，1999，《電子交易法》歐盟，1999，《歐盟電子簽名統(tǒng)一框架指令》,電子商務立法現(xiàn)狀,西班牙，2000，《電子簽名與認證服務法》日本，2000，《數(shù)字化日本發(fā)展行動綱領》印度，2000，《電子簽名和電子交易法》香港，2000，《電子交易條例》德國，2001，《電子簽名法》波蘭，2001，《電子簽名法》荷蘭，2003，《

11、電子簽章法》中國大陸，2004年通過《電子簽名法》，2005年4月1日實施,電子商務立法現(xiàn)狀,電子商務對合同法電子合同的法律承認問題EDI合同電子合同的生效時間、地點及撤回問題電子錯誤對合同效力的影響,電子商務對傳統(tǒng)法律的挑戰(zhàn),被告景榮實業(yè)有限公司利用已注冊的郵箱給原告衡陽木制品加工廠在1999年3月5日商務發(fā)出要求購買其廠生產的辦公家具的電子郵件一份，電子郵件中明確了相關交易條件。當天下午3：35，衡陽木制品加工場也以電郵

12、回復，表示對其全部要求認可。為對景榮公司負責起見，3月6號衡陽木制廠還專門派人到景榮公司作了確認，但雙方沒簽暑任何書面文件。3月11日，衡陽木制廠將貨物送至景榮公司。但由于景榮公司已于此前購買了該商品，便以雙方沒簽定書面合同為由拒收貨物。,CASE,法院審理： 4月15日法院判定，衡陽木制場和景榮公司購銷合同法律關系成立。只要衡陽木制廠交付的貨物沒有質量問題就完全履行了自己的合同義務，不存在違約。僅就沒有簽定書面合同而拒收貨