第12章Web电子商务安全.ppt

上传人:王** 文档编号:537911 上传时间:2023-11-15 格式:PPT 页数:33 大小:409KB
下载 相关 举报
第12章Web电子商务安全.ppt_第1页
第1页 / 共33页
第12章Web电子商务安全.ppt_第2页
第2页 / 共33页
第12章Web电子商务安全.ppt_第3页
第3页 / 共33页
第12章Web电子商务安全.ppt_第4页
第4页 / 共33页
第12章Web电子商务安全.ppt_第5页
第5页 / 共33页
第12章Web电子商务安全.ppt_第6页
第6页 / 共33页
第12章Web电子商务安全.ppt_第7页
第7页 / 共33页
第12章Web电子商务安全.ppt_第8页
第8页 / 共33页
第12章Web电子商务安全.ppt_第9页
第9页 / 共33页
第12章Web电子商务安全.ppt_第10页
第10页 / 共33页
亲,该文档总共33页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《第12章Web电子商务安全.ppt》由会员分享,可在线阅读,更多相关《第12章Web电子商务安全.ppt(33页珍藏版)》请在优知文库上搜索。

1、1第第1212章章 WebWeb电子商务安全电子商务安全第第1212章章 WebWeb电子商务安全电子商务安全 2第第1212章章 WebWeb电子商务安全电子商务安全第第12章章 Web电子商务安全电子商务安全 随着互联网的发展,电子商务方兴未艾。也许你使用过网上银行业务,这就是一种电子商务。那么什么是电子商务?电子商务有哪些模式?电子商务是在开放的互联网上进行的,因此特别重要的是如何保障电子商务的安全?这些问题正是本章要讨论的问题。3第第1212章章 WebWeb电子商务安全电子商务安全12.1 电子商务概述电子商务概述 12.1.1 什么是电子商务什么是电子商务电子商务源于英文elect

2、ronic commerce,简写为EC。顾名思义,其内容包含两个方面,一是电子方式,二是商贸活动。电子商务指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。电子商务可以通过多种电子通讯方式来完成。4第第1212章章 WebWeb电子商务安全电子商务安全总的来说,电子商务可以分为企业(Business)对终端客户(Customer)的电子商务(即B2C)和企业对企业的电子商务(即B2B)两种主要模式。B2C是从企业到终端客户(包括个人消费者和组织消费者)的业务模式。B2B是企业与企业之间的业务模式。电子商务B2B的内涵是企业通过内部信息系统平台和外部网站将上游的供应

3、商的采购业务和下游代理商的销售业务有机地联系在一起,从而降低彼此之间的交易成本,提高满意度。5第第1212章章 WebWeb电子商务安全电子商务安全12.1.2 12.1.2 电子商务的安全电子商务的安全 从整个电子商务系统着手分析,可以将电子商务的安全问题归类为下面4类风险:信息传输风险、信用风险、管理风险和法律方面风险,其中技术性最强的是信息传输风险。信息传输风险是指进行网上交易时,因传输的信息失真或者信息被非法的窃取、篡改和丢失,而导致网上交易的不必要损失。具体有:(1)冒名偷窥。(2)篡改数据。(3)信息丢失。(4)信息传递过程中的破坏。6第第1212章章 WebWeb电子商务安全电子

4、商务安全电子商务有以下5条要求:1.有效性:保证贸易数据在确定的时间、确定的地点是有效的。2.机密性:作为贸易的一种手段,电子商务的信息直接代表着个人、企业或国家的商业机密。3.完整性:要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复。4.真实性:如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题是保证电子商务顺利进行的关键。5.不可抵赖性:在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已不可能。7第第1212章章 WebWeb电子商务安全电子商务安全12.2.1 电子商务系统的框架结构 12.2 12.2 安全电子商务的体系结构安全电子商

5、务的体系结构 网络平台电子商务基础平台电子商务应用系统InternetInternetCACA认证中心、支付网关、客户服务中心认证中心、支付网关、客户服务中心 网网上上投投标标 网网上上订订票票 网网上上交交费费 网网上上银银行行 网网上上超超市市 远远程程医医疗疗8第第1212章章 WebWeb电子商务安全电子商务安全12.2.2 12.2.2 电子商务网站的构成电子商务网站的构成电子商务网站硬件构成和实现电子商务网站硬件构成和实现1.网络服务器:提供基本的电子商务服务。2.应用终端:即工作站,通过通信介质连接到网络服务器上。3.网络连接设备:网卡、集线器(Hub)、交换机(Switcher

6、)和传输介质等设备将各种类型网络连接在一起。4.其他设备:商务网站日常工作还要求有许多其他设备,如扫描仪、复印机、打印机、光盘刻录机、网络检测设备等都不可缺少。9第第1212章章 WebWeb电子商务安全电子商务安全电子商务网站软件构成电子商务网站软件构成1.网络操作系统2.Web服务器软件3.数据库平台4.应用程序开发平台:它与网络操作系统和Web服务器软件密切相关。如果是Windows平台,那么应用程序开发平台应该选用Visual Studio系列开发工具。10第第1212章章 WebWeb电子商务安全电子商务安全随着电子商务的发展其安全问题成为人们关注的焦点。针对B2C的模式,1996年

7、2月,VISA与MASTER CARD两大信用卡国际组织共同发起制定保障在因特 网 上 进 行 安 全 电 子 交 易 的 S E T(S e c u r e Electronic Transaction)协议,并且由众多信息产业公司,如Microsoft、Netscape、RSA等共同协作发展而成。该协议围绕客户、商家等交易各方相互之间身份的确认,采用了电子证书等技术,以保障交易安全。12.3 安全电子交易安全电子交易SET 11第第1212章章 WebWeb电子商务安全电子商务安全SET支付系统中的相关成员 持 卡 人 发 卡 银 行收 单 银 行支 付 网 关商 家认 证 机 关12第第

8、1212章章 WebWeb电子商务安全电子商务安全SET协议消息传输过程 明文摘要散列签名加密密文发方私钥对称密钥收方公钥数字信封发方证书数字签名发送发方加密收 方数 字 信 封收 方 私 钥解 密对 称 密 钥密 文解 密明 文发 方 证 书数 字 签 名解 密散 列摘 要摘 要比 较相 同 则 正 确不 同 则 错 误13第第1212章章 WebWeb电子商务安全电子商务安全SETSET协议流程协议流程(1)持卡人使用浏览器在商家的WEB主页上查看在线商品目录,浏览商品。(2)持卡人选择要购买的商品。(3)持卡人填写定单。(4)持卡人选择付款方式,此时SET开始介入。(5)持卡人发送给商家

9、一个完整的定单及要求付款的指令。在SET中,定单和付款指令由持卡人进行数字签名,同时利用双重签名技术保证商家看不到持卡人的帐号信息。(6)商家收到定单后,向持卡人的金融机构请求支付认可。通过支付网关到银行,再到发卡机构确认,批准交易。然后返回确认信息给商家。14第第1212章章 WebWeb电子商务安全电子商务安全(7)商家发送定单确认信息给顾客。顾客端软件可记录交易日志,以备将来查询。(8)商家给顾客装运货物,或完成订购的服务。到此为止,一个购买过程已经结束。商家可以立即请求银行将钱从购物者的帐号转移到商家帐号,也可以等到某一时间,请求成批划帐处理。(9)商家从持卡人的金融机构请求支付。在认

10、证操作和支付操作中间一般会有一个时间间隔,例如在每天的下班前请求银行结一天的帐。15第第1212章章 WebWeb电子商务安全电子商务安全双重签名双重签名 消息A摘要消息B摘要签名双重签名消息A消息B摘要发送双重签名消息A消息B摘要散列消息A摘要验证16第第1212章章 WebWeb电子商务安全电子商务安全12.4 12.4 安全套接字层安全套接字层SSLSSL安全套接字层(Secure Sockets Layer,SSL)是由Netscape公司开发的一个网络安全协议,已成为事实上的安全网上交易标准协议,被各种应用网络业务和团体、企业广泛接受。IETF发布了TLS(Transport Lay

11、er Security),即RFC 2246,与SSL仅有微小的不同。TLS 1.0 通常被称作SSL 3.1。SSL与SET的最大不同在于SSL是一个双方协议,仅提供通信双方的安全保证,而SET协议则提供通信多方的安全保证。SSL比SET简单得多,目前在Web服务中已广泛使用。17第第1212章章 WebWeb电子商务安全电子商务安全SSLSSL协议体系结构协议体系结构SSL可以作为具备安全能力的标准TCP/IP套接字API,因此理论上,SSL可以运行于任何TCP/IP应用程序之上,而不用对其做任何修改。事实上,SSL仅被广泛用于HTTP连接。SSL位于TCP和应用层协议(如HTTP)之间。

12、TCPSSL握手协议SSL改变密码规范协议SSL告警协议HTTP TelnetSSL记录协议IP18第第1212章章 WebWeb电子商务安全电子商务安全SSLSSL记录协议记录协议SSL协议的底层是记录协议层。SSL记录协议在客户机和服务器之间传输应用数据和SSL控制数据。应用层数据分段1分段2分段1分段1MAC码分段1MAC码分段1MAC码H分段压缩计算MAC码加密添加SSL记录协议首部19第第1212章章 WebWeb电子商务安全电子商务安全SSL记录协议报文格式 内容类型 主版本 次版本压缩长度明文(压缩)MAC(0,16或20字节)加密的20第第1212章章 WebWeb电子商务安全

13、电子商务安全 SSL记录协议的有效负载 11字节(a)改变密码规范协议类型1字节(c)握手协议长度3字节内容0字节级别1字节(b)告警协议(d)其它上层协议OpaqueContent1字节告警1字节21第第1212章章 WebWeb电子商务安全电子商务安全握手协议握手协议SSL中最复杂的部分就是握手协议。该协议允许客户和服务器相互验证、协商加密和MAC算法以及密钥,用来保护SSL记录发送的数据。ClientHelloServerHelloCertificateCertificate RequestServerHelloDoneCertificateCertificate VerifyChang

14、eCipherSpecFinishedChangeCipherSpecFinished客户服务器协商协议版本,会话ID,密码组,压缩方法,交换随机数发送服务器证书,请求客户证书(可选)如果要求证书,客户发送该证书改变密码组,完成握手22第第1212章章 WebWeb电子商务安全电子商务安全 运行在SSL上的安全HTTP命名为HTTPS,服务器HTTPS的默认端口为443,不再是HTTP的80。在浏览器地址栏中键入https:/url即可启用SSL,此时浏览器将弹出如下图所示的对话框,此后包括登录账号与口令在内的所有数据都会加密传输,而且还能抵御重放攻击。如果服务器需要验证用户的身份,会要求用户

15、用私钥进行数字签名,并需要把证书发送给服务器验证签名,这时会出现对话框请用户选择证书及其对应的私钥。23第第1212章章 WebWeb电子商务安全电子商务安全12.5 12.5 数字现金协议数字现金协议12.5.1 12.5.1 秘密分割技术与位承诺技术秘密分割技术与位承诺技术 秘密分割技术把消息分割成许多碎片。每一片本身并不代表什么,但把这些碎片放到一块,消息就会重现出来。在两个人之间分割一消息是最简单的共享问题。下面是Trent把一消息分割给Alice和Bob的一个协议:(1)Trent产生一随机比特串R,和消息M一样长。(2)Trent用R异或M得到S:MR=S。(3)Trent把R给A

16、lice,将S给Bob。为了重构此消息,Alice和Bob只需一起做下一步:(4)Alice和Bob将他们的消息异或就可得到原消息:RS=M。24第第1212章章 WebWeb电子商务安全电子商务安全当某人想对别人承诺一个预测(即1bit或bit序列),但直到某个时间以后才揭示他的预测时,就要用到位承诺技术。使用单向函数的位承诺协议如下:(1)Alice产生两个随机位串:R1和R2。(2)Alice产生消息,该消息由她的随机串和她希望承诺的位b(实际上可能是几位)组成:(R1,R2,b)。(3)Alice计算消息的单向函数值,将结果以及其中一个随机串发送给Bob:H(R1,R2,b),R1。这个来自Alice的传送就是承诺证据。当到了要Alice出示她的承诺位的时候,协议继续:(4)Alice将原消息发给Bob:(R1,R2,b)。(5)Bob计算消息的单向函数值,并将该值及R1与原先第(3)步收到的值及随机串比较。如匹配,则位有效。25第第1212章章 WebWeb电子商务安全电子商务安全12.5.2 12.5.2 一个数字现金协议一个数字现金协议 (1)Alice对给定数量的美元准

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > IT计算机 > 电子商务

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!