電子商務(wù)課件 第3講

1、第三講 電子商務(wù)的安全問題,1、電子商務(wù)安全威脅概述2、電子商務(wù)常用安全技術(shù),,主要內(nèi)容：,,電子商務(wù)安全問題,賣方面臨問題買方面臨問題信息傳輸問題信用問題,保密性（防止被竊?。┱J(rèn)證性（身份真實(shí)性）完整性（報(bào)文完整及防止被篡改）不可否認(rèn)性（不可抵賴性）,網(wǎng)絡(luò)安全的基本要求（目標(biāo)）,,電子商務(wù)常用安全技術(shù),,,明文：被隱蔽的信息的原來可讀的形式。,密文：密碼將明文變換成另一種隱蔽的不可理解的形式。,數(shù)據(jù)加密,基本概念一,加密

2、和解密的規(guī)則(過程）稱為加密算法。,這一過程中需要一串?dāng)?shù)字，這串?dāng)?shù)字稱為密鑰。,例：加密過程,密鑰=17,18,19,20,明文,密文,20,08,09,19,27,09,19,27,01,19,05,05,03,18,20,37,25,26,36,44,26,36,44,18,36,22,22,20,35,37,27,44,,,,密鑰,網(wǎng)絡(luò),被動(dòng)攻擊非法竊聽,主動(dòng)攻擊非法接入,,,加密系統(tǒng)運(yùn)作示意圖,,密鑰,,數(shù)據(jù)加密技術(shù),對(duì)稱密

3、鑰加密體制,非對(duì)稱密鑰加密體制,,基本概念二,,,,密鑰K1,密鑰K2,?對(duì)稱密碼加密體制,,,K2=K1=K,,,,密鑰K1,密鑰K2,?非對(duì)稱密碼加密體制,,,K2不同于K1,基本概念三,計(jì)算機(jī)算法,DES算法（數(shù)據(jù)加密標(biāo)準(zhǔn)）用于對(duì)稱密碼加密體制中,RSA算法用于非對(duì)稱密碼加密體制中,DSA算法是公開密鑰算法，不能用作加密,,,對(duì)稱密鑰加密方式,,安全認(rèn)證技術(shù),數(shù)字信封,數(shù)字摘要,數(shù)字簽名,數(shù)字時(shí)間戳,數(shù)字證書,認(rèn)證中心（CA

4、）,,“數(shù)字信封”技術(shù)結(jié)合了對(duì)稱加密和非對(duì)稱加密的優(yōu)點(diǎn)，使用兩個(gè)層次的加密來獲得非對(duì)稱加密的靈活性和對(duì)稱加密的高效性。,數(shù)字信封,,對(duì)稱密鑰,,,解密,用戶B,,,用戶B的私鑰,,,,,對(duì)稱密鑰,,“數(shù)字摘要”:主要用于驗(yàn)證通過網(wǎng)絡(luò)傳輸收到的文件是否是原始的、未被篡改的文件原文。它利用Hash函數(shù)也稱為數(shù)字指紋(Finger Print).特性：任意大小的信息經(jīng)Hash函數(shù)變換后都能形成固定的長度的“摘要”，且不同的明文摘要成密文，其

5、結(jié)果總是不同的，而同樣的明文其摘要必定一致。同時(shí)不可能通過數(shù)字摘要經(jīng)過逆運(yùn)算生成源數(shù)據(jù)。,,單向HASH函數(shù),?單向HASH函數(shù),“數(shù)字簽名”與書面文件簽名有相同之處，作用如下：,其一，信息是由簽名者發(fā)送的；,其二，信息自簽發(fā)后到收到為止未曾作過任何修改。,,Hash加密,,RSA加密,,,發(fā)送,,RSA解密,,,,Hash加密,,,,數(shù)字簽名應(yīng)用過程,數(shù)字時(shí)間戳 DTS（Digital Time-Stamp Service）,它是一個(gè)

6、經(jīng)加密后形成的證書文件，由專門機(jī)構(gòu)提供。,它包括,1、相聯(lián)系文件的摘要,2、DTS機(jī)構(gòu)收到文件的日期和時(shí)間,3、DTS機(jī)構(gòu)的數(shù)字簽名,,數(shù)字時(shí)間戳的應(yīng)用過程,,證書的版本號(hào)數(shù)字證書的序列號(hào)證書擁有者的姓名證書擁有者的公開密鑰公開密鑰的有效期簽名算法頒發(fā)數(shù)字證書的驗(yàn)證,數(shù)字證書格式（X.509）,X.509 證書,CA 的簽名保證證書的真實(shí)性,證書以一種可信方式將密鑰“捆綁”到唯一命名,持有人: Zhang Min,公開密

7、鑰: 9f 0a 34 ...,序列號(hào): 123465,有效期: 2/9/1997- 1/9/1998,發(fā)布人: CA-名,,,簽名: CA 數(shù)字簽名,證書可能存放到文件、軟盤、智能卡、數(shù)據(jù)庫,,認(rèn)證中心的作用,頒發(fā)證書更新證書證書的作廢證書的管理,完整的數(shù)據(jù)加密及身份認(rèn)證流程,,明文,,密文,,用戶B,,,,,,,,,,,,,,,,安全協(xié)議：,安全套接層協(xié)議（Secure Sockets Layer），主要用于提高應(yīng)用程序之

8、間的數(shù)據(jù)安全系數(shù)，實(shí)現(xiàn)兼容瀏覽器和服務(wù)器（通常是WWW服務(wù)器）之間安全通信的協(xié)議。,（1）安全套接層協(xié)議SSL,SSL好比在開放的Internet世界中使消費(fèi)者和商家之間建立了一個(gè)秘密通道,SSL安全套接層協(xié)議,SSL的體系結(jié)構(gòu),OSI參考模型,,安全子層,物理層,數(shù)據(jù)鏈路層,網(wǎng)絡(luò)層,應(yīng)用層,物理層,數(shù)據(jù)鏈路層,IP,TCP,SSl,（2）SET（Secure Electronic Transfer protocol）安全數(shù)據(jù)交換協(xié)議,

9、不僅對(duì)客戶信用卡認(rèn)證，還對(duì)商家身份認(rèn)證。,安全協(xié)議：,發(fā)卡行,商家銀行,商家,用戶,開戶,認(rèn)證,SET協(xié)議,SET協(xié)議,認(rèn)證,信用卡認(rèn)證,認(rèn)證機(jī)構(gòu)（CA）,,,,,,,,訂單、支付指令（數(shù)字簽名、加密）,,SET交易流程,,馬來西亞1997年制定了《數(shù)字簽名法》意大利，1997年， 《數(shù)字簽名法》德國，1997，《數(shù)字簽名法》、《數(shù)字簽名條例》新加坡，1998，《電子交易法》；1999，《新加坡認(rèn)證機(jī)構(gòu)安全方針》、《新加坡電子交易

10、（認(rèn)證機(jī)構(gòu)）規(guī)則》加拿大，1999，《統(tǒng)一電子商務(wù)法》韓國，1999，《電子商務(wù)基本法》澳大利亞，1999，《電子交易法》歐盟，1999，《歐盟電子簽名統(tǒng)一框架指令》,電子商務(wù)立法現(xiàn)狀,西班牙，2000，《電子簽名與認(rèn)證服務(wù)法》日本，2000，《數(shù)字化日本發(fā)展行動(dòng)綱領(lǐng)》印度，2000，《電子簽名和電子交易法》香港，2000，《電子交易條例》德國，2001，《電子簽名法》波蘭，2001，《電子簽名法》荷蘭，2003，《

11、電子簽章法》中國大陸，2004年通過《電子簽名法》，2005年4月1日實(shí)施,電子商務(wù)立法現(xiàn)狀,電子商務(wù)對(duì)合同法電子合同的法律承認(rèn)問題EDI合同電子合同的生效時(shí)間、地點(diǎn)及撤回問題電子錯(cuò)誤對(duì)合同效力的影響,電子商務(wù)對(duì)傳統(tǒng)法律的挑戰(zhàn),被告景榮實(shí)業(yè)有限公司利用已注冊(cè)的郵箱給原告衡陽木制品加工廠在1999年3月5日商務(wù)發(fā)出要求購買其廠生產(chǎn)的辦公家具的電子郵件一份，電子郵件中明確了相關(guān)交易條件。當(dāng)天下午3：35，衡陽木制品加工場(chǎng)也以電郵

12、回復(fù)，表示對(duì)其全部要求認(rèn)可。為對(duì)景榮公司負(fù)責(zé)起見，3月6號(hào)衡陽木制廠還專門派人到景榮公司作了確認(rèn)，但雙方?jīng)]簽暑任何書面文件。3月11日，衡陽木制廠將貨物送至景榮公司。但由于景榮公司已于此前購買了該商品，便以雙方?jīng)]簽定書面合同為由拒收貨物。,CASE,法院審理： 4月15日法院判定，衡陽木制場(chǎng)和景榮公司購銷合同法律關(guān)系成立。只要衡陽木制廠交付的貨物沒有質(zhì)量問題就完全履行了自己的合同義務(wù)，不存在違約。僅就沒有簽定書面合同而拒收貨