第1-2节-电子商务支付与安全.ppt

资源描述

《第1-2节-电子商务支付与安全.ppt》由会员分享，可在线阅读，更多相关《第1-2节-电子商务支付与安全.ppt（124页珍藏版）》请在三一文库上搜索。

1、电子商务支付与安全主讲：周伟,一、课程介绍,学完本课程需要掌握电子商务支付方式的工作流程，了解在支付过程中产生的安全问题和解决支付安全的问题。熟悉第三方支付平台操作、网上银行业务基本流程及其安全操作，掌握网络安全防范策略和防火墙的应用、常用数据加密方法和数字证书实现的方法、数字证书和身份认证的使用方法，熟悉电子支付协议的概念及内容，了解电子支付的法律问题。,课程目标：知识目标,1、了解电商支付的发展概况，掌握电商支付的概念； 2、了解电子支付系统的组成和我国第三方电子支付平台的产生和发展、第三方支付平台的运作机制；熟悉第三方支付平台的优点、国内主要使用的第三方支付产品；熟悉并掌握支付宝的实际

2、操作；了解其他第三方支付工具。 3、熟知常见的电子支付工具，电子货币（游戏币、比特币）、银行卡的优缺点以及使用模式。 4、了解网络交易中常见的一些问题以及解决办法。,课程目标：能力目标,1、学会熟知电子商务支付中各种平台的使用，以及可能出现的漏洞。 2、学会计算机安全设置，例如：防火墙、数字证书、局域网等等 3、识别日常生活中可能出现的支付陷阱或漏洞。,电子商务支付与安全,电商支付与安全概述,1,电子支付工具,3,2,电子支付系统,4,5,6,7,电子商务系统的安全,认证中心CA,网上金融,网络支付安全技术,课程大纲,8,电子支付安全协议,9,电商支付的法律协议,本章内容：,本章学习要点：,电

3、子商务支付的产生和发展、网络电子支付的流程以及如何才能做到安全电子支付。,电子商务支付的产生和发展、网络电子支付的流程。,如何才能做到安全电子支付的电子商务环境。,重点难点,重点掌握,了解,难点,一、网络电子支付的产生和发展,支付方式的演变,01,传统支付主要方式,02,互联网数据,03,电子商务支付发展,04,电子交易,05,内容大纲,电子支付,06,情景案例中国内地第一笔因特网电子交易 1998年3月18日，北京友谊宾馆，世纪互联通信技术有限公司向首都各新闻单位的记者宣布：中国内地第一笔因特网电子交易成功。为本次交易提供网上银行服务的是中国银行，扮演网上商家的是世纪互联通信技术有限公司

4、。中国内地第一笔因特网电子交易的时间是1998年3月18日下午3点30分。第一位网上交易的支付者是浙江电视台播送中心的王轲平先生；第一笔费用的支付手段是中国银行长城卡；第一笔支付费用是100元；第一笔认购物品是世纪互联通信技术有限公司的100元上网机时。中国银行开展网上银行服务的最早时间是1996年。1997年底，王轲平先生发现了这个站点，并填写了申请书。在接到王轲平先生的申请后，世纪互联通信技术有限公司开始着手进行这次交易的内容，实质性的时间大约为15天。王轲平先生成为第一个在中国因特网上进行电子交易的人。这次交易也是国内企业与消费者在网上的“第一次亲密接触”,【案例讨论与思考】,1、如果

5、王先生没有长城卡，该如何完成这次交易？ 2、如果现在要完成这样的交易，你有哪些结算手段？ 3、怎样确保世纪互联通信技术有限公司安全收到他支付的100元？ 4、王先生的其他信息会泄露给第三者吗？ 5、目前电子交易的支付安全吗？ 6、当前进行这样一笔电子商务交易还需要15天时间吗？ 7、你进行过电子商务和电子支付活动吗？,思考：支付方式的演变？,支付活动发展阶段一,（1）支付方式的演变,14,支付活动发展阶段二,（1）支付方式的演变,支付活动发展阶段三,（1）支付方式的演变,支付活动发展阶段四,电子支付方式,（1）支付方式的演变,1,现金支付：现金（cash）有两种形式，即纸币和硬币，由国家组织或

6、政府授权的银行发行。,缺陷：第一，受时间和空间限制；第二，受不同发行主体的限制；第三，不利于大宗交易。,（2）传统支付主要的方式,2,票据支付：广义的票据包括各种记载一定文字、代表一定权利的文书凭证，如车船票、汇票、股票、债券、货单等。狭义的票据是一个专有名词，专指票据法所规定的汇票、本票和支票等票据。,缺陷：易于伪造、容易丢失，商业承兑汇票甚至存在拒绝付款和到期无力支付的风险。,（2）传统支付主要的方式,3,信用卡支付：持卡人用卡购物或消费并在购签单上签字。商家向持卡人提供商品或服务。商家向发卡人提交购签单。发卡人向商家付款。发卡人向持卡人发出付款通知。持卡人向发卡人归还贷款。

7、,缺陷：第一，交易费用较高。第二，信用卡具有一定的有效期，过期失效。第三，有可能遗失而给持卡人带来风险和麻烦。,（2）传统支付主要的方式,局限性,成本问题,便捷程度,功能种类,效率问题,安全问题,商业角度,传统支付方式的局限性,项目任务张丽艳同学产生的哪些疑问，实际上就是和电子支付相关的一系列问题。电子商务经过多年的快速发展，电子支付也就是网络支付已经越来越被人们所知所用。网上购买火车票、飞机票、网上缴纳水电煤气费、电话费已经非常普遍，支付宝、财付通和手机的移动支付等电子支付平台纷纷争夺电子支付市场，电子支付逐渐成为人们关注的热点。除了购买商品使用

8、网上支付外，现在许多学校的大学生缴纳学费都是使用银行卡了。网络支付促进了电子商务的发展，方便了人们的生活。那么，网络电子支付的运行需要什么环境？网络电子支付的具体操作流程是什么呢？如何才能安全进行网上支付结算呢？,（3）互联网数据,用户对当前互联网在如下几方面表现的满意程度及总体满意度：,数据来源：第26次中国互联网络发展状况统计报告中国互联网络信息中心（CNNIC）,用户一般选择什么送货方式：,其它快递： 50.8% 普通邮寄： 39.0% EMS： 28.2% 航空、铁路发运： 2.4% 其它： 5.4%,数据来源：第26次中国互联网络发展状况统计报告中国互联网络信息中心（CN

9、NIC）,用户一般采取哪种付款方式：,网上支付： 73.8% 货到付款（现金结算）： 28.1% 银行汇款： 15.2% 邮局汇款： 12.4% 手机支付： 2.4% 其它： 2.0%,数据来源：第26次中国互联网络发展状况统计报告中国互联网络信息中心（CNNIC）,未来电子商务支付将会： “全能化”“3A服务” 1、Anytime （任何时间） 2、Anywhere （任何地点） 3、Anyhow （任何方式）,（4）电子商务支付发展,提问：你认为电子支付为什么会产生？,其产生根本原因源于电子交易。,所谓电子交易就是指在网上进行买卖交易。,28,需求调查,材料采购,生产,商品销售,

10、收款,货币结算,商品交割,传统商务交易流程,（4）电子商务支付发展传统商务交易流程,以电子查询形式进行需求调查,以电子单证形式调查信息确定采购方案,通过电子广告促进商品销售,以电子货币形式进行资金接收,同电子银行进行货币结算,商品交割,引入电子商务之后,（4）电子商务支付发展电子商务的交易流程,基本流程：,（4）电子商务支付发展电子商务的交易流程,【实例链接】从68张机票到在家等生意刘明大学毕业后开始了自己的创业，选中了帽子加工。在一个完全不了解的行业，没有上游供应商和客户，2005年他在国内外密集参加各种展会，坐了68趟飞机，然而那一年他的收益却只有20多万元，都不够他坐飞

11、机跑展会的费用。 2006年，他第一次接触到了网络这个虚拟的商务平台，在阿里巴巴上他发现了有很多同类型的企业，同行的存在让他看到了产业集中的优势，这样就更容易能让客商发现我的企业，他加入了阿里巴巴。他在网上发布自己的帽子的商品信息，并配有实物图片。1个月后，他就收到了俄罗斯一位客商的第一笔订单2.78万美金。刘明的公司在采用电子商务以后，很多客户都是网上进行的业务洽谈，基本上是无纸化办公，合同的磋商签订、货款的结算都是利用网络实现的，而且市场也由单纯的国内扩大到全球。,32,电子商务、电子交易与电子支付的关系：商务必定引起交易交易必将进行支付,电子支付网上支付、电话支付、移动支付等,

12、（5）电子交易,物流配送过程,电子交易就是指电子化的买卖交易,支付过程,（5）电子交易,信息共享,电子订单,电子支付,订单的执行,售后服务,电子交易的内容,网络商品直销，是消费者和厂家或者需求方和供应方，直接利用网络形式所开展的商品或服务买卖活动。 BtoC型电子商务大多数属于网络商品直销的范畴。例如：Dell公司的网络直销、联众公司的网络游戏、人大的网络远程教育。企业与企业间基于网络进行的直接交易，属于BtoB电子商务，也可看作网络商品直销的交易模式。例如，海尔公司借助网络采购平台与九百多家物品供应商的交易。优点：供需直接见面，环节少，交易速度快，费用低。有效地减少售后服务的技术支持费用

13、。缺点：从网络广告判断商品，容易产生错误判断。虚假广告、窃取消费者信息。,5.1 网络商品直销交易模式,信用卡公司,消费者,厂家,银行,网络商品直销流程,38,企业间网络交易是B2B电子商务的一种基本形式。交易从寻找和发现客户出发，企业利用自己的网站或网络服务商的信息发布平台发布买卖、合作、招投标等商业信息。通过商业信用调查平台，买卖双方可以进入信用调查机构申请对方的信用调查；通过产品质量认证平台，可以对卖方的产品质量进行认证。然后在信息交流平台上签订合同，进而实现电子支付和物流配送。最后是销售信息的反馈，完成整个B2B的电子商务交易流程。,5.2 企业间网络交易模式,企业间网络交易流

14、程,企业内部数据库信息分析处理,信息发布平台发布买卖合作投招标信息,CA认证中心商业信用认证,信息交流平台签订电子合同,电子支付结算,物流配送,信息反馈,网络商品中介交易是指交易实体通过专业的网络商品交易中心，即通过虚拟网络市场进行的商品交易，而非交易双方直接沟通的交易。案例：A1ibaba（阿里巴巴）；美国的eBay；国内的Sina商城与Sohu商城。通过网络商品中介进行交易具有许多突出的优点: 网络商品中介为企业提供了无形的巨大市场；网络交易中心提供的认证服务和交易流程可以降低买卖双方的交易风险；网络交易中心的统一结算模式，可以提高资金的风险防范能力，避免资金的截

15、留、占用及挪用。,5.3 网络商品中介交易模式,转账,转账,撮合信息,结算,汇款,信息传递,信息传递,用户信用信息,撮合,银行,卖方,认证中心,买方,结算,配送部门,网络商品交易中心,网络商品中介交易流程,无障碍,减少交通压力,减少中间环节,降低互动成本,便于企业经济管理,电子交易具有以下的优点：,（6）电子支付所谓电子支付（Electronic Payment）是指进行电子商务交易的当事人（包括消费者、厂商和金融机构）使用安全手段和密码技术通过电子信息化手段进行的货币支付和资金流转。,6.1 电子支付与传统支付的区别,传统支付：现金交易；票据交流（支票、本票、汇票）,6.2 电子支

16、付的优势：电子支付适应了整个社会向信息化、数字化发展的趋势。电子支付系统更加方便快捷，没有障碍。电子支付是跨时空的电子化支付，能够真正实现全球7天24小时的服务保证。电子支付有助于降低交易成本，最终为消费者带来更低的价格。,6.3 电子支付的发展,第一阶段：银行利用计算机处理银行之间的业务，办理结算。第二阶段：银行与其他机构之间的资金结算（如代发工资）第三阶段：利用网络终端向客户提供各项银行服务。如ATM（Automated Teller Machine，自动取款机）第四阶段：利用银行销售终端（POS：Point of Sales，销售点终端）向客户提供自动扣款服务，这也是目前

17、电子支付的主要手段。第五阶段：是最新发展阶段，此时可随时随地通过互联网直接转帐结算，形成电子商务环境。,返回7.1.2,6.4 电子支付的要求：,（1）安全性：允许在开放网络上进行金融事务，并有安全保障（2）灵活性：应支持多种支付方式（3）可兑换性：电子货币能够兑换成其它类型的货币（4）可伸缩性：系统加入新的贸易时不会结构崩溃（5）隐私权：若顾客想要匿名，他们的身份和隐私可以受到保护（6）实用性（7）低成本（8）合法性（完整认证）（9）无拒付支付（10）有效的查账机制（11）普遍性技术（12）交易模式的一般性（13）可度量操作,返回7.1.2,6.5 目前的支付方式,

18、目前我国的现状是多种支付方式的并存，主要是以下几种：（1）电子支付：完全用信息流取代传统货币（如：电子钱包、信用卡、网上支付、数字现金、电子支票等）（2）半电子支付：部分支付过程借助网络完成（如：银行转账、银行汇款等）（3）非电子支付：完全采用传统的支付方式（如：支票付款、现金交易、邮局汇款等）,返回7.1.2,6.6 电子支付面临的问题（1）安全性和支付信息私密性问题。（2）对软硬件要求很高。（3）电子支付工具需要相应的系统支持。,6.7 网络电子支付的运行环境电子支付的常见网络平台有电话交换网PSTN，公用数据网，专用数据网，电子数据交换EDI专用网络平台以及近年发展起来的I

19、nternet等。,二、网络电子支付的流程,6.8 网络电子支付流程（1）网络支付结构 Internet网络支付平台主要由Internet、支付网关、银行内部专用业务网络三个部分组成。,（2）电子支付流程基于互联网平台的电子支付的基本流程如图1-3所示。根据工作流程图，可将整个电子支付工作程序分为下面七个步骤：,三、电子支付面临的问题,电商交易安全问题和风险,1,电商安全要素和策略,2,电子商务安全技术,3,安全电子支付的方法,4,Table of Contents,内容大纲,互联网安全事件,全世界传媒关注的美国著名网站被袭事件雅虎、亚马逊书店、eBay、ZDNet；在1998年内试图闯

20、入五角大楼计算机网络的尝试达25万次之多，其中60%的尝试达到了目的；每年美国政府的计算机系统遭非法入侵的次数至少有30万次之多；微软公司承认，有黑客闯入了该公司的内部计算机网络，并获取了正在开发中的软件蓝图，这起攻击对微软影响重大。,我国的历史数据,1998年9月22日，黑客入侵某银行电脑系统，将72万元注入其户头，提出26万元。为国内首例利用计算机盗窃银行巨款案件。 1999年11月14日至17日：新疆乌鲁木齐市发生首起针对银行自动提款机的黑客案件，被盗用户的信用卡被盗1.799万元。 2000年3月8日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是国内首例黑客攻击省级党报网站

21、事件,我国的历史数据,2000年3月25日：重庆某银行储户的个人帐户被非法提走5万余元。 2000年6月7日：ISS安氏(中国)有限公司在国内以及ISP的虚拟主机上的网站被中国黑客所攻击，该公司总裁为克林顿网络安全顾问，而ISS为全球最大的网络安全公司。 2000年6月11、12日：中国香港特区政府互联网服务指南主页遭到黑客入侵，服务被迫暂停。,凯文米特尼克,凯文米特尼克,“头号电脑黑客” Kevin Mitnick 1964年出生。3岁父母离异，致性格内向、沉默寡言。4岁玩游戏达到专家水平。 13岁喜欢上无线电活动，开始与世界各地爱好者联络。编写的电脑程序简洁实用、倾倒教师。 15岁闯入

22、“北美空中防务指挥系统”主机，翻阅了美国所有的核弹头资料、令大人不可置信。不久破译了美国“太平洋电话公司”某地的客户密码，随意更改用户的电话号码。并与中央联邦调查局的特工恶作剧。被电脑信息跟踪机发现第一次被逮捕,凯文米特尼克,出狱后，又连续非法修改多家公司电脑的财务帐单。1988年再次入狱，被判一年徒刑。 1993年（29岁）逃脱联邦调查局圈套。 1994年向圣地亚哥超级计算机中心发动攻击，该中心安全专家下村勉决心将其捉拿归案。期间米特尼克还入侵了美国摩托罗拉、NOVELL、SUN公司及芬兰NOKIA公司的电脑系统，盗走各种程序和数据（价4亿美金）。下村勉用“电子隐形化”技术跟踪，最

23、后准确地从无线电话中找到行迹，并抄获其住处电脑。 1995年2月被送上法庭，“到底还是输了”。 2000年1月出狱，3年内被禁止使用电脑、手机及互联网,电子商务的安全问题,1卖方面临的问题 (1)中央系统安全性被破坏 (2)竞争对手检索商品递送状况 (3)被他人假冒而损害公司的信誉 (4)买方提交订单后不付款 (5)获取他人的机密数据,2买方面临的问题 (1)付款后不能收到商品 (2)机密性丧失 (3)拒绝服务,一、电子商务的安全威胁,一、电子商务面临的安全威胁计算机病毒的侵袭、黑客非法侵入、线路窃听等很容易使重要数据在传递过程中泄露，威胁电子商务交易的安全。主要分为2种：（1）电子商务

24、安全（2）支付安全,一、电子商务的安全威胁,截获(interception) 中断(interruption) 篡改(modification) 伪造(fabrication),（1）电子商务安全,一、电子商务的安全威胁,网络安全攻击的形式,一、电子商务的安全威胁,截获以保密性作为攻击目标，表现为非授权用户通过某种手段获得对系统资源的访问，如搭线窃听、非法拷贝等中断以可用性作为攻击目标，表现为毁坏系统资源，切断通信线路等,（1）电子商务安全,一、电子商务的安全威胁,修改以完整性作为攻击目标，非授权用户通过某种手段获得系统资源后，还对文件进行窜改，然后再把篡改过的文件发送给用户。伪造

25、以完整性作为攻击目标，非授权用户将一些伪造的、虚假的数据插入到正常系统中。,（1）电子商务安全,一、电子商务的安全威胁,被动攻击：目的是窃听、监视、存储数据，但是不修改数据。很难被检测出来，通常采用预防手段来防止被动攻击，如数据加密。主动攻击：修改数据流或创建一些虚假数据流。常采用数据加密技术和适当的身份鉴别技术。,（1）电子商务安全,一、电子商务的安全威胁,安全威胁的后果,安全漏洞危害在增大,信息对抗的威胁在增加,电力,交通,医疗,金融,工业,广播,控制,通讯,因特网,一、电子商务的安全威胁,信息的截获和窃取信息的篡改: 篡改删除插入信息假冒：伪造电子邮件和用户，虚开网站和

26、商店假冒他人身份恶意破坏交易抵赖,（2）网络支付安全,一、电子商务的安全威胁,（2）网络支付的主要安全隐患支付账号和密码等隐私支付信息被盗取或盗用。支付金额被更改。无法有效验证收款方的身份。对支付行为进行抵赖、修改或否认。网络支付系统瘫痪。,一、电子商务的安全威胁,【实例链接】安全问题影响电子商务的发展 2005年11月23日，来自上海的张小姐的网络购物密码被盗，有人利用该账户的良好信用记录，在国际网站上发布了5台笔记本电脑的出售信息，诈骗了1300多欧元。之后的1个多月，张小姐的邮箱频频收到来自巴西的“催款、催货最后通牒”，巴西买家莱昂纳多还用中文翻译软件将自己的意思翻译

27、成蹩脚的中文，以此传递愤怒。这是一起国内罕见的跨国电子商务诈骗事件。对此，国内的网络购物公司已展开调查，认定骗子来自北京。,一、电子商务的安全威胁,电子支付系统安全要素,保密性,可靠性,完整性,可用性,抗否认性,二、电商安全需求和策略,（1）电子商务安全要素,贸易数据在确定的时刻、确定的地点是有效的,有效性,接发收方的身份是真实的,真实性,保密性,保证只有发送者和接收可以接触到信息。,二、电商安全需求和策略,信息在传输过程中未经任何改动,完整性,在交易数据发送完成以后，双方都不能否认自己曾经发出或接收过信息。,不可否认性,（2）电商安全策略制定的目的、涵义和原则,电商安全策略制定的目的：保障

28、相关支付结算信息的机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏；能够有序地、经常地鉴别和测试安全状态；能够对可能的风险做基本评估；系统的安全被破坏后的恢复工作。应用相应法律法规来保护安全利益,二、电商安全需求和策略,电商安全策略的涵义：安全策略必须包含对安全问题的多方面考虑因素。安全策略一般要包含以下内容：认证；访问控制：保密；数据完整性；法律法规等审计。,（2）电商安全策略制定的目的、涵义和原则,二、电商安全需求和策略,（2）电商安全策略制定的目的、涵义和原则,电商安全策略的涵义： (1)预防为主； (2)必须根据网络支付结算的安全需要和目标来制定

29、安全策略； (3)根据掌握的实际信息分析；,二、电商安全需求和策略,金融机构,公正第三方,税务等政府机构,安全的通信通道,交易方A：机密支付信息,交易方B：机密支付信息,安全的网络支付系统组成示意图,（2）电商安全策略制定的目的、涵义和原则,网络支付安全策略的主要内容：安全策略具体内容中要定义保护的资源，要定义保护的风险，要吃透电子商务安全的法律法规，最后要建立安全策略和确定一套安全机制。,二、电商安全需求和策略,（2）电商安全策略制定的目的、涵义和原则,保证网络支付安全的解决方法,a 交易方身份认证； b 网络支付数据流内容保密； c 网络支付数据流内容完整性； d 保证对网络支付行为

30、内容的不可否认性； e 处理多方贸易业务的多边支付问题； f 网络支付系统软件、支撑网络平台的正常运行； g 政府支持相关管理机构的建立和电子商务法律的制定；,二、电商安全需求和策略,通过防火墙等网络安全机制来控制恶性数据攻击和服务攻击；通过身份认证机制来实现数据通信双方的真实性；通过加密机制来防止数据传输被窃听；通过数字摘要机制来防止数据在传输过程中被篡改；通过数字签名机制来实现抗否认性，从而避免交易抵赖；最后还要加入数字证书和CA来监控。,咱们来看在支付过程中防范安全的环节有哪些？,二、电商安全需求和策略,网络平台系统的构成,Intranet 电子商务服务器,银行专网,Inter

31、net,客户机,支付网关,三、电子商务安全技术,网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。,二、电商安全需求和策略,Internet网络平台上安全措施主要从保护网络安全、保护应用的安全和保护系统安全三个方面来叙述。,（1）保护网络安全,全面规划网络平台的安全策略制定网络安全管理措施使用防火墙。尽量记录网络上的一切活动注意对设备的物理保护检查网络平台系统脆弱性可靠的识别和鉴别,1、Internet网络平台系统的安全措施,二、电商安全需求和策略,2网络安全技术,所谓防火墙就是指综合采用适当技术在被保护网络周边建立的用于隔离被保护网络与外部网络的

32、系统。,(1)防火墙的定义,二、电商安全需求和策略,同时，防火墙还可以提供一些附加功能，例如：为网络管理提供安全参考、为整个网络的安全运行提供完善的状态监控机制。 (1)谁在使用网络(访问者的源IP)? (2)他们在网上做什么(所访问的服务类型)? (3)他们什么时间使用过网络(访问时间)? (4)他们在哪个网络节点得到了服务 (所访问的目的地址)? (5)哪些流入或流出地数据请求没有发送成功 (过滤以后的日志记录)?,(1)防火墙的定义,二、电商安全需求和策略,(2)防火墙的组成,Internet,网关,Intranet,外部过滤器,内部过滤器,不安全网络,安全网络,防火墙的基本组成框架,二

33、、电商安全需求和策略,(3)电子商务中防火墙与Web服务器的配置方式,Internet,Intranet,不安全网络,安全网络,业务Web服务器放在防火墙之内的配置图,防火墙+路由器,Web 服务器,二、电商安全需求和策略,(3)电子商务中防火墙与Web服务器的配置方式,Internet,Intranet,不安全网络,安全网络,业务Web服务器放在防火墙之外的配置图,防火墙+路由器,Web 服务器,二、电商安全需求和策略,(4)防火墙的优缺点,优点: 遏制来自Internet各种路线的攻击借助网络服务选择，保护网络中脆弱的易受攻击的服务监视整个网络的安全性，具有实时报警提醒功能作为部署N

34、AT的逻辑地址增强内部网中资源的保密性，强化私有权,二、电商安全需求和策略,缺点：限制了一些有用的网络服务的使用，降低了网络性能。只能限制内部用户对外的访问，无法防护来自内部网络用户的攻击。不能完全防止传送感染病毒的软件或文件，特别是一些数据驱动型的攻击数据。被动防守，不能防备新的网络安全问题。,(4)防火墙的优缺点,二、电商安全需求和策略,3、密码技术加密技术是保证电子商务安全的重要手段，是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。加密技术是保证电子商务安全的重要手段；密钥管理技术；数字签名；电子支付协议安全HTTP（SHTTP）协议。安全协议

35、安全电子邮件协议（如PEM、S/MIME等）。 EDI PKI技术。,三、电子商务安全技术,(1)加密技术,加密技术分为：私有密钥加密法和公开密钥加密法，用且只用同一个密钥对信息进行加密和解密。密钥密码体系的优点是：加密、解密速度很快(高效)，但缺点也很明显：密钥难于共享，需太多密钥。目前比较著名的密码加密算法有：DES和IDEA,（2）私用密钥加密法的定义与应用原理,信息发送方用一个密钥对要发送的数据进行加密，信息的接收方能用同样的密钥解密，而且只能用这一密钥解密。由于双方所用加密和解密的密钥相同，所以叫作对称密钥加密法。,比较著名的私有密钥加密算法有DES算法及其各种变形、国际数据加密

36、算法IDEA以及RC4,RC5等,乙银行：有一笔 20 000元资金转帐至贵行12345 账号上甲银行,乙银行：有一笔 20 000元资金转帐至贵行12345 账号上甲银行,密钥A,密钥A,加密,解密,信息明文,信息明文,信息密文,信息密文,网络传输,(2)私用密钥加密法的使用过程,（3）公开密钥加密法的定义与应用原理,原理：共用2个密钥，在数学上相关，称作密钥对。用密钥对中任何一个密钥加密，可以用另一个密钥解密，而且只能用此密钥对中的另一个密钥解密。商家采用某种算法（秘钥生成程序）生成了这2个密钥后，将其中一个保存好，叫做私人密钥(Private Key)，将另一个密钥公开

37、散发出去，叫做公开密钥(Public Key)。,（3）公开密钥加密法的使用过程,乙银行：有一笔 20 000元资金转帐至贵行12345 账号上客户甲,乙银行：有一笔 20 000元资金转帐至贵行12345 账号上客户甲,加密,解密,支付通知明文,支付通知明文,支付通知密文,支付通知密文,网络传输,客户甲,乙银行,公钥,私钥,B,A,实现了定点保密通知,（3）公开密钥加密法的使用过程,客户甲：本行已将 20 000元资金从你账号转移至 12345账号上乙银行,解密,加密,支付确认明文,支付确认明文,支付确认密文,支付确认密文,网络传输,客户甲,乙银行,公钥,私钥,B,A

38、,网络银行不能否认或抵赖,客户甲：本行已将 20 000元资金从你账号转移至 12345账号上乙银行,（1）数字摘要技术,用某种算法对被传送的数据生成一个完整性值，将此完整性值与原始数据一起传送给接收者，接收者用此完整性值来检验消息在传送过程中有没有发生改变。这个值由原始数据通过某一加密算法产生的一个特殊的数字信息串，比原始数据短小，能代表原始数据，所以称作数字摘要。又称数字指纹、Hash编码法（保证消息的真实性，类似于签名的真实，数字签名技术之二，主要的算法如RSA公司提出的MD5和SHA1等，是以Hash函数算法为基础）,4、数字签名的定义和应用原理,（1）数字摘要的产生示例,银

39、行乙：请将200元资金从本帐号转移至12345 账号上。客户甲,Hash算法：数字摘要生成器,Abcddabc34 7698jdf74 .kxs,支付通知,支付通知的数字摘要,（2）数字签名技术,在传统商务的合同或支付信件中平时人们用笔签名，这个签名通常有两个作用：（1）可以证明信件是由签名者发送并认可的（不可抵赖）（2）保证信件的真实性（非伪造、非篡改）数字签名及原理：就是指利用数字加密技术实现在网络传送信息文件时，附加个人标记，完成传统上手书签名或印章的作用，以表示确认、负责、经手、真实等；或数字签名就是在要发送的消息上附加一小段只有消息发送者才能产生而别人无法伪造

40、的特殊数据（个人标记），而且这段数据是原消息数据加密转换生成的，用来证明消息是由发送者发来的。数字签名（信息报文M）=发送方私人秘钥加密（Hash（信息报文M）,数字签名的应用示例,客户甲,银行乙,发送的支付通知M,收到的的支付通知M,银行乙：将200元资金 345北交帐号上。客户甲,银行乙：将元资金北交帐号上。客户甲,0F812DDF64 DBABFF 45ADIAA,0F812DDF64 DBABFF 45ADIAA,ABFF45 DBAD ,数字摘要D,数字摘要D,数字摘要D,数字签名,加密,客户甲的私钥B,网络传送,客户甲的公钥,SHAR1,SHAR1,比较,（2）数字签

41、名的作用与常见类型,数字签名可以解决下述网络支付中的安全鉴别问题：接收方伪造：接收方伪造一份文件，并声称这是发送方发送的：付款单据等。发送者或接收者否认：发送者或接收者事后不承认自己曾经发送或接收过支付单据。第三方冒充：网上的第三方用户冒充发送或接收消息如信用卡密码；接收方篡改：接收方对收到的文件如支付金额进行改动。,5、数字证书,（1）数字证书的定义和应用原理,数字证书：指用数字技术手段确认、鉴定、认证Internet上信息交流参与者身份或服务器身份，是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。工作原理：接收方在网上收到发送方业务信息的同时，还收到发送方的数字证

42、书，通过对其数字证书的验证，可以确认发送方的身份。在交换数字证书的同时，双方都得到了对方的公开密钥，由于公开密钥是包含在数字证书中的，可以确信收到的公开密钥肯定是对方的。从而完成数据传送中的加解密工作。,数字证书,证书的版号证书的序列号证书拥有者的姓名证书拥有者的公共密钥公共密钥的有效期证书的有效期颁发证书的单位,CCTTT.509国际标准， X.509数字证书包含,（2）数字证书的内容,(3)数字证书的有效性与使用,数字证书必须同时满足以下三个条件，才是有效的： 1.证书没有过期 2.密钥没有被修改 3.有可信任的相应的颁发机构CA及时管理与回收无效证书，并且发行无效证书清单,

43、(1)认证中心CA的定义,认证中心，简称CA，即 Certification Authority，是一个公正的、有权威性的、独立的（第三方的）、广受信赖的组织，负责电子商务中数字证书的发行和管理以及认证服务。,(2)认证中心CA的主要功能,生成密钥对及CA证书验证申请人身份颁发数字证书证书以及持有者身份认证查询吊销证书证书管理与更新制定相关政策有能力保护数字证书服务器的安全,Certificate Authority,6、认证中心CA,7、什么是PKI技术,Public Key Infrastructure (PKI) . . .是硬件、软件、人员、策略和操作规程的总和，它们要完

44、成创建、管理、保存、发放和废止证书的功能。 PKI 基于公开密钥加密算法来保证网络通讯安全。 PKI的核心是数字证书，其核心执行者是认证机构。,（1）PKI的组成,一个典型的PKI系统中包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。,8、电子商务安全体系结构电子商务的安全体系应包括：安全可靠的通信网络，保证数据传输的可靠完整，防止病毒、黑客入侵；电子签名和其他身份认证系统：完备的数据加密系统等。（1）支持服务层（2）传输层（3）交换层（4）商务层,9、电子商务安全法律要素,有关电子合同的法律,有关CA中心的法律,有关保护个人隐私个人秘密的法律,

45、有关消费者权益保护法,网络知识产权保护的法律,四、安全电子支付,计算机病毒,黑客攻击,系统漏洞,（1）电子支付的安全问题电子支付面临的安全问题,技术原因,安全意识,法律因素,安全管理,信用体系,（2）电子支付安全问题产生的原因,技术保障。加强宏观管理。建立健全法律法规。,（3）安全电子支付的途径,（4）安全电子支付的意义是安全的电子支付发展能够提高电子商务和金融运行效率，节约交易成本，促进经济发展；是安全的电子支付为电子商务的发展提供了广阔的前景，有利于缓解并最终解决电子商务中的支付瓶颈问题；是安全的电子支付突破时空的限制，丰富了支付手段，促进金融创新改革和发展；是安全的电子支付

46、方便了日常生活支付需要，有利于培养健康文明的支付习惯；是安全电子支付将对货币政策，主要是对货币的基本定义、货币发行方式、货币流通速度和货币乘数等方面产生一定影响；是安全的电子支付工具特别是信用卡的使用将促进消费信贷发展，培育社会信用体系建设。,相关链接 24秒就被转走10万安徽省的陈女士，在2013年进行网购时，被骗子诱导进行了“超级网银”授权支付操作，短短5分钟内，账户中10多万元就被洗劫一空。陈女士在一家购物网站看中一件200元的衣服，店家表示需要向厂家订货，再由陈女士来进行支付，并向陈女士提供了一个“代付链接”。（代付操作是一种网购服务，即甲购买商品，但由乙来付款）陈女士在代付

47、链接上进行了支付，却无法查到交易记录，于是向店家咨询。店家表示：“由于系统异常，无法正常显示交易订单，请联系客服解冻订单”，并发给陈女士一个QQ号。陈女士没有多想，便与店家提供的客服QQ进行了联系。客服QQ表示：要解冻订单，需要进行“签约授权”操作，并提供了一个链接。陈女士点开了上述链接，按照客服QQ的提示进行了逐步操作，但随后便发现网银账户的资金出现异常。在之后约5分钟时间内，骗子先后分6次，从陈女士账户中转走了108800元，其中，前两笔金额各为5万元的转账，时间间隔仅为24秒。上述案例是一起典型的钓鱼欺诈。其实是不法分子在正规网站进行低价诱骗顾客下单购买商品，以木马、假链接的形式进

48、行诈骗。,知识小结,电子商务是计算机网络的又一次革命，是通过电子手段建立一种新的经济秩序，它不仅涉及电子技术和商业交易本身，而又涉及诸如金融服务、诚信和安全其他层面。信息化、Internet和电子支付是实现电子商务的基础条件。电子支付是指进行电子商务交易的当事人（包括消费者、厂商和金融机构）使用安全手段和密码技术通过电子信息化手段进行的货币支付和资金流转。用Internet作为运行平台的网络支付极大地促进了电子商务的发展。网络支付平台主要由Internet、支付网关、银行内部专用业务网络三个部分组成。电子支付工作程序主要包括七个步骤。病毒的侵袭、黑客非法侵入、线路窃听等很容易使重要数据在传递过程中泄露，威胁电子商务交易的安全。实现一个安全电子商务系统所要求做到的各个方面主要包括机密性、完整性、认证性和不可抵赖性等。可以通过密码技术、网络安全技术和法律规范电子商务和支付行为。资金流处理的支付与结算问题已经成为电子商务发展的瓶颈，电子支付的安全对于电子商务的开展起着非常重要的作用，任何在互联网上进行商务活动的

展开阅读全文