《电子商务安全与支付》课件1.ppt

1、第第1 1章章 电子商务系统安全与电子商务系统安全与支付概述支付概述21世纪电子商务与现代物流管理系列教材电子商务安全与支付中国水利水电出版社宋少忠 等主编1.1 1.1 电子商务及其发展电子商务及其发展1.2 1.2 网络信息安全网络信息安全1.3 1.3 电子商务安全规范电子商务安全规范1.4 1.4 电子商务和支付系统电子商务和支付系统 本章学习目标本章学习目标 电子商务涵义电子商务涵义 电子商务模式和功能电子商务模式和功能 电子交易和电子支付电子交易和电子支付 电子商务安全电子商务安全1.1 1.1 电子商务及其发展电子商务及其发展1.1.1 1.1.1 什么是电子商务什么是电子商务

2、通俗地说，电子商务就是在计算机网络通俗地说，电子商务就是在计算机网络(主主要指要指Internet)Internet)的平台上，按照一定标准开展的的平台上，按照一定标准开展的商务活动。商务活动。总结起来，我们可以这样说：从宏观上讲，总结起来，我们可以这样说：从宏观上讲，电子商务是计算机网络的又一次革命，是通过电电子商务是计算机网络的又一次革命，是通过电子手段建立一种新的经济秩序，它不仅涉及电子子手段建立一种新的经济秩序，它不仅涉及电子技术和商业交易本身，而且涉及到诸如金融、税技术和商业交易本身，而且涉及到诸如金融、税务、教育等社会其他层面。务、教育等社会其他层面。从微观角度说，电子商务是指各种

3、具有商业从微观角度说，电子商务是指各种具有商业活动能力的实体活动能力的实体(生产企业、商贸企业、金融机生产企业、商贸企业、金融机构、政府机构、个人消费者等构、政府机构、个人消费者等)利用网络和先进利用网络和先进的数字化传媒技术进行的各项商业贸易活动。的数字化传媒技术进行的各项商业贸易活动。电子数据交换（电子数据交换（EDIEDI）是一个汇集和传送）是一个汇集和传送电子信息的标准，产生于电子信息的标准，产生于2020世纪世纪6060年代。年代。1.1.2 1.1.2 电子数据交换电子数据交换(EDI)(EDI)的发展的发展 Internet Internet起源于起源于2020世纪世纪6060年

4、代末美国的年代末美国的ARPAnetARPAnet，这是一个用于军事目的的计算机网络。，这是一个用于军事目的的计算机网络。InternetInternet这个名称的使用是由这个名称的使用是由ARPAnetARPAnet分离分离出来的出来的MILnetMILnet和和NSFnetNSFnet的连接开始的。的连接开始的。如今，如今，NSFnetNSFnet连接了全美上百万台计算机，连接了全美上百万台计算机，拥有几百万用户，是拥有几百万用户，是InternetInternet最主要的成员网。最主要的成员网。到到20052005年将有超过年将有超过1010亿的人使用亿的人使用InternetInter

5、net。如。如此多的网络用户，为电子商务的使用和普及奠定了此多的网络用户，为电子商务的使用和普及奠定了良好的群众基础。良好的群众基础。1.1.3 Internet1.1.3 Internet的发展的发展(1)1991(1)1991年美国政府宣布因特网年美国政府宣布因特网(Internet)(Internet)向社向社会公众开放，允许在网上开发商业应用系统。会公众开放，允许在网上开发商业应用系统。(2)1993(2)1993年年InternetInternet上出现万维网，这是一种具上出现万维网，这是一种具有处理数据、图、文、声、像、超文本对象能力有处理数据、图、文、声、像、超文本对象能力的网络

6、技术，使因特网具备了支持多媒体应用的的网络技术，使因特网具备了支持多媒体应用的功能。功能。(3)1995(3)1995年因特网上的商业业务信息量首次超过年因特网上的商业业务信息量首次超过了科教业务信息量，这既是因特网此后产生爆炸了科教业务信息量，这既是因特网此后产生爆炸性发展的标志，也是电子商务大规模起步发展的性发展的标志，也是电子商务大规模起步发展的标志。标志。1.1.4 1.1.4 电子商务的发展电子商务的发展1.2 1.2 网络信息安全网络信息安全1.2.1 1.2.1 网络信息安全的目标网络信息安全的目标 所谓信息安全，一般是指在信息采集、存储、处所谓信息安全，一般是指在信息采集、存储

7、、处理、传播和运用过程中，信息的自由性、秘密性、完理、传播和运用过程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。整性、共享性等都能得到良好保护的一种状态。信息安全传输是指在网络上传递的信息没有被故信息安全传输是指在网络上传递的信息没有被故意地或偶然地非法授权泄漏、更改、破坏或使信息被意地或偶然地非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制，网络信息的保密性、完整性、非法系统辨识、控制，网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。可用性、可控性得到良好保护的状态。早期计算机网络的作用是共享数据，并促早期计算机网络的作用是共享数据，并促进大学、政府

8、研究和开发机构、军事部门的进大学、政府研究和开发机构、军事部门的科学研究工作。科学研究工作。那时制定的网络协议，几乎没有注意到安那时制定的网络协议，几乎没有注意到安全性问题。全性问题。在因特网大规模普及特别是在电子商务活在因特网大规模普及特别是在电子商务活动逐渐进入实用阶段之后，网络信息安全更动逐渐进入实用阶段之后，网络信息安全更是引起人们的高度重视。是引起人们的高度重视。由于网络交易信息是在因特网上传递由于网络交易信息是在因特网上传递的，因此，相对于传统交易来说，网络交易的，因此，相对于传统交易来说，网络交易对信息安全提出了更高、更苛刻的要求。对信息安全提出了更高、更苛刻的要求。危及网络信息

9、安全的因素主要来自两个方面危及网络信息安全的因素主要来自两个方面:一是由于网络设计和网络管理方面的原因，无一是由于网络设计和网络管理方面的原因，无意间造成机密数据泄露；意间造成机密数据泄露；二是攻击者采用不正当的手段通过网络二是攻击者采用不正当的手段通过网络(包括包括截取用户正在传输的数据和远程进入用户的系统截取用户正在传输的数据和远程进入用户的系统)获获得数据。得数据。一个良好的网络安全系统，不仅应当能够一个良好的网络安全系统，不仅应当能够防范恶意的无关人员，而且，应当能够防止专有数防范恶意的无关人员，而且，应当能够防止专有数据和服务程序的偶然泄露，同时不需要内部用户都据和服务程序的偶然泄露

10、，同时不需要内部用户都成为安全专家。成为安全专家。电子商务系统既不是单纯的商务系统，也不电子商务系统既不是单纯的商务系统，也不是简简单单的计算机网络系统，而是建立在计算是简简单单的计算机网络系统，而是建立在计算机网络系统之上的商务系统。机网络系统之上的商务系统。既然电子商务系统是建立在计算机系统之上既然电子商务系统是建立在计算机系统之上的商务系统，从逻辑上看可以分成底层的物理系的商务系统，从逻辑上看可以分成底层的物理系统和上层的业务逻辑系统，那么，电子商务系统统和上层的业务逻辑系统，那么，电子商务系统的安全措施也相应地分成两个层次，一个是保障的安全措施也相应地分成两个层次，一个是保障底层的物理

11、系统，也就是计算机网络系统的安全底层的物理系统，也就是计算机网络系统的安全；另一个是保障上层业务逻辑系统的安全，也就；另一个是保障上层业务逻辑系统的安全，也就是保证商务活动在网上的顺利开展。是保证商务活动在网上的顺利开展。1.2.2 1.2.2 电子商务系统安全层次电子商务系统安全层次 计算机网络系统中的实体也就是各种各样的计算机网络系统中的实体也就是各种各样的计算机和连接它们的通信设备。计算机和连接它们的通信设备。(1)Internet(1)Internet应用服务的服务器应用服务的服务器(2)(2)客户机客户机(3)(3)通信连接设备通信连接设备 除了实体安全之外，数据安全也至关重要。除了

12、实体安全之外，数据安全也至关重要。在计算机网络系统中，数据的安全一方面在计算机网络系统中，数据的安全一方面是存储安全，另一方面也包括数据在传输过程中是存储安全，另一方面也包括数据在传输过程中的安全，即通信安全。的安全，即通信安全。1.3 1.3 电子商务安全规范电子商务安全规范 电子商务的安全规范包括加密算法、报文摘要电子商务的安全规范包括加密算法、报文摘要算法、安全套接层协议等方面的规范。算法、安全套接层协议等方面的规范。1 1加密算法加密算法 基本加密算法有两种基本加密算法有两种对称密钥加密和非对对称密钥加密和非对称密钥加密。称密钥加密。(1)(1)对称密钥加密对称密钥加密 对称密钥加密也

13、叫秘密对称密钥加密也叫秘密/专用密钥加密专用密钥加密(如如Secret Key Encryption)Secret Key Encryption)，即发送和接收数据的，即发送和接收数据的双方必须使用相同的对称的密钥对明文进行加密双方必须使用相同的对称的密钥对明文进行加密和解密运算。和解密运算。(2)(2)非对称密钥加密非对称密钥加密 非对称密钥加密主要指每个人都有一对非对称密钥加密主要指每个人都有一对唯一对应的密钥：公开密钥和私有密钥，公唯一对应的密钥：公开密钥和私有密钥，公钥对外公开，私钥由个人秘密保存；用其中钥对外公开，私钥由个人秘密保存；用其中一把密钥来加密，就只能用另一把密钥来解一把密

14、钥来加密，就只能用另一把密钥来解密。密。非对称加密算法主要有非对称加密算法主要有RSARSA、DSADSA、Diffie-HellmanDiffie-Hellman、PKCSPKCS、PGPPGP等。等。2 2报文摘要算法报文摘要算法 所谓报文摘要算法就是生成报文摘要的算所谓报文摘要算法就是生成报文摘要的算法，它的出现是为了满足数字签名的需要。法，它的出现是为了满足数字签名的需要。报文摘要算法的原理是采用一类特殊报文摘要算法的原理是采用一类特殊的散列函数对输入的没有长度限制的报文数的散列函数对输入的没有长度限制的报文数据方便地计算出固定长度的摘要并输出，而据方便地计算出固定长度的摘要并输出，而

15、且对于不同的输入报文很难生成相同的摘要且对于不同的输入报文很难生成相同的摘要。报文摘要算法主要的安全散列算法和报文摘要算法主要的安全散列算法和RSARSA公司的公司的MDMD算法系列。算法系列。安全散列算法产生安全散列算法产生160160位散列值。位散列值。RSARSA公司开发的报文摘要算法，包括公司开发的报文摘要算法，包括MDMD、MD2MD2、MD4MD4和和 MD5MD5等。等。至今，至今，MD5MD5仍被认为是一个安全的报文仍被认为是一个安全的报文摘要算法。摘要算法。3 3安全套接层协议安全套接层协议(SSL)(SSL)安全套接层协议是一种保护安全套接层协议是一种保护WebWeb通信的

16、工通信的工业标准，主要目的是提供业标准，主要目的是提供InternetInternet上的安全上的安全通信服务，是基于强公钥加密技术以及通信服务，是基于强公钥加密技术以及RSARSA的的专用密钥序列密码，能够对信用卡和个人信专用密钥序列密码，能够对信用卡和个人信息、电子商务提供较强的加密保护。息、电子商务提供较强的加密保护。1.4 1.4 电子商务和支付系统电子商务和支付系统 基于基于InternetInternet的电子商务，需要为数以百万计的电子商务，需要为数以百万计的购买者和销售者提供支付服务。的购买者和销售者提供支付服务。InternetInternet电子支付系统主要包括以下四部分：

17、电子支付系统主要包括以下四部分：(1)(1)金融机构金融机构(2)(2)付款者付款者(3)(3)第三方非银行金融机构第三方非银行金融机构 (4)(4)各种金融网络各种金融网络 支付系统根据授权、支付的最终性和用法可支付系统根据授权、支付的最终性和用法可分为支付卡类型、要求存款的账户类型、现金类分为支付卡类型、要求存款的账户类型、现金类型和其他类型。型和其他类型。电子支付系统中可以采用电子支票（电子支付系统中可以采用电子支票（E-E-checkcheck）、电子现金（）、电子现金（E-cashE-cash）、微支付（）、微支付（Micro Micro PaymentsPayments）等支付方式。）等支付方式。这些支付一般发生在网上交易中面向顾客的这些支付一般发生在网上交易中面向顾客的零售业务部分。零售业务部分。