电子商务支付与安全课件.ppt

1、主讲：周伟一、课程介绍 学完本课程需要掌握电子商务支付方式的工作流程，了解在支付过程中产生的安全问题和解决支付安全的问题。熟悉第三方支付平台操作、网上银行业务基本流程及其安全操作，掌握网络安全防范策略和防火墙的应用、常用数据加密方法和数字证书实现的方法、数字证书和身份认证的使用方法，熟悉电子支付协议的概念及内容，了解电子支付的法律问题。课程目标：知识目标 1、了解电商支付的发展概况，掌握电商支付的概念；2、了解电子支付系统的组成和我国第三方电子支付平台的产生和发展、第三方支付平台的运作机制；熟悉第三方支付平台的优点、国内主要使用的第三方支付产品；熟悉并掌握支付宝的实际操作；了解其他第三方支付工

2、具。3、熟知常见的电子支付工具，电子货币（游戏币、比特币）、银行卡的优缺点以及使用模式。4、了解网络交易中常见的一些问题以及解决办法。课程目标：能力目标1、学会熟知电子商务支付中各种平台的使用，以及可能出现的漏洞。2、学会计算机安全设置，例如：防火墙、数字证书、局域网等等3、识别日常生活中可能出现的支付陷阱或漏洞。电子商务支付与安全电商支付与安全概述1电子支付工具32电子支付系统4567电子商务系统的安全认证中心CA网上金融网络支付安全技术课程大纲8电子支付安全协议9电商支付的法律协议本章内容：1、网络电子支付的产生和发展2、网络电子支付流程 3、电子支付面临的问题4、电子商务的安全5、安全电

3、子支付 本章学习要点：电子商务支付的产生和发展、网络电子支付的流程以及如何才能做到安全电子支付。电子商务支付的产生和发展、网络电子支付的流程。如何才能做到安全电子支付的电子商务环境。重点难点重点掌握 了解难点一、网络电子支付的产生和发展01 02 03 04 05内容大纲06情景案例中国内地第一笔因特网电子交易2019年3月18日，北京友谊宾馆，世纪互联通信技术有限公司向首都各新闻单位的记者宣布：中国内地第一笔因特网电子交易成功。为本次交易提供网上银行服务的是中国银行，扮演网上商家的是世纪互联通信技术有限公司。中国内地第一笔因特网电子交易的时间是2019年3月18日下午3点30分。第一位网上交

4、易的支付者是浙江电视台播送中心的王轲平先生；第一笔费用的支付手段是中国银行长城卡；第一笔支付费用是100元；第一笔认购物品是世纪互联通信技术有限公司的100元上网机时。中国银行开展网上银行服务的最早时间是2019年。2019年底，王轲平先生发现了这个站点，并填写了申请书。在接到王轲平先生的申请后，世纪互联通信技术有限公司开始着手进行这次交易的内容，实质性的时间大约为15天。王轲平先生成为第一个在中国因特网上进行电子交易的人。这次交易也是国内企业与消费者在网上的“第一次亲密接触”【案例讨论与思考】1、如果王先生没有长城卡，该如何完成这次交易？2、如果现在要完成这样的交易，你有哪些结算手段？3、怎

5、样确保世纪互联通信技术有限公司安全收到他支付的100元？4、王先生的其他信息会泄露给第三者吗？5、目前电子交易的支付安全吗？6、当前进行这样一笔电子商务交易还需要15天时间吗？7、你进行过电子商务和电子支付活动吗？原始社会的支付方式自然经济社会的支付方式工业化经济社会的支付系统 信息经济社会的支付方式 思考：支付方式的演变？支付活动发展阶段一物物交换方式（1）支付方式的演变14货币支付方式支付活动发展阶段二（1）支付方式的演变支付活动发展阶段三信用配送银 行银行转账支付方式（1）支付方式的演变支付活动发展阶段四电子支付方式网上商店BANK（1）支付方式的演变1现金支付：现金（cash）有两种形

6、式，即纸币和硬币，由国家组织或政府授权的银行发行。买 方卖 方现 金 商 品 现金交易流程图缺陷：第一，受时间和空间限制；第二，受不同发行主体的限制；第三，不利于大宗交易。（2）传统支付主要的方式2票据支付：广义的票据包括各种记载一定文字、代表一定权利的文书凭证，如车船票、汇票、股票、债券、货单等。狭义的票据是一个专有名词，专指票据法所规定的汇票、本票和支票等票据。付款方收款方银 行 商品 签章支票 现金或入帐 背书支票 支票交易流程缺陷：易于伪造、容易丢失，商业承兑汇票甚至存在拒绝付款和到期无力支付的风险。（2）传统支付主要的方式3信用卡支付：持卡人用卡购物或消费并在购签单上签字。商家向持卡

7、人提供商品或服务。商家向发卡人提交购签单。发卡人向商家付款。发卡人向持卡人发出付款通知。持卡人向发卡人归还贷款。缺陷：第一，交易费用较高。第二，信用卡具有一定的有效期，过期失效。第三，有可能遗失而给持卡人带来风险和麻烦。（2）传统支付主要的方式局限性成本问题便捷程度功能种类效率问题安全问题商业角度传统支付方式的局限性 项目任务 张丽艳同学产生的哪些疑问，实际上就是和电子支付相关的一系列问题。电子商务经过多年的快速发展，电子支付也就是网络支付已经越来越被人们所知所用。网上购买火车票、飞机票、网上缴纳水电煤气费、电话费已经非常普遍，支付宝、财付通和手机的移动支付等电子支付平台纷纷争夺电子支付市场，

8、电子支付逐渐成为人们关注的热点。除了购买商品使用网上支付外，现在许多学校的大学生缴纳学费都是使用银行卡了。网络支付促进了电子商务的发展，方便了人们的生活。那么，网络电子支付的运行需要什么环境？网络电子支付的具体操作流程是什么呢？如何才能安全进行网上支付结算呢？（3）互联网数据用户对当前互联网在如下几方面表现的满意程度及总体满意度：数据来源：第26次中国互联网络发展状况统计报告 中国互联网络信息中心（CNNIC）非常满意比较满意一般不太满意很不满意网络速度4.3%37.3%37.6%15.3%5.5%费用及收费规则2.8%15.2%47.1%26.5%8.4%安全性2.3%15.0%49.5%2

9、5.1%8.1%中文信息的丰富性9.4%43.8%38.9%6.2%1.7%内容的真实性3.0%28.4%45.8%18.0%4.8%内容的健康性2.8%27.3%46.2%18.1%5.6%对个人隐私的保护3.0%18.2%50.1%22.0%6.7%操作简便10.3%50.6%32.8%5.0%1.3%总体满意度2.9%42.2%47.6%6.4%0.9%用户一般选择什么送货方式：其它快递：50.8%普通邮寄：39.0%EMS：28.2%航空、铁路发运：2.4%其它：5.4%数据来源：第26次中国互联网络发展状况统计报告 中国互联网络信息中心（CNNIC）用户一般采取哪种付款方式：网上支付

10、：73.8%货到付款（现金结算）：28.1%银行汇款：15.2%邮局汇款：12.4%手机支付：2.4%其它：2.0%数据来源：第26次中国互联网络发展状况统计报告 中国互联网络信息中心（CNNIC）未来电子商务支付将会：“全能化”“3A服务”1、Anytime （任何时间）2、Anywhere（任何地点）3、Anyhow （任何方式）（4）电子商务支付发展提问：你认为电子支付为什么会产生？其产生根本原因源于电子交易。所谓电子交易就是指在网上进行买卖交易。28需求调查 材料采购 生 产商品销售收 款货币结算 商品交割 传统商务交易流程（4）电子商务支付发展传统商务交易流程以电子查询形式进行需求调

11、查以电子单证形式调查信息确定采购方案通过电子广告促进商品销售以电子货币形式进行资金接收同电子银行进行货币结算 商品交割（4）电子商务支付发展电子商务的交易流程1、交易前的准备主要是指买卖双方和参加交易的各方在签约前的准备活动。2、贸易磋商和签订合同当商品的供需双方都了解了有关商品的供需信息后，具体的商品贸易磋商过程就开始了。3、支付与发运过程基本流程：（4）电子商务支付发展电子商务的交易流程【实例链接】从68张机票到在家等生意刘明大学毕业后开始了自己的创业，选中了帽子加工。在一个完全不了解的行业，没有上游供应商和客户，2019年他在国内外密集参加各种展会，坐了68趟飞机，然而那一年他的收益却只

12、有20多万元，都不够他坐飞机跑展会的费用。2019年，他第一次接触到了网络这个虚拟的商务平台，在阿里巴巴上他发现了有很多同类型的企业，同行的存在让他看到了产业集中的优势，这样就更容易能让客商发现我的企业，他加入了阿里巴巴。他在网上发布自己的帽子的商品信息，并配有实物图片。1个月后，他就收到了俄罗斯一位客商的第一笔订单2.78万美金。刘明的公司在采用电子商务以后，很多客户都是网上进行的业务洽谈，基本上是无纸化办公，合同的磋商签订、货款的结算都是利用网络实现的，而且市场也由单纯的国内扩大到全球。32电子商务、电子交易与电子支付的关系：商务必定引起交易 交易必将进行支付电子商务(e-Business

13、)企业资源计划 管理信息系统客户关系管理 供应链管理人力资源管理 网上市场调研战略管理 财务管理电子交易（e-Commerce）网络营销 物流配送电子支付网上支付、电话支付、移动支付等（5）电子交易电子交易就是指电子化的买卖交易（5）电子交易1信息共享2电子订单3电子支付4订单的执行5售后服务电子交易的内容 不同类型的电子商务交易，虽然都包括交易前的准备、贸易磋商和签订合同、支付与发运过程三个阶段，但业务流程却有所不同。目前，电子商务的基本业务流程可以归纳为三种：（1）网络商品直销流程（2）企业间网络交易流程（3）网络商品中介交易流程网络商品直销，是消费者和厂家或者需求方和供应方，网络商品直销

14、，是消费者和厂家或者需求方和供应方，直接利用网络形式所开展的商品或服务买卖活动。直接利用网络形式所开展的商品或服务买卖活动。BtoCBtoC型电子商务大多数属于网络商品直销的范畴型电子商务大多数属于网络商品直销的范畴。例如：。例如：DellDell公公司的网络直销、联众公司的网络游戏、人大的网络远程教育。司的网络直销、联众公司的网络游戏、人大的网络远程教育。企业与企业间基于网络进行的直接交易，属于企业与企业间基于网络进行的直接交易，属于BtoBBtoB电子商务，也电子商务，也可看作网络商品直销的交易模式。例如，海尔公司借助网络采购平台与可看作网络商品直销的交易模式。例如，海尔公司借助网络采购平

15、台与九百多家物品供应商的交易。九百多家物品供应商的交易。优点：优点：供需直接见面，环节少，交易速度快，费用低。供需直接见面，环节少，交易速度快，费用低。有效地减少售后服务的技术支持费用。有效地减少售后服务的技术支持费用。缺点：缺点：从网络广告判断商品，容易产生错误判断。虚假从网络广告判断商品，容易产生错误判断。虚假广告、窃取消费者信息。广告、窃取消费者信息。5.1 网络商品直销交易模式信用卡公司 消费者 厂 家 银 行订单发货转账通知转账 回执 支付 清单 认证中心38企业间网络交易是B2B电子商务的一种基本形式。交易从寻找和发现客户出发，企业利用自己的网站或网络服务商的信息发布平台发布买卖、

16、合作、招投标等商业信息。通过商业信用调查平台，买卖双方可以进入信用调查机构申请对方的信用调查；通过产品质量认证平台，可以对卖方的产品质量进行认证。然后在信息交流平台上签订合同，进而实现电子支付和物流配送。最后是销售信息的反馈，完成整个B2B的电子商务交易流程。5.2 企业间网络交易模式企业内部数据库信息分析处理信息发布平台发布买卖 合作 投招标信息 CA认证中心商业信用认证信息交流平台签订电子合同电子支付结算物流配送信息反馈 网络商品中介交易是网络商品中介交易是指交易实体通过专业的网络商品交易指交易实体通过专业的网络商品交易中心，即通过虚拟网络市场进行的商品交易，而非交易双中心，即通过虚拟网络

17、市场进行的商品交易，而非交易双方直接沟通的交易。方直接沟通的交易。案例：案例：A1ibabaA1ibaba（阿里巴巴）；美国的（阿里巴巴）；美国的eBayeBay；国内的；国内的SinaSina商商城与城与SohuSohu商城。商城。通过网络商品中介进行交易具有许多突出的优点通过网络商品中介进行交易具有许多突出的优点:网络商品中介为企业提供了无形的巨大市场；网络商品中介为企业提供了无形的巨大市场；网络交易中心提供的认证服务和交易流程可以降低买卖双方的交易风险；网络交易中心提供的认证服务和交易流程可以降低买卖双方的交易风险；网络交易中心的统一结算模式，可以提高资金的风险防范能力，避免资金网络交易

18、中心的统一结算模式，可以提高资金的风险防范能力，避免资金的截留、占用及挪用。的截留、占用及挪用。5.3 网络商品中介交易模式转账转账撮合信息结算汇款信息传递信息传递用户信用信息撮合银 行卖 方认证中心买 方结算配送部门网络商品交易中心无障碍减少交通压力减少中间环节降低互动成本便于企业经济管理（6）电子支付 所谓电子支付（Electronic Payment）是指进行电子商务交易的当事人（包括消费者、厂商和金融机构）使用安全手段和密码技术通过电子信息化手段进行的货币支付和资金流转。6.1 电子支付与传统支付的区别传统支付：现金交易；票据交流（支票、本票、汇票）电子支付传统支付款项支付方式电子、数

19、字化方式流转现金流转、票据转让、银行汇兑等物理实体的流转工作环境开放的系统平台封闭的系统通信手段先进的现代计算机网络技术，对软/硬件要求高传统的通信媒介优势方便、快捷、高效、经济使用、流通比较方便 6.2 电子支付的优势：电子支付适应了整个社会向信息化、数字化发展的趋势。电子支付系统更加方便快捷，没有障碍。电子支付是跨时空的电子化支付，能够真正实现全球7天24小时的服务保证。电子支付有助于降低交易成本，最终为消费者带来更低的价格。6.3 电子支付的发展第一阶段：银行利用计算机处理银行之间的业务，办理结算。第二阶段：银行与其他机构之间的资金结算（如代发工资）第三阶段：利用网络终端向客户提供各项银

20、行服务。如ATM（Automated Teller Machine，自动取款机）第四阶段：利用银行销售终端（POS：Point of Sales，销售点终端）向客户提供自动扣款服务，这也是目前电子支付的主要手段。第五阶段：是最新发展阶段，此时可随时随地通过互联网直接转帐结算，形成电子商务环境。7.1.26.4 电子支付的要求：（1）安全性：允许在开放网络上进行金融事务，并有安全保障（2）灵活性：应支持多种支付方式（3）可兑换性：电子货币能够兑换成其它类型的货币（4）可伸缩性：系统加入新的贸易时不会结构崩溃（5）隐私权：若顾客想要匿名，他们的身份和隐私可以受到保护（6）实用性（7）低成本（8）合

21、法性（完整认证）（9）无拒付支付（10）有效的查账机制（11）普遍性技术（12）交易模式的一般性（13）可度量操作6.5 目前的支付方式 目前我国的现状是多种支付方式的并存，主要是以下几种：（1）电子支付：完全用信息流取代传统货币（如：电子钱包、信用卡、网上支付、数字现金、电子支票等）（2）半电子支付：部分支付过程借助网络完成（如：银行转账、银行汇款等）（3）非电子支付：完全采用传统的支付方式（如：支票付款、现金交易、邮局汇款等）6.6 电子支付面临的问题（1）安全性和支付信息私密性问题。（2）对软硬件要求很高。（3）电子支付工具需要相应的系统支持。6.7 网络电子支付的运行环境 电子支付的常

22、见网络平台有电话交换网PSTN，公用数据网，专用数据网，电子数据交换EDI专用网络平台以及近年发展起来的Internet等。二、网络电子支付的流程6.8 网络电子支付流程（1）网络支付结构 Internet网络支付平台主要由Internet、支付网关、银行内部专用业务网络三个部分组成。（2）电子支付流程基于互联网平台的电子支付的基本流程如图1-3所示。根据工作流程图，可将整个电子支付工作程序分为下面七个步骤：三、电子支付面临的问题互联网安全事件全世界传媒关注的美国著名网站被袭事件雅虎、亚马逊书店、eBay、ZDNet；在2019年内试图闯入五角大楼计算机网络的尝试达25万次之多，其中60%的尝

23、试达到了目的；每年美国政府的计算机系统遭非法入侵的次数至少有30万次之多；微软公司承认，有黑客闯入了该公司的内部计算机网络，并获取了正在开发中的软件蓝图，这起攻击对微软影响重大。我国的历史数据 2019年9月22日，黑客入侵某银行电脑系统，将72万元注入其户头，提出26万元。为国内首例利用计算机盗窃银行巨款案件。2019年11月14日至17日：新疆乌鲁木齐市发生首起针对银行自动提款机的黑客案件，被盗用户的信用卡被盗1.799万元。2000年3月8日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是国内首例黑客攻击省级党报网站事件我国的历史数据 2000年3月25日：重庆某银行储户的个人帐户

24、被非法提走5万余元。2000年6月7日：ISS安氏(中国)有限公司在国内以及ISP的虚拟主机上的网站被中国黑客所攻击，该公司总裁为克林顿网络安全顾问，而ISS为全球最大的网络安全公司。2000年6月11、12日：中国香港特区政府互联网服务指南主页遭到黑客入侵，服务被迫暂停。1964年出生。3岁父母离异，致性格内向、沉默寡言。4岁玩游戏达到专家水平。13岁喜欢上无线电活动，开始与世界各地爱好者联络。编写的电脑程序简洁实用、倾倒教师。15岁闯入“北美空中防务指挥系统”主机，翻阅了美国所有的核弹头资料、令大人不可置信。不久破译了美国“太平洋电话公司”某地的客户密码，随意更改用户的电话号码。并与中央联

25、邦调查局的特工恶作剧。被电脑信息跟踪机发现第一次被逮捕出狱后，又连续非法修改多家公司电脑的财务帐单。1988年再次入狱，被判一年徒刑。1993年（29岁）逃脱联邦调查局圈套。1994年向圣地亚哥超级计算机中心发动攻击，该中心安全专家下村勉决心将其捉拿归案。期间米特尼克还入侵了美国摩托罗拉、NOVELL、SUN公司及芬兰NOKIA公司的电脑系统，盗走各种程序和数据（价4亿美金）。下村勉用“电子隐形化”技术跟踪，最后准确地从无线电话中找到行迹，并抄获其住处电脑。2019年2月被送上法庭，“到底还是输了”。2000年1月出狱，3年内被禁止使用电脑、手机及互联网电子商务的安全问题 1卖方面临的问题(1

26、)中央系统安全性被破坏(2)竞争对手检索商品递送状况(3)被他人假冒而损害公司的信誉(4)买方提交订单后不付款(5)获取他人的机密数据2买方面临的问题(1)付款后不能收到商品(2)机密性丧失(3)拒绝服务一、一、电电子商子商务务的安全威的安全威胁胁一、电子商务面临的安全威胁 计算机病毒的侵袭、黑客非法侵入、线路窃听等很容易使重要数据在传递过程中泄露，威胁电子商务交易的安全。主要分为2种：（1）电子商务安全（2）支付安全一、一、电电子商子商务务的安全威的安全威胁胁截获(interception)中断(interruption)篡改(modification)伪造(fabrication)一、一、

27、电电子商子商务务的安全威的安全威胁胁网络网络安全攻安全攻击击的形式的形式一、一、电电子商子商务务的安全威的安全威胁胁v 截截获获 以保密性作为攻击目标，表现为非授权用户通过某种手段获得对系统资源的访问，如搭线窃听、非法拷贝等v 中中断断 以可用性作为攻击目标，表现为毁坏系统资源，切断通信线路等一、一、电电子商子商务务的安全威的安全威胁胁v 修改修改 以完整性作为攻击目标，非授权用户通过某种手段获得系统资源后，还对文件进行窜改，然后再把篡改过的文件发送给用户。v 伪伪造造 以完整性作为攻击目标，非授权用户将一些伪造的、虚假的数据插入到正常系统中。一、一、电电子商子商务务的安全威的安全威胁胁 被动

28、攻击：目的是窃听、监视、存储数据，但是不修改数据。很难被检测出来，通常采用预防手段来防止被动攻击，如数据加密。主动攻击：修改数据流或创建一些虚假数据流。常采用数据加密技术和适当的身份鉴别技术。一、一、电电子商子商务务的安全威的安全威胁胁安全威安全威胁胁的后果的后果一、一、电电子商子商务务的安全威的安全威胁胁信息的截获和窃取信息的截获和窃取 信息的篡改信息的篡改:篡改篡改 删除删除 插入插入信息假冒信息假冒：伪造电子邮件伪造电子邮件和用户和用户，虚开网站和商店，虚开网站和商店 假冒他人身份假冒他人身份 恶意破坏恶意破坏 交易抵赖交易抵赖 一、一、电电子商子商务务的安全威的安全威胁胁（2 2）网络

29、网络支付的主要安全支付的主要安全隐隐患患支付账号和密码等隐私支付信息被盗取或盗用。支付金额被更改。无法有效验证收款方的身份。对支付行为进行抵赖、修改或否认。网络支付系统瘫痪 。一、一、电电子商子商务务的安全威的安全威胁胁【实例链接实例链接】安全问题影响电子商务的发展安全问题影响电子商务的发展2019年11月23日，来自上海的张小姐的网络购物密码被盗，有人利用该账户的良好信用记录，在国际网站上发布了5台笔记本电脑的出售信息，诈骗了1300多欧元。之后的1个多月，张小姐的邮箱频频收到来自巴西的“催款、催货最后通牒”，巴西买家莱昂纳多还用中文翻译软件将自己的意思翻译成蹩脚的中文，以此传递愤怒。这是一

30、起国内罕见的跨国电子商务诈骗事件。对此，国内的网络购物公司已展开调查，认定骗子来自北京。一、一、电电子商子商务务的安全威的安全威胁胁二、二、电电商安全需求和策略商安全需求和策略（1）电子商务安全要素贸易数据在确定的时刻、确定的地点是有效的有效性接发收方的身份是真实的真实性保密性保证只有发送者和接收可以接触到信息。二、二、电电商安全需求和策略商安全需求和策略信息在传输过程中未经任何改动完整性在交易数据发送完成以后，双方都不能否认自己曾经发出或接收过信息。不可否认性（2 2）电电商安全策略制定的目的、涵商安全策略制定的目的、涵义义和原和原则则 电电商安全策略制定的目的：商安全策略制定的目的：保障相

31、关支付结算信息的机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性不被破坏；能够有序地、经常地鉴别和测试安全状态；能够对可能的风险做基本评估；系统的安全被破坏后的恢复工作。应用相应法律法规来保护安全利益 二、二、电电商安全需求和策略商安全需求和策略 电电商安全策略的涵商安全策略的涵义义：安全策略必须包含对安全问题的多方面考虑因素。安全策略一般要包含以下内容：认证；访问控制：保密；数据完整性；法律法规等 审计。（2 2）电电商安全策略制定的目的、涵商安全策略制定的目的、涵义义和原和原则则二、二、电电商安全需求和策略商安全需求和策略（2 2）电电商安全策略制定的目的、涵商安全策略制定的目的

32、、涵义义和原和原则则电商安全策略的涵义：(1)预防为主；(2)必须根据网络支付结算的安全需要和目标来制定安全策略；(3)根据掌握的实际信息分析；二、二、电电商安全需求和策略商安全需求和策略金融机构公正第三方税务等政府机构安全的通信通道交易方A：机密支付信息交易方B：机密支付信息安全的网络支付系统组成示意图（2 2）电电商安全策略制定的目的、涵商安全策略制定的目的、涵义义和原和原则则网络支付安全策略的主要内容：安全策略具体内容中要定义保护的资源，要定义保护的风险，要吃透电子商务安全的法律法规，最后要建立安全策略和确定一套安全机制。二、二、电电商安全需求和策略商安全需求和策略（2 2）电电商安全策

33、略制定的目的、涵商安全策略制定的目的、涵义义和原和原则则保证网络支付安全的解决方法 a 交易方身份认证；b 网络支付数据流内容保密；c 网络支付数据流内容完整性；d 保证对网络支付行为内容的不可否认性；e 处理多方贸易业务的多边支付问题；f 网络支付系统软件、支撑网络平台的正常运行；g 政府支持相关管理机构的建立和电子商务法律的制定；二、二、电电商安全需求和策略商安全需求和策略通过通过防火墙防火墙等网络安全机制来控制恶性数据攻击和服务攻击；等网络安全机制来控制恶性数据攻击和服务攻击；通过通过身份认证身份认证机制来实现数据通信双方的真实性；机制来实现数据通信双方的真实性；通过通过加密加密机制来防

34、止数据传输被窃听；机制来防止数据传输被窃听；通过通过数字摘要数字摘要机制来防止数据在传输过程中被篡改；机制来防止数据在传输过程中被篡改；通过通过数字签名数字签名机制来实现抗否认性，从而避免交易抵赖；机制来实现抗否认性，从而避免交易抵赖；最后还要加入最后还要加入数字证书和数字证书和CACA来监控。来监控。咱们来咱们来看在支付看在支付过过程中防范安全的程中防范安全的环节环节有有哪哪些？些？二、二、电电商安全需求和策略商安全需求和策略 网络平台系统的构成Intranet 电子商务服务器银行专网Internet客户机 支付网关三、电子商务安全技术网络安全是电子商务安全的基础，一个完整的电子商务系统应建

35、立在安全的网络基础设施之上。二、二、电电商安全需求和策略商安全需求和策略Internet网络平台上安全措施主要从保护网络安全、保护应用的安全和保护系统安全三个方面来叙述。（1 1）保）保护网络护网络安全安全全面规划网络平台的安全策略制定网络安全管理措施 使用防火墙。尽量记录网络上的一切活动注意对设备的物理保护检查网络平台系统脆弱性可靠的识别和鉴别 1 1、InternetInternet网络网络平台系平台系统统的安全措施的安全措施二、二、电电商安全需求和策略商安全需求和策略2网络安全技术 所所谓谓防火防火墙墙就是指就是指综综合采用适合采用适当当技技术术在被保在被保护网络护网络周周边边建立的用于

36、建立的用于隔离被保隔离被保护网络与护网络与外部外部网络网络的系的系统统。InternetServer内部网(1)防火墙的定义二、二、电电商安全需求和策略商安全需求和策略同同时时，防火，防火墙还墙还可以提供一些附加功能，例如：可以提供一些附加功能，例如：为网络为网络管理提供管理提供安全安全参参考考、为为整整个网络个网络的安全的安全运运行提供行提供完善的完善的状态监状态监控机制控机制。(1)(1)谁谁在使用在使用网络网络(访问访问者的源者的源IP)?IP)?(2)(2)他他们们在在网网上做什上做什么么(所所访问访问的服的服务类务类型型)?)?(3)(3)他他们们什什么时间么时间使用使用过网络过网络

37、(访问时间访问时间)?)?(4)(4)他他们们在在哪个网络节哪个网络节点得到了服点得到了服务务 (所所访问访问的目的地址的目的地址)?)?(5)(5)哪哪些流入或流出地些流入或流出地数数据据请请求求没没有有发发送成功送成功 (过滤过滤以后的日志以后的日志记录记录)?)?(1)(1)防火防火墙墙的定的定义义二、二、电电商安全需求和策略商安全需求和策略 (2)(2)防火防火墙墙的的组组成成Internet网关外部过滤器内部过滤器不安全网络安全网络防火墙的基本组成框架二、二、电电商安全需求和策略商安全需求和策略(3)电子商务中防火墙与Web服务器的配置方式Internet不安全网络安全网络业务Web

38、服务器放在防火墙之内的配置图防火墙+路由器Web服务器二、二、电电商安全需求和策略商安全需求和策略(3)电子商务中防火墙与Web服务器的配置方式Internet不安全网络安全网络业务Web服务器放在防火墙之外的配置图防火墙+路由器Web服务器二、二、电电商安全需求和策略商安全需求和策略 (4)(4)防火防火墙墙的的优优缺点缺点优点:遏制来自Internet各种路线的攻击借助网络服务选择，保护网络中脆弱的易受攻击的服务监视整个网络的安全性，具有实时报警提醒功能作为部署NAT的逻辑地址a.增强内部网中资源的保密性，强化私有权二、二、电电商安全需求和策略商安全需求和策略缺点：限制了一些有用的网络服务

39、的使用，降低了网络性能。只能限制内部用户对外的访问，无法防护来自内部网络用户的攻击。不能完全防止传送感染病毒的软件或文件，特别是一些数据驱动型的攻击数据。a.被动防守，不能防备新的网络安全问题。(4)(4)防火防火墙墙的的优优缺点缺点二、二、电电商安全需求和策略商安全需求和策略3 3、密、密码码技技术术 加密技术是保证电子商务安全的重要手段，是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。加密技术是保证电子商务安全的重要手段；密钥管理技术；数字签名；电子支付协议 安全HTTP（SHTTP）协议。安全协议 安全电子邮件协议（如PEM、S/MIME等）。EDI PKI技术。三、三

40、、电电子商子商务务安全技安全技术术 (1)(1)加密技加密技术术 加密技术分为：私有密私有密钥钥加密法和公加密法和公开开密密钥钥加密法，加密法，用且只用同一个密钥对信息进行加密和解密。密钥密码体系的优点是：加密、解密速度很快(高效)，但缺点也很明显：密钥难于共享，需太多密钥。目前比较著名的密码加密算法有：DES和IDEA（2 2）私用密私用密钥钥加密法的定加密法的定义与应义与应用原理用原理 信息发送方用一个密钥对要发送的数据进行加密，信息的接收方能用同样的密钥解密，而且只能用这一密钥解密。由于双方所用加密和解密的密钥相同，所以叫作对称密钥加密法。比较著名的私有密钥加密算法有DES算法及其各种变

41、形、国际数据加密算法IDEA以及RC4,RC5等乙银行：有一笔20 000元资金转帐至贵行12345账号上 甲银行乙银行：有一笔20 000元资金转帐至贵行12345账号上 甲银行密钥A密钥A加密解密信息明文信息明文信息密文信息密文网络传输(2)私用密钥加密法的使用过程（3 3）公）公开开密密钥钥加密法的定加密法的定义与应义与应用原理用原理 原理：共用2个密钥，在数学上相关，称作密钥对。用密钥对中任何一个密钥加密，可以用另一个密钥解密，而且只能用此密钥对中的另一个密钥解密。商家采用某种算法（秘钥生成程序）生成了这2个密钥后，将其中一个保存好，叫做私人密钥(Private Key)，将另一个密钥

42、公开散发出去，叫做公开密钥(Public Key)。（3）公开密钥加密法的使用过程乙银行：有一笔20 000元资金转帐至贵行12345账号上 客户甲乙银行：有一笔20 000元资金转帐至贵行12345账号上 客户甲加密解密支付通知明文支付通知明文支付通知密文支付通知密文网络传输客户甲乙银行公钥私钥 BA实现了定点保密通知（3）公开密钥加密法的使用过程客户甲：本行已将20 000元资金从你账号转移至12345账号上 乙银行解密加密支付确认明文支付确认明文支付确认密文支付确认密文网络传输客户甲乙银行公钥私钥 BA网络银行不能否认或抵赖客户甲：本行已将20 000元资金从你账号转移至12345账号上

43、 乙银行 （1 1）数数字摘要技字摘要技术术 用某种算法对被传送的数据生成一个完整性值，将此完整性值与原始数据一起传送给接收者，接收者用此完整性值来检验消息在传送过程中有没有发生改变。这个值由原始数据通过某一加密算法产生的一个特殊的数字信息串，比原始数据短小，能代表原始数据，所以称作数数字摘要。字摘要。又又称称数数字指字指纹纹、HashHash编码编码法法（保证消息的真实性，类似于签名的真实，数字签名技术之二，主要的算法如RSA公司提出的MD5和SHA1等，是以Hash函数算法为基础）4 4、数数字字签签名的定名的定义义和和应应用原理用原理（1）数字摘要的产生示例银行乙：请将200元资金从本帐

44、号转移至12345账号上。客户甲Hash算法：数字摘要生成器Abcddabc347698jdf74.kxs支付通知支付通知的数字摘要（2 2）数数字字签签名技名技术术在传统商务的合同或支付信件中平时人们用笔签名，这个签名通常有两个作用：（1）可以证明信件是由签名者发送并认可的 （不可抵赖）（2）保证信件的真实性 （非伪造、非篡改）数数字字签签名及原理：名及原理：就是指利用数字加密技术实现在网络传送信息文件时，附加个人标记，完成传统上手书签名或印章的作用，以表示确认、负责、经手、真实等；或 数字签名就是在要发送的消息上附加一小段只有消息发送者才能产生而别人无法伪造的特殊数据（个人标记），而且这段

45、数据是原消息数据加密转换生成的，用来证明消息是由发送者发来的。数字签名（信息报文M）=发送方私人秘钥加密（Hash（信息报文M）数数字字签签名的名的应应用示例用示例客户甲银行乙发送的支付通知M收到的的支付通知M银行乙：将200元资金345北交帐号上。客户甲银行乙：将元资金北交帐号上。客户甲0F812DDF64DBABFF45ADIAA0F812DDF64DBABFF45ADIAAABFF45DBAD数字摘要D数字摘要D数字摘要D数字签名加密客户甲的私钥B网络传送客户甲的公钥SHAR1SHAR1比较（2）数字签名的作用与常见类型 数字签名可以解决下述网络支付中的安全鉴别问题：接收方伪造：接收方伪

46、造一份文件，并声称这是发送方发送的：付款单据等。发送者或接收者否认：发送者或接收者事后不承认自己曾经发送或接收过支付单据。第三方冒充：网上的第三方用户冒充发送或接收消息如信用卡密码；接收方篡改：接收方对收到的文件如支付金额进行改动。5 5、数数字字证书证书（1）数字证书的定义和应用原理数数字字证书证书：指用数字技术手段确认、鉴定、认证Internet上信息交流参与者身份或服务器身份，是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。工作原理：工作原理：接收方在网上收到发送方业务信息的同时，还收到发送方的数字证书，通过对其数字证书的验证，可以确认发送方的身份。在交换数字证书的同时，

47、双方都得到了对方的公开密钥，由于公开密钥是包含在数字证书中的，可以确信收到的公开密钥肯定是对方的。从而完成数据传送中的加解密工作。数字证书证书证书的版的版号号证书证书的序列的序列号号证书拥证书拥有者的姓名有者的姓名证书拥证书拥有者的公共密有者的公共密钥钥公共密公共密钥钥的有效期的有效期证书证书的有效期的有效期颁发证书颁发证书的的单单位位CCTTTCCTTT.509.509国际标国际标准，准，X.509 X.509数数字字证书证书包含包含（2）数字证书的内容(3)数字证书的有效性与使用数字证书必须同时满足以下三个条件，才是有效的：v 1.证书没有过期v 2.密钥没有被修改v 3.有可信任的相应的

48、颁发机构CA及时管理与回收无效证书，并且发行无效证书清单(1)认证中心CA的定义 认证中心，简称CA，即 Certification Authority，是一个公正的、有权威性的、独立的（第三方的）、广受信赖的组织，负责电子商务中数字证书的发行和管理以及认证服务。(2)认证中心CA的主要功能生成密钥对及CA证书验证申请人身份颁发数字证书证书以及持有者身份认证查询吊销证书证书管理与更新制定相关政策有能力保护数字证书服务器的安全Certificate Authority6 6、认证认证中心中心CACA7 7、什、什么么是是PKIPKI技技术术 Public Key Infrastructure(P

49、KI).Public Key Infrastructure(PKI).是硬件、软件、人员、策略和操作规程的总和，它们要完成创建、管理、保存、发放和废止证书的功能。PKI 基于公开密钥加密算法来保证网络通讯安全。PKI的核心是数字证书，其核心执行者是认证机构。（1 1）PKIPKI的的组组成成 一个典型的PKI系统中包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。PKI应用证书机构CA注册机构RA证书发布系统PKI策略软硬件系统8 8、电电子商子商务务安全体系安全体系结构结构 电子商务的安全体系应包括：安全可靠的通信网络，保证数据传输的可靠完整，防止病毒、黑客

50、入侵；电子签名和其他身份认证系统：完备的数据加密系统等。（1 1）支持服）支持服务层务层（2 2）传输层传输层（3 3）交）交换层换层（4 4）商）商务层务层 9 9、电电子商子商务务安全法律要素安全法律要素有有关电关电子合同的法律子合同的法律有有关关CACA中心的法律中心的法律有有关关保保护个护个人人隐隐私私个个人秘密的法律人秘密的法律有有关关消消费费者者权权益保益保护护法法网络网络知知识产权识产权保保护护的法律的法律四、安全电子支付计计算机病毒算机病毒 黑客攻黑客攻击击 系系统统漏洞漏洞 （1 1）电电子支付的安全子支付的安全问题问题 电子支付面临的安全问题技技术术原因原因 安全意安全意识