1、1.1 电子商务发展概况电子商务发展概况1.2 电子商务安全概述电子商务安全概述1.2.1 电子商务面临的安全威胁1.2.2 电子商务的安全要素1.2.3 电子商务的安全体系结构1.3 电子商务基本流程电子商务基本流程1.3.1 参与电子商务活动的主要角色和主要工具1.3.2 网络商品直销的流转程式1.3.3 企业间网络交易的流转程式1.3.4 网络商品中介交易的流转程式1.4 电子商务中的电子支付电子商务中的电子支付1.4.1 传统交易与支付1.4.2 电子支付工具1.4.3 电子支付存在的问题1.2.2 电子商务的安全要素电子商务的安全要素 电子商务随时面临的威胁导致了电子商务的安全需求。
2、一个安全的电子商务系统要求做到真实性真实性、保密性保密性、有效性有效性、完整性完整性和不可抵赖性不可抵赖性等。1)真实性(身份可认证性)真实性(身份可认证性)在进行电子商务交易时首先要保证身份的可认证性。这就意味着,在双方进行交易前,首先必须明确对方的身份,交易双方的身份不能被假冒或伪装。案例:假网站冒充案例:假网站冒充 真实案例1:假冒网银,更易得手!真实案例2:卖家也被骗,真冤呢!2)保密性)保密性 电子商务另一个重要的安全需求就是信息的保密性。这需要对敏感信息进行加密,使得别人即使截获或窃取了数据,也无法识别信息的真实内容。3)有效性)有效性 有效性是指贸易数据在确定的时刻、确定的地点是
3、有效的。上面所讨论的信息保密性,是针对网络面临的被动攻击一类威胁而提出的安全需求,但它不能避免针对网络所采用的主动攻击一类的威胁。主动攻击 被动攻击 4)完整性)完整性完整性完整性指网络信息未经授权不能进行改变,保持原样。保证信息的完整性也是电子商务活动中的一个重要的安全需求。完整性意味着交易各方收到的信息没有出现部分丢失或乱码,即信息在数据发送、传输和接收过程中始终保持原有的状态。不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性。5)不可否认性(不可抵赖性)不可否认性(不可抵赖性)在电子交易过程的各个环节中都必须保存完整的记录并且不可更改。交易一旦达成,合同一旦签署,发送
4、方不能否认他发送的信息,接收方也不能否认他所收到的信息。1.2.3 电子商务的安全体系结构电子商务的安全体系结构 一谈到网络交易安全,人们首先想到的是技术保障措施,但从近年的网络犯罪案例来看,单纯通过技术来保障网络交易的安全事实上是不可靠的,操作系统本身往往就是威胁交易安全的最大隐患。我们的安全技术在网络攻击面前显得非常脆弱。有识之士指出,在保证网络安全方面,最大的问在保证网络安全方面,最大的问题不是技术而是我们的题不是技术而是我们的“安全思维安全思维”。著名的信息安全专家 Bruce Schneier 认为:“传统安全范传统安全范式对系统的复杂性认识不足,而安全最麻烦的敌式对系统的复杂性认识
5、不足,而安全最麻烦的敌人是人是复杂性复杂性,安全问题实际上是人的问题。,安全问题实际上是人的问题。”1.2.3.1电子商务交易安全保障体系是一个电子商务交易安全保障体系是一个复合型系统复合型系统 电子商务是活动在Internet 平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象不是一般的系统,而是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统(complex giant system)。它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。网络交易安全需要一个完整的综合保障体系,采用综合防范的思路,从技术、管理、法律等方面去认识,去思考
6、,根据我国的实际和国外的经验,提出行之有效的综合解决的办法和措施。1.2.3.2 人网结合人网结合是电子商务安全保障的本质特征是电子商务安全保障的本质特征 人是网络的建设者和使用者、网上内容的提供者和消费者。电子商务交易安全是一个过程,而不是一个产品.从实践情况看,人为因素造成的网络安全问题尤其值得重视。人们往往忽视人在保证信息安全中的重要性。大力加强电子商务安全教育。大力加强电子商务安全教育。1.2.3.3 电子商务交易安全是一个电子商务交易安全是一个动态过程动态过程 与静态的安全概念不同,电子商务交易安全是一个需要不断分析、不断改进、不断完善的动态的过程,是一个不断实施“保护反馈修正再保护
7、”的过程。今天的安全并不意味着明天也安全。今天的安全并不意味着明天也安全。1.3电子商务基本流程电子商务基本流程1.3.1参加电子商务活动的主要角色和主参加电子商务活动的主要角色和主要工具要工具 参加电子商务活动的主要角色主要角色包括了该活动过程中涉及到的各个方面的人和机构。主要有:顾客(购物者、消费者)销售商店(或电子商业销售商)商业银行(参与电子商务的银行,顾客和销售商都在银行中有账号或开设账户)信用卡公司(顾客使用卡的服务公司)认证中心 电子商务活动中的主要工具主要工具有:终端(包括顾客使用的计算机数据交换设备和数据通信设备)电子钱包(用保密口令保密)信用卡(采用保密算法加密)货物 电子
8、订货账单(上面有销售商店对顾客的编号)电子收据(销售商店利用计算机和网络为已经购完货物的顾客发送的电子收据)1.3.2网络商品直销的流转程式网络商品直销的流转程式 网络商品直销网络商品直销,是指消费者和生产者或者需求方和供应方,直接利用网络形式所开展的买卖活动,B2C电子商务基本属于网络商品直销的范畴。这种交易的最大特点是供需直接见面,环节少,速度快,费用低。其流转程式可以用图 1-6加以说明。图 1-6网络商品直销的流转程式图 1-7认证中心存在下的网络商品直销流转程式1.3.3企业间网络交易的流转程式企业间网络交易的流转程式 企业间网络交易是B2B电子商务的一种基本形式。交易从寻找和发现客
9、户出发,企业利用自己的网站或网络服务商的信息发布平台发布买卖、合作、招投标等商业信息。借助Internet超越时空的特性,企业可以方便地了解到世界各地其他企业的购买信息,同时也有随时被其他企业发现的可能。图 1-8企业间网络交易的流转程式1.3.4网络商品中介交易的流转程式网络商品中介交易的流转程式 网络商品中介交易是通过网络商品交易中心,即通过虚拟网络市场进行的商品交易。这是B2B电子商务的另一种形式。在这种交易过程中,网络商品交易中心以Internet为基础,利用先进的通讯技术和计算机软件技术,将商品供应商、采购商和银行紧密地联系起来,为客户提供市场信息、商品交易、仓储配送、货款结算等全方
10、位的服务。其流转程式如图1-9所示。图 1-9网络商品中介交易的流转程式 通过网络商品中介进行交易具有许多突出的优点优点:网络商品中介为企业提供了无形的巨大市场;网络交易中心提供的认证服务和交易流程可以减少买卖双方的交易风险;网络交易中心的统一结算模式,可以提高资金的风险防范能力,避免资金的截留、占用及挪用。1.1 电子商务发展概况电子商务发展概况1.2 电子商务安全概述电子商务安全概述1.2.1 电子商务面临的安全威胁1.2.2 电子商务的安全要素1.2.3 电子商务的安全体系结构1.3 电子商务基本流程电子商务基本流程1.3.1 参与电子商务活动的主要角色和主要工具1.3.2 网络商品直销
11、的流转程式1.3.3 企业间网络交易的流转程式1.3.4 网络商品中介交易的流转程式1.4 电子商务中的电子支付电子商务中的电子支付1.4.1 传统交易与支付1.4.2 电子支付工具1.4.3 电子支付存在的问题支付支付就是交易一方得到另一方的货物与服务后所给予的补偿,以保证交易双方的平衡。补偿的方式随着交易方式的变化而变化。1.4 电子商务中的电子支付电子商务中的电子支付1.4.1 传统交易与支付传统交易与支付支付方式按使用的技术不同可分为:传统支付方式 电子支付方式支付方式按流通形态的不同可分为:开放式支付方式 封闭式支付方式传统支付传统支付指的是通过现金流转、票据转让以及银行转帐等物理实
12、体的流转来实现款项支付的方式。其主要形式有现金和票据。以现金货币为工具,直接了结双方的债权/务关系。特点:特点:支付过程简单、直接匿名、保密具有最终法律的特征,即法律上规定的最终支付手段。易磨损、丢失、盗窃、伪造受时间、空间的限制不适用于大额交易成本最高的支付方式通过银行提供的票据支付工具和服务,实现买卖双方债权/务关系的清偿。包括支票、汇票、本票三大银行票据(狭义票据)。特点:特点:以票据的转移及兑付,实现结算。代替大量现金转移,传输方便,风险小;不再匿名;支持异地异时的交易;票据的汇兑功能,支持大宗交易;票据存在真伪、遗失问题;1.4.2 电子支付工具电子支付工具 所谓电子支付电子支付,是
13、指进行电子商务交易的当事人,包括消费者、厂商和金融机构,使用安全电子支付手段通过网络进行的货币支付或资金流转。货币形式在货币发展史上经历了三次大的变更与飞跃。(支付工具演变历史)(支付工具演变历史)目前的电子货币基本上是发行人自行设计、开发的产品,种类较多,并且新的产品还在不断出现。在这种情况下,国家金融机构和各国货币当局尚无法在法律上对电子货币做出严格的界定。不过,国家金融机构和一些国家的货币当局还是对什么是电子货币提出了一些看法。有代表性的几个定义:1、欧洲中央银行1998年8月发布的名为电子货币的报告正式使用了“电子货币”(electronic money)这一概念:以电子方式存储在技术
14、设备中的货币价值,是一种预支付价值的无记名支付工具,被广泛用于向除电子货币发行人以外的其他人的支付,但在交易中不一定涉及银行帐户。2、国际清算银行巴塞尔银行监管委员会的定义:在零售支付机制中,通过销售终端、不同的电子设备之间以及在公开网络上执行支付的储值和预付支付机制。有代表性的几个定义:3、其它国家的定义 目前还没有任何一个国家的法律做出过一个比较完整的定义,并且,几乎每个国家和国家组织对电子货币进行定义或描述的同时都会指出,电子货币没有一个比较明确的定义。综上所述,可为电子货币作如下定义:以金融电子化网络为基础,以商用电子化机具和各类以金融电子化网络为基础,以商用电子化机具和各类交易卡为媒
15、介,以电子计算机技术和通信技术为手段,以交易卡为媒介,以电子计算机技术和通信技术为手段,以电子数据形式存储在银行的计算机系统中,并通过计算机电子数据形式存储在银行的计算机系统中,并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币。网络系统以电子信息传递形式实现流通和支付功能的货币。(由于其功能接近于货币的功能,因而自问世以来即被称(由于其功能接近于货币的功能,因而自问世以来即被称为电子货币)。为电子货币)。q与传统的支付方式相比较,电子支付具与传统的支付方式相比较,电子支付具有如下特征有如下特征数字化(电子支付工具、过程的虚拟化,支付信息传输网络化)系统开放化对计算机软/硬件要求高
16、方便、快捷、高效、经济1.4.3 电子支付存在的问题电子支付存在的问题 中国的电子支付系统还处于发展的初期,存在较多的问题,这些问题集中体现在以下几个方面:银行支付系统互联互通有待时日 更有效安全机制的探讨 支付机制的标准化有待提高 社会诚信体系尚未建立练习-2:1.电子商务的安全要素指哪5方面,什么含义?2.货币发展史的三次革命是什么?3.什么是电子货币?4.目前常见的电子货币有哪几些类型?5.与传统支付方式相比较,电子商务中的支付有什么特点?6.你是否使用过某种电子支付?你选择或者不选择电子支付的原因是什么?第第2 2章章 电子商务安全的技术保障电子商务安全的技术保障 加密技术加密技术电子
17、现金(课本P145 6.2.2 电子现金电子现金)所谓电子现金(电子现金(E-cash),),是一种以电子数据形式流通的,能被客户和商家普遍接受的,通过互联网购买商品或服务时可以使用的货币。电子现金以数字信息形式存在,存储于电子现金发行者的服务器和用户计算机终端上,通过因特网流通。角度不同,使用各方对电子现金有不同的要求:客户客户非法使用?伪造?金融机构金融机构电子现金电子现金方便吗?匿名吗?商家商家可靠吗?理想的电子现金:具有金钱价值 匿名性 可传递性 可分性 安全存储不可重复使用 独立性如何使用电子现金电子现金 应用电子现金进行网络支付,需要在客户端安装专门的电子现金客户端软件,在商家服务
18、器安装电子现金服务器端软件,发行者需要安装对应的电子现金管理软件等。为了保证电子现金的安全性及可兑换性,发行银行还应该从认证中心申请数字证书以证实自己的身份,并利用非对称加密进行数字签名,具体流程如图6-4所示。图图 电子现金支付流程电子现金支付流程 客户商家客户开户行商家开户行电子货币发行机构电子货币发行机构(1)申请用现金兑换电子现金(2)转送现金(3)发放电子现金(4)使用电子现金(5)兑换现金(6)付款至商家帐户图图 电子现金系统的基本流通模式电子现金系统的基本流通模式 E-Cash银行客户(1)提取协议(2)支付协议(3)存款协议商家安全问题:安全问题:1、网络安全问题;2、电子现金
19、的安全管理问题;3、重复消费问题;4、确认电子现金的真实性;5、风险较大;6、税收与洗钱。电子现金技术是密码技术和计算机互连网络技术相结合的产物!安全对策:电子现金的安全性和可靠性等问题要从立法和技电子现金的安全性和可靠性等问题要从立法和技术两方面进行逐步完善。术两方面进行逐步完善。加强网络交易安全性的保证 管理要在法律方面进行调整 采用数字签名 分割选择技术 零知识证明 认证 盲数字签名 条件匿名性 防止重复消费 灾难复原还是先来学点还是先来学点技术吧!技术吧!2.1 加密技术加密技术(课本(课本P37-P41P37-P41)2.1.1 加密技术概述加密技术概述2.1.2 基本加密方法基本加密方法2.1.3 对称密码体制对称密码体制2.1.4 公钥密码体制公钥密码体制古典加密技术古典加密技术现代加密技术现代加密技术我常梦中游蓬莱,喜看青鸟比翼飞;欢风浮云脚下过,你踏七彩笑迎来。兰花赞致悠然兰兰兰花赞致悠然兰兰文/风平浪静悠悠田园风然而心难平兰花轻涌浪兰香愈幽静 公元前440年,古希腊隐写术 公元前400年,斯巴达人Scytale加密工具 我国古代:女书、藏头诗、藏尾诗、漏格诗及绘画(见奥运圣火)再见Do you have made a progress today?
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。