ch6应用安全电子商务安全

应用安全电子科技大学信息与软件工程学院第十讲电子商务安全王佳昊副教授wangjh@uestc.edu.cn电子科技大学信软学院第十讲计算机应用安全网络安全案例主要内容概述典型安全问题相关法律法规标准相关安全技术安全保障案例电子科技大学信软学院第十讲计算机应用安全网络安全案例概述基本概念、范畴、发展电子科技大学信软学院第十讲计算机应用安全网络安全案例基本概念电子商务B2B,B2C,C2C,O2O电子商务安全电子支付网上银行CA,SET电子科技大学信软学院第十讲计算机应用安全网络安全案例电子商务购物流程生成订单用户注册选购商品加入购物车支付收货电子科技大学信软学院第十讲计算机应用安全网络安全案例电子商务销售流程客户订单库存查询生成销售单生成采购单确认出库入库发货确认结算无货有货订单确认电子科技大学信软学院第十讲计算机应用安全网络安全案例电子商务安全范畴•商务交易系统的安全•支付的安全•交易网络的安全•信用安全保护对象•业务本质对象•订单信息、支付信息、信用信息信息环境电子科技大学信软学院第十讲计算机应用安全网络安全案例发展历程萌芽与起步期冰冻与调整期复苏与回暖期崛起与高速发展期转型与升级期融合发展期上世纪末期2000至2002年2003年2004-2007年2008-2009年2010年-目前未来电子商务安全将主要聚焦到以下两点：即移动商务的安全以及隐私保护。电子科技大学信软学院第十讲计算机应用安全网络安全案例典型安全问题电子科技大学信软学院第十讲计算机应用安全网络安全案例典型数据安全问题•内部人员破坏数据•外部攻击破坏数据•机密性丧失•隐私被嗅探、泄露数据安全电子科技大学信软学院第十讲计算机应用安全网络安全案例相关案例——用户信息泄露按照小米的说法，确有部分2012年8月前注册的论坛账号信息被非法获取，因为在这个时间点之前小米论坛的账号体系都使用了第三方开源程序。电子科技大学信软学院第十讲计算机应用安全网络安全案例典型的载体安全问题•商业机密被嗅探窃取•商业信息被泄露•商业资产被侵犯•用户权利被侵犯载体安全电子科技大学信软学院第十讲计算机应用安全网络安全案例相关案例——百度侵权门事件2011年3月15日，贾平凹、韩寒等50位作家公开发布《中国作家声讨百度书》，指责百度文库“偷走了我们的作品，偷走了我们的权利，偷走了我们的财物，把百度文库变成了一个贼赃市场”。两天后，中国音像协会唱片工作委员会加入“战团”，公开声援文学界维权的呼吁和行动。电子科技大学信软学院第十讲计算机应用安全网络安全案例典型环境安全问题•商务信息被篡改•商业运作过程被破坏•用户被虚假商业信息欺骗•钓鱼攻击•卖方买方双方因的信用问题受到损害•买卖双方的利益由于的抵赖行为而被损害环境安全电子科技大学信软学院第十讲计算机应用安全网络安全案例相关案例——网店刷信誉最近商务部对电商加紧整顿，公布的《商品流通法（草案征求意见稿）》显示，网购刷信誉、虚构信用评价等手段将违法。一步步让淘宝刷信誉晒在网友们面前，也许这次将给店铺沉重的打击。电子科技大学信软学院第十讲计算机应用安全网络安全案例典型边界安全问题•电子商务网站被攻击•支付系统设备被攻击边界安全电子科技大学信软学院第十讲计算机应用安全网络安全案例相关案例——e-Bay受到黑客攻击一个黑客团体于2010年12月对eBay发起拒绝服务攻击，旨在报复该在线支付公司停掉了向该组织进行捐款的通道。电子科技大学信软学院第十讲计算机应用安全网络安全案例相关法律法规标准电子科技大学信软学院第十讲计算机应用安全网络安全案例相关法律法规•联合国国际贸易法委员会（UNCITRAL）有关电子商务的立法•国际经济合作与发展组织（OECD）有关电子商务的立法•世界贸易组织（WTO）有关电子商务的立法•世界知识产权组织（WIPO）有关电子商务的立法•欧盟有关电子商务的立法•美国的电子商务安全立法•新加坡的电子商务立法国际上有关法律法规电子科技大学信软学院第十讲计算机应用安全网络安全案例相关法律法规•《关于加快电子商务发展的若干意见》•《2006-2020年国家信息化发展战略》•《电子商务发展“十一五”规划》•《中华人民共和国电子签名法》•《电子商务支付指引（第一号）》•《商务部关于促进电子商务规范发展的意见》•《网络购物服务规范》•《电子商务信用认证规则》•《网络交易平台服务规范》•《关于规范网络购物促销行为的通知》•《网络商品交易及服务监管条例》国内电子商务安全相关政策与法规电子科技大学信软学院第十讲计算机应用安全网络安全案例相关标准•ISO27001•BSISO/IEC29100-2011信息技术.安全技术.隐私框架•支付卡行业数据安全标准（PCIDSS）•其它相关标准电子科技大学信软学院第十讲计算机应用安全网络安全案例相关安全技术电子科技大学信软学院第十讲计算机应用安全网络安全案例电子数据交换EDI网络发送方企业接受方企业业务系统业务系统单证数据单证数据EDI系统EDI系统电子数据交换技术EDI是一种在公司之间传输订单、发票等作业文件的电子化手段。电子科技大学信软学院第十讲计算机应用安全网络安全案例EDI安全技术•典型的EDI系统包括用户接口、内部接口、报文处理、格式转换、通信管理等功能模块。EDI的构成•终端用户以及所有EDI参与方之间的相互验证；•数据完整性保护；•EDI参与方之间的电子签名；•EDI操作活动的抗抵赖处理；•密钥管理；•语义数据管理。安全性保障电子科技大学信软学院第十讲计算机应用安全网络安全案例安全电子交易协议SET持卡人Internet商家Internet支付网关证书权威机构发卡者支付网络支付者电子科技大学信软学院第十讲计算机应用安全网络安全案例SET协议•采用了对称密钥和非对称密钥体制–把对称密钥的快速、低成本和非对称密钥的有效性结合在一起，以保护在开放网络上传输的个人信息，保证交易信息的隐蔽性。•确保商家和消费者的身份和行为的认证和不可抵赖性–其理论基础是著名的非否认协议(Non-repudiation)，•核心技术包括–X.509电子证书标准与数字签名技术(DigitalSignature)、报文摘要、数字信封、双重签名等技术。电子科技大学信软学院第十讲计算机应用安全网络安全案例SET协议相关技术•消息摘要技术•数字签名技术•数字信封技术•双重签名电子科技大学信软学院第十讲计算机应用安全网络安全案例数字信封技术SET消息加密加密SET消息密文数字信封数字信封的生成过程接收者的公钥对称密钥K加密后的对称密钥K电子科技大学信软学院第十讲计算机应用安全网络安全案例数字信封技术SET消息解密解密SET消息密文数字信封数字信封的“拆封”过程接收者的公钥对称密钥K加密后的对称密钥K电子科技大学信软学院第十讲计算机应用安全网络安全案例双重签名H(OI))]||)(([PIHHEDScKR电子科技大学信软学院第十讲计算机应用安全网络安全案例商家双重签名的验证过程摘要算法OIMD支付摘要PIMD连接摘要算法OP’双重签名持卡人的公钥解密比较消息正确有效消息被篡改不同相同电子科技大学信软学院第十讲计算机应用安全网络安全案例银行双重签名验证过程摘要算法PIMD订单摘要PIMD连接摘要算法OP’双重签名持卡人的公钥解密比较消息正确有效消息被篡改不同相同电子科技大学信软学院第十讲计算机应用安全网络安全案例SET协议流程（1）初始请求（2）初始应答（3）购买请求（8）购买应答（4）支付授权请求(7)支付授权应答（5）支付授权请求（6）支付授权应答电子科技大学信软学院第十讲计算机应用安全网络安全案例购买请求持卡人发送购买请求支付网关的公钥交换密钥电子科技大学信软学院第十讲计算机应用安全网络安全案例购买请求商家验证客户的购买请求电子科技大学信软学院第十讲计算机应用安全网络安全案例支付网关核对付款指示的过程加密后的付款支付PI等支付网关数字信封持卡人的数字证书解密解密支付网关私钥加密会话密钥摘要算法持卡人公钥解密++++连接摘要算法比较电子科技大学信软学院第十讲计算机应用安全网络安全案例其他安全技术混合加密技术数字时间戳技术多重身份认证技术SSL协议电子科技大学信软学院第十讲计算机应用安全网络安全案例安全保障案例第三方支付平台解决方案电子科技大学信软学院第十讲计算机应用安全网络安全案例案例背景•第三方电子支付平台是属于第三方的服务中介机构，完成第三方担保支付的功能。应用背景•第三方是买卖双方在缺乏信用保障或法律支持的情况下的资金支付“中间平台”。应用需求电子科技大学信软学院第十讲计算机应用安全网络安全案例方案描述——业务流程电子科技大学信软学院第十讲计算机应用安全网络安全案例方案描述—系统架构电子科技大学信软学院第十讲计算机应用安全网络安全案例方案描述—安全功能设计电子科技大学信软学院第十讲计算机应用安全网络安全案例安全分析和建议•消费者安全接入支付平台•商户安全接入支付平台•与银行的直联交易安全考虑电子科技大学信软学院第十讲计算机应用安全网络安全案例安全分析和建议平台安全体系结构图电子科技大学信软学院第十讲计算机应用安全网络安全案例小结概述典型安全问题相关法律法规标准相关安全技术案例分析电子科技大学信软学院第十讲计算机应用安全网络安全案例电子科技大学信软学院第十讲计算机应用安全网络安全案例谢谢！