《电子商务安全第10章电子教案.ppt》由会员分享,可在线阅读,更多相关《电子商务安全第10章电子教案.ppt(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、电子商务安全第10章第第10章章 电子商务安全应用电子商务安全应用10.1 在线电子银行系统的体系结构和安全需求在线电子银行系统的体系结构和安全需求10.1.1在线电子银行系统的体系结构在线电子银行系统的体系结构图10.1 基于Internet的电子银行系统构架 图10.2 基无线应用协议的在线电子银行系统基本构架10.1.2 在线电子银行系统的安全需求在线电子银行系统的安全需求 机密性 实体鉴别数据鉴别 不可抵赖性10.1.2 在线电子银行系统的安全需求在线电子银行系统的安全需求 机密性 实体鉴别数据鉴别 不可抵赖性10.2 在线电子银行系统的通信安全和客户认证在线电子银行系统的通信安全和客
2、户认证10.2.1 在线电子银行系统的通信安全在线电子银行系统的通信安全 SSL/TLS/WTLS协议协议:SSL/TLS/WTLS协议在客户和银行之间提供一条安全通道。这意味着在客户和银行两端间可以秘密地传输数据(数据的机密性)并且可以检测出数据是否被篡改(数据完整性)。SSL/TLS/WTLS协议的优点之一是能够它们可以在不同的通信协议中使用,而不严格要求是http协议。但它们还不能实现不可抵赖性,所以电子银行系统应该在安全通道之上实现不可抵赖的安全机制。10.2.1 在线电子银行系统的通信安全在线电子银行系统的通信安全 建立连接时,握手的目的:建立连接时,握手的目的:第一,客户和银行对所
3、采用的加密算法达成一致;第二,生成密钥;双方相互鉴别。10.2.1 在线电子银行系统的通信安全在线电子银行系统的通信安全 建立连接时,握手的目的:建立连接时,握手的目的:第一,客户和银行对所采用的加密算法达成一致;第二,生成密钥;双方相互鉴别。10.2.2 在线电子银行系统的客户认证在线电子银行系统的客户认证常见的实现实体鉴别与事务鉴别的方法:常见的实现实体鉴别与事务鉴别的方法:(1)固定口令固定口令(2)动态口令)动态口令(3)询问)询问/应答应答(4)SSL/TLS/WTLS协议协议(5)数字签名)数字签名(6)硬件标识硬件标识10.2.2 在线电子银行系统的客户认证在线电子银行系统的客户
4、认证常见的实现实体鉴别与事务鉴别的方法:常见的实现实体鉴别与事务鉴别的方法:(1)固定口令固定口令(2)动态口令)动态口令(3)询问)询问/应答应答(4)SSL/TLS/WTLS协议协议(5)数字签名)数字签名(6)硬件标识硬件标识10.3 在线电子银行系统的其他安全问题在线电子银行系统的其他安全问题10.3 在线电子银行系统的其他安全问题在线电子银行系统的其他安全问题(1)登录注册)登录注册(2)授权)授权(3)支付网关的安全措施)支付网关的安全措施(4)(5)安全平台)安全平台(6)人为因素人为因素(7)日志和监控)日志和监控10.4 在线网络证券交易系统的安全在线网络证券交易系统的安全网
5、网络证络证券交易系券交易系统统的的优优点点 系统中所有的交易与服务通过Web页面或者有线电话、无线电话呼叫中心自动进行,跨越了时间与空间的界限。系统按照每个用户的具体需求提供个性化服务,服务方式既可以是主动服务又可以是被动服务。所有交易的事务性工作均由计算机系统自动完成,大大提高了处理效率、降低了运营成本。网网络证络证券交易系券交易系统统的的安全安全隐隐患患对于在线网络证券交易系统而言,它仍然存在着与在线电子银行系统类似的安全问题,比如,它可能遭受黑客的入侵攻击、拒绝服务,在因特网上传输的数据被非法窃取、篡改、假冒或者重传,等等。这些安全问题一方面有可能导致交易中断甚至导致委托交易服务器瘫痪,
6、另一方面也会导致股民缺乏对在线网络证券交易系统的信任。实际应用中应当高度重视在线网络证券交易系统的安全问题。客户与证券交易系统服务器进行保密通信客户与证券交易系统服务器进行保密通信过程过程客户端交易软件生成随机会话密钥,并利用证券公司的证书加密此会话密钥使用股民的私钥对加密结果进行数字签名将签名数据经过因特网发送到证券交易系统服务器服务器收到签名数据后,由服务器端交易软件使用股民的证书验证交易股民的身份。通过身份验证,证券交易系统服务器利用私钥解密还原出会话密钥,并利用此会话密钥进行双方的保密通信、完成相应的操作并提供需要的服务;否则,拒绝进行保密通信并断开与连接。1、客户认证和事务鉴别在在线安全电子银行系统中分别起到什么作用?2、试述在线电子银行系统采用SSL/TLS/WTLS协议的优缺点。3、试比较实现在线电子银行系统客户认证的几种常用方法的优缺点。4、为了解决不可抵赖性问题,实现在线电子银行系统时最好采用何种加密机制?5、在线电子银行系统的安全性和成本开销是一对矛盾,假设您正在设计、实现在线电子银行系统的安全机制,请您谈谈您如何折中考虑这个问题?6、谈谈你对手机银行安全问题的了解和认识。习题习题10