第十一章 网络交易安全管理.pptx

第十一章 网络交易安全管理;Page ? 2;Page ? 3;Page ? 4;11.1.1 网络交易风险的现状;Page ? 6;1. 在线交易主体的市场准入问题 在现行法律体制下，任何长期固定从事营利性事业的主体都必须进行工商登记。在电子商务环境下，虚拟主体的存在使电子商务交易安全受到严重威胁。电子商务交易安全首先要解决的问题就是确保网上交易主体的真实存在，且确定哪些主体可以进入虚拟市场从事在线业务。 2010年7月1日实施的《网络商品交易及有关服务行为管理暂行办法》 明确要求：通过网络从事商品交易及有关服务行为的自然人应当向提供网络交易平台服务的经营者提出申请，提交其姓名和地址等真实身份信息，并将核发证明个人身份信息真实合法的标记加载在其从事商品交易或者服务活动的网页上。;Page ? 8;Page ? 9;Page ? 10;8．产品交付问题 在线交易的标的物分两种，一种为有形货物，另一种是无形的信息产品。应当说，有形货物的交付仍然可以沿用传统合同法的基本原理，当然，对于物流配送中引起的一些特殊问题也要作一些探讨。而信息产品的交付则具有不同于有形货物交付的特征，对于其权利的移转、退货、交付的完成等需要有相应的安全保障措施。 ;11.1.3 网络交易安全管理的基本思路;Page ? 13;1. 身份认证的目标;Page ? 15;3. 身份认证的单因素认证 用户身份认证的最简单方法就是口令。系统事先保存每个用户的二元组信息，进入系统时用户输入二元组信息，系统将保存的用户信息和用户输入的信息相比较，从而判断用户身份的合法性。 4. 基于智能卡的用户身份认证 基于智能卡的用户身份认证机制属于双因素认证，它结合了基本认证方式中的第一种和第二种方法。用户的二元组信息预先存于智能卡中，然后在认证服务器中存入事先由用户选择的某个随机数。用户访问系统资源时，用户输入二元组信息。系统首先判断智能卡的合法性，然后由智能卡鉴别用户身份。;5. 一次口令机制 ;11.2.2 信息认证技术;11.2.2 信息认证技术;对称加密算法在电子商务交易过程中存在三个问题： ;3. 基于公开密钥体制的信息认证 1976年，美国学者Diffie和Hellman 为解决信息公开传送和密钥管理问题，提出了一种密钥交换协议，允许通信双方在不安全的媒体上交换信息，安全地达成一致的密钥，这就是“公开密钥体系”。 与对称加密算法不同，公开密钥加密体系采用的是非对称加密算法。使用公开密钥算法需要两个密钥——公开密钥(Public Key，公钥)和私有密钥。如果用公开密钥对数据进行加密，则只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，则只有用对应的公开密钥才能解密。 ;11.2.2 信息认证技术;11.2.2 信息认证技术;数字签字与验证的过程： ;11.2.2 信息认证技术;1. 数字证书 电子签名认证证书是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。 电子签名认证证书有多种形式，如数字、指纹、视网膜、DNA等。其中，最常用的认证证书是数字证书，因为它使用方便、便于记忆，价格又最便宜。 数字证书作为网上交易双方真实身份证明的依据，是一个经使用者进行数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是电子商务安全体系的核心，用途是利用公共密钥加密系统来保护与验证公众的密钥，由可信任的、公正的电子认证服务机构颁发。 ;Page ? 27;Page ? 28;11.2.3 通过电子认证服务机构认证;3. 电子商务的CA认证体系 (1) ?SET CA ;11.2.3 通过电子认证服务机构认证;11.2.3 通过电子认证服务机构认证;11.2.3 通过电子认证服务机构认证;5. 带有数字签字和数字证书的加密系统 ;6. 认证机构在电子商务中的地位和作用 在电子商务交易的撮合过程中，认证机构是提供交易双方验证的第三方机构，由一个或多个用户信任的、具有权威性质的组织实体管理。它不仅要对进行电子商务交易的买卖双方负责，还要对整个电子商务的交易秩序负责。 电子商务认证机构对登记者履行下列监督管理职责： (1) 监督登记者按照规定办理登记、变更、注销手续 (2) 监督登记者按照电子商务的有关法律法规合法从事经营活动 (3) 制止和查处登记人的违法交易活动，保护交易人的合法权益 ;11.2.4 我国电子商务认证机构的建设;2. 我国电子认证服务机构建设中存在的主要问题;3. 加强我国电子认证服务机构建设的基本思路 ;4. 国家级电子认证服务体系建设的构想 ;11.2.4 我国电子商务认证机构的建设;国家电子商务认证中心主要承担根认证工作，包括： ;