电子商务理论与实务 课件 第六章 电子商务安全与法律

第六章电子商务安全与法律2本章内容电子商务安全1电子商务法律23第一节电子商务安全(一)电子商务的安全需求1.有效性2.机密性3.完整性4.可靠性和可用性5.不可抵赖性一、电子商务安全概述4第一节电子商务安全计算机病毒的攻击。计算机病毒是带有一段恶意指令的程序,会隐藏在系统中不断感染内存或硬盘上的程序,只要满足病毒设计者预定的条件,病毒就会发作。黑客的恶意攻击。黑客程序实际上也是人们编写的程序,它能够控制和操纵远程计算机。(二)电子商务系统面临的威胁5第一节电子商务安全(三)电子商务安全控制体系图6—1电子商务安全控制体系结构6第一节电子商务安全防火墙是在内联网与外联网之间实施安全防范的系统,可被认为是一种访问控制机制,用于确定哪些内部服务允许外部访问,以及哪些外部服务允许内部访问。实现防火墙技术的主要途径有:数据包过滤、应用网关和代理服务。二、防火墙技术图6—2防火墙7第一节电子商务安全

包过滤技术是在网络层中对数据包实施有选择的通过,依据系统内事先设定的过滤逻辑,检查数据流中每个数据包,根据数据包的源地址、目的地址、所用的TCP/UDP端口与TCP链路状态等因素来确定是否允许数据包通过。(一)包过滤技术8第一节电子商务安全应用网关技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议(即数据过滤协议),能够对数据包进行分析并形成相关的报告。应用网关对某些易于登录和控制所有输入输出的通信环境给予严格的控制,以防有价值的程序和数据被窃取。(二)应用网关技术9第一节电子商务安全

代理服务技术作用于应用系统层,用来提供对应用系统层服务的控制。这种代理服务技术准许网络管理员允诺或拒绝特定的应用程序或某个应用程序的特定功能。(三)代理服务技术10第一节电子商务安全

加密技术是实现信息保密性的一种重要手段,目的是防止合法接收者之外的人获取信息系统中的机密信息。加密算法有两种基本形式:私钥加密算法和公钥加密算法。三、加密技术11第一节电子商务安全三、加密技术12第一节电子商务安全

(一)私钥密码体制1.私钥密码体制简介所谓私钥密码体制,指的是在加解密的过程中,加密密钥和解密密钥相同,或可以从其中一个推出另一个,也就是在整个加解密过程中只有一个密钥出现,也称对称密码体制。对称密码体制的算法简单,系统开销小,效率高,速度比公钥加密技术快得多,适合加密大量的数据,在实际加密应用中广泛使用。三、加密技术13第一节电子商务安全2.DES对于对称加密,其常见加密标准为DES。DES算法原是IBM为保护产品的机密于1971—1972年成功研制的,后被美国国家标准局和国家安全局选为数据加密标准,并于1977年颁布使用。国际标准化组织也已将DES作为数据加密标准。DES对64位二进制数据加密,产生64位密文数据。使用的密钥为64位,实际密钥长度为56位(有8位用于奇偶校验)。解密时的过程和加密时相似,但密钥的顺序正好相反。三、加密技术14第一节电子商务安全(二)公钥密码体制1.公钥密码体制简介公钥密码体制出现于1976年。它最主要的特点就是加密和解密使用不同的密钥,每个用户保存着一对密钥:公开密钥(publickey,PK)和私人密钥(secretkey,SK),因此,这种体制又称为双钥或非对称密钥密码体制。三、加密技术15第一节电子商务安全

2.RSA算法在公开密钥密码体制中,最有名的一种是RSA体制。它已被ISO/TC97的数据加密技术分委员会SC20推荐为公开密钥数据加密标准。RSA公钥加密算法是1977年由罗恩·里夫斯特(RonRivest)、阿迪·沙米尔奇(AdiShamirh)和莱恩·阿德曼(LenAdleman)在美国麻省理工学院开发的。三、加密技术16第一节电子商务安全

2.RSA算法其算法的原理如下:(1)随机选择两个大素数p和q,p不等于q,为了获得最大程度的安全性,两数的长度一样。计算n=pq。(2)选择一个大于1小于n的自然数e,e必须与(p-1)×(q-1)互素。(3)用辗转相除法(欧式算法)计算出d:d×emod((p-1)×(q-1))=1。(4)销毁p和q。最终得到的n和e就是公钥,d就是私钥,发送方使用n去加密数据,接收方只有使用d才能解开数据内容。三、加密技术17第一节电子商务安全

在使用中将数字签名和数据加密结合起来:发送方在发送数据时必须加上数字签名,即用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。当接收方收到这些密文后,接收方用自己的私钥将密文解密,得到发送的数据和发送方的数字签名,然后用发送方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,因此十分适合互联网上使用。三、加密技术18第一节电子商务安全SSL协议提供的安全连接具有以下三个基本特点:(1)连接是保密的,对于每个连接都有一个唯一的会话密钥,采用对称密码体制(如DES等)来加密数据。(2)连接是可靠的,消息的传输采用信息验证算法(如MD5,SHE等)进行完整性检验。(3)对端实体的鉴别采用非对称密码体制(如RSA等)进行认证。四、安全套接层协议19第一节电子商务安全(二)SSL握手协议1.SSL握手协议的功能SSL握手协议用于在通信双方建立安全传输通道,具体实现以下功能:(1)在客户端验证服务器,SSL协议采用公钥方式进行身份认证;(2)在服务器端验证客户;(3)客户端和服务器之间协商双方都支持的加密算法和压缩算法(4)产生对称加密算法的会话密钥;(5)建立加密SSL连接。四、安全套接层协议20第一节电子商务安全2.握手过程图6—4

SSL握手协议工作流程示意图21第一节电子商务安全(三)SSL记录协议

SSL记录协议从高层接收到数据后要经过分段、压缩和加密处理,最后由传输层发送出去。在SSL协议中,所有的传输数据都被封装在记录中,SSL记录协议规定了记录头和记录数据的格式。四、安全套接层协议22第一节电子商务安全(一)安全电子交易协议的功能(1)保证信息的机密性,保证信息安全传输。(2)保证支付信息的完整性(3)认证商家和客户,验证公共网络上进行交易活动的商家、持卡人及交易活动的合法性。(4)有广泛的互操作性,保证采用的通信协议、信息格式和标准具有普遍性五、安全电子交易协议23第一节电子商务安全(二)安全电子交易的应用流程(1)持卡人在商家的Web主页上查看在线商品目录,浏览商品。(2)持卡人选择要购买的商品。(3)持卡人填写订单,订单通过信息流从商家传过来。(4)持卡人选择付款方式,此时SET开始介入。(5)持卡人发送给商家一个完整的订单及要求付款的指令。五、安全电子交易协议24第一节电子商务安全(二)安全电子交易的应用流程(6)商家接受订单后,向持卡人的金融机构请求支付认可。(7)商家将订单确认信息发送给顾客。顾客端软件可记录交易日志,以备将来查询。(8)商家给顾客装运货物,或完成订购服务。(9)商家从持卡人的金融机构请求支付。五、安全电子交易协议25第一节电子商务法律(一)电子商务法的内涵电子商务法是指调整电子商务活动中所产生的社会关系的法律规范的总称。电子商务法是一个新兴的综合法律领域,是调整以数据电文为交易手段而形成的商事关系的规范体系。一、电子商务法概述26第二节电子商务法律(二)电子商务法的特征1.国际性2.技术性3.安全性4.开放性5.协作性一、电子商务法概述27第二节电子商务法律全球的网络与电子商务蓬勃发展、日新月异,多个国际组织、区域性组织和各国政府加快制定有关网络和电子商务操作及运作的规范,努力为网络和电子商务的健康、快速发展营造一个良好的、完善的法律环境。二、国外的电子商务立法28第二节电子商务法律(一)我国电子商务立法的历程我国先后出台了《电信服务标准》、《电信管理条例》、《互联网信息服务管理办法》、《互联网电子公告服务管理办法》、《商用密码管理条例》、《电信网间互联管理暂行规定》、《电信网码号资源管理暂行办法》、《软件产品管理办法》、《互联网站从事登载新闻业务管理暂行办法》、《信息产业部关于开放我国IP电话业务的通告》。三、国内的电子商务立法29第二节电子商务法律(二)我国电子商务立法的进展(1)电子商务与互联网的立法工作取得重大进展,相关法规与规章纷纷出台,连同相关政策、地方法规及司法解释在内,达数十种之多。这些法规涉及互联网安全、保密、基础设施建设、融资、广告、经营许可、新闻发布等诸多领域,初步形成了一个系统,并基本做到了与国际接轨。三、国内的电子商务立法30第二节电子商务法律(二)我国电子商务立法的进展(2)电子商务与互联网的司法工作成果颇丰,随着重大案例的裁判,一些基本原则得到了各级法院的普遍认可,有的上升为司法解释。三、国内的电子商务立法31第二节电子商务法律(二)我国电子商务立法的进展(3)在对电子商务与互联网的行政管理上,工商管理机关、版权部门等也都进行了一些探索。比如,许多省市工商行政管理局推出红盾网,既可以提供资信的初步证明,又是一种投诉渠道,同时还采取基本不设门槛与不告不理的做法,可以说,很好地结合了互联网与电子商务的特点,比较切实可行。三、国内的电子商务立法32第二节电子商务法律(二)我国电子商务立法的进展(4)2018年8月31日第十三届全国人民代表大会常务委员会第五次会议通过,2019年1月1日正式实施的《中华人民共和国电子商务法》是我国第一部电子商务领域的系统性的法律。《中华人民共和国电子商务法》包含七章共八十九条法律条文,对电子商务消费者权益、电子商务经营者做了详细界定,对电子商务活动中的争端问题明确了解决办法,对净化和规范国内电子商务市场起到了良好的作用。三、国内的电子商务立法33第二节电子商务法律(一)电子签名案例1.电子签名第一案案情摘要2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000元,刚回北京做了眼睛手术,不能出门,你汇到我卡里。”杨先生随即将钱汇给了韩某。一个多星期后,杨先生再次收到韩某的短信,又借给韩某6000元。因都是短信来往,两次汇款杨先生都没有索要借据。四、国内的电子商务相关法律案例34第二节电子商务法律(一)电子签名案例1.电子签名第一案案情摘要此后,因韩某一直没提还款的事,而且又向杨先生借款,杨先生有所警惕,于是向韩某催要。但一直索要未果,于是起诉至海淀法院,要求韩某归还其11000元钱,并提交了银行汇款凭条两张,韩某却称这是杨先生归还以前欠她的款项。四、国内的电子商务相关法律案例35第二节电子商务法律(一)电子签名案例1.电子签名第一案案情摘要为此,在庭审中,杨先生在向法院提交证据时,除了提供银行汇款凭条两张外,还提交了自己使用的号码为“1391166××××”的飞利浦移动电话一部,其中记载了部分短信息内容。如:2004年8月27日15:05,“那就借点资金援助吧。”2004年8月27日15:13,“你怎么这么实在!我需要五千,这个数不大也不小,另外我昨天刚回北京做了个眼睛手术,现在根本出不了门,见人都没法见,你要是资助就得汇到我卡里!”等韩某发来的18条短信.四、国内的电子商务相关法律案例36第二节电子商务法律(一)电子签名案例1.电子签名第一案案情摘要后经法官核实,杨先生提供的发送短信的手机号码拨打后接听者是韩某本人。而韩某本人也承认,自己从2003年七八月份开始使用这个手机号码。四、国内的电子商务相关法律案例37(一)电子签名案例2.法庭审理及法律依据法院经审理认为,依据《最高人民法院关于民事诉讼证据的若干规定》中关于承认的相关规定,对于“1391173××××”的移动电话号码是否由韩女士使用,韩女士在第一次庭审中明确表示承认,在第二次法庭辩论终结前韩女士委托代理人撤回承认,但其变更意思表示未经杨先生同意,亦未有充分证据证明其承认行为是在受胁迫或者重大误解情况下做出的,原告杨先生对该手机号码是否为被告所使用不再承担举证责任,而应由被告对该手机其没有使用过承担举证责任,被告未能提供相关证据,故法院确认该号码系韩女士使用。38第二节电子商务法律(一)电子签名案例经法院对杨先生提供的移动电话短信息生成、储存、传递数据电文方法的可靠性,保持内容完整性方法的可靠性,用以鉴别发件人方法的可靠性进行审查,可以认定该移动电话短信息内容作为证据的真实性。根据证据规则的相关规定,录音录像及数据电文可以作为证据使用,但数据电文可以直接作为认定事实的证据,还应有其他书面证据相佐证。四、国内的电子商务相关法律案例39第二节电子商务法律(二)网络合同纠纷案例1.基本案情2014年4月8日,小米科技有限责任公司(以下简称小米公司)在其官方网站上发布的广告显示:10400mAh移动电源,“米粉节”特价49元。当日,王某在该网站上订购了以下两款移动电源:小米金属移动电源10400mAh银色69元,小米移动电源5200mAh银色39元。王某提交订单后,于当日通过支付宝向小米公司付款108元。同月12日,王某收到上述两个移动电源及配套的数据线。四、国内的电子商务相关法律案例40第二节电子商务法律(二)网络合同纠纷案例1.基本案情同月17日,王某发现使用5200mAh移动电源的原配数据线不能给手机充满电,故与小米公司的客服联系,要求调换数据线。小米公司同意调换并已收到该数据线。此后,王某以小米公司对其实施价格欺诈为由,向北京市海淀区人民法院起诉,请求撤销网络购物合同,王某退还小米公司两个涉案移动电源,并请求小米公司:(1)赔偿500元;(2)退还购货价款108元;(3)支付快递费15元;(4)赔偿交通费、打印费、复印费100元。四、国内的电子商务相关法律案例41第二节电子商务法律(二)网络合同纠纷案例2.法庭审理及法律依据一审法院认为,涉案网络购物合同有效,小米公司的行为不构成欺诈,王某的诉讼请求证据不足,故判决驳回其诉讼请求。王某不服,向北京市第一中级人民法院提起上诉称,小米公司提前一周打出原价69元移动电源“米粉节”卖49元的广告,欺骗消费者排队抢购,销售当天广告还在,但商品却卖69元,小米公司设定了定时抢购,抢购时间不到20分钟,其行为已构成价格欺诈。四、国内的电子商务相关法律案例42第二节电子商务法律(二)网络合同纠纷案例2.法庭审理及法律依据二审法院认为,涉案网购合同有效,消费者拥有公平交易权和商品知情权。王某由于认同小米公司广告价格49元,故在“米粉节”当日做出抢购的意思表示,其真实意思表示的价格应为49元,但从小米网站订单详情可以看出,王某于2014年4月8日14时30分下单,订单中10400mAh移动电源的价格却为69元而非49元。小米公司现认可小米商城活动界面显示错误,存在广告价格与实际结算价格不一致之情形,但其解释为电脑后台系统出现错误。四、国内的电子商务相关法律案例43第二节电子商务法律(二)网络合同纠纷案例2.法庭审