第四章电子商务安全技术
2024电子商务安全技术
编号:__________ 2024电子商务安全技术甲方:___________________乙方:___________________签订日期:_____年_____月_____日2024电子商务安全技术合同目录第一章:合同主体及定义1.1 甲方名称及地址1.2 乙方名称及地址1.3 合同术语定义第二章:电子商务安全技术服务内容2.1 安全评估与咨询2.1.1 网络安全评估2.1.2 应用系统安全评估2.1.3 数据安全与隐私保护2.1.4 安全合规性咨询2.2 安全防护体系建设2.2.1 安全防护策略制定2.2.2 安全设备部署与维护2.2.3 安全监控与预警2.2.4 安全事件应急响应2.3 安全培训与技术支持2.3.1 员工安全意识培训2.3.2 技术支持与维护服务2.3.3 安全技术更新与升级2.3.4 安全漏洞修复与防护2.4 安全审计与合规检查2.4.1 定期安全审计2.4.2 合规性检查与整改2.4.3 安全合规文档编写与归档第三章:合同期限与服务费用3.1 合同期限3.1.1 服务开始日期3.1.2 服务结束日期3.2 服务费用3.2.1 服务费用总额3.2.2 付款方式与周期3.2.3 费用调整机制第四章:技术支持与维护服务4.1 技术支持服务内容4.1.1 安全设备维护4.1.2 安全系统升级4.1.3 安全事件处理与应急响应4.2 维护服务时间4.2.1 常规维护服务时间4.2.2 应急响应服务时间第五章:安全事件应急响应5.1 安全事件报告与处置5.1.1 安全事件报告流程5.1.2 安全事件处置流程5.2 安全事件应急预案5.2.1 应急预案制定5.2.2 应急预案演练与评估第六章:保密与知识产权6.1 保密义务6.1.1 保密信息范围6.1.2 保密期限6.1.3 保密措施与责任6.2 知识产权保护6.2.1 技术成果归属6.2.2 专利与著作权保护6.2.3 侵权责任与维权第七章:违约责任与赔偿7.1 违约行为及责任7.1.1 甲方违约行为7.1.2 乙方违约行为7.2 赔偿金额与方式7.2.1 赔偿金额计算7.2.2 赔偿方式与期限第八章:争议解决8.1 争议解决方式8.1.1 协商解决8.1.2 调解解决8.1.3 仲裁解决8.1.4 诉讼解决8.2 争议解决地点与适用法律第九章:合同的生效、变更与终止9.1 合同生效条件9.2 合同变更9.2.1 变更条件9.2.2 变更程序9.3 合同终止9.3.1 终止条件9.3.2 终止程序9.4 合同解除9.4.1 解除条件9.4.2 解除程序第十章:双方的权利与义务10.1 甲方的权利与义务10.2 乙方的权利与义务第十一章:信息安全风险评估与控制11.1 风险评估方法与流程11.2 风险控制措施与实施第十二章:网络安全防护技术12.1 防火墙与入侵检测系统12.2 数据加密与安全传输12.3 病毒防护与恶意代码清理12.4 安全审计与日志分析第十三章:应用系统安全技术13.1 身份认证与权限控制13.2 应用层安全防护13.3 安全开发与代码审计13.4 安全运维与监控第十四章:附则14.1 合同签订地点14.2 合同签订日期14.3 合同附件14.4 合同的保管与份数14.5 合同的修改与补充合同编号_________第一章:合同主体及定义1.1 甲方名称:_________地址:_________1.2 乙方名称:_________地址:_________1.3 合同术语定义:(此处列出合同中使用的专业术语及其定义)第二章:电子商务安全技术服务内容2.1 安全评估与咨询2.1.1 网络安全评估:乙方应对甲方的网络安全进行评估,并提供评估报告。
电子商务—第4章 电子商务安全(刘谊)
公开密匙/私有密匙 与对称密匙不同,公开 密匙/私有密匙使用相互 关联的一对算法对数据 进行加密和解密。
常见密匙算法:RSA
21
4.3.3 交易安全技术-加密技术
1.对称密钥加密体制 对称密钥加密,又称私钥加密,即信息的发送方和接收 方用一个密钥去加密和解密数据。对称加密技术的最大优 势是加/解密速度快,适合于对大数据量进行加密,但密 钥管理困难。 1)在首次通信前,双方必须通过除网络以外的另外途径 传递统一的密钥。 2)当通信对象增多时,需要相应数量的密钥。 3)对称加密是建立在共同保守秘密的基础之上的,在管 理和分发密钥过程中,任何一方的泄密都会造成密钥的失 效,存在着潜在的危险和复杂的管理难度。
23
4.3.3 交易安全技术-加密技术
公开密匙/私有密匙加密
老张的私有密匙 老张的公开密匙
鉴 别 保 密
密文
老张
密文
小李
老张
小李的公开密匙 小李的私有密匙
小李
用RSA鉴别,只有老张能发出该信息 用RSA保密,只有小李能解开该信息
24
4.3.3 交易安全技术-加密技术
对称与非对称加密体制对比
特 性 对 称 非对称
密钥是成对的 一个私有、一个公开 密钥的数目 密钥种类 单一密钥 密钥是秘密的
密钥管理
相对速度 用途
简单不好管理
非常快
需要数字证书及可靠第三者
慢
用来做大量资料的加 用来做加密小文件或对信息签字等 密 不太严格保密的应用
25
4.3.3 交易安全技术-数字证书与CA认证
数字证书(Digital Certificate 或Digital ID)
电子商务概论--电子商务安全技术
电子商务概论--电子商务安全技术电子商务概论电子商务安全技术在当今数字化的时代,电子商务已经成为我们生活中不可或缺的一部分。
我们可以轻松地在网上购物、办理金融业务、预订旅行等。
然而,随着电子商务的快速发展,安全问题也日益凸显。
电子商务安全技术就像一道坚固的防线,保护着消费者的隐私和利益,保障着电子商务的健康发展。
首先,让我们来了解一下什么是电子商务安全。
简单来说,电子商务安全就是保护电子商务系统中的信息、数据、交易过程等不受到未经授权的访问、篡改、破坏或泄露。
这包括保护消费者的个人信息,如姓名、地址、信用卡号等;保护商家的商业机密,如产品信息、客户名单等;以及确保交易的完整性、准确性和不可否认性。
那么,电子商务中存在哪些安全威胁呢?网络黑客的攻击是其中一个重要的方面。
他们可能通过各种手段,如病毒、木马、网络钓鱼等,获取用户的敏感信息,或者破坏电子商务网站的正常运行。
此外,内部人员的违规操作也可能导致安全问题。
比如,员工可能会无意或有意地泄露公司的重要信息。
还有,系统漏洞和软件缺陷也可能被不法分子利用,从而对电子商务造成威胁。
为了应对这些安全威胁,一系列的电子商务安全技术应运而生。
加密技术是其中的核心之一。
它通过对数据进行编码,使得只有拥有正确密钥的人才能解读数据。
常见的加密算法有对称加密算法和非对称加密算法。
对称加密算法速度快,但密钥的管理比较复杂;非对称加密算法安全性高,但速度相对较慢。
在实际应用中,通常会结合使用这两种算法,以达到更好的效果。
数字签名技术也是保障电子商务安全的重要手段。
它可以确保信息的完整性和不可否认性。
发送方使用自己的私钥对信息进行处理,生成数字签名。
接收方使用发送方的公钥对数字签名进行验证,从而确认信息的来源和完整性。
如果信息在传输过程中被篡改,数字签名将无法通过验证。
身份认证技术是电子商务中确认用户身份的关键。
常见的身份认证方式有用户名和密码、动态口令、数字证书等。
用户名和密码是最简单的方式,但安全性相对较低。
《电子商务概论》第四章电子商务安全技术
《电子商务概论》第四章电子商务安全技术在当今数字化的商业世界中,电子商务已经成为了经济活动的重要组成部分。
然而,随着电子商务的迅速发展,安全问题也日益凸显。
第四章的电子商务安全技术,就像是为电子商务这趟高速列车保驾护航的关键保障系统。
电子商务安全技术涵盖了多个方面,其中加密技术是至关重要的一环。
简单来说,加密技术就像是给我们的重要信息穿上了一层“隐身衣”。
通过对数据进行加密,即使信息在网络中传输被他人获取,没有正确的解密密钥,这些信息也只是一堆毫无意义的乱码。
常见的加密算法有对称加密和非对称加密。
对称加密算法,比如 DES 算法,加密和解密使用相同的密钥,速度快但密钥管理较为复杂。
而非对称加密算法,像 RSA 算法,使用公钥和私钥,安全性更高,但计算量较大。
在实际应用中,通常会将两种加密方式结合使用,以达到效率和安全的平衡。
数字签名技术则为电子商务中的信息来源和完整性提供了有力的保障。
它类似于我们日常生活中的手写签名,但更具不可伪造性和不可否认性。
发送方使用自己的私钥对信息进行处理,生成数字签名。
接收方使用发送方的公钥进行验证,如果验证通过,就可以确认信息确实来自声称的发送方,并且在传输过程中没有被篡改。
这在电子合同、电子交易等场景中发挥着重要作用,确保了交易的合法性和可追溯性。
认证技术也是电子商务安全的重要支柱。
身份认证就像是进入电子商务世界的“门禁卡”,只有通过了认证,才能获得相应的权限和服务。
常见的认证方式有基于口令的认证、基于智能卡的认证和基于生物特征的认证。
口令认证虽然简单易用,但安全性相对较低,容易受到暴力破解和字典攻击。
智能卡认证则通过在卡片中存储密钥等信息,提高了认证的安全性。
而生物特征认证,比如指纹识别、人脸识别等,由于其独特性和难以复制性,正逐渐成为一种更高级的认证方式。
防火墙技术就像是电子商务系统的“城墙”,用于阻挡外部的非法访问和攻击。
它可以根据预设的规则,对网络流量进行过滤和控制。
2024年电子商务基础课件电子商务安全技术(含多场景)
电子商务基础课件电子商务安全技术(含多场景)电子商务基础课件:电子商务安全技术一、引言随着互联网的普及和信息技术的发展,电子商务作为一种新兴的商业模式,在我国得到了迅猛发展。
电子商务不仅改变了传统的商业模式,还为消费者、企业和政府带来了诸多便利。
然而,电子商务在带来便利的同时,也面临着诸多安全问题。
本文将重点介绍电子商务安全技术,为电子商务的健康发展提供保障。
二、电子商务安全概述1.电子商务安全的重要性电子商务安全是保障电子商务活动正常进行的基础,关系到消费者、企业和国家的利益。
电子商务安全主要包括数据安全、交易安全、身份认证、隐私保护等方面。
2.电子商务安全风险电子商务安全风险主要包括计算机病毒、网络攻击、数据泄露、交易诈骗等。
这些风险可能导致企业经济损失、消费者权益受损、国家信息安全受到威胁。
三、电子商务安全技术1.数据加密技术数据加密技术是保障电子商务数据安全的核心技术。
通过对数据进行加密处理,即使数据在传输过程中被窃取,也无法被非法分子解密获取真实信息。
常用的加密算法有对称加密算法(如AES、DES)和非对称加密算法(如RSA、ECC)。
2.数字签名技术数字签名技术用于验证信息的完整性和真实性,确保信息在传输过程中未被篡改。
数字签名技术基于公钥基础设施(PKI),主要包括数字证书、签名算法和验证算法等。
通过数字签名,接收方可以确认发送方的身份,并验证信息的完整性。
3.身份认证技术身份认证技术用于确认电子商务参与者的身份,防止非法分子冒充合法用户进行交易。
常用的身份认证技术有密码认证、生物识别认证、数字证书认证等。
其中,数字证书认证具有较高的安全性和可靠性,广泛应用于电子商务领域。
4.安全协议技术安全协议技术用于保障电子商务交易过程的安全。
常用的安全协议有SSL(安全套接字层)协议、SET(安全电子交易)协议、S/MIME(安全多用途网际邮件扩充协议)等。
这些协议通过加密、数字签名等手段,确保交易数据在传输过程中的安全。
第四章 电子商务安全 《电子商务概论》
防火墙技术
防火墙技术
入侵检测技术 虚拟专用网 技术 反病毒技术
代理服务器型防火墙的工作过程:
Intranet
代理服务器型 防火墙
Internet
应用层 协议分析
请求
代理服
客户端 转发响应 务器
代理客 转发请求 户端 响应
服务器
防火墙技术
防火墙技术
入侵检测技术 虚拟专用网 技术 反病毒技术
(3)防火墙的类型 状态检测防火墙:将属于同一连接的所有数据包组成 的数据流作为一个整体看待,并建立连接状态表,通 过与规则表的共同配合,对数据流进行控制。 优点:性能高效;运用动态管理技术 缺点:配置复杂;占网速
防火墙技术
入侵检测技术 虚拟专用网 技术 反病毒技术
(4)虚拟专用网的类型 Intranet VPN:企业总部与分部网络或多个异地分 部网络互联。
VPN隧道
分部网络
Internet
总部网络
Intranet VPN示意图
虚拟专用网技术
防火墙技术
入侵检测技术
虚拟专用网 技术
(4)虚拟专用网的类型
Extranet VPN:将不同单位的属于互不信任的内部
计算量小 加密速度快、效率高 缺点: 难以实现密钥的安全传输 管理难度大—N个人要产生N(N-1)/2个密钥 无法解决数字签名验证的问题
数据加密技术
数据加密技术 数字摘要 数字签名 数字信封
数字时间戳 电子商务认证 安全交易过程
(4)非对称密钥加密技术 非对称秘钥加密技术是指用一对密钥对信息进行加密 和解密,而根据其中的一个密钥推出另一个密钥在计 算上是不可能的。
SSL协议 数字摘要 CA认证 非对称加密
防火墙
电子商务安全技术
电子商务安全技术电子商务安全技术是确保在线交易安全、保护用户信息和数据完整性的关键。
随着互联网的普及和电子商务的蓬勃发展,越来越多的人选择在线购物和交易,这使得电子商务安全技术变得尤为重要。
本文将详细探讨电子商务安全技术的几个关键方面,包括加密技术、身份验证、支付安全、网络安全和法律框架。
首先,加密技术是电子商务安全的基础。
通过使用加密算法,可以确保数据在传输过程中不被非法截获和篡改。
常见的加密技术包括对称加密和非对称加密。
对称加密使用同一密钥进行数据的加密和解密,而非对称加密则使用一对密钥,即公钥和私钥。
公钥用于加密数据,私钥用于解密,这种方式大大提高了数据传输的安全性。
其次,身份验证是确保交易双方身份真实性的重要手段。
多因素认证(MFA)是一种常见的身份验证技术,它要求用户提供两种或两种以上的验证方式,如密码、手机短信验证码、生物识别等。
这种技术可以有效防止未授权访问和身份盗窃。
支付安全是电子商务中另一个至关重要的环节。
为了保护消费者的财务信息,支付系统通常会采用多种安全措施,如支付令牌化、安全套接字层(SSL)加密和支付卡行业数据安全标准(PCI DSS)。
这些措施可以防止支付信息在处理过程中被泄露或滥用。
网络安全是电子商务安全技术的重要组成部分。
网络攻击,如分布式拒绝服务(DDoS)攻击、钓鱼攻击和恶意软件,都可能对电子商务平台造成严重威胁。
为了抵御这些攻击,电子商务平台需要部署防火墙、入侵检测系统(IDS)和入侵防御系统(IPS),并定期进行安全审计和漏洞扫描。
最后,法律框架对于电子商务安全同样重要。
各国政府和国际组织已经制定了一系列法律法规来规范电子商务活动,保护消费者权益和数据安全。
例如,欧盟的通用数据保护条例(GDPR)要求企业在处理个人数据时必须遵守严格的安全标准。
这些法律法规为电子商务安全提供了法律保障。
综上所述,电子商务安全技术是一个多方面的综合体系,涉及加密技术、身份验证、支付安全、网络安全和法律框架等多个领域。
《电子商务安全技术 》课件
SSL/TLS协议
建立加密通信连接的安全协议。
电子商务安全技术应用
防火墙
保护网络免受未授权访问和恶意攻击。
VPN
建立安全的远程连接,保护数据传输。
ID S/IPS
检测和阻止入侵行为,保护系统安全。
数据备份与恢复
确保数据丢失时能够快速恢复。
电子商务安全体系构建
1
安全策略规划
《电子商务安全技术 》 PPT课件
电子商务安全技术的PPT课件,全面介绍了电子商务安全背景、基础知识、应 用、体系构建、案例分析和未来发展趋势。
背景介绍
电子商务概述,安全威胁,以及安全技术的必要性。
电子商务安全基础知识
加密与解密
保护数据传输和存储的基本技术。
数字证书
验证通信方身份的加密凭证。
数字签名
总结成功实施安全措施的企业经验,为其他企业提供参考。
总结与展望
1 安全风险与挑战
探讨当前面临的安全风险 和挑战。
2 未来发展趋势
展望电子商务安全技术的 未来发展方向。
3 安全技术创新与应用
介绍当前前沿的安全技术 创新和应用案例。
2
制定适应业务需求的安全策略。
3
安全意识培训
4
提高员工的安全意识和应对能力。
5
建立安全管理机制
确保安全策略得到有效执行。
风险评估与漏洞扫描
识别和修复系统中的安全漏洞。
安全事件处置
快速响应和应对安全事件。
电子商务安全案例分析
遭受攻击的企业案例分析
分析曾遭受严重安全攻击的企业,探讨背后的原因和教训。
安全建设经验总结
电子商务概论第四章 电子商务安全技术
3、信息的不可否认性
信息的不可否认性是指信息的发送方不可 否认已经发送的信息,接收方也不可否认已经 收到的信息。例如因市场价格的上涨,卖方否 认收到订单的日期或完全否认收到订单;再如 网上购物者订货后,不能谎称不是自己订的货 等。
4、交易者身份的真实性
交易者身份的真实性是指交易双方是确实 存在的,不是假冒的。
2、信用的威胁
信用风险来自三个方面:
(1)来自买方的信用风险。对于个人消费
者来说,可能存在在网络上使用信用卡进行支 付时恶意透支,或使用伪造的信用卡骗取卖方 的货物行为;对于集团购买者来说,存在拖延 货款的可能。
(2)来自卖方的信用风险。卖方不能按质、
按量、按时送寄消费者购买的货物,或者不能 完全履行与集团购买者签订的合同,造成买方 的风险。
(4)计算机病毒
计算机病毒是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据,影响计 算机使用,并能自我复制的一组计算机指令或 者程序代码。
一台计算机感染上病毒后,轻则系统运行 效率下降,部分文件丢失。重则造成系统死机, 计算机硬件烧毁。
3、防范黑客的技术措施
比较常用的防范黑客的技术措施是网络安 全检测设备、防火墙和安全工具包软件。
(1)网络安全检测设备
预防为主是防范黑客的基本指导思想。利 用网络从事交易的单位或个人,有条件的话, 应当加强对黑客行为的网络监控。
(2)防火墙(具体见下一节)
(3)安全工具包
全面的网络安全技术,应包括反病毒、入 侵检测、安全认证、加密、防火墙五个环节。 安全工具包正是努力从这五个环节上解决安全 问题,实现全面的网络安全。
当这些方法不能奏效时,黑客们便借助各 种软件工具,利用破解程序分析这些信息,进 行口令破解,进而实施攻击。
电子商务安全技术
电子商务安全技术随着电子商务的发展,越来越多的人开始使用互联网购物,网上支付成为现代人生活的一部分,但是与此同时,也带来了诸如网络诈骗、网络暴力以及信息泄露等问题。
如何保障电子商务的安全成为我们需要面对和解决的问题。
一、网络加密技术网络加密技术可以加强信息的保密性,保护用户的个人隐私和支付信息安全。
网络加密技术包括传输层安全协议(TLS)和安全套接字层协议(SSL)。
在数据传输过程中,TLS和SSL可以对数据进行加密和解密,防止数据被黑客窃取和窃听。
除此之外,数字证书也是网络加密技术的一种。
数字证书是一款用于验证通讯方身份信息的电子数据文件,它通过加密算法确认身份的真伪,保障通讯数据的安全性和可靠性。
二、数据防护技术数据防护技术包括安全审计、数据加密和虚拟专用网络等。
安全审计可以帮助企业及时发现和定位安全漏洞,防止网络攻击和数据泄露;数据加密技术可以加强数据的保密性和完整性,避免数据被黑客窃取、篡改和破坏;虚拟专用网络则可以建立安全可靠的网络环境,保护企业的数据安全。
三、人工智能技术人工智能技术是近年来发展迅速的一项技术,它可以在电子商务中发挥重要作用,帮助企业识别和拦截网络攻击。
目前市场上已经有很多基于智能算法的安全产品,例如基于机器学习技术的网络入侵检测系统和基于深度学习技术的图片验证码识别系统。
不仅如此,智能安全产品还可以通过立体化的安全防护体系实现数据的全方位保护。
四、移动安全技术移动安全技术是保障手机、平板等移动设备安全的技术,移动支付也和移动安全密切相关。
对于电子商务来说,移动支付带来的方便和快捷必然是伴随着安全风险的增加,我们需要采取措施来保障移动支付的安全。
移动安全技术包括应用安全检测、数据隔离、移动网络加密、反篡改、用户行为分析等。
五、防止社交攻击的技术近年来,各种社交平台上涌现出了众多网络钓鱼和欺诈行为,如何保护个人信息不被侵犯,也变成了我们需要解决的问题。
防止社交攻击的技术包括反欺诈系统、行为分析系统和声音、人脸识别等。
电子商务概论第四章电子商务安全技术
编辑课件
数字签名
• 保证信息的完整性 • 保证信息来源的可靠性 • 保证信息的不可否认性
编辑课件
用公钥系统实现数字签名
甲方 明文(M)
签名系统
验证系统 密文(C)
乙方 明文(M)
甲方密钥
甲方公钥
编辑课件
报文摘要(Message Digest)算法
• RSA公司和RSA实验室在公开密钥密码 系统的研究和商业应用推广方面有举足 轻重的地位。
编辑课件
RSA密码系统的算法
• 取质数 p ,q (保密) • 计算n = p * q (公开) • 计算z =(p -1)*(q -1)(保密) • 选取e与z互质,e称为“公开指数” • 对于e,算出d 满足e * d = 1 mod z • d 称为“秘密指数” • (n ,e)为“公开密钥” (n ,d)为“秘密密钥”
编辑课件
电子商务的安全威胁
电脑犯罪: 50个国家有信息恐怖组织,计算机 犯罪增长率152%,银行抢劫案件 减少,英国网络解密专家小组,美 国第三方密钥管理,………
巨大损失: 46万美元/每次计算机犯罪, 24美 元/每次抢劫,国防,银行,证券
网络战争: 美国网络战
编辑课件
电子商务的安全威胁
• 系统破坏 • 信息窃取 • 信息窜改 • 非法侵入 • 非法冒用 • 信息抵赖
编辑课件
4.2 密码学基础
• 密码与密码学 • 密码系统及分类 • 密码算法 • 数字签名
编辑课件
密码与密码学
• 密码(Cryptogram) • 密码学(Cryptography) • 密码系统(Cryptosystem) • 密码分析(Cryptanalysis)
第4章 电子商务交易安全
第4章
第 3 节 电子商法
一、电子商务法概述
1. 电子商务法的概念 广义的电子商务法,是指调整通过各种电子信息传递方式进行的商务活
动所发生的社会关系的法律规范的总和。 狭义的电子商务法,是指调整通过计算机网络进行数据电文传递而进行
商务活动所产生的社会关系法律规范的总和。
14
第4章
2. 电子商务法的调整对象 电子商务法的调整对象应当是电子商务交易活动中发生的各种社会关系。
1. 数字摘要。 2. 数字签名。 3. 数字时间戳。 4. 数字证书
(1)认证中心 (2)数字证书 (3)数字证书的类型 (4)认证中心的树形验证结构
12
第4章
第4章
四、安全协议
1. 安全超文本传输协议。HTTPS(Secure Hypertext Transfer Protocol) 是由 Netscape 开发并内置于其浏览器中,用于对数据进行压缩和解压操作, 并返回网络上传送回的结果。 2. 安全套接层协议。SSL(Secure Socket Layer)由 Netscape 研发,用 以保障在互联网上数据传输的安全,利用数据加密(Encryption)技术,可 确保数据在网络上的传输过程中不会被截取及窃听。 3. 安全电子交易协议。SET( Secure Electronic Transaction)是为了解决 用户、商家和银行之间通过信用卡支付的交易而设计的。
4
第4章
2. 电子商务的主要安全要素 (1)信息真实性、有效性、机密性。 (2)信息完整性、可靠性、不可否认性和可控性。 (3)交易审查能力。
第4章
5
四、常见的电子商务安全问题
1. 网络安全隐患 (1)计算机网络设备故障。 (2)网络恶意攻击。 (3)安全产品使用不当。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020/11/29
第四章电子商务安全技术
第二.公钥可帮助我们实现数字签名。
客户
认证中心
商家
因为客户密钥是他唯一所有的,也就是说,除了该 客户能产生这样的密文外,其他的客户是不能产生这样 的密文的,也就是说订单是被客户签名了的,商家从而 可以进行身份认证。
假如客户抵赖发给商家的订单,商家可以去认证中 心鉴别, 通过这样的方法,保证了交易的不可抵赖性。
2020/11/29
第四章电子商务安全技术
客户信息的安全威胁
(1)活动页面
嵌套在HTML中的程序,也将构成客户信息安 全的重大威胁。远程客户可以通过嵌套的恶意 程序,读取用户页面的信息,甚至是保留在 Cookie程序中的信用卡用户及密码信息。
(2)浏览器的插件
但如果是一些无数字证书,或者是一些不 健康的网站的插件,通常带有安全的威胁。这 些插件中可能会有病毒,会有恶意攻击程序, 会改写你的注册表等等。
2020/11/29
第四章电子商务安全技术
传输信道的安全威胁
¨ (1)窃听:随着科学技术的不断发展,窃听 的涵义早已超出隔墙偷听、截听电话的概念, 它是指借助于技术设备、技术手段,不仅窃取 语音信息,还窃取数据、文字、图象等信息。
¨ (2)中断:在通信过程中,通信双方受到第 三方干扰,造成通信中断。
第四章电子商务安全技术
问题: 散列算法是公开的,如何有人修改了订单中的送
货地址和商品数量,重新生成信息摘要,然后把修改后 的信息和新的信息摘要发给商家。商家收到信息后检查, 发觉是匹配的,也就是说,修改后也没人发现。
那么,我们该如何提出改进方案,保证发信息的 人是商家所期待的客户?就是说,我们要让商家能确认 发送订单的客户的身份。
5.理解一个安全的电子商务交易需要有哪些保证。理解电子商务交 易安全的技术保证,熟悉安全交易协议主要包括那几个方面的 内容。
2020/11/29
第四章电子商务安全技术
4.1 电子商务安全概述
电子商务安全所面临的威胁 : 一是对客户信息的安全威胁 二是对传输链路的安全威胁 三是对电子商务服务器的安全威胁
2020/11/29
第四章电子商务安全技术
如何破解这类的密文????
由于英文字母中各字母出现的频度早已有人进行 过统计,所以根据字母频度表可以很容易对这种代替 密码进行破译。
2020/11/29
第四章电子商务安全技术
再看一个加密的例子: 中国的网络企业70%以上没有信息安全保障 密钥:864513279
¨ 在计算机上可以容易的产生成对的Pk和Sk ¨ 从已知的Pk实际上不可能推导出Sk,即从Pk到
Sk是计算上不可能的。 ¨ 加密和解密算法都是公开的。
2020/11/29
第四章电子商务安全技术
非对称加密示意图
请看非对称加密如何工作的
我要给 你的信息
你的公钥 加密
通信网
你收到 的信息
你的私钥 解密
2020/11/29
2020/11/29
第四章电子商务安全技术
4.2 加密技术
看下面例子:代换密码(一个或一组代替另外一个或 一组字符)
原文:ABC DEFGHIJKLMNOPQRSTUVWXYZ
密文: XYZ ABCDEFGHIJKLMNOPQRSTUVW
前移3字符位
例如:网络传输CHINA,对应加密后是:
ZEFKX
864513 2 79 中 国 的 网 络 企 业 70 % 以上信息安全 没 有保 障
密文为:络安业没企全的信网息国上70 %有中以保障
2020/11/29
第四章电子商务安全技术
现在常用的加密方法按加密程序类型分为三类:散 列编码、对称加密和非对称加密
(1)散列编码
相当于信息的指纹,每个信息的散列值是唯一 的。
第四章电子商务安全技术
电子商务安全的需求
¨ 1.保密性
保密性一般通过加密技术对传输的信息进行 加密处理来实现,常用的加密技术有对称加密 和非对称加密
¨ 2.完整性
完整性一般可通过散列算法提取信息的数据 摘要的方式来进行对比验证得到。
¨ 3.不可抵赖性
不可抵赖性可通过对发送的消息进行数字签 名来获取
¨ 特点如下:
– 发送者用加密密钥Pk对明文X加密后,在接受者用 解秘密钥Sk解密,即可恢复出明文:Dsk(Epk(x))=X
– 加密和解密的运算可以对调:即Epk(Dsk(X))=X
2020/11/29
第四章电子商务安全技术
RSA公钥密码(2)
¨ 加密密钥是公开的,但不能用它来解密,即 Dpk(Epk(X))=X
使用单向散列函数计算信息的“摘要”,将它连
同信息发送给接受方。接受方重新计算“摘要”, 并与收到的“摘要”进行比较以验证信息在传输过 程中的完整性。
这种散列函数使任何两个不同的输入不可能产生
相同的输出。因此一个被修改了的文件不可能有同 样的“摘要”。
2020/11/29
第四章电子商务安全技术
如: (1)“我们7月30号去旅游”——AD3D3DFVAF
¨ 这样数字签名就可用来防止电子信息因易被修改而有 人作伪;或冒用别人名义发送信息;或发出(收到) 信件后又加以否认等情况发生。
2020/11/29
第四章电子商务安全技术
¨ 数字签名并非用“手书签名”类型的图型标志, 它采用了双重加密的方法来实现防伪、防赖。 其原理为:
– ① 被发送文件用SHA编码加密产生128Bit的数字 摘要。
¨ 公钥密码体制的代表是RSA公钥密码,是由三位发明者姓名 (Rivest,Shamir,Adleman)的第一个字母联合构成的。
2020/11/29
第四章电子商务安全技术
RSA公钥密码(1)
¨ 加密密钥Pk (公开密钥)是公开信息,而解密 密钥Sk(秘密密钥)是需要保密的。加密算法 和解密算法也都是公开的。
2020/11/29
第四章电子商务安全技术
请看下面示意图:
我们7月30号去旅游
散列函数
AD3D3DFVAF
Let us meet at 9 o' clock at the secret place
D3b85d710d8f6e4e5e fd4d5e67d041f9cecedafe
2020/11/29
发送
接收方用收到的 订单信息生成信 息摘要,与附加 的信息摘要对比, 检查信息是否被 修改
第四章电子商务安全技术
数字摘要(Digital Digest)
¨ 数字摘要这一安全认证技术亦称安全Hash编码 法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所 设计。
¨ (3)篡改:在通信过程中,第三方截获信息 并修改了交易双方的内容。
¨ (4)伪造:在通信过程中,第三放伪造交易 双方的身份进行交易。
2020/11/29
第四章电子商务安全技术
2020/11/29
第四章电子商务安全技术
电子商务服务器的安全威胁
¨ (1)系统安全。 ¨ (2)数据库系统的安全
2020/11/29
– ② 发送方用自己的私用密钥对摘要再加密,这就 形成了数字签名。
– ③ 将原文和加密的摘要同时传给对方。
– ④ 对方用发送方的公共密钥对摘要解密,同时对 收到的文件用SHA编码加密产生又一摘要。
– ⑤ 将解密后的摘要和收到的文件在接收方重新加 密产生的摘要互对比。如两者一致,则说明传送过 程中信息没有被破坏或篡改过。否则不然。
解决办法:数字签名
2020/11/29
第四章电子商务安全技术
数字签名(digital signature)
¨ 在书面文件上签名是确认文件的一种手段,签名的作 用有两点,一是因为自己的签名难以否认,从而确认 了文件已签署这一事实;二是因为签名不易仿冒,从 而确定了文件是真的这一事实。
¨ 数字签名与书面文件签名有相同之处,采用数字签名, 也能确认以下两点: – 信息是由签名者发送的。 – 信息自签名后到收到为止未曾作过任何修改。
第四章电子商务安全技术
4.4 认证技术
如何保证交易的完整性??
保护交易的完整性,就是要保护客户与商家在网络传输 的订单信息,结算信息等不受到破坏。
第一,保护信息的安全,保证知道发出的信息是否正确 的,没有被修改的。 ——可用散列函数提取信息摘要,即数字摘要方法。
采购订单
散列函数 信息摘要
2020/11/29
2.掌握加密的基本原理,熟悉传统的加密算法,理解对称加密和非 对称加密的概念和原理,理解散列算法的概念;
3.了解防火墙的概念,熟悉防火墙的功能和分类;
4.了解身份认证的概念,熟悉身份认证技术的几种分类,掌握各分 类的操作原理,理解不同种类的身份认证技术的区别,掌握数 字签名的概念,熟悉数字签名的流程,理解数字信封和数字时 间戳的概念,掌握数字证书的构成;
¨ 也称公钥密钥加密,它用两个数学相关的密钥对信息进行编码, 其中一个叫公开密钥(Public-Key),可随意发给期望同密钥持 有者进行安全通信的人;第二个密钥是私有密钥(Private-Key), 由用户自己秘密保存,私有密钥持有者对信息进行解密。现代密 码算法将加密密钥与解密密钥区分开来,且由加密密钥事实上求 不出解密密钥。
(2)一个实现算法:
input = "Let us meet at 9 o' clock at the secret pla ce."; $hash = mhash(MHASH_SHA1, $input); print "散列值为 ".bin2hex($hash)."\n";