第09章 电子商务安全技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全管理人员要未被授权者提供信息和服务。
-13-
电子商务安全需求与相应的安全技术
安全问题
信息的保密性 信息的完整性
安全目标
信息的保密 检测信息是否被篡改
安全技术
加密技术 数字摘要
身份真实性 不可抵赖性
验证身份
数字签名
不能否认信息的发送、 数字签名、数字
它是控制明文与密文之间变换的关键,可以是数字、
词汇或语句等。密钥可以分为加密密钥和解密密钥,
分别使用于加密过程和解密过程。
-18-
一、数据加密概述
加密模型
Ke
Kd
发 端
X
Y
截获者
E
收 端
X D
YE Ke(X),XD K dY
K e: 加 密 密 钥 , K d: 解 密 密 钥
-19-
二、对称加密系统
主要有:
物理威胁 ,如 自然灾害、窃取、废物搜寻、窃听等 系统漏洞威胁,如 软硬件系统漏洞、网络协议缺陷等 身份鉴别威胁,如 钓鱼站点、口令破解等 有害程序威胁,如 病毒、木马程序等 网络信息污染,等,如 恶意发布的信息、非法传言等。
-4-
9.2 电子商务安全威胁和安全需求
9.2.1 电子商务的安全问题 9.2.2 电子商务的安全需求
-6-
一、信息的保密性
信息的保密性就是指信息在以电子化方式传 送时,保证一些敏感信息不被泄露。
信息的保密性通常是通过加密技术来隐藏数 据项来实现的。
-8-
二、信息的完整性
信息的完整性是指信息在以电子化方式传送 时,保持信息未被修改过,发送方和接收方 都希望确保接收到的信息同发送方发送的信 息没有任何出入。
第9章:电子商务安全技术
9.1 计算机网络安全概述 9.2 电子商务安全威胁和安全需求 9.3 电子商务的主要安全技术 9.4 电子商务安全交易协议
-1-
9.1 计算机网络安全概述
9.1.1 网络安全的概念 9.1.2 网络安全威胁
-2-
9.1.1 网络安全的概念
计算机网络的安全理解为“通过采用各种技 术和管理措施,使网络系统正常运行,从而 确保网络系统的保密性、完整性和可用性”。
-5-
9.2.1 电子商务的安全问题
一、信息的安全问题
冒充身份、非法侵入、篡改数据、伪造e-mail等。
二、信用的安全问题
主要指电子商务交易过程中买卖双方的信用安全
三、信息的管理问题
EC交易信息的管理问题,如以制度防止内部犯罪等。
四、安全的法律保障问题
主要指制度不完善给EC交易带来的法律安全风险。
-10-
四、不可抵赖性
不可抵赖性是防止一方对交易或通信发生后 进行否认。
在无纸化的电子商务方式下,不可能像在传 统的纸面交易中通过手写签名和印章进行双 方的鉴别,一般通过电子记录和电子和约等 方式来表达。
-11-
五、系统的可用性
可用性或称即需性,是指保证商业信息及时 获得和保证服务不被拒绝。
1.概念
对称加密又叫做私有密钥加密,其特点是数据 的发送方和接收方使用同一把私有密钥,即把 明文加密成密文和把密文解密成明文用的是同 一把私有密钥。
这就要求通信双方必须都要获得这把钥匙并保 持它的秘密。对于一个比较好的对称加密系统 来说,除非在解密时能提供正确的密钥,否则 是不可能利用解密功能来获得明文信息的。
在电子商务过程中,参与各方能否及时进行 数据交换,关系到电子商务的正常运行。
破坏即需性后,计算机的处理速度非常低, 低到一定程度就会影响电子商务的正常运行。 如果正常客户要求的服务被拒绝,那将失去 大量的客户。
-12-
六、信息的访问控制性
信息的访问控制性是防止对进程、通信及信 息等各类资源的非法访问。
-20-
二、对称加密系统
2.对称加密的过程
利用私有密钥进行对称加密的过程是:
发送方用自己的私有密钥对要发送的信息进行加密; 发送方将加密后的信息通过网络传送给接收方; 接收方用发送方进行加密的那把私有密钥对接收到的加
密信息进行解密,得到信息明文。
接收及信息内容
证书、时间戳
系统的可用性 信息的访问控制性
防止系统拒绝正常服务 只有授权用户才能访问
防火墙、杀毒软 件,等
防火墙,身份认证 及鉴别技术,等-14-
9.3 电子商务的主要安全技术
9.3.1 数据加密技术 9.3.2 数字摘要技术 9.3.3 数字签名技术 9.3.4 数字证书和认证技术 9.3.5 防火墙技术
-15-
9.3.1 数据加密技术
一、数据加密概述 二、对称加密系统 三、非对称加密系统 四、两种加密系统的结合使用
-16-
一、数据加密概述
加密技术是最基本的信息安全技术,是实现 信息保密性的一种重要手段,目的是为了防 止除合法接收者以外的人获取敏感机密信息。
所谓信息加密技术,就是用基于数学方法的 程序和保密的密钥对原始信息进行重新编码, 把计算机数据变成一堆杂乱无章难以理解的 字符串从而隐藏信息的内容,也就是把明文 变成密文。
数据的完整性被破坏可能导致贸易双方信息 的差异,将影响贸易各方的交易顺利完成。
-9-
三、身份的真实性
网上交易的双方很可能素昧平生,相隔千里。 要使交易成功,首先要确认对方的身份。对 于商家要考虑客户端不能是骗子,而客户也 会担心网上的商店是否是一个玩弄欺诈的黑 店。
因此能方便而可靠地确认对方身份是网上交 易的前提。
网络安全分为两大类:物理安全和逻辑安全。
物理安全是指在物理介质层次上对存储和传输的 信息的安全保护,它是信息安全的最基本保障;
逻辑安全是指使用非物理手段或措施对存储和传 输的信息的安全保护 。
-3-
9.1.2 网络安全威胁
网络安全威胁是指网络中对存在缺陷的潜在利 用,这些缺陷可能导致信息泄漏、系统资源耗 尽、非法访问、资源被盗、系统或信息被破坏。
-17-
一、数据加密概述
数据加密的术语:
明文:人或机器能够读懂和理解的信息称为明文, 它可以是文本、数字化语音流或数字化视频信息等。
密文:通过数据加密的手段,将明文变换成晦涩难 懂的信息称为密文。
加密过程:将明文转变成密文的过程。
解密过程:加密的逆过程,即将密文转换成明文的 过程。
密钥:用于加、解密过程中的一些特殊信息(参数),
-13-
电子商务安全需求与相应的安全技术
安全问题
信息的保密性 信息的完整性
安全目标
信息的保密 检测信息是否被篡改
安全技术
加密技术 数字摘要
身份真实性 不可抵赖性
验证身份
数字签名
不能否认信息的发送、 数字签名、数字
它是控制明文与密文之间变换的关键,可以是数字、
词汇或语句等。密钥可以分为加密密钥和解密密钥,
分别使用于加密过程和解密过程。
-18-
一、数据加密概述
加密模型
Ke
Kd
发 端
X
Y
截获者
E
收 端
X D
YE Ke(X),XD K dY
K e: 加 密 密 钥 , K d: 解 密 密 钥
-19-
二、对称加密系统
主要有:
物理威胁 ,如 自然灾害、窃取、废物搜寻、窃听等 系统漏洞威胁,如 软硬件系统漏洞、网络协议缺陷等 身份鉴别威胁,如 钓鱼站点、口令破解等 有害程序威胁,如 病毒、木马程序等 网络信息污染,等,如 恶意发布的信息、非法传言等。
-4-
9.2 电子商务安全威胁和安全需求
9.2.1 电子商务的安全问题 9.2.2 电子商务的安全需求
-6-
一、信息的保密性
信息的保密性就是指信息在以电子化方式传 送时,保证一些敏感信息不被泄露。
信息的保密性通常是通过加密技术来隐藏数 据项来实现的。
-8-
二、信息的完整性
信息的完整性是指信息在以电子化方式传送 时,保持信息未被修改过,发送方和接收方 都希望确保接收到的信息同发送方发送的信 息没有任何出入。
第9章:电子商务安全技术
9.1 计算机网络安全概述 9.2 电子商务安全威胁和安全需求 9.3 电子商务的主要安全技术 9.4 电子商务安全交易协议
-1-
9.1 计算机网络安全概述
9.1.1 网络安全的概念 9.1.2 网络安全威胁
-2-
9.1.1 网络安全的概念
计算机网络的安全理解为“通过采用各种技 术和管理措施,使网络系统正常运行,从而 确保网络系统的保密性、完整性和可用性”。
-5-
9.2.1 电子商务的安全问题
一、信息的安全问题
冒充身份、非法侵入、篡改数据、伪造e-mail等。
二、信用的安全问题
主要指电子商务交易过程中买卖双方的信用安全
三、信息的管理问题
EC交易信息的管理问题,如以制度防止内部犯罪等。
四、安全的法律保障问题
主要指制度不完善给EC交易带来的法律安全风险。
-10-
四、不可抵赖性
不可抵赖性是防止一方对交易或通信发生后 进行否认。
在无纸化的电子商务方式下,不可能像在传 统的纸面交易中通过手写签名和印章进行双 方的鉴别,一般通过电子记录和电子和约等 方式来表达。
-11-
五、系统的可用性
可用性或称即需性,是指保证商业信息及时 获得和保证服务不被拒绝。
1.概念
对称加密又叫做私有密钥加密,其特点是数据 的发送方和接收方使用同一把私有密钥,即把 明文加密成密文和把密文解密成明文用的是同 一把私有密钥。
这就要求通信双方必须都要获得这把钥匙并保 持它的秘密。对于一个比较好的对称加密系统 来说,除非在解密时能提供正确的密钥,否则 是不可能利用解密功能来获得明文信息的。
在电子商务过程中,参与各方能否及时进行 数据交换,关系到电子商务的正常运行。
破坏即需性后,计算机的处理速度非常低, 低到一定程度就会影响电子商务的正常运行。 如果正常客户要求的服务被拒绝,那将失去 大量的客户。
-12-
六、信息的访问控制性
信息的访问控制性是防止对进程、通信及信 息等各类资源的非法访问。
-20-
二、对称加密系统
2.对称加密的过程
利用私有密钥进行对称加密的过程是:
发送方用自己的私有密钥对要发送的信息进行加密; 发送方将加密后的信息通过网络传送给接收方; 接收方用发送方进行加密的那把私有密钥对接收到的加
密信息进行解密,得到信息明文。
接收及信息内容
证书、时间戳
系统的可用性 信息的访问控制性
防止系统拒绝正常服务 只有授权用户才能访问
防火墙、杀毒软 件,等
防火墙,身份认证 及鉴别技术,等-14-
9.3 电子商务的主要安全技术
9.3.1 数据加密技术 9.3.2 数字摘要技术 9.3.3 数字签名技术 9.3.4 数字证书和认证技术 9.3.5 防火墙技术
-15-
9.3.1 数据加密技术
一、数据加密概述 二、对称加密系统 三、非对称加密系统 四、两种加密系统的结合使用
-16-
一、数据加密概述
加密技术是最基本的信息安全技术,是实现 信息保密性的一种重要手段,目的是为了防 止除合法接收者以外的人获取敏感机密信息。
所谓信息加密技术,就是用基于数学方法的 程序和保密的密钥对原始信息进行重新编码, 把计算机数据变成一堆杂乱无章难以理解的 字符串从而隐藏信息的内容,也就是把明文 变成密文。
数据的完整性被破坏可能导致贸易双方信息 的差异,将影响贸易各方的交易顺利完成。
-9-
三、身份的真实性
网上交易的双方很可能素昧平生,相隔千里。 要使交易成功,首先要确认对方的身份。对 于商家要考虑客户端不能是骗子,而客户也 会担心网上的商店是否是一个玩弄欺诈的黑 店。
因此能方便而可靠地确认对方身份是网上交 易的前提。
网络安全分为两大类:物理安全和逻辑安全。
物理安全是指在物理介质层次上对存储和传输的 信息的安全保护,它是信息安全的最基本保障;
逻辑安全是指使用非物理手段或措施对存储和传 输的信息的安全保护 。
-3-
9.1.2 网络安全威胁
网络安全威胁是指网络中对存在缺陷的潜在利 用,这些缺陷可能导致信息泄漏、系统资源耗 尽、非法访问、资源被盗、系统或信息被破坏。
-17-
一、数据加密概述
数据加密的术语:
明文:人或机器能够读懂和理解的信息称为明文, 它可以是文本、数字化语音流或数字化视频信息等。
密文:通过数据加密的手段,将明文变换成晦涩难 懂的信息称为密文。
加密过程:将明文转变成密文的过程。
解密过程:加密的逆过程,即将密文转换成明文的 过程。
密钥:用于加、解密过程中的一些特殊信息(参数),