网络交易安全管理
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
精品课件
第十二章 网络交易安全管理
5. 一次口令机制 最安全的身份认证机制是采用一次口令机制,即 每次用户登录系统时口令互不相同。主要有两种实现 方式。第一种采用“请求响应”方式。用户登录时系 统随机提示一条信息,用户根据这一信息连同其个人 化数据共同产生一个口令字,用户输入这个口令字, 完成一次登录过程,或者用户对这一条信息实施电子 签字后发送给认证服务器进行鉴别;第二种方法采用 “时钟同步”机制,即根据这个同步时钟信息连同其 个人化数据共同产生一个口令字。这两种方案均需要 认证服务器端也产生与用户端相同的口令字(或检验签 字)用于验证用户身份。精品课件
及信息、资金和物资交易的综合交易系统,其安全对
象不是一般的系统,而是一个开放的、人在其中频繁
活动的、与社会系统紧密耦合的复杂巨系统(Complex
Giant System)
精品课件
第十二章 网络交易安全管理
电子商务交易安全过程也不是一般的工程化的过 程,而是一个时时处处有人参与的、自我适应的、不 断变化的、不断涌现新的整体特征的过程。所以,电 子商务交易安全保障不是一般的管理手段的叠加和集 成,而是综合集成,两者的本质区别在于后者强调人 的关键作用。只有通过人网结合、人机结合,充分发 挥各自优势的方法,才能经过综合集成,使系统表现 出新的安全性质——整体大于部分之和。
(3) 不可抵赖性。要求信息的发送方不能否认自己所 发出的信息。同样,信息的接收方不能否认已收到了信息。
(4) 保密性。对敏感的文件进行加密,即使别人截获 文件也无法得到其内容。
精品课件
第十二章 网络交易安全管理
2. 基于私有密钥体制的信息认证 基于私有密钥(Private Key,私钥)体制的信息认 证是一种传统的信息认证方法。这种方法采用对称加 密算法,也就是说,信息交换双方共同约定一个口令 或一组密码,建立一个通信双方共享的密钥。通信的 甲方将要发送的信息用私钥加密后传给乙方,乙方用 相同的私钥解密后获得甲方传递的信息。 由于通信双方共享同一密钥,通信的乙方可以确 定信息是由甲方发出的。这是一种最简单的信息来源 的认证方法。图12-1是对称加密示意图。
在。
精品课件
第十二章 网络交易安全管理
12.1.2 网络交易风险源分析 1. 在线交易主体的市场准入问题 2. 信息风险 3. 信用风险 信用风险主要来自三个方面: (1) 来自买方的信用风险。 (2) 来自卖方的信用风险。 (3) 买卖双方都存在抵赖的情况 . 4. 网上欺诈犯罪 5. 电子合同问题
伴随着电子商务交易额的不断增加,电子商务对 安全方面的管理要求越来越高,所受到的重视程度也 越来越高。
计算机的安全问题早已引起人们的重视。
大量的事实说明,保证电子商务的正常运作,必
须高度重视安全问题。网络交易安全涉及社会的方方
面面,不仅仅是一堵防火墙或一个电子签字就能简单
解决的问题。安全问题是网络交易成功与否的关键所
第十二章 网络交易安全管理
第十二章 网络交易安全管理
12.1 网络交易风险和安全管理的基本思路 12.2 客户认证技术 12.3 防止黑客入侵 12.4 网络交易系统的安全管理制度 12.5 电子商务交易安全的法律保障
精品课件
第十二章 网络交易安全管理
12.1 网络交易风险和安全管理的基本思路
12.1.1 网络交易风险凸现
与电子商务交易系统相适应,电子商务交 易安全也是一个系统工程,不是几个防火墙、几个密 码器就可以解决的问题。
精品课件
第十二章 网络交易安全管理
12.2 客户认证技术
12.2.1 身份认证 1. 身份认证的目标 身份认证的主要目标包括: (1) 确保交易者是交易者本人,而不是其他人。
通过身份认证解决交易者是否存在问题,避免与虚假 的交易者进行交易。
(2) 避免与超过权限的交易者进行交易。 (3) 访问控制。
精品课件
第十二章 网络交易安全管理
2. 用户身份认证的基本方式 一般来说,用户身份认证可通过三种基本方式或其组 合方式来实现: (1) 用户通过某个秘密信息,例如用户通过自己的口 令访问系统资源。 (2) 用户知道某个秘密信息,并且利用包含这一秘密 信息的载体访问系统资源,包含这一秘密信息的载体应当 是合法持有并能够随身携带的物理介质。例如智能卡中存 储用户的个人化参数,访问系统资源时必须持有智能卡, 并知道个人化参数。 (3) 用户利用自身所具有的某些生物学特征,如指纹、 声音、DNA图案、视网膜扫描等等,但这种方案一般造价较 高,适用于保密程度很高的场合。
精品课件
第十二章 网络交易安全管理
6. 电子支付问题
7. 在线消费者保护问题
8. 电子商务中产品交付问题
ቤተ መጻሕፍቲ ባይዱ
12.1.3 网络交易安全管理的基本思路
为了保障电子商务交易安全,必须对电子商务交 易系统有一个深刻的理解。这一点至关重要,它直接 关系到所建立的交易安全保障体系的有效性和生命力。
电子商务系统是活动在Internet 平台上的一个涉
精品课件
第十二章 网络交易安全管理
发送方用自已 的私钥加密
原文
加密
信息
文本
接收方用发送 方的私钥解密
因特网
加密 文本
原文 信息
发送方
接收方
图12-1 对称加密示意图
精品课件
第十二章 网络交易安全管理
对称加密算法在电子商务交易过程中存在三个问 题:
第十二章 网络交易安全管理
12.2.2 信息认证技术 1. 信息认证的目标 信息认证的主要目标包括: (1) 可信性。信息的来源是可信的,即信息接收者能
够确认所获得的信息不是由冒充者所发出的。 (2) 完整性。要求信息在传输过程中保证其完整性,
也即信息接收者能够确认所获得的信息在传输过程中没有 被修改、遗失和替换。
精品课件
第十二章 网络交易安全管理
3. 身份认证的单因素法 用户身份认证的最简单方法就是口令。 对口令进行加密传输是一种改进的方法。 4. 基于智能卡的用户身份认证 基于智能卡的用户身份认证机制属于双因素法, 它结合了基本认证方式中的第一种和第二种方法。用 户的二元组信息预先存于智能卡中,然后在认证服务 器中存入某个事先由用户选择的某个随机数。用户访 问系统资源时,用户输入二元组信息。
第十二章 网络交易安全管理
5. 一次口令机制 最安全的身份认证机制是采用一次口令机制,即 每次用户登录系统时口令互不相同。主要有两种实现 方式。第一种采用“请求响应”方式。用户登录时系 统随机提示一条信息,用户根据这一信息连同其个人 化数据共同产生一个口令字,用户输入这个口令字, 完成一次登录过程,或者用户对这一条信息实施电子 签字后发送给认证服务器进行鉴别;第二种方法采用 “时钟同步”机制,即根据这个同步时钟信息连同其 个人化数据共同产生一个口令字。这两种方案均需要 认证服务器端也产生与用户端相同的口令字(或检验签 字)用于验证用户身份。精品课件
及信息、资金和物资交易的综合交易系统,其安全对
象不是一般的系统,而是一个开放的、人在其中频繁
活动的、与社会系统紧密耦合的复杂巨系统(Complex
Giant System)
精品课件
第十二章 网络交易安全管理
电子商务交易安全过程也不是一般的工程化的过 程,而是一个时时处处有人参与的、自我适应的、不 断变化的、不断涌现新的整体特征的过程。所以,电 子商务交易安全保障不是一般的管理手段的叠加和集 成,而是综合集成,两者的本质区别在于后者强调人 的关键作用。只有通过人网结合、人机结合,充分发 挥各自优势的方法,才能经过综合集成,使系统表现 出新的安全性质——整体大于部分之和。
(3) 不可抵赖性。要求信息的发送方不能否认自己所 发出的信息。同样,信息的接收方不能否认已收到了信息。
(4) 保密性。对敏感的文件进行加密,即使别人截获 文件也无法得到其内容。
精品课件
第十二章 网络交易安全管理
2. 基于私有密钥体制的信息认证 基于私有密钥(Private Key,私钥)体制的信息认 证是一种传统的信息认证方法。这种方法采用对称加 密算法,也就是说,信息交换双方共同约定一个口令 或一组密码,建立一个通信双方共享的密钥。通信的 甲方将要发送的信息用私钥加密后传给乙方,乙方用 相同的私钥解密后获得甲方传递的信息。 由于通信双方共享同一密钥,通信的乙方可以确 定信息是由甲方发出的。这是一种最简单的信息来源 的认证方法。图12-1是对称加密示意图。
在。
精品课件
第十二章 网络交易安全管理
12.1.2 网络交易风险源分析 1. 在线交易主体的市场准入问题 2. 信息风险 3. 信用风险 信用风险主要来自三个方面: (1) 来自买方的信用风险。 (2) 来自卖方的信用风险。 (3) 买卖双方都存在抵赖的情况 . 4. 网上欺诈犯罪 5. 电子合同问题
伴随着电子商务交易额的不断增加,电子商务对 安全方面的管理要求越来越高,所受到的重视程度也 越来越高。
计算机的安全问题早已引起人们的重视。
大量的事实说明,保证电子商务的正常运作,必
须高度重视安全问题。网络交易安全涉及社会的方方
面面,不仅仅是一堵防火墙或一个电子签字就能简单
解决的问题。安全问题是网络交易成功与否的关键所
第十二章 网络交易安全管理
第十二章 网络交易安全管理
12.1 网络交易风险和安全管理的基本思路 12.2 客户认证技术 12.3 防止黑客入侵 12.4 网络交易系统的安全管理制度 12.5 电子商务交易安全的法律保障
精品课件
第十二章 网络交易安全管理
12.1 网络交易风险和安全管理的基本思路
12.1.1 网络交易风险凸现
与电子商务交易系统相适应,电子商务交 易安全也是一个系统工程,不是几个防火墙、几个密 码器就可以解决的问题。
精品课件
第十二章 网络交易安全管理
12.2 客户认证技术
12.2.1 身份认证 1. 身份认证的目标 身份认证的主要目标包括: (1) 确保交易者是交易者本人,而不是其他人。
通过身份认证解决交易者是否存在问题,避免与虚假 的交易者进行交易。
(2) 避免与超过权限的交易者进行交易。 (3) 访问控制。
精品课件
第十二章 网络交易安全管理
2. 用户身份认证的基本方式 一般来说,用户身份认证可通过三种基本方式或其组 合方式来实现: (1) 用户通过某个秘密信息,例如用户通过自己的口 令访问系统资源。 (2) 用户知道某个秘密信息,并且利用包含这一秘密 信息的载体访问系统资源,包含这一秘密信息的载体应当 是合法持有并能够随身携带的物理介质。例如智能卡中存 储用户的个人化参数,访问系统资源时必须持有智能卡, 并知道个人化参数。 (3) 用户利用自身所具有的某些生物学特征,如指纹、 声音、DNA图案、视网膜扫描等等,但这种方案一般造价较 高,适用于保密程度很高的场合。
精品课件
第十二章 网络交易安全管理
6. 电子支付问题
7. 在线消费者保护问题
8. 电子商务中产品交付问题
ቤተ መጻሕፍቲ ባይዱ
12.1.3 网络交易安全管理的基本思路
为了保障电子商务交易安全,必须对电子商务交 易系统有一个深刻的理解。这一点至关重要,它直接 关系到所建立的交易安全保障体系的有效性和生命力。
电子商务系统是活动在Internet 平台上的一个涉
精品课件
第十二章 网络交易安全管理
发送方用自已 的私钥加密
原文
加密
信息
文本
接收方用发送 方的私钥解密
因特网
加密 文本
原文 信息
发送方
接收方
图12-1 对称加密示意图
精品课件
第十二章 网络交易安全管理
对称加密算法在电子商务交易过程中存在三个问 题:
第十二章 网络交易安全管理
12.2.2 信息认证技术 1. 信息认证的目标 信息认证的主要目标包括: (1) 可信性。信息的来源是可信的,即信息接收者能
够确认所获得的信息不是由冒充者所发出的。 (2) 完整性。要求信息在传输过程中保证其完整性,
也即信息接收者能够确认所获得的信息在传输过程中没有 被修改、遗失和替换。
精品课件
第十二章 网络交易安全管理
3. 身份认证的单因素法 用户身份认证的最简单方法就是口令。 对口令进行加密传输是一种改进的方法。 4. 基于智能卡的用户身份认证 基于智能卡的用户身份认证机制属于双因素法, 它结合了基本认证方式中的第一种和第二种方法。用 户的二元组信息预先存于智能卡中,然后在认证服务 器中存入某个事先由用户选择的某个随机数。用户访 问系统资源时,用户输入二元组信息。