电子商务的安全性需求
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
班级:姓名:学号:
电子商务的安全性需求
1、交易信息的保密性:交易信息的保密性是指信息在传输或存储过程中不被他人窃取。因此,对商务信息系统在存储的资料要严格管理,必须对重要和敏感的信息进行加密,然后再放到网上传输,确保非授权用户不得侵入、查看使用。为了对信息进行保密,相应有一些保密性技术。如加密和解密技术、防火墙技术等。
加密/解密技术是一种用来防止信息泄露的技术。电子商务中的信息在通过Internet传送之前,为了防止信息的内容被他人有意或无意的知晓,需要将它的内容通过一定的方法转变成别人看不懂的信息,这个过程就是加密。而将看不懂的信息再转变成原始信息的过程称为解密。加密之前的信息称为明文,加密之后的内容称为密文,加密通常要采用一些算法,而这些算法需要用到不同的参数,这些不同的参数称作密钥,密钥空间是所有密钥的集合。
加密按传统的加密方法分为替换密码和位移密码两类;现代密码体制从原理上分为两大类,分别是单钥密码体制和双钥密码体制;按历史发展阶段:手工加密、机械加密、电子机内乱加密、计算机加密;按保密程度:理论上的保密的加密、实际上保密的加密、不保密的加密三种类型;按密钥使用方式:对称加密和非对称加密。
防火墙技术是在Internet和Internet直接构筑的一道屏障,用以保护网络中的信息、资源等不受来自网络中非法用户的侵犯,控制网络之间的所有数据流量,控制和防止网络中的有价值的数据流入Internet,也控制和防止来自Internet的无用垃圾流入Internet.实现防火的主要技术有包过滤技术、应用网关和服务器代理。
2、交易信息的完整性:包括信息传输和存储两个方面的含义,在存储时要防止被非法篡改和破坏,在传输过程中邀请接收端收到的信息与发送方发送的信息完全一致。信息在传输过程中的加密,只能保证第三方看不到信息的真正内容,但并不能保证信息不被修改或保持完整。要保证数据的完整性,技术上可以采用信息摘要的方法或者采用数字签名的方法。还可以采用强有力的访问控制技术,防止对系统中数据的非法删除、更改、复制和破坏,此外,还应防止意外损坏和丢失。任何对系统信息应有特性或状态的中断、窃取、篡改和伪造都是破坏信息完整性的行为。其中,中断是指在某一段时间内因系统的软件、硬件故障或恶意破坏删除造成系统信息的受损、丢失或不可利用。窃取是指系统的信息未经授权的访问者非法获取,造成信息不应有的泄露,使信息的价值受到损失或者失去存在的意义。篡改是指故意更改正确的数据,破坏了数据的真实性状态。伪造是恶意
的未经授权者故意在系统信息中添加假信息,造成真假信息难辨,破坏了信息的可信性。
3、交易信息的不可否认性:指信息的发送发不能否认已经发送的信息,接收方不能否认已经收到的信息。在电子商务的交易过程中,商情是千变万化的,但交易达成后不能随意更改和否认的,否则,必然会损害一方的利益。因此,电子交易通信过程中各个环节都必须是不可否认的。要达到不可否认的目的,可以采用数字签名和数字戳等技术。
数字签名是密钥加密和数字摘要相结合的技术,用于保证信息的完整性和不可否认性。由于发送者的私钥匙自己严密管理的,他人无法仿冒,同时发送者也不能否认用自己的私钥加密发送的信息,所以数字签名解决了信息的完整性和不可否认性的问题。
数字时间戳是由专门机构提供的电子商务安全服务项目,用于证明信息的发送时间。数字时间戳是一个经加密后形成的凭证文档,包括三个部分:时间戳的文件摘要、DTS机构收到文件的日期和时间、DTS机构的数字签名。
4、交易者身份的可鉴别性:是指交易双方是确实存在的,不是假冒的。网上交易的双方可能相隔很远且并不了解,要使交易成功,除了互相信任以外,确认对方的真实、合法性是很重要的。对商家而言要考虑客户不是骗子,对客户而言要考虑商店不是黑店且有信誉。因此能方便而可靠地确认对方身份是交易的前提。
5、交易信息的有效性:直接关系到个人、企业或国家的经济利益和声誉,要求对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻,确定的地点是有效的。
6、支付信息的匿名性:支付信息的匿名性要求除了公正的第三方,没有人能够根据支付信息来跟踪并且识别用户的身份。匿名性就是保护个人隐私不受侵害。包括三个方面:不可观察性、不可追踪性和无关联性。
(1)不可观察性:外人不能获取交易的有用信息。这里的外人包括电子支付系统中与该交易无关的其他参与者和系统之外的攻击者。当交易在网上进行并且参与交易者的身份需相互交换的情况下,非常有必要满足不可观察性。
(2)不可追踪性:要求支付者在取款时传给发行银行的数据与用该电子支付手段进行支付时提交给商家的数据无关联,通常要求他们统计独立。因此即使电子支付系统中其他参与者合谋,也不能得到支付者的身份。
(3)无关联性;要求任何人不能将支付者在支付交易中提交给商家的信息关联起来。某支付者进行了两次支付交易,任何人都不知道这两次交易是来自同一个支付者。