[所有分类]第八章 电子商务系统安全.ppt

电子商务 第1章 电子商务概述 电子商务系统安全 概述 伴随着Internet的扩张和电子商务的迅猛发展，电子商务系统安全日益成为电子商务发展过程中的一个“瓶颈”。因此如何建立一个安全，便捷的电子商务应用环境，成为商家和用户都十分关注的问题。 电子商务系统的安全性并不是一个孤立的概念，它是由计算机安全性尤其是计算机网络安全性发展而来的。 电子商务系统安全问题涉及到许多方面。首先，安全不是一个单一的问题。其次，安全问题是动态的。再次，安全问题不能仅仅由技术来完全解决。 概述 电子商务系统安全是基础设施安全与交易安全的总和。 电子商务基础设施的安全 (1)计算机主机系统安全 (2) 数据库及存储设备安全 (3)操作系统安全 (4)网络环境安全 概述 电子交易的安全。指通过一系列的措施保证交易过程的真实可靠、完整、不可否认和机密。它侧重于交易过程的安全。 电子交易的安全和电子商务基础设施安全是一个整体，不能割裂开来分别考虑。 电子商务系统的安全威胁不仅来自外部，统计资料表明，更多的威胁是来自电子商务企业的内部，是由于企业内部安全管理的措施不当所造成的 。 电子商务的安全要求 （1）信息泄露 （2）信息篡改 （3）信息破坏 （4）抵赖行为 电子商务的安全要求 信息的保密性：这是指信息在存储、传输和处理过程中，不被他人窃取。这需要对交换的信息实施加密保护，使得第三者无法读懂电文。 信息的完整性：这是指确保收到的信息就是对方发送的信息，信息在存储中不被篡改和破坏，在交换过程中无乱序或篡改，保持与原发送信息的一致性。 电子商务的安全要求 信息的不可否认性：这是指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。 交易者身份的真实性：这是指交易双方的身份是真实的，不是假冒的。防止冒名发送数据。 系统的可靠性：这是指计算机及网络系统的硬件和软件工作的可靠性。 在电子商务所需的几种安全性要求中，以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到多种安全技术的应用。 电子商务的安全要求 电子商务安全体系 为了提高电子商务活动的安全性，除了采用先进的网络安全技术外，还必须有一套有效的信息安全机制作为保证，来实现电子商务交易数据的保密性、完整性和不可否认性等安全功能，这就是电子商务安全交易体系。概括起来，该体系包括信息加密算法、安全认证技术和安全交易协议等几个层次。 电子商务安全体系－－数据加密 加密技术是保证网络、信息安全的核心技术。加密技术与密码学紧密相连。 密码学这门古老的科学包含着丰富的内容，它包括密码编码学和密码分析学。 密码体制的设计是密码编码学的主要内容，密码体制的破译是密码分析学的主要内容。 电子商务安全体系－－数据加密 将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。 解密是加密的逆过程，即将密文还原成明文。 加密和解密必须依赖两个要素：算法和密钥。算法是加密和解密的计算方法；密钥是加密所需的一串数字。 电子商务安全体系－－数据加密 电子商务安全体系－－数据加密 在无价格限制的条件下，目前几乎所有使用的密码体制都是可破的。因此，人们关心的是要研制出在计算机上是不可破解的密码体制。如果一个密码体制的密码不能被现有的计算资源所破译，那么这种密码体制在计算上可以说是安全的。 在加密算法公开的情况下，非法解密者就要设法破获密钥，为了使黑客难以破获密钥，就要增加密钥的长度，使黑客无法用穷举法测试破解密钥。当密钥超过100位(bit)，即使是使用高速计算机，也需要几个世纪才能破译密钥。因此现在采用的密钥至少都有128位以上。 电子商务安全体系－－数据加密 传统的代换密码 一个字母或一组字母被另一个字母或另一组字母所代替－－隐藏明文。这就是最古老的铠撒密码(Caesar cipher)。在这种方法中，a变成D，b变成E ，c变成F，……z变成C。例如，english变成IRKPMWL。其中明文用小写字母，密文用大写字母。 若允许密文字母表移动k个字母而不是总是3个，那么k就成为循环移动字母表通用方法的密钥。 电子商务安全体系－－数据加密 1949年，信息论创始人C.E.Shannon论证了一般经典加密方法得到的密文几乎都是可破的。这引起了密码学研究的危机。 但是从20世纪60年代起，随着电子技术、计算机技术、结构代数、可计算性技术的发展，产生了数据加密标准DES和公开密钥体制，它们成为近代密码学发展史上两个重要的里程碑。 电子商务安全体系－－数据加密 对称密钥加密与DES算法 对称加密算法是指文件加密和解密使用一个相同密钥，也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快，因此被广泛应用于对大量数据的加密过程。