(电子商务教学课件）第五章电子商务安全.ppt

第五章 电子商务安全 【学习要点及目标】 1．了解电子商务安全的内容。 2．熟悉电子商务安全存在的问题和要求。 3．掌握电子商务认证技术。 4．掌握电子商务数据加密技术。 5．掌握电子商务安全管理技术。 6．掌握电子商务安全协议SET和SSL。 第一节 电子商务的安全概述 第二节 认证技术 第三节 数据加密技术 第四节 电子商务安全管理技术及安全协议 第一节 电子商务的安全概述 一、电子商务安全的内容 电子商务安全从整体上可分为两大部分： （一）计算机网络安全 计算机网络设备安全、计算机网络系统安全、数据库安全等。 （二）商务交易安全 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行。 二、电子商务的安全问题 （一）电子商务安全含义 电子商务安全是电子商务系统资源和信息资源不受自然和人为有害因素的威胁和危害。其具体含义有四层： 1．系统设备及相关设施运行正常，系统服务适时； 2．软件完整； 3．系统拥有的和产生的数据或信息完整、有效、使用合法、不被破坏或泄露； 4．系统资源和信息资源使用合法。 （二）电子商务安全问题 1．密码安全 由技术上提供强韧的密码系统及其正确应用来实现，是通信安全的最核心部分。 2．计算机安全 3．网络安全 4．信息安全 保护信息免遭偶发的或有意的非授权泄露、修改、破坏或处理能力的丧失。 三、电子商务的安全要求 （一）电子商务的安全隐患 1．信息的截获和窃取 2．信息的篡改 3．信息假冒 4．交易抵赖 （二）电子商务的主要安全要素 实现电子商务的关键是要保证商务活动过程中系统的安全性，即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。电子商务的安全要素主要体现在以下几个方面： 1．机密性 2．完整性 3．认证性 4．不可抵赖性 第二节 认证技术 一、身份认证技术 （一）身份认证的含义 身份认证是在计算机网络中确认操作者身份的过程。身份认证可分为用户与主机间的认证和主机与主机之间的认证，用户与主机之间的认证可以基于如下一个或几个因素：用户所知道的东西：例如口令、密码等，用户拥有的东西，例如印章、智能卡(如信用卡等）；用户所具有的生物特征：例如指纹、声音、视网膜、签字、笔迹等。 （二）身份认证的目标 身份认证是判明和确认贸易双方真实身份的重要环节，也是电子商务交易过程中最薄弱的环节。因为非法用户常采用窃取口令、修改或伪造、阻断服务等方式对网络交易系统进行攻击，阻止系统资源的合法管理和使用。 认证机构或信息服务商应当提供如下认证的功能。 1．可信性 2．完整性 3．不可抵赖性 4．访问控制 （三）身份认证方法 在真实世界，对用户的身份认证基本方法可以分为这三种： 第一、根据你所知道的信息来证明你的身份 ； 第二、根据你所拥有的东西来证明你的身份 ； 　 第三、直接根据独一无二的身体特征来证明你的身份 。 　　 在网络世界中手段与真实世界中一致，为了达到更高的身份认证安全性，某些场景会将上面3种挑选2中混合使用，即所谓的双因素认证。 （四）身份认证常用工具 1．静态密码 2．智能卡（IC卡） 3．短信密码 4．动态口令牌 5．USB KEY 6．生物识别技术 7．双因素身份认证 二、数字识别技术 数字识别技术的目的有两个：一是，确认信息的发送者的身份；二是，验证信息的完整性，即确认信息在传送或存储过程中未被窜改过。 （一）消息摘要 消息摘要（Message Digest）又称为数字摘要(Digital Digest)。它是一个唯一对应一个消息或文本的固定长度的值，它由一个单向Hash加密函数对消息进行作用而产生。如果消息在途中改变了，则接收者通过对收到消息的新产生的摘要与原摘要比较，就可知道消息是否被改变了。因此消息摘要保证了消息的完整性。 （二）数字签名 数字签名(digital signature)技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。 数字签名与书面文件签名有相同之处，采用数字签名，能确认以下三点： 1．信息确实是由签名者发送的，即确认对方的身份； 2．确保信息真实性、完整性； 3．解决信息的保密性，防抵赖性。 第三节 货币供需均衡 （三）数字时间戳 数字时间戳(digita1time-stamp service DTS)就是用来证明消息的收发时间的。用户首先将需要加时间戳的文件经加密后形成文档，然后将摘要发送到专门提供数字时间