电子商务规范.pptVIP

电子商务安全性需求-1 保密性（Confidentiality） 电子商务系统应及时对传输信息进行加密处理，防止交易中信息被非法截获或读取。即防止通过非法拦截会话数据获得帐户有效信息 匿名性（Anonymity） 电子商务系统应确保交易的匿名性，防止交易过程被跟踪，保证交易过程中的用户不把个人信息泄露给未知的或不可信的个体，确保合法用户的隐私不被侵犯 * 电子商务安全性需求-2 完整性（Integrity） 电子商务系统应防止对交易信息的随意改动，防止数据传输过程中交易信息的丢失和重复，并保证信息传递次序的统一 可靠性（Reliability） 电子商务系统应该提供通信双方进行身份鉴别机制，确保交易双方身份信息的可靠和合法，应实现系统对用户身份的有效确认，对私有密钥和口令的有效保护，对非法攻击能够防范，防止假冒身份在网上交易、诈骗 * 电子商务安全性需求-3 抗否认性（Anti-denity） 电子商务系统应有效防止商业欺诈行为的发生，保证商业信用和行为的不可否认性，保证交易各方对已做交易无法抵赖 有效性（Validity） 电子商务系统应有效防止系统延迟和拒绝服务情况的发生。要对网络故障、硬件故障操作错误、应用程序错误、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，保证交易数据在确定的时刻、确定的地点是有效的 * 安全规范 当前电子商务的安全规范包括加密算法、报文摘要算法、安全通信协议等方面的规范。 安全规范 认证规范 * 安全规范 加密算法 对称密钥加密 DES、IDEA、RC5、RC6、Skipjack等算法 非对称密钥加密 RSA、DSA、Diffie-Hellman、PKCS、PGP等 消息摘要算法 安全散列标准SHA-1、MD5系列标准。 加密通信协议(SSL) 安全套接层协议（Secure Socket Layer,简称SSL）是一种保护WEB通讯的工业标准，主要目的是提供INTERNET上的安全通信服务，是基于强公钥加密技术以及RSA的专用密钥序列密码，能够对信用卡和个人信息、电子商务提供较强的加密保护。 新的SSL协议被命名为TLS（Transport Layer Security），安全可靠性可有所提高，但仍不能消除原有技术上的基本缺陷。 * 认证规范 数字签名 数字证书 密钥管理机制（PKI） 证书管理机制（CA） * 数字签名 字签名（Digital Signature）是公开密钥加密技术的一种应用，是指用发送方的私有密钥加密报文摘要，然后将其与原始的信息附加在一起，合称为数字签名。其使用方式是：报文的发送方从报文文本中生成一个128位或160位的单向散列值（或报文摘要），并用自己的私有密钥对这个散列值进行加密，形成发送方的数字签名；然后，将这个数字签名作为报文的附件和报文一起发送给报文的接收方；报文的接收方首先从接收到的原始报文中计算出128位的散列值（或报文摘要），接着再用发送方的公开密钥来对报文附加的数字签名进行解密；如果这两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别与验证，保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法，普遍用于银行、电子贸易等，以解决伪造、抵赖、冒充、篡改等问题。 * 数字证书 “数字证书”作为网上交易双方真实身份证明的依据，是一个经证书授权中心（CA）数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。基于公开密钥体制（PKI）的数字证书是电子商务安全体系的核心，用途是利用公共密钥加密系统来保护与验证公众的密钥，由可信任的、公正的权威机构CA颁发。CA对申请者所提供的信息进行验证，然后通过向电子商务各参与方签发数字证书，来确认各方的身份，保证网上支付的安全性。 * 密钥管理机制（PKI） PKI体系结构采用证书管理公钥，即结合X.509标准中的鉴别框架（Authentication Framework）来实现密钥管理，通过CA把用户的公钥及其它标识信息捆绑在一起，在INTERNET上验证用户的身份，保证网上数据的保密性和完整性。 * 证书管理机制（CA） 证书管理机构（Certificate Authority，简称CA）是大型用户群体（如政府机关或金融机构）所信赖的第三方，负责证书的颁发和管理。在证书申请被审批部门批准后，CA通过登记服务器将证书发放给申请者。CA通过向电子商务各参与方发放数字证书，来确认各方的身份，保证在INTERNET及内部网上传送数据的安全，及网上支付的安全性。 * 电子商务CA体系 SET CA PKI CA * SET CA 由MasterCard和Visa发起 采用公开密钥加密算法