zx1第一章电子商务安导论11111.pptVIP

第一章 电子商务安全导论 1.4.2 电子交易安全 交易安全是针对传统商务在因特网上运用时产生的各种安全问题而设计的一套安全技术。目的是在计算机网络安全的基础上确保电子商务过程的顺利进行，即实现电子商务的保密性、完整性、有效性、认证性、不可抵赖性和访问控制性等。 加密技术层、安全认证层和交易协议层一起构成电子商务交易安全。 第一章 电子商务安全导论 保密性 传统的交易中，一般是通过面对面的信息交换，或者通过邮寄或可靠的通信渠道发送商业报文，达到商业保密的目的。 电子商务是建立在开放的网络环境上的，维护商业机密是电子商务系统的最根本的安全需求。电子商务系统应对传输信息进行加密处理，以防止交易过程中信息被非法截获或读取，从而导致泄密。 一定要对重要信息进行加密，即使中间被人截获或窃取了数据，也无法识别信息的真实内容，这样就可以确保商业机密信息不致被泄露。 第一章 电子商务安全导论 完整性 电子商务系统应防止对交易信息的篡改，防止数据传输过程中交易信息的丢失和重复，并保证信息传递次序的统一。 当网络面临主动攻击时，攻击者通过篡改或部分删除交易过程中发送的信息，破坏信息的完整性，使交易的双方蒙受损失。 例如，A给B发了如下一份报文：“请给C汇一百元”。报文在传输过程中遭到D的篡改，D将报文改为：“请给D汇一百元”。这样，最终B收到的报文为：“请给D汇一百元”，B按照报文给D汇了一百元 。 第一章 电子商务安全导论 有效性 电子商务系统应有效防止系统延迟或拒绝服务情况的发生。要对网络故障、硬件故障、操作错误、应用程序错误、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，保证交易数据在确定的时刻、确定的地点是有效的。 第一章 电子商务安全导论 认证性 电子商务系统应该提供通信双方进行身份认证的机制，确保交易双方身份信息的可靠和合法，应该实现系统对用户身份的有效确认和对私有密钥与口令的有效保护，对非法攻击能够进行有效防范，防止假冒身份在网上交易、诈骗。 在传统的交易中，交易双方往往是面对面进交易行活动的，这样很容易确认对方的身份。 电子商务首要的安全需求应是保证身份的可认证性。 第一章 电子商务安全导论 不可抵赖性 传统交易中，交易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章，确定合同、契约、单据的可靠性并预防抵赖行为的发生，也就是常说的“白纸黑字”。 电子商务系统应有效防止商业欺诈行为的发生，保证商业信用和行为的不可否认性，保证交易各方对已做交易无法抵赖。 电子交易通信过程的各个环节都必须是不可否认的，即交易一旦达成，发送方不能否认发送的信息，接收方不能篡改他所收到的信息。保证交易过程中的不可否认性也是电子商务活动中的一个重要的安全需求。 第一章 电子商务安全导论 访问控制性 指在交易过程中限制和控制通信链路对商务信息资源的访问，用于保护电子商务系统中的信息资源不被未经授权人或以未授权的方式接入、使用、修改、破坏或植入非法程序等。 第一章 电子商务安全导论 加密技术层 加密技术是电子商务最基本的安全措施。在目前技术条件下，加密技术通常分为对称加密和非对称加密两类。 对称密钥加密 非对称密钥加密 第一章 电子商务安全导论 安全认证层 消息摘要 数字签名 数字证书 认证中心CA 第一章 电子商务安全导论 交易协议层 安全套接层协议SSL：网景公司开发了可以在因特网客户与服务之间数据传送进行加密和鉴别的SSL协议。 安全电子交易协议SET：是由VISA和Master Card两大信用卡组织制定的标准。SET用于划分与界定电子商务活动中消费者、网上商家、银行、信用卡组织之间的权利义务关系，给定交易信息传送流程标准。 第一章 电子商务安全导论 本章小结 本章概述了电子商务安全的现状和趋势，提出了进行电子商务安全技术研究的现实意义。 电子商务整个运作过程中，会面临各种安全问题。典型的安全问题包括：安全漏洞、病毒感染、黑客攻击、网络仿冒以及其他方面的不可预测的风险。 从计算机信息系统的角度看，电子商务系统的安全是由系统实体安全、系统运行安全和系统信息安全3个部分来组成的。只有提供了保密性、完整性、有效性、认证性、不可否认性、访问控制性等6方面安全性，才满足电子商务安全的基本需求。 电子商务的安全发展必须依靠法律的保障。世界范围内已陆续有多个国家承认电子合同、电子签名、电子商务凭证等的法律效力，为电子商务提供了一个数据完整性、不可否认性的安全环境。 电子商务的安全防制措施包括技术措