第四章安全电子商务基础.pptVIP

第三章电子商务安全 安全性的含义 密码安全：是通信安全的最核心的部分。在技术上通 过强悍的密码系统以及正确的使用方法保证。 计算机安全：应具有强大的计算机软、硬件系统；同 时确保信息不会被非授权人员和非授权计算机访问、 获取和修改。 网络安全：物理设施的保护、软件及人员的安全，防 止非授权的介入；防止偶发或蓄意使用的手段进行干 扰和破坏。 信息安全：保护信息财富，避免偶发或有意的非授权 泄露、修改、破坏和处理能力的丧失。 电子商务安全的基本要求 保密性：保持个人的、专用的和高度敏感数据的机密 认证性：确认通信双方的合法身分 完整性：保证所有存储和管理的信息不被篡改 可访问性：保证系统数据和服务能由合法的人员访问 防御性：能够阻挡不希望的信息和黑客侵入 不可否认性：防止通信双方对已进行业务的否认 合法性：保证各方的业务符合可适于的法律和法规 电子商务安全遭受威胁的种类 计算机网络安全： 互连网“出生”的目的不是安全，而是数据冗余。 ? 计算机网络设备安全（物理部件） ? 网络系统安全（网络操作系统、传输协议等） ? 数据库的安全（原始数据） ? 通信环节的安全（信息盗窃） ? 人员操作失误和恶意攻击 电子商务的商务交易安全： ? 交易抵赖：提交订单后不付款；付款后收不到商品。 ? 信息假冒：假冒订单；冒用销售者服务器的相同名 字，建立另一个WWW服务器假冒销售者。 ? 信息的截获和窃取：个人身份及帐户被非法窃取。 ? 信息篡改：使原始交易数据被破坏。 解决电子商务安全问题的策略 电子商务安全交易体系 技术保障 电子商务可使用多种安全方法，保障数据传输的 安全性。常用的方法有以下的几种: ? 信息加密技术（数据保密） ? 数字摘要（数据完整性） ? 数字签名（不可否认性） ? 数字时间戳（不可否认性） ? 数字认证（身份确认） ? CA认证体系(电子商务安全的保障） 信息加密技术 ? 对称密钥加密体制(单密钥加密体制) ? 非对称密钥加密体制(公钥加密体制) ? 数字摘要技术（哈希函数） 对称密钥加密技术的典型应用 —（DES） ? 将信息划分成64位（bit）的数据块，在64位密钥 （8位校验位，实际使用56位）的控制下产生k位的加 密密文。 ? 加密的基本方法是：用密钥将原始数据打散打乱， 让别人（无密钥者）很难组合起原始数据。 ? DES方法的加密过程分为16轮，每轮在密钥的作用 下都将上一轮打散的数据再打散，每打散一次相当 于给数据加一把锁，相当于加16把。 寻找DES密钥所需的平均时间 非对称密钥加密体制 信息加密和解密使用的是不同的两个密钥（称为 “密钥对”，一个是“公开密钥”，一个是“私有密 钥”）。如果用公开密钥对数据进行加密，则只有用 对应的私有密钥才能解密；反之，若用私有密钥对 数据进行加密，则须用相应的公开密钥才能解密。 ? 缺点：加密速度较慢，是对称密钥的1/5000 ? 代表性加密技术：RSA、ElGamal技术 数字认证技术 ? 数字摘要 ? 数字信封 ? 数字签名 ? 数字时间戳 ? 数字证书 ? 生物统计学身份识别 数字摘要 采用单向杂凑（Hash）函数对文件进行变换、运算 得到摘要码，并把摘要码和文件一同送给接收方， 接收方接到文件后，用相同的方法（Hash）对文件 进行变换计算，用得出的摘要码与发送来的摘要码 进行比较，来断定文件是否被篡改。 ? 摘要码也称为数字指纹、杂凑值、哈希函数等 ? 摘要码有固定长度，为128位 ? 具有不能被解密的单向性 ? 相同信息其摘要相同 ? 不同信息其摘要不同 数字摘要过程 数字签名 ? 用发送方的私有密钥对数字摘要进行加密得到数字 签名，因此数字签名是只有信息的发送者才能产生 而别人无法伪造的一段数字串，有确认对方的身 份，防抵赖的作用。 ? 接收方用发送方的公开密钥对数字签名进行解密， 再用数字摘要原理来保证信息的完整和防篡改性。 ? 为确认数字签名的真实性，采用数字证书，将“公 钥”与其拥有者紧密结合。 数字时间戳 数字时间戳技术就是对电子文件签署的日期和时 间进行的安全性保护和有效证明的技术。它是由 专门的认证机构来加的，并以认证机构收到文件 的时间为依据。 数字证书（digital ID） ? 数字证书亦称公开密钥证书，在网络通信中标志 通信各方身份信息的一系列数据。 ? 认证中心颁发的数字证书均遵循ITU X.509国际标 准（数字证书内容包括：证书的版本号、数字证书 的序列号、证书拥有