[第09章电子商务安全技术.ppt

第9章：电子商务安全技术 9.1 计算机网络安全概述 9.2 电子商务安全威胁和安全需求 9.3 电子商务的主要安全技术 9.4 电子商务安全交易协议 9.1 计算机网络安全概述 9.1.1 网络安全的概念 9.1.2 网络安全威胁 9.1.1 网络安全的概念 计算机网络的安全理解为“通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络系统的必威体育官网网址性、完整性和可用性”。 网络安全分为两大类：物理安全和逻辑安全。 物理安全是指在物理介质层次上对存储和传输的信息的安全保护，它是信息安全的最基本保障； 逻辑安全是指使用非物理手段或措施对存储和传输的信息的安全保护 。 9.1.2 网络安全威胁 网络安全威胁是指网络中对存在缺陷的潜在利用，这些缺陷可能导致信息泄漏、系统资源耗尽、非法访问、资源被盗、系统或信息被破坏。 主要有： 物理威胁 ，如 自然灾害、窃取、废物搜寻、窃听等 系统漏洞威胁，如 软硬件系统漏洞、网络协议缺陷等 身份鉴别威胁，如 钓鱼站点、口令破解等 有害程序威胁，如 病毒、木马程序等 网络信息污染，等，如 恶意发布的信息、非法传言等。 9.2 电子商务安全威胁和安全需求 9.2.1 电子商务的安全问题 9.2.2 电子商务的安全需求 9.2.1 电子商务的安全问题 一、信息的安全问题 冒充身份、非法侵入、篡改数据、伪造e-mail等。 二、信用的安全问题 主要指电子商务交易过程中买卖双方的信用安全 三、信息的管理问题 EC交易信息的管理问题，如以制度防止内部犯罪等。 四、安全的法律保障问题 主要指制度不完善给EC交易带来的法律安全风险。 9.2.2 电子商务的安全需求 为了保障网上交易各方的合法权益、保证能够在安全的前提下开展电子商务，以下基本安全需求必须得到满足: 一、信息的必威体育官网网址性 二、信息的完整性 三、身份的真实性 四、不可抵赖性 五、系统的可用性 六、信息的访问控制性 一、信息的必威体育官网网址性 信息的必威体育官网网址性就是指信息在以电子化方式传送时，保证一些敏感信息不被泄露。 信息的必威体育官网网址性通常是通过加密技术来隐藏数据项来实现的。 二、信息的完整性 信息的完整性是指信息在以电子化方式传送时，保持信息未被修改过，发送方和接收方都希望确保接收到的信息同发送方发送的信息没有任何出入。 数据的完整性被破坏可能导致贸易双方信息的差异，将影响贸易各方的交易顺利完成。 三、身份的真实性 网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要确认对方的身份。对于商家要考虑客户端不能是骗子，而客户也会担心网上的商店是否是一个玩弄欺诈的黑店。 因此能方便而可靠地确认对方身份是网上交易的前提。 四、不可抵赖性 不可抵赖性是防止一方对交易或通信发生后进行否认。 在无纸化的电子商务方式下，不可能像在传统的纸面交易中通过手写签名和印章进行双方的鉴别，一般通过电子记录和电子和约等方式来表达。 五、系统的可用性 可用性或称即需性，是指保证商业信息及时获得和保证服务不被拒绝。 在电子商务过程中，参与各方能否及时进行数据交换，关系到电子商务的正常运行。 破坏即需性后，计算机的处理速度非常低，低到一定程度就会影响电子商务的正常运行。如果正常客户要求的服务被拒绝，那将失去大量的客户。 六、信息的访问控制性 信息的访问控制性是防止对进程、通信及信息等各类资源的非法访问。 安全管理人员要求能够控制用户的权限，分配或终止用户的访问、操作、接入等权利，使系统拒绝为未被授权者提供信息和服务。 电子商务安全需求与相应的安全技术 9.3 电子商务的主要安全技术 9.3.1 数据加密技术 9.3.2 数字摘要技术 9.3.3 数字签名技术 9.3.4 数字证书和认证技术 9.3.5 防火墙技术 9.3.1 数据加密技术 一、数据加密概述 二、对称加密系统 三、非对称加密系统 四、两种加密系统的结合使用 一、数据加密概述 加密技术是最基本的信息安全技术，是实现信息必威体育官网网址性的一种重要手段，目的是为了防止除合法接收者以外的人获取敏感机密信息。 所谓信息加密技术，就是用基于数学方法的程序和必威体育官网网址的密钥对原始信息进行重新编码，把计算机数据变成一堆杂乱无章难以理解的字符串从而隐藏信息的内容，也就是把明文变成密文。 一、数据加密概述 数据加密的术语： 明文：人或机器能够读懂和理解的信息称为明文，它可以是文本、数字化语音流或数字化视频信息等。 密文：通过数据加密的手段，将明文变换成晦涩难懂的信息称为密文。 加密过程：将明文转变成密文的过程。 解密过程：加密的逆过程，即将密文转换成明文的过程。 密钥：用于加、解密过程中的一些特殊信息(参数)，它是控制明文与密文之间变换的关键，可以是数字、词汇或语句等。密钥可以分为加密密钥和解密密钥，分别使用于加