第七章电子商务安全.ppt

第七章 电子商务安全 第一节 电子商务的安全目标 一、电子商务面临的威胁 二、电子商务安全的目标 一、电子商务面临的威胁 1. 黑客攻击 2. 搭线窃听 3. 伪装身份 4. 信息泄密、篡改、销毁 5. 间谍软件袭击 6. 网络钓鱼 二、电子商务安全的目标 第二节 电子商务安全技术 一、加密技术 二、认证技术 三、安全协议 四、防火墙技术 一、加密技术 2. 对称加密体制的优点与缺点 3. 对称加密体制的算法 DES（Data Encryption Standard）是一个对称的分组加密算法。 DES算法以64位为分组进行明文的输入，在密钥的控制下产生64位的密文；反之输入64位的密文，输出64位的明文。它的密钥总长度是64位，因为密钥表中每个第8 位都用作奇偶校验，所以实际有效密钥长度为56位。 DES算法可以通过软件或硬件实现。 2. 非对称加密体制的优点与缺点 3. 非对称加密体制的算法 （三）两种加密体系的对比 （四）对称与非对称加密体系的结合 在实际应用中，通常将利用DES对称加密算法来进行大容量数据的加密，而采用RSA非对称加密算法来传递对称加密算法所使用的密钥。 这种二者结合的体系，就集成了两类加密算法的优点，既实现了加密速度快的优点，又实现了安全方便管理密钥的优点。 （二）消息认证概述 数字时间戳 数字时间戳服务（Digital Time-Stamp Service，DTS）由专门的机构提供。能提供电子文件发表时间的安全保护。 数字时间戳是一个经加密后形成的凭证文档，它包括三个部分： ★ 需加时间戳的文件的摘要； ★ DTS收到文件的日期和时间 ★ DTS的数字签名。 三、安全协议 （一）传输层安全协议——SSL 1. 秘密性： 使用对称密钥实现数据加密，确保连接安全。 2. 完整性： 使用安全的哈希函数如MD5、SHA等计算校验码，确保了信息的完整性和可靠性连接。 3. 认证性： 通过非对称加密技术实现身份验证。 （二） 应用层安全协议——SET SET协议的目标 SET协议保证了在电子交易过程中： (1)机密性--保证信息的安全传输。 (2)数据完整性--保证电子商务参与者信息的相互隔离。 (3)身份的合法性--解决多方认证问题。 (4)不可否认性--保证网上交易的实时性。 (5)兼容性和互操作功能。 SSL协议和SET协议的对比 四、防火墙技术 第三节 电子商务的安全管理 一、机构制度管理 二、风险制度管理 三、法律制度管理 一、机构制度管理 （一）认证机构 在电子交易中，无论是时间戳服务还是数字证书的发放，都不是靠交易双方自己能完成的，而是需要一个具有权威性和公正性的第三方机构来完成。 认证机构CA(Certification Authority)就是承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。 （二） 数字证书 数字证书又称为数字凭证、数字标识。是由CA证书授权中心 发行的，能提供在Internet上进行身份验证的一种权威性电子文档，人们可以用它来证明自己在互联网中的身份或识别对方的身份。 二、风险制度管理 三、法律制度管理 2004年8月28日全国人大常委会第十一次会议通过了《中华人民共和国电子签名法》。签名法是我国推进电子商务发展，扫除电子商务发展障碍的重要步骤。该法被认为是中国首部真正电子商务法意义上的立法。 2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过《电子认证服务管理办法》，自2005年4月1日起施行。 2005年11月10日中国银行业监督管理委员会第40次主席会议通过《电子银行业务管理办法》自2006年3月1日起施行。 一、选择题 1. 用户识别方法不包括：( ) A. 根据用户知道什么来判断????????? B. 根据用户拥有什么来判 C. 根据用户地址来判断???? D. 根据用户是什么来判断 2. 以下身份认证技术中，属于生物特征识别技术的有包括：( ) A. 数字签名识别法 B. 指纹识别法 C. 语音识别法 D. 头盖骨的轮廓识别法 3. 触发电子商务安全问题的原因有：( ) A. 黑客的攻击 B. 管理的欠缺 C. 网络的缺陷 D. 软件的漏洞 4. 病毒防范制度包括的内容有：( ) A. 给自己的电脑安装防病毒软件 B. 不打开陌生地