第5章 电子商务安全.pptx

第5章电子商务安全技术;5.1电子商务安全概述

5.1.1电子商务安全含义;常见的病毒;常见的病毒;5.1.2电子商务安全威胁;信息传输风险;5.1.2电子商务安全威胁;1.有效性

对网络故障、操作错误、应用程序作物、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。

2.必威体育官网网址性

电子商务是建立在一个较为开放的网络环境中的，维护商业机密是电子商务全面推广应用的重要保障。必威体育官网网址性一般是通过密码技术对传输的信息进行加密处理来实现。

3.完整性

贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。完整性一般可通过提取信息的摘要的方式来获得。

;4.认证性

在交易开始之前，买卖双方能够认证对方的身份，即可以识别对方的身份是真实的。认证性一般通过CA及其发放的数字证书来实现。

5.不可抵赖性

主要指交易的双方不能否认彼此之间所进行的信息交流。发信者事后否认曾经发送过某条信息或内容，收信者事后否认曾经收到某条信息或内容；不可抵赖性一般通过对发送的消息进行数字签名来获取。

6.即需性

即需性是防止延迟或拒绝服务，即需安全危险就在于破坏正常的计算机处理或完全拒绝服务。;山东考生徐玉玉案;5.2防火墙;;;正常情况下，所有互联网的分组数据都应经过防火墙的过滤，这将造成网络交通的瓶颈，例如在攻击性分组出现时，攻击者会不时寄出分组，让防火墙疲于过滤分组，而使一些合法分组软件，亦无法正常进出防火墙。

防火墙虽然可以过滤互联网的分组，但却无法过滤内部网络的分组，因此若有人从内部网络攻击时，防火墙是毫无用武之地的。

电脑自身操作系统存在的系统漏洞，使入侵者可以利用这些系统漏洞来绕过防火墙的过滤，进而入侵电脑。

防火墙无法有效阻挡病毒的攻击，尤其是隐藏在数据中的病毒。

;5.3电子商务通信安全;加密技术包括两个元素：算法和密钥。算法是将明文与一串字符（密钥）结合起来，进行加密运算后形成密文。密钥是在明文转换为密文或将密文转换为明文的算法中???入的一串字符，它可以是数字、字母、词汇或语句。

常用的现代加密技术有两种：对称加密和非对称加密。

;对称加密技术是指发送方和接收方使用同样密钥的密码体制，即文件加密和解密使用相同的密钥。这类算法要求发送者和接收者在安全通信之前，商定一个密钥。由于对称算法的安全性依赖于密钥，密钥必须必威体育官网网址。

;比较常用的对称密钥算法有DES（DataEncryptionStandard，数据加密标准）。DES算法是一个对称的分组加密算法。简单的DES算法是以64位为分组进行明文输入，在密钥的控制下产生64位的密文；反之输入64位的密文，输出64位的明文。;非对称加密技术使用的是密钥对，即加密密钥和解密密钥不同。公钥（publickey）是公开的，可以像电话簿一样，存储于文件中，文件保存在密钥中心；私钥（privatekey）由用户自己保存，只有自己才能知道。通常用公钥加密，私钥解密来保证信息的机密性；用私钥加密，公钥解密来保证身份认证。

;非对称加密技术的算法使用最多的是RSA。RSA算法是1978年由美国麻省理工学院的三位学者R.L.Rivest、A.Shamir和L.Adleman设计的非对称加密方法，算法以发明者名字的首字母来命名。它是第一个既可用于加密，也可用于数字签名的算法。

一般来说，RSA只用于少量数据加密，在互联网中广泛使用的电子邮件和文件加密软件PGP（prettygoodprivacy）就是将RSA作为传送会话密钥和数字签名的标准算法。

;5.3电子商务通信安全

两种加密技术对比;基本的加密算法

替换法;23;5.4电子商务认证技术;1数字摘要

数字指纹验证文件是否被非法篡改校验

2数字信封

确保特定的收件人

3数字签名

鉴别特定的发件人

4数字时间戳

电子文件发表时间的安全保护与证明

包含：1.文件摘要

2.机构收到文件的日期和时间

3.数字时间戳机构的数字签名;在电子交易中，无论是时间戳服务还是数字证书的发放，都不是靠交易双方自己能完成的，而是需要一个具有权威性和公正性的第三方机构来完成。认证中心就是承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。

认证中心的功能

（1）证书的颁发。（2）证书的更新。（3）证书的查询。（4）证书的作废（5）证书的归档。

目前，我国CA认证市场主要由行业或地方政府部门建立的认证中心构成。;;最高管理机构：CFCA

CFCA是全国惟一的金融根认证中心，由中国人民银行负责统一规划管理。自2