电子商务的安全技术——数字签名
专业:信息管理与信息系统
班级:信管本科班
学号:
姓名:
日期:2015年6月30日
摘要:近来基于Internet 开展的电子商务已逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet 进行商务活动,电子商务的发展前景十分诱人,成为推动企业发展的核心力量,它的地位和作用已经很难撼动。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中,都要用到数字签名技术。本文对数字签名这一技术的应用加以讨论,提出了一种新的改良方案叫安全数字签名,在一定程度上解决了数字签名方案所存在的问题,真正保证电子商务的正常运作。通过介绍在数字签名技术中将信息发送者与信息传递结合起来,用以保障发送者所发送的信息在传递过程中的完整性,并可提供信息发送者的身份认证,以防止信息发送者对所发送信息的抵赖行为产生的实现过程,指出了数字签名的概念和意义,探讨了数字签名技术在电子商务中的应用,并分析了数字签名应用中存在的问题及应对策略。
关键词:电子商务;对称密钥;非对称密钥;安全数字签名
Abscract:Recently the electronic commerce which established upon internet have gradually became a new mode in people’s business activities. More and more people take the business communication through internet, so the development of electronic commerce shall be tremendous, become the core energy to promote development of enterprise,it play a key role in business trade. But the accompanying safety issues also have went into stood out. Digital Signature Technology plays an important role in electronic commerce safety technology.It is widely applied in sourcing distinguish、integrality service、non-denying service. The application of digital signature technology is discussed, and some potential safe troubles are given. So a new improved design—safe digital signature is presented, which settles some issues of digital signature design in a certain extent, and ensures the normal operation of electronic commerce actually.
Key word : electronic commerce;symmetry secret key;non-symmetry secret key,;safe digital signature
目录
1.绪论 (3)
1.l研究背景 (3)
1.2 国内外研究现状 (3)
1.3本文的研究内容及意义 (4)
2.数字签名的概念和意义 (4)
2.1数字签名的概念 (4)
2.2 数字签名的意义 (5)
2.3数字签名的过程 (5)
3.数字签名的实现 (5)
3.1对称式加密技术 (6)
3.2非对称加密技术 (6)
3.3数字签名技术常见算法 (7)
4.数字签名中存在的问题及应对策略 (8)
4.1数字签名中存在的问题 (8)
4.2应对我国数字签名应用中存在问题的策略 (8)
参考文献 (9)
1.绪论
1.l研究背景
21世纪,信息技术迅速发展,互联网的产生为人类社会创造出一个全新的活动空间。随着科技进步和各种实践活动的进行,人们利用数字信号在互联网上进行商务活动,催生出了电子商务(E-business,E-commerce)这一全新的概念。电子商务是人类科技、经济、文化共1司发展的必然产物,是信息社会的全新商务模式,是商务活动未来的必然趋势。虽然对很多人来说,电子商务就是互联网上购物等,但是电子商务的业务领域并不局仅仅局限这些,它还包括了很多其他商业活动,例如企业与企业间的交易活动,公司用以支持销售、采购、招聘、计划以及其他活动的业务流程等。通过电子数据传输技术开展商务活动,其中最常用的技术是互联网,但是也包括诸如在PDA或者移动电话上进行的无线传输技术。电了商务使所有用户在产品质量与服务、降低成本、选择多样化以及新产品与服务等方面受益。电子商务给世界带来的冲击将是持久的多面的。未来几十年中,它将极大地改变我们的生活方式。经济学家eoLoue在《AsTimeGoesby:Industrial Revolution 》中描述了革命的四次浪潮。通过全球性的联网活动,简化贸易活动流程,改善物流运作系统,从而大幅度地降低交易的成本,增加贸易的机会,推动企业的业务重组进度和经济结构调整,极大地提高了社会生产力的发展。
1.2 国内外研究现状
如何建立一个安全、便捷的电子商务应用环境,保证整个商务过程中信息的安全性,使基于 Internet 的电子交易方式与传统交易方式一样安全可靠,已经成为在电子商务应用中所关注的重要技术问题。数字签名正是由此产生的可以解决电子商务活动中否认、伪造、篡改及冒充等问题的一项技术。
目前《电子签名法》在我国已经实施。据不完全统计,目前已经有多达 20 个国家通过了电子签名方面的立法,另外还有 13 个左右的国家已经拿出了草案,目前正在立法程序之中。数字签名作为电子商务的应用技术,越来越得到人们的重视,如何建立一个安全、便捷的电子商务应用环境,保证整个商务过程中信息的安全性,使基于Internet 的电子交易方式与传统交易方式一样安全可靠,已经成为在电子商务应用中所关注的重要技术问题。数字签名可以解决电子商务活动中否认、伪造、篡改及冒充等问题的一项技术。
1.3本文的研究内容及意义
安全问题是企业应用电子商务过程中最担心的问题,电子商务系统是建立在计算机网络系统之上的商务系统。对于大多数网民来讲,互联网为人与人、人与企业之间的交流带来了更多的便利,然而也为不法分子获取不法利益提供了更多的途径。数字签名是可以解决电子商务活动中否认、伪造、篡改及冒充等问题的一项技术本文通过对电子商务及电子商务安全的描述,逐一介绍电子商务安全内容及其安全需求,钊一对电子商务安全面临的各种威胁,从安全体系方面说明其应对方式。着重讲解电子商务领域中的数字签名技术及其各种实现方案,对比传统数字签名中的不足,说明安全数字签名的原理及其实现流程。最后重点介绍基于RSA和DES算法的安全数字签名,设计出一种结合RSA和DES算法的安全数字签名方案。
2.数字签名的概念和意义
2.1数字签名的概念
数字签名就是在公钥加密系统的基础上建立起来的! 数字签名的产生涉及的运算方式是为人们所知的散列函数。哈希函数功能其实是一种数学计算过程!在安全的哈希函数功能情形下,要想从已知的哈希函数结果中推导出原信息来是不可能的,而哈希函数功能可以使软件在更少且可预见的数据量上运作生成数字签名,却保持与原信息内容之间的高度相关,且有效保证信息在经数字签署后并未做任何修改,保证其数据的完整性。数字签名就是只有信息的发送者才能产生的,别人无法伪造的一段数字串,它同时也是对发送者发送的信息的真实性的一个证明,签署一个文件或其他任何信息时,签名者首先须准确界定要签署内容的范围。然后,签名者通过软件中的哈希函数功能将计算出被签署信息惟一的哈希函数结果值,最后使用签名者的私人密码将哈希函数结果值转化为数字签名,
得到的数字签名对于被签署的信息和用以创建数字签名的私人密码而言都是唯一的。
2.2 数字签名的意义
为了鉴别文件或书信的真伪,传统的做法是相关人员在文件或书信上亲笔签名或印章签名起到认证核准和生效的作用,随着信息时代的到来。人们希望通过通信网络迅速传递各种信息,这就出现了信息真实性认证的问题,数字签名就应运而生了数字签名,它的意义就是用来保证信息传输过程中信息的完整性和提供信息发送者身份的认证。在电子商务中安全方便地实现在线支付,而数据传输的安全性、完整性和身份验证机制以及交易的不可抵赖性等大多通过安全性认证手段加以解决。电子签名可以方便企业和消费者通过互联网在线进行商业交易,使企业和消费者双方获利。
2.3数字签名的过程
数字签名的过程分两大部分,即签名与验证。即发送方将原文用哈希算法求得数字摘要,用签名私钥对数字摘要加密得数字签名,发送方将原文与数字签名一起发送给接收方,接收方验证签名,即用发送方公钥解密数字签名,得出数字摘要,收方将原文采用同样哈希算法又得一新的数字摘要,将两个数字摘要进行比较。如果二者匹配,说明经数字签名的电子文件传输成功。
数字签名是相对于手书签名而言的,签名主要起到认证、核准和生效的作用,是指采用一定的数据交换协议,使用密码算法对待附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造。数字签名就是基于加密技术的一种信息认证技术。信息认证的目的有两个:一是验证信息的发送者是真正的发送者,还是冒充的;二是验证信息的完整性,即验证信息在传送或存储过程中是否被篡改、重放或延迟等。类似现实中的签名或印章,接收方对其进行验证,判断发送者的身份和原文真伪。签名机制的本质特征是该签名只用通过签名者的私有信息才能产生,也就是说,一个签名者的签名只能惟一的由他自己产生。当收发双方发生争议时,第三方(仲裁机构)就能够根据消息上的签名来裁定这条消息是否确实由发送方发出,从而实现抵赖性安全服务。
3.数字签名的实现
根据定义我们可知数字签名有以下基本特征:
笔名应是可信的。(2)签名应是不一可伪造的。(3)签名应是无法重复使用的。
(4)签名的文件应是无法被非法修改的。(5)签名应是不可被否认的。实现数字签名有很多方法,目前采用较多的是对称加密技术和非对称加密技术。
3.1对称式加密技术
对称式加密就是加密和解密使用同一个密钥,双方具有共享的密钥,只有在双方都知道密钥的情况下才能使用,通常应用于孤立的环境之中,比如在使用自动取款机(ATM)时,用户需要输入用户识别号码(PIN),银行确认这个号码后,双方在获得密码的基础上进行交易。对称加密的突出特点是加密速度快(通常比非对称加密快 10 倍以上)、效率高,被广泛用于大量数据的加密。但该方法的致命缺点是密钥的传输与交换面临着安全问题,密钥易被截获,而且若和大量用户通信,难以安全管理大量的密钥,因此大范围应用存在一定问题。目前常用的对称加密算法有 DES、PCR、IDEA、3DES 等等。其中 DES 使用最普遍,被 ISO 采用作为数据加密的标准。
DES 是一个对称加密算法,它以 64 位为分组对数据加密。64 位一组的明文从算法的一端输入,64 位的密文从另一端输出,DES 是一个对称算法,加密与解密用的同一个算法(除密钥编排不同之外)。密钥长度为 56 位。(密钥通常表示为64 位的数,但每个第 8 位都用着奇偶校验)密钥可以是任意的 56 位数,且在任意时候都可以改变,其中有极少数被认为是弱密码,但容易避开它们。所有的密码的保密性依赖于密钥,所以用科学的方法选一个完备的密钥很重要,简单的说,DES 算法主要包括两个基本技术—混乱和扩散的组合。DES 基本组建分组是这些技术的一个组合(先替代后置换),它基于密钥作用于明文,这是众所周知的轮(round)。DES 有 16 轮,这意为着要在明文的分组上 16 次施用相同的组合技术。
3.2非对称加密技术
非对称密钥加密技术也称为公开密钥加密技术,是由安全问题专家WitefieldDiffre 和 MartinHellman 于 1976 年首次提出的。这种技术需要使用一对密钥来分别完成加密和解密操作,每个用户都有一对密钥,一个私钥(PrivateKey)和一个公钥(PublicKey),它们在数学上相关、在功能上不同。私钥由所有者秘密持有,而公钥则由所有者给出或者张贴在可以自由获取的公钥服务器上,就像用户的姓名、电话、E-mail 地址一样向他人公开。如果其他用户希望与该用户通信,就可以使用该用户公开的密钥进行加密,而只有该用户才
能用自己的私钥解开此密文。当然,用户的私钥不能透露给自己不信任的任何人。非对称密钥加密技术实现机密信息交换的基本过程是:
①用户生成一对密钥并将其中的一个作为公钥向其他用户公开;
②发送方使用该用户的公钥对信息进行加密后发送给接收方;
③接收方利用自己保存的私钥对加密信息进行解密,接收方只能用自己的私钥解密由其公钥加密后的任何信息。
非对称密钥算法中涉及到的概念:
1)密钥对
在基于公钥体系的安全系统中,密钥是成对生成的,每对密钥由一个公钥和一个私钥组成。在实际应用中,私钥由拥有者自己保存,而公钥则需要公布于众。为了使基于公钥体系的业务(如电子商务等)能够广泛应用,一个基础性关键的问题就是公钥的分发与管理。公钥本身并没有什么标记,仅从公钥本身不能判别公钥的主人是谁。
2)证书
互联网络的用户群决不是几个人互相信任的小集体,在这个用户群中,从法律角度讲用户彼此之间都不能轻易信任。所以公钥加密体系采取了另一个办法,将公钥和公钥的主人名字联系在一起,再请一个大家都信得过有信誉的公正、权威机构确认,并加上这个权威机构的签名。这就形成了证书。由于证书上有权威机构的签字,所以大家都认为证书上的内容是可信任的;又由于证书上有主人的名字等身份信息,别人就很容易地知道公钥的主人是谁。
3)CA(CertificateAuthority)
本文中所谈到的权威机构就是电子签证机关(即 CA)。CA 也拥有一个证书(内含公钥),当然,它也有自己的私钥,所以它有签字的能力。网上的公众用户通过验证 CA 的签字从而信任 CA,任何人都应该可以得到 CA 的证书(含公钥),用以验证它所签发的证书。如果用户想得到一份属于自己的证书,用户先向 CA提出申请。在 CA 判明申请者的身份后,便为用户分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给那个用户(申请者)。如果一个用户想鉴别另一个证书的真伪,这个用户就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。CA 除了签发证书之外,它的另一个重要作用是证书和密钥的管理。由此可见,证书就是用户在网上的电子个人身份证,同日常生活中使用的个人身份证作用一样。
3.3数字签名技术常见算法
数字签名的算法很多,应用最为广泛的三种:Hash签名、DSS签名、RSA签名。
(1)Hash 签名:Hash 签名不属于强计算密集型算法,应用较广泛。很多少量现金付款系统都使用 Hash 签名。由于使用较快的算法,可以降低服务器资源的消耗,减轻中央服务器的负荷。Hash 的主要局限是接收方必须持有用户密钥的副本以检验签名,因为双方都知道生成签名的密钥,较容易攻破,存在伪造签名的可能。如果中央或用户计算机中有一个被攻破,那么其安全性就受到了威胁。
(2)DSS 和RSA 签名: DSS和 RSA采用了公钥算法,不存在Hash的局限性。RSA 是最流行的一种加密标准,许多产品的内核中都有 RSA 的软件和类库,早在 Web 飞速发展之前,RSA 数据安全公司就负责数字签名软件与Macintosh 操作系统的集成,在Apple的协作软件PowerTalk上还增加了签名拖放功能,用户只要把需要加密的数据拖到相应的图标上,就完成了电子形式的数字签名。RSA 与Microsoft、IBM、Sun和Digital都签订了许可协议,使在其生产线上加入了类似的签名特性。与 DSS 不同,RSA既可以用来加密数据,也可以用于身份认证。和Hash签名相比,在公钥系统中,由于生成签名的密钥只存储于用户的计算机中,安全系数大一些。
4.数字签名中存在的问题及应对策略
4.1数字签名中存在的问题
我国电子商务起步相对较迟,技术较落后,缺乏具有自主知识产权的安全产品,因此在许多方面还存在安全隐患在数字签名中主要存在的安全问题有数字签名的网络安全问题! 电子商务运行的平台就是互联网,而互联网是一个面向公众的开放性的系统,其本身就存在安全因素,这对数字签名的安全带来巨大的威胁"关于用户隐私和商业秘密保护方面”的问题,用户采用了数字签名技术后,其隐私和商业秘密能否得到保障也是一个难题。数字签名的实现需经过多个环节,从发送端经公众网络传输至认证中心,然后再经公众网络传至接收端,每一个环节用户的数据都有可能被泄露。在广泛接受数字签名的过程中还存在着诸多法律问题,需要立法机构对数字签名技术有足够的重视,并且在立法上加快脚步,迅速制定有关法律,以充分实现数字签名具有的特殊鉴别作用。
4.2应对我国数字签名应用中存在问题的策略
以下提出应对我国数字签名存在问题的若干建议:
大力发展先进的具有自主知识产权的信息技术,建立一个完整的信息网络安全体系.我国的信息安全研究起步较晚,在网络信息系统中使用的计算机、路由器等软硬件系统大部分由国外引进。而且信息技术相对落后,这就增加了我国数字
签名发展中的安全风险。因此要加快完善我国信息网络安全的技术安全管理安全和政策法律安全体制的步伐。
参考文献
[1]毛德操,胡希明著.Linux 内核源代码情景分析[M].浙江大学出版社 2001.9.
[2]方勇,刘嘉勇著,信息系统安全导论[M],电子工业出版社,2003.2.
[3]王开庆.计算机密码学原理[M].清华大学出版社, 2000.11.
浅谈电子商务中的安全技术 王海 (南京航空航天大学信息科学与技术学院 南京 210016) E-mail:wwanghaih@https://www.doczj.com/doc/a67603618.html, 摘 要:电子商务的安全保障是电子商务发展的基础,本文分析了电子商务所采用的主要的安全技术, 包括现代加密理论(对称加密、公钥体制)、完整性保障、数字签名以及认证技术在电子商务中的应用。 关键词:电子商务;加密技术;完整性保障;数字签名认证技术 1.引言 所谓电子商务(Electronic Commerce),是指通过电子手段来完成整个商业贸易活动的过程。电子商务主要涉及三方面内容:信息、电子数据交换和电子资金转帐。在电子商务中,安全性是一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等。电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。 2.电子商务面临的安全威胁[1]及安全需求[2] 2.1电子商务面临的安全威胁 电子商务的安全性并不是一个孤立的概念,它不但面临着系统自身的安全性问题;而且,由于它是建立在计算机和通信网络基础上的,所以计算机及通信网络的安全性问题同样会蔓延到电子商务中来。电子商务在这样的环境中,时时处处受到安全的威胁,其安全威胁可分为以下四大类: 2.1.1信息的截获和窃取 如没有采取加密措施或加密强度不够,攻击者通过采用各种手段非法获得用户机密的信息。 2.1.2信息的篡改 攻击者利用各种技术和手段对网络中的信息进行中途修改,并发往目的地,从而破坏信息的完整性。这种破坏手段有三种: (1)篡改:改变信息流的次序。 (2)删除:删除某个消息或消息的某些部份。 - 1 -
电子商务网络安全 摘要:介绍了电子商务技术的发展,网络交易安全是电子商务发展的核心和关键问题,目前主要采用的电子商务安全防伪技术有:数据加密技术;认证技术;和安全认证协议。 关键词:电子商务计算机网络安全措施商务交易安全措施存在问题及对策 引言 电子商务实际是基于物联网站开展的各种商务活动,由于Internet本身具有开放性,且具有不直接对面性,其资金流转具有计算机处理性和网络传输性,使得交易的安全成为了电子商务发展的核心和关键问题。为了确保在交易过程中信息有效、真实、可靠且保密,所以电子商务在网络安全技术方面就显得尤为重要。本文将概述是目前有关电子商务网络安全技术介绍以及对策,所面临的问题。[ 6 ] 1 电子商务的概念 电子商务(Electronic Commerce),是指实现整个贸易活动的电子化。从涵盖范围方面可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易;从技术方面可以定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(如共享数据库、电子公告牌)以及自动捕获数据(如条形码)等。 电子商务涵盖的业务包括:信息交换、售前售后服务(如提供产品和服务的细节、产品使用技术指南、回答顾客意见)、销售、电子支付(如使用电子资金转帐、信用卡、电子支票、电子现金)、运输(包括商品的发送管理和运输跟踪,以及可以电子化传送的产品的实际发送)、组建虚拟企业(组建一个物理上不存在的企业,集中一批独立中小公司的权限,提供比任何单独公司多得多的产品和服务)、公司和贸易伙伴可以共同拥有和运营共享的商业方法等。 [ 1,] 由于电子商务是在因特网等网络上进行的,因此网络是电子商务最基本的构架。电子商务还强调要使系统的软件和硬件、参加交易的买方和卖方、银行或金融机构、厂商、企业和所有合作伙伴,都要在Intranet、Extranet、Internet中密切结合起来,共同从事在网络计算机环境下的商业电子化应用。Intranet是整个交易的基础,通过Intranet的建立和完善,解决好内容管理(Content Management)和协同及信息(Collaboration and Messaging)问题。在此基础上才能顺利扩展Intranet,最后扩展到
5.2 电子商务网络安全技术 一、防火墙技术 1、什么是防火墙 防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。再电脑术语中,当然就不是这个意思了。 防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、具有潜在破坏性的侵入。防火墙示意图:
2、防火墙种类 从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。 3、防火墙的使用 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。 二、病毒防范措施 1、用户应养成及时下载最新系统安全漏洞补丁的安全习惯,从根源上杜绝黑客利用系统漏洞攻击用户计算机的病毒。同时,升级杀毒软件、开启病毒实时监控应成为每日防范病毒的必修课。 2、请定期做好重要资料的备份,以免造成重大损失。 3、选择具备“网页防马墙”功能的杀毒软件(如KV2008),每天升级杀毒软件病毒库,定时对计算机进行病毒查杀,上网时开启杀毒软件全部监控。 4、请勿随便打开来源不明的Excel或Word文档,并且要及时升级病毒库,开启实时监控,以免受到病毒的侵害。 5、上网浏览时一定要开启杀毒软件的实时监控功能,以免遭到病毒侵害。
6、上网浏览时,不要随便点击不安全陌生网站,以免遭到病毒侵害。 7、及时更新计算机的防病毒软件、安装防火墙,为操作系统及时安装补丁程序。 8、在上网过程中要注意加强自我保护,避免访问非法网站,这些网站往往潜入了恶意代码,一旦用户打开其页面时,即会被植入木马与病毒。 9、利用Windows Update功能打全系统补丁,避免病毒从网页木马的方式入侵到系统中。 10、将应用软件升级到最新版本,其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等;更不要登录来历不明的网站,避免病毒利用其他应用软件漏洞进行木马病毒传播。 11、开启江民杀毒软件“系统漏洞检查”功能,全面扫描操作系统漏洞,及时更新Windows操作系统,安装相应补丁程序,以避免病毒利用微软漏洞攻击计算机,造成损失。 5.3 加密技术 一、加密技术 1、概念 加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术的应用是多
电子商务网络安全技术浅析 发表时间:2019-07-01T16:12:11.307Z 来源:《基层建设》2019年第10期作者:徐昊桢1 杨铭2 任家稳3 [导读] 摘要:电子商务的发展前景十分诱人,而其安全问题也是变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。 1.身份证号:32062319951207XXXX 2.身份证号:42100319970409XXXX 3.身份证号:34262319951009XXXX 摘要:电子商务的发展前景十分诱人,而其安全问题也是变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。 关键词:安全管理,监控,审计,安全构架 电子商务是通过电子方式处理和传递数据,包括文本、声音和图像,它涉及许多方面的活动,包括货物电子贸易和服务、在线数据传递、电子资金划拨、电子证券交易、电子货运单证、商品拍卖、合作设计和工程、在线资料、公共产品获得等内容。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的一部分,原因就在于电子商务的安全问题,美国密执安大学的一个调查机构通过对 23000名因特网用户的调查显示:超过60%的人由于担心电子商务的安全问题而不愿意进行网上购物。因此,从传统的基于纸张的贸易方式向电子化的贸易方式转变过程中,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。 一、与网络安全相关的因素 网络安全从本质上讲就是网络上信息的安全,包括静态信息的存储安全和信息的传输安全。从广义上讲,凡是涉及网络上信息的保密性、完整心、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为保证网络的安全,必须保证一下四个方面的安全: 1.运行系统的安全; 2.网络上系统信息的安全; 3.网络上信息传播安全; 4.网络上信息内容的安全。 为了保证这些方面的安全,大家通常会使用一些网络安全产品,如防火墙、VPN、数字签名等,这些安全产品和技术的使用乐意从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面的,而对于网络系统来讲,它需要的是一个整体的安全策略,这个策略不仅包括安全保护,它还应该包括安全管理、实时监控、响应和恢复措施,因为目前没有绝对的安全,无论你的网络系统布署的如何周密,你的系统总会有被攻击和攻破的可能,而这时你会怎么半呢?采用一些恢复措施,帮助你在最短的时间使网络系统恢复正常工作恐怕是最主要的了。因此在构筑你的网络安全解决方案中一定要注重一个整体的策略,下面我们将介绍一种整体的安全构架。 二、电子商务安全的整体构架 我们介绍的电子商务构架概括为“一个中心,四个基本点”。一个中心就是以安全管理为中心,四个基本点是保护、监控、响应和恢复。这样一种构架机制囊括了从保护到在线监控,到响应和恢复的各个方面,是一种层层防御的机制,因此这种构架可以为用户构筑一个整体的安全方案。 1.安全管理。安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,以及对人员的安全意识的培训、教育等。 2.保护。保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。这种保护可以称作静态保护,它通常是指一些基本防护,不具有实时性,因此我们就可以在防火墙的规则中加入一条,禁止所有从外部网用户到内部网WEB服务器的连接请求,这样一旦这条规则生效,它就会持续有效,除非我们改变了这条规则。这样的保护可以预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。 3.监控/审计。监控就是实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的,审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录下通过网络的所有数据包,然后分析这些数据包,帮助你查找已知的攻击手段,可疑的破坏行为,来达到保护网络的目的。 监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,因此网络安全不是一层不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护,这种想法是错误的,因为安全保护是基本,监控和审计是其有效的补充,只有这两者有效结合,才能够满足动态安全的需要。 4.响应。响应就是当攻击正在发生时,能够及时做出响应,职向管理员报告,或者自动阻断连接等,防止攻击进一步的发生。响应是整个安全架构中的重要组成部分,为什么呢?因为即使你的网络构筑的相当安全,攻击或非法事件也是不可避免的要发生的,所以当攻击或非法事件发生的时候,应该有一种机制对此做出反应,以便让管理员及时了解到什么时候网络遭到了攻击,攻击的行为是什么样的,攻击结果如何,应该采取什么样的措施来修补安全策略,弥补这次攻击的损失,以及防止此类攻击再次发生。 5.恢复。当入侵发生后,对系统赞成了一定有破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制来及时恢复系统正常工作,因此恢复电子商务安全的整体架构中也是不可少的一个组成部分。恢复是归终措施,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。 三、安全架构的工作机制 在这处安全架构中,五个方面是如何协调工作的呢?下面将以一个例子一介绍。假设有一个黑客欲攻击一内部网,这个内部网整体安全架构就如前面介绍的一样,那么现在让我们来看看这个安全架构是如何工作来抵制黑客的。 1.当这处黑客开始缶内部网发起攻击的时候,在内部网的最外面有一个保护屏障,如果保护屏障可以制止黑客进入内部网,那么内部网就不可能受到黑客的破坏,别的机制不用起作用,这时网络的安全得以保证。
电子商务安全技术试卷
————————————————————————————————作者:————————————————————————————————日期:
XX 大学2009-2010学年第一学期考试试卷 电子商务安全技术 注意事项: 1. 请考生按要求在试卷装订线内填写姓名、学号和年级专业。 2. 请仔细阅读各种题目的回答要求,在规定的位置填写答案。 3. 不要在试卷上乱写乱画,不要在装订线内填写无关的内容。 4. 满分100分,考试时间为120分钟。 题 号 一 二 三 四 总 分 统分人 得 分 一、填空题(共10分,每空1分): 1.电子商务安全从整体上分为( )和电子商务交易安全两大部分。 2.所谓加密,就是用基于( )方法的程序和保密的密钥对信息进行编码,把明文变成密文。 3.密码体制从原理上可分为单钥体制和( )。 4.链路-链路加密中,由于传送的信息在每个节点处都将以( )形式存在,故要加强每个节点的实体安全。 5. 电子商务活动是需要诚信的,如何来确定交易双方的身份就显得特别重要。目前,是通过认证中心(CA )发放( )来实现的。 6. 数字证书是利用数字签名和( )来分发的。 7. ( )允许一台机器中的程序像访问本地服务器那样访问远程另一台主机中的资源。 8. 分布式防火墙是一种( )的安全系统,用以保护企业网络中的关键节点服务器、数据及工作站免受非法入侵的破坏。 9. ( )又称灾难恢复,是指灾难产生后迅速采取措施恢复网络系统的正常运行。 得 分 评分人
10. 信息安全等级的具体划分主要从信息完整性、保密性和( )三个方面 综合考虑 。 二、判断题(共10分,每题1分) 1.故意攻击网站触发安全问题,以此来研究新的安全防范措施是对电子商务安全善意 的攻击。 ( ) 2.分组密码是一种重要的对称加密机制,它是将明文按一定的位长分组,输出不定长 度的密文。 ( ) 3.在代理多重签名中,一个代理签名可以代表多个原始签名人。 ( ) 4.数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接受方用 发送方的公开密钥进行解密。 ( ) 5.SSL 建立在TCP 协议之上,它与应用层协议独立无关,应用层协议能透明地建立于 SSL 协议之上。 ( ) 6.认证机构CA 和注册机构RA 都可以发放数字证书。 ( ) 7.实现防火墙的网络安全策略时,可以遵循的两条原则是:一是未被明确允许的一定 都将被禁止;二是未被明确禁止的未必都被允许。 ( ) 8.不连网的计算机不会感染计算机病毒。 ( ) 9.为了确保系统管理人员的忠诚可靠,系统管理的工作应当长期由一人来负责。( ) 10.计算机信息媒体出入境的普遍办理过程一般为先申报,后检测,最后报送。 ( ) 三、选择题(共40分,每小题2分) 1. 软件开发人员为了方便,通常也会在软件里留下“后门”,通过在后门里植入 ( ),很容易就可获取用户隐私。 A.木马程序 B.反击程序 C.跟踪程序 D.蠕虫程序 2.确保交易信息的真实性和交易双方身份的合法性是电子商务安全需求中的 ( ) A 、不可否认性 B 、完整性 C 、认证性 D 、保密性 3. 小雪想要加密一封E-mail 发给她的朋友小刚。为了只让小刚看到这封信,她需要用 什么来加密 ( ) A 、她的公钥 B 、她的私钥 C 、小刚的公钥 D 、小刚的私钥 4. 下列对于数字签名要求的说法中,不正确的是 ( ) A 、收方能够确认或证实发方的签名,但不能伪造 得 分 评分人 得 分 评分人
电子商务安全技术试卷A 考试时间:120 分钟考试方式:开卷 一、单项选择题(每小题1.5分,共计30分;请将答案填在下面 1.电子商务的安全需求不包括( B ) A.可靠性 B.稳定性 C.匿名性 D.完整性 2.以下哪个不是常用的对称加密算法( D ) A.DES B.AES C.3DES D.RSA 3.访问控制的要素有几种( D ) A.2 B.3 C.4 D.5 4. 下面关于病毒的叙述正确的是( D )。 A.病毒可以是一个程序 B.病毒可以是一段可执行代码 C.病毒能够自我复制 D. ABC都正确 5. 根据物理特性,防火墙可分为( A )。 A. 软件防火墙和硬件防火墙 B.包过滤型防火墙和双宿网关 C. 百兆防火墙和千兆防火墙 D.主机防火墙和网络防火墙 6.目前公认的保障网络社会安全的最佳体系是( A ) A.PKI B.SET C.SSL D.ECC 7.防火墙软件不能对付哪类破坏者? ( C ) A.未经授权的访问者 B.违法者 C.内部用户 D.地下用户 8.数据的备份类型不包括? ( B )
A.完全备份 B.部分备份 C.增量备份 D.差别备份 9.针对木马病毒的防范,以下正确的是( A ) A.设置复杂密码,最好包含特殊符号 B.随意打开不明邮件的附件 C.浏览不健康网站 D.网上下载的软件未经扫描就使用 10.以下那个不是杀毒软件的正确使用方法( A ) A.中毒之后再下载杀毒软件来安装 B.设置开机自动运行杀毒软件 C.定期对病毒库进行升级 D.经常针对电脑进行全盘扫描 11.关于密码学的术语描述错误的是( B ) A.最初要发送的原始信息叫做明文 B.算法是在加密过程中使用的可变参数 C.密文是被加密信息转换后得到的信息 D.解密是将密文转换为明文的过程 12.以下说法错误的是? ( D ) A.电子商务中要求用户的定单一经发出,具有不可否认性 B.电子商务中的交易信息要防止在传输工程中的丢失和重复 C.电子商务系统应保证交易过程中不泄漏用户的个人信息 D.电子商务系统应该完全杜绝系统延迟和拒绝服务的情况发生。 13.使用计算机应遵循的完全原则不包括如下哪一个( D ) A.密码安全原则 B.定期升级系统 C.禁止文件共享 D.允许远程访问 14.HTTPS是使用以下哪种协议的HTTP?( C ) A.SSH B.SET C.SSL D.TCP 15.下列哪一项不属于电子商务使用的主要安全技术( C ) A.加密 B.电子证书 C.实名认证 D.双重签名 16.典型的DES以( A )位为分组对数据进行加密? A.64 B.128 C.256 D.512 17.VPN的含义是( B ) A.局域网 B.虚拟专用网络 C.广域网 D.城域网 18.移动电子商务对系统的安全需求不包括( C ) A.身份认证 B.接入控制 C.数据可靠性 D.不可否认性 19.以下那种情况可以放心的使用在线电子支付系统( D ) A.在单位的公用电脑 B.在网吧 C.在肯德基使用免费WIFI D.在家庭的网络中 20.以下哪种操作可以有效防护智能手机操作系统安全( B ) A.下载安装腾讯QQ B.使用专门软件实时监控手机运行状态 C.给手机设置密码,密码是自己的生日 D.经常打开微信,链接各种网站。
电子商务网络信息安全问题 【内容提要】构筑安全电子商务信息环境是网络时代发展到一定阶段的“瓶颈”性课题。本文侧重讨论了其中的信息安全技术、数字认证、信息安全协议、信息安全对策等核心问题。 【摘要题】信息法学 【关键词】电子商务/网络/信息安全/信息安全技术/数字认证/信息安全协议/信息安全对策 美国著名未来学家阿尔温·托夫勒说:“电脑网络的建立和普及将彻底改变人类生存及生活的模式,控制与掌握网络的人就是未来命运的主宰。谁掌握了信息,控制了网络,谁就拥有整个世界。”的确,网络的国际化、社会化、开放化、个人化诱发出无限的商机,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,就成为了网络时代发展到一定阶段而不可逾越的“瓶颈”性问题,愈来愈受到国际社会的高度关注。 电子商务中的信息安全技术 电子商务的信息安全在很大程度上依赖于技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等。 1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安
全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。 防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类: ●包过滤技术(PackctFiltering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP 源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。 ●代理(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服
第8章电子商务安全技术 (一) 单项选择 1、()是确保电子商务参与者无法抵赖(或否认)其网上行为的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 2、()是确认与你在Internet上交易的个人或者试题的身份的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 3、()是确保信息和数据只能被得到授权的人读取的能力。 A 不可否认性 B 真实性 C 机密性 D 完整性 4、SET是指() A 安全电子交易 B 安全套接层协议 C 安全HTTP D 安全电子技术 5、()是可以组织远程客户机登录到你的内部网络。 A 代理服务器 B 防病毒软件 C 操作系统控制 D 防火墙 6、()可以监视通过网络传递的信息,从网络上任何地方盗取企业的专有信息。 A 恶意代码 B 电子欺骗 C 网络窃听 D 内部人行为 7、()是用来保护信道安全的最常用的方式。 A 安全超文本传输协议 B 安全套接层协议 C 虚拟专用网 D 公共网络 8、()很可能成为电子商务中最典型的犯罪行为。 A 网上信用卡诈骗 B 电子欺骗 C 网络窃听 D 恶意代码 9、()通常感染可执行文件。 A 宏病毒 B 脚本病毒 C 文件感染型病毒 D 特洛伊木马 10、()向网站大量发送无用的通信流量从而淹没网络并使网络瘫痪。 A 拒绝服务攻击 B 阻止服务攻击 C 分布式拒绝服务攻击 D 分散式拒绝服务攻击 11.以下攻击手段中不属于欺骗攻击的是() A.伪装B.会话劫持C.洪水攻击D.中间人攻击 12.签名者在不知道签名具体信息的情况下所做的签名称为()。 A.群签名B.盲签名C.团体签名D.防失败签名 13.以下匿名的实现机制中,()通过在群内随机转发消息来隐藏消息的发送者。A.群方案B.匿名转发器链C.假名D.代理机制 14.以下电子现金方案中,()系统的数字现金证书当天有效。 A.E--Cash B.Mini--Pay C.CyberCash D.Mondex 15.()是对计算机和网络资源的恶意使用行为进行识别和响应的处理过程。 A.漏洞扫描B.入侵检测C.安全审计D.反病毒 16.散列函数对同一报文M,无论何时何地,反复执行该函数得到的输出结果都是一样的,是指散列函数的()。 A.单向性B.普适性C.不变性D.唯一性 17使用密钥将密文数据还原成明文数据,称为:()。 A:解码;B:解密C:编译;D:加密; 18、所谓对称加密系统就是指加密和解密用的是()的密钥。 A、不同 B、互补 C、配对D相同 19、在下面的选项中不符合非对称密钥体制特点的是()。 A、密钥分配简单 B、密钥的保存量少 C、密钥的保存量多 D、可实现身份识别 20、电子支票在使用过程中,需要通过()来鉴定电子支票的真伪。
电子商务信息安全技术 摘要文章主要从技术角度阐述了电子商务信息安全问题,详细说明了电子商务信息存有的问题,并提出了相对应的技术解决方案。 关键词电子商务信息安全数据加密网络安全 一、电子商务信息安全问题 因为Internet 本身的开放性,使电子商务系统面临着各种各样的安全威胁。当前,电子商务主要存有的安全隐患有以下几个方面。 1. 身份冒充问题 攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份 与他人实行交易,实行信息欺诈与信息破坏,从而获得非法利益。主 要表现有:冒充他人身份;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户等。 2. 网络信息安全问题 主要表现在攻击者在网络的传输信道上,通过物理或逻辑的手段,实行信息截获、篡改、删除、插入。截获,攻击者可能通过度析网络物理线路传输时的各种特征,截获机密信息或有用信息,如消费者的账号、密码等。篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个信息或信息的某些部分;插入,即在信息中插入一些信息,让收方读不懂或接受错误的信息。 3. 拒绝服务问题 攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚 假资讯,扰乱正常的资讯通道。包括:虚开网站和商店,给用户发电 子邮件,收订货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能即时得到响应。 4. 交易双方抵赖问题 某些用户可能对自己发出的信息实行恶意的否认,以推卸自己应承担
的责任。如:发布者事后否认以前发送过某条信息或内容;收信者事 后否认以前收到过某条信息或内容;购买者做了订货单不承认;商家 卖出的商品质量差但不承认原有的交易。在网络世界里谁为交易双方的纠纷实行公证、仲裁。 5. 计算机系统安全问题 计算机系统是实行电子商务的基本设备,如果不注意安全问题,它一样会威胁到电子商务的信息安全。计算机设备本身存有物理损坏,数据丢失,信息泄露等问题。计算机系统也经常会遭受非法的入侵攻击以及计算机病毒的破坏。同时,计算机系统存有工作人员管理的问题,如果职责不清,权限不明同样会影响计算机系统的安全。 二、电子商务安全机制 1. 加密和隐藏机制 加密使信息改变,攻击者无法读懂信息的内容从而保护信息;而隐藏则是将有用的信息隐藏在其他信息中,使攻击者无法发现,不但实现了信息的保密,也保护了通信本身。 2. 认证机制 网络安全的基本机制,网络设备之间应互相认证对方身份,以保证准 确的操作权力赋予和数据的存取控制。网络也必须认证用户的身份,以保证准确的用户实行准确的操作并实行准确的审计。 3. 审计机制 审计是防止内部犯罪和事故后调查取证的基础,通过对一些重要的事件实行记录,从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。审计信息应具有防止非法删除和修改的措施。 4. 完整性保护机制 用于防止非法篡改,利用密码理论的完整性保护能够很好地对付非法 篡改。完整性的另一用途是提供不可抵赖服务,当信息源的完整性能够被验证
第!卷!第"期邵阳学院学报!自然科学版" #$%&!&’$&" ())"年!(月*$+,-.%$/01.$2.-34-567,8592! ’.9+,.%0:57-:78";7:&#"""""""""""""""""""""""""""""""""""""""""""""""""""())" 文章编号!!<=(>=)!)"())"#)">))"?>)" 电子商务中的网络安全技术 张高德 !武汉大学计算机学院#湖北武汉!"@))=($邵阳学院#湖南邵阳!"(())) "摘要!网络是开展电子商务的基础!网络的安全性直接关系到电子交易的安全性&本文着重分析了计算机网络安全问题及其产生的原因!针对电子商务交易过程中信息的动态性!探讨了防止动态攻击的技术"加密#数字签名以及防火墙技术& 关键词!电子商务$网络安全$动态攻击$加密$数字签名$防火墙中图分类号!A ’=!!!!!文献标识码!B !"#$%&’()*"#+,"-./%0%1+2 /30"-#&%/4--%55"&-"C DB ’E E .$>F 7 !!"#$%&&#’#%($%)*+,#-#.+"/01023#-42,5# .+"/0#6+7#2#"@))=($8"/%5/0’1023#-42,5#8"/%5/0’# 6+0/0"(()))"678#&)-#%A 1787:+,592$/G .2H 7-9585H G $,9.-99$7%7:9,$-5::$H H 7,:7&’79I $,J 58917K .87$/7%7:9,$-5::$H H 7,:7$91787L :+,592$/H 79I $,J 58F 5,7:9%2,7%.97F 9$7%7:9,$-5::$H H 7,:7&A 158G .G 7,I .85-97-F 7F 9$.-.%28589178./792G ,$K -%7H$/:$H G +97,-79I $,J.-F 598:.+87&B -F.5H 5-3.9917F 2-.H 5:5-/$,H .95$-5-917G ,$:788$/7%7:9,$-5::$H H 7,:7#I 7F 58:+887F.K $+991797:1-$%$32.6$5F 5-3F 2-.H 5:.%.99.:J 91.9587-:,2G 95$-97:1-$%$32.-FF 5359.%853-.9+,797:1-$%$32#.-F 91797:1-$%$32$//5,7L I .%%& 9"+$ %&:8%M :$H H 7,:7$-79I $,J8./792$F 2-.H 5:.99.:J $J 72$F 5359.%853-.9+,7$/5,7I .%%收稿日期!())">)N >(O 作者简介!张高德!!N =!>!" #男#湖南新宁人#邵阳学院教师&!!电子商务随着因特网的发展而迅速发展# 由于现代电子商务对网络的依赖#电子商务的网络安全显得尤为重要& !!电子商务的网络安全问题 计算机网络安全一般是指网络信息的机密性&完整性&可用性及真实性&网络信息的机密性是指网 络信息的内容不会被未授权的第三方所知& 网络信息的完整性是指信息在存储或传输时不被修改&破坏#不会出现信息包的丢失&乱序等#即不能为未授权的第三方修改&网络信息的完整性是信息安全的基本要求#破坏信息的完整性是影响信息安全的常用手段&网络信息的可用性包括对静态信息的可得到和可操作性及对动态信息内容的可见性&网络信 息的真实性是指信息的可信度#主要是指对信息所 有者或发送者的身份的确认&针对电子商务交易的特殊性#要求其有防抵抗性#防假冒性&!&!!网络安全问题产生的根源 网络安全问题的产生是与网络的信息传输机制密切相关的& 首先#网络中的信息是从一台计算机的存储系统流向另一台计算机的存储系统#在整个传输过程中#信息的发送者和接受者只能对发送和接受过程加以控制#而对中间传输过程则无权进行有效地控制&如果信息传输路由中存在不可信或具有攻击者的中继节点机#信息可能会被修改&破坏或泄露#导致计算机网络的安全性受到严重的威胁&另外一个原因与网络的运行机制有关&因为网络的运行机制是一种协议机制#不同的节点之间的信息交换 万方数据
单项选择题 1.在电子商务系统可能遭受的攻击中,从信道进行搭线窃听的方式被称为( B) A.植入B.通信监视C.通信窜扰D.中断 2.消息传送给接收者后,要对密文进行解密是所采用的一组规则称作(D ) A.加密B.密文C.解密D.解密算法 3.在以下签名机制中,一对密钥没有与拥有者的真实身份有唯一的联系的是(A ) A.单独数字签名B.RSA签名C.ELGamal签名D.无可争辩签名4.MD-5是___C _轮运算,各轮逻辑函数不同。A.2 B.3 C.4 D.5 5.综合了PPTP和L2F的优点,并提交IETF进行标准化操作的协议是(B ) A.IPSec B.L2TP C.VPN D.GRE 6.VPN按服务类型分类,不包括的类型是( A) A. Internet VPN B.Access VPN C. Extranet VPN D.Intranet VPN 7.目前发展很快的安全电子邮件协议是_______ ,这是一个允许发送加密和有签名 邮件的协议。( C) A.IPSec B.SMTP C.S/MIME D.TCP/1P 8. 对SET软件建立了一套测试的准则。( A) A.SETCo B.SSL C.SET Toolkit D.电子钱包 9.CFCA认证系统的第二层为( B) A.根CA B.政策CA C.运营CA D.审批CA 10. SHECA提供了__A___种证书系统。A.2 B.4 C.5 D.7 11.以下说法不正确的是( A) A.在各种不用用途的数字证书类型中最重要的是私钥证书 B.公钥证书是由证书机构签署的,其中包含有持证者的确切身份 C.数字证书由发证机构发行 D.公钥证书是将公钥体制用于大规模电子商务安全的基本要素 12.以下说法不正确的是( C) A. RSA的公钥一私钥对既可用于加密,又可用于签名 B.需要采用两个不同的密钥对分别作为加密一解密和数字签名一验证签名用C.一般公钥体制的加密用密钥的长度要比签名用的密钥长 D.并非所有公钥算法都具有RSA的特点 13. _______是整个CA证书机构的核心,负责证书的签发。( B) A.安全服务器B.CA服务器C.注册机构RA D.LDAP服务器14.能够有效的解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题的是(A ) A. PKI B.SET C.SSL D.ECC 15. _______在CA体系中提供目录浏览服务。( D) A.安全服务器B.CA服务器C.注册机构RA D.LDAP服务器 16. Internet上很多软件的签名认证都来自_______公司。( D) A.Baltimore B.Entrust C.Sun D.VeriSign 17.SSL支持的HTTP,是其安全版,名为( A) A.HTTPS B.SHTTP C.SMTP D.HTMS 18. SET系统的运作是通过C 个软件组件来完成的。A.2 B.3 C.4 D.5 19.设在CFCA本部,不直接面对用户的是(A ) A.CA系统B.RA系统C.LRA系统D.LCA系统 20. CTCA的个人数字证书,用户的密钥位长为(D ) A.128 B.256 C.512 D.1024
课程设计说明书 课程名称: 信息安全技术 设计题目:电子商务信息安全整体解决方案 院系: 计算机科学与信息工程学院 学生姓名: 学号: 专业班级: 指导教师:
目录 摘要................................................................ - 2 - 正文................................................................ - 3 - 1.电子商务环境安全问题 .............................................. - 3 - 1.1 计算机安全................................................... - 3 - 1.2 网络安全..................................................... - 3 - 1.3 数据安全..................................................... - 3 - 1.4 应用安全..................................................... - 3 - 2. 电子商务交易安全问题 ............................................. - 3 - 2.1 交易信息安全................................................. - 4 - 2.2 支付安全..................................................... - 4 - 2.3 诚信安全..................................................... - 4 - 3. 电子商务安全问题的对应安全技术.................................... - 4 - 3.1数据加密技术 ................................................. - 5 - 3.2数字签名..................................................... - 5 - 3.3数字信封..................................................... - 6 - 3.4数字证书..................................................... - 6 - 4. 电子商务安全的网络实现技术 ....................................... - 6 - 4.1 安全套接层协议(SSL) .......................................... - 7 - 4.2 安全电子交易协议(SET) ........................................ - 7 - 5.电子商务交易形式和诚信安全解决方案................................. - 8 - 5.1 电子商务的交易形式........................................... - 8 - (1)客户直接与商家在线支付的电子商务交易....................... - 9 - (2)客户通过支付中介与商家在线支付的电子商务交易............... - 9 - 5.2电子商务诚信安全解决方案 .................................... - 10 - 总结............................................................... - 12 - 参考文献........................................................... - 12 -
电子商务安全技术 简介:这就是大学上课时学习得电子商务安全技术,就是全书得概要,总结。大学期末考试,可以拿它做为参考。 第一篇电子商务安全概述 电子商务就是由计算机、通信网络及程序化、标准化得商务流程与一系列安全、认证法律体系所组成得一个集合。 电子商务系统就是由Internet、用户、配送中心、认证中心、银行与商家等组成 TCP/IP协议, 第1章电子商务安全基础 乙发送一条信息甲,信息内容就是:请给乙向银行中打入10000元。落款:乙、 甲收到:信息为:请给丙向银行中打入10000元,乙。 其实在传递信息得过程中已被丙修改了信息。 1.1电子商务安全概念 电子商务安全就就是保护在电子商务系统里得企业或个人资产不受未经授权得访问、使用、窜改或破坏。电子商务安全覆盖了电子商务得各个环节。涉及到三方面:客户端-通信传输-服务器端。
电子商务安全得六项中心内容: 1、商务数据得机密性或保密性 通过加密来实现得。 2.电子商务数据得完整性或正确性 一定要保证数据没有被更改过。 3.商务对象得认证性 第三方认证。 CA认证中心。 4.商务服务得不可否认性 5.商务服务得不可拒绝性或可用性。6.访问得控制性 1、2电子商务安全问题 技术上得安全性,安全技术得实用可行性。要考虑以下三方面得问题: 1)安全性与方便性 2)安全性与性能 3)安全性与成本
一、问题得提出 二、电子商务得安全隐患 1、数据被非法截获,读取或修改 数据加密 2、冒名顶替与否认行为 数字签名、加密、认证 3.一个用户未经授权访问了另一个网络。 Intranet:企业内部网 Internet:因特网 防火墙 4.计算机病毒 杀毒软件 1.3电子商务安全需求 一、电子交易得安全需求 1、身份得可认证性 保证交易双方身份就是真实得,可靠得,不被冒名顶替。2.信息得保密性
电子商务网站的安全防范技术 摘要:论述了在构建电子商务网站时应采取的安全措施:防火墙技术、入侵检测系统、网络漏洞扫描器、防病毒系统和安全认证系统,以及它们之间的相互配合。关键词:网站;安全;电子商务前言由于电子商务网站是在Internet这个完全开放的网络中运行,大量的支付信息、订货信息、谈判信息、商业机密文件等在计算机系统中存放、传输和处理,而网络黑客、入侵者、计算机病毒在网上随处可见,它们窃取、篡改和破坏商务信息。为了确保电子商务活动的健康发展和正常进行,除了应加大对黑客和计算机犯罪的打击力度外,加强电子商务网站自身的安全防护也是非常重要的。因此,当一个企业架设电子商务网站时,应选择有效的安全措施。 1电子商务网站安全的要求影响 电子商务网站安全的因素是多方面的。从网站内部看,网站计算机硬件、通信设备的可靠性、操作系统、网络协议、数据库系统等自身的安全漏洞,都会影响到网站的安全运行。从网站外部看,网络黑客、入侵者、计算机病毒也是危害电子商务网站安全的重要因素。电子商务网站的安全包括三个方面的要求: 1.1网站硬件的安全要求网站的计算机硬件、附属通信设备及网站传输线路稳定可靠,只有经过授权的用户才能使用和访问。1.2网站软件的安全网站的软件不被非法篡改,不受计算机病毒的侵害;网站的数据信息不被非法复制、破坏和丢失。1.3网站传输信息的安全指信息在传输过程中不被他人窃取、篡改或偷看;能确定客户的真实身份。本文主要论述当电子商务网站面对来自网站外部的安全威胁时,应采取哪些有效的安全措施保护网站的安全。 2电子商务网站的安全措施 2.1防火墙技术防火墙是指一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。防火墙基本分为两类:包过滤和基于代理的防火墙。包过滤防火墙对数