当前位置:文档之家 › 电子商务安全体系

电子商务安全体系

  • 格式:ppt
  • 大小:1.35 MB
  • 文档页数:53

下载文档原格式

  / 53

合集下载

电子商务安全管理体系的构建

电子商务安全管理体系的构建

电子商务安全管理体系的构建电子商务安全管理体系的构建引言随着互联网的快速发展,电子商务成为了商业活动中不可或缺的一部分。

然而,随之而来的安全威胁也越来越多。

为了保护企业的利益和消费者的权益,构建一个有效的电子商务安全管理体系变得至关重要。

本文将讨论电子商务安全管理体系的构建,并提供一些建议和实施步骤。

1. 电子商务安全管理体系概述电子商务安全管理体系是一个组织在电子商务环境中进行安全管理的框架。

它涵盖了各个层面的安全管理,包括技术、人员和流程等方面。

一个完善的电子商务安全管理体系能够确保企业数据和客户信息的安全,并减少遭受网络攻击和数据泄露的风险。

2. 电子商务安全管理体系的重要性构建一个健全的电子商务安全管理体系具有以下重要性:2.1 保护企业信息安全企业信息是电子商务活动中的核心资产之一。

通过建立安全管理体系,企业能够对重要数据进行有效的保护,防止其被未经授权的人员访问、修改或删除。

2.2 提高用户信任度安全管理体系能够增强用户对企业的信任度。

用户在购物过程中需要提供个人信息和支付信息,如果企业能够有效地保护用户数据的安全,用户会更加愿意信任并选择该企业作为交易伙伴。

2.3 预防潜在风险和损失一个完善的安全管理体系能够识别和防范潜在的安全威胁,减少因安全漏洞导致的风险和损失。

通过实施合适的安全策略和控制措施,企业能够及时发现和应对安全事件,减少潜在的损失。

3. 电子商务安全管理体系的构建步骤构建一个有效的电子商务安全管理体系需要经过以下步骤:3.1 评估风险首先,企业需要进行一次全面的安全风险评估。

通过对现有的安全策略、技术、流程和人员能力进行评估,确定已经存在的安全风险和薄弱环节。

3.2 制定安全策略根据风险评估的结果,企业需要制定相应的安全策略。

安全策略应该明确规定保护数据和信息的方法和控制措施,确保其与企业目标和法规要求相一致。

3.3 实施安全控制措施根据安全策略,企业需要实施一系列的安全控制措施。

电子商务平台的安全保障体系

电子商务平台的安全保障体系

电子商务平台的安全保障体系随着电子商务的广泛普及,人们越来越依赖互联网购物,电商平台的安全保障问题也成为了人们关注的焦点。

在这个信息爆炸的时代,网络安全问题日益复杂,因此一个安全可靠的电商平台的建立已经成为必不可少的事情。

一、用户账号的安全首先,用户账号的安全是电商平台安全保障体系的重要部分。

用户账号的信息包括用户名、密码、用户手机号、邮箱等,是电商平台上所有交易和数据的唯一标识。

如果用户账号泄露,将严重威胁用户的财产安全和个人隐私。

电商平台的应当采取措施加强账号安全。

例如账号密码应采用加密方式存储,让黑客在入侵时难以获取用户的登录信息,同时平台还应提醒用户不应使用过于简单的密码,并且应定期更改密码。

二、订购过程的安全电子商务平台的订购过程涉及交易数据,支付信息以及客户的个人信息等机密内容。

为了保护消费者的信息不被黑客窃取及删除,亚马逊等电商巨头通过 SSL 技术以及虚拟 POS 进行数据传输加密以及支付安全。

同时进行支付时因特网货币交易传输的 PGP安全协议被所有电商平台认可,确保西联、PayPal 账号泄露风险不存在。

三、交付过程的安全电商的交付过程包含订单传输、发货和物流等。

而此过程中隐私和财产的安全都面临危险。

因此,一个安全的物流系统是电商平台安全保障体系的重要组成部分。

许多电商平台已经采用了市场上最安全的物流服务,旨在降低交付过程中的风险。

此外,物流公司对货物的追踪系统也为顾客提供了物流信息,帮助顾客追踪订单。

四、售后服务的安全电商平台需要提供良好的售后服务来保证客户的权益,缓解用户购物过程的压力,让顾客放心购物。

在售后服务过程中,电商平台需要严格审核退换货政策,防止销售者及互联网诈骗者滥用其功能。

电商平台的客服团队也应经受专业培训,随时准备面对不同各样的交付、商品及付款上的问题。

总结如今,电商平台已经成为众多顾客购物的首选。

然而,安全问题成为了用户购物的无形威胁。

电子商务平台需要建立一个完备的安全保障体系来保护顾客的权益。

电子商务的安全体系

电子商务的安全体系

电子商务的安全体系摘要随着电子商务的快速发展,安全问题日益成为一个关注的焦点。

电子商务的安全体系是确保在线交易安全的关键要素。

这篇文档将探讨电子商务的安全体系的重要性以及其中的关键组成部分。

1. 引言电子商务的快速发展给商业领域带来了巨大的机遇和挑战。

随着越来越多的人选择在线交易,保证电子商务的安全性变得至关重要。

安全体系是确保在线交易安全的关键要素之一。

2. 电子商务的安全威胁在探讨电子商务的安全体系之前,我们需要先了解电子商务所面临的安全威胁。

以下是一些常见的电子商务安全威胁:2.1 网络攻击网络攻击是最常见的电子商务安全威胁之一。

黑客利用各种技术手段,包括网络钓鱼、分布式拒绝服务攻击等,来获取用户的敏感信息,例如信用卡号码和密码。

2.2 信任问题电子商务的一个重要方面是信任。

消费者需要相信他们的个人和金融信息在交易过程中是安全的。

如何建立和维护用户的信任是电子商务安全体系中的重点问题之一。

2.3 数据泄露数据泄露是电子商务安全面临的另一个主要问题。

如果商家的数据库被黑客入侵并泄露,用户的个人信息可能会落入坏人之手。

这样的事件会对用户的隐私和商家的声誉产生负面影响。

3. 电子商务的安全体系的重要性电子商务的安全体系对于保护用户和商家的利益至关重要。

以下是电子商务的安全体系的重要性:3.1 保护用户的隐私和敏感信息电子商务的安全体系可以确保用户的隐私和敏感信息在传输和存储过程中得到保护。

通过加密技术和访问控制策略,可以有效防止黑客窃取用户的个人和金融信息。

3.2 建立和维护用户的信任一个健全的安全体系是建立和维护用户信任的关键。

当用户相信他们的个人和金融信息在交易过程中是安全的,他们更有可能进行在线交易。

3.3 保护商家的声誉电子商务的安全体系还可以保护商家的声誉。

通过保护用户的个人信息和防止诈骗行为,商家可以建立良好的声誉并增加客户对其的信任度。

这对于商家的长期发展非常重要。

4. 电子商务的安全体系的关键组成部分一个完善的电子商务的安全体系应该包含以下关键组成部分:4.1 用户认证与访问控制为了确保只有合法用户可以访问系统和完成交易,用户认证和访问控制是必不可少的。

第六章电子商务安全保障体系总结

第六章电子商务安全保障体系总结

第六章电子商务安全保障系统本章概要电子商务的安全控制安全电子交易的数据加密安全电子交易的认证技术与数字证书安全电子交易(SET )标准安全电子交易的操作技术和网络建设的安全性学习目标掌握电子商务的安全控制的要乞降安全交易标准和实行方法认识安全电子交易的数据加密,理解一般的数据加密模型掌握认证技术与数字证书和安全电子交易的有关知识掌握网络建设的安全性中的网络安全面对的威迫和网络安全体制的实现知识构造图6、 1 电子商务的安全控制1、电子商务的安全控制电子商务顺利展开的中心和重点问题是保证交易的安全性,这是网上交易的基础,也是电子商务技术的难点。

用户关于安全的需要主要包含以下五个方面,(见下列图)所示。

交易的不能否定性主要包含1、源点不能否定性,即信息发送者过后没法否定其发送的信息;2、接受不能否定性,即信息接收方没法否定其遇到信息;3、回执不能否定性,即发送责任回执的各个环节均没法推辞其应负的责任。

2、电子商务安全交易标准与实行方法最近几年来,信息技术业界与金融行业为适应电子商务需要,共同研究公布了一些 Internet 标准,以保障交易的安全性,(见下列图)所示。

安全电子交易协议涵盖了信誉卡在电子商务交易中的交易协议、信息保密、资料完好及数字认证、数字署名等。

这一标准被公以为全世界网际网络的标准,其交易形态成为将来“电子商务”的规范。

安全超文本传输协议依赖密钥加密,保障Web 站点间的交易信息传输的安全性。

安全交易技术协议由 Microsoft 公司提出的安全交易协议, STT 将认证和解密在阅读器中分别开,用以提升安全控制能力。

安全套接层协议由 Netscape 公司提出的安全交易协议,供给加密、认证服务和报文完好性。

6、 2 安全电子交易的数据加密1、数据加密技术综述加密技术与密码学密切相连,利用密码技术能够把某些重要信息或数据从一个可理解的明文形式变换成为一种错杂的、不行理解的密文形式,称为加密过程;密文经过线路传递到达目的端后,用户按特定的解密方法将密文复原为明文,称为解密的过程。

电子商务安全管理体系的构建[1]简版

电子商务安全管理体系的构建[1]简版

电子商务安全管理体系的构建电子商务安全管理体系的构建引言随着电子商务的快速发展,电子商务安全问题日益引起人们的关注。

为了保护电子商务系统的安全性,提高用户信任度,构建一个完善的电子商务安全管理体系变得非常重要。

本文将介绍电子商务安全管理体系的构建过程和关键要素。

1. 电子商务安全管理体系的定义电子商务安全管理体系,简称ESMS(Electronic Commerce Security Management System),是指为了保护电子商务系统的安全性,预防和应对各种安全威胁,通过组织、策划、实施和监控来统一管理电子商务安全工作的一套体系化的方法和措施。

2. 电子商务安全管理体系的构建流程2.1 风险评估在构建电子商务安全管理体系之前,首先需要进行风险评估。

风险评估是通过识别和评估潜在安全威胁和风险,确定安全风险的严重程度和可能发生的概率,为后续的安全措施制定提供依据。

2.2 安全策略制定在风险评估的基础上,制定适合组织的安全策略是构建电子商务安全管理体系的重要一步。

安全策略包括信息安全政策、网络安全策略、数据安全策略等,具体内容根据组织的特点和需求来确定。

2.3 安全控制实施根据安全策略,制定和实施相应的安全控制措施是保障电子商务系统安全的关键。

安全控制包括技术控制和管理控制两方面。

技术控制包括访问控制、身份认证、加密通信等;管理控制包括权限管理、安全培训、安全审计等。

2.4 安全监控和评估安全监控和评估是保证电子商务安全管理体系有效运行的关键环节。

通过实时监控电子商务系统的安全状态,及时发现安全事件,并进行评估和响应,可以提高安全管理体系的可靠性和实效性。

3. 电子商务安全管理体系的关键要素3.1 安全文化建设构建电子商务安全管理体系需要建立安全意识和安全行为的良好氛围。

通过开展安全培训、组织安全活动等方式,提高员工对安全工作的重视和参与度,提升整个组织的安全文化。

3.2 预防为主在电子商务安全管理体系中,预防为主是最基本的原则。

电子商务安全保障体系研究

电子商务安全保障体系研究

32电子 商 务 安 全 实 现 的 主要 目标 .
1 真实性 : ) 对信 息的来源进行判断,能对伪造来源的信 息 予以鉴别 ; )保密性 : 2 保证机密信息不被窃听,或窃听者不能
了解 信 息 的真 实含义 ; )完整 性 : 证 数 据 的一 致 性 ,防止 数 3 保
据被非法用户篡改 ; ) 4 可用性 : 保证合法用户对信息和资源的
1 )计算机 和信息系统 、网络本身存在 的不安全 因素 ; ) 2 窃 取 :非法用 户通过 数 据窃 听的手段 获得 敏 感信息 ;2 )截
2电子交易环境保 障体 系
电子商务是商务的一部分,电子商务的诚信环境是整个社 会的商务环境的组 成部分,因此 ,电子商务诚信环境建设有赖 于整个社会 的诚信环境 。这 意味着,现行 的社会诚信 、商业
管 制行为延伸至 网络环境 ,建立在 线经营主体公示 制度,切
实 维护在线 交易的安全 ; 现行的商务行为的一些管制 以适 将 当的方 式延伸到 网络环境 ,维持正 当在线 经营秩 序 ; 打击 网
络欺诈等网络犯罪 。修订或完善 我国 《 刑法 》 《 、 刑事诉讼法》 ,
打击 网络犯罪 ,确保交 易安全,切 实维 护电子商 务经营者 和 我 国消费者 的合法权利 ; 励行业 自治组织的建立 ,并为其发 鼓 展提供 指导与帮助 ; 加大对于电子商务 的宣传,建立必要的可 行 性惩 处机制,奖惩分 明,促进 电子商务环境 的诚信建设。
2 1 .4 O 10
了如 何 确 保 主体 的真 实性 、 应性 , 何 保证 交 易资 金 的安 全 , 对 如
诚信 建设所 有制度、措施 、手段 均可以应 用于 电子商务的诚 信 建设 。不过,电子商务亦存 在一些特 殊问题需要解 决,这 便是虚拟的交易环境、 非直接 的面对面交易、 迅婕 即时交 易等,

浅析电子商务诚信安全体系的构建

犯 。由于取证 困难等 原 因 ,这种 侵权行 为又很 难获 得有 效 的法律 救济 。 1 虚假 宣传 泛滥 . 3 由于 电子商务 交易都 是通 过互联 网完 成 ,消 费者 只能
2 构 建 电子商务 安全体 系的对策
分析 以上 电子 商务诚 信问题 的主要表 现 ,其原 因主要 在 于社会诚 信意识 及 信任 度 低 、法制 及信 用 机制 不 健 全 、
监督 管理力 度不 足和缺乏 法律依 据 的保 障等方 面 。基 于 以
上原 因 ,应 在 以下 几方 面构建 电子商 务诚信安 全体 系 。 21 完 善信 用安全体 系 . 个 国家进 步与 否的标 志之一就 是信 用体系建 设 的好

通过卖 家 的描 述 和产 品图片来 感受商 品 的质量 ,所 以有 时 候买 家收 到的商 品与 网站 上 看 到 的商 品是 有很 大 差 别 的 , 使得 消费者 利益受 到侵 害 。各 种各样 网络 欺诈现 象 的出现 和因此 产生 的 网络欺诈恐 惧心 理 , 大削 减 了电子商务 买 大
商务发展 的主要瓶 颈 ,严 重影 响 了电子商务 的 良性 发展 。 电子 商务诚 信体 系建设 也成 为 2 1 0 1年 “ 两会 ”期 间的 热 门关 键 词 ,如 何 构建 完善的诚 信安 全体 系至关 重要 ,本 文就 电子 商务发展 中信 用现状进 行分 析 ,并提 出相应 解 决对策 。
【 关键 词 ] 电子商 务 ;诚信 ;安 全体 系;第 三方 [ 中图分类 号 ]F7 25 [ 文献标 识码 ] A
[ 文章编 号 ]10 63 (0 1 1 07 — 2 05— 4 2 2 1 )4 — 0 6 0
留下 了非 常不好 的印象 。 1 物流质 量得不 到保证 . 5

电子商务安全体系

电子商务安全体系随着互联网的飞速发展,电子商务已经成为人们日常生活中不可或缺的一部分。

从网上购物到在线支付,从电子票务到数字金融,电子商务的应用场景越来越广泛。

然而,与此同时,电子商务面临的安全威胁也日益严峻。

为了保障电子商务的健康发展,构建一个完善的电子商务安全体系至关重要。

电子商务安全体系主要包括技术层面、管理层面和法律层面三个方面。

在技术层面,加密技术是保障电子商务安全的核心手段之一。

通过对数据进行加密,可以将敏感信息转化为难以理解的密文,只有拥有正确密钥的接收方才能将其解密还原为明文。

常见的加密算法包括对称加密算法(如 AES)和非对称加密算法(如 RSA)。

此外,数字签名技术能够确保信息的完整性和不可否认性。

发送方使用自己的私钥对信息进行处理生成数字签名,接收方使用发送方的公钥验证签名的有效性,从而确认信息是否被篡改以及发送方的身份。

认证技术也是电子商务安全体系中的重要组成部分。

身份认证用于确认交易双方的真实身份,常见的认证方式有用户名/密码认证、数字证书认证、生物特征认证(如指纹识别、人脸识别)等。

访问控制技术则可以限制用户对系统资源的访问权限,防止非法访问和越权操作。

防火墙和入侵检测系统能够有效地防范外部网络攻击。

防火墙作为网络边界的安全屏障,根据预设的规则对网络流量进行过滤和控制。

入侵检测系统则实时监测网络活动,发现并响应潜在的入侵行为。

在管理层面,建立完善的安全管理制度是保障电子商务安全的基础。

企业需要制定明确的安全策略,明确安全目标和责任分工。

对员工进行安全培训,提高员工的安全意识和防范能力,让他们了解常见的安全威胁和应对方法,避免因人为疏忽导致的安全漏洞。

同时,要加强对电子商务系统的风险管理。

定期进行风险评估,识别可能存在的安全风险,并采取相应的风险控制措施。

建立应急响应机制,在发生安全事件时能够迅速采取措施,降低损失。

此外,对电子商务系统的日常运维管理也不容忽视。

及时更新软件和补丁,修复已知的安全漏洞;定期备份重要数据,以防数据丢失;监控系统运行状态,及时发现并解决异常情况。

电子商务安全管理体系的构建

电子商务安全管理体系的构建随着互联网的普及和信息技术的飞速发展,电子商务已经成为人们生活和经济活动中不可或缺的一部分。

然而,电子商务在带来便利和效率的同时,也面临着诸多安全威胁,如网络攻击、数据泄露、信息篡改、交易欺诈等。

这些安全问题不仅会给消费者和企业造成巨大的经济损失,还会严重影响电子商务的健康发展。

因此,构建一个完善的电子商务安全管理体系显得尤为重要。

一、电子商务安全管理体系的重要性电子商务的发展依赖于网络环境和信息技术,而网络环境的开放性和复杂性使得电子商务面临着各种各样的安全风险。

首先,消费者在进行电子商务交易时,需要提供个人身份信息、银行账号、密码等敏感信息,如果这些信息被窃取或篡改,将会给消费者带来财产损失和个人隐私泄露的风险。

其次,企业在电子商务活动中,需要处理大量的商业数据和交易信息,如果这些数据被破坏或丢失,将会影响企业的正常运营和市场竞争力。

此外,电子商务的信任机制是建立在安全保障的基础上,如果消费者对电子商务的安全性产生怀疑,将会降低其参与电子商务的意愿,从而制约电子商务的发展。

因此,构建电子商务安全管理体系是保障消费者权益、维护企业利益、促进电子商务健康发展的必要措施。

一个完善的电子商务安全管理体系可以有效地防范和应对各种安全威胁,提高电子商务的安全性和可靠性,增强消费者和企业对电子商务的信任,推动电子商务的持续发展。

二、电子商务安全管理体系的构成要素1、安全策略安全策略是电子商务安全管理体系的核心,它规定了电子商务活动中应遵循的安全原则和方针,明确了安全目标和责任。

安全策略应根据企业的业务需求、风险状况和法律法规的要求制定,并定期进行评估和更新。

2、安全组织安全组织是负责电子商务安全管理的机构和人员,包括安全管理部门、安全管理人员和安全技术人员等。

安全组织应明确各成员的职责和权限,建立有效的沟通和协调机制,确保安全管理工作的顺利进行。

3、安全技术安全技术是电子商务安全管理的重要手段,包括加密技术、认证技术、防火墙技术、入侵检测技术、防病毒技术等。

电子商务的安全体系结构及技术研究

用 网络 进 行商 务 交易 时 , 首 先 应该 具 有 身 份 认证 、 消 息认 证 和 安全 操 作 协议 等 的需 求 。在 进行 电子商 务 交 易 的过 程 中 , 必 须 对 有关 的数 据进 行加 密 、 认 证 等处 理 。 心( C A , C e r t i i f c a t e A u t h o r i t i e s ) : 认 证 中心是 作 为 第 三 方 的 一 个 权威 性 和 公 正 性 的认

2 电子商 务 中常用 的几种 安全 技术 首先 , 加 密 技术 。这 是 一种 电子 商务 中采 用 最为 广 泛 的方 法 , 其 主要 的 目的是 为 了能 够保 证 秘密 数 据不 被 外 泄 , 以及 有 效 的提高电子商务系统数据的安全性和 保 密性 。 通 常可 以将 加密 技术 分 为对 称加 密 和 不对 称 加 密两 类 : ( 1 ) 对 称加 密 : 指 的 是 对 信 息 的加 密 以及 解 密 过 程 都 使 用 相 同 的密钥 , 也 被 称 为密 钥 加 密 。在交 易的 过 程 中双 方采 用 相 同 的算 法 , 并 只交 换 专 用 的密钥 。在 此 前 提下 , 密 钥 的 安全 交 换 是 对称 加 密有 效 进行 的关 键 环节 。 目前 , 最 为常用 的对称 加密 算法包 括 D E S ( D a t a E n c r y p t i o n S t a n d a r d是使 用 最为 广 泛 的) AD E A、 3 D E S 、 R C 4等 。( 2 )非 对 称 加 密: 每一个 通讯 实体拥有一对密钥 , 通常 使用其 中一个进行加 密 ,另 一个进 行解 密 。目前 , R S A ( R i v e s t S h a mi r A d l e m a n ) 算 法 是 一种 最为 常用 的非 对称 加 密算 法 。 其次, 安全 认 证 技术 。这是 一 种 有效 的防 止 信 息 被篡 改 、 删除 、 重 放 和伪 造 的 方 法 ,它 可 以对 已发 送 的 消息 进 行 验证 , 以便 接受 者 能够 辨别 信 息 的真假 。 而 认证 的 实 现 过程 主要 包 括 数 字 摘 要 、数 字信 封、 数字签名 、 数 字 时 间戳 和认 证 中 心等 技术 。 ( 1 ) 数 字摘要 : 通 常使 用 S H A算法 , 将 需 要 加 密 的数 据 “ 摘要” 成 一 定 长 度 的 密文 。 需要 注 意 的是 该 密文 和 明文具 有相 同 的摘 要 。所 以 , 利用 数 字 摘要 可 以保证 数据 的有 效性 以及 完 整性 。 ( 2 ) 数 字 信封 : 该技 术 主要 的 是体 现 的是 保 密 性 , 其 工作 原理是使用 H A S H函数将对称密钥进行 加密 ,在 此 基 础上 对 密钥 进 行 公 钥加 密 , 将 其 和 加 密数 据 一起 发 送 给 接受 者 。 ( 3 ) 数 字 签名 : 主 要 应 用 于 身 份认 证 、 数 据 完 整性等方面。 是对非对称加密和数字摘要 技术的综合应用。( 4 ) 数字时间戳 : 在电子 商务过程 中, 需要对交易的文件和时间信 息进 行适 当的 安全 加 密措 施 , 而数字时间 戳服务( D T S )  ̄ U 是 专 门用 于 对 电 子文 件 发 表时间进行安全保护的。( 5 ) 数字凭证: 目 前常用的数字凭证包括个人凭证 、 企业凭
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

公开密钥算法具有以下特点
用加密密钥PK对明文X加密后,再用解密密钥 SK解密即得明文,即DSK(EPK(X))=X; 加密密钥不能用来解密,即DPK(EPK(X)≠X; 在计算机上可以容易地产生成对的PK和SK,但 从已知的PK不可能推导出SK。
对称密钥与非对称密钥比较比源自 项目代表密钥关 系
密钥的 传送
返回
信息摘要
密钥加密技术只能解决信息的保密性问题,对于信息的完 整性则可以用信息摘要技术来保证。 信息摘要(Message digest)又称Hash算法,是Ron Rivest发 明的一种单向加密算法,其加密结果是不能解密的。所谓 信息摘要,是指从原文中通过Hash算法(一种单向的加密算 法)而得到的一个固定长度(128位)的散列值,不同的原文所 产生的信息摘要必不相同,相同原文产生的信息摘要必定 相同。因此信息摘要类似于人类的“指纹”,可以通过信 息摘要去鉴别原文的真伪。信息摘要的使用过程如图4-4所 示。
数字信封 “数字信封”(也称电子信封)技术。 具体操作方法是:每当发信方需要发送信息时首 先生成一个对称密钥,用这个对称密钥加密所需 发送的报文;然后用收信方的公开密钥加密这个 对称密钥,连同加密了的报文一同传输到收信方。 收信方首先使用自己的私有密钥解密被加密的对 称密钥,再用该对称密钥解密出真正的报文。
2.认证中心CA(Certificate Authority)
1) CA概述 CA是一个负责发放和管理数字证书的权威机构。 在电子商务交易中,商家、客户、银行的身份都要 由CA认证。例如,持卡人要与商家通信,就要从 公共媒体上获得商家的公开密钥,但持卡人无法确 定商家不是冒充的(有信誉),于是持卡人请求CA对 商家认证。CA对商家进行调查、验证和鉴别后, 将包含商家公钥的证书传给持卡人。同样,商家也 可对持卡人进行验证。这个过程如图4-2所示。
2) 数字证书的内容 数字证书由以下两部分组成: (1) 证书数据。证书里的数据包含以下信息: ● 版本信息,用来与X.509的将来版本兼容; ● 证书序列号,每一个由CA发行的证书必须有一个惟一 的序列号; ● CA所使用的签名算法; ● 发行证书CA的名称; ● 证书的有效期限; ● 证书主题名称; ● 被证明的公钥信息,包括公钥算法、公钥的位字符串 表示(只适用于RSA加密体制);
3) 数字证书的申请
不同CA类型数字证书的申请步骤略有不同,一般有下列步 骤: (1) 下载并安装CA的根证书:为了建立数字证书的申请人与 CA的信任关系,保证申请证书时信息传输的安全性,在申 请数字证书前,客户端计算机要下载并安装CA的根证书。 (2) 填交证书申请表:不需身份验证的申请表可在线填写后 提交;需要个人或单位身份验证的,下载申请表填写后连同 身份证明材料一起送达CA。 (3) CA进行身份审核。 (4) 下载或领取证书:普通证书,可以用身份审核后得到的 序列号和密码,从网上下载证书;使用特殊介质(如IC卡)存 储的证书,需要到CA领取证书。
(1) 对原文使用Hash算法得到信息摘要;
(2) 发送者用自己的私钥对信息摘要加密; (3) 发送者将加密后的信息摘要与原文一起发送; (4) 接收者用发送者的公钥对收到的加密摘要进行解密; (5) 接收者对收到的原文用Hash算法得到接收方的信息摘要; (6) 将解密后的摘要与接收方摘要进行对比,相同说明信息完 整且发送者身份是真实的,否则说明信息被修改或不是该发 送者发送的。
数字 签名
加密 速度
主要用途
对称 钥加 密
公开 钥加 密
DES
加密钥 与解密 钥相同
加密钥 不同于 解密钥
不必要
容易

数据加密 数字签名、 密钥分配 加密
RSA
必要
困难

认证的基本知识
仅仅加密是不够的,全面保护还要求认证 和识别。在网络经济中,交易双方并不见 面,因此,你必须确保参与加密对话的人 确实是其本人。同样,当你收到一份合同 时,你也必须保证它是由当事人亲自签发 的,并且是不可更改的。
● 包含额外信息的特别扩展。
3) 数字证书的类型
个人凭证(Personal Digital ID):它仅仅为某一个用户提供凭 证,以帮助其个人在网上进行安全交易操作。个人身份的数 字证书通常是安装在客户端的浏览器内的。并通过安全的电 子邮件来进行交易操作。 企业(服务器)凭证(Server ID):它通常为网上的某个Web服 务器提供凭证,拥有Web服务器的企业就可以用具有凭证的 万维网站点(Web Site)来进行安全电子交易。有凭证的Web 服务器会自动地将其与客户端Web浏览器通信的信息加密。 软件(开发者)凭证(Developer ID):它通常为因特网中被下载 的软件提供凭证,该凭证用于和微软公司Authenticode技术 (合法化技术)结合的软件,以使用户在下载软件时能获得所 需的信息。数字证书由认证中心发行。
2) CA的树形验证结构
认证中心通常采用多层次的分级结构,上级认证中心负责签 发和管理下级认证中心的证书,最下一级的认证中心直接面 向最终用户。在进行交易时,通过出示由某个CA签发的证 书来证明自己的身份,如果对签发证书的CA本身不信任, 可逐级验证CA的身份,一直到公认的权威CA处,就可确信 证书的有效性。SET证书正是通过信任层次来逐级验证的。 每一个证书与数字化签发证书的实体的签名证书关联。沿着 信任树一直到一个公认的信任组织,就可确认该证书是有效 的。例如,C的证书是由名称为B的CA签发的,而B的证书 又是由名称为A的CA签发的,A是权威机构,通常称为根 (Root)CA,验证到了根CA处,就可确信C的证书是合法的。 证书的验证结构如图4-3所示。
1.数字证书(Digital Certificate或Digital ID)
1) 数字证书的基本概念 数字证书就是标志网络用户身份信息的一系列数据, 用来在网络应用中识别通信各方的身份,其作用类 似于现实生活中的身份证。数字证书是由权威公正 的第三方机构,即CA中心签发的。 以数字证书为核心的加密技术可以对网络上传输的 信息进行加密和解密、数字签名和签名验证,以此 来确保网上传递信息的机密性、完整性,交易主体 身份的真实性,签名信息的不可否认性,从而保障 网络应用的安全性。
认证的基本原理
认证就是确定身份,因此必须通过检查 对方独有的特征来进行,这些特征包括: 1)所知:个人所知道的或所掌握的知识, 如密码、口令 2)所有:个人所具有的东西,如身份证、 护照 3)个人特征:与生俱来的一些特征,如指 纹、DNA
数字证书与CA认证 由于电子商务在网络中完成,互相之间 不见面,因此为了保证每个人及机构(如 银行、商家)都能惟一而且被无误地识别, 这就需要进行身份认证。身份认证可以 通过验证参与各方的数字证书来实现, 而数字证书是由认证中心(CA)颁发的。 下面我们分别介绍数字证书和认证中心 的有关内容。
非对称加密技术(公-私钥加密技术)
针对对称加密技术密钥管理困难的问题,1976年,美国学 者Diffre和Hellman提出了一种新的密钥交换协议,允许通 信双方在不安全的媒体上交换信息,安全地达成一致的密 钥,这就是“公开密钥系统”。在非对称加密体系中,密 钥被分解为一对(即一把公开密钥或加密密钥和一把专用 密钥或解密密钥)。这对密钥中的任何一把都可作为公开 密钥(加密密钥)通过非保密方式向他人公开,而另一把则 作为专用密钥(解密密钥)加以保存。公开密钥用于对机密 性的加密,专用密钥则用于对加密信息的解密。专用密钥 只能由生成密钥对的贸易方掌握,公开密钥可广泛发布, 但它只对应于生成该密钥的贸易方。
CA通常是企业性的服务机构,主要任务是受理数 字凭证的申请、签发及对数字凭证的管理。在实 际运作中,CA可由大家都信任的一方担当,例如 在客户、商家、银行三角关系中,客户使用的是 由某个银行发的卡,而商家又与此银行有业务关 系或有账号。在这种情况下,客户和商家都信任 该银行,可由该银行担当CA角色,接收、处理他 的卡客户证书和商家证书的验证请求。又例如, 对商家自己发行的购物卡,则由商家自己担当CA 角色。
DES设计精巧,实现容易,使用方便,最主要的优点是加密、 解密速度快,并且可以用硬件实现。其主要弱点在于密钥管 理困难,主要有如下表现:
(1) 在首次通信前,双方必须通过除网络以外的另外途径传 递统一的密钥。
(2) 当通信对象增多时,需要相应数量的密钥。例如,当某 一贸易方有“n”个贸易关系,那么他就要维护“n”个专用 密钥(即每把密钥对应一贸易方)。 (3) 对称加密是建立在共同保守秘密的基础之上的,在管理 和分发密钥过程中,任何一方的泄密都会造成密钥的失效, 存在着潜在的危险和复杂的管理难度。
由于发送者的私钥是自己严密管理的,他人无法仿冒,同时 发送者也不能否认用自己的私钥加密发送的信息,所以数字 签名解决了信息的完整性和不可否认性问题。
返回
数字时间戳
它由专门的网络服务机构提供。用户首先将需要加时间戳 的文件经加密后形成文档,然后将摘要发送到专门提供数 字时间戳服务( Digital Time-Stamp Service ,DTSS) 的权威机构,该机构对原摘要加上时间后,进行数字签名, 用私钥加密,并发送给原用户。 时间戳的组成: 需要加载时间戳的文件摘要 认证服务机构收到文件的日期和时间 认证服务机构的数字签名 a.对已加盖时间戳的文件不可能做丝毫改动 b.要想对某个文件加盖与当前时间日期不同的时间戳是不 可能的
数字证书采用公—私钥密码体制,每个用户拥有一把仅为本 人所掌握的私钥,用它进行信息解密和数字签名;同时拥有 一把公钥,并可以对外公开,用于信息加密和签名验证。当 发送一份保密文件时,发送方使用接收方的公钥对数据进行 加密,而接收方则使用自己的私钥进行解密,这样,信息就 可以安全无误地到达目的地,即使被第三方截获,由于没有 相应的私钥,也无法进行解密。 数字证书可用于:发送安全电子邮件、访问安全站点、网上 证券交易、网上采购招标、网上办公、网上保险、网上税务、 网上签约和网上银行等安全电子事务处理和安全电子交易活 动。