当前位置:文档之家 › 第九章 电子商务安全保障体系

第九章 电子商务安全保障体系

  • 格式:pptx
  • 大小:2.69 MB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

电子商务安全保障技术体系

电子商务安全保障技术体系

电子商务安全保障技术体系一、引言电子商务作为一种电子商务交易形式,具有交易双方远程交互和交易信息的高度数字化程度、交易规模大、交易速度快等特点,同时也面临着网络安全风险等多种问题。

为了保障电子商务的安全性和可靠性,建立一个完善的电子商务安全保障技术体系至关重要。

本文将从安全技术体系的构架、网络安全风险评估、身份认证与访问控制、加密技术和安全审计等方面,对电子商务安全保障技术体系进行论述,并提出相关建议。

二、安全技术体系的构架电子商务的安全技术体系是指由多种技术手段构成的、对电子商务进行保护的一套完整的技术体系。

该体系应包括以下要素:1. 网络安全风险评估:实施网络安全风险评估,明确网络安全风险及其影响的范围,制定安全策略和措施。

2. 身份认证与访问控制:通过身份验证、访问控制和权限管理手段,确保只有合法用户才能访问电子商务系统。

3. 保护通信安全:通过加密技术、防火墙和反病毒软件等,对电子商务数据进行保密和防护,避免数据泄露等问题。

4. 备份与恢复:建立完善的备份与恢复机制,对数据进行定期备份,以防止数据丢失、破坏等情况发生。

5. 安全审计:设立安全审计机构,对电子商务系统进行定期或不定期的安全审计与检查,发现存在的安全风险。

三、网络安全风险评估进行网络安全风险评估,是制定电子商务安全策略和措施的前提。

通过对网络系统、应用程序、数据库等的漏洞扫描,找出安全隐患,为后续的安全防护工作打下基础。

网络安全风险评估应遵循以下几个原则:1. 面向风险的评估:将网络的漏洞与系统的风险相联系,以确保风险控制与管理。

2. 透明和可重现性:评估评估方法必须透明且可重现,以确保评估过程的公正性和合法性。

3. 评估的周期性和标准化:网络安全风险评估应该是定期和标准化的,以确保安全策略的持续改进。

四、身份认证与访问控制身份认证是指确认用户身份的过程,访问控制是指对用户授权访问的过程。

电子商务系统应该实现身份认证和访问控制,采取多层次的验证机制,保证访问控制的安全性。

电子商务平台的安全保障体系

电子商务平台的安全保障体系

电子商务平台的安全保障体系随着电子商务的广泛普及,人们越来越依赖互联网购物,电商平台的安全保障问题也成为了人们关注的焦点。

在这个信息爆炸的时代,网络安全问题日益复杂,因此一个安全可靠的电商平台的建立已经成为必不可少的事情。

一、用户账号的安全首先,用户账号的安全是电商平台安全保障体系的重要部分。

用户账号的信息包括用户名、密码、用户手机号、邮箱等,是电商平台上所有交易和数据的唯一标识。

如果用户账号泄露,将严重威胁用户的财产安全和个人隐私。

电商平台的应当采取措施加强账号安全。

例如账号密码应采用加密方式存储,让黑客在入侵时难以获取用户的登录信息,同时平台还应提醒用户不应使用过于简单的密码,并且应定期更改密码。

二、订购过程的安全电子商务平台的订购过程涉及交易数据,支付信息以及客户的个人信息等机密内容。

为了保护消费者的信息不被黑客窃取及删除,亚马逊等电商巨头通过 SSL 技术以及虚拟 POS 进行数据传输加密以及支付安全。

同时进行支付时因特网货币交易传输的 PGP安全协议被所有电商平台认可,确保西联、PayPal 账号泄露风险不存在。

三、交付过程的安全电商的交付过程包含订单传输、发货和物流等。

而此过程中隐私和财产的安全都面临危险。

因此,一个安全的物流系统是电商平台安全保障体系的重要组成部分。

许多电商平台已经采用了市场上最安全的物流服务,旨在降低交付过程中的风险。

此外,物流公司对货物的追踪系统也为顾客提供了物流信息,帮助顾客追踪订单。

四、售后服务的安全电商平台需要提供良好的售后服务来保证客户的权益,缓解用户购物过程的压力,让顾客放心购物。

在售后服务过程中,电商平台需要严格审核退换货政策,防止销售者及互联网诈骗者滥用其功能。

电商平台的客服团队也应经受专业培训,随时准备面对不同各样的交付、商品及付款上的问题。

总结如今,电商平台已经成为众多顾客购物的首选。

然而,安全问题成为了用户购物的无形威胁。

电子商务平台需要建立一个完备的安全保障体系来保护顾客的权益。

电子商务安全体系结构

电子商务安全体系结构

安全体系结构(一)安全体系结构图如图3所示,电子商务安全体系由四层组成,由下至上分别是:安全协议层、安全认证层、加密技术层、网络安全层。

图3 电子商务网站安全体系结构(二)安全体系分层整个电子商务网站安全体系由下至上分为四层:安全协议层、安全认证层、加密技术层、网络安全层。

这四个安全层包含了从安全交易协议到入侵攻击预防的整个防御及安全策略体系。

下面就来看一下每一层分别有哪些作用。

(1)网络安全层网络安全层包含了防御攻击的VPN技术、漏洞扫描技术、入侵检测技术、反病毒技术、防火墙技术、安全审计技术等,通过一系列的技术防御保证网络被访问时的安全,防止漏洞被攻击、网络被入侵。

(2)加密技术层加密技术主要保障信息在传输过程中的安全性,防止信息在传输过程中被窃取或篡改。

加密技术一般分为对称加密技术与非对称加密技术。

(3)安全认证层安全认证层涉及到数字签名、数字时间、数字信封、信息摘要、数字凭证、认证机构等。

安全认证层可以验证交易双方数据的完整性、真实性及有效性。

(4)安全协议层安全协议层置于电子商务安全体系的最下层,也是电子交易中非常关键的一个部分,通过协议层完成交易。

一般电子商务中使用的安全协议有SSL协议和SET协议。

访问控制技术访问控制是指对网络中的某些资源的访问要进行控制,只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和非法访问。

常用的访问控制技术有:入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等。

数字认证技术数字认证也称数字签名,即用电子方式来证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。

数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。

这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用HASH函数将一段长的报文通过函数变换,转换为一段定长的报文。

电子商务平台安全保障机制

电子商务平台安全保障机制

电子商务平台安全保障机制概述电子商务平台安全保障机制是指为了保护电子商务平台的用户信息和交易安全而采取的一系列措施和机制。

这些机制旨在防止网络攻击、数据泄露和欺诈行为,确保用户可以安全地进行在线交易和数据传输。

机制1. 网络安全防护电子商务平台应实施严格的网络安全措施,包括但不限于防火墙、入侵检测系统和安全认证机制等。

这些措施可以防止黑客攻击、恶意软件和病毒的侵入,保证平台的稳定和可靠性。

2. 用户身份认证为了防止欺诈行为,电子商务平台应建立完善的用户身份认证机制。

用户在注册和登录过程中,需要提供真实有效的个人信息,并经过验证后方可使用平台的服务。

此举可以有效降低欺诈交易和虚假账号的风险。

3. 加密技术保护电子商务平台应采用先进的加密技术,对用户敏感信息和交易数据进行加密保护。

只有经过授权的用户能够解密和访问这些信息,确保数据传输的机密性和完整性。

4. 交易风险管理电子商务平台应实施有效的交易风险管理机制,监测和识别可疑交易行为。

通过使用风险评估工具和数据分析技术,可以及时发现并阻止潜在的欺诈交易,保护用户的权益。

5. 客户服务和纠纷解决机制电子商务平台应提供多种渠道的客户服务,并建立快速响应机制,及时回应用户的问题和投诉。

同时,平台还应建立公正、透明的纠纷解决机制,以解决交易纠纷,维护良好的商业信誉和用户满意度。

总结电子商务平台安全保障机制是确保用户信息和交易安全的关键措施。

通过网络安全防护、用户身份认证、加密技术保护、交易风险管理和客户服务纠纷解决机制,可以有效降低欺诈和交易风险,提升用户的信任度和满意度。

电子商务平台应不断改进和完善这些安全保障机制,以应对日益复杂的网络威胁和安全挑战。

电子商务安全保证措施

电子商务安全保证措施

电子商务安全保证措施引言:随着互联网的普及和电子商务的迅猛发展,越来越多的人们选择在网上购物。

然而,与此同时,电子商务也面临着诸多安全风险,包括个人信息泄露、网络钓鱼、支付安全等问题。

为了保护消费者的权益和确保电子商务的可持续发展,各方必须采取一系列安全措施来保证电子商务的安全。

一、加强用户身份验证用户身份验证是保障电子商务安全的基本措施之一。

合理使用密码、指纹识别、面部识别等技术手段,对用户进行有效的身份验证,从根本上防止非法用户的操作。

此外,多因素身份验证、双重验证等措施也能提高身份验证的安全性。

二、加密数据传输在电子商务交易中,数据传输的安全性尤为重要。

采用SSL/TLS协议等加密技术,保护用户在传输过程中的个人信息、支付账号等敏感数据的安全。

此外,采用HTTPS协议,确保数据在传输过程中不易被窃取或篡改。

三、建立安全支付环境支付环境的安全性直接关系到消费者的资金安全。

建立安全支付通道,采用双重验证、动态密码等技术手段,防止支付信息被窃取或被盗用。

定期进行安全漏洞检测和修复,及时更新支付系统的安全补丁。

四、加强个人信息保护个人信息泄露是电子商务安全的主要风险之一。

网上商家应加强隐私政策的制定和执行,明确个人信息的收集、使用和保护规范。

采取匿名化处理、数据加密、安全存储等措施,确保个人信息不受侵害。

五、设立风险评估机制建立针对电子商务的风险评估机制,通过监测网站活动、用户行为等信息,及时发现和处理可能存在的安全风险。

同时,通过合作与信息共享,形成跨领域、跨部门的联合防御体系。

六、加强网络安全监管政府和相关部门应加大对电子商务领域的监管力度,制定相关法律法规,加强对电子商务平台的监督管理。

同时,加强对电子商务从业人员的培训,提高其安全意识和技术水平。

七、加强用户教育和提高安全意识加强对消费者的教育,提高其对电子商务安全的认识和防范意识。

引导用户选择可靠的电子商务平台和支付方式,教育用户在使用电子商务服务时注意安全事项,如阅读用户协议、隐私政策,使用安全的密码等。

电子商务安全体系分析

电子商务安全体系分析
继续
电子商务系统安全的构成
电子商务系统,从某种意义上说,就是一种建立在网络环境里的计算机信息系统. 1.系统实体安全 2.系统运行安全 3.系统信息安全
任务: 试分析电子商务系统安全的构成.
电子商务系统安全的构成
1.系统实体安全 实体安全,是指保护计算机设备、设施以及其他媒体 免受自然灾害和其他环境事故〔如电磁污染等〕破 坏的措施、过程.
电子商务的内涵
3.权威学者对电子商务的定义 广义地讲,电子商务是一种现代商业方法.这种方法通
过改善产品和服务质量、提高服务传递速度,满足政府组织、 厂商和消费者的降低成本的需求.这一概念也用于通过计算 机网络寻找信息以支持决策.一般地讲,今天的电子商务通过 计算机网络将买方和卖方的信息、产品和服务器联系起来, 而未来的电子商务者通过构成信息高速公路的无数计算机 网络将买方和卖方联系起来.
继续
〔2〕数据库安全
——是对数据库系统所管理的数据和资源提供安全保护.
1>安全数据库系统,是指从系统设计、实现、使用和管理等各个阶段都遵循 一套完整的系统安全策略的数据库系统.
2>数据库系统安全部件,是以现有数据库系统所提供的功能为基础构建安全 模块,旨在增强现有数据库系统的安全性.
继续
〔3〕网络安全 ——是指提供访问网络安全资源或使用网络服务的安全保护.
〔5〕访问控制 1〕出入控制,是为了阻止非授权用户进入机构或组织. 2〕存取控制,是针对主体访问客体时的存取控制,如通过对授权用户存取系统
敏感信息时进行安全性检查,以实现对授权用户的存取权限的控制.
继续
〔6〕加密 加密,是将明文数据进行某种变换,使其成为不可理解的形式的过程. 加密必须依赖两个要素:算法和密钥.

电子商务安全体系(2024版)

电子商务安全体系(2024版)合同目录第一章:引言1.1 编写目的1.2 范围与结构1.3 读者指南第二章:电子商务安全概述2.1 安全的重要性2.2 安全威胁类型2.3 安全体系框架第三章:法律法规与合规性3.1 相关法律法规3.2 合规性要求3.3 法律风险管理第四章:网络安全基础4.1 网络攻击与防御4.2 加密技术原理4.3 安全通信协议第五章:数据保护与管理5.1 数据保护原则5.2 数据生命周期安全5.3 数据泄露预防与应对第六章:身份认证与访问控制6.1 身份认证技术6.2 访问控制模型6.3 实施策略与最佳实践第七章:电子商务平台安全7.1 平台架构安全7.2 交易安全机制7.3 用户数据保护第八章:支付系统安全8.1 在线支付安全标准8.2 支付风险管理8.3 移动支付安全第九章:安全审计与监控9.1 安全审计流程9.2 监控技术与工具9.3 异常检测方法第十章:安全风险评估与缓解10.1 风险评估方法论10.2 风险缓解策略10.3 风险管理计划第十一章:应急响应与灾难恢复11.1 应急响应计划11.2 灾难恢复策略11.3 业务连续性管理第十二章:安全培训与意识提升12.1 安全培训的重要性12.2 培训内容与方法12.3 安全文化建设第十三章:合同条款13.1 知识产权13.2 保密协议13.3 违约责任第十四章:签字栏14.1 甲方签字14.2 乙方签字14.3 签订日期14.4 签订地点第十五章:附录15.1 术语定义15.2 参考文献15.3 附加文档列表合同编号_______第一章:引言1.1 编写目的本教程旨在为电子商务领域的从业者提供一套全面的安全体系知识。

1.2 范围与结构本教程覆盖了电子商务安全的各个方面,从基础理论到实践应用。

1.3 读者指南本教程适合所有希望提高电子商务安全意识和技能的专业人士。

第二章:电子商务安全概述2.1 安全的重要性电子商务安全对于保护消费者信息和企业资产至关重要。

电子商务安全的保证措施

电子商务安全的保证措施引言:随着互联网技术的飞速发展,电子商务已经成为人们日常生活中不可或缺的一部分。

在这个数字化的时代,我们享受了便捷的购物和交易体验,同时也面临着安全风险。

本文将围绕电子商务安全的保证措施展开详细阐述,分别从技术保障、用户保护和法律法规三个方面进行探讨。

一、技术保障1.1 数据加密技术在电子商务过程中,数据传输是一个易受攻击的环节。

为了保障用户的个人信息和交易数据安全,电子商务平台采用了数据加密技术。

加密技术通过对数据进行编码,使得只有授权的用户能够解码并阅读数据内容。

常见的加密技术包括SSL (Secure Sockets Layer)和TLS(Transport Layer Security)等,在数据传输过程中,这些技术能够有效防止敏感信息被恶意窃取。

1.2 虚拟身份验证为防止账户被盗用、伪造等问题,电子商务平台通过虚拟身份验证技术来确保用户身份真实性。

这些技术包括多因素身份认证、指纹识别、面部识别等。

用户在进行交易或登录时,需要提供额外的身份验证要素,避免恶意攻击者冒充他人进行非法取得利益的行为。

1.3 多层次防御体系电子商务平台采用多层次的安全防御体系,确保系统不易遭受攻击。

这个体系包括网络安全设备、入侵检测系统、安全防火墙等。

网络安全设备用于实时监控和预防网络攻击,入侵检测系统可以对异常网络流量进行检测和防御,安全防火墙通过过滤、检查网络数据,在承受攻击时立即采取相应的措施。

二、用户保护2.1 安全教育和意识提升用户在参与电子商务时需要具备一定的安全意识和知识。

电子商务平台应该加强对用户的安全教育,提供相关的安全知识、防范措施和案例分析。

例如,提醒用户切勿随意点击链接、下载可疑附件,保持密码的保密性,及时更新安全补丁等。

2.2 交易纠纷处理机制电子商务平台应建立健全的交易纠纷处理机制,为用户提供及时有效的被骗解决方案。

当用户遇到交易纠纷时,可以通过平台提供的申诉通道进行投诉,由平台进行调解和处理,以保护用户的合法权益。

电子商务系统的分析与设计-第9章

(1)决定防火墙的类型和拓朴结构 (2)制定安全策略 (3)确定包过滤规则 (4)设计代理服务 (5)严格定义功能模块并使其分布 (6)制定防火墙维护和管理方案
电子商务系统的分析与设计
33
9.5.1.2 防火墙的应用设计 2. 防火墙的安全要求
(1)防火墙应由多个构件组成 (2)防火墙应能抵抗网络“黑客”的攻 击 (3)防火墙一旦失效、重启动或崩溃, 则应完全阻断内、外部网络站点的连接 (4)防火墙应提供强认证服务 (5)防火墙对内部网络应起到屏蔽作用
电子商务系统的分析与设计
26
9.5.1 防火墙与网络安全设计 9.5.1.1 防火墙的基本概念
防火墙是访问控制技术的一种,其目的是 通过控制网络资源的存取权限,保障计算 机网络、计算机主机和数据的合法访问。 国标GB/T 18019国标GB/T 18019-1999 指出:“防火墙的 目的是在内部、外部两个网络之间建立一 个安全控制点,通过允许、拒绝或重新定 向经过防火墙的数据流,实现对进、出内 部网络的服务和访问的审计和控制”。
9.3 ISO的安全体系结构与电子 ISO的安全体系结构与电子 商务系统的安全体系
OSI的安全机制和安全服务 OSI的安全机制和安全服务
电子商务系统的分析与设计
14
9.3 ISO的安全体系结构与电子 ISO的安全体系结构与电子 商务系统的安全体系
电子商务应用 交 易 完 整 性 交 易 真 实 性 交 易 保 密 性 不 可 抵 赖 性 交 易 可 用 性 安全电子商务应用
93. 2. 电子商务系统的安全体系
电子商务系统的分析与设计 12
9.3 ISO的安全体系结构与电子 ISO的安全体系结构与电子 商务系统的安全体系 OSI规定了5 OSI规定了5种标准的安全服务

电子商务安全保障知识点

电子商务安全保障知识点随着互联网的快速发展,电子商务已经成为了人们购物的主要方式之一。

然而,随之而来的是电子商务安全问题的日益凸显。

为了保障消费者的权益和商家的利益,电子商务安全保障显得尤为重要。

本文将从网络安全、支付安全和个人信息保护三个方面,探讨电子商务安全保障的知识点。

一、网络安全网络安全是电子商务安全的基础,它涉及到网络的稳定性和数据的安全性。

在电子商务中,网络攻击是一个常见的问题。

黑客通过各种手段入侵网站,窃取用户信息或者篡改交易数据,给用户和商家带来巨大损失。

为了保障网络安全,以下几个方面需要注意:1. 网站安全:电子商务网站应该采取多种安全措施,如加密技术、防火墙和入侵检测系统等,确保网站的安全性和稳定性。

2. 密码安全:用户在注册电子商务账号时,应该选择强密码,并定期修改密码。

同时,网站也应该加强对用户密码的保护,采用加密存储和传输技术,防止密码泄露。

3. 防范网络攻击:网站应该定期进行漏洞扫描和安全评估,及时修补漏洞。

同时,用户也应该注意防范网络钓鱼、恶意软件和病毒攻击等常见网络攻击手段。

二、支付安全支付安全是电子商务中最为重要的环节之一。

在电子商务中,用户通过各种支付方式进行交易,如银行卡支付、第三方支付和移动支付等。

为了保障支付安全,以下几个方面需要注意:1. 选择可信的支付平台:用户在进行支付时,应该选择正规的、有信誉的支付平台。

同时,商家也应该选择经过认证的支付服务提供商,确保支付环节的安全性。

2. 使用安全支付方式:用户在进行支付时,应该选择安全的支付方式,如双因素认证、短信验证码和指纹识别等。

同时,商家也应该提供多种支付方式,满足用户的需求。

3. 监控支付风险:商家应该建立完善的支付风险监控系统,及时发现和防范支付风险。

同时,用户也应该定期查看支付记录,及时发现异常交易并及时报告。

三、个人信息保护个人信息保护是电子商务安全中的重要环节。

在电子商务中,用户需要提供各种个人信息,如姓名、地址、电话号码和银行卡信息等。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

电子商务的安全需求
计算机网络系统的安全
(1)物理实体的安全
设备的功能失常
电源故障
由于电磁泄漏引起的信息失密
搭线窃听
电子商务的安全需求
计算机网络系统的安全
(2)自然灾害的威胁 各种自然灾害、风暴、泥石流、建筑物破坏、 火灾、水灾、空气污染等对计算机网络系统都构成 强大的威胁。
电子商务的安全需求
9.1.2 电子商务安全交易标准与实施办法
安全电子交易协议(Secure Electronic Transaction, 简称 SET) 涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、 数字签名等。 安全超文本传输协议(S-HTTP) 依靠密钥对的加密,保障Web 站点间的交易信息传输的安全性。
电子商务的安全需求
计算机网络系统的安全
(6)计算机病毒的攻击
计算机病毒的破坏目标和攻击部位:
攻击系统数据区 攻击文件 攻击内存
干扰系统运行 计算机速度下降 攻击磁盘
扰乱屏幕显示 干扰键盘操作 使计算机的喇叭发出响声 攻击CMOS (保存计算机基本启动信息的芯片)
干扰打印机
电子商务的安全需求
数字信封 “数字信封”(也称电子信封)技术。 发送方将随机产生的对称秘钥用接收方的公钥加密就形成 了数字信封。 数字信封用于传递对称秘钥给接收方,接收方用自己的私 钥解开数字信封后得到对称秘钥,才可将发送方的密文解开 。 • 具体操作方法是:每当发信方需要发送信息时首先生成一个 对称密钥,用这个对称密钥加密所需发送的报文;然后用收 信方的公开密钥加密这个对称密钥,连同加密了的报文一同 传输到收信方。收信方首先使用自己的私有密钥解密被加密 的对称密钥,再用该对称密钥解密出真正的报文。
不可否认性
在电子交易通信过程的各个环节中都必须是不可否认的,
即交易一旦达成,发送方不能否认他发送的信息,接收方则
不能否认他所收到的信息。
电子商务的安全需求
电子商务的安全需求
• 主要的电子商务安全技术
– 数据加密技术 – 数字签名 – 数字证书 – 防火墙 – 安全电子交易规范(SET) – 防病毒软件技术 – ……
RSA算法的主要优点是在网络中容易实现密钥管理,便于进行数字签名, 从而保证数据的不可抵赖性。 主要缺点是算法复杂,加/解密速度慢。
非对称加密
非对称加密技术示意图
2008-10 29
9.2.4 DES与RSA相结合的综合保密系统
K RSA 合并A 分解A CC RSA K
M
DES RSA /DES综合保密系统示意图
DES
M
在该系统中,用DES算法作为数据的加密算法对
数据进行加密,用RSA算法作为DES密钥的加密算法,
对DES的密钥进行加密。
9.2.5 安全套阶层协议(SSL)
目前广泛应用于敏感财务信息处理的方案是SSL(安 全套接层协议),该协议向基于TCP/IP的C/S应用 程序提供了客户端和服务器的鉴别、数据完整性及 信息机密性等安全措施。 SSL同时使用公共密钥和私有密钥加密技术,其运行 机制是: • 在建立连接过程中采用公开密钥; • 在会话过程中使用专有密钥; • 加密的类型和强度则在两端之间建立连接的过程中 判断决定。
电子商务的安全需求
电子交易的安全需求
信息的完整性
请给 丙汇 100元
请给 丁汇 100元

请给 丁汇 100元 请给 丙汇 100元

交易各方能 够验证收到的信 息是否完整,即 信息是否被人篡 改过,或者在数 据传输过程中是 否出现信息丢失、 信息重复等差错。

电子商务的安全需求
电子交易的安全需求
(1)源点不可否认 (2)接收不可否认 (3)回执不可否认
交易内容的完整性 访问控制
电子商务的安全需求
电子交易的安全需求
信息的保密性
要对敏感重要的商业信息进行加密,即使别人 截获或窃取了数据,也无法识别信息的真实内容, 这样就可以使商业机密信息难以被泄露。
身份的可认证性
在双方进行交易前,首先要能确认对方的身份,要求交 易双方的身份不能被假冒或伪装。
持X.509证书和多种保密密钥加密算法。
2008-10 32
SSL协议
SSL协议的作用
SSL协议的关键是要解决以下几个问题: 客户对服务器的身份确认:容许客户浏览器,使用标准 的公钥加密技术和一些可靠的认证中心(CA)的证书,来 确认服务器的合法性。 服务器对客户的身份确认:容许服务器的软件通过公钥 技术和可信赖的证书,来确认客户的身份。 建立起服务器和客户之间安全的数据通道:要求客户和 服务器之间的所有的发送数据都被发送端加密,所有的接 收数据都被接收端解密,同时SSL协议会在传输过程中解 查数据是否被中途修改。
公开密钥密码体制简称公钥体制,用户的加密密钥与解密密钥不再相同, 从加密密钥求解密密钥是非常困难的。因此,用户加密密钥可以公开 ,用此加密密钥加密明文变成密文,将密文传送给指定用户,用户可 以用仅有自己知道的解密密钥对收到的密文进行解密,恢复出明文, 从而完成保密通信。 • 在该体制中,加密密钥(又称公开密钥)PK是对外公开的,但解密 密钥(又称秘密密钥)SK是保密的。虽然SK是由PK决定的,但却不 能根据PK计算出SK。
第三,用户所具有的某些生物学特征,如指纹、声音、DNA图案、视网膜扫描等等。 但这种方案一般造价较高,适用于保密程度较高的场合。
9.3.2 数字摘要
数字摘要加密方法,将需加密的明文“摘要 ”成一串128 bit的密文,这一串密文亦称为数 字指纹(Finger Print),它有固定的长度,且 不同的明文摘要成密文,其结果总是不同的,而 同样的明文其摘要必定一致。只有完全一致,才 可以证明信息在传送过程中是安全可靠、没有被 进行篡改的。
安全交易技术协定(Secure Transaction Technology 简称STT)
由Microsoft 公司提出的安全交易协议,STT 将认证和解密在浏览器中分离开, 用以提高安全控制能力。Microsoft将在Internet Explorer 中采用这一技术。 安全套接层协议(Secure Sockets Layer, 简称SSL) 由Netscape 公司提出的安全交易协议,提供加密、认证服务报文完整性。SSL, 被用于Netscape Communicator 和Microsoft IE 浏览器,用以完成需要的安全交易 操作。
数据加密技术分类
加密技术的主要分类
对称密码体制 加密密钥与解密密钥是相同的。密钥必须通 过安全可靠的途径传递。由于密钥管理成为 影响系统安全的关键性因素,使它难以满足 系统的开放性要求。 非对称密码体制 把加密过程和解密过程设计成不同的途径, 当算法公开时,在计算上不可能由加密密钥 求得解密密钥,因而加密密钥可以公开,而 只需秘密保存解密密钥即可。
过渡页
9.2 安全电子交易的数据加密
9.2.1 数据加密技术综述
加密技术与密码学紧密连接,利用密码技术可以把某 些重要信息或数据从一个可理解的明文形式换成一种错乱 的、不可理解的密文形式,称为加密过程;
密文经过线路传送到达目的端后,用户按特定的解密 方法将密文还原为明文,称为解密的过程。
数据加密技术
9.2.2 对称密钥加密与数据加密标准(DES)
对称加密算法是指文件加密和解密使用一个相同秘密密 钥,也叫会话密钥。目前世界上较为通用的对称加密算法有 RC4和 DES。 DES算法的优点是加/解密速度快,算法容易实现,安全性好, 迄今为止尚未找到一种在理论上破译DES的行之有效的方法。 DES算法的缺点是密钥量短,容易被穷尽,密钥难于共享, 需太多密钥,在复杂的网络中难于实现密钥管理。
电子商务的安全需求
计算机网络系统的安全
(4)软件的漏洞和“后门” (5)网络协议的安全漏洞 (6)计算机病毒的攻击
计算机病毒“指编制或者在计算机程序中插入的破坏计 算机功能或者破坏数据,影响计算机使用并且能够自我复制 的一组计算机指令或者程序代码。” ——《中华人民共和国计算机信息系统安全保护条例》
9.1 电子商务的安全控制
电子商务的安全需求
电子商务的安全需求包括两方面:
计算机网络系统 的安全
电子交易的安全 需求
电子商务的安全需求
计算机网络系统的安全
一般计算机网络系统普遍面临的安全问题: (1)物理实体的安全 (2)自然灾害的威胁 (3)黑客的恶意攻击 (4)软件的漏洞和“后门” (5)网络协议的安全漏洞 (6)计算机病毒的攻击
9.3 安全电子交易的认证技术 与数字证书
9.3.1 身份认证
在目前的电子交易中,用户身份认证可通过以下三种基本方式或其 组合方式来实现:
第一,用户所知道的某个秘密信息,例如自己的口令。
第二,用户所持有的某个秘密信息(硬件),即用户必须持有合法的随身携带的物理 介质,例如智能卡中存储用户个人化参数,访问系统资源时必须要有智能卡。
对称密匙(保密密匙)加密
明文消息
密匙A加密
加密消息
密匙A解密
明文消息
课堂讨论: 对称密钥密码体制的特点?
(1)发送方和接收方用同一个密钥去加密和解密数据,加 /解 密的速度快。 (2)在管理和分发密钥过程中,任何一方的泄密都会造成 密钥的失效,存在着潜在的危险和复杂的管理难度。
9.2.3 公开密钥加密与RSA算法
安全套接层协议
• 安全套接层(Secure Sockets Layer,SSL)是一种传输层技术, 由Netscape开发,可以实现兼容浏览器和服务器之间的安全通 信。SSL协议是目前购物网站中常使用的一种安全协议。

所谓SSL就是在和另一方通信前先讲好的一套方法,这个
方法能够在它们之间建立一个电子商务的安全性秘密信道,确 保电子商务的安全性,凡是不希望被别人看到的机密数据,都 可通过这个秘密信道传送给对方,即使通过公共线路传输,也 不必担心别人的偷窥。SSL使用的是RSA电子签名算法,可以支