当前位置:文档之家 › 第4章-电子商务安全技术

第4章-电子商务安全技术

  • 格式:ppt
  • 大小:1.97 MB
  • 文档页数:46

下载文档原格式

  / 46

合集下载

第4章 电子商务交易安全

第4章 电子商务交易安全
第4章 电子商务交易安全
2010-9-13
主要内容
• 4.1 电子商务安全概述 • 4.2 电子商务安全技术 • 4.3 电子商务安全协议
1988年11月2日,美国康奈尔大学学生罗伯特· 莫瑞斯 利用蠕虫程序攻击了Internet网上约6200台小型机和 Sun工作站,造成包括美国300多个单位的计算机停止 运行,事故经济损失达9600万美元。 1994年4月到10月期间,任职于俄国圣彼得堡OA土星 公司的弗拉基米尔· 列文从本国操纵电脑,通过 列· Internet多次侵入美国花旗银行在华尔街的中央电脑 系统的现金管理系统,从花旗银行在阿根廷的两家银 行和印度尼西亚的一家银行的几个企业客户的帐户中 将40笔款项转移到其同伙在加里福尼亚和以色列银行 所开的帐户中,窃走1000万美元。
1997年1月到3月,宁波证券公司深圳业务部的曾定文 多次通过证券交易网络私自透支本单位资金928万元 炒股;而吴敬文则利用两个股东帐号私自透支本单位 资金2033万元炒股。 1999年4月19日至21日,由于温保成等人在因特网BBS 站点上非法张贴帖子,带头散布谣言,导致了交通银 行郑州分行的重大挤兑事件。 2000年2月10日和17日秦海在银行窥视骗取两名储户 的密码,然后利用电子商务从网上购得手机、快译通 等物,共计价值2.7万元人民币。 2000年3月6日,刚刚开业的中国最大的全国网上连锁 商城开业3天惨遭黑客暗算,网站全线瘫痪,页面被 修改,数据库也受到了不同程度的攻击,交易数据破 坏严重。
4.1 电子商务安全概述
• • • • 4.1.1 4.1.2 4.1.3 4.1.4 电子商务安全现状 电子商务安全威胁 电子商务安全要素 电子商务安全体系
4.1.1 电子商务安全现状

第4章_电子商务安全概述.pptx

第4章_电子商务安全概述.pptx
非对称密钥密码体制(双钥密码体制、公开 密钥密码体制):使用一对密钥来分别完成 加密和解密的操作,且从一个密钥难以推出 另一个。
15
1 对称密钥加密
对称钥匙加密系统是加密和解密均采用 同一把秘密钥匙,而且通信双方都必须 获得这把钥匙,并保持钥匙的秘密。
16
DES密码体制
最有名的密码算法 第一个被公开的现代密码 由IBM于1971年至1972年研制成功 分组长度:64比特 密钥长度:56比特 目前DES已被视为不安全,普遍使用的是变种
记录系统资源被访问和使用的情况,以备必要时追查和
分析。
11
4.2 加密技术
对称密钥加密体制 非对称密钥加密体制
12
1.基本概念
明文(plain text) 被隐蔽的消息。
密文(cipher text)
加密(Encryption利)用密码将明文变换成另一
解加密密算(法Descrypt加原io把有文种密明n明知再隐)的文文道发蔽逆的通密送的过过过钥出形程程一的去式,。定人的。即的才过由算能程密法看。文变得恢换懂复为的出只密
除此之外,还有的一密些文其数他据的,安数全据技加术密措被施公。认如为容是错技术,
它是为避免由于保硬护件数故据障传或输用安户全失惟误一等实原用因的而方酿法成系统
故障的一种预防和措保施护。存容储错数就据是安寻全找的最有常效见方的法故,障点,
并通过冗余度来它加是强数它据们保。护又在如技审术计上跟的踪最技后术防,线它。自动
软件系统
➢黑客攻击
电子商务交易安全隐患
➢工作人员失误
数据的安全
交易的安全
Bug:现在人们把计算机系统 的漏洞或错误称为“Bug”。
4
常见电子商务交易安全问题

含答案--第四章 电子商务安全基础知识和基本操作

含答案--第四章 电子商务安全基础知识和基本操作
三、多选题
1、一个完整的网络交易安全体系,必须包括__________。
A、技术安全 B、管理安全 C、法律健全 D、福利保障
2、电子商务的安全要求包括__________。
A、完整性 B、加密性 C、不可否认性 D、完美性
3、电子商务的安全威胁包含哪三种__________。
A、基本威胁 B、可实现的威胁 C、良性威胁 D、潜在威胁
A、口令攻击 B、服务攻击 C、利用电子邮件实现轰炸 D、切断网络连接
15、SET协议规范所指的对象包括__________。 A、消费者 B、在线商店 C、网络商 D、收单银行
ห้องสมุดไป่ตู้
一、判断题
1、╳ 2、╳ 3、√ 4、╳ 5、√ 6、√ 7、╳ 8、╳ 9、╳ 10、√
11、╳ 12、╳ 13、╳
C、不影响计算机的运算结果 D、影响程序执行、破坏数据与程序
11、常用的杀毒软件有__________。A、SQL B、KV3000 C、Rising D、Access
12、下列哪些说法是错误的__________。
A、可能通过数字签名和数字证书相结合方式来对通信双方的身份进行验证
B、从电子商务的安全角度看,破坏了数据的保密性就破坏了数据的完整性
A、信息加密存贮 B、防火墙技术 C、网络防毒 D、应急管理措施
3、所谓对称加密系统就是指加密和解密用的是__________的密钥。A不同 B、互补 C、配对 D相同
4、数字证书不包含__________。A、证书的申请日期 B、颁发证书的单位C、证书拥有者的身份 D、证书拥有者姓名
5、颁发数字证书单位的数字签名在数字签名中要使用__________来对信息摘要进行签名。

习题册参考答案-《电子商务安全技术(第三版)习题册》-A24-4085

习题册参考答案-《电子商务安全技术(第三版)习题册》-A24-4085

答案第1章电子商务安全概述一、填空题1.计算机网络安全、商务交易安全2.商务交易安全隐患,人员、管理、法律的安全隐患3.鉴别、确认4.网络实体5.被他人假冒6.网络操作系统、网络协议二、选择题1.A2.C3.C4.D5.D三、判断题1.X2.√3. X4.√5.X四、简答题1.答:Internet是一个开放的、无控制机构的网络,黑客经常会侵入网络中的计算机系统,或窃取机密数据、或盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。

2.答:为真正实现安全的电子商务必须要求电子商务能做到机密性、完整性、认证性、有效性和不可否认性,只有满足了这些条件的电子商务才能称的上是安全的电子商务。

3.答:这个安全体系至少应包括三类措施,并且三者缺一不可。

一是技术方面的措施,技术又可以分为网络安全技术,如防火墙技术、网络防黑、防毒、虚拟专用网等,以及交易安全技术,如信息加密、安全认证和安全应用协议等。

但只有技术措施并不能保证百分之百的安全。

二是管理方面的措施,包括交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。

三是社会的法律政策与法律保障。

电子商务安全性首先依托于法律、法规和相关的管理制度这个大环境,在这个大环境中,运用安全交易技术和网络安全技术建立起完善的安全管理体制,对电子商务实行实时监控,并加强安全教育等,从而保证电子商务的安全性。

4.答:(1)网上预订飞机票、火车票(2)网上客房预订(3)网上购物、购书(4)网上拍卖(5)网上旅游交易会、农副产品交易(6)网上销售娱乐、游戏、电子书籍、软件等知识产品(7)提供 ISP、ICP、IDP 等网络技术服务五、案例分析题略第2章计算机与网络系统安全技术一、填空题1.正常运行篡改泄露2.程序3.非法入侵者4.端口、漏洞5.拒绝服务攻击(DDoS)6.缓冲区溢出攻击、欺骗攻击7.安全策略8.日志记录9.代理型、状态监测10.网络,主机11.外存储器12.备份13.资源共享、互联服务14.网络隧道二、选择题1.B2.D3.A4.B5.B6.A7.D8.C9.C 10.D 11.A 12.B 13.B三、判断题1.√2. X3.√4.X5.√6.X7.√8.√9.√ 10.√ 11.X四、简答题1.答:破坏性、寄生性、传染性、潜伏性、针对性。

《电子商务基础》第四章电子教案

《电子商务基础》第四章电子教案

《电子商务基础》第四章电子教案一、教学目标1、了解电子商务中的电子支付系统,包括其组成、类型和运作流程。

2、掌握电子商务安全技术,如加密技术、认证技术等。

3、理解电子商务中的法律法规问题,包括知识产权、消费者权益保护等。

4、培养学生对电子商务环境下支付、安全和法律问题的分析和解决能力。

二、教学重难点1、重点(1)电子支付系统的工作原理和主要类型。

(2)常见的电子商务安全技术及其应用。

(3)电子商务相关法律法规的核心要点。

2、难点(1)理解加密技术和认证技术的复杂原理。

(2)在实际案例中准确判断和解决电子商务法律纠纷。

三、教学方法1、讲授法通过讲解和阐述,让学生系统地了解电子商务中的电子支付、安全技术和法律法规的基本概念和原理。

2、案例分析法引入实际的电子商务案例,引导学生分析其中的支付、安全和法律问题,培养学生的实际应用能力。

3、小组讨论法组织学生进行小组讨论,针对特定的电子商务问题,让学生交流观点,共同探讨解决方案。

四、教学过程(一)导入新课通过回顾上一章关于电子商务模式的内容,引出本章的主题——电子商务中的关键支撑要素,即电子支付、安全技术和法律法规。

提问学生在日常网络购物中所经历的支付过程和对支付安全的感受,引发学生的兴趣和思考。

(二)电子支付系统1、电子支付的概念和特点电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为。

其特点包括数字化、便捷性、高效性等。

2、电子支付系统的组成(1)客户包括个人消费者和企业用户,是支付系统的使用者。

(2)商家提供商品或服务,并接受支付的一方。

(3)银行处理支付指令和资金清算的金融机构。

(4)认证中心负责为交易双方颁发数字证书,确认身份的权威性机构。

(5)支付网关连接银行网络与互联网的一组服务器,用于处理支付信息的转换和安全传输。

3、电子支付系统的类型(1)在线支付如网上银行支付、第三方支付(支付宝、微信支付等)。

(2)移动支付通过手机等移动设备进行支付。

电子商务概论第四章 电子商务安全技术

电子商务概论第四章 电子商务安全技术

3、信息的不可否认性
信息的不可否认性是指信息的发送方不可 否认已经发送的信息,接收方也不可否认已经 收到的信息。例如因市场价格的上涨,卖方否 认收到订单的日期或完全否认收到订单;再如 网上购物者订货后,不能谎称不是自己订的货 等。
4、交易者身份的真实性
交易者身份的真实性是指交易双方是确实 存在的,不是假冒的。
2、信用的威胁
信用风险来自三个方面:
(1)来自买方的信用风险。对于个人消费
者来说,可能存在在网络上使用信用卡进行支 付时恶意透支,或使用伪造的信用卡骗取卖方 的货物行为;对于集团购买者来说,存在拖延 货款的可能。
(2)来自卖方的信用风险。卖方不能按质、
按量、按时送寄消费者购买的货物,或者不能 完全履行与集团购买者签订的合同,造成买方 的风险。
(4)计算机病毒
计算机病毒是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据,影响计 算机使用,并能自我复制的一组计算机指令或 者程序代码。
一台计算机感染上病毒后,轻则系统运行 效率下降,部分文件丢失。重则造成系统死机, 计算机硬件烧毁。
3、防范黑客的技术措施
比较常用的防范黑客的技术措施是网络安 全检测设备、防火墙和安全工具包软件。
(1)网络安全检测设备
预防为主是防范黑客的基本指导思想。利 用网络从事交易的单位或个人,有条件的话, 应当加强对黑客行为的网络监控。
(2)防火墙(具体见下一节)
(3)安全工具包
全面的网络安全技术,应包括反病毒、入 侵检测、安全认证、加密、防火墙五个环节。 安全工具包正是努力从这五个环节上解决安全 问题,实现全面的网络安全。
当这些方法不能奏效时,黑客们便借助各 种软件工具,利用破解程序分析这些信息,进 行口令破解,进而实施攻击。

电子商务安全与电子支付4章(ppt文档可编辑修改)

• (2)设置防火墙、防病毒软件、物理隔离 器之类的安全装置,并经常更新;
• (3)定期评估网络、操作系统等自身的安 全性,发现系统漏洞并及时更改;
4.1.2国际电子商务立法的主要内容和特点
• 类容: • (1)市场准入 • (2)税收 • (3)电子商务合同 • (4)电子支付 • (5)安全与保密 • (6)知识产权 • (7)隐私权的保护
特点
• (1)国际立法的超前性。 • (2)提供宽松、简约的电子商务的法制环
境。 • (3)电子商务立法修改的频繁性。
• (3)“签名人”系指持有签名制作数据的人,代表本人 或所代表的人行事。
• (4)“认证服务提供人”系指签发证书或可能提供与电 子签名有关的其他服务的人。
• (5)“依赖方”系指可以根据某一证书或电子签名行事 的人。
4.2.2电子签名的适用前提与适用范围
• 1. 适用前提 • 《电子签名法》没有规定在民事活动中的
2. 我国涉及计算机安全的法律法规
• 将计算机犯罪划分为以下类型: • (1)非法侵入计算机信息系统罪(第二百八十五条第一款)。 • (2)非法获取计算机信息系统数据、非法控制计算机信
息系统罪(第二百八十五条第二款)。 • (3)提供侵入、非法控制计算机信息系统程序、工具罪
(第二百八十五条第三款)。 • (4)破坏计算机信息系统罪(第二百八十六条)。 • (5)利用计算机实施犯罪的提示性规定(第二百八十七条)。
2可靠电子签名的法律效力
• 根据我国《电子签名法》第十四条规定: “可靠的电子签名与手写签名或者盖章具 有同等的法律效力”。这是《电子签名法》 的核心。当一个电子签名被认定是可靠的 电子签名时,该电子签名就与手写签名或 者盖章具有了同等的法律效力。电子签名 获得法律效力,为电子签名的实际应用奠 定了坚实的法律基础,使得在因特网上进 行交易活动或其他活动成为可能。

电子商务的安全技术-数字签名

电子商务的安全技术——数字签名专业:信息管理与信息系统班级:信管本科班学号:姓名:日期:2015年6月30日摘要:近来基于Internet 开展的电子商务已逐渐成为人们进行商务活动的新模式。

越来越多的人通过Internet 进行商务活动,电子商务的发展前景十分诱人,成为推动企业发展的核心力量,它的地位和作用已经很难撼动。

在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中,都要用到数字签名技术。

本文对数字签名这一技术的应用加以讨论,提出了一种新的改良方案叫安全数字签名,在一定程度上解决了数字签名方案所存在的问题,真正保证电子商务的正常运作。

通过介绍在数字签名技术中将信息发送者与信息传递结合起来,用以保障发送者所发送的信息在传递过程中的完整性,并可提供信息发送者的身份认证,以防止信息发送者对所发送信息的抵赖行为产生的实现过程,指出了数字签名的概念和意义,探讨了数字签名技术在电子商务中的应用,并分析了数字签名应用中存在的问题及应对策略。

关键词:电子商务;对称密钥;非对称密钥;安全数字签名Abscract:Recently the electronic commerce which established upon internet have gradually became a new mode in people’s business activities. More and more people take the business communication through internet, so the development of electronic commerce shall be tremendous, become the core energy to promote development of enterprise,it play a key role in business trade. But the accompanying safety issues also have went into stood out. Digital Signature Technology plays an important role in electronic commerce safety technology.It is widely applied in sourcing distinguish、integrality service、non-denying service. The application of digital signature technology is discussed, and some potential safe troubles are given. So a new improved design—safe digital signature is presented, which settles some issues of digital signature design in a certain extent, and ensures the normal operation of electronic commerce actually.Key word : electronic commerce;symmetry secret key;non-symmetry secret key,;safe digital signature目录1.绪论 (3)1.l研究背景 (3)1.2 国内外研究现状 (3)1.3本文的研究内容及意义 (4)2.数字签名的概念和意义 (4)2.1数字签名的概念 (4)2.2 数字签名的意义 (5)2.3数字签名的过程 (5)3.数字签名的实现 (5)3.1对称式加密技术 (6)3.2非对称加密技术 (6)3.3数字签名技术常见算法 (7)4.数字签名中存在的问题及应对策略 (8)4.1数字签名中存在的问题 (8)4.2应对我国数字签名应用中存在问题的策略 (8)参考文献 (9)1.绪论1.l研究背景21世纪,信息技术迅速发展,互联网的产生为人类社会创造出一个全新的活动空间。

习题册参考答案-《电子商务安全技术(第三版)习题册》-A24-4085.docx

答案第 1 章电子商务安全概述一、填空题1.计算机网络安全、商务交易安全2.商务交易安全隐患,人员、管理、法律的安全隐患3.鉴别、确认4.网络实体5.被他人假冒6.网络操作系统、网络协议二、选择题1.A2.C3.C4.D5.D三、判断题1.X2.√3.X4.√5.X四、简答题1.答: Internet 是一个开放的、无控制机构的网络,黑客经常会侵入网络中的计算机系统,或窃取机密数据、或盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。

2. 答:为真正实现安全的电子商务必须要求电子商务能做到机密性、完整性、认证性、有效性和不可否认性,只有满足了这些条件的电子商务才能称的上是安全的电子商务。

3.答:这个安全体系至少应包括三类措施,并且三者缺一不可。

一是技术方面的措施,技术又可以分为网络安全技术, 如防火墙技术、网络防黑、防毒、虚拟专用网等,以及交易安全技术, 如信息加密、安全认证和安全应用协议等。

但只有技术措施并不能保证百分之百的安全。

二是管理方面的措施,包括交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。

三是社会的法律政策与法律保障。

电子商务安全性首先依托于法律、法规和相关的管理制度这个大环境,在这个大环境中,运用安全交易技术和网络安全技术建立起完善的安全管理体制,对电子商务实行实时监控,并加强安全教育等,从而保证电子商务的安全性。

4.答:(1)网上预订飞机票、火车票(2)网上客房预订(3)网上购物、购书(4)网上拍卖(5)网上旅游交易会、农副产品交易(6)网上销售娱乐、游戏、电子书籍、软件等知识产品(7)提供 ISP 、 ICP、IDP 等网络技术服务五、案例分析题略第 2 章计算机与网络系统安全技术一、填空题1. 正常运行篡改泄露2.程序3.非法入侵者4.端口、漏洞5.拒绝服务攻击( DDoS)6.缓冲区溢出攻击、欺骗攻击7.安全策略8.日志记录9.代理型、状态监测10.网络,主机11.外存储器12.备份13.资源共享、互联服务14.网络隧道二、选择题1.B2.D3.A4.B5.B6.A7.D8.C9.C 10.D 11.A 12.B13.B三、判断题1. √2.X3.√4.X5.√6.X7.√8.√9. √ 10.√ 11.X四、简答题1.答:破坏性、寄生性、传染性、潜伏性、针对性。

电子商务安全技术课件PPT(33张)


2、电子商务的安全要素 (1)完整性 (2)机密性 (3)不可否认性 (4)真实性 (5)可靠性 (6)可用性
三、我国电子商务安全的现状 1、基础技术相对薄弱 2、体系结构不完整 3、支持产品不过硬 4、多种“威胁”纷杂交织、频频发

第二节 网络安全技术
一、操作系统安全
操作系统是计算机的核心软件,操作 操作系统是计算机的核心软件,操作系统的安全对计算机的安全起着至关重要的作用,操作系统的安全性主要是对外部攻击的防范,
(二)VPN的优势 安全通道 低成本 可扩展性 灵活性 便于管理服务质量保证
四、病毒防范技术
(一)计算机病毒定义
计算机病毒是一种人为编制的程序或 指令集合,这种程序能潜伏在计算机系统 中,并通过自我复制传播和扩散,在一定 条件下被激活,给计算机带来故障和破坏。
(二)计算机病毒的分类
引导区病毒、文件型病毒、复合型病毒、 宏病毒、特洛伊木马、蠕虫及其他病毒
(三)计算机病毒的特点 隐蔽性、传染性、潜伏性、 可激发性、 破坏性
(四)计算机病毒的防治方法 邮件; 4、使用外来磁盘前先查杀病毒; 5、备份重要数据。
第三节 信息安全技术
一、密码学概述 将明文数据进行某种变换,使其成为
不可理解的形式,这个过程就是加密,这种 不可理解的形式称为密文。解密是加密的逆 过程,即将密文还原成明文。
攻击的防范,保证数据的保密性、完整性 密钥是加密和加密所需的一串数字。
2、系统安全性攻击。 (1)从证书的使用者分类:
和可用性。 灵活性 便于管理 服务质量保证
5、备份重要数据。 一、电子商务安全的概念 (5)可靠性
(一)操作系统安全分类 (4)真实性
颁发数字证书单位的数字签名;
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

明文(原有信息) 密文 明文 加密:对信息进行编码 解密:对信息解码
每个字 母用后 一个字 母代替
Happy New Year
明文
Gzoox Mdv Xdzq
每个字母用前 密文 一字母代替,例 G代替H
Happy New Year
明文
22
4.3.2 信息传输安全保障技术 密码技术
基于密钥的加密方法有两个重要元素: 算法与密钥 加密算法是将普通文本或信息与一串数字(密钥)相结合而 产生密文的规则。是加密解密的一步一步过程。
病毒、蠕虫和特洛伊木马是可导致计算机和计算机上的信息损坏 的恶意程序。 这三种东西都是人为编制出的恶意代码,都会对用户造成危害, 人们往往将它们统称作病毒,但其实这种称法并不准确,它们之 间虽然有着共性,但也有着很大的差别。
21
4.3.2 信息传输安全保障技术 密码技术
采用密码技术对信息加密: 加密:对信息进行编码,使它成为不可理解的内容,即:密文 解密:加密的逆过程,将密文还原为原来的信息
明 文 密钥加密 密 文 密钥解密 明 文
27
4.3.2 信息传输安全保障技术
2)非对称密钥(公钥)加密
收件者的公钥 加密的信息 (密文) Internet 收件者的私钥
加密
密文
解密
28
4.3.2 信息传输安全保障技术 非对称密钥加密 保密: 李明
刘立的 公钥 刘立的 私钥
密文
刘立
确保只有刘立能够解读该信息 鉴别:
采用数字摘要技术
数字摘要又称Hash算法,是一种单向加 密算法,其加密结果不能解密。 所谓数字摘要,是指从原文中通过Hash 算法而得到的一个有固定长度(通常为128 位)的散列值,即信息鉴别码(MAC)。
30
4.3.2 信息传输安全保障技术
假设一个人要想以电子邮件的方式发送财务合约草案给他想要合作的 公司。发件人想要向公司保证草案的内容在发送的途中没有更改并且 他真的是发件人。数字签名如何工作? (2)发件人应 (3)发件人用自 (1)含有合同 用hash函数 报文摘要 己的私钥加密 数字签名 的消息
8
9.1 电子商务安全的基本要求
从公司角度来看:
公司如何知道用户不会试图闯入网络服务器或者修改网站网页和 内容呢?
公司如何知道用户不会试图干扰网站服务从而使得其他用户无法 访问呢?
从用户和公司双方面来看:
用户和公司如何知道网络连接中不会遭到第三方的在线窃听呢? 用户和公司如何知道服务器和用户浏览器之间传递的信息不会在 中途被修改呢?
---基于用户的客户端主机IP地址的一种认证机制(客户认证的一 种方式),它允许系统管理员为具有某一特定IP地址的授权用 户定制访问权限。
特点:
---CA与IP地址相关,对访问的协议不做直接的限制。服务器和 客户端无需增加、修改任何软件。系统管理员可以决定对每 个用户的授权、允许访问的服务器资源、应用程序、访问时 间以及允许建立的会话次数等等。
认证性
保密性 完整性 不可否认性 其他安全要求:有效性、可用性、合法性
10
第4章 电子商务安全与管理
41 电子商务安全的基本要求
主要 内容
4.2 电子商务安全体系架构 4.3 电子商务安全技术 4.4 电子商务应用安全
11
4.2 电子商务安全体系架构
电子商务安全体系框架
12
25
4.3.2 信息传输安全保障技术
基于密钥加密方法 (加密机制见附加内容2) 对称密钥加密(私钥) 非对称密钥加密(公共密钥)
26
4.3.2 信息传输安全保障技术
1)对称密钥(私钥)加密
接、收双方采用同一密钥加密和解密。 优点:容易实现,加密速度快 缺点: 密钥的保管复杂:通信方越多,冒用密钥的机率越高,可相 互读取别人的信件,无保密性. 无身份鉴别:无法验证消息的发送者和接收者的身份
入侵检测:指面向计算资源和网络资源的恶意行为的识别和响
应(包括安全审计、监视、识别和响应)。 入侵检测技术——防火墙之后的第二道安全闸门
入侵检测系统(IDS)——网络安全工具
20
4.3.1 交易方自身网络安全保障技术
网络安全保障技术最基本的作用—— 防止恶意代码的威胁。 恶意代码:病毒、蠕虫与特洛伊木马 (见附加内容1)
数字证书
数字时间戳与签名 防火墙、口令
14
第4章 电子商务安全与管理
9.1 电子商务安全的基本要求
主要 内容
9.2 电子商务安全体系架构
9.3 电子商务安全技术 9.4 电子商务应用安全
15
4.3 电子商务安全技术
交易方自身网络安全保障技术
用户账号管理和网络杀毒技术 防火墙技术 虚拟专网技术 入侵检测技术
第4章 电子商务安全技术
一只狗一边敲打键盘一 边对另一只狗说:“在 互联网上,没有人知道 你是狗。”
擦亮双眼,眼见不一定是 事实
2
引导案例:关于安全的几个小例子
【案例一】一个不明文件引发的损失
2011年5月14日,山东的张女士在网上购买了一款打折的名牌皮 包,卖家通过聊天工具发来一个压缩文件,要求确认款型。张女士打 开压缩文件时看到系统提示“该文件损坏”,当时并没有在意,重新 回到购物网站上进行付款操作。蹊跷的是,500元钱却被打入了另一 个陌生账户名下。 大家想一想,张女士的钱究竟 去哪儿了?
23
4.3.2 信息传输安全保障技术 密码技术
加密的组成部分:明文(plaintext)、密钥(key)、加密算法( encryption algorithm)、密文(ciphertext)。 组成部分 明文 描述 例子
人类可读形式的原始 信用卡号 5342 8765 3652 9982 信息
4.2 电子商务安全体系架构
电子商务安全交易体系
13
4.2 电子商务安全体系架构
电子商务安全交易体系
安全要素 信息的保密性 信息的完整性 可能损失 数据被泄露或篡改 信息丢失和变更 防范措施 信息加密 数字摘要
信息的验证性
信息的认可性 信息的授权性
冒名发送接受数据
发送数据后抵赖 未经授权擅自侵入
17
4.3.1 交易方自身网络安全保障技术 防火墙技术
防火墙:由软件和硬件设备(计算机或路由器)组合而成,处于
企业内部网和外部网之间,用于加强内外之间安全防范的一个或 一组系统。 网络级防火墙:主要是用来防止整个网络出现外来非法入侵。 应用级防火墙:从应用程序来进行接入控制。通常使用应用网关 或代理服务器来区分各种应用。例如,可以只允许通过访问万维 网的应用,而阻止FTP应用的通过。
防火墙技术在网络安全防护方面存在的不足:
不能防止内部攻击;不能防止未经过防火墙的攻击;不能取代杀 毒软件 ;不易防止反弹端口木马攻击。
18
4.3.1 交易方自身网络安全保障技术
虚拟专网技术
虚拟专网:VPN,是指利用隧道技术把两个或多个专业网络通过公
共网(通常指Internet)安全地连接到一起,组成虚拟的统一的专 用网的技术。
带数字签名的消息 (4)发件人用收件人的公钥加密 数字信封 (5)发件人向收件人发送电子邮件
数字信封 (6) 收件人用自己的私钥解密
(1)含有合同 (8)收件人应 的消息 (7)收件人 用发件人的 用hash函数 原始报文摘要 公钥解密 新的报文摘要 (9)比较是否匹配 数字签名
31
4.3.3 身份和信息认证技术 客户认证(Client Authentication,CA):
电子商务安全问题不仅仅是阻止或响应网络攻击和入侵。 例:如果某用户连入营销网站服务器以获得一些产品信息,而作为回报, 用户被要求填写一张表单来提供一些统计资料和个人信息。在这种情 况下,会产生哪些安全问题呢?
从用户角度来看:
用户如何确定网络服务器的所有者和操作者是合法的公司呢? 用户如何知道网页和表格不包含一些恶意或危险的代码与内容呢? 用户如何知道网站服务器的拥有者不会将其提供的个人信息泄露给 其他人呢?
加密算法 用来加密或解密的数 卡号中的每个数字加上一个数字(密 学公式或过程 钥),如果数字大于9,则忽略进位 的数字(即求模运算)。例如每个数 字加4,那么1变成5,9变成3等 密钥
密文
供算法用来改变消息 加在原始数字上的数字(如4) 形式的特别的数字
明文消息加密后不可 原始的5342 8765 3652 9982变成了 读的形式 9786 2109 7096 3326
功能:
数据保密,利用加密算法处理传输信息,窃听者无法解密; 信息验证,保证信息完整性和发送方的真实性; 身份认证,只有容许的用户能够加入VPN; 访问控制,不同用户不同访问权限。
19
4.3.1 交易方自身网络安全保障技术
入侵检测技术
入侵:指任何试图破坏资源完整性、机密性和可用性的行为, 也包括合法用户对于系统资源的误用。
4
引导案例:关于安全的几个小例子
【案例三】天猫分期购
5
引导案例:关于安全的几个小例子
【案例四】各类投票
6
第4章 电子商务安全技术
4.1 电子商务安全的基本要求
主要 内容
4.2 电子商务安全体系架构 4.3 电子商务安全技术 4.4 电子商务应用安全
7
4.1 电子商务安全的基本要求
基本安全问题举例
24
4.3.2 信息传输安全保障技术 基于密钥加密方法的优点
加密技术的关键是密钥,加密算法设计困难,而且算法一般 公开,基于密钥的变化解决了这一难题。 采用一种算法与许多人实现保密通信。发送方基于一个算法 ,使用不同的密钥向多个接收者发送密文。 密文被破译,只需更换一个新的密钥,继续通信。 密钥的位数决定加密系统的坚固性。密钥的位数越长,破译 的时间越长,难度越大。 例如,一个16位的密钥有2的16次方(65536)种不同的密钥 。顺序猜测65536种密钥对于计算机是容易的。如果100位的 密钥,计算机猜测密钥的时间需要好几个世纪。