版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、第七章 电子商务安全电子商务的安全目标 电子商务安全技术电子商务的安全管理 本章主要内容第一节 电子商务的安全目标一、电子商务面临的威胁二、电子商务安全的目标1. 黑客攻击2. 搭线窃听3. 伪装身份4. 信息泄密、篡改、销毁5. 间谍软件袭击6. 网络钓鱼一、电子商务面临的威胁二、电子商务安全的目标完整性保密性可靠性不可否认性 安全目标真实性第二节 电子商务安全技术一、加密技术二、认证技术三、安全协议四、防火墙技术一、加密技术1. 对称加密体制的工作过程(如图所示) (一) 对称加密体制2. 对称加密体制的优点与缺点1)算法简单,系统开销小;2)加密数据效率高,速度快;3)适合加密大量数据。
2、1)密钥难以共享;2)管理密钥有困难;3)无法实现数字签名和身份验证;4)密钥的分发是加密体系中最薄弱、风险最大的环节。优点缺点3. 对称加密体制的算法DES(Data Encryption Standard)是一个对称的分组加密算法。DES算法以64位为分组进行明文的输入,在密钥的控制下产生64位的密文;反之输入64位的密文,输出64位的明文。它的密钥总长度是64位,因为密钥表中每个第8 位都用作奇偶校验,所以实际有效密钥长度为56位。DES算法可以通过软件或硬件实现。(二)非对称加密体制2. 非对称加密体制的优点与缺点1)密钥管理简单;2)便于进行数字签名和身份认证,从而保证数据的不可抵赖
3、性;1)算法复杂;2)加密数据的速度和效率较低;3)存在对大报文加密困难。优点缺点3. 非对称加密体制的算法 RSA是1978年由R.L.Rivest、A.Shamir和L.Adleman设计的非对称的方法,算法以发明者的名字的首字母来命名的。它是第一个既可用于加密,也可用于数字签名的算法。 RSA只用于少量数据加密,在Internet中广泛使用的电子邮件和文件加密软件PGP(Pretty Good Privacy)就是将RSA作为传送会话密钥和数字签名的标准算法。(三)两种加密体系的对比比较项目对称加密体制非对称加密体制代表算法DESRSA密钥数目单一密钥密钥是成对的密钥种类密钥是秘密的一个
4、私有,一个公开密钥管理简单不好管理需要数字证书及可靠的第三者相对速度非常快慢主要用途大量数据加密数字签名密钥分配加密(四)对称与非对称加密体系的结合在实际应用中,通常将利用DES对称加密算法来进行大容量数据的加密,而采用RSA非对称加密算法来传递对称加密算法所使用的密钥。这种二者结合的体系,就集成了两类加密算法的优点,既实现了加密速度快的优点,又实现了安全方便管理密钥的优点。用户的特征 用户所拥有的 用户所知道的 二、认证技术指纹虹膜DNA声音用户的行为 身份证护照密钥盘 密码口令 (一) 身份认证概述(二)消息认证概述数字签名原理示意图 数字时间戳数字时间戳服务(Digital Time-S
5、tamp Service,DTS)由专门的机构提供。能提供电子文件发表时间的安全保护。数字时间戳是一个经加密后形成的凭证文档,它包括三个部分: 需加时间戳的文件的摘要; DTS收到文件的日期和时间 DTS的数字签名。 三、安全协议(一)传输层安全协议SSL1. 秘密性: 使用对称密钥实现数据加密,确保连接安全。 2. 完整性: 使用安全的哈希函数如MD5、SHA等计算校验码,确保了信息的完整性和可靠性连接。3. 认证性: 通过非对称加密技术实现身份验证。BANK顾客商家银行商品选择,订单的完成 数字签名(3) 向消费者所在银行请求支付认可。(4) 商店发货或提供服务,请求支付。(二) 应用层安
6、全协议SET交易流程示意图SET协议的目标SET协议保证了在电子交易过程中: (1)机密性-保证信息的安全传输。 (2)数据完整性-保证电子商务参与者信息的相互隔离。 (3)身份的合法性-解决多方认证问题。 (4)不可否认性-保证网上交易的实时性。 (5)兼容性和互操作功能。SSL协议和SET协议的对比 对比项SSL协议SEL协议参与方客户、商家和网上银行客户、商家、支付网关、认证中心和网上银行软件费用可直接投入使用,无需额外的附加软件费用须在银行网络、商家服务器、客户机上安装相应的软件,因此增加了许多附加软件费用便捷性SSL在使用过程中无需在客户端安装电子钱包,因此操作简单;每天交易有限额规
7、定,因此不利于购买大宗商品;支付迅速,几秒钟便可完成支付SET协议在使用中必须使用电子钱包进行付款,因此在使用前,必须先下载电子钱包软件,因此操作复杂,耗费时间;每天交易无限额,利于购买大宗商品;由于存在着验证过程,因此支付缓慢,有时还不能完成交易安全性只有商家的服务器需要认证,客户端认证则是有选择的;缺少对商家的认证,因此客户的信用卡号等支付信息有可能被商家泄漏安全需求高,因此所有参与交易的成员:客户、商家、支付网关、网上银行都必须先申请数字证书来认识身份;保证了商家的合法性,并且客户的信用卡号不会被窃取,替消费者保守了更多的秘密,使其在结购物和支付更加放心四、防火墙技术 防火墙是一种隔离技
8、术,是指一种将内部网和公众访问网(如Internet)分开的方法。防火墙可以通过过滤不安全的服务而降低风险,可以强化网络安全策略,对网络存取和访问进行监控审计,防止内部信息的外泄; 防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网); 在实际使用中,用户在受信任的网络上通过防火墙访问Internet时, 经常会发现存在延迟并且必须进行多次登录才能访问互联网或企业内部网。一、机构制度管理二、风险制度管理三、法律制度管理 第三节 电子商务的安全管理一、机构制度管理(一)认证机构 在电子交易中,无论是时间戳服务还是数字证书的发放,都不是靠交易双方自己能完成的,而是需要
9、一个具有权威性和公正性的第三方机构来完成。 认证机构CA(Certification Authority)就是承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。(二) 数字证书 数字证书又称为数字凭证、数字标识。是由CA证书授权中心 发行的,能提供在Internet上进行身份验证的一种权威性电子文档,人们可以用它来证明自己在互联网中的身份或识别对方的身份。 二、风险制度管理 电子商务风险管理就是跟踪、评估、监测和管理商务整个过程中所形成的电子商务风险,尽力避免电子商务风险给企业造成的经济损失、商业干扰以及商业信誉丧失等,以确保企业电子商务的顺利进行。 三、法律制度管理200
10、4年8月28日全国人大常委会第十一次会议通过了中华人民共和国电子签名法。签名法是我国推进电子商务发展,扫除电子商务发展障碍的重要步骤。该法被认为是中国首部真正电子商务法意义上的立法。2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过电子认证服务管理办法,自2005年4月1日起施行。2005年11月10日中国银行业监督管理委员会第40次主席会议通过电子银行业务管理办法自2006年3月1日起施行。一、选择题 1. 用户识别方法不包括:( )A. 根据用户知道什么来判断 B. 根据用户拥有什么来判C. 根据用户地址来判断 D. 根据用户是什么来判断2. 以下身份认证技术中,属于生物
11、特征识别技术的有包括:( )A. 数字签名识别法 B. 指纹识别法C. 语音识别法 D. 头盖骨的轮廓识别法 3. 触发电子商务安全问题的原因有:( )A. 黑客的攻击 B. 管理的欠缺C. 网络的缺陷 D. 软件的漏洞4. 病毒防范制度包括的内容有:( )A. 给自己的电脑安装防病毒软件 B. 不打开陌生地址的电子邮件C. 认真执行病毒定期清理制度 D. 高度警惕网络陷阱5. 下面属于不安全口令的有:( )使用用户名作为口令 B. 使用自己或者亲友的生日作为口令C. 用学号或是身份证号码等作口令 D. 使用常用的英文单词做口令习题二、复习思考题请简述认证中心的提供的服务有哪些?防火墙是什么? 防火墙能否保证内部网络的绝对安全?SSL、SET、SHTTP各是什么协议,
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 基于2024年度旅游市场开发的旅游项目合作合同3篇
- 2024年度工程建设项目防水材料供应合同2篇
- 2024年度土地使用权转让合同:市区商业用地使用权交易2篇
- 黄金饰品采购合同
- 2024年度劳动合同试用期规定及工资标准2篇
- 著作权转让合同
- 玻璃幕墙施工合同
- 广告牌制作安装施工合同
- 2024版环保涂料研发与生产合同2篇
- 2024年度工程设计咨询劳务外包合同3篇
- 致用英语综合教程unit1-2教案
- 火龙果海运提单
- APQP项目开发进度表
- 新能源小客车购车充电条件确认书
- PICCO监测技术及评分标准
- 小学体育五至六年级体育与健康3.2 轻度损伤的自我处理(课件)人教版(15张PPT)
- 家具店消防应急预案
- 新车提车验车表4页
- 浅谈区域财务一体化实施的有效方法
- 盾构穿越岩溶地区施工技术总结
- 慢性病健康管理教材
评论
0/150
提交评论