电子商务的安全需求及技术
简述电子商务的安全需求。
简述电⼦商务的安全需求。
(1)有效性。
电⼦商务系统应有效防⽌系统延迟和拒绝服务情况的发⽣,要对⽹络故障、硬件故障、操作错误、应⽤程序错误、系统软件错误及计算机病毒所产⽣的潜在威胁加以控制和预防,保让交易数据在确定的时刻、确定的地点是有效的。
(2)保密性。
系统应能对公众⽹络上传输的信息进⾏加密处理,防⽌交易中信息被⾮法截获或窃取,防⽌通过⾮法拦截会话数据获得账户有效信息。
(3)完整性。
电⼦商务系统应防⽌对交易信息的随意⽣成、修改和删除,同时防⽌数据传输过程中交易信息的丢失和重复,并保证信息传递次序的统⼀。
(4)可靠性。
由于⽹上的通信双⽅互不见⾯,所以在交易前必须⾸先确认对⽅的真实⾝份;在进⾏⽀付时,还需要确认对⽅的账号等信息是否真实有效。
电⼦商务系统应该提供通信双⽅进⾏⾝份鉴别的机制,确保交易双⽅⾝份信息的可靠和合法。
应实现系统对⽤户⾝份的有效确认,对私有密钥和⼝令的有效保护,对⾮法攻击能够防范,防⽌假冒⾝份在⽹上进⾏交易。
(5)匿名性。
电⼦商务系统应确保交易的匿名性,防⽌交易过程被跟踪。
保证交易过程中的⽤户个⼈信息不会泄露,确保合法⽤户的隐私不被侵犯。
(6)防抵赖性。
电⼦商务系统应有效防⽌商业欺诈⾏为的发⽣,⽹上进⾏交易的各⽅在进⾏数据传输时,都必须携有⾃⾝特有的、⽆法被别⼈复制的信息,以保证交易发⽣纠纷时有所对证,以保证商业信⽤和⾏为的不可否认性,保证交易各⽅对已做交易⽆法抵赖。
电子商务网络及支付安全技术
电子商务网络及支付安全技术随着信息技术的快速发展和互联网的普及,电子商务成为一种时尚的购物方式。
越来越多的人开始通过电子商务网站进行购物,这不仅便利而且节省了时间和精力。
但是,网络安全问题是电子商务发展中必须要面对的一个重要问题,尤其是涉及到支付安全方面。
本文将从电子商务网络和支付安全技术两个方面进行探讨。
一、电子商务网络安全在电子商务的初期发展阶段,由于网络技术还未成熟,很容易受到黑客、病毒等各种网络攻击,从而导致电子商务行业的发展受到严重威胁。
为了确保电子商务的安全,我们必须从以下几个方面入手:1. 网络架构安全网络架构是电子商务系统的基础,也是保证网络安全的首要条件。
因此,在搭建电子商务系统时,我们必须根据公司需求选择合适的网络架构,并采用多层防御措施,以保护网络安全。
2. 数据安全电子商务涉及到大量的用户信息,如个人身份信息、支付信息、历史交易记录等等。
因此,我们必须采用合适的加密技术,保护用户数据的安全。
同时,定期备份数据也是不可或缺的,以防止数据丢失。
3. 安全验证安全验证是保证电子商务系统安全的关键。
现在,常用的安全验证方式包括密码验证、人脸识别、指纹识别等。
但是,这些验证方式都不是完美的。
因此,我们还需要采用多种验证方式,以确保电子商务系统的安全。
二、支付安全技术在电子商务中,支付环节是最关键的环节之一。
因为这牵扯到用户最重要的资金安全。
为了保证支付安全,我们可以采取以下措施:1. 支付平台安全支付平台的安全是电子商务支付安全的基础。
所以,在支付平台的选取过程中,我们必须选择有良好信誉的支付平台,并使用多层加密和安全协议,以确保支付过程的安全。
2. 双重保障支付过程中,单一的安全验证方式是不可靠的,至少需要采用两种验证方式来保证支付安全。
例如,支付过程中需要输入密码和短信验证码。
3. 安全防范措施除了加密和验证技术外,支付过程中必须还需要采用其他防范措施,如实时监控、异常警报机制、实时反欺诈机制等等,以保障支付的安全。
保证电子商务安全的措施
保证电子商务安全的措施电子商务的快速发展为人们的生活带来了极大的便利,然而同时也引发了一系列的安全隐患和风险。
在保证电子商务的安全上,采取一系列的措施至关重要。
本文将从技术、管理和教育三个方面,阐述一些重要的安全措施,以确保电子商务的安全进行。
1. 技术措施1.1 加密技术加密技术是保证电子商务安全的基础,通过使用公钥和私钥来对交互数据进行加密和解密,确保只有合法的用户才能访问敏感信息。
常用的加密技术包括SSL (Secure Socket Layer)和TLS(Transport Layer Security)等,通过建立安全的通信通道来保护交换的数据。
同时,持续更新加密算法和密钥管理系统,以抵御不断发展的安全威胁。
1.2 认证和授权认证和授权是电子商务安全的关键环节。
采用多因素认证的方式,如使用密码、生物识别技术和硬件令牌等,确保用户的身份真实性和合法性。
同时,建立严格的授权机制,对用户的权限进行明确和管理,以避免未经授权的用户访问和操作敏感数据。
1.3 防火墙和入侵检测系统防火墙和入侵检测系统是保护电子商务平台免受网络攻击的重要手段。
通过策略限制和监控网络流量,防止恶意攻击和非法访问。
及时发现和阻止入侵行为,减少安全事件对系统造成的损害。
同时,与安全公司建立合作,定期进行安全巡检和漏洞修复,保持系统的安全性。
2. 管理措施2.1 安全策略和规范制定明确的安全策略和规范是确保电子商务安全的基础。
明确安全责任和权限,并分配专门的人员负责安全管理工作。
同时,建立完善的安全管理制度,包括对员工进行安全培训、合规检查和安全事件报告等,提高员工的安全意识和能力。
2.2 定期风险评估定期进行风险评估是了解系统安全状况、发现潜在威胁并制定相应防范措施的重要手段。
它可以帮助企业评估电子商务系统的安全状况,发现可能的安全漏洞和风险,并及时采取相应的补救措施,防止安全事件的发生。
2.3 数据备份与恢复建立有效的数据备份与恢复机制,对电子商务系统的数据进行定期备份,确保数据的完整性和可用性。
电子商务安全试题
一、简答:1.简述电子商务的安全需求。
答:电子商务的安全需求主要包括:机密性,指信息在传送过程中不被他人窃取;完整性, 指保护信息不被未授权的人员修改;认证性, 指网络两端传送信息人的身份能够被确认;不可抵赖性,指信息的接受方和发送方不能否认自己的行为;不可拒绝性,指保证信息在正常访问方式下不被拒绝;访问的控制性,指能够限制和控制对主机的访问。
2.简述 VPN 中使用的关键技术。
答: VPN 中使用的关键技术:隧道技术、加密技术、QOS 技术。
加密技术和隧道技术用来连接并加密通讯的两端,QOS 技术用来解决网络延迟与阻塞问题。
3.简述入侵检测的主要方法 QOS。
答:入侵检测的主要方法有:静态配置分析法;异常性检测方法;基于行为的检测方法;智能检测法。
4.简述 PKI 的基本组成。
答: PKI 的基本组成有:认证机构CA;数字证书库;密钥备份与恢复系统;证书作废系统;应用程序接口部分。
5.简述木马攻击必须具备的条件。
答:木马攻击必须具备三个基本条件,要有一个注册程序,要有一个注册程序可执行程序,可执行程序必须装入内存并运行;要有一个端口。
6.简述 CA 的基本组成。
答:CA 的基本组成:注册服务器;CA 服务器;证书受理与审核机构 RA;这三个部分互相协调,缺一不可。
7.简述对称密钥加密和非对称密钥加密的区别。
答: 对称密钥算法是指使用同一个密钥来加密和解密数据。
密钥的长度由于算法的不同而不同,一般位于40~128 位之间。
公钥密码算法:是指加密密钥和解密密钥为两个不同密钥的密码算法。
公钥密码算法不同于单钥密码算法,它使用了一对密钥:一个用于加密信息,另一个则用于解密信息,通信双方无需事先交换密钥就可进行保密。
8.简述安全防范的基本策略。
答:安全防范的基本内容有:物理安全防范机制,访问权限安全机制,信息加密安全机制,黑客防范安全机制;风险管理与灾难恢复机制。
9.简述 VPN 中使用的关键技术。
答:VPN 中使用的关键技术:隧道技术、加密技术Q、OS 技术。
电子商务的安全性需求
电子商务的平安性需求1、交易信息的保密性:交易信息的保密性是指信息在传输或存储过程中不被别人窃取。
因此,对商务信息系统在存储的资料要严格管理,必须对重要和敏感的信息进展加密,然后再放到网上传输,确保非受权用户不得侵入、查看使用。
为了对信息进展保密,相应有一些保密性技术。
如加密和解密技术、防火墙技术等。
加密/解密技术是一种用来防止信息泄露的技术。
电子商务中的信息在通过Inter传送之前,为了防止信息的内容被别人有意或无意的知晓,需要将它的内容通过一定的方法转变成别人看不懂的信息,这个过程就是加密。
而将看不懂的信息再转变成原始信息的过程称为解密。
加密之前的信息称为明文,加密之后的内容称为密文,加密通常要采用一些算法,而这些算法需要用到不同的参数这些不同的参数称作密钥,密钥空间是所有密钥的集合。
加密按传统的加密方法分为交换密码和位移密码两类;现代密码体制从原理上分为两大类,分别是单钥密码体制和双钥密码体制;按历史开展阶段:手工加密、机械加密、电子机内乱加密、计算机加密;按保密程度:理论上的保密的加密、实际上保密的加密、不保密的加密三种类型;按密钥使用方式:对称加密和非对称加密。
防火墙技术是在Inter和Inter 直接构筑的一道屏障,用以保护网络中的信息资等不受来自网络中非法用户的进犯,控制网络之间的所有数据流量,控制和防止网络中的有价值的数据流入Inter, 也控制和防止来自Inter 的无用垃圾流入Inter. 实现防火的主要技术有包过滤技术、应用网关和效劳器代理。
2、交易信息的完好性:包括信息传输和存储两个方面的含义,在存储时要防止被非法篡改和破坏,在传输过程中邀请接收端收到的信息与发送方发送的信息完全一致。
信息在传输过程中的加密,只能保证第三方看不到信息的真正内容,但并不能保证信息不被修改或保持完好。
要保证数据的完好性,技术上可以采用信息【摘要】:^p 的方法或者采用数字签名的方法。
还可以采用强有力的访问控制技术,防止对系统中数据的非法删除、更改、复制和破坏,此外:无识别结巢外损坏和丧失。
电子商务之安全技术概述
信息保密
信息完整 身分认证 不可抵赖
加密技术 认证技术
信息有效
网络交易安全
参与对象之间交易过程的安全;如安全套接层协议 SSL 安全电子交易协议SET 公钥基础设施PKI
电子商务概论
8-13
安全应用 信息安全 网络安全
电子商务业务系统
电子商务支付系统
安全交易协议 SET、SSL、S/HTTP、S/MIME 、PKI•••
电子商务概论
8-33
维吉尼亚密码——置换移位法
人们在单一恺撒密码的基础上扩展出多表密码;称为维 吉尼亚密码 它是由16世纪法国亨利三世王朝的布莱 瑟·维吉尼亚发明的;其特点是将26个恺撒密表合成一个
以置换移位为基础的周期性替换密码
明文w e a r e d i s c o v e r e d s a v e y o u r s e l f 密钥d e c e p t i v e d e c e p t i v e d e c e p t i v e 密文z i c v t w q n g r z g v t w a v z h c q y g l m g j 密钥deceptive被重复使用
儿子收到电报抡噌庙叵后;根据相应的电报码手册得到: 2241 0886 1680 0672;按照事先的约定;分别减去100解密 密钥;就得到抛售布匹的信息
电子商务概论
8-29
数据加密基础知识
1976年;狄菲和海尔曼提出了密码体制的新概念—公钥密码 让两个国家的每一个人都具有两副锁和钥匙;每幅各有一把
安全认证技术 数字摘要、数字签名、数字信封、CA证书 •••
加密技术 非对称密钥加密、对称密钥加密、DES、RSA •••
安全策略、防火墙、查杀病毒、虚拟专用网
电子商务平台的安全防护技术及注意事项
电子商务平台的安全防护技术及注意事项在当今数字化时代,电子商务平台的兴起为商家和消费者之间的交易提供了方便和便捷。
然而,随着电子商务平台的普及,安全性和信任成为商家和消费者所关注的重点问题。
本文将重点探讨电子商务平台的安全防护技术及注意事项。
首先,电子商务平台的安全防护技术是确保商家和消费者信息安全的重要保障。
在互联网环境下,信息泄露可能导致严重后果,包括金融损失和个人隐私泄露。
因此,电子商务平台必须采取一系列的安全措施来防范潜在的威胁。
下面是一些常见的安全防护技术:1. 数据加密:电子商务平台应使用强大的数据加密技术来保护商家和消费者的敏感信息。
例如,使用SSL(Secure Sockets Layer)或TLS(Transport Layer Security)等安全协议来加密数据传输过程,确保数据在传输过程中不被窃取或篡改。
2. 强密码政策:电子商务平台应要求用户设置复杂的密码,并定期更新密码。
同时,为了防止用户遗忘密码,可以引入多因素身份验证,如手机短信验证码或指纹识别。
3. 网络安全检测:定期进行网络安全检测,发现和消除潜在的漏洞和安全风险。
这可以通过使用网络安全扫描工具、漏洞评估和渗透测试等方式实现。
4. 身份验证:采用双重身份验证(2FA)来验证用户身份,确保只有合法的用户可以访问平台。
这可以通过使用手机验证码、指纹识别、令牌或生物识别技术等实现。
除了安全防护技术外,还有一些重要的注意事项需要商家和消费者关注。
1. 使用合法合规的电子商务平台:选择具备相关认证和安全保障的平台进行交易,避免使用存在安全隐患的平台。
商家和消费者可以参考政府机构发布的认证信息和第三方评估机构提供的安全评估报告。
2. 保护个人账户安全:商家和消费者应当妥善保管个人账号和密码,避免泄露给他人。
此外,不要使用公共设备或不受信任的WiFi网络进行登录或交易,以防止个人信息被窃取。
3. 定期检查和更新软件安全补丁:商家和消费者应定期检查并更新操作系统、浏览器和应用程序的安全补丁,以修复已知的漏洞和安全问题。
电子商务安全需求与应对措施
例如,在电子贸易中,乙给甲发了如下一份报 文:“请给丁汇100元钱。乙”。报文在报发过程
中经过了丙之手,丙就把“丁”改为“丙”。这样 甲收到后就成了“请给丙汇100元钱。乙”,结果 是丙而不是丁得到了100元钱。当乙得知丁未收到
钱时就去问甲,甲出示有乙签名的报文,乙发现报 文被篡改了。
交易的不可抵赖性是指交易双方在网上交易过程的 每个环节都不可否认其所发送和收到的交易信息, 又称不可否认性。
对称密钥也称私钥、单钥或专有密钥,在这种技术 中,加密方和解密方使用同一种加密算法和同一个 密钥。
对称密钥加密技术特点是数据加密标准,速度较快, 适用于加密大量数据的场合。
对称加密的算法是公开的,在前面的例子中,可以把 算法character+x告诉所有要交换信息的对方,但要 对每个消息使用不同的密钥,某一天这个密钥可能是 3,而第二天则可能是9。
一对密钥,一个私钥(Private Key)和一个公钥(Public Key),它们在数学上相关、在功能上不同。 私钥由所有者秘密持有,而公钥则由所有者给出或者张贴在可 以自由获取的公钥服务器上。如果其他用户希望与该用户通信, 就可以使用该用户公开的密钥进行加密,而只有该用户才能用 自己的私钥解开此密文。当然,用户的私钥不能透露给自己不 信任的任何人。
图: 企业防火墙配置样例
防火墙的种类
◦ 数据包过滤 ◦ 应用级网关 ◦ 代理服务
计算机病毒是指编制或者在计算机程序中插入 的破坏计算机功能或者毁坏数据,影响计算机使用, 并能自我复制的一组计算机指令或者程序代码。
图:病毒、木马恶意程序盗取密码过程
电子商务交易安全在技术上要解决两大问题:安全传输和 身份认证。数据加密能够解决网络通信中的信息保密问题,但 是不能够验证网络通信对方身份的真实性。因此,数据加密仅 解决了网络安全问题的一半,另一半需要身份认证解决。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(3)信息的完整性
请给 丁汇 100元
乙
请给 丁汇 100元
交易各方能
请给
够验证收到的信
丙汇 100元
息是否完整,即
信息是否被人篡
甲
改过,或者在数
据传输过程中是
请给 丙汇
否出现信息丢失、
100元
信息重复等差错。
丙
1.2 电子商务的安全需求
1、电子交易的安全需求
(4)不可抵赖性
在电子交易通信过程的各个环节中都必须是不可否认的, 即交易一旦达成,发送方不能否认他发送的信息,接收方则 不能否认他所收到的信息。
1. 对称加密机制
加密与解密变换是平等的,使用相同的密钥,而且 很容易从一个推导出另一个。
EK(M)=C,DK(C)=M
注意:由于加密、解密的密钥相同,因此必须妥善 保管,防止发送者与接收者之外的其他人获得,又称秘 密密钥。
2.2 加密机制
1. 对称加密机制
DES(数据加密标准)是一种分组加密算法。它对 64bit数据块进行加密。如果待加密数据更长的话,则 必须将其划分成64bit的数据块。最后一个数据块很可 能比64bit要短。在这种情况下,通常用0将最后一个数 据块填满(填充)。DES加密的结果仍然是64bit的数据 块。密钥长度为64bit(其中包含8个校验比特)。
特点:比较安全,且硬件实现效率高。
2.2 加密机制
2. 公钥加密机制
公钥密码系统的思想
2.2 加密机制
2. 公钥加密机制
在公钥密码系统中,加密密钥与解密密钥不同,并 且从其中一个密钥推出另一个密钥在计算上非常困难。 其中一个密钥称为私钥,必须保密。而另一个密钥称为 公钥,应该公开。这样就不必考虑如何安全地传输密钥。
2、电子商务安全机制
2.1 数据完整性机制 2.2 加密机制 2.3 数字签名机制 2.4 访问控制机制
2.1 数据完整性机制
数据在传输的过程中,有可能被篡改,为保证数 据的完整性和真实性,需要采取相应的措施。加密 虽然能在一定程度上保障数据安全,但加密本身可 能受到比特交换攻击,无法保障数据的真实完整, 所以需要结合采用其他完整性机制。
扫描器的一般功能:
➢发现一个主机或网络的能力 ➢发现什么服务正运行在这台主机上的能力 ➢通过测试这些服务,发现漏洞的能力
扫描器的种类
➢基于服务器的扫描器 ➢基于网络的扫描器
1.3 电子商务基本安全技术
4. 黑客防范技术
(2)防火墙
防火墙是一种用来加强网络之间访问控制的特殊网络设备,它 对两个或多个网络之间传输的数据包和连接方式按照一定的安全策 略进行检查,从而决定网络之间的通信是否被允许。
2. 计算机网络系统的安全 (1)物理实体的安全
➢设备的功能失常 ➢电源故障 ➢由于电磁泄漏引起的信息失密 ➢搭线窃听
1.2 电子商务的安全需求
2. 计算机网络系统的安全 (2)自然灾害的威胁
各种自然灾害、风暴、泥石流、建筑物破坏、 火灾、水灾、空气污染等对计算机网络系统都构成 强大的威胁。
1.2 电子商务的安全需求
1、加密技术 2、认证技术 3、安全电子交易协议 4、黑客防范技术 5、虚拟专网技术 6、反病毒技术
1.3 电子商务基本安全技术
1、加密技术
加密技术是认证技术及其他许多安全技术的基础。 “加密”,简单地说,就是使用数学的方法将原 始信息(明文)重新组织与变换成只有授权用户才 能解读的密码形式(密文)。而“解密”就是将密 文重新恢复成明文。
1、电子交易的安全需求
(1)身份的可认证性
在双方进行交易前,首先要能确认对方的身份,要求交 易双方的身份不能被假冒或伪装。
(2行加密,即使别人截获或窃 取了数据,也无法识别信息的真实内容,这样就可以使商业 机密信息难以被泄露。
1.2 电子商务的安全需求
1、电子交易的安全需求
1.2 电子商务的安全需求
2. 计算机网络系统的安全 (4)软件的漏洞和“后门” (5)网络协议的安全漏洞 (6)计算机病毒的攻击
计算机病毒“指编制或者在计算机程序中插入的破坏计 算机功能或者破坏数据,影响计算机使用并且能够自我复制 的一组计算机指令或者程序代码。”
——《中华人民共和国计算机信息系统安全保护条例》
数字签名的原理
2.2 加密机制
2. 公钥加密机制
RSA是最有名也是应用最广的公钥系统。 RSA的原理是数论的欧拉定理:寻求两个大的素数容 易,但将它们的乘积分解开极其困难。
2.2 加密机制
2. 公钥加密机制
RSA算法 (1)秘密地选择两个100位的十进制大素数p和q (2)计算出N=pq,并将N公开 (3)计算N的欧拉函数φ(N)=(p-1)(q-1) (4)从[0,φ(N)-1]中任选一个与φ(N)互素的数e (5)根据下式计算d:ed=1 mod φ(N) 这样就产生了一对密钥:公钥PK=(e,N),私钥SK=(d,N) 若用X表示明文,Y表示密文,则加密和解密过程如下:
1.3 电子商务基本安全技术
1、加密技术
对称密码体制 加密密钥与解密密钥是相同的。密钥必须通 过安全可靠的途径传递。由于密钥管理成为 影响系统安全的关键性因素,使它难以满足 系统的开放性要求。
非对称密码体制 把加密过程和解密过程设计成不同的途径, 当算法公开时,在计算上不可能由加密密钥 求得解密密钥,因而加密密钥可以公开,而 只需秘密保存解密密钥即可。
1.3 电子商务基本安全技术
2. 认证技术
认证的功能 采用认证技术可以直接满足身份认证、信息完
整性、不可否认和不可修改等多项网上交易的安 全需求,较好地避免了网上交易面临的假冒、篡 改、抵赖、伪造等种种威胁。
实现方式 验证内容
1.3 电子商务基本安全技术
2. 认证技术
身份认证:用于鉴别用户身份 ➢用户所知道的某种秘密信息 ➢用户持有的某种秘密信息(硬件) ➢用户所具有的某些生物学特征
2.2 加密机制
2.2 加密机制
微吉利亚(Vigenere)加密方法
设M=data security,k=best,求C? (3)对每一节明文,用密钥best进行变换
结果为C=EELT TIUN SMLR
如何进行解密?
2.2 加密机制
本质上说,有两种加密机制: ➢对称加密机制 ➢公钥加密机制
2.2 加密机制
它从计算机网络系统中的若干关键点收集信息,并分析这些信 息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。在 发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报 警等。
1.3 电子商务基本安全技术
5. 虚拟专用网技术
虚拟专用网(VPN)技术是一种在公用互联网络上构造专用网 络的技术。将物理上分布在不同地点的专用网络,通过公共网络构 造成逻辑上的虚拟子网,进行安全的通信。
2.1 数据完整性机制
数字摘要技术
数字摘要技术就是利用hash函数把任意长度的输入映 射为固定长度的输出。这个固定长度的输出就叫做消息 摘要。
hash函数是把任意长的输入串x变化成固定长的输出 串y的一种函数,并满足下述条件:
1)已知哈希函数的输出,求解它的输入是困难的,即已知 y=Hash(x),求x是困难的;
防火墙能有效地控制内部网络与外部网络之间的访问及数据传 输,从而达到保护内部网络的信息不受外部非授权用户的访问和过 滤不良信息的目的。
1.3 电子商务基本安全技术
4. 黑客防范技术
(3)入侵检测技术
入侵检测系统(IDS)可以被定义为对计算机和网络资源的恶 意使用行为进行识别和相应处理的系统。包括来自系统外部的入侵 行为和来自内部用户的非授权行为。
2. 计算机网络系统的安全
(3)黑客的恶意攻击
所谓黑客,现在一般泛指计算机信息系统的非法入侵 者。
黑客的攻击手段和方法多种多样,一般可以粗略的分为 以下两种:一种是主动攻击,它以各种方式有选择地破坏信 息的有效性和完整性;另一类是被动攻击,它是在不影响网 络正常工作的情况下,进行截获、窃取、破译以获得重要机 密信息。
(5)不可伪造性
电子交易文件也要能做到不可修改
1.2 电子商务的安全需求
2. 计算机网络系统的安全
一般计算机网络系统普遍面临的安全问题: (1)物理实体的安全 (2)自然灾害的威胁 (3)黑客的恶意攻击 (4)软件的漏洞和“后门” (5)网络协议的安全漏洞 (6)计算机病毒的攻击
1.2 电子商务的安全需求
报文认证:用于保证通信双方的不可抵赖性和信息完整性 ➢证实报文是由指定的发送方产生的 ➢证实报文的内容没有被修改过 ➢确认报文的序号和时间是正确的
1.3 电子商务基本安全技术
2. 认证技术
广泛使用的认证技术 ➢数字签名 ➢数字摘要 ➢数字证书 ➢CA安全认证体系
1.3 电子商务基本安全技术
3. 安全电子交易协议
2)已知x1,计算y1=Hash(x1),构造x2使Hash(x2)=y1是困难的; 3)y=Hash(x),y的每一比特都与x的每一比特相关,并有高度敏 感性。即每改变x的一比特,都将对y产生明显影响。
2.1 数据完整性机制
数字摘要技术
消息摘要
2.1 数据完整性机制
数字摘要技术
消息验证
2.2 加密机制
(2)电子商务的安全隐患(安全问题)
问题
措施
数据被非法截获、读取或者修改
数据加密
冒名顶替和否认行为
数字签名、加密、认证等
一个网络的用户未经授权访问了 另一个网络
防火墙
计算机病毒
计算机病毒防治措施
1.2 电子商务的安全需求
电子商务的安全需求包括两方面: ❖电子交易的安全需求 ❖计算机网络系统的安全
1.2 电子商务的安全需求
目前有两种安全在线支付协议被广泛采用 ➢SSL(Secure Sockets Layer,安全套接层)协议 ➢SET(Secure Elecronic Transaction,安全电子交易)协议