電子商務(wù)的安全性需求

1、班級： 姓名： 學(xué)號(hào)：電子商務(wù)的安全性需求1、 交易信息的保密性：交易信息的保密性是指信息在傳輸或存儲(chǔ)過程中不被他人竊取。因此，對商務(wù)信息系統(tǒng)在存儲(chǔ)的資料要嚴(yán)格管理，必須對重要和敏感的信息進(jìn)行加密，然后再放到網(wǎng)上傳輸，確保非授權(quán)用戶不得侵入、查看使用。為了對信息進(jìn)行保密，相應(yīng)有一些保密性技術(shù)。如加密和解密技術(shù)、防火墻技術(shù)等。加密/解密技術(shù)是一種用來防止信息泄露的技術(shù)。電子商務(wù)中的信息在通過Internet傳送之前，為了防止信息的內(nèi)容被他人有意或無意的知曉，需要將它的內(nèi)容通過一定的方法轉(zhuǎn)變成別人看不懂的信息，這個(gè)過程就是加密。而將看不懂的信息再轉(zhuǎn)變成原始信息的過程稱為解密。加密之前的信息稱為明文

2、，加密之后的內(nèi)容稱為密文，加密通常要采用一些算法，而這些算法需要用到不同的參數(shù)，這些不同的參數(shù)稱作密鑰，密鑰空間是所有密鑰的集合。加密按傳統(tǒng)的加密方法分為替換密碼和位移密碼兩類；現(xiàn)代密碼體制從原理上分為兩大類，分別是單鑰密碼體制和雙鑰密碼體制；按歷史發(fā)展階段：手工加密、機(jī)械加密、電子機(jī)內(nèi)亂加密、計(jì)算機(jī)加密；按保密程度：理論上的保密的加密、實(shí)際上保密的加密、不保密的加密三種類型；按密鑰使用方式：對稱加密和非對稱加密。防火墻技術(shù)是在Internet和Internet直接構(gòu)筑的一道屏障，用以保護(hù)網(wǎng)絡(luò)中的信息、資源等不受來自網(wǎng)絡(luò)中非法用戶的侵犯，控制網(wǎng)絡(luò)之間的所有數(shù)據(jù)流量，控制和防止網(wǎng)絡(luò)中的有價(jià)值的數(shù)

3、據(jù)流入Internet,也控制和防止來自Internet的無用垃圾流入Internet.實(shí)現(xiàn)防火的主要技術(shù)有包過濾技術(shù)、應(yīng)用網(wǎng)關(guān)和服務(wù)器代理。2、 交易信息的完整性：包括信息傳輸和存儲(chǔ)兩個(gè)方面的含義，在存儲(chǔ)時(shí)要防止被非法篡改和破壞，在傳輸過程中邀請接收端收到的信息與發(fā)送方發(fā)送的信息完全一致。信息在傳輸過程中的加密，只能保證第三方看不到信息的真正內(nèi)容，但并不能保證信息不被修改或保持完整。要保證數(shù)據(jù)的完整性，技術(shù)上可以采用信息摘要的方法或者采用數(shù)字簽名的方法。還可以采用強(qiáng)有力的訪問控制技術(shù)，防止對系統(tǒng)中數(shù)據(jù)的非法刪除、更改、復(fù)制和破壞，此外，還應(yīng)防止意外損壞和丟失。任何對系統(tǒng)信息應(yīng)有特性或狀態(tài)的中

4、斷、竊取、篡改和偽造都是破壞信息完整性的行為。其中，中斷是指在某一段時(shí)間內(nèi)因系統(tǒng)的軟件、硬件故障或惡意破壞刪除造成系統(tǒng)信息的受損、丟失或不可利用。竊取是指系統(tǒng)的信息未經(jīng)授權(quán)的訪問者非法獲取，造成信息不應(yīng)有的泄露，使信息的價(jià)值受到損失或者失去存在的意義。篡改是指故意更改正確的數(shù)據(jù)，破壞了數(shù)據(jù)的真實(shí)性狀態(tài)。偽造是惡意的未經(jīng)授權(quán)者故意在系統(tǒng)信息中添加假信息，造成真假信息難辨，破壞了信息的可信性。3、 交易信息的不可否認(rèn)性：指信息的發(fā)送發(fā)不能否認(rèn)已經(jīng)發(fā)送的信息，接收方不能否認(rèn)已經(jīng)收到的信息。在電子商務(wù)的交易過程中，商情是千變?nèi)f化的，但交易達(dá)成后不能隨意更改和否認(rèn)的，否則，必然會(huì)損害一方的利益。因此，電

5、子交易通信過程中各個(gè)環(huán)節(jié)都必須是不可否認(rèn)的。要達(dá)到不可否認(rèn)的目的，可以采用數(shù)字簽名和數(shù)字戳等技術(shù)。數(shù)字簽名是密鑰加密和數(shù)字摘要相結(jié)合的技術(shù)，用于保證信息的完整性和不可否認(rèn)性。由于發(fā)送者的私鑰匙自己嚴(yán)密管理的，他人無法仿冒，同時(shí)發(fā)送者也不能否認(rèn)用自己的私鑰加密發(fā)送的信息，所以數(shù)字簽名解決了信息的完整性和不可否認(rèn)性的問題。數(shù)字時(shí)間戳是由專門機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項(xiàng)目，用于證明信息的發(fā)送時(shí)間。數(shù)字時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，包括三個(gè)部分:時(shí)間戳的文件摘要、DTS機(jī)構(gòu)收到文件的日期和時(shí)間、DTS機(jī)構(gòu)的數(shù)字簽名。4、 交易者身份的可鑒別性：是指交易雙方是確實(shí)存在的，不是假冒的。網(wǎng)上交易的雙方

6、可能相隔很遠(yuǎn)且并不了解，要使交易成功，除了互相信任以外，確認(rèn)對方的真實(shí)、合法性是很重要的。對商家而言要考慮客戶不是騙子，對客戶而言要考慮商店不是黑店且有信譽(yù)。因此能方便而可靠地確認(rèn)對方身份是交易的前提。5、 交易信息的有效性：直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)，要求對網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻，確定的地點(diǎn)是有效的。6、 支付信息的匿名性：支付信息的匿名性要求除了公正的第三方，沒有人能夠根據(jù)支付信息來跟蹤并且識(shí)別用戶的身份。匿名性就是保護(hù)個(gè)人隱私不受侵害。包括三個(gè)方面：不可觀察性、不可追蹤性和無關(guān)聯(lián)性。（1） 不可觀察性：外人不能獲取交易的有用信息。這里的外人包括電子支付系統(tǒng)中與該交易無關(guān)的其他參與者和系統(tǒng)之外的攻擊者。當(dāng)交易在網(wǎng)上進(jìn)行并且參與交易者的身份需相互交換的情況下，非常有必要滿足不可觀察性。（2） 不可追蹤性：要求支付者在取款時(shí)傳給發(fā)行銀行的數(shù)據(jù)與用該電子支付手段進(jìn)行支付時(shí)提交給商家的數(shù)據(jù)無關(guān)聯(lián)，通常要求他們統(tǒng)計(jì)獨(dú)立。因此即