chp6 電子商務(wù)安全技術(shù)

電子商務(wù)概論第8章電子商務(wù)安全技術(shù)06.1計算機(jī)安全及分類計算機(jī)安全保護(hù)計算機(jī)資產(chǎn)不受未經(jīng)授權(quán)的訪問、使用、篡改或破壞。對計算機(jī)資產(chǎn)帶來危險的任何行動或?qū)ο蠖挤Q為安全威脅。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)1計算機(jī)安全的分類－保密、完整和即需保密是指防止未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性;完整是防止未經(jīng)授權(quán)的數(shù)據(jù)被修改；即需是防止延遲或拒絕服務(wù)。計算機(jī)安全中最知名的領(lǐng)域是保密電子商務(wù)概論第8章電子商務(wù)安全技術(shù)26.2電子商務(wù)安全性問題1.信息傳輸風(fēng)險

1）冒名偷竊;2）篡改數(shù)據(jù);3）信息丟失;4）信息傳遞過程中的破壞;5）虛假信息。

2．信用風(fēng)險

1)來自買方的信用風(fēng)險。2)來自賣方的信用風(fēng)險。3)買賣雙方都存在抵賴的情況。

3．管理方面的風(fēng)險

1)交易流程管理風(fēng)險。2)人員管理風(fēng)險。3)網(wǎng)絡(luò)交易技術(shù)管理的漏洞也帶來較大的交易風(fēng)險。

4．法律方面的風(fēng)險電子商務(wù)概論第8章電子商務(wù)安全技術(shù)36.3電子商務(wù)對安全的基本要求1.授權(quán)合法性：保證授權(quán)用戶可得到信息與服務(wù)，非授權(quán)用戶不能得到；2.不可抵賴性：不可否認(rèn)性。不可否認(rèn)電子記錄和電子合約的有效性及可強(qiáng)制執(zhí)行性3.保密性：信息傳播、存儲、使用均有保密要求4.身份的真實性：獲取交易對方證書以鑒別其身份5.信息的安全性：錄入正確、有效傳輸、正確的傳送次序6.存儲信息的安全性電子商務(wù)概論第8章電子商務(wù)安全技術(shù)46.4電子商務(wù)安全措施1、確定通信中貿(mào)易伙伴身份的真實性：身份認(rèn)證，如CA證書2、保證電子單證的保密性：數(shù)據(jù)加密和解密3、確定電子單證內(nèi)容的完整性：散列技術(shù)4、確定電子單證的真實性：數(shù)字簽名技術(shù)5、不可以抵賴性：引入認(rèn)證中心對交易記錄進(jìn)行備份6、存儲信息的安全性：使用訪問控制權(quán)限、敏感信息的加密存儲等電子商務(wù)概論第8章電子商務(wù)安全技術(shù)51：什么是CA？CA認(rèn)證：CertificateAuthority又稱數(shù)字證書（密鑰）它是一種網(wǎng)上身份認(rèn)證系統(tǒng)，相當(dāng)于網(wǎng)上的身份證，以數(shù)字簽名（電子代碼）的方式通過第三方權(quán)威認(rèn)證機(jī)構(gòu)有效地進(jìn)行網(wǎng)上身份認(rèn)證，幫助各個實體識別對方身份和表明自身的身份，具有真實性和防抵賴功能。與物理身份證不同的是，數(shù)字證書還具有安全、保密、防篡改的特性，可對企業(yè)網(wǎng)上傳輸?shù)男畔⑦M(jìn)行有效保護(hù)和安全的傳遞。

比如：電子政務(wù)中的網(wǎng)上報稅。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)62、什么是加密、解密技術(shù)？采用數(shù)學(xué)方法對原始信息（通常稱為“明文”）進(jìn)行再組織，使得加密后在網(wǎng)絡(luò)上公開傳輸?shù)膬?nèi)容對于非法接收者來說成為無意義的文字（加密后的信息通常稱為：密文“）。而對于合法的接收者，因為其掌握正確的密鑰，可以通過解密過程得到原始數(shù)據(jù)（即”明文”）。將明文換成密文的過程叫加密，其逆過程即把密文變換成明文的過程叫解密。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)7加密及解密過程：加密密文密鑰明文解密電子商務(wù)概論第8章電子商務(wù)安全技術(shù)81）對稱式加密技術(shù)對稱加密技術(shù)就是加密密鑰能夠從解密密鑰中推算出來，同時解密密鑰也可以從加密密鑰中推算出來的技術(shù)。大多數(shù)情況下,加密密鑰和解密密鑰是相同的,雙方需在安全通信前確定密鑰。優(yōu)點(diǎn):

加密速度快、保密度高等缺點(diǎn)：（1）密鑰是保密通信安全的關(guān)鍵。（2）多人通信時密鑰和組合的數(shù)量會出現(xiàn)爆炸性的膨脹，使密鑰分發(fā)更加復(fù)雜化。需要N（N-1）/2個密鑰（3）通信雙方必須統(tǒng)一密鑰，才能發(fā)送保密的信息。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)92）非對稱式加密技術(shù)

非對稱加密技術(shù)又稱公開密鑰加密技術(shù)，其加密密鑰和解密密鑰是不同的，兩密鑰存在數(shù)學(xué)關(guān)系（即相互依存性），用一個密鑰加密過的密文只能用對應(yīng)的另一個密鑰才能解密；并且兩者也不可以相互推算（至少在合理假定的長時間內(nèi)）。這種技術(shù)要求發(fā)送方用戶和接收方用戶在安全通信之前，發(fā)送方通過網(wǎng)絡(luò)查詢或其他方法得到接收方的公開密鑰；發(fā)送方使用公開密鑰對明文進(jìn)行加密得到密文；接收方收到密文后用自己的私有密鑰進(jìn)行了解密，恢復(fù)出明文。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)10優(yōu)點(diǎn)：

1）密鑰少便于管理。最多N對密鑰。

2）密鑰分配簡單。

3）不需要秘密的通道和復(fù)雜的協(xié)議來傳送密鑰。

4）可以實現(xiàn)數(shù)字簽名和數(shù)字鑒別。缺點(diǎn)：加、解密速度慢。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)113：什么是散列技術(shù)？散列技術(shù)又稱為散列算法、散列函數(shù)或hash算法。它是將含有字符的字符串轉(zhuǎn)化成固定長度的更短的數(shù)值或密鑰，而后者代替了原來的字符串。它常被用在許多加密算法之中。好的散列算法具有在輸入數(shù)據(jù)中的更改可以更改結(jié)果散列值中每個比特的特性（“一動牽萬變”）；因此，散列對于檢測在諸如消息等大型信息對象中的任何變化很有用。因此可用來檢測數(shù)據(jù)的完整性。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)124：什么是數(shù)字簽名？數(shù)字簽名：通過某種密碼運(yùn)算生成一系列符號及代碼組成電子密碼進(jìn)行簽名，來代替書寫簽名或印章，還可進(jìn)行技術(shù)驗證，其驗證的準(zhǔn)確度是一般手工簽名和圖章的驗證而無法比擬的?！皵?shù)字簽名”是目前電子商務(wù)、電子政務(wù)中應(yīng)用最普遍、技術(shù)最成熟的、可操作性最強(qiáng)的一種電子簽名方法。它采用了規(guī)范化的程序和科學(xué)化的方法，用于鑒定簽名人的身份以及對一項電子數(shù)據(jù)內(nèi)容的認(rèn)可。它與其它技術(shù)的共同運(yùn)用還能驗證出文件的原文在傳輸過程中有無變動，確保傳輸電子文件的完整性、真實性和不可抵賴性。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)13數(shù)字簽名及其檢驗過程：電子商務(wù)概論第8章電子商務(wù)安全技術(shù)14將原文用hash函數(shù)生成數(shù)字摘要1用發(fā)送者私鑰對數(shù)字摘要1加密