chp6 電子商務(wù)安全技術(shù)

電子商務(wù)概論第8章電子商務(wù)安全技術(shù)06.1計(jì)算機(jī)安全及分類計(jì)算機(jī)安全保護(hù)計(jì)算機(jī)資產(chǎn)不受未經(jīng)授權(quán)的訪問(wèn)、使用、篡改或破壞。對(duì)計(jì)算機(jī)資產(chǎn)帶來(lái)危險(xiǎn)的任何行動(dòng)或?qū)ο蠖挤Q為安全威脅。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)1計(jì)算機(jī)安全的分類－保密、完整和即需保密是指防止未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性;完整是防止未經(jīng)授權(quán)的數(shù)據(jù)被修改；即需是防止延遲或拒絕服務(wù)。計(jì)算機(jī)安全中最知名的領(lǐng)域是保密電子商務(wù)概論第8章電子商務(wù)安全技術(shù)26.2電子商務(wù)安全性問(wèn)題1.信息傳輸風(fēng)險(xiǎn)

1）冒名偷竊;2）篡改數(shù)據(jù);3）信息丟失;4）信息傳遞過(guò)程中的破壞;5）虛假信息。

2．信用風(fēng)險(xiǎn)

1)來(lái)自買方的信用風(fēng)險(xiǎn)。2)來(lái)自賣方的信用風(fēng)險(xiǎn)。3)買賣雙方都存在抵賴的情況。

3．管理方面的風(fēng)險(xiǎn)

1)交易流程管理風(fēng)險(xiǎn)。2)人員管理風(fēng)險(xiǎn)。3)網(wǎng)絡(luò)交易技術(shù)管理的漏洞也帶來(lái)較大的交易風(fēng)險(xiǎn)。

4．法律方面的風(fēng)險(xiǎn)電子商務(wù)概論第8章電子商務(wù)安全技術(shù)36.3電子商務(wù)對(duì)安全的基本要求1.授權(quán)合法性：保證授權(quán)用戶可得到信息與服務(wù)，非授權(quán)用戶不能得到；2.不可抵賴性：不可否認(rèn)性。不可否認(rèn)電子記錄和電子合約的有效性及可強(qiáng)制執(zhí)行性3.保密性：信息傳播、存儲(chǔ)、使用均有保密要求4.身份的真實(shí)性：獲取交易對(duì)方證書(shū)以鑒別其身份5.信息的安全性：錄入正確、有效傳輸、正確的傳送次序6.存儲(chǔ)信息的安全性電子商務(wù)概論第8章電子商務(wù)安全技術(shù)46.4電子商務(wù)安全措施1、確定通信中貿(mào)易伙伴身份的真實(shí)性：身份認(rèn)證，如CA證書(shū)2、保證電子單證的保密性：數(shù)據(jù)加密和解密3、確定電子單證內(nèi)容的完整性：散列技術(shù)4、確定電子單證的真實(shí)性：數(shù)字簽名技術(shù)5、不可以抵賴性：引入認(rèn)證中心對(duì)交易記錄進(jìn)行備份6、存儲(chǔ)信息的安全性：使用訪問(wèn)控制權(quán)限、敏感信息的加密存儲(chǔ)等電子商務(wù)概論第8章電子商務(wù)安全技術(shù)51：什么是CA？CA認(rèn)證：CertificateAuthority又稱數(shù)字證書(shū)（密鑰）它是一種網(wǎng)上身份認(rèn)證系統(tǒng)，相當(dāng)于網(wǎng)上的身份證，以數(shù)字簽名（電子代碼）的方式通過(guò)第三方權(quán)威認(rèn)證機(jī)構(gòu)有效地進(jìn)行網(wǎng)上身份認(rèn)證，幫助各個(gè)實(shí)體識(shí)別對(duì)方身份和表明自身的身份，具有真實(shí)性和防抵賴功能。與物理身份證不同的是，數(shù)字證書(shū)還具有安全、保密、防篡改的特性，可對(duì)企業(yè)網(wǎng)上傳輸?shù)男畔⑦M(jìn)行有效保護(hù)和安全的傳遞。

比如：電子政務(wù)中的網(wǎng)上報(bào)稅。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)62、什么是加密、解密技術(shù)？采用數(shù)學(xué)方法對(duì)原始信息（通常稱為“明文”）進(jìn)行再組織，使得加密后在網(wǎng)絡(luò)上公開(kāi)傳輸?shù)膬?nèi)容對(duì)于非法接收者來(lái)說(shuō)成為無(wú)意義的文字（加密后的信息通常稱為：密文“）。而對(duì)于合法的接收者，因?yàn)槠湔莆照_的密鑰，可以通過(guò)解密過(guò)程得到原始數(shù)據(jù)（即”明文”）。將明文換成密文的過(guò)程叫加密，其逆過(guò)程即把密文變換成明文的過(guò)程叫解密。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)7加密及解密過(guò)程：加密密文密鑰明文解密電子商務(wù)概論第8章電子商務(wù)安全技術(shù)81）對(duì)稱式加密技術(shù)對(duì)稱加密技術(shù)就是加密密鑰能夠從解密密鑰中推算出來(lái)，同時(shí)解密密鑰也可以從加密密鑰中推算出來(lái)的技術(shù)。大多數(shù)情況下,加密密鑰和解密密鑰是相同的,雙方需在安全通信前確定密鑰。優(yōu)點(diǎn):

加密速度快、保密度高等缺點(diǎn)：（1）密鑰是保密通信安全的關(guān)鍵。（2）多人通信時(shí)密鑰和組合的數(shù)量會(huì)出現(xiàn)爆炸性的膨脹，使密鑰分發(fā)更加復(fù)雜化。需要N（N-1）/2個(gè)密鑰（3）通信雙方必須統(tǒng)一密鑰，才能發(fā)送保密的信息。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)92）非對(duì)稱式加密技術(shù)

非對(duì)稱加密技術(shù)又稱公開(kāi)密鑰加密技術(shù)，其加密密鑰和解密密鑰是不同的，兩密鑰存在數(shù)學(xué)關(guān)系（即相互依存性），用一個(gè)密鑰加密過(guò)的密文只能用對(duì)應(yīng)的另一個(gè)密鑰才能解密；并且兩者也不可以相互推算（至少在合理假定的長(zhǎng)時(shí)間內(nèi)）。這種技術(shù)要求發(fā)送方用戶和接收方用戶在安全通信之前，發(fā)送方通過(guò)網(wǎng)絡(luò)查詢或其他方法得到接收方的公開(kāi)密鑰；發(fā)送方使用公開(kāi)密鑰對(duì)明文進(jìn)行加密得到密文；接收方收到密文后用自己的私有密鑰進(jìn)行了解密，恢復(fù)出明文。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)10優(yōu)點(diǎn)：

1）密鑰少便于管理。最多N對(duì)密鑰。

2）密鑰分配簡(jiǎn)單。

3）不需要秘密的通道和復(fù)雜的協(xié)議來(lái)傳送密鑰。

4）可以實(shí)現(xiàn)數(shù)字簽名和數(shù)字鑒別。缺點(diǎn)：加、解密速度慢。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)113：什么是散列技術(shù)？散列技術(shù)又稱為散列算法、散列函數(shù)或hash算法。它是將含有字符的字符串轉(zhuǎn)化成固定長(zhǎng)度的更短的數(shù)值或密鑰，而后者代替了原來(lái)的字符串。它常被用在許多加密算法之中。好的散列算法具有在輸入數(shù)據(jù)中的更改可以更改結(jié)果散列值中每個(gè)比特的特性（“一動(dòng)牽萬(wàn)變”）；因此，散列對(duì)于檢測(cè)在諸如消息等大型信息對(duì)象中的任何變化很有用。因此可用來(lái)檢測(cè)數(shù)據(jù)的完整性。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)124：什么是數(shù)字簽名？數(shù)字簽名：通過(guò)某種密碼運(yùn)算生成一系列符號(hào)及代碼組成電子密碼進(jìn)行簽名，來(lái)代替書(shū)寫(xiě)簽名或印章，還可進(jìn)行技術(shù)驗(yàn)證，其驗(yàn)證的準(zhǔn)確度是一般手工簽名和圖章的驗(yàn)證而無(wú)法比擬的?！皵?shù)字簽名”是目前電子商務(wù)、電子政務(wù)中應(yīng)用最普遍、技術(shù)最成熟的、可操作性最強(qiáng)的一種電子簽名方法。它采用了規(guī)范化的程序和科學(xué)化的方法，用于鑒定簽名人的身份以及對(duì)一項(xiàng)電子數(shù)據(jù)內(nèi)容的認(rèn)可。它與其它技術(shù)的共同運(yùn)用還能驗(yàn)證出文件的原文在傳輸過(guò)程中有無(wú)變動(dòng)，確保傳輸電子文件的完整性、真實(shí)性和不可抵賴性。電子商務(wù)概論第8章電子商務(wù)安全技術(shù)13數(shù)字簽名及其檢驗(yàn)過(guò)程：電子商務(wù)概論第8章電子商務(wù)安全技術(shù)14將原文用hash函數(shù)生成數(shù)字摘要1用發(fā)送者私鑰對(duì)數(shù)字摘要1加密