




下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、第四章電子商務(wù)安全,本章主要內(nèi)容:第一節(jié)電子商務(wù)安全概述第二節(jié)加密技術(shù)第三節(jié)認(rèn)證技術(shù)第四節(jié)電子商務(wù)安全交易協(xié)議,本章要點(diǎn)1。電子商務(wù)安全威脅2。電子商務(wù)安全要求。電子商務(wù)安全保證系統(tǒng)。加密技術(shù)。認(rèn)證技術(shù)。數(shù)字簽名原則7。電子商務(wù)安全交易協(xié)議,第1節(jié):電子商務(wù)安全概述,1。電子商務(wù)安全威脅2。電子商務(wù)安全要求。電子商務(wù)安全保證系統(tǒng)。電子商務(wù)安全威脅。信息傳遞風(fēng)險(xiǎn)信息傳遞風(fēng)險(xiǎn)是指在線交易過程中,因傳遞信息失真或信息被非法竊取、篡改和丟失而造成的不必要的在線交易損失。(1)假冒和盜竊(2)數(shù)據(jù)篡改(3)信息丟失(4)信息傳輸過程中的破壞(5)虛假信息,一是電子商務(wù)的安全威脅,二是信用風(fēng)險(xiǎn)信用風(fēng)險(xiǎn)主要
2、來自三個方面:一是買方的信用風(fēng)險(xiǎn)。對于個人消費(fèi)者,他們在網(wǎng)上使用信用卡支付時(shí)可能會惡意透支,或者使用假信用卡騙取賣家的商品;對于集團(tuán)來說,有可能延遲付款,賣方需要為此承擔(dān)風(fēng)險(xiǎn)。第二,賣方的信用風(fēng)險(xiǎn)。賣方不能按質(zhì)量、數(shù)量和時(shí)間交付消費(fèi)者購買的貨物,或不能完全履行與集團(tuán)簽訂的采購合同,造成買方的風(fēng)險(xiǎn)。第三,買賣雙方都有否認(rèn)權(quán)。首先,在網(wǎng)上商品中介交易過程中,客戶進(jìn)入交易中心,買賣雙方簽訂合同。交易中心不僅要監(jiān)督買方按時(shí)付款,還要監(jiān)督賣方按時(shí)提供符合合同要求的貨物。這些環(huán)節(jié)存在很多管理風(fēng)險(xiǎn)。其次,人事管理往往是網(wǎng)上交易安全管理中最薄弱的環(huán)節(jié),而計(jì)算機(jī)犯罪大多是內(nèi)部犯罪。第三,網(wǎng)上交易技術(shù)管理上的漏洞
3、也帶來了更大的交易風(fēng)險(xiǎn)。例如,一些匿名的文件傳輸協(xié)議允許遠(yuǎn)程登錄系統(tǒng)而無需密碼用戶。1.電子商務(wù)的安全威脅;4.法律風(fēng)險(xiǎn)在目前的法律規(guī)定中沒有現(xiàn)成的條款來保護(hù)網(wǎng)上交易中的交易方式,所以房價(jià)仍然存在風(fēng)險(xiǎn)。一方面,網(wǎng)上交易可能承擔(dān)法律滯后和無法保障合法交易權(quán)益所帶來的風(fēng)險(xiǎn)。另一方面,網(wǎng)上交易也可能承擔(dān)后來法律完善帶來的風(fēng)險(xiǎn)。電子商務(wù)安全要求,1信息的保密性,2信息的完整性,3交易者身份的確定性,4不可否認(rèn)性,5電子商務(wù)交易的有效性,6系統(tǒng)的可靠性,3電子商務(wù)安全保障體系,1正確的電子商務(wù)安全理念。首先,電子商務(wù)安全是一個系統(tǒng)問題,需要綜合考慮人、技術(shù)、管理、法律法規(guī)等諸多因素。其次,電子商務(wù)安全是
4、一個整體問題,指望幾個獨(dú)立的安全產(chǎn)品或技術(shù)手段來解決所有的安全問題是不現(xiàn)實(shí)的。第三,安全是一個動態(tài)的發(fā)展過程,安全建設(shè)不會一勞永逸。第四,安全是相對的,對安全建設(shè)的投資是可以衡量的。3.電子商務(wù)安全保障體系。管理安全措施首先,高層管理人員應(yīng)該對電子商務(wù)安全給予足夠的重視,并督促管理者與相關(guān)技術(shù)人員共同制定內(nèi)外網(wǎng)安全計(jì)劃和標(biāo)準(zhǔn)。在規(guī)劃中,應(yīng)指出企業(yè)信息安全在近期和未來應(yīng)達(dá)到的水平和標(biāo)準(zhǔn),以及需要投入的資源。其次,在規(guī)劃和標(biāo)準(zhǔn)的指導(dǎo)下,制定詳細(xì)的安全行為規(guī)范。最后,要特別注意安全法規(guī)的執(zhí)行保障,即如果有法規(guī),就必須按法規(guī)執(zhí)行。3.電子商務(wù)安全保障體系。法律安全保證在法律上,電子商務(wù)不同于傳統(tǒng)商務(wù),
5、因?yàn)樗诩埫嫔贤瓿山灰?,并具有文件充分的特點(diǎn)。如何對電子交易進(jìn)行認(rèn)證,如何避免和懲治電子欺詐,不僅是技術(shù)問題,也涉及到法律領(lǐng)域。在電子商務(wù)的虛擬世界中,需要一個完善的法律體系來維持秩序。安全的電子商務(wù)不能靠單一的技術(shù)手段來保證,但必須依靠法律手段、行政手段和技術(shù)手段的完美結(jié)合來保護(hù)電子商務(wù)各方的利益。因此,有必要明確企業(yè)之間、政府與企業(yè)之間、企業(yè)與消費(fèi)者之間以及政府之間的法律義務(wù)和責(zé)任。3.電子商務(wù)安全系統(tǒng)4。技術(shù)安全在技術(shù)方面,電子商務(wù)中涉及到很多安全技術(shù),其中一些已經(jīng)得到了廣泛的應(yīng)用和認(rèn)可。維護(hù)內(nèi)網(wǎng)安全的技術(shù)包括用戶密碼和權(quán)限管理技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng)技術(shù)和網(wǎng)絡(luò)防病毒技術(shù)等。維護(hù)互聯(lián)
6、網(wǎng)上交易數(shù)據(jù)安全傳輸?shù)募夹g(shù)包括數(shù)據(jù)加密和數(shù)字簽名,其中涉及認(rèn)證中心,以識別真實(shí)世界中用戶的真實(shí)身份。此外,為了維持電子交易中最關(guān)鍵的資本流動,特別是信用卡支付的安全性,還涉及到兩個廣泛使用的協(xié)議,SSL和SET。一般來說,信息的原始形式稱為明文,經(jīng)過轉(zhuǎn)換和加密的明文形式稱為密文。從明文到密文的過程稱為加密,從密文到明文的過程稱為解密。用計(jì)算機(jī)解決問題的方法和步驟是計(jì)算機(jī)的算法。密鑰是一個數(shù)值,它與加密算法一起生成特殊的密文。數(shù)據(jù)加密的基本過程是按照一定的算法對原始明文文件或數(shù)據(jù)進(jìn)行處理,使其成為一個不可讀的代碼,這通常稱為“密文”,這樣只有輸入相應(yīng)的密鑰后才能顯示原始內(nèi)容。這樣,就可以達(dá)到保護(hù)
7、數(shù)據(jù)不被非法人員竊取和讀取的目的。這個過程的逆過程是解密。加密技術(shù)在第2節(jié),加密技術(shù)方法(1)對稱加密技術(shù),加密技術(shù)在第2節(jié),非對稱加密技術(shù),加密技術(shù)在第2節(jié),混合加密技術(shù)。混合加密技術(shù)不是單一的加密技術(shù),而是兩者的結(jié)合,是以上兩種數(shù)據(jù)加密技術(shù)結(jié)合的產(chǎn)物。雙方的溝通過程分為兩部分。雙方首先使用非對稱加密技術(shù)來傳輸此通信中使用的對稱密鑰,然后使用對稱加密技術(shù)來加密和傳輸文件?;旌霞用芗夹g(shù)是用戶在實(shí)際應(yīng)用中總結(jié)出來的,它可以彌補(bǔ)對稱加密技術(shù)和非對稱加密技術(shù)的不足,使它們優(yōu)勢互補(bǔ),同時(shí)達(dá)到方便用戶的目的。第二節(jié)加密技術(shù),第三節(jié)加密技術(shù)在電子商務(wù)中的應(yīng)用(1)加密技術(shù)在商業(yè)信息保密中的應(yīng)用加密技術(shù)是人
8、們?yōu)榉乐剐畔⑿孤抖捎玫囊环N常用的安全技術(shù)。在電子商務(wù)中,可以使用DES算法或RSA算法來實(shí)現(xiàn)數(shù)據(jù)加密。(2)加密技術(shù)在身份認(rèn)證中的應(yīng)用數(shù)字簽名技術(shù)是確定交易信息真實(shí)性的主要認(rèn)證方法,其基礎(chǔ)是數(shù)據(jù)加密中的公鑰加密技術(shù)。第三節(jié)認(rèn)證技術(shù):1 .數(shù)字證書2。數(shù)字簽名技術(shù)。數(shù)字信封技術(shù)4。數(shù)字時(shí)間戳5。認(rèn)證中心1。數(shù)字證書1。數(shù)字證書的定義數(shù)字證書是一系列標(biāo)識網(wǎng)絡(luò)通信各方身份信息的數(shù)據(jù),其功能類似于現(xiàn)實(shí)生活中的身份證。數(shù)字證書是由證書頒發(fā)機(jī)構(gòu)數(shù)字簽名的文件,其中包含公鑰所有者信息和公鑰。最簡單的證書包含公鑰、用戶名和證書頒發(fā)機(jī)構(gòu)的數(shù)字簽名。一般來說,證書還包括密鑰的有效時(shí)間、頒發(fā)機(jī)構(gòu)(證書頒發(fā)機(jī)構(gòu))的
9、名稱、證書的序列號等信息,證書的格式遵循國際標(biāo)準(zhǔn)X.509數(shù)字證書的原則數(shù)字證書采用公鑰系統(tǒng),即使用一對匹配的密鑰進(jìn)行加密和解密。每個用戶設(shè)置一個只有他自己知道的專用密鑰(私鑰),并使用它來解密和簽名;同時(shí),一個公鑰(公鑰)由我自己設(shè)置并公開,并由一組用戶共享,用于加密和簽名驗(yàn)證。發(fā)送機(jī)密文件時(shí),發(fā)送方使用接收方的公鑰加密數(shù)據(jù),而接收方使用自己的私鑰解密數(shù)據(jù),這樣信息就可以安全無誤地到達(dá)目的地。通過數(shù)字手段保證加密過程是不可逆的過程,也就是說,只有私鑰可以用于解密。公鑰技術(shù)解決了密鑰分發(fā)的管理問題,商家可以公開自己的公鑰,保留自己的私鑰。數(shù)字證書的應(yīng)用數(shù)字證書可以應(yīng)用于互聯(lián)網(wǎng)上的電子商務(wù)活動和
10、電子政務(wù)活動,其應(yīng)用范圍涉及需要身份認(rèn)證和數(shù)據(jù)安全的各種行業(yè),包括商業(yè)、制造和流通行業(yè)的傳統(tǒng)在線交易,以及公共事業(yè)、金融服務(wù)、工商稅務(wù)、海關(guān)、政府行政機(jī)關(guān)、教育和科研機(jī)構(gòu)、保險(xiǎn)和醫(yī)療等在線工作系統(tǒng)。數(shù)字簽名的概念所謂“數(shù)字簽名”是指生成一系列符號和代碼,形成電子密碼進(jìn)行簽名,而不是書寫簽名或印章,這種電子簽名也可以進(jìn)行技術(shù)驗(yàn)證。人工簽名和印章驗(yàn)證無法比擬驗(yàn)證的準(zhǔn)確性。“數(shù)字簽名”是電子商務(wù)和電子政務(wù)中應(yīng)用最廣泛、技術(shù)最成熟、可操作性最強(qiáng)的一種電子簽名方法。它采用標(biāo)準(zhǔn)化的程序和科學(xué)的方法來識別簽名者的身份并批準(zhǔn)電子數(shù)據(jù)內(nèi)容。數(shù)字簽名的原理和步驟數(shù)字簽名是由計(jì)算機(jī)上的數(shù)字簽名軟件自動完成的。當(dāng)數(shù)字
11、簽名軟件生成數(shù)字簽名時(shí),它分為兩個步驟:第一步是數(shù)字簽名軟件根據(jù)文件特有的特定算法(散列函數(shù))將簽名文件轉(zhuǎn)換成比原始文件短得多的亂碼。當(dāng)簽名文件的任何位置發(fā)生變化時(shí),相應(yīng)的雜散代碼也會發(fā)生變化。在第二步中,發(fā)送者用個人獨(dú)有的私鑰加密該亂碼,形成數(shù)字簽名。發(fā)送方同時(shí)將原始文本和數(shù)字簽名發(fā)送給接收方。數(shù)字簽名技術(shù)數(shù)字簽名可以解決否認(rèn)、偽造、篡改和假冒等問題。具體功能如下:發(fā)送方事后不能否認(rèn)已發(fā)送消息的簽名;接收者可以驗(yàn)證發(fā)送者發(fā)送的消息簽名;接收者不能偽造發(fā)送者的消息簽名;接收者不能部分篡改發(fā)送者的消息;網(wǎng)絡(luò)中的某個用戶不能冒充另一個用戶作為發(fā)送者或接收者。數(shù)字簽名被廣泛使用,它是保證電子數(shù)據(jù)交換
12、安全的一個突破。數(shù)字信封技術(shù),數(shù)字信封是公鑰密碼技術(shù)在實(shí)踐中的一種應(yīng)用,它使用加密技術(shù)來保證只有指定的收件人才能閱讀通信內(nèi)容。在一些重要的電子商務(wù)交易中,密鑰必須經(jīng)常更換。為了解決每次換密鑰的問題,結(jié)合對稱加密技術(shù)和公鑰技術(shù)的優(yōu)點(diǎn),克服了公鑰加密中密鑰分發(fā)困難和加密時(shí)間長的問題,采用兩級加密來獲得公鑰技術(shù)的靈活性和高效性。3.數(shù)字信封技術(shù);4.數(shù)字時(shí)間戳;1.數(shù)字時(shí)間戳的概念和目的數(shù)字時(shí)間戳是由第三方提供的可信時(shí)間戳服務(wù)。通過該服務(wù)獲得的數(shù)字時(shí)間戳數(shù)據(jù)可以用來證明數(shù)據(jù)在某個時(shí)間已經(jīng)存在。像用來寄信的郵戳一樣,數(shù)字時(shí)間戳服務(wù)也用來證明信息的發(fā)送和接收時(shí)間。數(shù)字時(shí)間戳廣泛應(yīng)用于以下幾個方面:第一,
13、數(shù)字簽名;第二,在電子商務(wù)活動中提交一定的時(shí)間底線;第三,數(shù)字產(chǎn)品專利和版權(quán)保護(hù)。4.數(shù)字時(shí)間戳,2。數(shù)字時(shí)間戳的生成過程數(shù)字時(shí)間戳的生成過程如圖4-7所示(下一頁)。用戶首先對文件進(jìn)行加密,用哈希碼給文件打上時(shí)間戳,形成摘要,然后將摘要發(fā)送給DTS。DTS在添加接收文件摘要的日期和時(shí)間信息后對文件(數(shù)字簽名)進(jìn)行加密,然后將其發(fā)送回用戶。注意:簽署書面文件的時(shí)間是由簽署人自己寫的,但數(shù)字時(shí)間戳不是。它由DTS認(rèn)證單位添加,并基于DTS收到文件的時(shí)間。4.數(shù)字時(shí)間戳,圖4-7。數(shù)字時(shí)間戳的生成過程。4.數(shù)字時(shí)間戳,3。數(shù)字時(shí)間戳的特點(diǎn)(1)數(shù)據(jù)文件加蓋的時(shí)間戳與存儲數(shù)據(jù)的物理介質(zhì)無關(guān)。(2)時(shí)
14、間戳文件不能更改。(3)不可能用不同于當(dāng)前日期和時(shí)間的時(shí)間戳來標(biāo)記文件。5.認(rèn)證中心1什么是認(rèn)證中心?對于任何國家來說,都有必要建立一個認(rèn)證中心(或認(rèn)證系統(tǒng))和支付網(wǎng)關(guān)來實(shí)現(xiàn)B2B和B2C交易,其中認(rèn)證中心尤為重要。其功能主要體現(xiàn)在預(yù)先驗(yàn)證或識別參與網(wǎng)上交易活動的主體的身份,并用權(quán)威認(rèn)證機(jī)構(gòu)頒發(fā)的相應(yīng)電子(數(shù)字)證書表示其網(wǎng)上身份。認(rèn)證中心在整個電子商務(wù)環(huán)境中處于至關(guān)重要的地位。它是整個信任鏈的起點(diǎn),認(rèn)證中心是發(fā)展電子商務(wù)的基礎(chǔ)。如果認(rèn)證中心不安全或者頒發(fā)的證書不具有權(quán)威性,那么就沒有辦法談?wù)撛诰€電子交易。五、認(rèn)證中心,2CA功能和組件認(rèn)證中心(CA)的功能是:證書頒發(fā)、證書續(xù)訂、證書吊銷和證
15、書驗(yàn)證。證書頒發(fā)機(jī)構(gòu)的核心功能是頒發(fā)和管理數(shù)字證書。為了實(shí)現(xiàn)其功能,認(rèn)證中心主要由以下三部分組成:注冊服務(wù)器:通過網(wǎng)絡(luò)服務(wù)器建立的網(wǎng)站,可以為客戶提供每天24小時(shí)的服務(wù)。證書申請受理和審查機(jī)構(gòu):其主要功能是受理和審查客戶的證書申請。認(rèn)證中心服務(wù)器:是數(shù)字證書生成和發(fā)布的操作實(shí)體,提供證書發(fā)布管理、證書撤銷列表(CRL)生成和處理等服務(wù)。一般來說,認(rèn)證中心分為以下幾類:(1)根認(rèn)證中心是國家認(rèn)證中心,它制定政策并授權(quán)下屬認(rèn)證中心,提供數(shù)字信封等服務(wù)。(2)品牌認(rèn)證機(jī)構(gòu)是由根認(rèn)證機(jī)構(gòu)授權(quán)頒發(fā)證書的組織。它提供私鑰和公鑰系統(tǒng)(目前中國銀行的CA理論上實(shí)際上屬于這一類),并允許使用不同品牌的支付工具,
16、如商業(yè)銀行發(fā)行的各種信用卡。(3)區(qū)域認(rèn)證機(jī)構(gòu),直接附屬于品牌認(rèn)證機(jī)構(gòu),只是在這一層面上才真正開始運(yùn)作客戶的要求。認(rèn)證中心,認(rèn)證中心,4CA認(rèn)證在電子商務(wù)中的應(yīng)用(1)安全登錄(2)安全虛擬專用網(wǎng)(3)安全電子交易(SET) (4)無線網(wǎng)絡(luò)應(yīng)用,第4節(jié)電子商務(wù)安全交易協(xié)議,1。SSL協(xié)議2。設(shè)置協(xié)議3。SSL協(xié)議與SET協(xié)議的比較。1 SSL協(xié)議(SSL,Security Socket Layer)的概念是由網(wǎng)景公司提出的基于網(wǎng)絡(luò)應(yīng)用的安全協(xié)議,包括:服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、數(shù)據(jù)完整性和SSL鏈路上的保密性。SSL主要使用公鑰系統(tǒng)和X.509數(shù)字證書技術(shù)來保護(hù)信息傳輸?shù)谋C苄院屯暾?。它不能保證信息的不可否認(rèn)性,主要適用于點(diǎn)對點(diǎn)的信息傳輸,通常用作網(wǎng)絡(luò)服務(wù)器。1。SSL協(xié)議,2。SSL安全協(xié)議的操作步驟(1)連接階段??蛻敉ㄟ^網(wǎng)絡(luò)問候服務(wù)提供商,服務(wù)提供商做出回應(yīng)。(2)密碼交換階段。在客戶和服務(wù)提供商之間交換批準(zhǔn)的密碼。一般選擇RSA密碼算法。(3)會議密碼階段??蛻艉头?wù)提供商之間的對話密碼。(4)檢驗(yàn)階段。檢驗(yàn)服務(wù)提供商
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年排水閥門項(xiàng)目深度研究分析報(bào)告
- 2025年中國交流充電樁電纜行業(yè)市場發(fā)展現(xiàn)狀及投資戰(zhàn)略咨詢報(bào)告
- 2025年中國無塵生產(chǎn)線行業(yè)市場發(fā)展前景及發(fā)展趨勢與投資戰(zhàn)略研究報(bào)告
- 中國太陽能電池封裝膠膜行業(yè)發(fā)展前景及投資戰(zhàn)略咨詢報(bào)告
- 中國幕墻建筑行業(yè)市場深度分析及發(fā)展趨勢預(yù)測報(bào)告
- 中國電燙斗行業(yè)市場深度調(diào)研分析及投資前景研究預(yù)測報(bào)告
- 中國母嬰商品零售市場前景預(yù)測及投資規(guī)劃研究報(bào)告
- 2025年中國盤管式高壓加熱器行業(yè)市場發(fā)展前景及發(fā)展趨勢與投資戰(zhàn)略研究報(bào)告
- 2025年中國服裝紡織機(jī)械行業(yè)發(fā)展監(jiān)測及投資戰(zhàn)略規(guī)劃報(bào)告
- 云南省曲靖市宣威三中2025屆高二下化學(xué)期末質(zhì)量檢測試題含解析
- 動物園野生動物馴養(yǎng)繁殖或馴養(yǎng)觀賞可行性研究報(bào)告
- 江蘇2024年江蘇省美術(shù)館招聘筆試歷年典型考題及考點(diǎn)附答案解析
- 2023-2024學(xué)年浙江省杭州市小升初考試數(shù)學(xué)試卷含解析
- DZ∕T 0215-2020 礦產(chǎn)地質(zhì)勘查規(guī)范 煤(正式版)
- GB/T 3428-2024架空導(dǎo)線用鍍鋅鋼線
- 中國特色社會主義民族發(fā)展理論研究
- 《責(zé)任勝于能力》課件
- GB/T 5465.2-2023電氣設(shè)備用圖形符號第2部分:圖形符號
- 廢氣治理設(shè)施運(yùn)行管理規(guī)程制度
- 市政工程質(zhì)量通病防治措施
- 漢字的發(fā)展(英文版介紹)Chinese-character
評論
0/150
提交評論