第4章电子商务安全(未修改)

第4章电子商务安全随着电子商务的迅速发展,电子商务系统的安全已受到来自计算机病毒、电脑黑客、计算机网络自身的脆弱性等各方面的严峻挑战。因此如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，是商家和用户十分关心的重大问题。任务1电子商务安全概述阶段1.电子商务安全威胁1.卖方面临的安全威胁（1）中央系统安全性破坏（2）竞争对手检索商品递送状况和货物的库存情况（3）被他人假冒而损害公司信誉（4）买反提交订单后不付款（5）获取他人的机密数据2.买方面临的安全问题（1）付款后不能收到商品（2）机密性丧失（3）拒绝服务3.信息传输问题（1）冒名偷窃（2）任务1电子商务安全概述1.电子商务安全威胁的类别（1）信息的截获和窃取:由于没采用加密措施，数据信息在网络上以明文的形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，找到信息的规律和格式，进而得到传输信息的内容。（2）信息的篡改：入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络中传送的信息数据在中途修改，然后再发向目的地。信息的篡改有如下三种方式：篡改：改变信息流的次序，更改信息的内容。删除：除去某个消息或消息的某些部分。插入：在信息中插入一些信息，让接收方读不懂或接收到错误的信息。（3）假冒信息：掌握了数据的格式后，可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者获取信息，远端用户通常很难分辨。（4）交易抵赖：由于电子商务在无纸化条件下进行，信息的发送方在发送信息后或接收方在接收信息后否认已有的操作。电子商务安全的基本要求主要体现在以下几个方面（1）保密性：保证个人的、专用的高度敏感信息的机密。（2）认证性：确认通信双方的身份合法。（3）完整性：保证所有存储和管理的信息不被篡改。（4）可访问性：保证系统数据和服务能由合法人员访问。（5）防御性：能阻挡不希望的信息或黑客的访问。（6）不可否认性：防止通信或交易双方对已进行业务的否认。电子商务安全结构的层次电子商务安全技术是电子商务技术体系的重要组成部分。一个安全的电子商务体系结构如图6-1所示。任务2网络安全保障技术一个密码体制由明文、密文、密钥与加密运算四个基本要素构成。如图6-2所示为明文加密解密过程。DES算法的一般过程，如图6-3所示RSA算法具有如下特点：●密钥管理简单(网上每个用户仅保有一个密钥，且不需密钥配送)。●便于数字签名。●可靠性较高(取决于分解大素数的难易程度)。●算法复杂，加密/解密速度慢,难于实现。数字签名的功能如下：(1)接收方能够确认发送方的签名，但不能伪造。(2)发送方发出签过名的信息后，不能再否认。(3)接收方对接收到的签名信息也不能否认。(4)一旦接收方出现争执，仲裁者可有充足的证据进行评判。任务3网络认证系统1.网络认证的目的和基本功能（1）网络认证的目的：验证信息发送者的真实性，此为实体认证，包括信源、信宿等的认证和识别；验证信息的完整性，此为消息的认识、验证数据在传送或存储的过程中是否被篡改、重做或延迟等。（2）网络认证的基本功能①可信性:信息的来源是可信的，即信息接收者能够确认所获得的信息不是由冒充者发出的。②完整性：要求信息在传输过程中保证其完整性，即信息接收者能够确认所获得信息在传输过程中没被修改、延迟和替换等。③不可抵赖性：要求信息发送方不能否认自己所发出的信息，同样，信息的接收方也不能否认收到的信息。④访问控制：拒绝非法用户访问系统资源，合法用户只能访问系统授权和指定的资源。认证中心主要有以下几种功能。(1)证书的颁发认证中心接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请，将申请的内容进行备案，并根据申请的内容确定是否受理该数字证书的申请。(2)证书的更新认证中心定期更新所有用户的证书，或者根据用户的请求来更新用户的证书。(3)证书的查询证书的查询可以分为两类：其一是证书申请的查询，认证中心根据用户的查询请求返回当前用户证书申请的处理过程；其二是用户证书的查询，这类查询由目录服务器来完成，目录服务器根据用户的请求返回适当的证书。(4)证书的作废当用户的私钥由于泄密等原因造成用户的证书需要申请作废时，用户需要向认证中心提出证书作废的请求，认证中心根据用户的请求确定是否将该证书作废。另一种证书作废的情况就是证书已经过了有效期，认证中心自动将该证书作废。认证中心通过维护证书作废列表(CertificateRevocationList,简称CRL)来完成上述功能。(5)证书的归档证书具有有效期，证书过了有效期之后将作废，但是我们不能将作废的证书简单地丢弃，因为有时我们可能需要验证以前的某个交易任务4防火墙防火墙的基本类型：1.数据包过滤数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(AccessControlTable)。2.应用级网关应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功能。3.代理服务代理服务(ProxyService)也称链路级网关(CircuitLevelGateways)或TCP通道(TCPTunnels)，也有人将它归为应用级网关。计算机中的防火墙可以用来防范来自互联网的损坏，如黑客攻击、病毒破坏、资源被盗用或文件被篡改等。因此系统采用防火墙可以防止非法入侵，其防范功能主要体现在以下