第7章 电子商务的安全技术.ppt

第7章电子商务的安全技术
电子商务的安全概述
网络安全技术
对称密钥密码技术
公钥密码技术
数字证书及数字认证
防火墙技术
检测技术
病毒及其防治
SET协议
其他安全技术介绍
电子商务的安全概述
电子商务的安全
:
(1)计算机网络安全。包括网络设备安全、网络系统安全、数据库安全等,其特征是针对网络本身可能存在的安全问题,实施网络安全增强方案,以保证网络自身的安全性为目标。
(2)商务交易安全。在网络安全的基础上,围绕传统商务在互联网上应用时产生的各种安全问题,考虑如何保障电子商务过程顺利进行,即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
2. 计算机网络安全
(1) 计算机网络潜在的安全问题
①操作系统的安全。
② CGI程序代码的审计。关键是那些为某些网站专用开发的CGI代码。
③拒绝服务(DoS,Denial of Service)。
④安全产品使用不当。
⑤缺少严格的网络安全管理制度
(2) 计算机网络安全体系
一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。
3. 电子商务交易安全
交易安全是电子商务涉及到的最核心、最关键的安全问题。
(1) 电子商务的安全隐患
①窃取信息
②篡改信息
③假冒
④恶意破坏
(2) 电子商务安全交易的要求
①信息保密性
②交易者身份的确定性
③不可否认性
④不可修改性
(3) 电子商务交易中的标准
①安全超文本传输协议(S-HTTP)
②安全套接层协议(SSL)。scape提出的安全交易协议,提供加密、认证服务和报文的完整性,municator和Microsoft IE。
③安全交易技术协议(STT :Secure Transaction Technology)。由Microsoft提出,用于Microsoft IE。
④安全电子交易协议(SET :Secure Electronic Transaction)。其主要目标是保障付款安全,确定应用的互通性,并使全球市场接受。
3. 主要的安全技术
(1) 虚拟专用网(VPN)。
(2) 数字认证。这种技术可用电子方式证明信息发送者和接收者的身份、文件的完整性、数据媒体的有效性。这需要有一个可信的第三方,以便对有关数据进行数字认证。
(3) 加密技术。根据所用加密和解密算法的异同,可分为对称加密和非对称加密。
(4) 电子商务认证中心(CA)。

电子商务安全主要有以下几个方面的内容:
(1) 有效性。(4) 可靠性/不可抵赖性/鉴别。
(2) 机密性。(5) 审查能力。
(3) 完整性。(6) 信道转换。
电子商务的安全策略
安全策略是指在某个安全区域内,用于所有与安全活动相关的一套规则。
(1)安全策略目标
(2)机构安全策略
(3)系统安全策略

(1)机密性
(2)数据完整性
(3)授权与验证
(4)访问控制策略。包括基于身份的策略、基于任务的策略、
多等级策略三种
(5)责任

OSI安全结构共有八种安全机制:加密机制、数字签名机制、访问控制机制、数据完整性机制、认证交换机制、业务流量填充机制、路由控制机制、确认机制。
相应的五种通用安全机制:可信任功能、安全标签、事件检测、安全审计跟踪、安全恢复。


考虑到网络安全性能,主要的安全协议集中在应用层、传输层和网络层。   

(1) 的安全性。用SSH软件包的slogin应用、Texas A&M大学开发的安全RFC认证(RSA)命令可以防止来自内部的口令窃取攻击。
(2) E-mail的安全性。认证、保密、数据完整和不可否认。
(3) Web的安全性。即Web客户机的一系列安全服务。

(1) 传输控制协议(TCP)。实现在无连接的、不可靠的网络业务上运行面向连接的、可靠的业务。
(2) 用户数据报协议(UDP)。为一个无连接传输协议。
(3) 安全外壳(SSH)。用于安全登录到远程机器上,在其上执行命令后转移文件。
(4)安全套接层(SSL)和传输层协议(TLSWG)。

IP协议( Protocol),是面向无连接的、不可靠的数据传输。IPV6安全协议,有认证和保密功能。