网络交易安全管理

网络交易安全管理

ID:36197288

大小:4.67 MB

页数:74页

时间:2019-05-07

网络交易安全管理_第1页
网络交易安全管理_第2页
网络交易安全管理_第3页
网络交易安全管理_第4页
网络交易安全管理_第5页
资源描述:

《网络交易安全管理》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第十二章网络交易安全管理12.1网络交易风险和安全管理的基本思路12.2客户认证技术12.3防止黑客入侵12.4网络交易系统的安全管理制度12.5电子商务交易安全的法律保障12.1网络交易风险和安全管理的基本思路12.1.1网络交易风险凸现伴随着电子商务交易额的不断增加,电子商务对安全方面的管理要求越来越高,所受到的重视程度也越来越高。计算机的安全问题早已引起人们的重视。大量的事实说明,保证电子商务的正常运作,必须高度重视安全问题。网络交易安全涉及社会的方方面面,不仅仅是一堵防火墙或一个电子签字就能简单解决的问题。安全问题是网络交易成功与否的关键所在。12.1

2、.2网络交易风险源分析1.在线交易主体的市场准入问题2.信息风险3.信用风险信用风险主要来自三个方面:(1)来自买方的信用风险。(2)来自卖方的信用风险。(3)买卖双方都存在抵赖的情况.4.网上欺诈犯罪5.电子合同问题6.电子支付问题7.在线消费者保护问题8.电子商务中产品交付问题12.1.3网络交易安全管理的基本思路为了保障电子商务交易安全,必须对电子商务交易系统有一个深刻的理解。这一点至关重要,它直接关系到所建立的交易安全保障体系的有效性和生命力。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象不是一般的系

3、统,而是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统(ComplexGiantSystem)电子商务交易安全过程也不是一般的工程化的过程,而是一个时时处处有人参与的、自我适应的、不断变化的、不断涌现新的整体特征的过程。所以,电子商务交易安全保障不是一般的管理手段的叠加和集成,而是综合集成,两者的本质区别在于后者强调人的关键作用。只有通过人网结合、人机结合,充分发挥各自优势的方法,才能经过综合集成,使系统表现出新的安全性质——整体大于部分之和。与电子商务交易系统相适应,电子商务交易安全也是一个系统工程,不是几个防火墙、几个密码器就可以解决的问题

4、。12.2客户认证技术12.2.1身份认证1.身份认证的目标身份认证的主要目标包括:(1)确保交易者是交易者本人,而不是其他人。通过身份认证解决交易者是否存在问题,避免与虚假的交易者进行交易。(2)避免与超过权限的交易者进行交易。(3)访问控制。2.用户身份认证的基本方式一般来说,用户身份认证可通过三种基本方式或其组合方式来实现:(1)用户通过某个秘密信息,例如用户通过自己的口令访问系统资源。(2)用户知道某个秘密信息,并且利用包含这一秘密信息的载体访问系统资源,包含这一秘密信息的载体应当是合法持有并能够随身携带的物理介质。例如智能卡中存储用户的个人化参数,访

5、问系统资源时必须持有智能卡,并知道个人化参数。(3)用户利用自身所具有的某些生物学特征,如指纹、声音、DNA图案、视网膜扫描等等,但这种方案一般造价较高,适用于保密程度很高的场合。3.身份认证的单因素法用户身份认证的最简单方法就是口令。对口令进行加密传输是一种改进的方法。4.基于智能卡的用户身份认证基于智能卡的用户身份认证机制属于双因素法,它结合了基本认证方式中的第一种和第二种方法。用户的二元组信息预先存于智能卡中,然后在认证服务器中存入某个事先由用户选择的某个随机数。用户访问系统资源时,用户输入二元组信息。5.一次口令机制最安全的身份认证机制是采用一次口令机

6、制,即每次用户登录系统时口令互不相同。主要有两种实现方式。第一种采用“请求响应”方式。用户登录时系统随机提示一条信息,用户根据这一信息连同其个人化数据共同产生一个口令字,用户输入这个口令字,完成一次登录过程,或者用户对这一条信息实施电子签字后发送给认证服务器进行鉴别;第二种方法采用“时钟同步”机制,即根据这个同步时钟信息连同其个人化数据共同产生一个口令字。这两种方案均需要认证服务器端也产生与用户端相同的口令字(或检验签字)用于验证用户身份。12.2.2信息认证技术1.信息认证的目标信息认证的主要目标包括:(1)可信性。信息的来源是可信的,即信息接收者能够确认所

7、获得的信息不是由冒充者所发出的。(2)完整性。要求信息在传输过程中保证其完整性,也即信息接收者能够确认所获得的信息在传输过程中没有被修改、遗失和替换。(3)不可抵赖性。要求信息的发送方不能否认自己所发出的信息。同样,信息的接收方不能否认已收到了信息。(4)保密性。对敏感的文件进行加密,即使别人截获文件也无法得到其内容。2.基于私有密钥体制的信息认证基于私有密钥(PrivateKey,私钥)体制的信息认证是一种传统的信息认证方法。这种方法采用对称加密算法,也就是说,信息交换双方共同约定一个口令或一组密码,建立一个通信双方共享的密钥。通信的甲方将要发送的信息用私钥

8、加密后传给乙方,乙方用相同的私钥解密后

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。