1、班級(jí):姓名:學(xué)號(hào):電子商務(wù)的安全性需求1、交易信息的保密性：交易信息的保密性是指信息在傳輸或存儲(chǔ)過程中不被他人竊取。因此，對(duì)商務(wù)信息系統(tǒng)在存儲(chǔ)的資料要嚴(yán)格管理，必須對(duì)重要和敏感的信息進(jìn)行加密，然后再放到網(wǎng)上傳輸，確保非授權(quán)用戶不得侵入、查看使用。為 了對(duì)信息進(jìn)行保密，相應(yīng)有一些保密性技術(shù)。如加密和解密技術(shù)、防火墻技術(shù)等。加密/解密技術(shù)是一種用來防止信息泄露的技術(shù)。電子商務(wù)中的信息在通過 In ternet傳送之前，為了防止信息的內(nèi)容被他人有意或無意的知曉，需要將它的 內(nèi)容通過一定的方法轉(zhuǎn)變成別人看不懂的信息，這個(gè)過程就是加密。而將看不懂 的信息再轉(zhuǎn)變成原始信息的過程稱為解密。加密之前的信息稱為

2、明文，加密之后 的內(nèi)容稱為密文，加密通常要采用一些算法，而這些算法需要用到不同的參數(shù)， 這些不同的參數(shù)稱作密鑰，密鑰空間是所有密鑰的集合。加密按傳統(tǒng)的加密方法分為替換密碼和位移密碼兩類；現(xiàn)代密碼體制從原理 上分為兩大類，分別是單鑰密碼體制和雙鑰密碼體制；按歷史發(fā)展階段：手工加密、機(jī)械加密、電子機(jī)內(nèi)亂加密、計(jì)算機(jī)加密；按保密程度：理論上的保密的加 密、實(shí)際上保密的加密、不保密的加密三種類型；按密鑰使用方式：對(duì)稱加密和 非對(duì)稱加密。防火墻技術(shù)是在In ternet和In ternet直接構(gòu)筑的一道屏障，用以保護(hù)網(wǎng)絡(luò)中 的信息、資源等不受來自網(wǎng)絡(luò)中非法用戶的侵犯，控制網(wǎng)絡(luò)之間的所有數(shù)據(jù)流量， 控制和

3、防止網(wǎng)絡(luò)中的有價(jià)值的數(shù)據(jù)流入 In ternet，也控制和防止來自In ternet的無 用垃圾流入In ternet.實(shí)現(xiàn)防火的主要技術(shù)有包過濾技術(shù)、應(yīng)用網(wǎng)關(guān)和服務(wù)器代 理。2、交易信息的完整性：包括信息傳輸和存儲(chǔ)兩個(gè)方面的含義，在存儲(chǔ)時(shí)要防止 被非法篡改和破壞，在傳輸過程中邀請(qǐng)接收端收到的信息與發(fā)送方發(fā)送的信息完全一致。信息在傳輸過程中的加密，只能保證第三方看不到信息的真正內(nèi)容，但并不能保證信息不被修改或保持完整。要保證數(shù)據(jù)的完整性，技術(shù)上可以采用信 息摘要的方法或者采用數(shù)字簽名的方法。 還可以采用強(qiáng)有力的訪問控制技術(shù)，防 止對(duì)系統(tǒng)中數(shù)據(jù)的非法刪除、更改、復(fù)制和破壞，此外，還應(yīng)防止意外損壞

4、和丟 失。任何對(duì)系統(tǒng)信息應(yīng)有特性或狀態(tài)的中斷、竊取、篡改和偽造都是破壞信息完 整性的行為。其中，中斷是指在某一段時(shí)間內(nèi)因系統(tǒng)的軟件、硬件故障或惡意破壞刪除造成系統(tǒng)信息的受損、丟失或不可利用。竊取是指系統(tǒng)的信息未經(jīng)授權(quán)的 訪問者非法獲取，造成信息不應(yīng)有的泄露，使信息的價(jià)值受到損失或者失去存在 的意義。篡改是指故意更改正確的數(shù)據(jù)，破壞了數(shù)據(jù)的真實(shí)性狀態(tài)。偽造是惡意 的未經(jīng)授權(quán)者故意在系統(tǒng)信息中添加假信息，造成真假信息難辨，破壞了信息的 可信性。3、交易信息的不可否認(rèn)性：指信息的發(fā)送發(fā)不能否認(rèn)已經(jīng)發(fā)送的信息，接收方 不能否認(rèn)已經(jīng)收到的信息。在電子商務(wù)的交易過程中，商情是千變?nèi)f化的，但交 易達(dá)成后不能

5、隨意更改和否認(rèn)的，否則，必然會(huì)損害一方的利益。因此，電子交 易通信過程中各個(gè)環(huán)節(jié)都必須是不可否認(rèn)的。 要達(dá)到不可否認(rèn)的目的，可以采用 數(shù)字簽名和數(shù)字戳等技術(shù)。數(shù)字簽名是密鑰加密和數(shù)字摘要相結(jié)合的技術(shù)，用于保證信息的完整性和不 可否認(rèn)性。由于發(fā)送者的私鑰匙自己嚴(yán)密管理的， 他人無法仿冒，同時(shí)發(fā)送者也 不能否認(rèn)用自己的私鑰加密發(fā)送的信息，所以數(shù)字簽名解決了信息的完整性和不 可否認(rèn)性的問題。數(shù)字時(shí)間戳是由專門機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項(xiàng)目， 用于證明信息的發(fā) 送時(shí)間。數(shù)字時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，包括三個(gè)部分 ：時(shí)間戳的 文件摘要、DTS機(jī)構(gòu)收到文件的日期和時(shí)間、DTS機(jī)構(gòu)的數(shù)字簽名。4、

6、交易者身份的可鑒別性：是指交易雙方是確實(shí)存在的，不是假冒的。網(wǎng)上交易的雙方可能相隔很遠(yuǎn)且并不了解， 要使交易成功，除了互相信任以外，確認(rèn)對(duì) 方的真實(shí)、合法性是很重要的。對(duì)商家而言要考慮客戶不是騙子， 對(duì)客戶而言要 考慮商店不是黑店且有信譽(yù)。因此能方便而可靠地確認(rèn)對(duì)方身份是交易的前提。5、交易信息的有效性：直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)，要求 對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻，確定的地點(diǎn) 是有效的。6支付信息的匿名性：支付信息的匿名性要求除了公正的第三方，沒有人能夠 根據(jù)支付信息來跟蹤并且識(shí)別用戶的身份。匿名性就是保護(hù)個(gè)人隱私不受侵害。 包括三個(gè)方面：不可觀察性、不可追蹤性和無關(guān)聯(lián)性。（1）不可觀察性：外人不能獲取交易的有用信息。這里的外人包括電子支付系統(tǒng)中與該交易無關(guān)的其他參與者和系統(tǒng)之外的攻擊者。當(dāng)交易在網(wǎng)上進(jìn)行并且參與交易者的身份需相互交換的情況下，非常有必要滿足不可觀察性。（2）不可追蹤性：要求支付者在取款時(shí)傳給發(fā)行銀行的數(shù)據(jù)與用該電子支付手 段進(jìn)行支付時(shí)提交給商家的數(shù)據(jù)無關(guān)聯(lián)，通常要求他們統(tǒng)計(jì)獨(dú)立。因此