文档介绍:第11章密码学的应用
密码学在电子商务中的应用
密码学在数字通信中的应用
密码学在工业网络控制中的应用
密码学在电子商务中的应用 电子商务系统面临的安全威胁 从安全和信任关系来看,在传统交易过程中,买卖双方是面对面的,因此很容易保证交易过程的安全性和建立信任关系。但在电子商务交易过程中,交易双方是通过网络来联系的。订单信息、账户信息等各种敏感信息都是通过公共的网络传输,使得电子商务的参与各方都面临着不同的安全威胁。
电子商务系统主要遇到的威胁方式如下: (1)对用户身份的仿冒。攻击者盗用合法用户的身份信息,以仿冒的身份与他人进行交易,从而败坏被仿冒一方的声誉或盗窃被仿冒一方的交易成果等。 (2)对网络上信息的窃取。攻击者在网络的传输链路上,通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。 (3)对网络上信息的篡改。攻击者有可能对网络上的信息进行截获并且篡改其内容(增加、截去或改写),从而使信息失去了真实性和完整性。
(4)对信息的破坏。攻击者有意制造网络硬件和软件的问题而导致信息传递的丢失与谬误,或运行恶意程序而导致电子商务信息遭到破坏,或用“信息重发”的攻击方式,即攻击者截获网络上的密文信息后,并不将其破译,而是把这些数据包再次发送,以实现恶意的目的。 (5)对发出的信息予以否认。某些用户可能对自己发出的信息进行恶意的否认,不为自己的行为负责。
电子商务系统的安全需求 电子商务面临的威胁导致了对电子商务安全的需求。真正实现一个安全电子商务系统所要求做到的各个方面主要包括:机密性、完整性、有效性、可靠性/不可抵赖性、可控性、原子性等安全需求,如图11-1所示。
图11-1 电子商务的安全需求
电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的(是更为开放的网络),维护商业机密是电子商务全面推广应用的重要保障。因此,交易必须保持不可侵犯性,通过网络送出及接收的信息不能被任何攻击者读取、修改或拦截。
电子商务简化了贸易过程,减少了人为的干预,同时也带来了维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
电子商务可能直接关系到贸易双方的商业交易,如何确定进行交易的贸易方正是所期望的贸易方是保证电子商务顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。