緒論:在尋找寫作靈感嗎���?愛發(fā)表網(wǎng)為您精選了8篇數(shù)字貿(mào)易存在的問題�,愿這些內(nèi)容能夠啟迪您的思維��,激發(fā)您的創(chuàng)作熱情����,歡迎您的閱讀與分享!
篇1
計算機網(wǎng)絡(luò) 電子商務(wù)安全技術(shù)
一���、引言近年來����,電子商務(wù)的發(fā)展十分迅速�����,然而盡管其發(fā)展勢頭很強����,但其貿(mào)易額所占整個貿(mào)易額的比例仍然很低。影響其發(fā)展的首要因素是安全問題,網(wǎng)上的交易是一種非面對面交易�����,因此“交易安全“在電子商務(wù)的發(fā)展中十分重要��?��?梢哉f���,沒有安全就沒有電子商務(wù)。電子商務(wù)的安全從整體上可分為兩大部分�����,計算機網(wǎng)絡(luò)安全和商務(wù)交易安全���。計算機網(wǎng)絡(luò)安全的特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題���,實施網(wǎng)絡(luò)安全增強方案,以保證計算機網(wǎng)絡(luò)自身的安全性為目標��。商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在Internet上應(yīng)用時產(chǎn)生的各種安全問題�����,在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上,如何保障電子商務(wù)過程的順利進行�。
二、當代電子商務(wù)網(wǎng)絡(luò)的安全隱患1�����、信息泄漏����。在電子商務(wù)中表現(xiàn)為商業(yè)機密的泄漏����,主要包括兩個方面:交易雙方進行交易的內(nèi)容被第三方竊取��;交易一方提供給另一方使用的文件被第三方非法使用�����。2.篡改資料:在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實性和完整性的問題��。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中�����,可能被他人非法修改、刪除或重改����,這樣就使信息失去了真實性和完整性。3��、身份識別:如果不進行身份識別�,第三方就有可能假冒交易一方的身份,以破壞交易���、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等�����,進行身份識別后���,交易雙方就可防止相互猜疑的情況。4��、電腦病毒問題:隨著互聯(lián)網(wǎng)的發(fā)展�,病毒利用互聯(lián)網(wǎng),使得病毒的傳播速度大大加快�����,它侵入網(wǎng)絡(luò),破壞資源���,成為了電子商務(wù)中計算機網(wǎng)絡(luò)的又一重要安全威脅���。然而互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑��,還有眾多病毒借助干網(wǎng)絡(luò)傳播得更快�,動輒造成數(shù)百億美元的經(jīng)濟損失���。5�����、黑客惡意破壞:由于攻擊者可以接入網(wǎng)絡(luò)��,則可能對網(wǎng)絡(luò)中的信息進行修改��,掌握網(wǎng)上的機要信息��,甚至可以潛入網(wǎng)絡(luò)內(nèi)部����,其后果是非常嚴重的。
篇2
[關(guān)鍵詞] 電子商務(wù) 信息安全 數(shù)據(jù)加密 數(shù)字簽名
一����、引言
隨著信息技術(shù)和計算機網(wǎng)絡(luò)的迅猛發(fā)展, 基于Internet 的電子商務(wù)也隨之而生��,并在近年來獲得了巨大的發(fā)展�����。電子商務(wù)作為一種全新的商業(yè)應(yīng)用形式��,改變了傳統(tǒng)商務(wù)的運作模式���,極大地提高了商務(wù)效率����,降低了交易的成本����。然而,由于互聯(lián)網(wǎng)開放性的特點����,安全問題也自始至終制約著電子商務(wù)的發(fā)展��。因此�,建立一個安全可靠的電子商務(wù)應(yīng)用環(huán)境����,已經(jīng)成為影響到電子商務(wù)發(fā)展的關(guān)鍵性課題。
二���、電子商務(wù)面臨的安全問題
1.信息泄漏�����。在電子商務(wù)中主要表現(xiàn)為商業(yè)機密的泄露,包括兩個方面:一是交易雙方進行交易的內(nèi)容被第三方竊?���。欢墙灰滓环教峁┙o另一方使用的文件被第三方非法使用�����。
2.信息被篡改���。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中��,可能被他人非法修改�、刪除或被多次使用,這樣就使信息失去了真實性和完整性����。
3.身份識別。身份識別在電子商務(wù)中涉及兩個方面的問題:一是如果不進行身份識別�����,第三方就有可能假冒交易一方的身份�,破壞交易、敗壞被假冒一方的信譽或盜取交易成果��;二是不可抵賴性���,交易雙方對自己的行為應(yīng)負有一定的責(zé)任����,信息發(fā)送者和接受者都不能對此予以否認����。進行身份識別就是防止電子商務(wù)活動中的假冒行為和交易被否認的行為�。
4.信息破壞��。一是網(wǎng)絡(luò)傳輸?shù)目煽啃?���,網(wǎng)絡(luò)的硬件或軟件可能會出現(xiàn)問題而導(dǎo)致交易信息丟失與謬誤;二是惡意破壞�,計算機網(wǎng)絡(luò)本身遭到一些惡意程序的破壞,例如病毒破壞�����、黑客入侵等����。
三、電子商務(wù)的安全要素
1.有效性�。電子商務(wù)作為貿(mào)易的一種形式�,其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽����。因此,要對一切潛在的威脅加以控制和預(yù)防�,以保證貿(mào)易數(shù)據(jù)在確定的時刻和地點是有效的���。
2.機密性。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的����,維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此�,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。解決數(shù)據(jù)機密性的一般方法是采用加密手段�����。
3.完整性�。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導(dǎo)致貿(mào)易各方的差異��。此外���,數(shù)據(jù)傳輸過程中的丟失�����、重復(fù)或傳送的次序差異也會導(dǎo)致貿(mào)易各方的不同��。因此���,要預(yù)防對隨意生成�����、修改和刪除�,同時要防止數(shù)據(jù)傳送過程中的丟失和重復(fù)并保證傳送次序的統(tǒng)一��。
4.不可抵賴性�����。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易�,如何確定要進行交易的貿(mào)易方正是進行交易所期望的貿(mào)易方這一問題則是保證電子商務(wù)順利進行的關(guān)鍵。在交易進行時��,交易各方必須附帶含有自身特征����、無法由別人復(fù)制的信息,以保證交易后發(fā)生糾紛時有所對證��。
四�����、電子商務(wù)采用的主要安全技術(shù)手段
1.防火墻技術(shù)�。防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計算機網(wǎng)絡(luò)的安全��,它是一種控制技術(shù)�����,既可以是一種軟件產(chǎn)品�,又可以制作或嵌入到某種硬件產(chǎn)品中。所有來自Internet 的傳輸信息或發(fā)出的信息都必須經(jīng)過防火墻����。這樣,防火墻就起到了保護諸如電子郵件����、文件傳輸、遠程登錄����、在特定的系統(tǒng)間進行信息交換等安全的作用。實現(xiàn)防火墻技術(shù)的主要途徑有:分組過濾和服務(wù)��。分組過濾:這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器中按網(wǎng)絡(luò)安全策略設(shè)置一張訪問表或黑名單��,即借助數(shù)據(jù)分組中的IP地址確定什么類型的信息允許通過防火墻����,什么類型的信息不允許通過。防火墻的職責(zé)就是根據(jù)訪問表(或黑名單)對進出路由器的分組進行檢查和過濾����。這種防火墻簡單易行,但不能完全有效地防范非法攻擊���。目前��,80%的防火墻都是采用這種技術(shù)�。服務(wù):是一種基于服務(wù)的防火墻��,它的安全性高�,增加了身份認證與審計跟蹤功能,但速度較慢��。所謂審計跟蹤是對網(wǎng)絡(luò)系統(tǒng)資源的使用情況提供一個完備的記錄����,以便對網(wǎng)絡(luò)進行完全監(jiān)督和控制���。通過不斷收集與積累有關(guān)出入網(wǎng)絡(luò)的完全事件記錄���,并有選擇地對其中的一些進行審計跟蹤���,發(fā)現(xiàn)可能的非法行為并提供有力的證據(jù),然后以秘密的方式向網(wǎng)上的防火墻發(fā)出有關(guān)信息如黑名單等�。防火墻雖然能對外部網(wǎng)絡(luò)的功擊實施有效的防護,但對網(wǎng)絡(luò)內(nèi)部信息傳輸?shù)陌踩珔s無能為力���,實現(xiàn)電子商務(wù)的安全還需要一些保障動態(tài)安全的技術(shù)�����。
2.數(shù)據(jù)加密技術(shù)�����。在電子商務(wù)中�����,數(shù)據(jù)加密技術(shù)是其他安全技術(shù)的基礎(chǔ)����,也是最主要的安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用��。目前����,加密技術(shù)分為兩類,即對稱加密和非對稱加密����。
(1)對稱加密。對稱加密又稱為私鑰加密���。發(fā)送方用密鑰加密明文��,傳送給接收方��,接收方用同一密鑰解密��。其特點是加密和解密使用的是同一個密鑰�����。使用對稱加密方法將簡化加密的處理�,每個貿(mào)易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰�����。比較著名的對稱加密算法是:美國國家標準局提出的DES(DataEncryption Standard�����,數(shù)據(jù)加密標準)�����。對稱加密方式存在的一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方��。因為貿(mào)易雙方共享同一把專用密鑰���,貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。
(2)非對稱加密���。非對稱加密又稱為公鑰加密���。公鑰加密法是在對數(shù)據(jù)加解密時,使用不同的密鑰�����,通信雙方各具有兩把密鑰,即一把公鑰和一把密鑰�。公鑰對外界公開,私鑰自己保管�,用公鑰加密的信息,只能用對應(yīng)的私鑰解密�。同樣地,用私鑰加密的數(shù)據(jù)只能用對應(yīng)的公鑰解密���。RSA(即Rivest�����,ShamirAdleman)算法是非對稱加密領(lǐng)域內(nèi)最為著名的算法�����。貿(mào)易方利用該方案實現(xiàn)機密信息交換的基本過程是:貿(mào)易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開�,得到該公開密鑰的貿(mào)易方乙使用該密鑰對機密信息進行加密后再發(fā)送給貿(mào)易方甲�;貿(mào)易方甲再用自己保存的另一把私有密鑰對加密后的信息進行解密。貿(mào)易方甲只能用其私有密鑰解密由其公開密鑰加密后的任何信息��。為了充分發(fā)揮對稱和非對稱加密體制各自的優(yōu)點�����,在實際應(yīng)用中通常將這兩種加密體制結(jié)合在一起使用,比如:利用DES來加密信息�,而采用RSA來傳遞對稱加密體制中的密鑰。
3.數(shù)字簽名技術(shù)�����。僅有加密技術(shù)還不足以保證商務(wù)信息傳遞的安全����,在確保信息完整性方面��,數(shù)字簽名技術(shù)占據(jù)著不可替代的位置���。目前數(shù)字簽名的應(yīng)用主要有數(shù)字摘要���、數(shù)字簽名和數(shù)字時間戳技術(shù)。
(1)數(shù)字摘要����。數(shù)字摘要是對一條原始信息進行單向哈希(Hash)函數(shù)變換運算得到的一個長度一定的摘要信息。該摘要與原始信息一一對應(yīng)����,即不同的原始信息必然得到一個不同的摘要���。若信息的完整性遭到破壞,信息就無法通過原始摘要信息的驗證�����,成為無效信息��,信息接收者便可以選擇不再信任該信息����。
(2)數(shù)字簽名。數(shù)字簽名實際上是運用公私鑰加密技術(shù)使信息具有不可抵賴性�,其具體過程為:文件的發(fā)送方從文件中生成一個數(shù)字摘要,用自己的私鑰對這個數(shù)字摘要進行加密�,從而形成數(shù)字簽名。這個被加密的數(shù)字簽名文件作為附件和原始文件一起發(fā)送給接收者��。接收方收到信息后就用發(fā)送方的公開密鑰對摘要進行解密�����,如果解出了正確的摘要,即該摘要可以確認原始文件沒有被更改過���。那么說明這個信息確實為發(fā)送者發(fā)出的�。于是實現(xiàn)了對原始文件的鑒別和不可抵賴性���。
(3)數(shù)字時間戳����。數(shù)字時間戳技術(shù)或DTS 是對數(shù)字文件或交易信息進行日期簽署的一項第三方服務(wù)��。本質(zhì)上數(shù)字時間戳技術(shù)與數(shù)字簽名技術(shù)如出一轍�。加蓋數(shù)字時間戳后的信息不能進行偽造、篡改和抵賴��,并為信息提供了可靠的時間信息以備查用�。
五��、小結(jié)
本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù):防火墻技術(shù)����,數(shù)據(jù)加密技術(shù),數(shù)字簽名技術(shù)����,以及安全協(xié)議�,指出了它們使用范圍及其優(yōu)缺點����。但必須強調(diào)說明的是,電子商務(wù)的安全運行�,僅從技術(shù)角度防范是遠遠不夠的,還必須完善電子商務(wù)立法�����,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題���,從而引導(dǎo)和促進我國電子商務(wù)快速健康發(fā)展�。
參考文獻:
[1]謝紅燕:電子商務(wù)的安全問題及對策研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(自然科學(xué)版),2007,(3):350-358
[2]彭禹皓蘭波曉玲:電子商務(wù)的安全性探討[J].集團經(jīng)濟研究,2007,(232): 216- 217
篇3
[論文摘要] 本文分析了電子商務(wù)首要的安全要素�,以及將面臨的一系列安全問題,并從網(wǎng)絡(luò)平臺和數(shù)據(jù)傳輸兩個方面完整地介紹了一些相關(guān)的安全技術(shù),通過它們來消除電子商務(wù)活動中的安全隱患。
一����、引言
隨著信息技術(shù)和計算機網(wǎng)絡(luò)的迅猛發(fā)展, 基于Internet 的電子商務(wù)也隨之而生����,并在近年來獲得了巨大的發(fā)展�����。電子商務(wù)作為一種全新的商業(yè)應(yīng)用形式�����,改變了傳統(tǒng)商務(wù)的運作模式����,極大地提高了商務(wù)效率��,降低了交易的成本���。然而�����,由于互聯(lián)網(wǎng)開放性的特點��,安全問題也自始至終制約著電子商務(wù)的發(fā)展。因此����,建立一個安全可靠的電子商務(wù)應(yīng)用環(huán)境,已經(jīng)成為影響到電子商務(wù)發(fā)展的關(guān)鍵性課題。
二�、電子商務(wù)面臨的安全問題
1.信息泄漏。在電子商務(wù)中主要表現(xiàn)為商業(yè)機密的泄露���,包括兩個方面:一是交易雙方進行交易的內(nèi)容被第三方竊?�?���;二是交易一方提供給另一方使用的文件被第三方非法使用�。
2.信息被篡改。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中�,可能被他人非法修改、刪除或被多次使用����,這樣就使信息失去了真實性和完整性。
3.身份識別��。身份識別在電子商務(wù)中涉及兩個方面的問題:一是如果不進行身份識別����,第三方就有可能假冒交易一方的身份,破壞交易�����、敗壞被假冒一方的信譽或盜取交易成果;二是不可抵賴性����,交易雙方對自己的行為應(yīng)負有一定的責(zé)任,信息發(fā)送者和接受者都不能對此予以否認���。進行身份識別就是防止電子商務(wù)活動中的假冒行為和交易被否認的行為�����。
4.信息破壞���。一是網(wǎng)絡(luò)傳輸?shù)目煽啃裕W(wǎng)絡(luò)的硬件或軟件可能會出現(xiàn)問題而導(dǎo)致交易信息丟失與謬誤����;二是惡意破壞,計算機網(wǎng)絡(luò)本身遭到一些惡意程序的破壞���,例如病毒破壞�����、黑客入侵等����。
三�����、電子商務(wù)的安全要素
1.有效性��。電子商務(wù)作為貿(mào)易的一種形式����,其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽�����。因此����,要對一切潛在的威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時刻和地點是有效的����。
2.機密性����。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的�����,維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障�。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取��。解決數(shù)據(jù)機密性的一般方法是采用加密手段���。
3.完整性��。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為��,可能導(dǎo)致貿(mào)易各方的差異���。此外,數(shù)據(jù)傳輸過程中的丟失��、重復(fù)或傳送的次序差異也會導(dǎo)致貿(mào)易各方的不同�。因此,要預(yù)防對隨意生成、修改和刪除�,同時要防止數(shù)據(jù)傳送過程中的丟失和重復(fù)并保證傳送次序的統(tǒng)一。
4.不可抵賴性����。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易�,如何確定要進行交易的貿(mào)易方正是進行交易所期望的貿(mào)易方這一問題則是保證電子商務(wù)順利進行的關(guān)鍵。在交易進行時��,交易各方必須附帶含有自身特征�、無法由別人復(fù)制的信息,以保證交易后發(fā)生糾紛時有所對證�。
四、電子商務(wù)采用的主要安全技術(shù)手段
1.防火墻技術(shù)����。防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計算機網(wǎng)絡(luò)的安全�,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品�,又可以制作或嵌入到某種硬件產(chǎn)品中。所有來自Internet 的傳輸信息或發(fā)出的信息都必須經(jīng)過防火墻���。這樣�,防火墻就起到了保護諸如電子郵件����、文件傳輸���、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用��。實現(xiàn)防火墻技術(shù)的主要途徑有:分組過濾和服務(wù)��。分組過濾:這是一種基于路由器的防火墻�����。它是在網(wǎng)間的路由器中按網(wǎng)絡(luò)安全策略設(shè)置一張訪問表或黑名單����,即借助數(shù)據(jù)分組中的IP地址確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過����。防火墻的職責(zé)就是根據(jù)訪問表(或黑名單)對進出路由器的分組進行檢查和過濾。這種防火墻簡單易行�,但不能完全有效地防范非法攻擊。目前�����,80%的防火墻都是采用這種技術(shù)。服務(wù):是一種基于服務(wù)的防火墻�,它的安全性高,增加了身份認證與審計跟蹤功能�����,但速度較慢��。所謂審計跟蹤是對網(wǎng)絡(luò)系統(tǒng)資源的使用情況提供一個完備的記錄��,以便對網(wǎng)絡(luò)進行完全監(jiān)督和控制��。通過不斷收集與積累有關(guān)出入網(wǎng)絡(luò)的完全事件記錄�,并有選擇地對其中的一些進行審計跟蹤�,發(fā)現(xiàn)可能的非法行為并提供有力的證據(jù),然后以秘密的方式向網(wǎng)上的防火墻發(fā)出有關(guān)信息如黑名單等�����。防火墻雖然能對外部網(wǎng)絡(luò)的功擊實施有效的防護�����,但對網(wǎng)絡(luò)內(nèi)部信息傳輸?shù)陌踩珔s無能為力,實現(xiàn)電子商務(wù)的安全還需要一些保障動態(tài)安全的技術(shù)��。
2.數(shù)據(jù)加密技術(shù)���。在電子商務(wù)中����,數(shù)據(jù)加密技術(shù)是其他安全技術(shù)的基礎(chǔ)�,也是最主要的安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用����。目前,加密技術(shù)分為兩類�,即對稱加密和非對稱加密。
(1)對稱加密���。對稱加密又稱為私鑰加密����。發(fā)送方用密鑰加密明文�,傳送給接收方,接收方用同一密鑰解密����。其特點是加密和解密使用的是同一個密鑰����。使用對稱加密方法將簡化加密的處理�,每個貿(mào)易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰�。比較著名的對稱加密算法是:美國國家標準局提出的DES(DataEncryption Standard,數(shù)據(jù)加密標準)��。對稱加密方式存在的一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方����。因為貿(mào)易雙方共享同一把專用密鑰����,貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。
(2)非對稱加密�。非對稱加密又稱為公鑰加密。公鑰加密法是在對數(shù)據(jù)加解密時���,使用不同的密鑰���,通信雙方各具有兩把密鑰�����,即一把公鑰和一把密鑰�。公鑰對外界公開���,私鑰自己保管�����,用公鑰加密的信息����,只能用對應(yīng)的私鑰解密��。同樣地�,用私鑰加密的數(shù)據(jù)只能用對應(yīng)的公鑰解密。RSA(即Rivest�����,ShamirAdleman)算法是非對稱加密領(lǐng)域內(nèi)最為著名的算法���。貿(mào)易方利用該方案實現(xiàn)機密信息交換的基本過程是:貿(mào)易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開���,得到該公開密鑰的貿(mào)易方乙使用該密鑰對機密信息進行加密后再發(fā)送給貿(mào)易方甲�����;貿(mào)易方甲再用自己保存的另一把私有密鑰對加密后的信息進行解密���。貿(mào)易方甲只能用其私有密鑰解密由其公開密鑰加密后的任何信息。為了充分發(fā)揮對稱和非對稱加密體制各自的優(yōu)點�,在實際應(yīng)用中通常將這兩種加密體制結(jié)合在一起使用,比如:利用DES來加密信息���,而采用RSA來傳遞對稱加密體制中的密鑰�。
3.數(shù)字簽名技術(shù)�。僅有加密技術(shù)還不足以保證商務(wù)信息傳遞的安全,在確保信息完整性方面����,數(shù)字簽名技術(shù)占據(jù)著不可替代的位置����。目前數(shù)字簽名的應(yīng)用主要有數(shù)字摘要、數(shù)字簽名和數(shù)字時間戳技術(shù)�。
(1)數(shù)字摘要����。數(shù)字摘要是對一條原始信息進行單向哈希(Hash)函數(shù)變換運算得到的一個長度一定的摘要信息���。該摘要與原始信息一一對應(yīng)��,即不同的原始信息必然得到一個不同的摘要�����。若信息的完整性遭到破壞���,信息就無法通過原始摘要信息的驗證,成為無效信息��,信息接收者便可以選擇不再信任該信息����。
(2)數(shù)字簽名。數(shù)字簽名實際上是運用公私鑰加密技術(shù)使信息具有不可抵賴性�,其具體過程為:文件的發(fā)送方從文件中生成一個數(shù)字摘要,用自己的私鑰對這個數(shù)字摘要進行加密���,從而形成數(shù)字簽名�����。這個被加密的數(shù)字簽名文件作為附件和原始文件一起發(fā)送給接收者��。接收方收到信息后就用發(fā)送方的公開密鑰對摘要進行解密����,如果解出了正確的摘要,即該摘要可以確認原始文件沒有被更改過���。那么說明這個信息確實為發(fā)送者發(fā)出的�。于是實現(xiàn)了對原始文件的鑒別和不可抵賴性����。
(3)數(shù)字時間戳。數(shù)字時間戳技術(shù)或DTS 是對數(shù)字文件或交易信息進行日期簽署的一項第三方服務(wù)��。本質(zhì)上數(shù)字時間戳技術(shù)與數(shù)字簽名技術(shù)如出一轍�����。加蓋數(shù)字時間戳后的信息不能進行偽造����、篡改和抵賴,并為信息提供了可靠的時間信息以備查用���。
五��、小結(jié)
本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù):防火墻技術(shù)����,數(shù)據(jù)加密技術(shù)�����,數(shù)字簽名技術(shù)�,以及安全協(xié)議,指出了它們使用范圍及其優(yōu)缺點�����。但必須強調(diào)說明的是�����,電子商務(wù)的安全運行���,僅從技術(shù)角度防范是遠遠不夠的�����,還必須完善電子商務(wù)立法��,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題��,從而引導(dǎo)和促進我國電子商務(wù)快速健康發(fā)展��。
參考文獻:
[1]謝紅燕:電子商務(wù)的安全問題及對策研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(自然科學(xué)版),2007,(3):350-358
[2]彭禹皓蘭波曉玲:電子商務(wù)的安全性探討[J].集團經(jīng)濟研究,2007,(232): 216- 217
篇4
關(guān)鍵詞:電子商務(wù)在線支付安全性安全套接層協(xié)議安全電子交易協(xié)議
1引言
Internet給整個社會帶來了巨大的變革����,成為驅(qū)動所有產(chǎn)業(yè)發(fā)展的動力。電子商務(wù)是在Internet開放環(huán)境下的一種新型的商業(yè)運營模式���,是網(wǎng)絡(luò)技術(shù)應(yīng)用的全新發(fā)展方向����。在此首先對電子商務(wù)中存在的問題及其安全性技術(shù)加以分析���,然后對中國電子商務(wù)未來的發(fā)展提出了一些建議����,以使更多的人士關(guān)注電子商務(wù)技術(shù)����,盡快解決現(xiàn)存的問題,推動電子商務(wù)的發(fā)展����。
2電子商務(wù)及其存在的問題
電子商務(wù)是指利用簡單快捷低成本的電子通訊方式,使買賣雙方進行各種商貿(mào)活動的新型貿(mào)易形式��。它改變了傳統(tǒng)貿(mào)易形式���,不僅改變了企業(yè)本身的生產(chǎn)����、經(jīng)營����、管理活動,而且將導(dǎo)致人類經(jīng)濟��、社會和文化的一次新的革命��。但目前電子商務(wù)的發(fā)展中還存在許多問題:
1)安全協(xié)議問題:對安全協(xié)議還沒有全球性的標準和規(guī)范����,相對制約了國際性的商務(wù)活動�����。
2)安全管理問題:在安全管理方面還存在很大隱患����,普遍難以抵御黑客的攻擊���。
3)電子商務(wù)沒有真正深入商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域�����。
4)技術(shù)人才短缺問題:電子商務(wù)是在近幾年才得到了迅猛發(fā)展��,許多地方都缺乏足夠的技術(shù)人才來處理所遇到的各種問題��。不少電子商務(wù)的開發(fā)商對網(wǎng)絡(luò)技術(shù)很熟悉��,但是對安全技術(shù)了解得偏少��,因而難以開發(fā)出真正實用的��、安全性的產(chǎn)品��。
5)法律問題:電子交易衍生了一系列法律問題��,例如網(wǎng)絡(luò)交易糾紛的仲裁�����、網(wǎng)絡(luò)交易契約等問題���,急需為電子商務(wù)提供法律保障。
6)稅收問題:電子商務(wù)的發(fā)展在促進貿(mào)易增加稅收的同時又對稅收制度及其管理手段提出了新要求���。
3電子商務(wù)中的安全性技術(shù)
安全性技術(shù)是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素����,也是目前大家十分關(guān)注的問題�����。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性��,但現(xiàn)在幾乎網(wǎng)絡(luò)的各個層次都制訂了安全協(xié)議和具備了相應(yīng)的安全技術(shù)�,以保證電子商務(wù)的安全性。
3.1安全的網(wǎng)絡(luò)平臺
安全可靠的網(wǎng)絡(luò)是實現(xiàn)電子商務(wù)的基礎(chǔ)����,常用的方法是在網(wǎng)絡(luò)中采用防火墻技術(shù)���,虛擬專用網(wǎng)(VPN)技術(shù),防病毒保護等���。防火墻技術(shù)是通過IP過濾和服務(wù)器軟件方法保護企業(yè)內(nèi)部網(wǎng)(Intranet)中數(shù)據(jù)��,只有授權(quán)用戶才能獲準進入企業(yè)內(nèi)部網(wǎng)的系統(tǒng)��。虛擬專用網(wǎng)(VPN)技術(shù)通過IP隧道等方法來保證企業(yè)協(xié)作網(wǎng)(Extranet)中企業(yè)間數(shù)據(jù)和企業(yè)內(nèi)部網(wǎng)的遠程分支機構(gòu)和外出職工對中央系統(tǒng)的遠程訪問數(shù)據(jù)的安全傳遞��。單純依靠這些方法保護網(wǎng)絡(luò)的安全性是不夠的��,還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務(wù)基石���,例如現(xiàn)在的加密技術(shù)、數(shù)字簽名技術(shù)���、電子認證技術(shù)等����。
3.2在線支付的安全技術(shù)
電子商務(wù)的另一個關(guān)鍵問題是要保證在線支付的安全����,它是網(wǎng)上購物的重要保證�。目前采用的在線支付協(xié)議有兩種:安全套接層SSL(SecureSocketsLayer)協(xié)議和安全電子交易SET(SecureElectronicTransaction)協(xié)議����。
3.2.1SSL協(xié)議
SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證�����,數(shù)字證書是從認證機構(gòu)(CertificateAuthority��,CA)獲得的��,通常包含有唯一標識證書所有者的名稱��、唯一標識證書者的名稱��、證書所有者的公開密鑰����、證書者的數(shù)字簽名�����、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后���,雙方就可以用保密密鑰進行安全的會話了�。
SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前����,協(xié)商加密算法、連接密鑰并認證通信雙方���,從而為應(yīng)用層提供了安全的傳輸通道����;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如
[2]古月.走近電子商務(wù).計算機與生活,1999,11:8~14
[3]龔炳錚等.從信息增值到電子商務(wù).計算機世界�,2000,11,20(D45期)
Electroniccommerceanditssecurity
(CaulationCentreofZhumadianTeacher’sCollege,Zhumadian,463000,China)
篇5
一 、電子商務(wù)信息的安全要素
1.機密性
傳統(tǒng)的貿(mào)易大多是通過書信或者可靠的通信渠道來發(fā)送商業(yè)文檔,雖然速度和效率都不高,但卻能達到保密的目的,而電子商務(wù)是在開放的網(wǎng)絡(luò)環(huán)境下進行的,因此要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取,所以保證電子商務(wù)信息的機密性就變得非常重要���。
2.完整性
電子商務(wù)極大地簡化了傳統(tǒng)貿(mào)易過程,減少了認為的干預(yù),同時也伴隨著貿(mào)易各方商業(yè)信息的完整���、同一問題。由于數(shù)據(jù)錄入時合法或非法的行為,可能導(dǎo)致貿(mào)易數(shù)據(jù)的差異��。信息在傳輸?shù)倪^程中也有可能造成信息的丟失�����、重復(fù)或次序的差異。因此要預(yù)防對信息的各種非法操作,保證數(shù)據(jù)在傳送的過程中完整性����。
3.認證性
網(wǎng)絡(luò)環(huán)境是一個虛擬的環(huán)境,而電子商務(wù)就是在這個虛擬平臺上進行的,貿(mào)易雙方一般都不見面,需要一些技術(shù)和策略來進行身份確認。當個人或?qū)嶓w聲稱身份時,電子商務(wù)服務(wù)需要提供一種方式來進行身份認證����。
4.有效性
在交易的過程中貿(mào)易雙方需要確定很多信息,電子商務(wù)以電子形式取代了紙張來確認這此信息,保證謝謝信息的有效性是開展電子商務(wù)的前提。因此要對網(wǎng)絡(luò)故障�����、硬件故障�����、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時刻和地點是有效的�。
二���、電子商務(wù)網(wǎng)絡(luò)的安全隱患
1.竊取信息
(1)交易雙方進行交易的內(nèi)容被第三方竊取�����。(2)交易一方提供給另一方使用的文件被第三方非法使用��。
2.篡改信息
電子的交易信息在網(wǎng)絡(luò)傳輸?shù)倪^程中,可能被他人非法的修改��、刪除這樣就使信息失去了真實性和完整性�。
3.假冒
第三方可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息,有可能假冒一方的信謄或盜取被假冒一方的交易成果等。
4.惡意破壞
由于攻擊者可以接入網(wǎng)絡(luò),則可能對網(wǎng)絡(luò)中的信息進行修改,掌握網(wǎng)上的機要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部,破壞網(wǎng)絡(luò)的硬件或軟件而導(dǎo)致交易信息傳遞丟失與謬誤����。計算機網(wǎng)絡(luò)本身容易遭到一些惡意程序的破壞,而使電子商務(wù)信息遭到破壞。
三�����、電子商務(wù)安全中的幾種技術(shù)手段
1.防火墻(FireWall)技術(shù)
防火墻是一種隔離控制技術(shù),在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障,阻止對信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出����。
2.加密技術(shù)
數(shù)據(jù)加密技術(shù)是電子商務(wù)中采取的主要安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式:對稱加密和非對稱加密,采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng),而不能簡單地根據(jù)其加密強度來做出判斷��。
(1)對稱加密
在對稱加密方法中,對信息的加密和解密都使用相同的密鑰����。也就是說,一把鑰匙開一把鎖。這種加密算法可簡化加密處理過程,貿(mào)易雙方都不必彼此研究和交換專用的加密算法,如果進行通信的貿(mào)易方能夠確保私有密鑰在交換階段未曾泄露,那么機密性和報文完整性就可以得到保證。不過,對稱加密技術(shù)也存在一些不足,如果某一貿(mào)易方有n個貿(mào)易關(guān)系,那么他就要維護n個私有密鑰���。對稱加密方式存在的另一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方�����。因為貿(mào)易雙方共享一把私有密鑰����。目前廣泛采用的對稱加密方式是數(shù)據(jù)加密標準(DES),它主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域����。DES對64位二進制數(shù)據(jù)加密,產(chǎn)生64位密文數(shù)據(jù)。使用的密鑰為64位,實際密鑰長度為56位(8位用于奇偶校驗)����。解密時的過程和加密時相似,但密鑰的順序正好相反。
(2)非對稱加密/公開密鑰加密
在Internet中使用更多的是公鑰系統(tǒng),即公開密鑰加密�����。在該體系中,密鑰被分解為一對:公開密鑰PK和私有密鑰SK�。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開,而另一把則作為私有密鑰(解密密鑰)加以保存�����。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能由生成密鑰對的貿(mào)易方掌握,公開密鑰可廣泛,但它只對應(yīng)于生成該密鑰的貿(mào)易方。在公開密鑰體系中,加密算法E和解密算法D也都是公開的�。雖然SK與PK成對出現(xiàn),但卻不能根據(jù)PK計算出SK。
常用的公鑰加密算法是RSA算法,加密強度很高����。具體做法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來。發(fā)送方在發(fā)送數(shù)據(jù)時必須加上數(shù)字簽名,做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名,然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密����。這些密文被接收方收到后,接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名,然后用方公布的公鑰對數(shù)字簽名進行解密,如果成功,則確定是由發(fā)送方發(fā)出的。由于加密強度高,而且不要求通信雙方事先建立某種信任關(guān)系或共享某種秘密,因此十分適合Internet網(wǎng)上使用���。
3.數(shù)字簽名
數(shù)字簽名技術(shù)是實現(xiàn)交易安全核心技術(shù)之一,它實現(xiàn)的基礎(chǔ)就是加密技術(shù)��。以往的書信或文件是根據(jù)親筆簽名或印章來證明其真實性的����。但在計算機網(wǎng)絡(luò)中傳送的報文又如何蓋章呢?這就是數(shù)字簽名所要解決的問題��。數(shù)字簽名必須保證以下幾點:接收者能夠核實發(fā)送者對報文的簽名;送者事后不能抵賴對報文的簽名;接收者不能偽造對報文的簽名?�,F(xiàn)在己有多種實現(xiàn)數(shù)字簽名的方法,采用較多的就是公開密鑰算法��。
4.數(shù)字證書
(1)認證中心
在電子交易中,數(shù)字證書的發(fā)放不是靠交易雙方來完成的,而是由具有權(quán)威性和公正性的第三方來完成的。認證中心就是承擔網(wǎng)上安全電子交易認證服務(wù)�、簽發(fā)數(shù)字證書并確認用戶身份的服務(wù)機構(gòu)。
(2)數(shù)字證書
數(shù)字證書是用電子手段來證實一個用戶的身份及他對網(wǎng)絡(luò)資源的訪問權(quán)限��。在網(wǎng)上的電子交易中,如雙方出示了各自的數(shù)字證書,并用它來進行交易操作,那么交易雙方都可不必為對方身份的真?zhèn)螕摹?/p>
5.消息摘要(Message Digest)
消息摘要方法也稱為Hash編碼法或MDS編碼法�����。它是由Ron Rivest所發(fā)明的��。消息摘要是一個惟一對應(yīng)一個消息的值�。它由單向Hash加密算法對所需加密的明文直接作用,生成一串128bit的密文,這一串密文又被稱為“數(shù)字指紋”( Finger Print )。所謂單向是指不能被解密,不同的明文摘要成密文,其結(jié)果是絕不會相同的,而同樣的明文其摘要必定是一致的,因此,這串摘要成為了驗證明文是否是“真身”的數(shù)字“指紋”了�����。
結(jié)語:本文分析了目前電子商務(wù)的安全需求,使用的安全技術(shù)及仍存在的問題,并指
出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點,但必須強調(diào)說明的是,電子商務(wù)的安全運行,僅從技術(shù)角度防范是遠遠不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題,從而引導(dǎo)和促進我國電子商務(wù)快速健康發(fā)展���。
參考文獻:
[1] 吳洋.電子商務(wù)安全方法研究[D].天津大學(xué), 2006.
[2] 李艷.電子商務(wù)信息安全策略研究[J].甘肅科技, 2005,(06)
[3] 成衛(wèi)青,龔儉.網(wǎng)絡(luò)安全評估[J].計算機工程, 2003,(02).
[4]大衛(wèi)·范胡斯.電子商務(wù)經(jīng)濟學(xué)[M].北京:機械工業(yè)出版社,2003.
[5]楊善林.電子商務(wù)概論[M].北京:機械工業(yè)出版社,2003.
[6]劉麗梅. 電子商務(wù)信息安全問題探討[J ] . 物流科技,2007 ,3
篇6
1����、加密解密技術(shù)
密碼是通信雙方按約定的法則進行信息特殊變換的一種重要保密手段�����。依照這些法則����,變明文為密文,稱為加密變換���;變密文為明文��,稱為脫密變換����。密碼在早期僅對文字或數(shù)碼進行加�����、脫密變換����,隨著通信技術(shù)的發(fā)展,對語音�、圖像、數(shù)據(jù)等都可實施加���、脫密變換����。進行明密變換的法則,稱為密碼的體制����。指示這種變換的參數(shù),稱為密鑰����。它們是密碼編制的重要組成部分。密碼體制的基本類型可以分為四種:錯亂———按照規(guī)定的圖形和線路�����,改變明文字母或數(shù)碼等的位置成為密文�;代替———用一個或多個代替表將明文字母或數(shù)碼等代替為密文;密本———用預(yù)先編定的字母或數(shù)字密碼組�,代替一定的詞組單詞等變明文為密文;加亂———用有限元素組成的一串序列作為亂數(shù)���,按規(guī)定的算法����,同明文序列相結(jié)合變成密文����。以上四種密碼體制,既可單獨使用��,也可混合使用���,以編制出各種復(fù)雜度很高的實用密碼�。具體的數(shù)據(jù)加密流程如圖1所示:首先�����,發(fā)送方Tom準備好要加密的數(shù)據(jù)信息���,然后利用加密密鑰通過一定的加密算法����,將明文數(shù)據(jù)轉(zhuǎn)換成密文���,而在信道上傳輸?shù)木褪敲芪臄?shù)據(jù)�,當接收方Alice接收到Tom發(fā)送過來的密文后��,再用自己的密鑰(可能與加密密鑰相同���,也可能不同�����,這取決于加密體制)通過解密算法變換出明文信息��,此明文信息即為Tom所要發(fā)送的信息���,至此��,一次信息傳遞結(jié)束���,如圖1所示。在密碼體制中�,一般分兩種類型,分別是對稱密碼體制和非對稱密碼體制��,這是根據(jù)密鑰的形式來劃分的�,其中非對稱密碼體制又叫公鑰密碼體制。
1.1對稱加密技術(shù)
在對稱加密方法中�,對信息的加密和解密都使用相同的密鑰[1]。也就是說�,一把鑰匙開一把鎖。使用對稱加密方法將簡化加密的處理,每個貿(mào)易方都不必彼此研究和交換專用的加密算法�����,而是采用相同的加密算法并只交換共享的專用密鑰��。如果進行通信的貿(mào)易方能夠確保專用密鑰在密鑰交換階段未曾泄露�,那么機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)�。對稱加密技術(shù)存在著在通信的貿(mào)易方之間確保密鑰安全交換的問題。此外����,當某一貿(mào)易方有n個貿(mào)易關(guān)系,那么他就要維護n個專用密鑰(即每把密鑰對應(yīng)一貿(mào)易方)����。對稱加密方式存在的另一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因為貿(mào)易雙方共享同一把專用密鑰����,貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。
1.2非對稱加密技術(shù)非對稱加密體制又被稱為公鑰加密體制�����,在這種體制中���,密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)�。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為專用密鑰(解密密鑰)加以保存�����。公開密鑰用于對機密性的加密�,專用密鑰則用于對加密信息的解密。專用密鑰只能由生成密鑰對的貿(mào)易方掌握����,公開密鑰可廣泛,但它只對應(yīng)于生成該密鑰的貿(mào)易方����。貿(mào)易方利用該方案實現(xiàn)機密信息交換的基本過程是:貿(mào)易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易方乙使用該密鑰對機密信息進行加密后再發(fā)送給貿(mào)易方甲���;貿(mào)易方甲再用自己保存的另一把專用密鑰對加密后的信息進行解密��。貿(mào)易方甲只能用其專用密鑰解密由其公開密鑰加密后的任何信息���。
2、數(shù)字簽名技術(shù)
數(shù)字簽名是公開密鑰加密技術(shù)的另一類應(yīng)用。它的主要方式是:報文的發(fā)送方從報文文本中生成一個128位的散列值(或報文摘要)�����。發(fā)送方用自己的專用密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名��。然后�,這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要)����,接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密�。如果兩個散列值相同,那么接收方就能確認該數(shù)字簽名是發(fā)送方的��。實現(xiàn)過程可形象的表示成如圖2所示[2,3]:數(shù)字簽名的產(chǎn)生和驗證過程:
1.Alice產(chǎn)生文件的單向散列值���。
2.Alice用她的私人密鑰對散列加密��,以此表示對文件的簽名�。
3.Alice將文件和散列簽名送給Bob���。
4.Bob用Alice發(fā)送的文件產(chǎn)生文件的單向散列值��,同時用Alice的公鑰對簽名的散列解密�。如果簽名的散列值與自己產(chǎn)生的散列值匹配,簽名是有效的��。數(shù)字簽名具有以下特性:
1.完整性����。因為它提供了一項用以確認電子文件完整性的技術(shù)和方法,可認定文件為未經(jīng)更改的原件���。
2.可驗證性����?��?梢源_認電子文件之來源����。由于發(fā)件人以私鑰產(chǎn)生的電子簽章惟有發(fā)件人的私鑰對應(yīng)的公鑰方能解密�����,故可確認文件之來源���。
3.不可否認性����。由于只有發(fā)文者擁有私鑰,所以其無法否認該電子文件非由其所發(fā)送����。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。
篇7
一����、電子商務(wù)存在的安全問題
由于電子商務(wù)是以信息技術(shù)和計算機網(wǎng)絡(luò)為基礎(chǔ)的,與傳統(tǒng)商務(wù)比較�����,它不可避免的面臨著一系列的安全問題���。
1.信息泄漏
在電子商務(wù)中表現(xiàn)為商業(yè)機密的泄漏,主要包括兩個方面:交易雙方進行交易的內(nèi)容被第三方竊?����?��;交易一方提供給另一方使用的文件被第三方非法使用��。攻擊者主要通過截獲和竊取的方式造成信息泄漏����。
2.篡改
在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實性和完整性的問題。當攻擊者掌握了信息的格式和規(guī)律后�����,通過各種技術(shù)手段和方法�,將網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)在中途篡改,然后再發(fā)向目的地��,破壞數(shù)據(jù)的真實性和完整性���。
3.偽造
由于掌握了數(shù)據(jù)的格式�����,并可以篡改通過的信息���,如果不進行身份識別,攻擊者就有可能假冒交易一方的身份���,以破壞交易���、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等����。
4.信用威脅
交易者否認參加過交易��,如買方提交訂單后不付款�����,或者輸入虛假銀行資料使賣方不能提款��;用戶付款后����,賣方?jīng)]有把商品發(fā)送到客戶手中,使客戶蒙受損失�����。
5.電腦病毒
電腦病毒問世十幾年來���,各種新型病毒及其變種迅速增加���,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播途徑��,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快�,動輒造成數(shù)百億美元的經(jīng)濟損失。
二�����、電子商務(wù)安全要素
安全問題是企業(yè)應(yīng)用電子商務(wù)最擔心的問題��,而如何保障電子商務(wù)活動的安全���,將一直是電子商務(wù)的核心研究領(lǐng)域�����。作為一個安全的電子商務(wù)系統(tǒng)�,首先必須具有一個安全���、可靠的通信網(wǎng)絡(luò)��,以保證交易信息安全�����、迅速地傳遞����;其次必須保證數(shù)據(jù)庫服務(wù)器絕對安全,防止黑客闖入網(wǎng)絡(luò)盜取信息����。下面介紹電子商務(wù)涉及的安全要素.
1.有效性
電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽��。因此,要對網(wǎng)絡(luò)故障�����、操作錯誤�����、應(yīng)用程序錯誤����、硬件故障��、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的�。
2.機密性
電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密��。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的,維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障���。
3.完整性
電子商務(wù)簡化了貿(mào)易過程,減少了人為的干預(yù),同時也帶來維護貿(mào)易各方商業(yè)信息的完整��、統(tǒng)一的問題�����。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)���。
4.可靠性
電子商務(wù)直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進行交易的貿(mào)易方是保證電子商務(wù)順利進行的關(guān)鍵。要在交易信息的傳輸過程中為參與交易的個人���、企業(yè)或國家提供可靠的標識�����。
5.即需性
即需性是防止延遲或拒絕服務(wù)�����,即需安全威脅的目的就在于破壞正常的計算機處理或完全拒絕服務(wù)�����。在電子商務(wù)中��,延遲一個消息或消除它會帶來災(zāi)難性的后果���。
6.身份認證
指交易雙方可以相互確認彼此的真實身份�����,確認對方就是本次交易中所稱的真正交易方��。這一過程為授權(quán)和審計所必需�,也是實現(xiàn)授權(quán)�、審計的訪問控制過程運行的前提,是計算機網(wǎng)絡(luò)安全系統(tǒng)不可缺少的組成部分�。
7.審查能力
根據(jù)機密性和完整性的要求,應(yīng)對數(shù)據(jù)審查的結(jié)果進行記錄。審查能力是指每個經(jīng)授權(quán)的用戶的活動的唯一標識和監(jiān)控�����,以便對其所使用的操作內(nèi)容進行審計和跟蹤。
三����、電子商務(wù)交易安全技術(shù)
由于電子商務(wù)活動所涉及的大量機密信息都必須通過網(wǎng)絡(luò)傳播�,并且以電子數(shù)據(jù)的形式存儲,要求有完善的安全技術(shù)來保證電子商務(wù)交易的安全�。目前,電子商務(wù)過程中主要采用的安全技術(shù)有加密技術(shù)����、認證技術(shù)和安全認證協(xié)議。
1.加密技術(shù)
加密技術(shù)是一種主動的信息安全防范措施����,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文���,阻止非法用戶理解原始數(shù)據(jù)�����,從而確保數(shù)據(jù)的保密性�����。在加密和解密的過程中����,由加密者和解密者使用的加解密可變參數(shù)叫做密鑰。目前����,獲得廣泛應(yīng)用的兩種加密技術(shù)是對稱密鑰加密體制和非對稱密鑰加密體制。
2.認證技術(shù)
安全認證的主要作用是進行信息認證。主要包括安全認證技術(shù)和安全認證機構(gòu)兩個方面。安全認證技術(shù)主要有數(shù)字摘要���、數(shù)字信封、數(shù)字簽名、數(shù)字時間戳��、數(shù)字證書等��;電子商務(wù)認證中心就是承擔網(wǎng)上安全交易認證服務(wù)����,能簽發(fā)數(shù)字證書�,并能確認用戶身份的服務(wù)機構(gòu)。
3.安全認證協(xié)議
目前電子商務(wù)中有兩種安全認證協(xié)議被廣泛使用���,即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議���。SSL協(xié)議一般服務(wù)于銀行對企業(yè)或企業(yè)對企業(yè)的電子商務(wù)��。SET協(xié)議位于應(yīng)用層���,用來保證互聯(lián)網(wǎng)上銀行卡支付交易安全性。所以SET一般服務(wù)于持卡消費�����、網(wǎng)上購物的電子商務(wù)��。
篇8
1.信息有效性���、真實性
電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務(wù)的前提��。電子商務(wù)作為貿(mào)易的一種形式���,其信息的有效性和真實性將直接關(guān)系到個人��、企業(yè)或國家的經(jīng)濟利益和聲譽�����。
2.信息機密性
電子商務(wù)作為貿(mào)易的一種手段�,其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密�����。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的���。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的�,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障�。
3.信息完整性
電子商務(wù)簡化了貿(mào)易過程,減少了人為的干預(yù)���,同時也帶來維護商業(yè)信息的完整����、統(tǒng)一的問題����。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導(dǎo)致貿(mào)易各信息的差異�����。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸����、存儲及電子商務(wù)完整性檢查的正確和可靠。
4.信息可靠性��、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^�����;不可抵賴性要求即是能建立有效的責(zé)任機制��,防止實體否認其行為�;可鑒別性要求即是能控制使用資源的人或?qū)嶓w的使用方式����。
5.系統(tǒng)的可靠性
電子商務(wù)系統(tǒng)是計算機系統(tǒng),其可靠性是防止計算機失效�、程序錯誤、傳輸錯誤�、自然災(zāi)害等引起的計算機信息失誤或失效。
二�、電子商務(wù)的信息安全技術(shù)
1.數(shù)據(jù)加密技術(shù)
加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式,即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)���。面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層����,使用經(jīng)過加密的數(shù)據(jù)包傳送、認證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息��,從而保證網(wǎng)絡(luò)的連通性和可用性不受損害��。面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法��,這一類加密技術(shù)的優(yōu)點在于實現(xiàn)相對較為簡單���,不需要對電子信息(數(shù)據(jù)包)所經(jīng)過的網(wǎng)絡(luò)的安全性能提出特殊要求�����,對電子郵件數(shù)據(jù)實現(xiàn)了端到端的安全保障����。
1)電子商務(wù)領(lǐng)域常用的加密技術(shù)數(shù)字摘要(digitaldigest)
這一加密方法亦稱安全Hash編碼法��,由RonRivest所設(shè)計�。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文,這一串密文亦稱為數(shù)字指紋(FingerPrint)���,它有固定的長度�,且不同的明文摘要成密文,其結(jié)果總是不同的�����,而同樣的明文其摘要必定一致���。這樣這串摘要便可成為驗證明文是否是“真身”的“指紋”了���。
數(shù)字簽名(digitalsignature)
數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來使用��。主要方式是報文的發(fā)送方從報文文本中生成一個128位的散列值(或報文摘要)����,用自己的私有密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名�。然后,這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方���。報文的接收方首先從接收到的原始報文中計算出128位的散列值���,接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密��,如果兩個散列值相同����,那么接收方就能確認該數(shù)字簽名是發(fā)送方的�,通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別。概括的說�����,簽名的作用有兩點����,一是因為自己的簽名難以否認,從而確認了文件已簽署這一事實��;二是因為簽名不易仿冒�����,從而確定了文件是真的這一事實���。
數(shù)字時間戳(digitaltime-stamp)交
易文件中��,時間是十分重要的信息���。在電子交易中���,需對交易文件的日期和時間信息采取安全措施,而數(shù)字時間戳服務(wù)(DTS)就能提供電子文件發(fā)表時間的安全保護�����。時間戳(time-stamp)是一個經(jīng)加密后形成的憑證文檔��,它包括三個部分:需加時間戳的文件的摘要(digest)����;DTS收到文件的日期和時間;DTS的數(shù)字簽名���。
數(shù)字證書(digitalcertificate,digitalID)數(shù)字證書又稱為數(shù)字憑證���,是用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問的權(quán)限。目前��,最有效的認證方式是由權(quán)威的認證機構(gòu)為參與電子商務(wù)的各方發(fā)放證書��,證書作為網(wǎng)上交易參與各方的身份識別����,就好象每個公民都用身份證來證明身份一樣。認證中心作為電子商務(wù)交易中受信任的第三方�,承擔公鑰體系中公鑰的合法性檢驗的責(zé)任,是一個負責(zé)發(fā)放和管理數(shù)定證書的權(quán)威機構(gòu)�。因而網(wǎng)絡(luò)中所有用戶可以將自己的公鑰交給這個中心,并提供自己的身份證明信息���,證明自己是相應(yīng)公鑰的擁有者���,認證中心審查用戶提供的信息后,如果確認用戶是合法的�,就給用戶一個數(shù)字證書。這樣��,每個成員只需和認證中心打交道�,就可以查到其他成員的公鑰信息了。對于在網(wǎng)上進行交易的雙方來說���,數(shù)字證書對他們之間建立信任是至關(guān)重要的�����。數(shù)字憑證有三種類型:個人憑證��、企業(yè)(服務(wù)器)憑證�����、軟件(開發(fā)者)憑證����;大部分認證中心提供前兩類憑證。
2.身份認證技術(shù)
為解決Internet的安全問題�,初步形成了一套完整的Internet安全解決方案,即被廣泛采用的公鑰基礎(chǔ)設(shè)施(PKI)體系結(jié)構(gòu)�。PKI體系結(jié)構(gòu)采用證書管理公鑰,通過第三方的可信機構(gòu)CA�����,把用戶的公鑰和用戶的其他標識信息(如名稱���、e-mail�����、身份證號等)捆綁在一起�,在Internet網(wǎng)上驗證用戶的身份���,PKI體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來����,在Internet網(wǎng)上實現(xiàn)密鑰的自動管理�,保證網(wǎng)上數(shù)據(jù)的機密性、完整性����。
1)認證系統(tǒng)的基本原理
利用RSA公開密鑰算法在密鑰自動管理、數(shù)字簽名�����、身份識別等方面的特性�,可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統(tǒng)。這個可信的第三方認證系統(tǒng)也稱為CA����,CA為用戶發(fā)放電子證書,用戶之間利用證書來保證信息安全性和雙方身份的合法性����。
2)認證系統(tǒng)結(jié)構(gòu)
整個系統(tǒng)是一個大的網(wǎng)絡(luò)環(huán)境�����,系統(tǒng)從功能上基本可以劃分為CA����、RA和WebPublisher�����。
核心系統(tǒng)跟CA放在一個單獨的封閉空間中���,為了保證運行的絕對安全���,其人員及制度都有嚴格的規(guī)定,并且系統(tǒng)設(shè)計為一離線網(wǎng)絡(luò)�。CA的功能是在收到來自RA的證書請求時,頒發(fā)證書��。
證書的登記機構(gòu)RegisterAuthority����,簡稱RA,分散在各個網(wǎng)上銀行的地區(qū)中心����。RA與網(wǎng)銀中心有機結(jié)合��,接受客戶申請��,并審批申請,把證書正式請求通過建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心�����。
證書的公布系統(tǒng)WebPublisher����,簡稱WP,置于Internet網(wǎng)上����,是普通用戶和CA直接交流的界面。對用戶來講它相當于一個在線的證書數(shù)據(jù)庫�����。用戶的證書由CA頒發(fā)之后���,CA用E-mail通知用戶�,然后用戶須用瀏覽器從這里下載證書。
3.網(wǎng)上支付平臺及支付網(wǎng)關(guān)
網(wǎng)上支付平臺分為CTEC支付體系(基于CTCA/GDCS)和SET支付體系(基于CTCA/SET)�。網(wǎng)上支付平臺支付型電子商務(wù)業(yè)務(wù)提供各種支付手段,包括基于SET標準的信用卡支付方式�、以及符合CTEC標準的各種支付手段。
支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間�����,其主要功能為:將公網(wǎng)傳來的數(shù)據(jù)包解密�����,并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包���;接收銀行系統(tǒng)內(nèi)部的傳回來的響應(yīng)消息���,將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式,并對其進行加密�����。此外�,支付網(wǎng)關(guān)還具有密鑰保護和證書管理等其它功能。
三�、電子商務(wù)信息安全中的其它問題
1.內(nèi)部安全
最近的調(diào)查表明�,至少有75%的信息安全問題來自內(nèi)部�����,在信用卡和商業(yè)詐騙中���,內(nèi)部人員所占的比例最大��;
2.惡意代碼
它們將繼續(xù)對所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅,并且����,其數(shù)量將隨著Internet的發(fā)展和編程環(huán)境的豐富而增多,擴散起來也更加便利���,因此���,造成的破壞也就越大;
3.可靠性差
目前����,Internet主干網(wǎng)和DNS服務(wù)器的可靠性還遠遠不能滿足人們的要求,而絕大
部分撥號PPP連接質(zhì)量并不可靠����,且速度很慢�;
4.技術(shù)人才短缺
由于Internet和網(wǎng)絡(luò)購物都是在近幾年得到了迅猛的發(fā)展�,因而,許多地方都缺乏足夠的技術(shù)人才來處理其中遇到的各種問題����,尤其是網(wǎng)絡(luò)購物具有24x7(每天24小時,每周7天都能工作)的要求���,因而迫切需要有一大批專業(yè)技術(shù)人員對其進行管理����。如果說加密技術(shù)是電子交易安全的“硬件”�,那么人才問題則可以說是“軟件”。從某種意義上講����,軟件的問題解決起來可能更不容易,因此����,技術(shù)人才的短缺可能成為阻礙網(wǎng)絡(luò)購物發(fā)展的一個重要因素。
5.Web服務(wù)器的保護意識差
在交易過程中對數(shù)據(jù)進行保護只是保證交易安全的一個方面。由于交易的信息均存儲在服務(wù)器上��,因此���,即使保密信息被客戶端接收之后���,也必須對存儲在服務(wù)器中的數(shù)據(jù)進行保護。目前���,Web服務(wù)器是黑客們最喜歡攻擊的目標�。因此�,建議盡量不要將Web服務(wù)和連接到任何內(nèi)部網(wǎng)絡(luò),而且要定期對數(shù)據(jù)進行備份�,以便于服務(wù)器被攻擊之后對數(shù)據(jù)進行恢復(fù)�����。當然�,這畢竟有些不太現(xiàn)實,現(xiàn)在許多流行的Web應(yīng)用都需要Web服務(wù)器與公司的數(shù)據(jù)庫進行交互式操作���,這就要求服務(wù)器必須與公司內(nèi)部網(wǎng)絡(luò)相連���,而這個連接也就成為黑客們從Web站點侵入企業(yè)內(nèi)部網(wǎng)絡(luò)的一條通路����。雖然防火墻技術(shù)有助于對web站點進行保護���,但商家卻很少安裝防火墻或?qū)ζ淙狈τ行У木S護���,因而沒有對Web服務(wù)器進行很好的保護,這是商家的Web站點尤其要引起注意的地方��。
四�����、與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論
1.SSL協(xié)議(SecureSocketsLayer)安全套接層協(xié)議———面向連接的協(xié)議�����。
SSL協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性�����,它不能保證信息的不可抵賴性�����,主要適用于點對點之間的信息傳輸,常用WebServer方式����。但它是一個面向連接的協(xié)議,在涉及多方的電子交易中���,只能提供交易中客戶與服務(wù)器間的雙方認證��,而電子商務(wù)往往是用戶�、網(wǎng)站��、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系���。
2.SET協(xié)議(SecureElectronicTransaction)安全電子交易———專門為電子商務(wù)而設(shè)計的協(xié)議����。由于SET提供了消費者����、商家和銀行之間的認證���,確保了交易數(shù)據(jù)的安全性����、完整可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優(yōu)點����,因此它成為了目前公認的信用卡/借記卡的網(wǎng)上交易的國際安全標準。雖然它在很多方面優(yōu)于SSL協(xié)議���,但仍然不能解決電子商務(wù)所遇到的全部問題�。
結(jié)束語
本文分析了目前電子商務(wù)的安全需求����,使用的安全技術(shù)及仍存在的問題,并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點�����,但必須強調(diào)說明的是�,電子商務(wù)的安全運行,僅從技術(shù)角度防范是遠遠不夠的�,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題�,從而引導(dǎo)和促進我國電子商務(wù)快速健康發(fā)展�。
[摘要]電子商務(wù)對人類社會經(jīng)濟產(chǎn)生了重大影響�����,在創(chuàng)造巨大經(jīng)濟效益的同時���,也從根本上改變了整個社會商務(wù)活動發(fā)展進程�。我國電子商務(wù)在曲折進程中�,已有很大程度的發(fā)展,同時也存在諸多問題。本文客觀地分析了電子商務(wù)的安全需求���、安全技術(shù)發(fā)展現(xiàn)狀及存在的問題�����,對加快電子商務(wù)的發(fā)展步伐提出了一些重要思考����。
[關(guān)鍵詞]電子商務(wù)�����;安全需求���;安全技術(shù)���;
[參考文獻]
①姚立新,新世紀商務(wù):電子商務(wù)的知識發(fā)展與運作�����,中國發(fā)展出版社�����,1999年��。
②《中國電子商務(wù)年鑒》2003卷�����。
③陳海濱����,企業(yè)電子營銷發(fā)展對策淺析,湖南大學(xué)學(xué)報��,2001年��。
