電子商務(wù)的安全論文

　　電子商務(wù)安全論文【1】

　　【摘 要】電子商務(wù)安全是電子商務(wù)活動(dòng)的基礎(chǔ)和關(guān)鍵。文章從電子商務(wù)所面臨的安全威脅入手，提出了開(kāi)展電子商務(wù)活動(dòng)必須滿足的安全需求，最后探討了電子商務(wù)安全解決方案及其實(shí)現(xiàn)技術(shù)。

　　【關(guān)鍵詞】電子商務(wù)安全;加密;數(shù)字簽名;認(rèn)證;協(xié)議

　　隨著網(wǎng)絡(luò)通信技術(shù)的迅猛發(fā)展和Internet的不斷普及，電子商務(wù)作為一種新型的商務(wù)模式，在全球范圍內(nèi)正以驚人的速度迅猛發(fā)展。然而由于它是基于Internet開(kāi)展的商務(wù)活動(dòng)，大量重要的信息都需要在互聯(lián)網(wǎng)上進(jìn)行傳遞，尤其還涉及到資金的流動(dòng)，必然要求傳遞信息的過(guò)程足夠安全。因此如何保障交易過(guò)程和傳遞信息的安全性就成為影響電子商務(wù)發(fā)展的一個(gè)至關(guān)重要的問(wèn)題，也是技術(shù)難點(diǎn)。

　　一、電子商務(wù)的安全威脅

　　電子商務(wù)是基于網(wǎng)絡(luò)信息傳輸?shù)�，依靠從信息終端之間信息的傳遞完成商務(wù)交易。與傳統(tǒng)商務(wù)的面對(duì)面交易不同，電子商務(wù)的安全就是要確保這些信息的傳遞是穩(wěn)定的、完整的、可靠的、保密的，是反映信息發(fā)送者的真實(shí)意愿的。而威脅互聯(lián)網(wǎng)安全的因素很多。

　　1.截獲

　　攻擊者獲取了對(duì)資源的訪問(wèn)權(quán)，這是對(duì)機(jī)密性的攻擊。例如，在網(wǎng)絡(luò)上搭線或安裝電磁波截獲裝置以獲取銀行賬號(hào)、用戶密碼等有用數(shù)據(jù)。

　　2.篡改

　　攻擊者不僅獲得了訪問(wèn)權(quán)而且篡改了某些資源，這是對(duì)完整性的攻擊。例如，修改資金額度、貨物數(shù)量、商品價(jià)格等交易信息。

　　3.偽造

　　攻擊者將偽造的對(duì)象插入系統(tǒng)，這是對(duì)真實(shí)性的攻擊。例如，冒充合法用戶進(jìn)行交易，給合法用戶造成損失。

　　4.否認(rèn)或抵賴

　　商家或用戶否認(rèn)自己曾經(jīng)發(fā)送或接收到信息，這是對(duì)不可抵賴性的攻擊。例如，合法用戶可能會(huì)賴賬，商家也有可能因?yàn)樯唐穬r(jià)格差而不承認(rèn)原有交易。

　　二、電子商務(wù)的安全需求

　　在電子商務(wù)面臨上述安全隱患的情況下，要在因特網(wǎng)中建立并維持一個(gè)令人可以信任的環(huán)境和機(jī)制，也為了保障交易各方的合法權(quán)益，需要滿足以下幾個(gè)方面的安全需求。

　　1.信息的機(jī)密性

　　信息的機(jī)密性或稱保密性是指信息在網(wǎng)絡(luò)上傳送或存儲(chǔ)的過(guò)程中不被他人竊取、不被泄露或披露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過(guò)加密偽裝后，使未經(jīng)授權(quán)者無(wú)法了解其內(nèi)容。機(jī)密性可用加密和信息隱匿技術(shù)實(shí)現(xiàn)，使截獲者不能解讀加密信息的內(nèi)容。機(jī)密性的另一方面是保護(hù)通信流特性以防止被分析。

　　2.信息的完整性

　　信息的完整性或稱正確性是保護(hù)數(shù)據(jù)不被偽授權(quán)者修改、建立、嵌入、刪除、重復(fù)傳送或由于其他的原因使原始數(shù)據(jù)被更改。在存儲(chǔ)時(shí)，要防止非法篡改，防止網(wǎng)站上的信息被破壞。在傳輸過(guò)程中，如果接收方收到的信息與發(fā)送方的信息完全一樣則說(shuō)明在傳輸過(guò)程中信息沒(méi)有遭到破壞，具有完整性。針對(duì)信息的完整性，目前的主要措施是通過(guò)散列算法(也稱消息摘要算法)來(lái)檢查信息的完整性。

　　3.商務(wù)對(duì)象的認(rèn)證性

　　商務(wù)對(duì)象的認(rèn)證性是指網(wǎng)絡(luò)兩端的使用者在溝通之前相互確認(rèn)對(duì)方的身份，保證身份的正確性。分辨參與者聲稱身份的真?zhèn)�，防止偽裝攻擊。認(rèn)證性采用由認(rèn)證中心向各交易主體發(fā)放數(shù)字證書(shū)并進(jìn)行驗(yàn)證。

　　4.信息的不可抵賴性

　　信息的不可抵賴性是指信息的發(fā)送方不能否認(rèn)已發(fā)送的信息，信息的接受方不能否認(rèn)已收到的信息。這是一種法律有效性要求。交易一旦達(dá)成是不能被否認(rèn)的。否則必然會(huì)損害一方的利益。目前的主要措施是采用數(shù)字簽名技術(shù)。

　　三、電子商務(wù)安全技術(shù)

　　1.加密技術(shù)

　　加密技術(shù)是電子商務(wù)的最基本信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成難以識(shí)別和理解的密文并進(jìn)行傳輸，從而確保數(shù)據(jù)的機(jī)密。主要有對(duì)稱加密技術(shù)、非對(duì)稱加密技術(shù)和數(shù)字信封技術(shù)。

　　(1)對(duì)稱加密技術(shù)

　　對(duì)稱加密技術(shù)，即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)，也就是說(shuō)加密和解密用同一個(gè)密鑰。它要求發(fā)送方、接收方在安全通信之前，商定一個(gè)密鑰，對(duì)稱密鑰算法的安全性依賴于密鑰，泄露密鑰就意味著任何人都能對(duì)消息進(jìn)行加、解密。

　　只要通信需要保密，密鑰就必須保密。它的最大優(yōu)勢(shì)是加、解密速度快，便于用硬件實(shí)現(xiàn)、適合于對(duì)大數(shù)據(jù)量進(jìn)行加密等，但密鑰管理困難。

　　(2)非對(duì)稱加密技術(shù)

　　非對(duì)稱加密技術(shù)就是加密和解密所使用的不是同一個(gè)密鑰，通常有兩個(gè)密鑰，稱為“公鑰”和“私鑰”。“公鑰”和“私鑰”不能由一個(gè)推出另一個(gè)，但是“公鑰”加密的信息只能由“私鑰”解密，反之亦然。非對(duì)稱密鑰機(jī)制靈活，但加密和解密速度比對(duì)稱密鑰加密慢得多，所以它不適合于對(duì)文件進(jìn)行加密，而只適用于對(duì)少量數(shù)據(jù)進(jìn)行加密。

　　(3)數(shù)字信封技術(shù)

　　鑒于對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)各自的特點(diǎn)，在實(shí)際應(yīng)用中將兩種加密技術(shù)結(jié)合使用，從而獲得對(duì)稱加密技術(shù)的高效性和非對(duì)稱加密技術(shù)的靈活性。這種把對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)結(jié)合使用的技術(shù)稱數(shù)字信封技術(shù)。

　　2.數(shù)字簽名技術(shù)

　　數(shù)字簽名技術(shù)主要解決電子商務(wù)中信息的不可抵賴性問(wèn)題。其工作原理是：將報(bào)文按雙方約定的HASH算法計(jì)算，得到一個(gè)固定位數(shù)的HASH值，在數(shù)學(xué)上保證只要改動(dòng)報(bào)文的任何一位，重新計(jì)算出的HASH值就會(huì)與原值不符。然后把該HASH值用發(fā)送者的私鑰加密，然后將該密文同原報(bào)文一起發(fā)送給接收者，產(chǎn)生的報(bào)文即數(shù)字簽名。

　　接收方收到數(shù)字簽名后，用同樣的HASH算法對(duì)報(bào)文計(jì)算HASH值，然后與用發(fā)送者的公鑰進(jìn)行解密解開(kāi)的HASH值進(jìn)行比較，如相等則說(shuō)明報(bào)文確實(shí)來(lái)自發(fā)送者從而保證了數(shù)據(jù)的真實(shí)性。通過(guò)數(shù)字簽名還能夠?qū)崿F(xiàn)對(duì)原信息的鑒別，從而保證信息在傳輸過(guò)程中的信息完整性和信息發(fā)送方的不可抵賴性。

　　3.認(rèn)證技術(shù)

　　對(duì)數(shù)字簽名和公開(kāi)密鑰加密技術(shù)來(lái)說(shuō)，都會(huì)面臨公鑰的分發(fā)問(wèn)題。這就要求管理公鑰的系統(tǒng)必須是值得信賴的，數(shù)字證書(shū)就是解決這一問(wèn)題的有效方法。它通常是一個(gè)簽名文檔，標(biāo)記特定對(duì)象的公開(kāi)密鑰。

　　由認(rèn)證中心CA簽發(fā)，CA通常是一個(gè)服務(wù)性機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)和管理數(shù)字證書(shū)，是一個(gè)普遍可信的第三方。當(dāng)通信雙方都信任同一個(gè)CA時(shí)，兩者就可以相互得到對(duì)方的公鑰從而能進(jìn)行秘密通信、數(shù)字簽名和認(rèn)證。

　　4.數(shù)字時(shí)間戳技術(shù)

　　在電子商務(wù)交易中，時(shí)間是十分重要的信息。數(shù)字時(shí)間戳服務(wù)DTS就是為電子文件的時(shí)間信息進(jìn)行安全保護(hù)的網(wǎng)上安全服務(wù)項(xiàng)目。時(shí)間戳是經(jīng)過(guò)加密后形成的文檔，它包括三部分內(nèi)容：①需加時(shí)間戳的文件的摘要;②DTS收到文件的日期和時(shí)間;③DTS的數(shù)字簽名。

　　5.與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)

　　(1)SSL-安全套接層協(xié)議

　　SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和加密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。它在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩�性�?/p>

　　SSL協(xié)議獨(dú)立于應(yīng)用層協(xié)議，且被大部分的瀏覽器和Web服務(wù)器所內(nèi)置，便于在電子交易中應(yīng)用，因此，在電子交易中被用來(lái)安全傳送信用卡號(hào)碼。國(guó)際著名的CyberCash信用卡支付系統(tǒng)就支持這種簡(jiǎn)單加密模式，IBM等公司也提供了這種簡(jiǎn)單加密模式的支付系統(tǒng)。

　　但SSL協(xié)議它是一個(gè)面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成，SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。因此，為了實(shí)現(xiàn)更加完善的電子交易，制訂發(fā)布了SET協(xié)議。

　　(2)SET-安全電子交易協(xié)議

　　SET協(xié)議是目前唯一保證信用卡信息能安全可靠地通過(guò)因特網(wǎng)傳輸?shù)男聟f(xié)議。它為在Internet上進(jìn)行安全的電子商務(wù)活動(dòng)提供了一個(gè)開(kāi)放的標(biāo)準(zhǔn)，為Internet上支付交易提供高層的安全和反欺詐保證。

　　SET協(xié)議為基于信用卡進(jìn)行電子交易的應(yīng)用提供了安全措施，保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性。SET是專門(mén)為電子商務(wù)而設(shè)計(jì)的協(xié)議，它在很多方面優(yōu)于SSL協(xié)議，但仍不能解決電子商務(wù)所遇到的全部問(wèn)題。

　　四、結(jié)束語(yǔ)

　　電子商務(wù)安全是電子商務(wù)活動(dòng)的核心，我們要堅(jiān)持引進(jìn)和吸收的原則，組織各方面力量，研制和開(kāi)發(fā)出具有自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)安全和電子商務(wù)安全產(chǎn)品，逐步掌握電子商務(wù)安全的核心技術(shù)，我國(guó)的電子商務(wù)安全現(xiàn)狀一定會(huì)得到極大的改善，從而為我國(guó)電子商務(wù)的發(fā)展創(chuàng)建良好的安全環(huán)境。

　　參考文獻(xiàn)：

　　[1]陳建斌.電子商務(wù)與電子政務(wù)[M].北京:機(jī)械工業(yè)出版社,2008.

　　[2]楊愛(ài)民.電子商務(wù)安全現(xiàn)狀及對(duì)策探討[J].科技資訊,2006(6).

　　[3]張斌.電子商務(wù)中的信息安全[J].晉中師范高等專科學(xué)校學(xué)報(bào),2003(2).

　　電子商務(wù)的安全【2】

　　[摘要] 本文針對(duì)電子商務(wù)中所出現(xiàn)的安全問(wèn)題，分析了電子商務(wù)中常用的安全技術(shù)。

　　[關(guān)鍵詞] 電子商務(wù)信息安全信息加密信息認(rèn)證

　　隨著Internet的迅猛發(fā)展,電子商務(wù)作為一種嶄新的商務(wù)活動(dòng)模式受到了全世界、全社會(huì)的廣泛關(guān)注和吸納。若要電子商務(wù)成功且蓬勃地發(fā)展，則必須提升消費(fèi)者對(duì)交易可靠性的信心，以及增強(qiáng)網(wǎng)絡(luò)對(duì)外來(lái)非法入侵的防護(hù)措施。所以，電子商務(wù)安全是目前電子商務(wù)發(fā)展中，亟待克服且深受矚目的問(wèn)題。

　　一、電子商務(wù)的安全隱患

　　一般來(lái)說(shuō)電子商務(wù)安全中普遍存在著以下幾種隱患:

　　1.竊取信息。由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過(guò)的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過(guò)多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

　　2.篡改信息。當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過(guò)各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類工作。

　　3.假冒。由于掌握了數(shù)據(jù)的格式，并可以篡改通過(guò)的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息，而遠(yuǎn)端用戶通常很難分辨。

　　4.惡意破壞。由于攻擊者可以接入網(wǎng)絡(luò)，則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。

　　二、電子商務(wù)的安全需求

　　電子商務(wù)的安全交易主要保證以下四個(gè)方面：

　　1.信息保密性。交易中的商務(wù)信息均有保密的要求。如信用卡的賬號(hào)和用戶名等不能被他人知悉，因此在信息傳播中一般均有加密的要求。

　　2.交易者身份的確定性。網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認(rèn)對(duì)方的身份，對(duì)商家要考慮客戶端不能是騙子，而客戶也會(huì)擔(dān)心網(wǎng)上的商店是不是一個(gè)玩弄欺詐的黑店。因此能方便而可靠地確認(rèn)對(duì)方身份是交易的前提。

　　3.不可否認(rèn)性。由于商情的千變?nèi)f化，交易一旦達(dá)成是不能被否認(rèn)的。否則必然會(huì)損害一方的利益。因此電子交易通信過(guò)程的各個(gè)環(huán)節(jié)都必須是不可否認(rèn)的。

　　4.不可修改性。交易的文件是不可被修改的，否則也必然會(huì)損害一方的商業(yè)利益。因此電子交易文件也要能做到不可修改，以保障商務(wù)交易的嚴(yán)肅和公正。

　　三、電子商務(wù)安全措施

　　因此要確保交易的安全，必須要有堅(jiān)固的網(wǎng)絡(luò)安全防護(hù)措施(如防護(hù)墻)，以及安全的資訊保密技術(shù)(如加密技術(shù)、數(shù)字簽名及認(rèn)證)的輔助。

　　1.網(wǎng)絡(luò)安全防范措施。在實(shí)施網(wǎng)絡(luò)安全防范措施時(shí)，首先要加強(qiáng)主機(jī)本身的安全，做好安全配置，及時(shí)安裝安全補(bǔ)丁程序，減少漏洞;其次要用各種系統(tǒng)漏洞檢測(cè)軟件定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析，找出可能存在的安全隱患，并及時(shí)加以修補(bǔ);從路由器到用戶各級(jí)建立完善的訪問(wèn)控制措施，安裝防火墻，加強(qiáng)授權(quán)管理和認(rèn)證;利用RAID5等數(shù)據(jù)存儲(chǔ)技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施;對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施。

　　對(duì)在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁�進(jìn)行強(qiáng)度的數(shù)據(jù)加密;安裝防病毒軟件，加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施;建立詳細(xì)的安全審計(jì)日志，以便檢測(cè)并跟蹤入侵攻擊等。

　　2.加密和密鑰管理技術(shù)。加密技術(shù)是保證電子商務(wù)安全的重要手段。許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)，密碼算法利用密鑰來(lái)對(duì)敏感信息進(jìn)行加密，然后把加密好的數(shù)據(jù)和密鑰通過(guò)安全方式發(fā)送給接收者，接收者可利用同樣的算法和傳遞來(lái)的密鑰對(duì)數(shù)據(jù)進(jìn)行解密，從而獲取敏感信息，保證了網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性。

　　3.數(shù)字簽名技術(shù)。數(shù)字簽名可以保證文檔的真實(shí)性與完整性，對(duì)簽字方進(jìn)行約束，防止其抵賴行為，并把文檔與簽名同時(shí)發(fā)送以作為日后查證的依據(jù)，數(shù)字簽名不僅與簽名者的私有密鑰有關(guān)，而且與報(bào)文內(nèi)容相關(guān)。

　　4.認(rèn)證機(jī)構(gòu)和數(shù)字證書(shū)。證書(shū)機(jī)構(gòu)CA是一個(gè)可信的第三方實(shí)體，其主要職責(zé)是保證用戶的真實(shí)性。

　　本質(zhì)上CA的作用同政府機(jī)關(guān)的護(hù)照頒發(fā)機(jī)構(gòu)類似，用于證實(shí)公民的正確身份，而網(wǎng)絡(luò)用戶的電子身份是由CA來(lái)發(fā)布的，也就是說(shuō)他是被CA所信任的，該電子身份就成為數(shù)字證書(shū)。一個(gè)CA系統(tǒng)也可以看成由許多人組成的一個(gè)組織，用于指定網(wǎng)絡(luò)安全策略，并決定組織中的哪些人可以發(fā)給在網(wǎng)絡(luò)上使用的電子身份。

　　5.虛擬專用網(wǎng)(VPN)。這是用于Internet交易的一種專用網(wǎng)絡(luò)，它可以在兩個(gè)系統(tǒng)之間建立安全的信道(或隧道)，用于電子數(shù)據(jù)交換(EDI)。它與信用卡交易和客戶發(fā)送訂單交易不同，因?yàn)樵赩PN中，雙方的數(shù)據(jù)通信量要大得多，而且通信的雙方彼此都很熟悉。

　　這意味著可以使用復(fù)雜的專用加密和認(rèn)證技術(shù)，只要通信的雙方默認(rèn)即可，沒(méi)有必要為所有的VPN進(jìn)行統(tǒng)一的加密和認(rèn)證�，F(xiàn)有的或正在開(kāi)發(fā)的數(shù)據(jù)隧道系統(tǒng)可以進(jìn)一步增加VPN的安全性，因而能夠保證數(shù)據(jù)的保密性和可用性。

　　總之，安全是電子商務(wù)存在和發(fā)展的靈魂。電子商務(wù)的安全問(wèn)題是多層次、多剖面的，并且始終處于動(dòng)態(tài)發(fā)展過(guò)程中，其不安全因素是多方面的。

　　一個(gè)完善的電子商務(wù)系統(tǒng)在保證技術(shù)的前提下，還與國(guó)家法律政策、誠(chéng)信等級(jí)制度、物流部門(mén)密切相關(guān)。電子商務(wù)是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)安全的雙重要求，電子商務(wù)安全的復(fù)雜程度比大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)更高，因此電子商務(wù)安全應(yīng)作為一項(xiàng)工程對(duì)待，而不僅僅是一種解決方案。

【電子商務(wù)的安全論文】相關(guān)文章：

電子商務(wù)安全論文07-22

電子商務(wù)安全論文10-09

電子商務(wù)安全的論文10-09

電子商務(wù)安全技術(shù)論文10-09

電子商務(wù)安全的參考論文10-01

如何保護(hù)電子商務(wù)的安全論文10-08

電子商務(wù)安全問(wèn)題論文10-08

電子商務(wù)安全論文5000字10-01

電子商務(wù)信息安全探究論文10-08