導(dǎo)語(yǔ):在數(shù)字貿(mào)易存在的問(wèn)題的撰寫(xiě)旅程中�����,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文��,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感��,引領(lǐng)您探索更多的創(chuàng)作可能��。
第1篇
關(guān)鍵字:電子商務(wù)�����、安全���、信息、技術(shù)
序言:近年來(lái),隨著因特網(wǎng)的普及日漸迅速,電子交易開(kāi)始融入人們的日常生活中,網(wǎng)上訂貨、網(wǎng)上繳費(fèi)等眾多電子交易方式為人們創(chuàng)造了便利高效的生活方式,越來(lái)越多的人開(kāi)始使用電子商務(wù)網(wǎng)站來(lái)傳遞各種信息,并進(jìn)行各種交易��。電子商務(wù)網(wǎng)站傳遞各種商務(wù)信息依靠的是互聯(lián)網(wǎng),而互聯(lián)網(wǎng)是一個(gè)完全開(kāi)放的網(wǎng)絡(luò),任何一臺(tái)計(jì)算機(jī)�����、任何一個(gè)網(wǎng)絡(luò)都可以與之相連��。它又是無(wú)國(guó)界的,沒(méi)有管理權(quán)威,“是世界唯一的無(wú)政府領(lǐng)地”,因此,網(wǎng)上的安全風(fēng)險(xiǎn)就構(gòu)成了對(duì)電子商務(wù)的安全威脅���。
一�����、電子商務(wù)信息的安全要素
1.機(jī)密性
傳統(tǒng)的貿(mào)易大多是通過(guò)書(shū)信或者可靠的通信渠道來(lái)發(fā)送商業(yè)文檔,雖然速度和效率都不高,但卻能達(dá)到保密的目的,而電子商務(wù)是在開(kāi)放的網(wǎng)絡(luò)環(huán)境下進(jìn)行的,因此要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取,所以保證電子商務(wù)信息的機(jī)密性就變得非常重要��。
2.完整性
電子商務(wù)極大地簡(jiǎn)化了傳統(tǒng)貿(mào)易過(guò)程,減少了認(rèn)為的干預(yù),同時(shí)也伴隨著貿(mào)易各方商業(yè)信息的完整��、同一問(wèn)題���。由于數(shù)據(jù)錄入時(shí)合法或非法的行為,可能導(dǎo)致貿(mào)易數(shù)據(jù)的差異。信息在傳輸?shù)倪^(guò)程中也有可能造成信息的丟失�����、重復(fù)或次序的差異。因此要預(yù)防對(duì)信息的各種非法操作,保證數(shù)據(jù)在傳送的過(guò)程中完整性��。
3.認(rèn)證性
網(wǎng)絡(luò)環(huán)境是一個(gè)虛擬的環(huán)境,而電子商務(wù)就是在這個(gè)虛擬平臺(tái)上進(jìn)行的,貿(mào)易雙方一般都不見(jiàn)面,需要一些技術(shù)和策略來(lái)進(jìn)行身份確認(rèn)�����。當(dāng)個(gè)人或?qū)嶓w聲稱(chēng)身份時(shí),電子商務(wù)服務(wù)需要提供一種方式來(lái)進(jìn)行身份認(rèn)證���。
4.有效性
在交易的過(guò)程中貿(mào)易雙方需要確定很多信息,電子商務(wù)以電子形式取代了紙張來(lái)確認(rèn)這此信息,保證謝謝信息的有效性是開(kāi)展電子商務(wù)的前提��。因此要對(duì)網(wǎng)絡(luò)故障、硬件故障��、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)是有效的�����。
二���、電子商務(wù)網(wǎng)絡(luò)的安全隱患
1.竊取信息
(1)交易雙方進(jìn)行交易的內(nèi)容被第三方竊取���。(2)交易一方提供給另一方使用的文件被第三方非法使用。
2.篡改信息
電子的交易信息在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中,可能被他人非法的修改�����、刪除這樣就使信息失去了真實(shí)性和完整性��。
3.假冒
第三方可以冒充合法用戶(hù)發(fā)送假冒的信息或者主動(dòng)獲取信息,有可能假冒一方的信謄或盜取被假冒一方的交易成果等��。
4.惡意破壞
由于攻擊者可以接入網(wǎng)絡(luò),則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改,掌握網(wǎng)上的機(jī)要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部,破壞網(wǎng)絡(luò)的硬件或軟件而導(dǎo)致交易信息傳遞丟失與謬誤�����。計(jì)算機(jī)網(wǎng)絡(luò)本身容易遭到一些惡意程序的破壞,而使電子商務(wù)信息遭到破壞�����。
三��、電子商務(wù)安全中的幾種技術(shù)手段
1.防火墻(FireWall)技術(shù)
防火墻是一種隔離控制技術(shù)�����,在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障���,阻止對(duì)信息資源的非法訪問(wèn)���,也可以使用防火墻阻止專(zhuān)利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出��。
2.加密技術(shù)
數(shù)據(jù)加密技術(shù)是電子商務(wù)中采取的主要安全措施���,貿(mào)易方可根據(jù)需要在信息交換的階段使用。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式:對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密���,采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng),而不能簡(jiǎn)單地根據(jù)其加密強(qiáng)度來(lái)做出判斷���。
(1)對(duì)稱(chēng)加密
在對(duì)稱(chēng)加密方法中���,對(duì)信息的加密和解密都使用相同的密鑰。也就是說(shuō)���,一把鑰匙開(kāi)一把鎖。這種加密算法可簡(jiǎn)化加密處理過(guò)程��,貿(mào)易雙方都不必彼此研究和交換專(zhuān)用的加密算法�����,如果進(jìn)行通信的貿(mào)易方能夠確保私有密鑰在交換階段未曾泄露�����,那么機(jī)密性和報(bào)文完整性就可以得到保證��。不過(guò),對(duì)稱(chēng)加密技術(shù)也存在一些不足�����,如果某一貿(mào)易方有n個(gè)貿(mào)易關(guān)系���,那么他就要維護(hù)n個(gè)私有密鑰。對(duì)稱(chēng)加密方式存在的另一個(gè)問(wèn)題是無(wú)法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方�����。因?yàn)橘Q(mào)易雙方共享一把私有密鑰��。目前廣泛采用的對(duì)稱(chēng)加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)�����,它主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域�����。DES對(duì)64位二進(jìn)制數(shù)據(jù)加密�����,產(chǎn)生64位密文數(shù)據(jù)�����。使用的密鑰為64位�����,實(shí)際密鑰長(zhǎng)度為56位(8位用于奇偶校驗(yàn))��。解密時(shí)的過(guò)程和加密時(shí)相似�����,但密鑰的順序正好相反���。
(2)非對(duì)稱(chēng)加密/公開(kāi)密鑰加密
在Internet中使用更多的是公鑰系統(tǒng),即公開(kāi)密鑰加密��。在該體系中��,密鑰被分解為一對(duì):公開(kāi)密鑰PK和私有密鑰SK���。這對(duì)密鑰中的任何一把都可作為公開(kāi)密鑰(加密密鑰)向他人公開(kāi)���,而另一把則作為私有密鑰(解密密鑰)加以保存�����。公開(kāi)密鑰用于加密�����,私有密鑰用于解密��,私有密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握��,公開(kāi)密鑰可廣泛�����,但它只對(duì)應(yīng)于生成該密鑰的貿(mào)易方���。在公開(kāi)密鑰體系中��,加密算法E和解密算法D也都是公開(kāi)的��。雖然SK與PK成對(duì)出現(xiàn)���,但卻不能根據(jù)PK計(jì)算出SK�����。
常用的公鑰加密算法是RSA算法�����,加密強(qiáng)度很高���。具體做法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來(lái)。發(fā)送方在發(fā)送數(shù)據(jù)時(shí)必須加上數(shù)字簽名���,做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名���,然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。這些密文被接收方收到后,接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名��,然后用方公布的公鑰對(duì)數(shù)字簽名進(jìn)行解密�����,如果成功���,則確定是由發(fā)送方發(fā)出的��。由于加密強(qiáng)度高�����,而且不要求通信雙方事先建立某種信任關(guān)系或共享某種秘密,因此十分適合Internet網(wǎng)上使用��。
3.數(shù)字簽名
數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全核心技術(shù)之一�����,它實(shí)現(xiàn)的基礎(chǔ)就是加密技術(shù)���。以往的書(shū)信或文件是根據(jù)親筆簽名或印章來(lái)證明其真實(shí)性的�����。但在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的報(bào)文又如何蓋章呢?這就是數(shù)字簽名所要解決的問(wèn)題。數(shù)字簽名必須保證以下幾點(diǎn):接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名�����;送者事后不能抵賴(lài)對(duì)報(bào)文的簽名��;接收者不能偽造對(duì)報(bào)文的簽名?��,F(xiàn)在己有多種實(shí)現(xiàn)數(shù)字簽名的方法,采用較多的就是公開(kāi)密鑰算法���。
4.數(shù)字證書(shū)
(1)認(rèn)證中心
在電子交易中�����,數(shù)字證書(shū)的發(fā)放不是靠交易雙方來(lái)完成的�����,而是由具有權(quán)威性和公正性的第三方來(lái)完成的��。認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)��、簽發(fā)數(shù)字證書(shū)并確認(rèn)用戶(hù)身份的服務(wù)機(jī)構(gòu)��。
(2)數(shù)字證書(shū)
數(shù)字證書(shū)是用電子手段來(lái)證實(shí)一個(gè)用戶(hù)的身份及他對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限�����。在網(wǎng)上的電子交易中���,如雙方出示了各自的數(shù)字證書(shū)��,并用它來(lái)進(jìn)行交易操作��,那么交易雙方都可不必為對(duì)方身份的真?zhèn)螕?dān)心�����。
5.消息摘要(MessageDigest)
消息摘要方法也稱(chēng)為Hash編碼法或MDS編碼法�����。它是由RonRivest所發(fā)明的。消息摘要是一個(gè)惟一對(duì)應(yīng)一個(gè)消息的值��。它由單向Hash加密算法對(duì)所需加密的明文直接作用���,生成一串128bit的密文��,這一串密文又被稱(chēng)為“數(shù)字指紋”(FingerPrint)��。所謂單向是指不能被解密���,不同的明文摘要成密文��,其結(jié)果是絕不會(huì)相同的��,而同樣的明文其摘要必定是一致的��,因此���,這串摘要成為了驗(yàn)證明文是否是“真身”的數(shù)字“指紋”了。
結(jié)語(yǔ):本文分析了目前電子商務(wù)的安全需求�����,使用的安全技術(shù)及仍存在的問(wèn)題���,并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點(diǎn)�����,但必須強(qiáng)調(diào)說(shuō)明的是��,電子商務(wù)的安全運(yùn)行���,僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的�����,還必須完善電子商務(wù)立法��,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類(lèi)問(wèn)題���,從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。
參考文獻(xiàn):
[1]吳洋.電子商務(wù)安全方法研究[D].天津大學(xué),2006.
[2]李艷.電子商務(wù)信息安全策略研究[J].甘肅科技,2005,(06)
[3]成衛(wèi)青,龔儉.網(wǎng)絡(luò)安全評(píng)估[J].計(jì)算機(jī)工程,2003,(02).
[4]大衛(wèi)·范胡斯.電子商務(wù)經(jīng)濟(jì)學(xué)[M].北京:機(jī)械工業(yè)出版社,2003.
[5]楊善林.電子商務(wù)概論[M].北京:機(jī)械工業(yè)出版社,2003.
[6]劉麗梅.電子商務(wù)信息安全問(wèn)題探討[J].物流科技,2007,3
第2篇
在經(jīng)濟(jì)增長(zhǎng)的同時(shí)���,目前確實(shí)還存在著與“十一五”規(guī)劃要求相悖的傾向:
連續(xù)多年��,我國(guó)投資增長(zhǎng)速度高于消費(fèi)和國(guó)內(nèi)生產(chǎn)總值的增長(zhǎng)速度���,使得投資率不斷上升,增大了調(diào)整投資與消費(fèi)的比例關(guān)系的難度���?����!笆晃濉币?guī)劃要求���,“要進(jìn)一步擴(kuò)大國(guó)內(nèi)需求,調(diào)整投資和消費(fèi)的關(guān)系��,合理控制投資規(guī)模��,增強(qiáng)消費(fèi)對(duì)經(jīng)濟(jì)增長(zhǎng)的拉動(dòng)作用��?��!钡衲晟习肽晖顿Y的增長(zhǎng)速度明顯高于消費(fèi)�����,不僅使得經(jīng)濟(jì)增長(zhǎng)過(guò)多依賴(lài)于投資�����,而且目前投資還有進(jìn)一步加快的趨勢(shì)�����。如果這種投資波動(dòng)的態(tài)勢(shì)演變成長(zhǎng)期趨勢(shì)��,將不利于“十一五”規(guī)劃關(guān)于調(diào)整投資與消費(fèi)比例關(guān)系任務(wù)的完成�����。
產(chǎn)業(yè)結(jié)構(gòu)升級(jí)是提高經(jīng)濟(jì)增長(zhǎng)質(zhì)量��、轉(zhuǎn)變經(jīng)濟(jì)增長(zhǎng)方式的重要標(biāo)志�����,產(chǎn)業(yè)結(jié)構(gòu)升級(jí)一方面要使第一產(chǎn)業(yè)占GDP的比重下降���,另一方面要不斷提升服務(wù)業(yè)占GDP的比重��。而要實(shí)現(xiàn)后一條�����,則要求服務(wù)業(yè)的增長(zhǎng)速度高于第二產(chǎn)業(yè)增加值的增長(zhǎng)速度��。從2005年的統(tǒng)計(jì)數(shù)字看�����,服務(wù)業(yè)增長(zhǎng)低于第二產(chǎn)業(yè)增長(zhǎng)���;今年上半年的統(tǒng)計(jì)數(shù)字仍然顯示,服務(wù)業(yè)增長(zhǎng)低于第二產(chǎn)業(yè)增長(zhǎng)��?����!笆晃濉币?guī)劃要求“產(chǎn)業(yè)結(jié)構(gòu)優(yōu)化升級(jí)��。產(chǎn)業(yè)���、產(chǎn)品��、企業(yè)組織結(jié)構(gòu)更趨合理�����,服務(wù)業(yè)增加值占國(guó)內(nèi)生產(chǎn)總值比重和就業(yè)人員占全社會(huì)就業(yè)人員比重分別提高3個(gè)和4個(gè)百分點(diǎn)���。”而目前的狀況是,服務(wù)業(yè)增長(zhǎng)低于第二產(chǎn)業(yè)增長(zhǎng)的趨勢(shì)仍將繼續(xù)下去�����。
第3篇
關(guān)鍵詞:電子商務(wù)��;安全措施��;探討
1 引言
電子商務(wù)是通過(guò)電子方式處理和傳遞數(shù)據(jù)��,它涉及許多方面的活動(dòng)�����,包括貨物電子貿(mào)易和服務(wù)��、在線數(shù)據(jù)傳遞���、電子資金劃拔�����、電子證券交易�����、商業(yè)拍賣(mài)���、合作設(shè)計(jì)和工程�����、在線資料、公共產(chǎn)品獲得等內(nèi)容�����。電子商務(wù)的發(fā)展勢(shì)頭非常驚人���,但它的產(chǎn)值在全球生產(chǎn)總值中卻只占極小的份額���,其原因就在于電子商務(wù)的安全問(wèn)題,根據(jù)美國(guó)一個(gè)調(diào)查機(jī)構(gòu)對(duì)近30000名因特網(wǎng)用戶(hù)的調(diào)查顯示��,由于擔(dān)心電子商務(wù)的安全性問(wèn)題�����,超過(guò)60%的網(wǎng)民不愿意進(jìn)行網(wǎng)上交易��, 因此,如何建立一個(gè)安全��、便捷的電子商務(wù)應(yīng)用環(huán)境���,對(duì)信息提供足夠的保護(hù)���,已經(jīng)成為影響到電子商務(wù)健康發(fā)展的關(guān)鍵性課題。
2 電子商務(wù)對(duì)安全的要求
對(duì)電子商務(wù)活動(dòng)安全性的需求以及可使用的網(wǎng)絡(luò)安全措施��,主要包含如下幾方面�����。
(1)如何確定通信中的貿(mào)易伙伴的真實(shí)性�����?常用的處理技術(shù)是身份認(rèn)證���,依賴(lài)某個(gè)可信賴(lài)的機(jī)構(gòu)發(fā)放證書(shū)���,雙方交換信息之前通過(guò)CA獲取對(duì)方的證書(shū),并以此識(shí)別對(duì)方���。
(2)如何保證電子單證的秘密性�����,防范電子單證的內(nèi)容被第三方讀取?常用的處理技術(shù)是數(shù)據(jù)加密和解密�����。
(3)如何保證被傳輸?shù)臉I(yè)務(wù)單證不會(huì)丟失���,或者發(fā)送方可以察覺(jué)所發(fā)單證的丟失?對(duì)于固定且具有頻繁貿(mào)易往來(lái)的伙伴,可以采用單證傳輸?shù)男蛄行詸z驗(yàn)���;也可采用雙方約定的方法(即在規(guī)定的時(shí)間內(nèi)��,通過(guò)某種方式進(jìn)行確認(rèn))��。
(4)如何確定電子單證的內(nèi)容未被篡改��;單證傳輸完整性主要采用散列技術(shù)來(lái)防止非法用戶(hù)對(duì)單證的篡改��,通過(guò)散列算法對(duì)被傳輸?shù)膯巫C進(jìn)行處理�����,產(chǎn)生一個(gè)依賴(lài)于該單證的短小的散列值��,并將該散列值附接在單證之后傳輸給接收方���。以便接收方采用相同的散列算法對(duì)接收的單證進(jìn)行檢驗(yàn)�����。
(5)如何確定電子單證的真實(shí)性��?鑒別單證真實(shí)性的主要手段是數(shù)字簽名技術(shù)�����,其基礎(chǔ)是數(shù)據(jù)加密中的公開(kāi)密鑰加密技術(shù)���,實(shí)用中常結(jié)合單證完整性一起考慮,利用發(fā)送方的密鑰對(duì)散列值進(jìn)行加密��。
(6)如何解決或者仲裁收發(fā)雙方對(duì)交換的單證所產(chǎn)生的爭(zhēng)議�����,包括發(fā)方或收方可能的否認(rèn)或抵賴(lài)?通常要求引入認(rèn)證中心進(jìn)行管理��,由CA發(fā)放密鑰,傳輸?shù)膯巫C及其簽名的備份發(fā)至CA保存��,作為可能爭(zhēng)議的仲裁依據(jù)�����。
(7)如何保證存儲(chǔ)信息的安全性?如何規(guī)范內(nèi)部管理�����?如何使用訪問(wèn)控制權(quán)限和日志以及敏感信息加密存儲(chǔ)?當(dāng)使用WWW服務(wù)器支持電子商務(wù)活動(dòng)時(shí)���,應(yīng)注意數(shù)據(jù)的備份和恢復(fù)��,并采用防火墻技術(shù)來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全性。
3 電子商務(wù)采用的主要安全技術(shù)
為了確保電子商務(wù)在交易過(guò)程中信息有效��、真實(shí)���、可靠且保密���,目前主要采用的安全技術(shù)有加密技術(shù)、身份認(rèn)證技術(shù)和交易的安全認(rèn)證協(xié)議���。安全認(rèn)證協(xié)議用來(lái)保證電子商務(wù)中交易的安全性�����,如set�����、ssl�����、s/mime���、s-http等�����。下面我們主要來(lái)介紹這些技術(shù)�����。
3.1 加密技術(shù)
加密技術(shù)是電子商務(wù)系統(tǒng)所采取的最基本的安全措施���,加密的主要目的是防止信息的非授權(quán)泄漏�����。密碼算法是一些數(shù)學(xué)公式���、法則或程序,算法中的可變參數(shù)是密鑰��。根據(jù)密碼算法所使用的加密密鑰和解密密鑰是否相同���,能否由加密密鑰推導(dǎo)出解密密鑰���,可以將密碼算法分為對(duì)稱(chēng)密碼算法和非對(duì)稱(chēng)密碼算法。一般來(lái)說(shuō)���,在一個(gè)加密系統(tǒng)中�����,信息使用加密密鑰加密后,接收方使用解密密鑰對(duì)密文解密得到原文��。
3.1.1 對(duì)稱(chēng)加密/對(duì)稱(chēng)密鑰加密
在對(duì)稱(chēng)加密方法中��,對(duì)信息的加密和解密都使用相同的密鑰,即一把鑰匙開(kāi)一把鎖���。這樣可以簡(jiǎn)化加密的處理�����,每個(gè)交易方都不必彼此研究和交換專(zhuān)用的加密算法�����。如果進(jìn)行通信的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄漏��,那么機(jī)密性和報(bào)文完整性就可以得以保證���。這樣密鑰安全交換是關(guān)系到對(duì)稱(chēng)加密有效的核心環(huán)節(jié)。而對(duì)稱(chēng)加密技術(shù)存在著在通信的交易各方之間確保密鑰安全交換的問(wèn)題��。對(duì)稱(chēng)加密方式存在的另一個(gè)問(wèn)題是無(wú)法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方��。因?yàn)橘Q(mào)易雙方共享同一把專(zhuān)用密鑰��,貿(mào)易雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的�����。目前常用的對(duì)稱(chēng)加密算法有DES、PCR��、IDEA等�����。其中DES使用最普遍���,被采用為數(shù)據(jù)加密的標(biāo)準(zhǔn)��。
3.1.2 非對(duì)稱(chēng)加密/公開(kāi)密鑰加密
在非對(duì)稱(chēng)加密體系中���,密鑰被分解為一對(duì)(即一把公開(kāi)密鑰或加密密鑰和一把私有密鑰或解密密鑰)。密鑰對(duì)生成后��,公開(kāi)密鑰以非保密方式對(duì)外公開(kāi)�����,只對(duì)應(yīng)于生成該密鑰的者�����;私有密鑰則保存在密鑰方手中���。任何得到公開(kāi)密鑰的用戶(hù)都可使用該密鑰加密信息發(fā)送給該公開(kāi)密鑰的者��,而者得到加密信息后��,使用與公開(kāi)密鑰相應(yīng)對(duì)的私有密鑰進(jìn)行解密���。由此可知,公開(kāi)密鑰用于對(duì)機(jī)密性的加密���,私有密鑰則用于對(duì)加密信息的解密��。目前常用的非對(duì)稱(chēng)加密算法是RSA算法��。它是非對(duì)稱(chēng)加密領(lǐng)域內(nèi)最為著名的算法�����,但是它存在的主要問(wèn)題是算法的運(yùn)算速度較慢��,并且也難以做到一次一密��。因此��,在實(shí)際的應(yīng)用中通常不采用這一算法對(duì)信息量大的信息進(jìn)行加密���。對(duì)于加密量大的應(yīng)用��,公開(kāi)密鑰加密算法通常用于對(duì)稱(chēng)加密方法密鑰的加密���。
3.2 身份認(rèn)證技術(shù)
身份認(rèn)證技術(shù)保證電子商務(wù)安全不可缺少的又一重要技術(shù)手段。常見(jiàn)的安全認(rèn)證技術(shù)有數(shù)字摘要���、數(shù)字信封��、數(shù)字簽名��、數(shù)字時(shí)間戳�����、數(shù)字證書(shū)等技術(shù)���。
3.2.1 數(shù)字摘要
數(shù)字摘要是一種防止數(shù)據(jù)被改動(dòng)的方法,它采用單向HASH函數(shù)將需要加密的文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度的摘要碼�����,并在傳輸信息時(shí)將之加入文件一同送給接收方,接收方收到文件后��,用相同的方法進(jìn)行變換運(yùn)算��,若得到的結(jié)果與發(fā)送來(lái)的摘要碼相同��,則可斷定文件未被篡改�����,反之亦然�����。在數(shù)字摘要中HASH函數(shù)的輸入可以是任意大小的文件消息�����,而輸出是一個(gè)固定長(zhǎng)度的摘要�����。且摘要有這樣一個(gè)性質(zhì)�����,如果改變了輸入消息中的任何東西��,甚至只有一位��,輸出的摘要將會(huì)發(fā)生不可預(yù)測(cè)的改變���,故而常用數(shù)字摘要來(lái)判定信息是否被篡改的一項(xiàng)重要技術(shù)���。
3.2.2 數(shù)字信封
在大批數(shù)據(jù)加密中所使用的對(duì)稱(chēng)密碼是隨機(jī)產(chǎn)生的,而接收方也需要此密碼才能對(duì)消息進(jìn)行正確的解密�����。對(duì)稱(chēng)密鑰的傳遞需要加密進(jìn)行��,即發(fā)送方用接收方的公鑰加密此對(duì)稱(chēng)密鑰�����。這樣只有接收方用自己的私鑰才能正確地解密此對(duì)稱(chēng)密鑰���,從而正確地解密消息���。這種加密傳送密鑰的方法稱(chēng)為數(shù)字信封���。數(shù)字信封技術(shù)可以保證接收方的唯一性。即使信息在傳送途中被監(jiān)聽(tīng)或截獲�����,由干第三方并沒(méi)有接收方的密鑰��,也不能對(duì)信息進(jìn)行正確的解密�����。
3.2.3 數(shù)字簽名
數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別與驗(yàn)證�����,保證報(bào)文的完整性�����、權(quán)威性和發(fā)送者對(duì)所發(fā)報(bào)文的不可抵賴(lài)性���。在實(shí)際生活中,簽名通常采用書(shū)面形式���,由甲乙雙方完成�����,在網(wǎng)絡(luò)環(huán)境下���,可以用電子簽名作為模擬���。
數(shù)字簽名是將數(shù)字摘要和公鑰算法兩種加密方法結(jié)合起來(lái)使用,其可以在提供數(shù)據(jù)完整性的同時(shí)保證數(shù)據(jù)的真實(shí)性�����。完整性保證傳輸?shù)臄?shù)據(jù)未被篡改�����,真屬性則保證傳輸過(guò)來(lái)的數(shù)據(jù)是由合法者產(chǎn)生的���,而不是由其他人假冒���。如假設(shè)用戶(hù)A要寄信給用戶(hù)B,他們互相知道對(duì)方的公鑰���,A用自己的私鑰將簽名內(nèi)容加密���,附加在郵件中���,再用B的公鑰將整個(gè)郵件加密(注意這里的次序,如果先加密再簽名的話�����,別人可以將簽名去掉后簽上自己的簽名�����,從而篡改了簽名)���。這樣這份密文被B收到后,B用自己的私鑰將郵件解密�����,得到A的原文和數(shù)字簽名��,然后用A的公鑰解密簽名��,這樣一來(lái)就保兩方面的安全了。
3.2.4 數(shù)字時(shí)間戳
在電子商務(wù)的交易文件中��,時(shí)間是一條重要的信息���,文件的簽署日期和簽名一樣均是防止文件被偽造和篡改的關(guān)鍵性?xún)?nèi)容�����。為了防止在電子交易中��,文件簽署的時(shí)間信息被修改���,數(shù)字時(shí)間戳提供了相應(yīng)的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)(DTS)是由專(zhuān)門(mén)的機(jī)構(gòu)提供的���。數(shù)字時(shí)間戳是一個(gè)經(jīng)加密處理后形成的憑證文檔���,它包括三個(gè)部分:需加時(shí)間戳的文件摘要;DTS機(jī)構(gòu)收到文件的日期和時(shí)間���;DTS機(jī)構(gòu)的數(shù)字簽名�����。
3.2.5 數(shù)字證書(shū)
數(shù)字證書(shū)是由證書(shū)授權(quán)中心CA管理和發(fā)放的���。CA是數(shù)字證書(shū)的最高管理機(jī)構(gòu)��,是安全電子交易的核心環(huán)節(jié)��。它作為電子商務(wù)交易中中立的�����、受信任的�����、可仲裁的第三方,也是為了解決電子商務(wù)中�����,交易雙方的信息和身份驗(yàn)證問(wèn)題�����,從根本上保障電子商務(wù)交易活動(dòng)順利進(jìn)行而設(shè)立的。在交易支付的過(guò)程中���,參與各方為了證實(shí)自己的身份���,需到第三方即認(rèn)證中心(CA)去認(rèn)證。數(shù)字證書(shū)就是認(rèn)證中心為交易各方頒發(fā)的身份憑證�����。它是一個(gè)經(jīng)CA數(shù)字簽名的���、包含證書(shū)申請(qǐng)者(公開(kāi)密鑰擁有者)個(gè)人信息及其公開(kāi)密鑰的文件�����。任何交易雙方只有申請(qǐng)到相應(yīng)的數(shù)字證書(shū)�����,才能參加安全電子商務(wù)的網(wǎng)上交易���。
3.3 安全認(rèn)證協(xié)議
目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用,即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議���。
3.3.1 SSL協(xié)議
SSL安全協(xié)議的中文全稱(chēng)是“加密套接字協(xié)議層”�����,最初由Netscape公司推出的一種基于RSA和保密密鑰的安全通信協(xié)議���,是目前使用最廣泛的電子商務(wù)協(xié)議��。該協(xié)議位于HTTP協(xié)議層和TCP協(xié)議層之間��,向基于TCP/IP的客戶(hù)/服務(wù)器應(yīng)用程序�����,提供了客戶(hù)端和服務(wù)器的鑒別���、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。該協(xié)議在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前�����,通過(guò)交換SSL初始握手信息來(lái)實(shí)現(xiàn)有關(guān)安全特性的審查���。SSL協(xié)議可內(nèi)置于用戶(hù)瀏覽器和商家的服務(wù)器中,能方便而低開(kāi)銷(xiāo)地進(jìn)行信息加密,多用于WEB信用卡的傳送�����。這樣利用它能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)���。
SSL協(xié)議運(yùn)行的基點(diǎn)是商家對(duì)客戶(hù)信息保密的承諾��?�?蛻?hù)的信息往往首先傳到商家��,商家閱讀后再傳到銀行��;這樣�����,客戶(hù)資料的安全性便受到威脅���。另外,整個(gè)過(guò)程只有商家對(duì)客戶(hù)的認(rèn)證�����,缺少客戶(hù)對(duì)商家的認(rèn)證,不能防止商家利用獲取的信用卡號(hào)進(jìn)行欺詐���。隨著電子商務(wù)與廠商的迅速增加�����,對(duì)廠商的認(rèn)證問(wèn)題越來(lái)越突出�����,SSL協(xié)議的缺點(diǎn)則越加明顯��。SSL協(xié)議逐漸被新的SET協(xié)議所取代���。
3.3.2 SET 協(xié)議
SET協(xié)議的中文全稱(chēng)“安全電子交易協(xié)議”,它向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實(shí)現(xiàn)安全措施的規(guī)則�����。它是由Vsia國(guó)際組織 和Mastercard組織聯(lián)合國(guó)際上多家科技機(jī)構(gòu)�����,共同制定的應(yīng)用于INTERNET上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全技術(shù)標(biāo)準(zhǔn)�����。它采用公鑰密碼體制和X.509數(shù)字證書(shū)標(biāo)準(zhǔn)���,主要應(yīng)用于保障網(wǎng)上購(gòu)物信息的安全性���。SET主要由3個(gè)文件組成,分別是SET業(yè)務(wù)描述��、SET程序員指南和SET協(xié)議描述��。SET協(xié)議在保留對(duì)客戶(hù)信用卡認(rèn)證的前提下���,又增加了對(duì)商家身份的認(rèn)證�����。它可以對(duì)交易各方進(jìn)行認(rèn)證���,可防止商家身份的欺詐。為了進(jìn)一步加強(qiáng)安全性�����,使用兩組密鑰對(duì)分別用于加密和簽名,通過(guò)雙簽名機(jī)制將訂購(gòu)信息同賬戶(hù)信息鏈在一起簽名�����。由于設(shè)計(jì)較為合理���,得到了諸如微軟公司�����、IBM公司�����、Netscape公司等大公司的支持�����,已成為實(shí)際上工業(yè)技術(shù)標(biāo)準(zhǔn)���。
SET協(xié)議的不足之處在于協(xié)議復(fù)雜,且只適用于用戶(hù)安裝了“電子錢(qián)包”的場(chǎng)合��。根據(jù)統(tǒng)計(jì),在一個(gè)典型的SET交易過(guò)程中�����,需驗(yàn)證數(shù)字證書(shū)9次�����,驗(yàn)證數(shù)字簽名6次��;需傳送證書(shū)7次���,進(jìn)行5次簽名、4次對(duì)稱(chēng)加密和4次非對(duì)稱(chēng)加密�����;整個(gè)交易過(guò)程可能會(huì)花費(fèi)1.5~2分鐘���。
4 電子商務(wù)安全需要進(jìn)一步完善的配套措施
電子商務(wù)要真正成為一種主導(dǎo)的商務(wù)模式���,尤其對(duì)發(fā)展中的中國(guó)來(lái)說(shuō),發(fā)展電子商務(wù)���,就必須從以下幾個(gè)方面來(lái)完善配套措施:
(1)突破關(guān)鍵技術(shù)受制于人的瓶頸�����。當(dāng)前不僅國(guó)內(nèi)幾乎所有的主機(jī)�����、交換機(jī)��、路由器���、網(wǎng)絡(luò)操作系統(tǒng)都來(lái)自國(guó)外��,而且美國(guó)對(duì)出口別國(guó)的產(chǎn)品實(shí)行密鑰信前控制和長(zhǎng)密鑰限制�����,因此我們必須依靠自身的力量研制自己的加密算法���,以保證中國(guó)電子商務(wù)的正常發(fā)展。
(2)我國(guó)應(yīng)盡快對(duì)電子商務(wù)的有關(guān)細(xì)則進(jìn)行立法���。當(dāng)前大多數(shù)人信息安全意識(shí)淡薄�����,以銀行和金融界來(lái)看��,大家對(duì)安全方面的重視還不夠���,由于有關(guān)電子商務(wù)的立法和管理剛剛開(kāi)始��,有人開(kāi)玩笑說(shuō)“電子商務(wù)目前是個(gè)‘三無(wú)’行業(yè):無(wú)法可依��、無(wú)安全可言、無(wú)規(guī)可循”�����,當(dāng)然這種說(shuō)法欠妥���,但目前我國(guó)關(guān)于網(wǎng)絡(luò)安全的法律的確還有待完善�����。
(3)大力開(kāi)發(fā)大型商務(wù)網(wǎng)站��、發(fā)展與之相配套的物流公司��。目前我國(guó)的電子商務(wù)沒(méi)有真正深入商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域���,這必將影響我國(guó)電子商務(wù)進(jìn)一步的發(fā)展���。
參考文獻(xiàn)
[1]周明,黃元江���,李建設(shè).株洲工學(xué)院學(xué)報(bào)[J].電子商務(wù)中的安全技術(shù)研究�����,2005.1.
[2]張娟.甘肅科技縱橫[M].電子商務(wù)網(wǎng)絡(luò)安全技術(shù)探究�����,2005.4.
[3]趙乃真.電子商務(wù)技術(shù)與應(yīng)用[M].中國(guó)鐵道出版社��,2003.
第4篇
我國(guó)發(fā)展電子商務(wù)的環(huán)境逐步完善���,國(guó)家有關(guān)電子商務(wù)的政策、法規(guī)即將出臺(tái)�����,已為電子商務(wù)的發(fā)展建立了基本的條件。由于電子商務(wù)可以降低成本.增加貿(mào)易機(jī)會(huì)��,簡(jiǎn)化貿(mào)易流通過(guò)程��,提高生產(chǎn)力���,改善物流和金流��、商品流.信息流的環(huán)境與系統(tǒng)雖然電子商務(wù)發(fā)展勢(shì)頭很強(qiáng)�����,但其貿(mào)易額所占整個(gè)貿(mào)易額的比例仍然很低��。影響其發(fā)展的首要因素是安全問(wèn)題.網(wǎng)上的交易是一種非面對(duì)面交易,因此“交易安全“在電子商務(wù)的發(fā)展中十分重要���。電子商務(wù)的安全從整體上可分為兩大部分.計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全��。計(jì)算機(jī)網(wǎng)絡(luò)安全包括計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全�����、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全��、數(shù)據(jù)庫(kù)安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題,實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案.以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)�����。如何保障電子商務(wù)過(guò)程的順利進(jìn)行�����。即實(shí)現(xiàn)電子商務(wù)的完整性,安全性是本文描述的重點(diǎn)。
二���、電子商務(wù)在網(wǎng)絡(luò)中存在的安全隱患
1.用戶(hù)身份的常用認(rèn)證問(wèn)題��。
1.1所攜帶內(nèi)容必須完整包含帳號(hào)密碼��,或類(lèi)似的完整安全信息��。
1.2必須所有需要權(quán)限操作的頁(yè)面都必須執(zhí)行認(rèn)證判斷的操作���。
2.大量數(shù)據(jù)查詢(xún)導(dǎo)致拒絕服務(wù)��。許多網(wǎng)站對(duì)用戶(hù)輸入內(nèi)容的判斷在前臺(tái)���,用JavaScript判斷,如果用戶(hù)繞過(guò)前臺(tái)判斷�����,就能對(duì)數(shù)據(jù)庫(kù)進(jìn)行全查詢(xún),如果數(shù)據(jù)庫(kù)比較龐大�����,會(huì)耗費(fèi)大量系統(tǒng)資源���,如果同時(shí)進(jìn)行大量的這種查詢(xún)操作��,就會(huì)有DenialofService(DoS拒絕服務(wù))同樣的效果�����。
3.假冒由于掌握了數(shù)據(jù)的格式��。以篡改通過(guò)的信息,攻擊者可以冒充合法用戶(hù)發(fā)送假冒的信息或者主動(dòng)獲取信息,而遠(yuǎn)端用戶(hù)通常很難分辨���。
4.客戶(hù)端數(shù)據(jù)的完整性和有效性��。
4.1MicrosoftASP腳本���。普遍存在的問(wèn)題是程序員在編寫(xiě)ASP腳本時(shí),缺少或沒(méi)有對(duì)客戶(hù)端輸入的數(shù)據(jù)/變量進(jìn)行嚴(yán)格的合法性分析��。無(wú)意或有意輸入的特殊字符可能由于其特殊含義改變了腳本程序��,從而使腳本運(yùn)行出錯(cuò)或執(zhí)行非法操作。因此��,如果攻擊者輸入某些特定sql語(yǔ)句��,可能造成數(shù)據(jù)庫(kù)資料丟失/泄漏/甚至威脅整個(gè)站點(diǎn)的安全��。比如攻擊者可以任意創(chuàng)建或者刪除表(如果可以猜測(cè)出已存在的表名)��,清除或者更改數(shù)據(jù)庫(kù)數(shù)據(jù)���。攻擊者也可能通過(guò)執(zhí)行一些儲(chǔ)存過(guò)程函數(shù)���,將sql語(yǔ)句的輸出結(jié)果通過(guò)電子郵件發(fā)送給自己,或者執(zhí)行系統(tǒng)命令��。
4.2特殊字符的過(guò)濾���。在許多編程語(yǔ)言���、開(kāi)發(fā)軟件工具、數(shù)據(jù)庫(kù)甚至操作系統(tǒng)中遺漏其中某些特殊字符的情況時(shí)常出現(xiàn)��,從而導(dǎo)致出現(xiàn)帶有普遍性的安全問(wèn)題��。由于攻擊者可以接入網(wǎng)絡(luò).則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改.掌握網(wǎng)上的機(jī)要信息.甚至可以潛入網(wǎng)絡(luò)內(nèi)部.其后果是非常嚴(yán)重的��。
5.偽造電子郵件��。虛開(kāi)網(wǎng)上商店��。給用戶(hù)發(fā)電子郵件���,偽造大量用戶(hù)的電子郵件���,窮盡商家資源�����,使合法用戶(hù)不能訪問(wèn)網(wǎng)絡(luò)��。使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)�����。
6.截獲傳輸信息���。攻擊者可能通過(guò)公共電話網(wǎng)�����、互聯(lián)網(wǎng)或在電磁波輻射范圍內(nèi)安裝接收裝置等方式��。截取機(jī)密信息;或通過(guò)對(duì)信息長(zhǎng)度���、流量�����、流向和通信頻度等參數(shù)進(jìn)行分析�����。獲得如用戶(hù)賬號(hào)��、密碼等有用信息��。
三�����、電子商務(wù)與網(wǎng)絡(luò)安全技術(shù)
為了提高電子商務(wù)的安全性.可以采用多種網(wǎng)絡(luò)安全技術(shù)和協(xié)議.這些技術(shù)和協(xié)議各自有一定的使用范圍�����,可以給電子商務(wù)交易活動(dòng)提供不同程度的安全保障���。
1.?dāng)?shù)據(jù)加密技術(shù)���。防火墻技術(shù)是一種被動(dòng)的防衛(wèi)技術(shù).它難以對(duì)電子商務(wù)活動(dòng)中不安全的因素進(jìn)行有效的防衛(wèi)。因此.要保障電子商務(wù)的交易安全.就應(yīng)當(dāng)用當(dāng)代密碼技術(shù)來(lái)助陣���。加密技術(shù)是電子商務(wù)中采取的主要安全措施��,貿(mào)易方可根據(jù)需要在信息交換的階段使用���。目前�����。加密技術(shù)分為兩類(lèi)��,即對(duì)稱(chēng)加密/對(duì)稱(chēng)密鑰加密/專(zhuān)用密鑰加密和非對(duì)稱(chēng)加密/公開(kāi)密鑰加密?�,F(xiàn)在許多機(jī)構(gòu)運(yùn)用PKI的縮寫(xiě)���,即公開(kāi)密鑰體系技術(shù)實(shí)施構(gòu)建完整的加密/簽名體系��,更有效地解決上述難題��,在充分利用互聯(lián)網(wǎng)實(shí)現(xiàn)資源共享的前提下�����,從真正意義上確保了網(wǎng)上交易與信息傳遞的安全���。
2.智能化防火墻技術(shù)�����。防火墻是目前主要的網(wǎng)絡(luò)安全設(shè)備��。防火墻通常使用的安全控制手段主要有包過(guò)濾��、狀態(tài)檢測(cè)��、服務(wù)由于它假設(shè)了網(wǎng)絡(luò)的邊界和服務(wù)�����,對(duì)內(nèi)部的非法訪問(wèn)難以有效地控制�����。因此.最適合于相對(duì)獨(dú)立的與外部網(wǎng)絡(luò)互連途徑有限���、網(wǎng)絡(luò)服務(wù)種類(lèi)相對(duì)集中的單一網(wǎng)絡(luò)(如常見(jiàn)的企業(yè)專(zhuān)用網(wǎng))防火墻的隔離技術(shù)決定了它在電子商務(wù)安全交易中的重要作用��。隨著防火墻的升級(jí)換代市場(chǎng)上出現(xiàn)了智能型防火墻��,智能防火墻從技術(shù)特征上是利用統(tǒng)計(jì)���、記憶�����、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別�����,并達(dá)到訪問(wèn)控制的目的��。新的方法消除了匹配檢查所需要的海置計(jì)算��,高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值�����,直接進(jìn)行訪問(wèn)控制��。新型智能防火墻自身的安全性較傳統(tǒng)的防火墻有很大的提高。在特權(quán)最小化�����、系統(tǒng)最小化、內(nèi)核安全�����、系統(tǒng)加固���、系統(tǒng)優(yōu)化和網(wǎng)絡(luò)性能最大化方面��,與傳統(tǒng)防火墻相比較有質(zhì)的飛躍�����。
3.身份識(shí)別認(rèn)證技術(shù)��。身份認(rèn)證又稱(chēng)為鑒別或確認(rèn)���,它通過(guò)驗(yàn)證被認(rèn)證對(duì)象的一個(gè)或多個(gè)參數(shù)的真實(shí)性與有效性來(lái)證實(shí)被認(rèn)證對(duì)象是否符合或是否有效的一種過(guò)程,用來(lái)確保數(shù)據(jù)的真實(shí)性��。身份識(shí)別問(wèn)題是一個(gè)必須解決的同題���。一方面���,只有合法用戶(hù)才可以使用網(wǎng)絡(luò)資源,所以網(wǎng)絡(luò)資源管理要求識(shí)別用戶(hù)的身份;另一方面,傳統(tǒng)的交易方式�����,交易雙方可以面對(duì)面地談判交涉���。很容易識(shí)別對(duì)方的身份��。通過(guò)電子網(wǎng)絡(luò)交易方式��。交易雙方不見(jiàn)面��,并且通過(guò)普通的電子傳輸信息很難確認(rèn)對(duì)方的身份���,因此,電子商務(wù)中的身份識(shí)別問(wèn)題顯得尤為突出���。防止攻擊者假冒篡改等��。一般來(lái)說(shuō)���。用人的生理特征參數(shù)如指紋識(shí)別、虹膜識(shí)別)進(jìn)行認(rèn)證的安全性很高��。但目前這種技術(shù)存在實(shí)現(xiàn)困難���、成本很高的缺點(diǎn)��。目前��,計(jì)算機(jī)通信中采用的參數(shù)有口令���、標(biāo)識(shí)符密鑰、隨機(jī)數(shù)等�����。而且一般使用基于證書(shū)的公鑰密碼體制(PKI)身份認(rèn)證技術(shù)�����。要實(shí)現(xiàn)基于公鑰密碼算法的身份認(rèn)證需求��。就必須建立一種信任及信任驗(yàn)證機(jī)制���。即每個(gè)網(wǎng)絡(luò)上的實(shí)體必須有一個(gè)可以被驗(yàn)證的數(shù)字標(biāo)識(shí)這就是數(shù)字證書(shū)(Certifi2cate)”��。數(shù)字證書(shū)是各實(shí)體在網(wǎng)上信息交流及商務(wù)交易活動(dòng)中的身份證明���。具有唯一性��。證書(shū)基于公鑰密碼體制.它將用戶(hù)的公開(kāi)密鑰同用戶(hù)本身的屬性(例如姓名�����,單位等)聯(lián)系在一起�����。這就意味著應(yīng)有一個(gè)網(wǎng)上各方都信任的機(jī)構(gòu)專(zhuān)門(mén)負(fù)責(zé)對(duì)各個(gè)實(shí)體的身份進(jìn)行審核��,并簽發(fā)和管理數(shù)字證書(shū)�����,這個(gè)機(jī)構(gòu)就是證書(shū)中心(certificateauthorities.簡(jiǎn)稱(chēng)CA���。
第5篇
關(guān)鍵詞:網(wǎng)上銀行 網(wǎng)絡(luò)支付 安全性問(wèn)題
隨著電子商務(wù)技術(shù)的發(fā)展,網(wǎng)上銀行的使用也越來(lái)越廣泛,但是網(wǎng)上銀行還存在很大的安全問(wèn)題,必須引起廣大網(wǎng)民群眾的重視。
一���、我國(guó)網(wǎng)上銀行存在的安全性問(wèn)題
1.網(wǎng)上銀行網(wǎng)站存在的安全性問(wèn)題
在網(wǎng)絡(luò)銀行中,企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法,即便登錄失敗,網(wǎng)站也不會(huì)將密碼視為無(wú)效�����。除了用軟件竊取密碼這樣的隱憂以外,“冒充站點(diǎn)”也是網(wǎng)上銀行使用中一個(gè)非常重要的安全隱患���。客戶(hù)在不了解情況時(shí)就會(huì)向虛假站點(diǎn)發(fā)送ID和密碼��?��?蛻?hù)發(fā)送完畢后,如果顯示出一個(gè)“服務(wù)馬上就要停止”的畫(huà)面,或者把客戶(hù)訪問(wèn)重新引導(dǎo)到正規(guī)站點(diǎn)上,客戶(hù)當(dāng)時(shí)是很難察覺(jué)的���。這樣一來(lái),就存在有人進(jìn)行非法資金轉(zhuǎn)移的可能性。
2.交易信息在商家與銀行之間傳遞的安全性問(wèn)題
因?yàn)榛ヂ?lián)網(wǎng)的虛擬性,交易雙方無(wú)法確保對(duì)方身份的真實(shí)性,尤其在當(dāng)事人僅僅通過(guò)互聯(lián)網(wǎng)交流時(shí),在這種情況下,要建立交易雙方的信用機(jī)制和安全感是非常困難的���。資金在網(wǎng)上劃撥,安全性是最大問(wèn)題,發(fā)展網(wǎng)上銀行業(yè)務(wù),大量經(jīng)濟(jì)信息在網(wǎng)上傳遞�����。而在以網(wǎng)上支付為核心的網(wǎng)上銀行,電子商務(wù)最核心的部分包括CA認(rèn)證在內(nèi)的電子支付流程��。就是說(shuō)國(guó)內(nèi)目前的網(wǎng)上銀行還不能算真正的網(wǎng)上銀行,只有真正建立起國(guó)家金融權(quán)威認(rèn)證中心(CA)系統(tǒng),才能為網(wǎng)上支付提供法律保障�����。
3.交易信息在消費(fèi)者與銀行之間傳遞的安全性問(wèn)題
目前,我國(guó)銀行卡持有人安全意識(shí)普遍較弱,不注意密碼保密,或?qū)⒚艽a設(shè)為生日等易被猜測(cè)的數(shù)字�����。一旦卡號(hào)和密碼被他人竊取或猜出,用戶(hù)賬號(hào)就可能在網(wǎng)上被盜用,例如進(jìn)行購(gòu)物消費(fèi)等,從而造成損失,而銀行技術(shù)手段對(duì)此卻無(wú)能為力���。因此一些銀行規(guī)定:客戶(hù)必須持合法證件到銀行柜臺(tái)簽約才能使用“網(wǎng)上銀行”進(jìn)行轉(zhuǎn)賬支付,以此保障客戶(hù)的資金安全��。另一種情況是,客戶(hù)在公用的計(jì)算機(jī)上使用網(wǎng)上銀行,可能會(huì)使數(shù)字證書(shū)等機(jī)密資料落入他人之手,從而直接使網(wǎng)上身份識(shí)別系統(tǒng)被攻破,網(wǎng)上賬戶(hù)被盜用���。用戶(hù)和銀行之間通過(guò)互聯(lián)網(wǎng)傳遞的信息是實(shí)現(xiàn)交易的基礎(chǔ)條件,如何確保不被第三方知道,是網(wǎng)上業(yè)務(wù)安全進(jìn)行的一個(gè)重要前提。
綜上所述,其根本原因都是由于登錄密碼或支付密碼泄露造成的�����。①密碼管理問(wèn)題��。②網(wǎng)絡(luò)病毒��、木馬問(wèn)題��。③釣魚(yú)平臺(tái)���。另外還有網(wǎng)上支付的信用問(wèn)題��、網(wǎng)上支付的法律問(wèn)題和網(wǎng)上安全認(rèn)證機(jī)構(gòu)(CA)建設(shè)混亂等問(wèn)題���。
二���、網(wǎng)上銀行安全性問(wèn)題解決的對(duì)策
1.做好自身電腦的日常安全維護(hù)
一是經(jīng)常給電腦系統(tǒng)升級(jí)。二是安裝殺毒軟件��、防火墻,經(jīng)常升級(jí)和殺毒�����。三在平時(shí)上網(wǎng)是盡量不上一些小型網(wǎng)站,選大型網(wǎng)站,知名度比較高的網(wǎng)站,避免網(wǎng)站掛有病毒��、木馬造成中毒��。四盡量不要在公共電腦上使用自己的有關(guān)資金的賬戶(hù)和密碼���。五有條件的情況下,在初裝系統(tǒng)后確認(rèn)電腦安全的后,給自己的電腦做上備份,在使用資金賬戶(hù)前做一次系統(tǒng)恢復(fù)。
2.設(shè)立防火墻,隔離相關(guān)網(wǎng)絡(luò)
所謂防火墻指的是位與不同網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組合,作為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道,并根據(jù)用戶(hù)的有關(guān)策略控制進(jìn)出不同網(wǎng)絡(luò)安全域的訪問(wèn)?����,F(xiàn)實(shí)生活中一般采用多重防火墻方案,分隔互聯(lián)網(wǎng)與交易服務(wù)器,防止互聯(lián)網(wǎng)用戶(hù)的非法入侵;還用于交易服務(wù)器與銀行內(nèi)部網(wǎng)的分隔,有效保護(hù)銀行內(nèi)部網(wǎng),同時(shí)防止內(nèi)部網(wǎng)對(duì)交易服務(wù)器的入侵���。
3.設(shè)置高安全級(jí)的web應(yīng)用服務(wù)器
高安全級(jí)的web服務(wù)器使用可信的專(zhuān)用操作系統(tǒng),憑借其獨(dú)特的體系結(jié)構(gòu)和安全檢查,保證只有合法用戶(hù)的交易請(qǐng)求能通過(guò)特定的程序送至應(yīng)用服務(wù)器進(jìn)行后續(xù)處理�����。
4.建立完善的身份認(rèn)證和CA認(rèn)證系統(tǒng)
在網(wǎng)上銀行系統(tǒng)中,用戶(hù)的身份認(rèn)證依靠基于“RSA公鑰密碼體制”的加密機(jī)制�����、數(shù)字簽名機(jī)制和用戶(hù)登錄密碼的多重保證��。銀行對(duì)用戶(hù)的數(shù)字簽名和登錄密碼進(jìn)行檢驗(yàn),全部通過(guò)后才能確認(rèn)該用戶(hù)的身份��。用戶(hù)的惟一身份標(biāo)識(shí)就是銀行簽發(fā)的“數(shù)字證書(shū)”�����。用戶(hù)的登錄密碼以密文的方式進(jìn)行傳輸,確保了身份認(rèn)證的安全可靠性���。數(shù)字證書(shū)的引入,同時(shí)實(shí)現(xiàn)了用戶(hù)對(duì)銀行交易網(wǎng)站的身份認(rèn)證,以保證訪問(wèn)的是真實(shí)的銀行網(wǎng)站,另外還確保了客戶(hù)提交的交易指令的不可否認(rèn)性���。由于數(shù)字證書(shū)的惟一性和重要性,各家銀行為開(kāi)展網(wǎng)上業(yè)務(wù)都成立了CA認(rèn)證機(jī)構(gòu),專(zhuān)門(mén)負(fù)責(zé)簽發(fā)和管理數(shù)字證書(shū),并進(jìn)行網(wǎng)上身份審核。2000年6月,由中國(guó)人民銀行牽頭,12家商業(yè)銀行聯(lián)合共建的中國(guó)金融認(rèn)證中心(CFCA)正式掛牌運(yùn)營(yíng)���。這標(biāo)志著中國(guó)電子商務(wù)進(jìn)入了銀行安全支付的新階段���。中國(guó)金融認(rèn)證中心作為一個(gè)權(quán)威的���、可信賴(lài)的、公正的第三方信任機(jī)構(gòu),為今后實(shí)現(xiàn)跨行交易提供了身份認(rèn)證基礎(chǔ)���。
5.加強(qiáng)客戶(hù)的安全意識(shí)和網(wǎng)絡(luò)通訊的安全性
銀行卡持有人的安全意識(shí)是影響網(wǎng)上銀行安全性的不可忽視的重要因素��。一些銀行規(guī)定:客戶(hù)必須持合法證件到銀行柜臺(tái)簽約才能使用“網(wǎng)上銀行”進(jìn)行轉(zhuǎn)賬支付,以此保障客戶(hù)的資金安全�����。另一種情況是,客戶(hù)在公用的計(jì)算機(jī)上使用網(wǎng)上銀行,可能會(huì)使數(shù)字證書(shū)等機(jī)密資料落入他人之手,從而直接使網(wǎng)上身份識(shí)別系統(tǒng)被攻破,網(wǎng)上賬戶(hù)被盜用。
安全性作為網(wǎng)絡(luò)銀行賴(lài)以生存和得以發(fā)展的核心及基礎(chǔ),從一開(kāi)始就受到各家銀行的極大重視,都采取了有效的技術(shù)和業(yè)務(wù)手段來(lái)確保網(wǎng)上銀行安全���。但安全性和方便性又是互相矛盾的,越安全就意味著申請(qǐng)手續(xù)越煩瑣,使用操作越復(fù)雜,影響了方便性,使客戶(hù)使用起來(lái)感到困難�����。因此,必須在安全性和方便性上進(jìn)行權(quán)衡���。
互聯(lián)網(wǎng)是一個(gè)開(kāi)放的網(wǎng)絡(luò),客戶(hù)在網(wǎng)上傳輸?shù)拿舾行畔⒃谕ㄓ嵾^(guò)程中存在被截獲、被破譯�����、被篡改的可能。為了防止此種情況發(fā)生,網(wǎng)上銀行系統(tǒng)一般都采用加密傳輸交易信息的措施,使用最廣泛的是SSL數(shù)據(jù)加密協(xié)議�����。
參考文獻(xiàn):
[1]孫強(qiáng).互聯(lián)網(wǎng)商務(wù)應(yīng)用[M].北京:對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)出版社,2000.
[2]關(guān)翔.中國(guó)電子商務(wù)與實(shí)踐[M].北京:清華大學(xué)出版社,2000.
第6篇
[關(guān)鍵詞]網(wǎng)上銀行�����;網(wǎng)絡(luò)支付��;安全性問(wèn)題
隨著電子商務(wù)技術(shù)的發(fā)展,網(wǎng)上銀行的使用也越來(lái)越廣泛,但是網(wǎng)上銀行還存在很大的安全問(wèn)題,必須引起廣大網(wǎng)民群眾的重視��。
一���、我國(guó)網(wǎng)上銀行存在的安全性問(wèn)題
1.網(wǎng)上銀行網(wǎng)站存在的安全性問(wèn)題
在網(wǎng)絡(luò)銀行中,企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法,即便登錄失敗,網(wǎng)站也不會(huì)將密碼視為無(wú)效�����。除了用軟件竊取密碼這樣的隱憂以外,“冒充站點(diǎn)”也是網(wǎng)上銀行使用中一個(gè)非常重要的安全隱患�����?��?蛻?hù)在不了解情況時(shí)就會(huì)向虛假站點(diǎn)發(fā)送ID和密碼���。客戶(hù)發(fā)送完畢后,如果顯示出一個(gè)“服務(wù)馬上就要停止”的畫(huà)面,或者把客戶(hù)訪問(wèn)重新引導(dǎo)到正規(guī)站點(diǎn)上,客戶(hù)當(dāng)時(shí)是很難察覺(jué)的�����。這樣一來(lái),就存在有人進(jìn)行非法資金轉(zhuǎn)移的可能性���。
2.交易信息在商家與銀行之間傳遞的安全性問(wèn)題
因?yàn)榛ヂ?lián)網(wǎng)的虛擬性,交易雙方無(wú)法確保對(duì)方身份的真實(shí)性,尤其在當(dāng)事人僅僅通過(guò)互聯(lián)網(wǎng)交流時(shí),在這種情況下,要建立交易雙方的信用機(jī)制和安全感是非常困難的���。資金在網(wǎng)上劃撥,安全性是最大問(wèn)題,發(fā)展網(wǎng)上銀行業(yè)務(wù),大量經(jīng)濟(jì)信息在網(wǎng)上傳遞。而在以網(wǎng)上支付為核心的網(wǎng)上銀行,電子商務(wù)最核心的部分包括CA認(rèn)證在內(nèi)的電子支付流程�����。就是說(shuō)國(guó)內(nèi)目前的網(wǎng)上銀行還不能算真正的網(wǎng)上銀行,只有真正建立起國(guó)家金融權(quán)威認(rèn)證中心(CA)系統(tǒng),才能為網(wǎng)上支付提供法律保障���。
3.交易信息在消費(fèi)者與銀行之間傳遞的安全性問(wèn)題
目前,我國(guó)銀行卡持有人安全意識(shí)普遍較弱,不注意密碼保密,或?qū)⒚艽a設(shè)為生日等易被猜測(cè)的數(shù)字。一旦卡號(hào)和密碼被他人竊取或猜出,用戶(hù)賬號(hào)就可能在網(wǎng)上被盜用,例如進(jìn)行購(gòu)物消費(fèi)等,從而造成損失,而銀行技術(shù)手段對(duì)此卻無(wú)能為力�����。因此一些銀行規(guī)定:客戶(hù)必須持合法證件到銀行柜臺(tái)簽約才能使用“網(wǎng)上銀行”進(jìn)行轉(zhuǎn)賬支付,以此保障客戶(hù)的資金安全。另一種情況是,客戶(hù)在公用的計(jì)算機(jī)上使用網(wǎng)上銀行,可能會(huì)使數(shù)字證書(shū)等機(jī)密資料落入他人之手,從而直接使網(wǎng)上身份識(shí)別系統(tǒng)被攻破,網(wǎng)上賬戶(hù)被盜用���。用戶(hù)和銀行之間通過(guò)互聯(lián)網(wǎng)傳遞的信息是實(shí)現(xiàn)交易的基礎(chǔ)條件,如何確保不被第三方知道,是網(wǎng)上業(yè)務(wù)安全進(jìn)行的一個(gè)重要前提���。
綜上所述,其根本原因都是由于登錄密碼或支付密碼泄露造成的。①密碼管理問(wèn)題�����。②網(wǎng)絡(luò)病毒���、木馬問(wèn)題�����。③釣魚(yú)平臺(tái)�����。另外還有網(wǎng)上支付的信用問(wèn)題���、網(wǎng)上支付的法律問(wèn)題和網(wǎng)上安全認(rèn)證機(jī)構(gòu)(CA)建設(shè)混亂等問(wèn)題。
二���、網(wǎng)上銀行安全性問(wèn)題解決的對(duì)策
1.做好自身電腦的日常安全維護(hù)
一是經(jīng)常給電腦系統(tǒng)升級(jí)���。二是安裝殺毒軟件�����、防火墻,經(jīng)常升級(jí)和殺毒�����。三在平時(shí)上網(wǎng)是盡量不上一些小型網(wǎng)站,選大型網(wǎng)站,知名度比較高的網(wǎng)站,避免網(wǎng)站掛有病毒��、木馬造成中毒�����。四盡量不要在公共電腦上使用自己的有關(guān)資金的賬戶(hù)和密碼��。五有條件的情況下,在初裝系統(tǒng)后確認(rèn)電腦安全的后,給自己的電腦做上備份,在使用資金賬戶(hù)前做一次系統(tǒng)恢復(fù)���。
2.設(shè)立防火墻,隔離相關(guān)網(wǎng)絡(luò)
所謂防火墻指的是位與不同網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組合,作為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道,并根據(jù)用戶(hù)的有關(guān)策略控制進(jìn)出不同網(wǎng)絡(luò)安全域的訪問(wèn)?�,F(xiàn)實(shí)生活中一般采用多重防火墻方案,分隔互聯(lián)網(wǎng)與交易服務(wù)器,防止互聯(lián)網(wǎng)用戶(hù)的非法入侵;還用于交易服務(wù)器與銀行內(nèi)部網(wǎng)的分隔,有效保護(hù)銀行內(nèi)部網(wǎng),同時(shí)防止內(nèi)部網(wǎng)對(duì)交易服務(wù)器的入侵��。
3.設(shè)置高安全級(jí)的web應(yīng)用服務(wù)器
高安全級(jí)的web服務(wù)器使用可信的專(zhuān)用操作系統(tǒng),憑借其獨(dú)特的體系結(jié)構(gòu)和安全檢查,保證只有合法用戶(hù)的交易請(qǐng)求能通過(guò)特定的程序送至應(yīng)用服務(wù)器進(jìn)行后續(xù)處理。
4.建立完善的身份認(rèn)證和CA認(rèn)證系統(tǒng)
在網(wǎng)上銀行系統(tǒng)中,用戶(hù)的身份認(rèn)證依靠基于“RSA公鑰密碼體制”的加密機(jī)制�����、數(shù)字簽名機(jī)制和用戶(hù)登錄密碼的多重保證���。銀行對(duì)用戶(hù)的數(shù)字簽名和登錄密碼進(jìn)行檢驗(yàn),全部通過(guò)后才能確認(rèn)該用戶(hù)的身份�����。用戶(hù)的惟一身份標(biāo)識(shí)就是銀行簽發(fā)的“數(shù)字證書(shū)”���。用戶(hù)的登錄密碼以密文的方式進(jìn)行傳輸,確保了身份認(rèn)證的安全可靠性。數(shù)字證書(shū)的引入,同時(shí)實(shí)現(xiàn)了用戶(hù)對(duì)銀行交易網(wǎng)站的身份認(rèn)證,以保證訪問(wèn)的是真實(shí)的銀行網(wǎng)站,另外還確保了客戶(hù)提交的交易指令的不可否認(rèn)性���。由于數(shù)字證書(shū)的惟一性和重要性,各家銀行為開(kāi)展網(wǎng)上業(yè)務(wù)都成立了CA認(rèn)證機(jī)構(gòu),專(zhuān)門(mén)負(fù)責(zé)簽發(fā)和管理數(shù)字證書(shū),并進(jìn)行網(wǎng)上身份審核��。2000年6月,由中國(guó)人民銀行牽頭,12家商業(yè)銀行聯(lián)合共建的中國(guó)金融認(rèn)證中心(CFCA)正式掛牌運(yùn)營(yíng)�����。這標(biāo)志著中國(guó)電子商務(wù)進(jìn)入了銀行安全支付的新階段�����。中國(guó)金融認(rèn)證中心作為一個(gè)權(quán)威的�����、可信賴(lài)的�����、公正的第三方信任機(jī)構(gòu),為今后實(shí)現(xiàn)跨行交易提供了身份認(rèn)證基礎(chǔ)���。
5.加強(qiáng)客戶(hù)的安全意識(shí)和網(wǎng)絡(luò)通訊的安全性
銀行卡持有人的安全意識(shí)是影響網(wǎng)上銀行安全性的不可忽視的重要因素��。一些銀行規(guī)定:客戶(hù)必須持合法證件到銀行柜臺(tái)簽約才能使用“網(wǎng)上銀行”進(jìn)行轉(zhuǎn)賬支付,以此保障客戶(hù)的資金安全���。另一種情況是,客戶(hù)在公用的計(jì)算機(jī)上使用網(wǎng)上銀行,可能會(huì)使數(shù)字證書(shū)等機(jī)密資料落入他人之手,從而直接使網(wǎng)上身份識(shí)別系統(tǒng)被攻破,網(wǎng)上賬戶(hù)被盜用。
安全性作為網(wǎng)絡(luò)銀行賴(lài)以生存和得以發(fā)展的核心及基礎(chǔ),從一開(kāi)始就受到各家銀行的極大重視,都采取了有效的技術(shù)和業(yè)務(wù)手段來(lái)確保網(wǎng)上銀行安全�����。但安全性和方便性又是互相矛盾的,越安全就意味著申請(qǐng)手續(xù)越煩瑣,使用操作越復(fù)雜,影響了方便性,使客戶(hù)使用起來(lái)感到困難���。因此,必須在安全性和方便性上進(jìn)行權(quán)衡���。
互聯(lián)網(wǎng)是一個(gè)開(kāi)放的網(wǎng)絡(luò),客戶(hù)在網(wǎng)上傳輸?shù)拿舾行畔⒃谕ㄓ嵾^(guò)程中存在被截獲、被破譯���、被篡改的可能��。為了防止此種情況發(fā)生,網(wǎng)上銀行系統(tǒng)一般都采用加密傳輸交易信息的措施,使用最廣泛的是SSL數(shù)據(jù)加密協(xié)議���。
參考文獻(xiàn):
[1]孫強(qiáng).互聯(lián)網(wǎng)商務(wù)應(yīng)用[M].北京:對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)出版社,2000.
[2]關(guān)翔.中國(guó)電子商務(wù)與實(shí)踐[M].北京:清華大學(xué)出版社,2000.
第7篇
關(guān)鍵詞:電子商務(wù) 信息安全 安全技術(shù)
伴隨經(jīng)濟(jì)的迅猛發(fā)展,電子商務(wù)成為當(dāng)今世界商務(wù)活動(dòng)的新模式�����。要在國(guó)際競(jìng)爭(zhēng)中贏得優(yōu)勢(shì)�����,必須保證電子商務(wù)中信息交流的安全��。
一�����、電子商務(wù)的信息安全問(wèn)題
電子商務(wù)信息安全問(wèn)題主要有:
1.信息的截獲和竊?�。喝绻捎眉用艽胧┎粔颍粽咄ㄟ^(guò)互聯(lián)網(wǎng)��、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過(guò)網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)�����,獲取機(jī)密信息或通過(guò)對(duì)信息流量��、流向�����、通信頻度和長(zhǎng)度分析���,推測(cè)出有用信息�����。2.信息的篡改:當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后���,通過(guò)技術(shù)手段對(duì)網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地,破壞信息完整性�����。3.信息假冒:當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后,假冒合法用戶(hù)或發(fā)送假冒信息欺騙其他用戶(hù)��。4.交易抵賴(lài):交易抵賴(lài)包括多方面���,如發(fā)信者事后否認(rèn)曾發(fā)送信息、收信者事后否認(rèn)曾收到消息��、購(gòu)買(mǎi)者做了定貨單不承認(rèn)等��。
二���、信息安全要求
電子商務(wù)的安全是對(duì)交易中涉及的各種信息的可靠性��、完整性和可用性保護(hù)�����。信息安全包括以下幾方面:
1.信息保密性:維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣應(yīng)用的重要保障�����。由于建立在開(kāi)放網(wǎng)絡(luò)環(huán)境中�����,要預(yù)防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生���。2.信息完整性:貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)�����,影響到交易和經(jīng)營(yíng)策略���。要保證網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐淮鄹模A(yù)防對(duì)信息隨意生成��、修改和刪除���,防止數(shù)據(jù)傳送中信息的失和重復(fù)并保證信息傳送次序的統(tǒng)一���。3.信息有效性:保證信息有效性是開(kāi)展電子商務(wù)前提,關(guān)系到企業(yè)或國(guó)家的經(jīng)濟(jì)利益�����。對(duì)網(wǎng)絡(luò)故障�����、應(yīng)用程序錯(cuò)誤、硬件故障及計(jì)算機(jī)病毒的潛在威脅控制和預(yù)防���,以保證貿(mào)易數(shù)據(jù)在確定時(shí)刻和地點(diǎn)有效��。4.信息可靠性:確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵���。為防止計(jì)算機(jī)失效、程序錯(cuò)誤�����、系統(tǒng)軟件錯(cuò)誤等威脅���,通過(guò)控制與預(yù)防確保系統(tǒng)安全可靠。
三�����、信息安全技術(shù)
1.防火墻技術(shù)��。防火墻在網(wǎng)絡(luò)間建立安全屏障�����,根據(jù)指定策略對(duì)數(shù)據(jù)過(guò)濾、分析和審計(jì)��,并對(duì)各種攻擊提供防范��。安全策略有兩條:一是“凡是未被準(zhǔn)許就是禁止”�����。防火墻先封閉所有信息流��,再審查要求通過(guò)信息��,符合條件就通過(guò)��;二是“凡是未被禁止就是允許”�����。防火墻先轉(zhuǎn)發(fā)所有信息�����,然后逐項(xiàng)剔除有害內(nèi)容�����。
防火墻技術(shù)主要有:(1)包過(guò)濾技術(shù):在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過(guò),核心是安全策略即過(guò)濾算法設(shè)計(jì)�����。(2)服務(wù)技術(shù):提供應(yīng)用層服務(wù)控制�����,起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用�����。服務(wù)還用于實(shí)施較強(qiáng)數(shù)據(jù)流監(jiān)控�����、過(guò)濾���、記錄等功能。(3)狀態(tài)監(jiān)控技術(shù):在網(wǎng)絡(luò)層完成所有必要的包過(guò)濾與網(wǎng)絡(luò)服務(wù)防火墻功能���。(4)復(fù)合型技術(shù):把過(guò)濾和服務(wù)兩種方法結(jié)合形成新防火墻���,所用主機(jī)稱(chēng)為堡壘主機(jī)�����,提供服務(wù)���。(5)審計(jì)技術(shù):通過(guò)對(duì)網(wǎng)絡(luò)上發(fā)生的訪問(wèn)進(jìn)程記錄和產(chǎn)生日志,對(duì)日志統(tǒng)計(jì)分析���,對(duì)資源使用情況分析��,對(duì)異?����,F(xiàn)象跟蹤監(jiān)視��。(6)路由器加密技術(shù):加密路由器對(duì)通過(guò)路由器的信息流加密和壓縮�����,再通過(guò)外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密�����?�!?.加密技術(shù)��。為保證數(shù)據(jù)和交易安全��,確認(rèn)交易雙方的真實(shí)身份��,電子商務(wù)采用加密技術(shù)�����。數(shù)據(jù)加密是最可靠的安全保障形式和主動(dòng)安全防范的策略��。目前廣泛應(yīng)用的加密技術(shù)有:(1)公共密鑰和私用密鑰:也稱(chēng)RSA編碼法��。信息交換的過(guò)程是貿(mào)易方甲生成一對(duì)密鑰并將其中一把作為公開(kāi)密鑰公開(kāi)���;得到公開(kāi)密鑰的貿(mào)易方乙對(duì)信息加密后再發(fā)給貿(mào)易方甲:貿(mào)易方甲用另一把專(zhuān)用密鑰對(duì)加密信息解密���。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請(qǐng)對(duì)方發(fā)信息將公共密鑰傳給對(duì)方�����,保證傳輸信息的保密和安全�����。(2)數(shù)字摘要:也稱(chēng)安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱(chēng)數(shù)字指紋��,有固定長(zhǎng)度且不同明文摘要成密文結(jié)果不同�����,而同樣明文摘要必定一致���。這串摘要成為驗(yàn)證明文是否真身的“指紋”�����。(3)數(shù)字簽名:將數(shù)字摘要���、公用密鑰算法兩種加密方法結(jié)合。在書(shū)面文件上簽名是確認(rèn)文件的手段���。簽名作用有兩點(diǎn):一是因?yàn)樽约汉灻y以否認(rèn)��,從而確認(rèn)文件已簽署���;二是因?yàn)楹灻灰追旅?����,從而確定文件為真���。(4)數(shù)字時(shí)間戳: 電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性?xún)?nèi)容,數(shù)字時(shí)間戳服務(wù)能提供電子文件發(fā)表時(shí)間的安全保護(hù)�����。
3.認(rèn)證技術(shù)���。安全認(rèn)證的作用是進(jìn)行信息認(rèn)證�����。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份�����,驗(yàn)證信息完整性��,確認(rèn)信息在傳送或存儲(chǔ)過(guò)程中未被篡改。(1)數(shù)字證書(shū):也叫數(shù)字憑證、數(shù)字標(biāo)識(shí)���,用電子手段證實(shí)用戶(hù)身份及對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限���,可控制被查看的數(shù)據(jù)庫(kù),提高總體保密性�����。交易支付過(guò)程中���,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書(shū)證明身份�����。(2)安全認(rèn)證機(jī)構(gòu):電子商務(wù)授權(quán)機(jī)構(gòu)也稱(chēng)電子商務(wù)認(rèn)證中心。無(wú)論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書(shū)發(fā)放���,都需要有權(quán)威性和公正性的第三方完成。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書(shū)并確認(rèn)用戶(hù)身份的企業(yè)機(jī)構(gòu)��,受理數(shù)字證書(shū)的申請(qǐng)��、簽發(fā)及對(duì)數(shù)字證書(shū)管理�����。
4.防病毒技術(shù)。(1)預(yù)防病毒技術(shù)��,通過(guò)自身常駐系統(tǒng)內(nèi)存��,優(yōu)先獲取系統(tǒng)控制權(quán)��,監(jiān)視系統(tǒng)中是否有病毒��,阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)破壞���。(2)檢測(cè)病毒技術(shù)�����,通過(guò)對(duì)計(jì)算機(jī)病毒特征進(jìn)行判斷的偵測(cè)技術(shù)��,如自身校驗(yàn)�����、關(guān)鍵字、文件長(zhǎng)度變化。(3)消除病毒技術(shù),通過(guò)對(duì)計(jì)算機(jī)病毒分析�����,開(kāi)發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件。另外要認(rèn)真執(zhí)行病毒定期清理制度��,可以清除處于潛伏期的病毒���,防止病毒突然爆發(fā)���,使計(jì)算機(jī)始終處于良好工作狀態(tài)���。
四、結(jié)語(yǔ)
信息安全是電子商務(wù)的核心��。要不斷改進(jìn)電子商務(wù)中的信息安全技術(shù)���,提高電子商務(wù)系統(tǒng)的安全性和可靠性。但電子商務(wù)的安全運(yùn)行��,僅從技術(shù)角度防范遠(yuǎn)遠(yuǎn)不夠��,還必須完善電子商務(wù)立法���,以規(guī)范存在的各類(lèi)問(wèn)題,引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展���。
參考文獻(xiàn):
[1]譚衛(wèi):電子商務(wù)中安全技術(shù)的研究.哈爾濱工業(yè)大學(xué),2006
第8篇
1電子商務(wù)的主要安全要素
目前電子商務(wù)(ElectronicCommerce:是利用計(jì)算機(jī)技術(shù)���、網(wǎng)絡(luò)技術(shù)和遠(yuǎn)程通信技術(shù)��,實(shí)現(xiàn)整個(gè)商務(wù)(買(mǎi)賣(mài))過(guò)程中的電子化、數(shù)字化和網(wǎng)絡(luò)化���。人們不再是面對(duì)面的、看著實(shí)實(shí)在在的貨物�����、靠紙介質(zhì)單據(jù)(包括現(xiàn)金)進(jìn)行買(mǎi)賣(mài)交易�����。而是通過(guò)網(wǎng)絡(luò)��,通過(guò)網(wǎng)上琳瑯滿目的商品信息、完善的物流配送系統(tǒng)和方便安全的資金結(jié)算系統(tǒng)進(jìn)行交易。)工程正在全國(guó)迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統(tǒng)的安全性���,即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過(guò)程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來(lái)看���,傳統(tǒng)的買(mǎi)賣(mài)雙方是面對(duì)面的,因此較容易保證交易過(guò)程的安全性和建立起信任關(guān)系��。但在電子商務(wù)過(guò)程中�����,買(mǎi)賣(mài)雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系���,由于距離的限制,因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難���。電子商務(wù)交易雙方(銷(xiāo)售者和消費(fèi)者)都面臨安全威脅��。電子商務(wù)的安全要素主要體現(xiàn)在以下幾個(gè)方面:
信息有效性�����、真實(shí)性
電子商務(wù)以電子形式取代了紙張�����,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提�����。電子商務(wù)作為貿(mào)易的一種形式��,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人��、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)�����。
信息機(jī)密性
電子商務(wù)作為貿(mào)易的一種手段���,其信息直接廠代表著個(gè)人�����、企業(yè)或國(guó)家的商業(yè)機(jī)密�����。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的�����。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的���,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障�����。
信息完整性
電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程���,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整��、統(tǒng)一的問(wèn)題�����。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為��,可能導(dǎo)致貿(mào)易各方信息的差異�����。此外�����,數(shù)據(jù)傳輸過(guò)程中信息的丟失���、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同�����。因此��,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸���、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。
信息可靠性��、不可抵賴(lài)性和可鑒別性
可靠性要求即是能保證合法用戶(hù)對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^�����;不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為���;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式���。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過(guò)在交易合同��、契約或貿(mào)易單據(jù)等書(shū)面文件上手寫(xiě)簽名或印章來(lái)鑒別貿(mào)易伙伴���,確定合同���、契約、單據(jù)的可靠性并預(yù)防抵賴(lài)行為的發(fā)生��。
在無(wú)紙化的電子商務(wù)方式下��,通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的��。因此���,要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人�����、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)��。在1nternet上每個(gè)人都是匿名的�����。原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴(lài)���;接收方在接收數(shù)據(jù)后也不能抵賴(lài)。
2電子商務(wù)的安全技術(shù)討論
2.1電子商務(wù)的安全技術(shù)之一-----數(shù)據(jù)加密技術(shù)
加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式�����,即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)���。
面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層���,使用經(jīng)過(guò)加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息��,從而保證網(wǎng)絡(luò)的連通性和可用性不受損害��。在網(wǎng)絡(luò)層上實(shí)現(xiàn)的加密技術(shù)對(duì)于網(wǎng)絡(luò)應(yīng)用層的用戶(hù)通常是透明的。此外�����,通過(guò)適當(dāng)?shù)拿荑€管理機(jī)制��,使用這一方法還可以在公用的互聯(lián)網(wǎng)絡(luò)上建立虛擬專(zhuān)用網(wǎng)絡(luò)并保障虛擬專(zhuān)用網(wǎng)上信息的安全性���。
面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法���,例如使用kerberos服務(wù)的telnet、nfs���、rlogion等�����,以及用作電子郵件加密的pem(privacyenhancedmail)和pgp(prettygoodprivacy)���。這一類(lèi)加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對(duì)較為簡(jiǎn)單,不需要對(duì)電子信息(數(shù)據(jù)包)所經(jīng)過(guò)的網(wǎng)絡(luò)的安全性能提出特殊要求�����,對(duì)電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。
1)常用的加密技術(shù)分類(lèi):
對(duì)稱(chēng)密鑰密碼算法
對(duì)稱(chēng)(傳統(tǒng))密碼體制是從傳統(tǒng)的簡(jiǎn)單換位代替密碼發(fā)展而來(lái)的��,自1977年美國(guó)頒布des密碼算法作為美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)以來(lái)���,對(duì)稱(chēng)密鑰密碼體制得到了迅猛發(fā)展��,得到了世界各國(guó)關(guān)注和使用。對(duì)稱(chēng)密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類(lèi)�����。
不對(duì)稱(chēng)型加密算法
也稱(chēng)公用密鑰算法��,其特點(diǎn)是有二個(gè)密鑰即公用密鑰和私有密鑰��,只有二者配合使用才能完成加密和解密的全過(guò)程��。
由于不對(duì)稱(chēng)算法擁有二個(gè)密鑰��,因此它特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密���,在Internet中得到了廣泛應(yīng)用���。其中公用密鑰在網(wǎng)上公布��,為數(shù)據(jù)源對(duì)數(shù)據(jù)加密使用�����,而用于解密的相應(yīng)私有密鑰則由數(shù)據(jù)的收信方妥善保管���。
不可逆加密算法
其特征是加密過(guò)程不需要密鑰,并且經(jīng)過(guò)加密的數(shù)據(jù)無(wú)法被解密�����,只有同樣的輸入數(shù)據(jù)經(jīng)過(guò)同樣的不可逆加密算法才能得到相同的加密數(shù)據(jù)���。不可逆加密算法不存在密鑰保管和分發(fā)問(wèn)題���,適合于分布式網(wǎng)絡(luò)系統(tǒng)上使用,但是其加密計(jì)算工作量大�����,所以通常用于數(shù)據(jù)量有限的情形的加密�����,例如計(jì)算機(jī)系統(tǒng)中的口令的加密。
2)電子商務(wù)領(lǐng)域常用的加密技術(shù)
數(shù)字摘要(digitaldigest)
這一加密方法亦稱(chēng)安全Hash編碼法���,由RonRivest所設(shè)計(jì)��。該編碼法采用單向Hash函數(shù)將需加密的明文"摘要"成一串128bit的密文��,這一串密文亦稱(chēng)為數(shù)字指紋(FingerPrint)��,它有固定的長(zhǎng)度�����,且不同的明文摘要成密文,其結(jié)果總是不同的���,而同樣的明文其摘要必定一致���。這樣這串摘要便可成為驗(yàn)證明文是否是"真身"的"指紋"了。
數(shù)字簽名(digitalsignature)
數(shù)字簽名將數(shù)字摘要��、公用密鑰算法兩種加密方法結(jié)合起來(lái)使用�����。在書(shū)面文件上簽名是確認(rèn)文件的一種手段,簽名的作用有兩點(diǎn)���,一是因?yàn)樽约旱暮灻y以否認(rèn)�����,從而確認(rèn)了文件已簽署這一事實(shí)�����;二是因?yàn)楹灻灰追旅?�,從而確定了文件是真的這一事實(shí)���。
數(shù)字時(shí)間戳(digitaltime-stamp)
交易文件中,時(shí)間是十分重要的信息��。在書(shū)面合同中���,文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性?xún)?nèi)容���。在電子交易中��,同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施��,而數(shù)字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)���。
數(shù)字時(shí)間戳服務(wù)(DTS)是網(wǎng)上安全服務(wù)項(xiàng)目,由專(zhuān)門(mén)的機(jī)構(gòu)提供���。時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔��,它包括三個(gè)部分:1)需加時(shí)間戳的文件的摘要(digest)�����,2)DTS收到文件的日期和時(shí)間��,3)DTS的數(shù)字簽名。
數(shù)字證書(shū)(digitalcertificate�����,digitalID)
數(shù)字證書(shū)又稱(chēng)為數(shù)字憑證��,是用電子手段來(lái)證實(shí)一個(gè)用戶(hù)的身份和對(duì)網(wǎng)絡(luò)資源的訪問(wèn)的權(quán)限�����。
數(shù)字憑證有三種類(lèi)型:
·個(gè)人憑證(PersonalDigitalID)
·企業(yè)(服務(wù)器)憑證(ServerID)
·軟件(開(kāi)發(fā)者)憑證(DeveloperID)
上述三類(lèi)憑證中前二類(lèi)是常用的憑證,第三類(lèi)則用于較特殊的場(chǎng)合���,大部分認(rèn)證中心提供前兩類(lèi)憑證���。
3)與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論:
SSL協(xié)議(SecureSocketsLayer)安全套接層協(xié)議
------面向連接的協(xié)議,當(dāng)初不是為電子商務(wù)而設(shè)計(jì)
SSL協(xié)議主要是使用公開(kāi)密鑰體制和X.509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性�����,它不能保證信息的不可抵賴(lài)性��,主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸�����,常用WebServer方式�����。
SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前�����,協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方��,從而為應(yīng)用層提供了安全的傳輸通道�����;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如HTTP�����、FTP�����、TELNET等)以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩?����。SSL協(xié)議獨(dú)立于應(yīng)用層協(xié)議��,因此��,在電子交易中被用來(lái)安全傳送信用卡號(hào)碼�����。
SSL的應(yīng)用及局限:中國(guó)目前多家銀行均采用SSL協(xié)議���,從目前實(shí)際使用的情況來(lái)看��,SSL還是人們最信賴(lài)的協(xié)議�����。但是SSL當(dāng)初并不是為支持電子商務(wù)而設(shè)計(jì)的��,所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端��。它是一個(gè)面向連接的協(xié)議��,在涉及多方的電子交易中���,只能提供交易中客戶(hù)與服務(wù)器間的雙方認(rèn)證,而電子商務(wù)往往是用戶(hù)��、網(wǎng)站�����、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系���;還有�����,購(gòu)貨時(shí)用戶(hù)要輸入通信地址��,這樣將可能使得用戶(hù)收到大量垃圾信件��。
SET協(xié)議(SecureElectronicTransaction)安全電子交易
------專(zhuān)門(mén)為電子商務(wù)而設(shè)計(jì)的協(xié)議���,但仍然不能解決電子商務(wù)所遇到全部問(wèn)題
電子商務(wù)在提供機(jī)遇和便利的同時(shí),也面臨著一個(gè)最大的挑戰(zhàn)���,即交易的安全問(wèn)題�����。在網(wǎng)上購(gòu)物的環(huán)境中�����,持卡人希望在交易中保密自己的帳戶(hù)信息��,使之不被人盜用�����;商家則希望客戶(hù)的定單不可抵賴(lài)���,并且,在交易過(guò)程中��,交易各方都希望驗(yàn)明其他方的身份�����,以防止被欺騙�����。針對(duì)這種情況�����,由美國(guó)Vi sa和MasterCard兩大信用卡組織聯(lián)合國(guó)際上多家科技機(jī)構(gòu)�����,共同制定了應(yīng)用于Internet上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全標(biāo)準(zhǔn),這就是"安全電子交易"(SET)��。它采用公鑰密碼體制和X.509數(shù)字證書(shū)標(biāo)準(zhǔn)�����,主要應(yīng)用于保障網(wǎng)上購(gòu)物信息的安全性��。由于SET提供了消費(fèi)者��、商家和銀行之間的認(rèn)證��,確保了交易數(shù)據(jù)的安全性�����、完整可靠性和交易的不可否認(rèn)性���,特別是保證不將消費(fèi)者銀行卡號(hào)暴露給商家等優(yōu)點(diǎn)���,因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國(guó)際安全標(biāo)準(zhǔn)。
SET的局限性:SET是專(zhuān)門(mén)為電子商務(wù)而設(shè)計(jì)的協(xié)議��,雖然它在很多方面優(yōu)于SSL協(xié)議��,但仍然不能解決電子商務(wù)所遇到的全部問(wèn)題。
2.2電子商務(wù)的安全技術(shù)之二------身份認(rèn)證技術(shù)
為解決Internet的安全問(wèn)題��,世界各國(guó)對(duì)其進(jìn)行了多年的研究�����,初步形成了一套完整的Internet安全解決方案��,即目前被廣泛采用的PKI(PublicKeyInfrastructure公鑰基礎(chǔ)設(shè)施)體系結(jié)構(gòu)��。PKI體系結(jié)構(gòu)采用證書(shū)管理公鑰��,通過(guò)第三方的可信機(jī)構(gòu)CA���,把用戶(hù)的公鑰和用戶(hù)的其他標(biāo)識(shí)信息(如名稱(chēng)、e-mail�����、身份證號(hào)等)捆綁在一起�����,在Internet網(wǎng)上驗(yàn)證用戶(hù)的身份���,PKI體系結(jié)構(gòu)把公鑰密碼和對(duì)稱(chēng)密碼結(jié)合起來(lái)�����,在Internet網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理�����,保證網(wǎng)上數(shù)據(jù)的機(jī)密性�����、完整性���。
在電子交易中���,無(wú)論是數(shù)字時(shí)間戳服務(wù)(DTS)還是數(shù)字證書(shū)(DigitalID)的發(fā)放,都不是靠交易的自己能完成的�����,而需要有一個(gè)具有權(quán)威性和公正性的第三方(thirdparty)來(lái)完成�����。認(rèn)證中心(CertificateAuthority)就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書(shū)�����、并能確認(rèn)用戶(hù)身份的服務(wù)機(jī)構(gòu)�����。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)�����,主要任務(wù)是受理數(shù)字憑證的申請(qǐng)���、簽發(fā)及對(duì)數(shù)字憑證的管理。認(rèn)證中心依據(jù)認(rèn)證操作規(guī)定(CertificationPracticeStatement)來(lái)實(shí)施服務(wù)操作��。
1)認(rèn)證系統(tǒng)的基本原理
利用RSA公開(kāi)密鑰算法在密鑰自動(dòng)管理�����、數(shù)字簽名�����、身份識(shí)別等方面的特性,可建立一個(gè)為用戶(hù)的公開(kāi)密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)��。這個(gè)可信的第三方認(rèn)證系統(tǒng)也稱(chēng)為CA���,CA為用戶(hù)發(fā)放電子證書(shū)���,用戶(hù)之間(比如網(wǎng)銀服務(wù)器和某客戶(hù)之間)利用證書(shū)來(lái)保證信息安全性和雙方身份的合法性。
2)認(rèn)證系統(tǒng)結(jié)構(gòu)
整個(gè)系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境��,系統(tǒng)從功能上基本可以劃分為CA���、RA和WebPublisher���。
核心系統(tǒng)根CA放在一個(gè)單獨(dú)的封閉空間中,為了保證運(yùn)行的絕對(duì)安全�����,其人員及制度都有嚴(yán)格的規(guī)定���,并且系統(tǒng)設(shè)計(jì)為一離線網(wǎng)絡(luò)���。CA的功能是在收到來(lái)自RA的證書(shū)請(qǐng)求時(shí)���,頒發(fā)證書(shū)。一般的個(gè)人證書(shū)發(fā)放過(guò)程都是自動(dòng)進(jìn)行���,無(wú)須人工干預(yù)�����。
證書(shū)的登記機(jī)構(gòu)RegisterAuthority���,簡(jiǎn)稱(chēng)RA,分散在各個(gè)網(wǎng)上銀行的地區(qū)中心�����。RA與網(wǎng)銀中心有機(jī)結(jié)合�����,接受客戶(hù)申請(qǐng)�����,并審批申請(qǐng)���,把證書(shū)正式請(qǐng)求通過(guò)建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心�����。RA與CA雙方的通信報(bào)文也通過(guò)RSA進(jìn)行加密���,確保安全。系統(tǒng)的分布式結(jié)構(gòu)適于新業(yè)務(wù)網(wǎng)點(diǎn)的開(kāi)設(shè)��,具有較好的擴(kuò)充性���。通信協(xié)議為T(mén)CP/IP���。
證書(shū)的公布系統(tǒng)WebPublisher,簡(jiǎn)稱(chēng)WP���,置于Internet網(wǎng)上�����,是普通用戶(hù)和CA直接交流的界面�����。對(duì)用戶(hù)來(lái)講它相當(dāng)于一個(gè)在線的證書(shū)數(shù)據(jù)庫(kù)���。用戶(hù)的證書(shū)由CA頒發(fā)之后���,CA用E-mail通知用戶(hù),然后用戶(hù)須用瀏覽器從這里下載證書(shū)�����。
證書(shū)鏈服務(wù)(有時(shí)也稱(chēng)"交叉認(rèn)證")是一個(gè)CA擴(kuò)展其信任范圍或被認(rèn)可范圍的一種實(shí)現(xiàn)機(jī)制���。如果企業(yè)或機(jī)構(gòu)已經(jīng)建立了自己的CA系統(tǒng)���,通過(guò)第三方認(rèn)證中心對(duì)該機(jī)構(gòu)或企業(yè)的CA簽發(fā)CA證書(shū),能夠使得該企業(yè)或機(jī)構(gòu)的CA發(fā)放的證書(shū)被所有信任第三方認(rèn)證中心的瀏覽器��、郵件客戶(hù)所信任��。
3)中國(guó)金融認(rèn)證中心CFCA的建設(shè)情況
中國(guó)對(duì)電子商務(wù)的發(fā)展也給予了應(yīng)有的重視���。中國(guó)金融認(rèn)證中心CFCA(ChinaFinancialCertificateAuthority)。已于2000年6月29日開(kāi)始對(duì)社會(huì)各界提供證書(shū)服務(wù),系統(tǒng)進(jìn)入運(yùn)行狀態(tài)��。中國(guó)金融認(rèn)證中心作為一個(gè)權(quán)威的���、可信賴(lài)的���、公正的第三方信任機(jī)構(gòu),為參與電子商務(wù)各方的各種認(rèn)證需求提供證書(shū)服務(wù)��,建立彼此的信任機(jī)制���,為全國(guó)范圍內(nèi)的電子商務(wù)及網(wǎng)上銀行等網(wǎng)上支付業(yè)務(wù)提供多種模式的認(rèn)證服務(wù)�����,在不遠(yuǎn)的將來(lái)實(shí)現(xiàn)與國(guó)外CA的交叉認(rèn)證�����。
2.3電子商務(wù)的安全技術(shù)之三網(wǎng)上支付平臺(tái)及支付網(wǎng)關(guān)
網(wǎng)上支付平臺(tái)分為CTEC支付體系(基于CTCA/GDCS)和SET支付體系(基于CTCA/SET)�����。網(wǎng)上支付平臺(tái)支付型電子商務(wù)業(yè)務(wù)提供各種支付手段�����,包括基于SET標(biāo)準(zhǔn)的信用卡支付方式���、以及符合CTEC標(biāo)準(zhǔn)的各種支付手段��。
目前���,在國(guó)內(nèi)可以提供網(wǎng)上支付功能服務(wù)或者網(wǎng)上支付網(wǎng)關(guān)接口的銀行有:
中國(guó)工商銀行牡丹卡中國(guó)銀行長(zhǎng)城借記卡
中國(guó)銀行長(zhǎng)城信用卡招商銀行一網(wǎng)通卡
中國(guó)建設(shè)銀行龍卡MASTER/VISA/JCB卡(適用全球)
上述除中國(guó)銀行長(zhǎng)城借記卡則采用了SET1.2的加密方式外,其余全部采用SSL-128加密方式�����。
支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間���,其主要功能為:將公網(wǎng)傳來(lái)的數(shù)據(jù)包解密��,并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包���;接收銀行系統(tǒng)內(nèi)部的傳回來(lái)的響應(yīng)消息,將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式�����,并對(duì)其進(jìn)行加密���。即支付網(wǎng)關(guān)主要完成通信�����、協(xié)議轉(zhuǎn)換和數(shù)據(jù)加解密功能���,并且可以保護(hù)銀行內(nèi)部網(wǎng)絡(luò)。此外�����,支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書(shū)管理等其它功能��。
第9篇
(一)盜取��、篡改信息���。電子商務(wù)系統(tǒng)的三級(jí)架構(gòu)即電子商務(wù)是交易雙方與后臺(tái)數(shù)據(jù)存儲(chǔ)及事務(wù)處理服務(wù)器的相互關(guān)系�����。由于沒(méi)有進(jìn)行加密保護(hù)���,一切數(shù)據(jù)信息在網(wǎng)絡(luò)上都容易遭到第三方入侵者的截取��。更為嚴(yán)重的是���,一些網(wǎng)絡(luò)黑客會(huì)盜取信息內(nèi)容或篡改信息數(shù)據(jù)以達(dá)到個(gè)人目的。
(二)假冒和惡意破壞�����。由于可以分析傳輸數(shù)據(jù)格式篡改信息���,攻擊者可以冒充合法用戶(hù)發(fā)送假冒信息而不被遠(yuǎn)端用戶(hù)察覺(jué)�����。此外��,攻擊者還可以接入網(wǎng)絡(luò)進(jìn)行信息篡改�����,甚至潛入專(zhuān)業(yè)的內(nèi)部網(wǎng)絡(luò)�����,給網(wǎng)絡(luò)用戶(hù)帶來(lái)極大危害���。
二、電子商務(wù)交易與計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)探討
物聯(lián)網(wǎng)與電子商務(wù)的密切聯(lián)系意味著為了保證電子商務(wù)交易的安全性���,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)必須適應(yīng)更高挑戰(zhàn)���。未來(lái)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)涉及到計(jì)算機(jī)網(wǎng)絡(luò)中的各個(gè)層次,防護(hù)重點(diǎn)主要圍繞電子商務(wù)安全的防護(hù)技術(shù)���,如:身份認(rèn)證��,訪問(wèn)控制�����、數(shù)據(jù)安全�����、通信安全等�����。
(一)入網(wǎng)訪問(wèn)控制技術(shù)�����。訪問(wèn)控制主要是防止網(wǎng)絡(luò)資源不被非法利用和訪問(wèn)�����,是保護(hù)網(wǎng)絡(luò)安全的主要戰(zhàn)略之一���。入網(wǎng)訪問(wèn)控制是保證網(wǎng)絡(luò)安全的第一層控制�����,它通過(guò)用戶(hù)認(rèn)證和密碼輸入來(lái)對(duì)網(wǎng)絡(luò)用戶(hù)進(jìn)行過(guò)濾�����,控制用戶(hù)對(duì)網(wǎng)絡(luò)資源使用的權(quán)利與時(shí)間等��。對(duì)用戶(hù)的入網(wǎng)訪問(wèn)控制主要可以從三個(gè)方面出發(fā)�����,分別是用戶(hù)名識(shí)別與驗(yàn)證��、口令卡與驗(yàn)證�����、用戶(hù)帳號(hào)驗(yàn)證�����。這三方面齊全的情況下��,用戶(hù)才能進(jìn)入所保護(hù)網(wǎng)絡(luò)���。
(二)防火墻技術(shù)。防火墻技術(shù)上目前使用的主要是網(wǎng)絡(luò)安全設(shè)備��。它通過(guò)過(guò)濾���、狀態(tài)檢查�����、服務(wù)等方式達(dá)到安全控制的效果��。防火墻隔離技術(shù)的高低決定電子商務(wù)安全交易與否��。目前互聯(lián)網(wǎng)中使用的防火墻產(chǎn)品主要分為兩大類(lèi)�����,分別基于服務(wù)方式和狀態(tài)檢測(cè)方式��。它采用專(zhuān)業(yè)的操作系統(tǒng)���,能較大程度地保護(hù)操作系統(tǒng)不被黑客利用和攻擊���。但防火墻也存在固有缺點(diǎn):一是防火墻只能在每臺(tái)主機(jī)上安裝防病毒的監(jiān)控軟件,但不能有效防止病毒軟件或文件的傳輸���。二是防火墻不能對(duì)一些不經(jīng)過(guò)防火墻的攻擊進(jìn)行防范���。比如:在允許受保護(hù)的內(nèi)部網(wǎng)外部撥號(hào)中,可以實(shí)現(xiàn)用戶(hù)與Internet的直接連接�����,繞過(guò)防火墻監(jiān)控���,造成了潛在的網(wǎng)絡(luò)安全問(wèn)題��。因此��,應(yīng)該保證內(nèi)外部網(wǎng)絡(luò)之間通道的唯一性�����。三是防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊��。有些數(shù)據(jù)表面上看沒(méi)有病毒�����,但一經(jīng)復(fù)制到主機(jī)上并對(duì)主機(jī)發(fā)起數(shù)據(jù)驅(qū)動(dòng)攻擊���。因此對(duì)來(lái)歷不明的數(shù)據(jù)信息要先進(jìn)行殺毒或程序認(rèn)證,防止?jié)撛诓《镜淖儺惞簟?/p>
(三)數(shù)據(jù)加密技術(shù)��。防火墻技術(shù)對(duì)電子商務(wù)安全性保障只能起到一種被動(dòng)防護(hù)作用�����,難以對(duì)一些不安全因素進(jìn)行有效防護(hù)��。因此,為了保障電子商務(wù)的交易安全�����,需要運(yùn)用到數(shù)據(jù)加密技術(shù)�����。數(shù)據(jù)加密技術(shù)作為電子商務(wù)中普遍采用的安全措施能彌補(bǔ)防火墻的不足之處���。對(duì)于數(shù)字加密技術(shù)的運(yùn)用���,主要是貿(mào)易方根據(jù)需要用于信息交換的環(huán)節(jié)之中。目前的加密技術(shù)可分為兩大類(lèi)�����,即專(zhuān)用密鑰加密與公開(kāi)密鑰加密?����,F(xiàn)在許多企業(yè)運(yùn)用到的PKI技術(shù)中��,密鑰被分解為了公開(kāi)密鑰與專(zhuān)用密鑰一組�����,對(duì)公開(kāi)密鑰實(shí)現(xiàn)非保密式的公開(kāi),對(duì)專(zhuān)用密鑰進(jìn)行加密保存�����,只有貿(mào)易雙方才能掌握密鑰信息���。貿(mào)易雙方在貿(mào)易中利用數(shù)字加密技術(shù)實(shí)現(xiàn)信息交換的過(guò)程是:貿(mào)易方生產(chǎn)一對(duì)密鑰�����,將其中一把作為公開(kāi)密鑰��,貿(mào)易方乙通過(guò)公開(kāi)密鑰對(duì)自身機(jī)密信息進(jìn)行加密后發(fā)送給貿(mào)易方甲��,貿(mào)易方甲再用自己的專(zhuān)用密鑰進(jìn)行信息加密。交易雙方只能用自己的專(zhuān)用密鑰對(duì)公開(kāi)密鑰加密的信息進(jìn)行解密��。
(四)電子簽名技術(shù)���。電子簽名技術(shù)在信息安全上主要運(yùn)用于身份認(rèn)證��、匿名性��、數(shù)據(jù)完整性等方面���。電子簽名技術(shù)是對(duì)公開(kāi)密鑰加密技術(shù)和數(shù)字摘要技術(shù)的聯(lián)合應(yīng)用�����。電子簽名技術(shù)的工作原理為信息發(fā)送方在文本中生產(chǎn)一個(gè)128Bit的報(bào)文摘要�����,并用專(zhuān)用密鑰進(jìn)行加密���,形成發(fā)送方的電子簽名。這個(gè)電子簽名將附加在信息內(nèi)容中一起發(fā)送到接收方�����,接收方運(yùn)用對(duì)方的公開(kāi)密鑰進(jìn)行電子簽名的解密��。
(五)目錄控制技術(shù)���。用戶(hù)可以通過(guò)設(shè)置目錄一級(jí)指定的權(quán)限來(lái)控制網(wǎng)絡(luò)用戶(hù)對(duì)所有文件和子目錄的的瀏覽權(quán)限���。對(duì)目錄和文件訪問(wèn)權(quán)限的控制一般可以通過(guò)八種途徑實(shí)現(xiàn)���,分別是:讀、寫(xiě)權(quán)限��,系統(tǒng)管理員權(quán)限��,創(chuàng)建���、修改���、刪除權(quán)限,文件查找權(quán)限�����,訪問(wèn)控制權(quán)限�����。
(六)屬性安全控制技術(shù)���。屬性安全控制技術(shù)是在權(quán)限安全技術(shù)的基礎(chǔ)上對(duì)電子商務(wù)交易的進(jìn)一步安全保障。對(duì)交易中的雙方的任何網(wǎng)絡(luò)資源都應(yīng)預(yù)先標(biāo)識(shí)出一組安全屬性���,用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限對(duì)應(yīng)一張?jiān)L問(wèn)控制表���,用以表明用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪問(wèn)能力���。
