电子商务安全性分析

电子商务安全性分析（共12篇）

电子商务安全性分析 篇1

一、电子商务支付现状

随着计算机、网络与信息技术等高科技的发展以及各种技术之间的日益融合, Internet进入了我们社会生活的各个领域和环节。无论是机关团体还是家庭个人都能够通过Internet获取各种各样的资源, 共享信息。根据联合国《2004年电子商务和发展报告》, 2000年到2003年, 全球Internet用户达6.75亿人, 约占世界人口的11.8%。如此庞大的使用群体奠定了电子商务发展的基础。

电子支付是电子商务中的主要环节之一。它以金融电子化网络为基础, 以商用电子化设备和各类交易卡及电子货币为媒介, 通过计算机技术和通信技术的完美结合, 将传统的货币交易转变为电子数据的形式储存在银行的计算机系统之中, 通过电子信息传递的形式实现货币的流通与支付过程。这一活动是整个电子商务活动中与人们的日常生活最贴近、最息息相关的, 现代人的生活也越来越多的依赖于电子支付。目前, 在电子商务支付系统中使用的支付工具主要有电子现金、电子钱包、电子支票、信用卡等, 每一种电子货币都有各自的特色及应用领域。其中, 信用卡、电子钱包等都是与我们的日常生活息息相关的。

二、电子商务支付的安全隐患

目前, 电子商务的支付过程发展中的一个瓶颈就是存在很多风险, 易使使用者蒙受物质上或信息上的损失。这些风险存在于多方面, 如无可避免的物理风险、通信过程中的网络风险、黑客与病毒的威胁以及虚假或有缺陷的网站等。对于这些技术性风险, 可以在电子商务的发展过程中通过技术的不断进步来改善支付过程的安全性, 如加密技术的不断发展、SET协议逐渐取代SSL协议、防火墙技术的运用与发展以及对数据库安全性的控制能力的提高等。除了技术上的风险外, 目前我国在电子支付方面的法律法规还不甚完善, 把电子商务单列出来的《电子商务法 (示范法) 》还正在筹备阶段, 对电子支付的保护只能依据《合同法》、《计算机软件保护条例》等法律法规。虽然也有一些电子支付方面的地方法令已经出台, 如《广东省电子交易条例》等。但总体来说, 目前的电子支付在很多情况下仍缺少法律保障, 存在很大的安全隐患。

三、保障电子商务支付安全性的建议

1. 密钥管理。

保障电子商务支付安全性中面临的一个很重要的问题是关于密钥长度的限制问题。当前, 密钥的破译技术在提高, 在没有新的解密形式出现的情况下, 密钥的长度与其安全性是成正比关系的。在一个数据安全公司的解密大赛中, 用56位密钥加密的信息被特别制造的解密计算机仅花费22个小时就破解了, 而长度为64位的密钥破解难度就提高很多, 一个业务精通的黑客也要使用类似硬件花费一个月的时间才可破解。所以, 强制性要求密钥的长度是必要的。

2. 隐私保护。

保障电子商务支付安全性的另一个重要问题是网络隐私的保护。随着Internet的高速扩张与发展, 世界各国的人们都对自己的隐私权表示了莫大的担忧。现实商城中的购物者在某个特定柜台前停留浏览某一种特定商品, 不用担心自己的每个举动都会被记录下来。但当网站使用者在电子商城浏览某个站点时, 其每次点击的内容数据都完全有可能被记录下来。而且, 很多支付过程需要用户提供有用信息, 这些信息也有可能被保存下来, 泄露出去。因此, 强化管理, 并由专门法律来保护使用电子商务活动的支付者也是很必要的。

3. 实名制。

如今, 很多电子支付中的安全隐患都存在于不能辨别身份的外来人员的破坏性操作或诈骗, 而犯罪后由于网络化与电子化的原因无法确认其身份, 令罪犯逍遥法外。如果实名制得到提倡与落实, 一大部分犯罪活动就能在可控制范围之内, 整个网络的安全性会得到很大的改善, 电子支付活动的安全性就有了充分的保障。例如有人利用虚假网站行骗, 如果采用实名制, 该网站的注册人与操作人就有据可循, 限制了不法分子的活动。而信用卡的实名制尤为重要, 目前, 国内已经出现此类信用卡, 对于消费者而言, 即使信用卡遗失或被盗, 甚至密码遗失, 没有实名制身份认证, 其他人也无法使用该卡;对于商家而言, 如果持卡人利用过期信用卡诈骗, 可以通过银行很快找到犯罪证据。目前, 很多领域都在逐渐试行这种实名制度, 如最近提出的手机实名制, 就是为了避免利用手机进行的传销、虚假广告等不法活动。

当然, 实名制也存在很多不足之处, 最大的缺点就是不能很好地保护隐私权。但在安全保障面前, 一定程度上的信息供给是必须的。从另一个角度讲, 由于用户的信息是只提供给相关行业人员的, 如果行业人员奉公守法, 用户就不会有任何损失。如果实名制得以实行, 那么现有的很多安全隐患就可以得以杜绝, 用户的信息被不法分子窃取的可能性就降低很多, 用户在很大程度上其实是受到了更好的隐私保护。

总体来说, 由于中国目前的电子支付过程的管理与法律控制还不完善, 需要政府从各方面加强与提高, 其中最迫切的两点就是密钥长度的限制与实名制的普及。而且, 作为电子支付过程的相关人员不能仅仅依赖于现有技术保护措施, 在日常使用过程中也要多加注意, 增强防范意识, 采取多种自保措施, 以保障自己与他人的安全性。HK

电子商务安全性分析 篇2

标签：

互联网的发展及全面普及，给现代商业带来了新的发展机遇，基于互联网的电子商务应运而生，并成为一种新的商务模式。以互联网为基础的这种新的商务模式，也存在着许多亟待解决的问题。调查显示，网络安全、互联网基础设施建设等九大问题是阻碍电子商务发展的主要因素。其中，安全问题被调查对象列在首位人们在享受电子商务带来极大方便的同时，也经常会被安全问题所困扰，安全问题成为电子商务的核心问题。

案例一：计算机病毒事件时常发生如：2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种.一只憨态可掬,颔首敬香的“熊猫”在互联网上疯狂“作案”.在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户,网吧及企业局域网用户,造成直接和间接损失超过1亿元，计算机网络设备，电子商务依赖计算机系统的正常运行得以开展业务，网络设备本身的物理故障，将导致电子商务无法正常进行；网络恶意攻击，使得网络被破坏、导致系统瘫痪。由此可见，网络一方面给我们带来方便，另一方面也给我们带来了不可估量的损失，来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时，网络安全是首先要解决的问题。

案例二：作为高科技犯罪的典型代表之一，银行网络安全事故近两年来在国内频频发生。去年年末，互联网上连续出现的假银行网站事件曾经轰动一时。一个行标、栏目、新闻、图片样样齐全的假冒中国银行网站，竟然成功划走了呼和浩特一名市民银行卡里的2.5万元。且随后不久，假工行、假农行、假银联网站也相继跟风出现。而早在2003年下半年，我国香港地区也曾出现不法分子伪冒东亚、花旗、汇丰、宝源投资及中银国际网站。由此可知，交易隐患是困扰电子商务正常健康交易的最大障碍。在交易过程中，常存在以下隐患。假冒问题，攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，进行信息欺诈与信息破坏，从而获得非法利益

案例三：有些人有了大量盗窃来的游戏装备,账号,并不能马上兑换成人民币.只有通过网上交易,这些虚拟货币才得以兑现.盗来的游戏装备,账号,QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖.一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币。可见有些人趁机而入利用网路的虚拟性来谋取个人的利益，我们生活中常常会不知不觉上当受骗，甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道。

案例四：我们身边时常发生一些有关电子商务的安全问题：随着网络的迅速发展不断有用户投诉密码被更改，邮箱邮件被别人收走。还有的栏目信息被入侵者修改，换成莫名其妙的内容，更猖狂的是，该入侵者居然公然加了一个自己的帐号，并将其设置为管理员。经本站安全技术人员C检查，其网站至少存在2个致命漏洞，一个中等程度的漏洞和若干个配置错误。其中一个致命漏洞在于RPC程序中的一个守护进程。该守护进程的漏洞在Internet上发布已经有半年，但管理员既没有对该进程的程序打补丁，也没有关掉该服务。实际上这个服务是没有必要打开的。这个守护进程中存在一个缓冲区溢出错误，并且有黑客针对该错误写了一段攻击程序，公布在黑客BBS上。该攻击程序通过缓冲区溢出错误可以使入侵者在这台机器上用任何身份执行任何指令。该溢出发生的时候这个守护进程程序报错，这表明入侵者的确是利用这个漏洞进入系统的。该网站上的另一个中等程度的漏洞是finger服务，该服务暴露了这台机器的用户名。本站安全技术人员通过修改系统初始化文件和修补漏洞的工作以后，有效地防止了以后同类现象发生。该网站的运行没有出现过有关安全的投诉。此类问题未能得到很好的解决，更多的用户的权益受到侵害。

电子商务支付平台的安全问题分析 篇3

关键词：电子商务；支付平台；分析；安全问题

中图分类号：TP393.08

电子商务是一种新型的网络化的经济交易活动，这一行业的发展可以说是信息化对于商业化的带动，如此一来就转变了经济发展模式，很大程度上提高了国家经济运行的效率，同时也在其质量上有所提高，向我国实现全面建设小康社会的宏伟目标迈了一大步。然而，就当前形势看来，电子商务支付平台最大的问题就是存在安全隐患，保障资金安全是当下最应当解决的问题，由于技术问题、资金管理问题或是第三方支付平台问题造成的安全问题受到极大关注，积极对这些产生的安全问题进行分析，并做出得力对策是当务之急，是电子商务更加迅猛发展的必要前提。

1 电子商务支付平台的概念

电子商务发展迅速，大众进行网上交易已经几乎成为日常生活的一部分。电子商务平台即消费者在网上进行资金支付活动，这已俨然成为电子商务发展的必然趋势。电子商务支付平台也就是说有商家提供平台，通过连接器将网上的商家与各大银行建立连接关系，以此实现网上支付。常见的电子商务支付平台有第三方支付企业、国内电子商务的交易平台延伸出的在线支付工具、国家银行阵营以及以运营商为代表的诸多移动支付企业。一般来说，支付平台根据不同的对象可以实现很多不同的功能，类似于相对于支付平台而言，它的功能就是进行差错处理、市场资金结算、客户资金结算以及对备付金存管账户资金头寸挑拨等，相对银行而言，它的功能是进行支付交易、转账、清算等。

2 电子商务支付平台的安全问题

2.1 尚待完善的法律法规

电子商务支付平台若想解决其安全问题就必须有完善科学的法律法规作保障，当前状况而言，完善加强法律法规环境的建设着实有必要，电子商务的迅速发展，若是没有一个科学的基本的便准遵循，必然会引发一系列不利现象，全面加强法律法规的统筹规划以及协调配合才能最大程度上是保证电子商务支付平台安全的基础。一套完善科学的法律法规是所有行业产业能够安全可靠运行下去的硬性保证，只有法律法规问题得以全面解决，才能在电子商务支付平台的安全问题上看到着实有力的成效，因而，建立完善一套科学的法律法规尤为必要，这是电子商务支付平台能够科学可靠运营的基础。

2.2 电子商务的支撑体系匮乏

现状看来，电子商务体系的发展速度极其乐观，然而，无论什么行业，无论任何产业，一旦缺失了必要的支撑体系，一定会对整个行业整个产业的发展造成极其恶劣的影响。当下，电子商务支付平台的支撑体系处于一个匮乏的环境之中，类似于完善的安全认证体系，现代建设迟缓的物流体系，或者是电子商务以及电子商务支付的标准以及支付的规则规范都没有明确的标准，如此一来，极易使得电子商务支付平台处在一个混乱的环境里，所有环节的运行都是没有保障的，正阳的运营模式仿佛是没有骨架的身躯，一定是站不住脚。因而，支撑体系的匮乏作为电子商务支付平台出现安全问题的一大因素，应当快速解决，这样才能最大程度保证这一平台的安全问题。

2.3 无可遵循的标准规范

电子商务支付平台若单从出现时间来看是极久远的，这一行业的电子商务门户网站很久前就已经创建完成，现在看来，并没有一个完整的标准可以对其进行参考遵循，因而现状看来，着实存在一些资金风险。类似于很久前就出现的支付平台建立的缓冲账户，或者是曾经发行的所谓的Q币，这些产业都造成了大量的“资金池”沉淀，如此一来，这些大规模游离于商业银行监管领域之外的企业或个人，很大程度上加强了央行以及银监会的工作难度，就目前现状来看，这是当前我国国内最为强力的资金市场隐患，存在着极大的金融风险。如此一来，没有可以遵循的标准规范，已久建立的电子商务网站还游离于监管领域之外，就使得电子商务支付平台的安全问题受到极大的威胁。

2.4 宣传教育力度欠缺

虽然就当前形势看来，电子商务支付平台已经逐渐渗透到人们的日常生活里，然而，人们对于电子商务的应用意识还是十分薄弱的。由于对于公民就电子商务平台这一产业的宣传教育力度十分欠缺，就使得公民对于电子商务支付平台的应用意识还处在一个相对比较生疏的境地，因而，公民在进行这一内容的应用时，会有比较薄弱的环节，电子商务对于人才的培养尚且跟不上现实社会对于这一产业的基本需求，因此加大对人们的宣传教育力度十分有必要。

2.5 参与国际竞争的力度欠佳

电子商务支付平台最为一种与时代接轨的产业，它是随着社会进步衍生而出的产物，因此，与全世界进行抗衡并从中获益对于我国电子商务支付平台的更迅速健康发展十分重要。然而，就当前形势看来，我国目前参与国际竞争的力度欠佳，这也是导致电子商务出现安全问题的一大因素，应当积极参与国际的电子商务重要规则，对其示范法进行研究制定，时刻关注国际电子商务支付平台的发展动态，以求得自身的突破和发展，旨在为电子商务支付平台的安全问题做出保障。

3 针对安全问题的简要分析

电子商务支付平台出现以上种种安全问题不外乎几个主要因素，对以下几个主要因素做出简要分析才能最大程度上保证电子商务支付平台的安全。

确保电子商务支付平台的地位合法，这样一来就解决了电子商务支付平台存在恶意吸收公众资金的现象，地位合法在很大程度上也表现出了它是一个凭借法律法规进行科学运营的平台，基本上在一定程度上解决了由于无法律法规造成的支付平台安全问题，加强完善法律法规建设，加强监管力度，防止资金安全问题频发；电子商务平台应当有市场准入的资质，然而，现阶段看来，这是我国法律的空缺地带，唯有设置明确的法律条文规定，对其市场准入资质做出明确的法律规定，才能使得支付平台正常运营，使其有可靠的支撑骨架以及可遵循的规则标准；针对对于人们的宣传教育力度欠佳造成的电子商务支付平台安全问题，应当是对公众进行有力的宣传，考虑建立健全的保障制度，旨在保障电子商务支付平台的安全性能，确保金额支付行为的过程能够得到监控，确保真实的交易基础；电子商务支付平台应当由银监会以及工信部进行协同监管，更大力度协调成本，从而加大效率，使其在发展方面有一个可观的经济体制，全面加强其在国际竞争方面的力度，与世界接轨的电子商务平台对于其安全问题的性能提升有着重要的意义，进一步保证了电子商务支付平台健康科学的发展下去并极大程度造福于公众，方便于社会，为我们的生活转向信息化提供了一个非常良好的平台。

4 结束语

总而言之，电子商务支付平台作为网上进行经济交易活动的“主战场”，它是目前支付产业链上最为重要、最为核心，也是唯一一種能渗透到行业发展中的环节，保证其安全问题是当务之急，积极针对各种类型的安全问题进行全面而透彻的分析，继而采用科学有效的对策以保证这一平台的安全性能。针对具体安全问题，在技术、管理以及用户资金方面做出调整，实现安全管理。

参考文献：

[1]吴天阳.电子商务环境下用户数据的安全管理研究[J].中国商贸，2014（03）：56-57.

[2]汤娜.电子商务安全技术的分析与探讨[J].硅谷，2014（05）：97-98.

[3]谭汉元.电子商务网络安全支付问题浅析[J].电子商务，2011（01）：102-103.

作者简介：陈玙玲（1984-），女，教师，研究方向：电子商务和计算机应用基础教学。

电子商务安全性分析 篇4

关键词：支付模式,安全,认证,加密,移动电子商务

1 中国移动电子商务的发展

《中国互联网络发展状况统计报告》显示,截至2015 年12 月,我国网民人数达到了6.88 亿,互联网普及率为50.3%;移动端网民人数6.2 亿,占总网民人数的90.1%,Wi Fi的使用率提升到91.8%。

根据研究公司易观国际报告显示,支付宝支付占2015 年总交易额的73%,其次是微信支付,约占13%。经过评估,中国人2015年使用移动设备进行操作的总额达到了16.4 万亿元人民币,是2013 年的12 倍左右。

阿里巴巴和腾讯等互联网公司将各自的支付系统与他们所提供的外卖、订票、通信联系起来,同时积极与全国各地的零售商合作,包括餐馆、夫妻店、沃尔玛等。这些中国互联网企业的积极探索,使中国移动支付站在了全球前列。

2 移动电子商务支付模式概况

2.1 以移动运营商为主体

当前,国内的三大移动运营商在价值产业链中处于绝对垄断地位,它们手中掌握着大量真实且准确的用户资料,主要应用在办理代收费业务和小额支付业务上。但从实际使用情况来看,这种支付方式安全性低且金额有限,无法完成大额交易且容易造成用户经济上的损失。

2.2 以银行为主体

银行与其他金融机构相比有着先天优势,它们建立了覆盖全面且功能强大的基础支付体系,能为用户提供可靠的金融服务。但这种方式也存在不足之处,它仅仅局限于各个银行之间,业务具有很强的独立性,资源整合相对困难。

2.3 以第三方支付为核心

第三方支付提供商主要的优势在于能够在一定程度上整合以上两种模式的资源,进行第三方认证和支付认证。这种模式的适用范围广泛,大额小额都能支付,且第三方平台能够充分带动移动价值产业链上的各方机构进行广泛合作,是推动我国移动业务发展的重要方式。

3 移动电子商务的安全性分析

3.1 移动电子商务的安全现状

3.1.1 手机设备安全

银联发布的2015 移动互联网支付安全调查报告显示,超过10% 的受访者在去年曾遭遇网络诈骗。其中,约50% 的受访者表示其在使用社交账号时被骗,与此同时,用户还面临着手机或移动设备被植入木马病毒的安全风险。

3.1.2 交易信息的安全

无线网络的开放性特征导致其成为移动设备的安全隐患,一些不法人员通过部分仪器和设备,可以截获用户信息,损害用户的支付安全。

3.1.3 消费者个人信息安全及维权

消费者协会发布的报告称,在2015 年,有超过2/3 的受访者信息遭到泄露,而在个人信息遭受侵害后,选择“不采取措施,保持沉默”的比例达到了38.06%;选择“诉诸法律”的人占比最少,为16.03%。调查显示,商业利益驱动是当前侵犯个人信息行为泛滥的主要原因,同时,我国没有统一的法律制度也是重要原因之一。调查取证困难、对不法分子的惩罚力度不足、难以确定侵权人等都是维权道路上的绊脚石。

3.1.4 手机病毒

智能手机的强大,也促使不法人员瞄准了这一终端,手机病毒就是其攻击手段之一。它能直接攻击手机,导致手机瘫痪无法工作,盗取手机信息,影响网络信号的接收与发送,这是安全问题中的毒瘤之一。随着安卓和苹果的版本升级、用户自身安全意识的提高和相关安全行业的服务,这一问题正在逐步得以解决。

3.2 常用的安全技术及其应用

3.2.1 加密技术

一种最基本的安全机制,通信时明文可以被转换为密文,只有知道解密密钥才能还原原来的明文。它的主要目的是为了防止传输信息的非授权访问,是信息交换的基础。在最新的科技成果中,量子加密技术已经处于实验和验证阶段,我国在天宫2 号飞船上会进行相关实验。

3.2.2 认证技术

认证技术主要是验证发送者和接受者的真伪和消息的完整性,以及验证信息在传送和存储中是否被篡改。一般通过以下技术手段实现:数字签名、数字证书、VPN技术、生物特征识别技术。

4 结语

中国移动电子商务发展到今天,其影响范围和受益人群都及其庞大,我国正处于移动电子商务发展的高速期,随着“一带一路”政策的逐步实施,其爆发出的商业机会和潜力也将越来越大,而在此过程中,要维持好移动电子商务的发展,不仅要从安全技术方面进行提升,如指纹识别,还要完善相关法律,如《非银行支付机构网络支付业务管理办法》等制度的实施,同时,还要加强人们对移动电子商务的信任,随着移动电子商务发展中所面临的问题逐步得以解决,人们会越来越体会到新型电子商务的魅力。

参考文献

电子商务安全性分析 篇5

1.SSL协议提供的服务主要有

(1)用户和服务器的合法性认证；

(2)加密数据以隐藏被传送的数据；(3)维护数据的完整性，2.SSL协议的工作流程

(1)接通阶段：客户通过网络向服务商发送连接信息，服务商回应；

(2)密码交换阶段：客户与服务器之间交换双方认可的密码，一般选用RSA密码算法，也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法；

(3)会谈密码阶段：客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；

(4)检验阶段：服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。

(5)客户认证阶段：服务器通过数字签名验证客户的可信度；

(6)结束阶段，客户与服务商之间相互交换结束的信息。

3.SSL协议的缺点

（1）客户的信息先到商家，让商家阅读，这样，客户资料的安全性就得不到保证。

（2）SSL只能保证资料信息传递的安全，而传递过程是否有人截取就无法保证了。所以，SSL并没有实现电子支付所要求的保密性、完整性，而且多方互相认证也是很困难的。

4.电子商务中的应用。电子商务与网上银行交易不同，因为有商户参加，形成客户――商家――银行，两次点对点的SSL连接。客户，商家，银行，都必须具证书，两次点对点的双向认证。

第三张SET 概念: SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。

1。SET支付系统的组成

SET支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部分组成。对应地，基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。

2。SET安全协议主要提供三方面的服务

（1）保证客户交易信息的保密性和完整性：

（2）确保商家和客户交易行为的不可否认性：

（3）确保商家和客户的合法性：

3。SET协议的缺点

（1）只能建立两点之间的安全连线，所以顾客只能把付款信息先发送到商家，再由商家转发到银行，而且只能保证连接通道是安全的而没有其他保证。

（2）不能保证商家会私自保留或盗用他的付款信息。

4.SET的工作流程

①消费者在互联网选所要购买的物品，并在计算机上输入订货单

②通过电子商务服务器与有关商家联系，商家作出应答，告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确、是否有变化

③消费者选择付款方式，确认订单，签发付款指令，此时SET开始介入 ④在SET中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的足球新闻账号信息

⑤商家接受订单后，向消费者所在银行请求支付认可，信息通过支付网关到收单银行，再到电子货币发行公司确认，批准交易后，返回确认信息给商家

⑥商家发送订单确认信息给消费者，消费者端软件可记录交易日志，以备查询

⑦商家发送货物或提供服务，并通知收单银行将钱从消费者的账号转移到商店账号，或通知发卡银行请求支付。

第四张：SSL与SET协议的比较

（1）在认证要求方面，早期的SSL并没有提供商家身份认证机制，不能实现多方认证；而SET的安全要求较高，所有参与SET交易的成员都必须申请数字证书进行身份识别。

（2）在安全性方面，SET协议规范了整个商务活动的流程，从而最大限度地保证了商务性、服务性、协调性和集成性。而SSL只对持卡人与商店端的信息交换进行加密保护，可以看作是用于传输的那部分的技术规范。从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性。因此SET的安全性比SSL高。

（3）在网络层协议位置方面，SSL是基于传输层的通用安全协议，而SET位于应用层，对网络上其他各层也有涉及。

（4）在应用领域方面，SSL主要是和Web应用一起工作，而SET是为信用卡交易提供安全，但如果电子商务应用是一个涉及多方交易的过程，则使用SET更安全、更通用些。

总结

车载电子通信安全技术分析 篇6

关键词：车载电子通信；安全技术；研究与发展

引言

如今的社会，汽车功能别出心裁，电子通信设备早已广泛的应用到汽车上，车载电子通信设备为广大车主提供了巨大的便利，但是随之而来的问题就是车载电子设备的安全性问题，虽然说生产商在尽力使其完美，但毕竟存在一些不足的地方，车载电子设备的通信网络极为复杂设计的范围十分的广泛如：计算机、通信技术、汽车技术等等，十分庞杂，所以安全问题的要求不容疏忽。不断地改进完善对车载电子通信设备的发展和生存具有重要的意义和作用。

一、车载电子通信设备安全的重要性

就目前而言，广大车主担心的问题莫过于车载电子通信设备的信息安全性问题，这关乎到每个人的隐私问题。因此，对于车载电子通信设备具有保密功能是十分重要的。确保通讯数据的安全可靠、及时有效是车载电子通讯设备设计时必须考虑到的问题。目前车载电子通讯设备一般工作于实时监测车辆的行驶安全信息、行驶周围的环境以及车内的无线通讯状况等。所以，如何确保车载电子通讯设备的通讯信息能够正确的传输数据、不被外界拦截获取，以及出现拦截后，怎样保证传输数据不被破译外泄也是目前车载电子通讯设备的生产主要所在。

确保车载电子通讯设备的通讯信息认证功能的可靠性，就是避免信息不被外界篡改，以及防止外界介入。在信息传递的过程中保证信息的可靠性、安全性、及时性、收发一致性以及完整性都是在生产过程中必须要考虑到的问题。

二、车载电子设备的移动通信功能

车载电子设备的远程信息服务，主要指以下的两个方面：

2.1凭借信息平台的方式

以DSRC为服务中心，用RFID来沟通读取器与标签，从而实现将汽车的轮胎状况、油量使用情况、车内的温度、汽车所排出的尾气等，车子的状态信息送达到服务中心，继而实现远程车子故障的求助。服务中心可以通过车子过路费的花销信息中分析得到车子目前的使用情况，即车子是否有出现失控的可能及车子是否已经出现故障，服务中心一方面可以及时的将这一情况汇报给驾驶员，另一方面可以又可以操纵汽车减速甚至是直接的停止运行，确保了车辆安全人员安全。

2.2以通用的信息平台作为载体实现网络通信

即使用WLAN的形式构建出一个车内的微型网络，与手机WIFI上网和数字通信的形式基本相同，实现信息服务及通信服务。

三、如何提升车载电子设备的安全性

3.1 车载电子通信安全协议

车载电子通信设备在通讯的过程中，很容易受到外界的攻击，主要表现对路由线路的攻击，由于目前的车载电子通讯设备的无线线路大多为对外开放的，所以，如果外界对其节点上的信息内容进行监听窃取一般很难被发现。基于这些问题，目前的电子通信安全协议主要采用Ariadne协议以及SRP协议等等，这些协议的加入，可以有效地阻止路由线路被攻击[1]。

3.2车载电子通信的密钥管理安全技术

为确保通信信息发热安全性、完整性、及时性、可靠性，信息加密是车载电子通信设备在进行通信的过程中较为常用的一种方法，其可以大大的增强通信信息的安全性，所以在目前的车载电子通信设备中这种加密技术应用甚广[2]。

3.3车载电子通信系统入侵检测安全技术

目前的车载电子通信系统入侵检测安全技术，主要采用分析通讯数据判断是否存在外界对信息进行窃取监听，一旦出现可疑现象，后台将立刻做出通讯安全保护措施，以防信息外泄。

3.4加大科技创新的力度，完善车载电子通信系统的安全机制

任何一个企业想要创建一套完好的车载电子通信设备，都要大力创建新的高科技产品，跳出已有的框框，研究更加新潮的高科技产品，不断地完善、不断地创新，加大力度开发新的软件，适当的对开放人员给予相应的福利，鼓励生产创新的积极性，身心投入才能开发出适应时代的新产品，从而满足车载电子通信设备安全通信的市场需求，不断地改善、不断地提高、不断地创新、不断地加强车载电子通信设备的安全性问题、不断地修复使用过程中所出现的一系列的漏，才能真正的使各个通信系统联合起来、联合工作、联合抵挡外界的入侵，实现新的跨越[3]。

3.5做好车载电子通信系统数据资料保密工作

现在的车载电子通信系统可以有效地利用硬件与软件系统实现车辆与车辆之间的实时通信，那么这样就保证驾驶员可以及时的了解到其他车辆的最新信息以及路况的信息以及周边环境当时状况，从而实现信息的快速地交流，提高了车辆在行驶中的安全性，如果认真做好车载电子通信的保密工作就可以提高车载电子通信系统的资料安全性，防止车辆的信息、路况的信息被任意地泄露或者其他设备的入侵。当然首要的任务就是需要做好车载电子系统的通信保密工作[4]。我们可以知道现在的网络技术非常高明，现在可以利用一些网络技术管理路况信息与辆信息，实现车辆的信息传播、下载等各项信息操作的完整记录，从而可以防止资料的外泄。

三、结语

在目前这种地面上的通讯网络被破坏的极其严重的情况下，车载电子通信不得不向着车路通信的方向发展，目前的车载电子通信设备较为广泛的应用于城市交通监管、汽车尾气排放以及汽车行驶安全领域，在确保汽车通信安全的同时，减少了不必要的驾驶安全问题，确保安全出行，保正个人的合法权益的同时也是对他人生命的一种尊重，所以加大力度开发新的车载电子通信设备，突破通信安全的瓶颈，不久的未来我国的车载电子通信设备定会更上一层楼！

参考文献：

[1]吴珏.电子通信技术创新分析[J].科技风，2011，10（8）：97-98.

[2]宋连进，韩秀荣，李立新.通信技术管理与创新探析[J].电子技术与软件工程，2014，5（7）：54-55.

[3]郁建铭.一种车联网智能终端设计及其路由算法研究[D].南京邮电大学，2012，6（7）：43-44.

电子商务安全性分析 篇7

随着计算机技术和Internet的飞速发展, 商业活动实现了电子化, 从而发展成为电子商务。电子商务借助互联网、企业内部网和增值网等计算机与网络和现代通信技术, 按照一定的标准, 利用电子化工具, 将传统的商业活动的各个环节电子化、网络化, 从而以数字化方式来进行交易活动和相关服务活动。

电子商务包括电子货币交换、供应链管理、电子交易市场、网络营销、在线事务处理、电子数据交换 (EDI) 、存货管理和自动数据收集系统。电子商务完全不同于传统的商务活动, 它是一种以网络为载体的新的商务运作方式[1]。由于Internet的开放性和共享性等特点, 给信息安全带来了极大的威胁。SSL (Secure Sockets Layer:安全套接层) 是电子商务中常用的一种安全电子交易协议, 对信息传输起到了加密和认证的作用, 为商务的信息安全提供了可靠的保障, 在网上银行、电子商务等应用中得到了广泛的应用。

2. SSL协议栈

SSL时由网景公司开发的用于提供因特网通信的安全协议, 可以作为具备安全能力的标准的TCP/IP套接字SPI, 被广泛地应用于WWW的认证和加密通信, 目前, 主流浏览器和服务器都支持SSL协议。

SSL位于应用层协议和面向连接的网络层协议TCP/IP之间, 由多个协议组成, 采用两层协议体系结构, 如图1所示[2]。

其中, SSL记录协议规定了数据传输格式, 而SSL握手协议使得服务器和客户能够相互认证对方的身份, 协商加密和MAC算法以及用来保护SSL记录中发送的数据的加密密钥, 是SSL中最复杂的协议。

2.1 SSL记录协议

SSL协议栈的底层是SSL记录协议, 用于实现在客户机和服务器之间传输应用数据和SSL控制数据。SSL记录协议操作过程包含五个步骤:

第一步:分段。SSL需要将每一个高层消息进行分段, 使其长度不超过214字节。

第一步:选择是否需要压缩处理。SSL协议并没有指定必须采用何种压缩算法, 只要保证压缩是无损的即可, 并且, 压缩处理不会导致数据包增加1024字节以上长度的内容。

第三步:计算消息验证码。SSL利用下面的哈希函数计算消息验证码:

Hash (MAC_write_secret+pad_2+hash (MAC_write_secret+pad_1+s eq_num+SSLCompressed.type+SSLCompressed.length+SSLComoressed.fragment) ) ;

其中, “+”表示连接操作;MAC_write_secret为客户服务器共享的密钥;pad_1为字符0x36的若干次重复, pad_2为字符0x5c的若干次重复, 当采用MD5算法是, 重复48次, 采用SHA时则重复40次;hash即为哈希算法;SSLComoressed.type为处理分段的高层协议类型;SSLCompressed.length为压缩分段的长度;SSLComoressed fragment为压缩分段。

第四步:加密。MAC运算后使用对称加密算法对添加了MAC的压缩消息进行加密。

第五步:添加协议报头。

2.2 改变密码规范协议

改变密码规范协议时使用SSL记录协议的三个特定协议中最简单的一个, 其处理的实质就是从一种加密算法转变为另外一种加密算法。SSL密码规范可以在任何需要的时候进行改变, 但通常都是在SSL握手协议结束时才改变。

另外, SSL使用告警协议来通过SSL记录协议来传输特定类型的告警消息。

2.3 SSL握手协议

握手协议是SSL中最复杂的协议, 该协议允许客户和服务器相互验证、协商加密和MAC算法以及密钥, 用来保护SSL记录发送的数据。上述功能由一系列客户机和服务器的交换消息来实现, 主要由以下几个部分组成:

(1) 协商数据传送期间使用的密码组;

(2) 建立和共享客户与服务器之间的会话密钥;

(3) 客户认证服务器 (可选)

(4) 服务器认证客户 (可选)

SSL握手协议的工作过程包括如下个步骤:

(1) 客户和服务器交换Hello消息, 用于建立双方的安全参数;

(2) 完成实际的密钥交换;

(3) 客户机发送change_cipher_spec消息, 并改变自身状态。

3. 基于SSL的电子商务的安全性分析

3.1 SSL协议的优势和特点

SSL协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。其安全特性主要体现在如下几个方面:

(1) 在SSL握手过程中采用了DES、MD5等有效的加密措施对客户机和服务器之间传送的数据进行了加密处理, 保证了数据的机密性。

(2) 利用密码算法和散列函数计算所传送数据的消息验证码, 保证了数据的完整性。

(3) SSL采用X.509数字证书来进行鉴别和第三方认证, 让客户机和服务器相互识别身份, 保证了认证性。

(4) SSL的另一优势在于SSL与应用层协议相互独立的, 高层的HTTP、FTP、Telnet等都透明地建立于SSL协议之上, 这使得SSL具有与应用协议无关性。

(5) SSL对消息验证码MAC的计算中包含了一个不断变化的序列号参数, 因此, SSL具有很好的抗重放攻击特性。

3.2 基于SSL的电子商务的隐患和不足

然而, SSL本身的工作机制也存在一些漏洞, 这使得基于SSL的电子商务存在一些潜在的安全隐患和安全攻击[3]。

(1) SSL不能提供交易的不可否认性。SSL协议是基于Web应用的安全协议, 它只能提供安全认证, 保证SSL链路上的数据完整性和保密性。却不能对电子商务的交易应用层的信息进行数字签名, 因此, SSL不能提供交易的不可否认性, 这可以说是SSL在电子商务中最大的缺陷。

(2) SSL只能提供客户机到服务器之间的两方认证, 无法适应电子商务中的多方交易业务。

(3) SSL易遭受Change Cipher Spec消息丢弃攻击。由于SSL握手协议中存在一个漏洞:在fi nished消息中没有对变换加密的说明消息进行认证处理, 在接收到该消息前, 所有的密码族都不做任何加密处理和MAC保护, 只有在接收到Change Cipher Spec消息之后, 记录层才开始对通信数据进行加密和完整性保护。这种处理机制使得SSL易遭受Change Cipher Spec消息丢弃攻击。

(4) SSL无法避免通信业务流分析攻击。由于SSL位于TCP/IP的协议层之上, 因此, 无法对TCP/IP协议头部进行保护, 导致潜在的隐患。攻击者通过获取IP地址、URL请求的长度以及返回的Web页面的长度等信息, 可以分析出用户访问的目标, 再加上SSL协议只支持对块密码的随机填充, 没有提供对流式密码算法的支持, 使得SSL无法阻止这类攻击。

4. 总结

电子商务正飞速地发展。用于保障电子商务活动的安全协议主要有S-HTTP、STT、IKP、SET和SSL。其中SSL协议是目前电子商务采用的主要的网上交易协议。SSL协议采用了加密、认证等安全措施, 结合了Hash算法, 较好地保证了数据在传输过程中的保密性、可靠性和完整性, 在一定程度上放置了欺骗、篡改、重放等攻击。本文在介绍SSL协议栈及其工作原理和机制的基础上, 对基于SSL的电子商务的安全性进行了分析。

参考文献

[1]邢双慧.浅谈电子商务与SSL协议[J].硅谷, 2010 (01) :37

[2]胡建伟, 马建峰.网络安全与保密[M].西安:西安电子科技大学出版社, 2006, 07:142

电子商务安全现状分析 篇8

2011年11月11日, 淘宝集市和淘宝商城创造了53.6亿的销售规模;12月12日又创造单日43.8亿的单日成交额。而支付宝作为第三方公司, 每分钟成交额峰值可高达6.3万笔, 其国内市场中所占份额超过51%。

《商务部“十二五”电子商务发展指导意见》中明确提出, 到“十二五”末, 我国规模以上企业应用电子商务比率达80%以上;应用电子商务完成进出口贸易额相当于我国当年进出口贸易总额的10%以上;网络零售额占社会消费品零售总额的9%以上。

由以上例子不难窥见电子商务的火爆程度, 而且随着电子商务交易模式的成熟, 新的交易理念的传播, 可以预见, 电子商务的规模还会继续扩大, 并且进一步取代传统的销售模式。电子商务的繁荣, 给商家带来了巨大的机遇, 也为消费者提供了方便, 但是同时也伴随着许多的问题, 而安全问题则是最需要关注的一个。

电子商务中每一个网络交易的完成一般会涉及到多方:买家, 商家或者个人卖家 (统称商家) , 第三方中介平台, 银行, 实物商品交易还会涉及物流。从交易中所涉及的多方也可看出电子商务与传统交易模式有很大的不同。

交易的过程可以简略的描述如下:买家和卖家, 以及第三方中介, 构成一个交易平台, 以淘宝上的交易为例, 通过淘宝的认证措施, 对买家来说保证商家是可靠的, 对商家来说买家也没有问题了, 通过这个平台, 买卖双方在网络环境中达成交易意向。然后银行加入进来, 买家通过网络, 请求将自己银行账户里的交易资金划拨到第三方中介, 即支付宝平台, 支付宝然后通知卖家货款已到, 可以发货。这儿涉及资金流动的中介, 由于在网络上, 交易双方很难建立信任关系, 而有了一个双方都可以信赖的第三方暂为保管交易资金, 双方就可通过这种间接方式建立起信任关系, 交易方可继续进行下去。接下来商家通过物流, 将商品发送给买家, 买家收到商品后, 没有异议即可通知暂为保管资金的第三方中介, 将暂存的货款交给商家, 交易即告完成。

2. 交易安全问题

根据调查显示, 目前电子商务安全主要存在的问题有如下几个方面:1计算机网络安全、2商品的品质、3商家的诚信、4货款的支付、5商品的递送、6买卖纠纷处理、7商品的售后服务。以上问题可以归结为两大部分:计算机网络安全和商务交易安全。而网络的安全可以归结为两类:一是支付安全, 二是认证安全。

2.1 密码安全问题

在网络交易中, 必然涉及各种账户密码的安全问题, 一旦这些账户密码被不法分子盗取或者猜解出来, 很可能会给当事人带来巨大的经济损失。很多个人或者公司, 对于密码的管理往往不善, 要么使用简单密码, 要么各种账户使用相同的或者有限的几个用户名和密码, 这就给了不法分子可乘之机。而去年年底的各大网站明文密码泄露事件, 给大家提了一个醒, 让人认识到足够强的密码安全意识绝对是有必要的。

2.2 网络病毒、木马问题

在经济利益的驱使下, 网络上各种病毒木马层出不穷, 各种木马的主要目的就是盗取各种账号密码, 这些木马程序会监控用户的操作, 在用户进行登录时记录下键盘输入的用户名和密码。或者采用伪造的登录界面直接骗取用户账号和密码信息。如果这些网站没有更为严密的保障安全的措施, 这些被窃取的账号和密码信息就有可能直接导致受害者的经济损失。

2.3 钓鱼平台

“网络钓鱼”的英文单词为“phishing”, 即单词“fishing”的变写, 这是一种相对古老的网络诈骗手段。攻击者通过伪装成知名银行的网站或者邮件, 骗取用户信息, 受骗者如果经验不足, 就会泄露自己的财务数据, 如信用卡号、账户号和密码等。

2.4 网上认证问题

客户认证是网络交易的前提条件, 只有通过一定的认证手段, 才能让交易双方建立一定的信任关系, 从而保证交易的进行。客户认证主要包括身份认证和信息认证。身份认证就是在交易之前就采用某些方法, 判明和确认交易双方的真实身份, 如淘宝利用用户提供的银行卡信息, 将网上的身份认证转变成银行在现实世界中对个人的身份信息验证, 但是这个过程存在不少漏洞, 例如身份信息的冒用, 这是目前网上交易过程中最薄弱的环节。在实际的运作中, 网络CA电子身份证书有时仍然被人怀疑, 究其原因, 还是在于现实世界中的真实身份与网络中的CA证书持有人无法保证期一致性。

3. 交易安全的保障

针对电子商务网络交易过程中的种种问题, 一个主要障碍就是如何保证数据安全和交易双方的身份认证。因此, 只有建立交易双方的安全和信任, 才能满足电子商务的安全要求, 网络安全是电子商务安全的关键要素, 其包括网络信息的机密性、完整性、真实性、不可否认性等。机密性是指对敏感文件进行加密, 信息不会被未授权的第三方所获, 即使信息被截获, 截获者无法从加密的信息中获得敏感文件的具体内容;完整性是指信息在存储和传输时不会被破坏, 篡改, 同时要防止数据的传输中出现信息的丢失或者重复;真实性是指保证数据和信息的来源可靠, 以确保发送方的真实身份;不可否认性是指发送方对自己发送的信息不能抵赖, 接收方对所收到的事实不能否认, 保证交易过程的不可抵赖性。

3.1 防火墙技术

防火墙通过监控内网数据的进出, 筛选与屏蔽未经授权的访问和数据传递, 有效的避免了外部网络用户以非法手段进入内部网络, 从逻辑上将内网和外网有效的分离开, 从而保证了内部网络数据和计算机的安全[1]。在电子商务中, 利用防火墙技术, 可以有效防止黑客利用不安全的服务对传输数据和信息进行攻击, 从而确保了网络的安全。

3.2 数字摘要技术

通过不可逆的Hash运算需要加密的明文“摘要”成一个固定长度128bit的密文。该密文有固定的长度, 同明文是一一对应的, 其优势在于:对于任意一个x进行HASH运算后, 都是有且只有一个Y值与之对应;而由于逆运算不存在, 要想通过一定的Y值得到X值是做不到的。在传输信息结束后将之前计算的Hash值告诉对方, 对方在接到文件后用相同的方法进行运算, 若得到结果与发送的Hash值一致, 得到的数据是安全可靠的, 反之, 则说明被篡改过。这就可以保证数据的完整性和可靠性。

3.3 身份认证技术

一般来说, 可以通过CA中心的认证来确保用户的真实身份。CA中心是一个电子认证机构, 为交易的当事人进行信任担保, 数字证书就是其通过的一项重要认证。数字证书是指用电子手段来证实一个用户的身份和对网络资源进行访问的权限, 它是一个数字标识, 可实现网络世界总的身份的鉴别认证。由于电子商务中的交易一般无法面对面的进行, 所以对交易双方身份的认定就成为保障电子商务交易的前提, 当前数字证书的广泛运用正说明了这个问题。

3.4 病毒防范技术

电子商务的发展, 一方面提高了交易效率, 另一方面也为使得大量的病毒木马应运而生。鉴于病毒和密码对于电子商务的巨大破坏性, 必须对病毒提高警惕。为防范病毒, 保障安全, 首要方法是安装杀毒软件, 定时查杀病毒, 同时防止病毒在局域网内扩散, 其次对重要的交易数据进行备份, 以防病毒的破坏造成损失。

3.5 加强电子商务法律体系的建设

从制度上规范电子商务, 从法律上保障电子商务安全是非常必要的。虽然电子商务发展的如火如荼, 但是我国在电子商务法律法规的制定上还没有跟上来, 存在不少的漏洞和不合理的地方, 所以我国立法部门要立足于国情, 并吸取和借鉴外国立法的先进经验, 加快我国的电子商务相关的立法进程, 早日使我国的电子商务安全管理走上法制化轨道。

4. 总结

电子商务中的安全保障问题, 是一个复杂的系统工程[2], 既需要技术和设备手段, 也需要制度和相关法律的保障。只有解决了电子商务的安全问题, 才能促进电子商务的蓬勃发展。

摘要：电子商务已经慢慢的渗透到了人们的日常生活, 现在的网购不再仅仅是一种时尚, 更多的是一种新的生活习惯。电子商务中也存在的许多不可忽视的安全问题, 本文分析了电子商务中的一些安全问题, 并提出了一些解决问题的思路。

关键词：电子商务,网络交易,交易安全,身份认证

参考文献

[1]崔波, 张怀涛, 电子商务网络信息安全问题[J].图书馆理论与实践, 2003 (2)

电子商务信息安全技术分析 篇9

电子商务真正实现了在开放、透明的网络环境下实现人们网上购物、网上交易等活动,随着电子商务技术的逐渐成熟,由于电子商务的方便、快捷等优点,得到了越来越多的认可,同时也得到人们更多的关注,那么电子商务的安全问题也变得重要起来,为了解决电子商务的安全问题,信息安全技术成了这个时代的关键。

1 信息安全中存在的问题

电子商务安全大体上可以分为两个方面,一方面是计算机网络安全,另一方面就商务交易安全。对电子商务的安全来说都是十分重要的,计算机网络安全是电子商务安全的基础,商务交易安全是电子商务安全的基本保障,两者密切联系,相辅相成,那么电子商务安全到底存在哪些安全问题呢?

1.1 对数据进行攻击

危机网络信息安全的任何行为都可以称之为数据攻击,主要可以通过对基本信息进行截获、对信息进行伪造、强制中断信息的传输、对信息进行错误的修改等方式对电子商务信息安全进行攻击。

1.2 数据安全的基本保障

用户主要通过信息安全服务加强一个组织的数据处理系统及信息传输的安全性,以此来达到安全服务对抗攻击的主要目标,信息的安全服务主要包括:

(1)数据的保密性

数据的保密性就是指保证企业的一些机密文件或者商业信息不易被截获或者破解,就算被截获也无法读懂信息含义。数据的保密性极大的保护了用户的隐私权,给用电子商务信息的安全提供了基本的保障。

(2)数据的完整性

数据的完整性主要体现在数据的传输过程中,数据的完整性作为电子商务应用的基础主要包括两个方面,一方面,是指真实的数据传输,就是在数据传输过程中无法对基本信息进行篡改,与用户的信息相一致。另一方面,是指统一数据传输。

(3)数据的不可否认性

数据的不可否认性就是指对数据传输的双方来说,数据传输的整个过程都是透明的,这样可以有效的避免双方对信息的收发情况进行抵赖,减少交易过程中的问题纠纷。

(4)确定交易者的正确性

通过电子商务进行交易活动时,时常会有第三方出现进行信息的骗取,因此电子商务能确定交易者的身份这个特点在商务交易显得尤为重要,可以有效的防止信息的丢失与泄露。

2 电子商务信息安全技术分析

在电子商务进行交易等活动时,电子商务的安全问题显得尤为重要,因此要设置一定的安全机制、安全技术,对电子商务中的交易进行保护。

2.1 关于数据防火墙

电子商务的防火墙技术,是指限制公共的数据与服务对内部资源进行访问,防火墙技术可以达到一定的安全要求在不修改原有网络应用系统情况的前提下,由于其实用性及使用透明性,被广泛应用到企业安全问题当中,虽然在商务安全上,防火墙有一定的保护作用,但是防火墙也有不足之处,一方面防火墙不能防止病毒的入侵,另一个方面,在防火墙之间的数据不能及时进行更新,更新速度慢给人们对数据的应用带来不便,同时防火墙也不能满足企业与多个客户同时交流的需求,大大降低的工作效率。

2.2 对数据的信息进行保密处理

数据的加密技术一般被应用到数据的传输过程中,在传输过程中对数据进行加密,若数据安全到达客户手中,客户可以通过密钥进行解密,显示数据的主要内容,若数据被不法分子截获,只会显示一堆乱码,从而达到保护信息数据安全的效果,对数据加密的方法有两种,一种是通过对称密钥对数据进行加密设置,对称密钥的特点就是加密密钥与解密密钥的相同,另一种是通过非对称密钥对数据进行加密设置,那么非对称密钥的最大的特点就是加密密钥与解密密钥不同,非对称密钥的加密算法复杂,解密速度慢,相比之下,非对称密钥的保密性比对称密钥的保密性强一点。

2.3 对已破坏的数据进行修复

数据的恢复就是字面上看到的意思,将受到损坏或者丢失、病毒感染等因素影响的数据进行恢复,使其能够正常使用,对于数据的修复不只是对文件进行修复,同时也要对磁盘中损坏的数据进行修复,数据的修复不只是在被攻击者攻击之后,还有可能是因为数据的载体太过老化,而引起数据的丢失,这些都需要进行数据修复。

2.4 对重要的数据信息进行隐藏

数据的隐藏技术其实主要是利用“最危险的地方最安全”这个理论,数据隐藏为了不让普通用户发现而将秘密数据隐藏到一般的非秘密的文件中,非法分子分不清哪个普通信息中存在其本身需要的数据内容,间接的保护了信息数据的安全,数据的隐藏技术与普通一般的加密技术有所不同,隐藏技术主要通过对代码的不同编写形成不同的密文使其隐藏在一个公开的数据中,通过公开数据对加密数据进行传输,使得非法分子无法识别数据是否存在及数据的意义而保护了信息数据的安全。

2.5 数据的损坏过程及入侵早期监测

通过电子商务安全可以对电子交易中的安全事件进行详细的检测,入侵检测主要是对试图入侵还没开始行动的、正在进行的入侵活动或者已经发生的入侵行为进行识别并及时的处理,电子商务安全主要通过对已知的网络的信息及数据情况进行分析,同时根据不同的情况做出不同处理最大程度保证信息数据的安全,入侵技术主要分为三类:

(1)对数据的前期监测

在进行数据的入侵前,对数据进行全面的了解对攻击者来说是极为重要的,只有全面详细的了解整个数据,才能更加迅速的对数据进行攻击窃取。

(2)对数据进行破坏

在攻击者对整个数据足够了解之后就会实施对数据的破坏行为,在攻击过程中,攻击者会根据不同数据的不同的情况采用不同的攻击方法进行攻击窃取,甚至有些攻击者会通过非法欺骗、窃听等方式得到数据加密的密钥,对数据的密钥进行解密或者直接利用病毒攻击数据防火墙。

(3)伪造数据破坏情况

攻击者在对数据进行破坏窃取之后,伪造数据被破坏的情况,使得用户不易发现数据的破坏甚至被篡改,不能及时对数据信息进行处理。

2.6 安全的网络基础设施

安全的网络基础设施是保证电子商务安全的基础,网络安全包括很多种,其中上文所说的防火墙技术也属于网络安全,另外操作系统技术、漏洞检测技术等都属于网络安全技术,安全的网络基础设施真正做到使计算机的硬件与软件相互结合,为数据信息安全建立一个安全屏障。

3 结束语

移动电子商务安全模型分析 篇10

移动电子商务(M-Commerce)是指利用手机、PDA、移动PC等移动通信设备与无线网络技术结合进行的电子商务活动。移动通信技术和Internet技术的结合,让移动电话用户不仅得到传统的语音服务,而且能够访问各种丰富的信息资源,使移动电子商务成为可能。移动电子商务需要在移动个人终端和有线网络中进行信息通信,这使得整个交易过程承受着无线网和有线网通信中的双重安全风险,这就要求移动电子商务具有特殊的安全机制和安全保障技术,因此安全问题成为移动电子商务顺利实施的关键,也是移动电子商务的核心技术问题。

WAP即无线应用协议,是无线终端和互联网之间进行通信时使用的开放性全球标准。WAP可以支持己广泛使用的绝大多数无线设备,也可以支持各种移动网络,如GSM、CDMA、GPRS等,并充分考虑了对3G通信系统的支持。通过WAP终端,用户能进行产品定购、银行业务等电子商务活动。在目前几种主要的无线安全机制应用体系中,WAP协议的安全机制是当前大多数移动电子商务安全的实现基础。

2 WAP的网络结构

WAP协议把因特网拓展到无线环境,使通过因特网的电子商务延伸到了无线终端设备上。在移动电子商务中,一个典型的WAP应用系统包含了三类实体。

2.1 支持WAP的移动终端。

终端具有WAP用户代理功能,是用户用来访问网站、浏览信息的工具,典型的终端是移动电话、PDA等。在移动终端上运行着微型浏览器,用户可以通过按键实现WAP服务请求,并以无线方式发送和接收所需的信息。

2.2 WAP网关。

是连接客户端和服务器的桥梁。它有两个功能:一方面完成协议的转换,对WAP终端发送的请求,实现WAP协议与Internet协议之间的转换后,再向内容服务器传送;另一方面对返回的传输信息进行编解码,将内容转换为二进制格式,传送给移动终端,以减少网络数据流量,最大限度地利用无线网络的数据传输速率。

2.3 WAP内容服务器。

即Web服务器,是特定资源存储或生成的地方,主要作用是为WAP应用提供数据服务支持。它通常采用WMLScript编写的WAP具体应用。

3 WAP的安全机制

WAP的安全机制可以实现移动电子商务应具备的数据保密性、数据完整性、交易方的认证与授权和抗否认性四个方面的信息安全特征。

3.1 WTLS协议。

WTLS(无线传输层安全)将SSL在Internet上实现的安全在无线环境中给予了实现。WTLS基于SSL/TLS协议,具有实体鉴别、数据加密和保护数据完整性的功能,可以确保在WAP终端和WAP网关之间的安全通信。

WTLS有三种级别:WTLS Class1:可执行未经证实的Diffie-Hellman密钥交换以建立会话密钥;WTLS Class2:使用与SSL/TLS协议相类似的公开密钥证书机制进行服务器端鉴别;WTLS Class3:客户端和服务器端采用X.509格式证书相互进行鉴别。

3.2 WMLSCript Sign。

WMLScript是一种编程语言,能支持窄带通信和瘦客户端,它可以用于基于WAP的应用开发。WMLScript Sign作为该脚本语言的一部分,提供了在应用层获取数字签名的功能。

3.3 WAP身份认证模块WIM。

是安装在WAP终端设备中的一种无法被篡改的计算机芯片,用来支持WTLS协议并提供应用层面的安全功能:存放和处理使用者的身份认证信息(密钥和证书)。WIM包含了WTLS3级的功能,并嵌入了对公开密钥加密技术的支持。

3.4 无线公钥基础设施WPKI。

WPKI是根据无线网络的特点,将PKI技术延伸到无线安全服务领域。它为移动终端、无线网关以及参与移动电子商务的有线Internet内的服务器提供身份认证的机制,包括审核、发放、管理数字证书等服务,可以为移动电子商务和移动电子政务提供安全解决方案。

4 基于WAP的移动电子商务安全模型

WAP安全架构由WTLS、WMLScript、WIM和WPKI四部分组成,基于WAP的安全架构体系的组成如图1所示。

WPKI作为安全基础设施平台,是安全协议能有效实行的基础,一切基于身份验证的应用都需要WPKI的支持。它可与WTLS、TCP/IP、WMLScript Sign互相结合,实现身份认证、数字签名等功能。网络安全协议平台包括WTLS协议及有线环境下位于传输层上的安全协议TLS、SSL和TCP/IP。

安全的参与实体作为底层安全协议的实际应用者,相互之间的关系也由底层的安全协议决定。当该安全架构运用于实际移动电子商务时,这些安全参与实体之间的关系即体现为交易方(移动终端、Web服务器)和其他受信任方(WAP网关、代理和无线认证中心)。

5 移动电子商务安全实现方式分析

基于WAP安全架构模型的移动电子商务虽然使用的基本安全协议是一样的,却可以有不同的实现方式。

5.1 通过WPKI的不同认证方式实现不同的安全等级。

WPKI针对WTLS的三种安全级别,定义了三种安全通信认证模式:WTLS Class2,WTLS Class3和Sign Text三种功能模式。WTLS Class2提供了移动终端对无线网关的认证能力,客户端可以匿名访问;WTLS Class3提供双向认证,即WAP网关和终端相互认证,移动终端利用自己的私钥进行签名;Sign Text模式与WTLS Class3过程相同,只是移动终端对一则消息进行数字签名后用WMLScript发送给服务器。

5.2 利用WAP网关实现不同的安全服务。

这种模式将WAP网关建在无线网的边缘,它将有线网和无线网联接起来,并把使用WTLS加密的数据转换成使用TLS加密的数据,数据在WTLS和TLS保护区是安全的。但由于传输的加密数据在WAP网关是被解密的,这种模式只能解决数据传输过程中的安全。

结束语

相对传统的电子商务模式,移动电子商务的安全性更加薄弱,如何保护移动电子商务用户的合法信息不受侵犯,是一项迫切需要解决的问题。解决了安全的问题,移动电子商务的发展才具有可持续性。WAP作为移动电子商务的实现基础在逐步加强并完善自身的安全机制,移动运营商们也根据WAP的基本安全机制开发出了不同安全级别的移动电子商务解决方案。移动电子商务的安全性正日益受到人们的广泛关注。

摘要：相对传统电子商务形式,移动电子商务更为简单、灵活、方便,但是安全问题却成为影响移动电子商务发展的主要因素,因此如何保障移动电子商务的信息安全是亟待解决的问题。本文探讨了基于WAP标准的移动电子商务安全模型,对各安全机制的安全特性作了详细介绍。

关键词：移动电子商务,信息安全,WAP

参考文献

[1]蔡红柳,刘海燕.信息安全技术及应用实[M]验.北京:科学出版社,2008.

关于电子档案安全管理途径的分析 篇11

[关键词]电子档案；特征；安全管理；安全技术；保障体系

近年来，信息技术取得了快速的发展，电子文件的数量越来越多，这也导致电子档案的数量越来越庞大，在这种情况下，电子档案的安全越来越受到大家的关注，电子档案安全管理已成为档案管理部门的一项重要课题。电子档案的安全风险来自于多方面原因，因此需要采取切实可行的措施来保障电子档案的安全。

一 电子档案特征

（一）信息与载体之间的可分离性

传统的纸质档案信息与载体之间具有不可分离性，原始特征较为明显。但电子文件的非实体形式，没有固定的存放位置，可以借助于网络在不同计算机之间进行互相传递，也能够在不同载体之间相互复制，传递和复杂都不会对内容形态带来改变，这就导致电子档案更易于进行更改，而且在更改后还不会留下痕迹。在复制过程中，原件和复印件具有不可辨别的特点。由于电子档案信息与载体之间的可分离性，从而给电子档案安全管理工作带来了较大的难度。

（二）信息的非人工识读性

电子档案载体上内容的记录是以编码的形态进行的，信息具有非人工识读性，因此需要借助于计算机设备来对其存储的信息进行获取，无法直观看到记录的信息。而且电子档案信息内容可以利用压缩编码及加密等技术进行处理，因此在不解压及不解密的情况下，即使具备相应的设备也无法实现对电子档案存贮的信息进行读取。

（三）电子档案易于存储和管理

电子档案保存与传统的纸质档案保存具有较大的区别，电子档案信息是以电子化和数据化的方式存储于磁性介质载体上，磁性介质自身存储量较大，不需要占多大的空间，储存单位成本较低，电子档案的检索和维护利用计算机系统即可完成，较为简单和方便，有效的降低了档案管理人员的劳动强度。

（四）电子档案的脆弱性

电子档案以磁性介质作为载体，因此容易受到外部温度、湿度、光线、空气及磁场等诸多因素的影响，任何一个方面达不到存储的标准要求，都是会导致电子档案信息受到破坏，危及电子档案存储内容的安全。

（五）信息存储的高密度性

电子档案以磁性介质作为存储载载体，其具有高密度性，一张磁盘即可存在庞大的信息，这种存储的高密度性有效的节约了存储空间，但也对载体的保护提出了更高的要求。

（六）对软硬件系统的依赖性

电子档案主要由电子文件转化而来，不同类别、不同存储格式的电子文件在形成、传输和阅读过程中都需要相应的软件和硬件环境的支持，一旦缺乏支持环境，则电子档案无法生存。

二、电子档案安全管理的途径

（一）建立健全电子档案安全法规制度

为了提高电子档案的安全性，必须有一套完整的法律法规为依托，从电子文件的最初生成、鉴定、归档、保管、利用等环节抓起，明确规定电子档案的利用范围和利用权限，以及所需要的网络技术措施、软件要求、数据标准等，制定电子文件安全管理办法，严格规范电子文件形成者和管理者的职责，还要对电子文档的使用者的利用行为实施有效的监控，以保证电子档案的质量，确保其档案信息的真实性、安全性、可利用性和完整性。相关部门应在我国现有电子档案安全法规制度的基础上，借鉴国外先进经验，结合本单位、本地区实际情况，按照突出重点、填补空白、逐步完善的原则，制定出具有较强针对性和可操作性的电子档案法规体系，健全安全管理机制。健全各项管理机制，使安全管理工作具有可操作性。

（二）提高人员素质

电子档案安全管理工作中，管理人员作为最重要的要素，对电子档案的安全也具有较大的威胁。特别是管理人员在使用计算机时的安全意识。当前计算机病毒猖獗，计算机感染病毒多是由于使用人员的非法访问导致的，因此需要努力提高档案管理人员的专业素质，强化对档案管理人员计算机应用技能的培训，定期对档案管理人员进行保密教育，努力提高档案管理人员的安全防范意识，使其在工作中保持高度的责任心，有效的保证电子档案信息的安全。

（三）提高网络信息安全技术

一是访问控制。访问控制的主要任务是保证电子文档中的信息不被非法访问和非法使用。二是加密签署。加密签署技术主要有三种：私钥对称加密，即收、发文双方使用相同的密钥；公钥非对称加密，即收、发文双方使用的密钥互不相同，而且不可能从加密之钥推导出解密之钥，主要用于正常密钥交换非常困难的地方。如互联网。三是防火墙技术。防火墙是一种将内部网和公众网分开的方法，它实际是一种隔离控制技术。防火墙是阻止网络黑客访问某个网络的屏障。通过在网络边界上建立的相应的网络通信监控系统，达到网络安全的目的。四是漏洞扫描技术。漏洞扫描技术就是自动检测远端或本地主机安全脆弱点的技术，通过对计算机系统进行检查，发现其中可被黑客利用的漏洞。五是入侵检测技术。入侵检测技术是对防火墙的补充，一旦防火墙失灵，入侵检测就会就会发挥作用。它可以帮助系统对付网络攻击，拓展系统管理员的安全管理能力，提高信息安全基础结构的完整性。

（四）选用优质载体和适宜的存储环境

由于电子档案对于计算机有较强的依赖性，所以磁带、磁盘、光盘的质量直接影响其使用和存储寿命，要选用质量和性能俱佳的信息载体来存储档案信息，并且对于储存的载体要挑选适宜的环境，控制好环境的温湿度，以保证电子档案信息载体的存储寿命，

（五）构建电子档案安全保障体系

是指从电子档案安全技术和安全管理等方面，对电子档案实体及信息系统进行安全防御，确保电子档案的保密性、完整性、可用性、真实性、不可否认性、可控性和可追溯性。电子档案安全保障体系的构建包括管理保障体系、技术保障体系、法规标准保障体系、基础设施体系、产业支撑体系、人才培养体系和安全评估体系。

三、结束语

随着电子档案数量的不断增加，对电子档案安全管理工作提出了更高的要求。在具体工作中，需要针对电子档案自身的特点，进一步对相关管理制度进行完善，努力提高档案管理人员的综合素质，利用专业化的方法和手段强化电子档案信息的安全，确保为社会和经济发展提供快捷、准确、安全的信息资源。

参考文献

[1]车艳红.电子档案安全的影响因素及策略探析[J].兰台世界，2013（z1）.

[2]李慧.浅析电子档案安全管理对策[J].办公室业务，2014（21）.

[3]李秀云，李莉，段慧.谈电子文件的归档在我院档案管理中的影响及应用研究[J].大家健康（学术版），2014，09（12）.

电子商务网站的安全现状分析 篇12

1 交易信息的安全性

调查显示，52.26%的用户关注交易的安全可靠性，被调查对象中36.54%的人，认为安全性和个人信息得不到保护。在面对面的贸易过程中，交易都是通过信件或其他可靠的通信渠道来发送商业报文，进而达到保守机密的目的。电子商务通过互联网进行交易，而整个互联网是一个开放的网络，因此，会出现一些意外风险，如交易对象的不诚信、黑客的攻击等，随时都会威协到电子商务过程的安全性。交易信息直接代表着个人、企业或国家的商业机密不容泄露;信息到达对方前，信息的完整性将影响到贸易方的交易和经营策略;交易信息的真实性，包括信息内容和交易双方身份的真实性，也是电子商务成功开展的基础;确定进行交易的贸易方正是交易所期望的贸易方，在无纸化网络环境中，要有可靠的鉴别方式。

由于以上提到安全风险的存在，使得人们对网上交易心存疑虑。据统计，大约有5.2%的美国网上经销商曾被假冒信用卡，每年在美国由于信用卡欺诈而造成的网上经销商损失达数亿美元。在我国，电子商务交易中遭遇信用卡被盗用、网上黑店、信息资料丢失等现象时有发生。据不完全统计，我国有70%以上的企业和个人表示，出于安全考虑，目前暂不会在网上进行购物或交易。

综上所述，电子商务的安全问题主要有以下几点：1) 信息在传输过程中被泄漏;资料被窃取或破坏;2) 信息在传输的过程中被篡改;3) 不能确认对方的身份;4) 交易双方的抵赖。

所以，要预防非法的信息存取和信息在传输过程中被非法窃取，主要是从信息的保密性、完整性、真实性和不可抵赖性等这几个方面着手进行。经过几年的发展，电子商务过程的安全性问题也有针对性的解决方法。如在信息传输过程中一般通过密码技术对传输的信息进行加密，防止在传输中交易信息被篡改、窈听和截取。再通过提取信息摘要的方式来保持信息的完整性。当信息到达贸易方时，用认证机构和证书来实现鉴别验证某个特定的身份。为确保信息的发送方曾发送过某一信息，或者信息的接收方曾收到过信息，可在信息传输过程中为参与交易方提供可靠的标识等。

2 网上支付平台的安全性

实现网上支付功能是电子商务成功开展的一个十分重要的环节。发展电子商务如果没有相应的网上支付手段，就会大大降低电予商务交易的效率。在我国最早的网上银行是1998招商银行开办的，十几年过去了，到现在几乎所有的银行都将业务延伸到了网上。第三方支付市场也在快速地发展，支付宝就是其中具代表性的一个机构。

网上支付这种采用先进的电子签章的安全防护技术认证措施的支付方式，可以快捷、安全地在网上支付购物货款、支付各项公用事业费用的账单，甚至进行网上理财都显得极具优势。但是网上支付机构作为拥有资金吸存行为的网上支付机构，从买方把钱付给网上支付平台，到卖方确认以后，平台把钱再付给卖方，这中间需要经过一段时间，而在这段时间里，钱是沉淀在支付机构里的，自然存在着资金安全隐患方面的问题或者支付风险问题。

除了资金安全问题以外，网上支付平台还极易成为犯罪分子进行不法活动的工具。据悉，在央行发布的《反洗钱报告》中，网上银行在银行业务中占据的比重上升很快，而且由于交易大都通过电话、计算机网络进行，银行和客户很少见面，这给银行了解客户带来了很大的难度，也成为洗钱风险的易发、高发领域。

电子支付除为客户提供帐户储值进行支付外还提供信用担保服务，它已经不是简单的支付、清算工具，而是给交易方提供实现支付达成安全交易的一个服务平台。但它的发展程度与电子商务还存在一定距离，尚有很多不完善、不能完全满足电子商务需要的地方，运营上也存在一些问题。

要从根本上解决这种现状，首先要加强对网络上虚拟交易的监管，实施网络实名制，这样会使犯罪分子不敢明目张胆地进行非法活动，也有利于监管部门掌握具体的资金流向，使其得到有效的控制。另外作为支付平台本身应该做到合法经营，尽到自己的社会义务。

3 电子商务网站中使用的安全技术分析

为了建立一个安全便捷的电子商务应用环境，经过多年的发展，在安全电子交易协议或标准中都采纳了一些常用的安全电子交易手段和方法，典型的主要有以下几种:

3.1 密码技术

最常用的安全交易手段之一就是采用密码技术对信息加密。在电子商务中获得广泛应用的有对称加密技术和非对称加密技术。在对称加密方法中，对信息的加密和解密都使用相同的密钥，在目前广泛应用的对称加密方式中，由美国国家标准局提出的数据加密标准 (DES) 占了很重要的地位。非对称加密也称为公开密钥加密，其密钥分解成一对，即公开密钥和私有密钥。公开密钥加密后的数据只能由私有密钥才能解开，私有密钥加密的数据则由公开密钥解密，具有非对称性。

3.2 数字签名

在传统的商务交易中，书面文件上签名是确认文件的一种手段。签名的作用有两点，一是因为自身的签名难以否认，从而确认了文件己签署这一事实;二是因为签名不易仿冒，从而可以确定文件的真实性。在电子商务网站中，也采用了签名技术———数字签名，它与书面签名有类似之处，采用数字签名也能确认两点：信息是由签名者发送的;信息自签发后到收到为止未曾作过修改。

3.3 认证技术

在电子交易过程中，安全认证技术是一项十分重要的技术。它可以确认交易方不是冒名，确认得到的信息是来自声称方，保证信息的完整和真实性未被人篡改。涉及到由一个权威性和公正性的第三方，来完成数字证书的发放，也即认证中心 (CA) 。CA承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。认证中心主要任务是受理数字证书的申请、签发及对数字证书的管理。常常是和其他安全手段结合在一起使用的，从而构成了安全电子交易的安全保障体系。主要采用的技术有数字摘要、数字时间戳、数字证书等。

一个完整的安全可靠的电子商务网站系统实现是相当复杂的。只有在交易过程中充分重视安全问题，才可以使得交易能正常进行，电子商务才可以收到预期的效果。

摘要：随着Internet的飞速发展, 电子商务——这种新的社会组织形式越来越显著地影响着这个社会。电子商务已经成了各种企业的主要营销手段, 它的发展前景十分广阔。在电子商务交易中, 安全性是一个至关重要的核心问题。商务交易的特殊性要求网络能提供一种端至端的安全方案。

关键词：电子商务,安全,商务交易

参考文献

[1]杨大翔.电了商务概论[M].上海:复旦大学出版社, 2006.

[2]王华丽.我国电子商务发展策略分析[J].商业研究, 2004 (18) .