电子商务安全技术(通用12篇)
电子商务安全技术 篇1
在电子商务的交易中,经济信息、资金都要通过网络传输,交易双方的身份也需要认证,因此,电子商务的安全性主要是网络平台的安全和交易信息的安全。而网络平台的安全是指网络操作系统对抗网络攻击、病毒,使网络系统连续稳定的运行。常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术。交易信息的安全是指保护交易双方的不被破坏、不泄密,和交易双方身份的确认。可以用数据加密、数字签名、数字证书、ssl、set安全协议等技术来保护。下面重点阐述防火墙技术和数据加密技术。
1 防火墙技术和数据加密技术
1.1 防火墙技术
防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强Intranet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙一般运用了以下技术:
1.1.1 透明的访问方式
防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。
1.1.2 灵活的代理系统
代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。采用两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。
1.1.3 多级过滤技术
为保证系统的安全性和防护水平,防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,对服务的通行实行严格控制。
1.1.4 网络地址转换技术
防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
1.1.5 Internet网关技术
由于是直接串联在网络之中,防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。在域名服务方面,防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
1.1.6 安全服务器网络(SSN)
为了适应越来越多的用户向Internet上提供服务时对服务器的需要,防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。
1.1.7 用户鉴别与加密
防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
1.1.8 用户定制服务
为了满足特定用户的特定需求,防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。
1.1.9 审计和告警
防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
防火墙技术从其功能上来分,还可以分为FTP防火墙、Telnet防火墙、Email防火墙、病毒防火墙等等。通常几种防火墙技术被一起使用,以弥补各自的缺陷和增加系统的安全性能。
1.2 数据加密技术
在电子商务中,信息加密技术是其它安全技术的基础,加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式(即加密),在线路上传送或在数据库中存储,其他用户再将密文还原成明文(即解密),从而保障信息数据的安全性。数据加密的方法很多,常用的有两大类。一种是对称加密。一种是非对称密钥加密。
1.2.1 对称加密
对称加密也叫秘密密钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。这种方法使用简单,加密解密速度快,适合于大量信息的加密。但存在几个问题:第一,不能保证也无法知道密钥在传输中的安全。若密钥泄漏,黑客可用它解密信息,也可假冒一方做坏事。第二,假设每对交易方用不同的密钥,N对交易方需要N*(N-1)/2个密钥,难于管理。第三,不能鉴别数据的完整性。
1.2.2 非对称密钥加密
非对称密钥加密也叫公开密钥加密。公钥加密法是在对数据加解密时,使用不同的密钥,在通信双方各具有两把密钥,一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密,同样地,用私钥解密的数据只能用对应的公钥解密。具体加密传输过程如下:
1)发送方甲用接收方乙的公钥加密自己的私钥。
2)发送方家用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方。
3)接收方乙用自己的私钥解密,得到甲的私钥。
4)接收方乙用甲的公钥解密,得到明文。
这个过程包含了两个加密解密过程:密钥的加解密和文件本身的加解密。在密钥的加密过程中,由于发送方甲用乙的公钥加密了自己的私钥,如果文件被窃取,由于只有乙保管自己的私钥,黑客无法解密。这就保证了信息的机密性。另外,发送方甲用自己的私钥加密信息,因为信息是用甲的私钥加密,只有甲保管它,可以认定信息是甲发出的,而且没有甲的私钥不能修改数据。可以保证信息的不可抵赖性。公开密钥加密典型的代表是RSA算法,但是RSA的加密解密要两次,处理和计算量都比较大,速度慢,所以只适合于少量数据的加密。因此,在当前的加密应用中,经常使用对称密钥来对文本加密和解密,用非对称RSA加密体系对私钥加密和解密。发送方把密文和加密后的私钥一起发送给接收方。使用这种联合加密法,不仅可以确保数据的保密性,而且还可以实现一种名为数字签名的认证机制。发送者私钥加密的数据可以提供对发送者身份的认证,接收者私钥加密的数据可以提供对接收者身份的认证。
2 结论
随着电子商务的飞快发展,加强电子商务安全的问题日益紧迫,要加强电子商务的安全,需要有科学的、先进的安全技术。只有不断提高防火墙技术、数据加密技术等电子商务安全技术,才能为电子商务提供安全有效的技术保障。
参考文献
[1]隋红建,吴璇.计算机网络与通信[M].北京:北京大学出版社,2001:155-158.
[2]马华东.多媒体计算机技术原理[M].北京:清华大学出版社,1999:200-202.
[3]宋文官,徐继红.电子商务概论[M].大连:东北财经大学出版社,2007:67-69.
[4]王忠诚.电子商务安全[M].北京:机械工业出版社,2009:59-60.
[5]冯文辉,刘烔艳.电子商务案例分析[M].重庆:重庆大学出版社,2002:43-45.
电子商务安全技术 篇2
1) 安全协议问题:对安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。
2) 安全管理问题:在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
3) 电子商务没有真正深入商务领域而仅仅局限于信息领域。
4) 技术人才短缺问题:电子商务是在近几年才得到了迅猛发展,许多地方都缺乏足够的技术人才来处理所遇到的各种问题。不少电子商务的开发商对网络技术很熟悉,但是对安全技术了解得偏少,因而难以开发出真正实用的、安全性的产品。
5) 法律问题:电子交易衍生了一系列法律问题,例如网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。
浅论电子商务安全技术 篇3
关键词:电子商务 加密技术 数字认证 信息安全
0 导言
作为新兴的信息时代的产物——电子商务,正在逐步的改变着人们的生活方式和经济活动方式。它的高效性和低成本正在逐步成为新兴的商业理念和商业模式。但是由于电子商务这种技术是建立在Interne这个开放式的平台上,所以电子商务在网络上传输的任何信息都不可避免的会被他人窃取。因此,要想继续发张电子商务这门技术,首先要保证其安全性。安全的电子交易协议在电子商务安全体系中起着决定性的作用。
1 电子商务中的安全协议
现在国际上主要采用的电子商务安全协议主要有以下几种:基于信用卡交易的安全电子协议(SET)、安全电子邮件协议(PEM、S/MIME)、用于接入控制的安全套接层协议(SSL)、安全HTTP(S—HTTP)协议等。本文将重点介绍SET协议和SSL协议的优缺点。
1.1 安全套接层协议(SSL)的优缺点
SSL协议因为它实施起来比较简单,对现有网络系统的修改也不是太大,再加上它的速度快,成本低等优点在目前得到广泛的应用。安全套接层协议(SSL)运用密钥技术来保证数据的完整性和机密性。在运用过程中,发送方用接收方的公钥将所要发送的信息加密之后再进行传送,而接收方利用私钥进行解密之后来获取信息。这样一来,即使信息被窃取,因为没有解密的密钥,也是没有办法获取可读信息的。通过这种方式SSL充分保证了用户所输入的信用卡号码和其他信息只会由向他提供服务的商家所获取。为了获得这次交易的书面证据,客户也可以打印屏幕上所显示的已经被授权的订单,然而SSL也有两个主要缺点:
1.1.1 SSL提供的保密连接存在较大的漏洞
SSL除了能保证传输过程中的安全之外,不能提供其他任何安全保证,不能让客户明明白白的知道商家接收信用卡支付是已经通过授权的,换句话说,商家、客户和银行之间缺少彼此之间的认证。因此不不法分子很有可能借此漏洞进行一些欺诈行为。在Internet这个公开公平的平台上,陌生的店铺会经常出现,如果不能保证它是真实可信的,那么消费者怎么去相信这些商家不会进行欺诈行为呢?退一步说,即使是一个真实可靠的网上商家,如果在收到消费者的信用卡号码之后没有采取措施保证它的安全性,那么信用卡号码也会很容易被一些网络黑客窃取的。
1.1.2 SSL不能提供很好的隐私保护
在SSL的交易过程中,消费者需要将所有的信息都传输给商家,消费者的信息包括支付信息和定单信息。在这个过程中商家可以看到消费者的所有信息,包括信用卡卡号信息。而消费者不希望商家看到除定单信息以外的其他隐私信息,同样,消费者也希望银行只看到支付信息,看不到其他信息,比如订购了什么东西等等。所以说在SSL交易过程中客户的隐私得不到很好的保障。
1.2 安全电子协议(SET)的优缺点
1.2.1 SET协议的优点
从SET的整个交易流程来看,SET比SSL设计更加严密,安全性也更高。SET利用数字签名、对称加密、Hash算法、数字信封、公钥加密和第三方认证机构等来保证电子交易过程中信息的安全。SET的双重数字签名和第三方认证机构这两项技术的应用弥补了SSL的缺陷。
①提供了持卡人、商家和支付网关的三方认证。SET这项技术解决了银行、商家和持卡人之间互相认证的难题。这项服务的目的就是要验证交易流程确实是交易者本人所操作,为达到身份认证的目的SET协议使用了数字证书的技术。这种技术的操作流程是:发送方(比如持卡人)发送数字签名(这是用自己的私钥把交易信息加密后形成的),接着接收方(比如商家)就会借助认证中心公开的密钥来验证对方证书的真假,在确定没有任何出入之后再把证书里的公开密钥进行签名的认证,这样便可以达到鉴别身份的作用。特别是,使用了最值得信任的第三方机构即认证中心,让其进行对公开密钥的签发,这样就确保身份鉴别这项工作在相对开放的网路环境里达到真正的安全,放心。
②双重数字签名技术可以更好的保护隐私权。从SSL里商家可以得到消费者的很多信息,如信用卡的基本信息,也能看到消费者的订单信息,这就造成了一种后果,交易中有很大的潜在风险。而SET技术则规避了这一风险,其采用的双重签名技术能够给商家提供订单支付的信息,从商家这方面来说,商家只可以查到具体的订单的信息,但是不可以查到消费者银行的账号等支付的信息,而银行方面,也只可以查到跟支付相关的信息,但是不可以查到客户订单的信息。如此一来,就达到了更好的保护消费者隐私的目的。
1.2.2 SET协议的不足
①它不能保证交易时商品的原子性。由于一些商家存在欺诈行为,SET协议并不能完全保证消费者付了钱之后就一定能得到商家的货品。同时由于商家的不诚信,也不能保证所购商品和商家所发商品就是同一商品(比如一些商家实际发出的商品跟实际订单上的商品差距很大)。
②SET没有提供商家的信用机制。消费者在消费过程中,并不知道哪家商家可靠,有诚信,在互联网这么大的平台上存在着各种不同商家,其中又有一些商家采取投机取巧的欺诈行为。但是消费者并不知道哪家商家可靠,这样就会使一些消费者付了钱而得不到自己想要的商品,消费者的合法权益就会受到侵犯。
2 电子商务系统中的安全技术
2.1 数据加密技术
2.1.1 数字摘要
这种加密策略又被叫做安全Hash编码法,这种编码方法是采用单向Hash函数把加密的明文摘要称为一串128bit的密文,这就是人们常说的数字指纹,它有一鲜明的特点是,同样的明文的摘要肯定是一样的,而反过来讲不同的结果就代表了不同明文摘要。这样一来,要验证明文是不是真身的"指纹"就是这串摘要了。
2.1.2 数字签名
这种技术是把公用密钥算法,数字摘要这两种加密策略互相结合起来应用。作为确认文件的一种方式,书面文件签名常常被人们用到,书面文件签名是为了达到两个目的:第一,签名不是很容易被模仿假冒,从而确定了书面文件的真实性;第二是确定文件已经签署,谁能否认自己的签名呢?
2.2 网上支付平台及支付网关
网上支付有两大系统:SET支付系统(基于CTCA/SET)及CTEC支付系统(基于CTCA/GDCS)。网上支付平台给各种电子商务的业务提供支付的方法,这其中包含符合CTEC标准的各式支付方法和基于SET标准的信用卡支付方式。
支付网关所处的位置是在传统银行网络与公网之间,它的主要作用是接收银行系统内部传回的响应的消息,把数据转换成公网传送的数据格式,并且对他进行加密;把公网传来的数据包解密同时遵循银行系统内部的通信协议把数据重新打包。这样,支付网关的作用就得到了发挥,即数据加密功能,完成通信、协议转换,与此同时有达到了保护银行内部网络的目的。除了这些用途,支付网关也具备证书管理及密钥保护等别的作用。
3 电子商务信息安全还有待完善和提高
3.1 提高网络信息安全意识
寻求有效的方法和途径达到在全社会普及网络安全知识的目的,把学会维护网络安全作为一种基本技能,进而进一步提高每个公民的网络安全的意识。要把信息安全防护及信息资源共享在思想上有机的统一到一起,明确维护信息安全就是促发展保生存的正确观念。
3.2 加强网络安全管理
首先就要制定有效的防范措施,规范每个岗位的职责,名确职位责任,建立完善的信息安全领导机构。
3.3 加快网络安全专业人才的培养
要使高素质的人才在高水平的教研环境里快速的提高和成长,于内,要加大对有良好基础的科研教育基地的投入与支持,与此同时要加强与国际先进国家的经验技术交流,要及时的掌握国际领先的安全防范技术措施及手段,确保交流在比较高的层次上的主动性,尤其要加强对内部人员的网络安全培训。
3.4 开展网络安全立法和执法
结合我国的国情对现行法律体系进行补充和修改,达到完善法律体系的目的使其更加科学,同时借鉴并吸取先进的国外网络信息安全立法的先进经验;与此同时在国内要建立有益于信息安全案件的诉讼与公检法机关的办案制度,提升执法质量及效率。对以下行为进行依法处罚:违犯国家法律法规的行为,对计算机应用程序,信息存储系统或者在数据传输过程中进行干扰,增加或删除,修改的行为。
3.5 强化网络技术创新
要建立具有中国特色的信息安全体系,首先要组织现有信息安全研究,应用的人员,为其创造更加优良的环境;更重要的是要创新思想,挣脱约束,要充分的利用现有的所有的国内外资源,为其服务。要作为重点研究的是内核编程技术与关键芯片和安全理论基础。
4 结束语
前边全文简单的分析了当前电子商务领域使用的安全技术:支付网关及网上支付平台,身份认证技术和数据加密技术,分别指出了他们各自的优缺点和使用范围,但是需要强调阐释的是,整个电子商务流程的安全运行仅仅靠技术上的提高,从技术的角度出发进行防范是不行的,另一方面一定要完善我国电子商务的法律法规推进立法,从法律层面上规范飞快发展的电子商务存在的缺陷,进一步达到推得动并且引导我国电子商务迅速,健康,长远发展的目的。
参考文献:
[1]任南,汪鑫.C2C电子商务信用评价体系改进研究,[J]价值工程.2011/17.
[2]王华.电子商务下逆向物流发展研究,[J]价值工程.2011/04.
电子商务安全技术综述 篇4
电子商务的安全要素主要体现在以下几个方面:
(1) 真实性。真实性是指网上交易双方身份信息和交易信息要真实。电子商务作为贸易的一种形式, 其信息的真实性将直接关系到个人、企业或国家的经济利益和声誉。
(2) 完整性。电子商务简化了贸易过程, 减少了人为的干预, 同时也带来维护商业信息的完整、统一的问题。由于数据输人时的意外差错或欺诈行为, 可能导致贸易各方信息的差异。
(3) 保密性。电子商务是建立在———个开放的网络环境下, 当交易双方通过Intemet交换信息时, 如果不采取适当的保密措施, 那么其他人就有可能知道通信内容, 造成商业机密的泄露或财产的损失。
(4) 不可否认性、可靠性。无纸化的电子交易中, 就不可能通过传统的手写签名和印章来预防抵赖行为的发生。所以, 必须采用新的技术, 防止电子商务中的抵赖行为;可靠性要求能保证合法用户对信息和资源的使用不会被不正当地拒绝。
(5) 及时性。及时性是防止延迟或拒绝服务, 及时性安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。
2 电子商务的安全技术
2.1 加密技术
加密技术是电子商务采取的主要安全措施, 贸易方可根据需要在信息交换的阶段使用。
所谓加密就是使用数学方法来重新组织数据, 使得除了合法的接收者外, 任何其他人要想恢复原先的“报文”或读懂变化后的报文是非常困难的。加密技术由密钥和密码算法两部分组成。密码算法利用密钥来对敏感信息进行加密, 然后把加密好的数据和密钥发送给接收者, 接收者可利用同样的算法和传递来的密钥对数据进行解密, 从而获取敏感信息以保证网络数据的机密性。利用密码技术可以达到对电子商务安全的需求, 保证商务交易的机密性、完整性、真实性和不可抵赖性。
加密技术可以分为两类:对称加密和非对称加密。对称加密技术又称为私钥密码技术, 对信息的加密和解密是相同的, 并在通信中严密保护密钥;非对称加密技术又称为公钥密码技术, 对信息的加密和解密都是用不同的密钥, 加密用的密钥可以向公众公开, 而解密用的密钥是需要保护的。
2.2 认证技术
在电子商务系统中数字证书的发放需要有一个具有权威性和公正性的第三方认证机构来承担。认证中心CA就是这样的一个第三方机构。CA向交易双方发放电子密钥形式“电子证书”、承担网上安全电子交易认证服务、确保用户身份的服务机构, 类似于现实生活中公证机关或证件办理机关的角色, 具有权威性。安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。
(1) 数字摘要。数字摘要是将任意长度的消息变成固定长度的短消息, 它类似于一个自变量是消息的函数, 也就是Hash函数, 并在传输摘要时将原文信息也发送给接收方, 接收方收到文件后, 用相同的方法对原文信息进行Hash运算, 若得到的结果与发送来的摘要相同, 则可断定文件未被篡改, 反之亦然。这里主要运用到了Hash函数的单向性和强碰撞自由的特点, 即不能由Hash值反推出原文, 不可能存在着不同的原文信息生成相同的Hash值, 从而验证达到了完整性的目的。
(2) 数字信封。数字信封又称为数字封套, 主要的目的是保证数据的机密性。SET协议把对称密钥体制和公开密钥体制完美地结合在一起, 充分利用了DES效率高速度快和RSA安全性高且密钥管理简便的优点。在SET中, 当要将数据机密地传递时, 发送者首先使用随机产生的DES对称密钥来加密要发送的消息。然后, 将此DES对称密钥用接收者的公钥加密, 形成消息的“数字信封”, 将其和采用对称密钥加密的消息一起发送给接收者。
(3) 数字签名。数字加密是非对称加密技术的一类应用。数字签名是用来保证文档的真实性、有效性的一种措施, 如同出示手写签名一样。实现方式是用发送方的私有密钥加密报文摘要.然后将其与原始的信息附加在一起, 合称为数字签名。通过数字签名能够实现对原始报文的鉴别与验证, 保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法.保证了网络数据的完整性和真实性。
(4) 数字时间戳。数字时间戳是为电子交易中的交易文件提供日期和时间信息的安全措施。数字时间戳服务 (DTS) 是网上安全服务项目, 由专门的机构提供。时间戳 (time-stamp) 是一个经加密后形成的凭证文档, 它包括需加时间戳的文件的需要, DTS收到文件的日期时间和DTS的数字签名。
(5) 数字证书。数字证书就是标志网络用户身份信息的一系列数据, 用来在网络应用中识别通讯各方的身份, 其作用类似于现实生活中的身份证。数字证书由可信任的、公正的权威机构CA中心颁发, 以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证, 确保网上传递信息的机密性、完整性, 交易实体身份的真实性, 签名信息的不可否认性, 从而保障网络应用的安全性。
2.3 防火墙技术
防火墙是建立在通信技术和信息安全技术之上, 由软件或软件和硬件设备组合而成的, 主要用于Internet接入和专用网与公用网之间的安全连接。只有被允许的通信才能通过防火墙, 在网络之间建立起一个安全屏障, 从而起到内部网络与外部公网的隔离, 根据制定的策略对网络数据进行过滤、分析和审计, 限制外界用户对内部网络的访问, 管理内部用户访问外界网络的权限, 并对各种攻击提供有效的防范。
2.4 虚拟专用网络
虚拟专用网 (VPN) 技术是利用不可靠的公用互联网络作为信息传输媒介, 通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能, 从而实现对重要信息的安全传输。
虚拟专用网络技术支持企业通过Internet等公共互联网络与分支机构或其他公司建立连接, 进行安全通信。这种跨越Internet建立的VPN连接在逻辑上等同于两地之间使用专用广域网建立的连接。VPN利用公共网络基础设施为企业各部门提供安全的网络互联服务, 它能够使运行在VPN之上的商业应用享有几乎和专用网络同样的安全性、可靠性、优先级别和管理性。
3 电子商务安全交易协议
除了各种安全控制技术外, 电子商务的运行还需要一套完善的安全交易协议。不同交易协议的复杂性及安全性各不相同, 不同的应用环境对协议目标的要求也不尽相同。目前, 常用的有安全套接层协议SSL、安全电子交易协议SET等。
3.1 SSL协议
SSL (Secure sockets Layer) 安全套接层协议, 是国际上最早应用于电子商务的一种网络安全协议。SSL协议使用通信双方的客户证书以及CA根证书, 允许客户/服务器应用以一种不被偷听的方式通信, 在通信双方间建立起了一条安全的、可信任的通信通道。SSL协议可用于保护正常运行于TCP之上的任何应用协议, 如HTTP、FTP、SMTP和Telnet的通信。SSL通过采用公钥和私钥技术对Web服务器和客户机的通信提供保密性、数据完整性和认证性。但是, 该协议并不能防止心术不正的商家欺诈。目前SSL已经被众多厂家和用户使用, 已经成为通信底层协议的实际标准。但是由于它不能保证信息的不可抵赖性, 对涉及多方认证的卡支付应用并不合适, 因此, 在复杂的电子商务应用中, 往往采取SET和SSL结合的做法。比如在银行与商家间采用SET协议, 而在商家与客户间采用SSL。
3.2 SET协议
SET (Secure Electronic Trarksaction) 安全电子交易协议, 是应用于Internet上的以银行卡为基础进行在线交易的安全标准, 简称SET。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的, 以保证支付命令的机密、支付过程的完整、商户及持卡人的身份合法, 以及可操作性。它采用公钥密码体制和X.509数字证书标准, 通过相应软件、电子证书、数字签名和加密技术在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。由于SET提供了消费者、商家和银行之间的认证, 确保了交易数据的安全性、完整可靠性和交易的不可否认性, 特别是保证不将消费者银行卡号暴露给商家等优点, 因此, 迅速在全世界得到广泛应用, 已成为事实上的工业标准。
4 结束语
电子商务如今已经渗入到各行各业的发展中, 随着计算机网络技术的迅猛发展, 电子商务将会日渐成熟与完善, 并在世界范围内日渐得到普及与应用。但要消除人们在进行电子商务活动时的顾虑与迟疑, 电子商务的安全性显得越来越重要。除了技术问题之外, 电子商务的安全还有赖于电子商务发展所需的政策和相应的法律、法规的建设等社会环境的完善。这些问题的研究, 对于推动电子商务的发展具有重要的现实意义。
参考文献
[1]张爱菊.电子商务安全技术研究[M].北京:清华大学出版社, 2006.
[2]孙强, 陈伟.信息安全管理[M].北京:清华大学出版社, 2004.
[3]卢华玲.电子商务安全技术初探[J].重庆工学院学报 (自然科学版) , 2007 (12) .
电子商务安全技术对策研讨论文 篇5
[摘要]文章主要从技术角度阐述了电子商务信息安全问题,详细说明了电子商务信息存在的问题,并提出了相应的技术解决方案。
[关键词]电子商务信息安全数据加密网络安全
一、电子商务信息安全问题
由于Internet本身的开放性,使电子商务系统面临着各种各样的安全威胁。目前,电子商务主要存在的安全隐患有以下几个方面。
1、身份冒充问题
攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,进行信息欺诈与信息破坏,从而获得非法利益。主要表现有:冒充他人身份;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户等。
2、网络信息安全问题
主要表现在攻击者在网络的传输信道上,通过物理或逻辑的手段,进行信息截获、篡改、删除、插入。截获,攻击者可能通过分析网络物理线路传输时的各种特征,截获机密信息或有用信息,如消费者的账号、密码等。篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个信息或信息的某些部分;插入,即在信息中插入一些信息,让收方读不懂或接受错误的信息。
3、拒绝服务问题
攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯,扰乱正常的资讯通道。包括:虚开网站和商店,给用户发电子邮件,收订货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应。
4、交易双方抵赖问题
某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。如:发布者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差但不承认原有的交易。在网络世界里谁为交易双方的纠纷进行公证、仲裁。
5、计算机系统安全问题
计算机系统是进行电子商务的基本设备,如果不注意安全问题,它一样会威胁到电子商务的信息安全。计算机设备本身存在物理损坏,数据丢失,信息泄露等问题。计算机系统也经常会遭受非法的入侵攻击以及计算机病毒的破坏。同时,计算机系统存在工作人员管理的问题,如果职责不清,权限不明同样会影响计算机系统的安全。
二、电子商务安全机制
1、加密和隐藏机制
加密使信息改变,攻击者无法读懂信息的内容从而保护信息;而隐藏则是将有用的信息隐藏在其他信息中,使攻击者无法发现,不仅实现了信息的保密,也保护了通信本身。
2、认证机制
网络安全的基本机制,网络设备之间应互相认证对方身份,以保证正确的操作权力赋予和数据的存取控制。网络也必须认证用户的身份,以保证正确的用户进行正确的操作并进行正确的审计。
3、审计机制
审计是防止内部犯罪和事故后调查取证的基础,通过对一些重要的事件进行记录,从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。审计信息应具有防止非法删除和修改的措施。
4、完整性保护机制
用于防止非法篡改,利用密码理论的完整性保护能够很好地对付非法篡改。完整性的另一用途是提供不可抵赖服务,当信息源的完整性可以被验证却无法模仿时,收到信息的一方可以认定信息的发送者,数字签名就可以提供这种手段。
5、权力控制和存取控制机制
主机系统必备的安全手段,系统根据正确的认证,赋予某用户适当的操作权力,使其不能进行越权的操作。该机制一般采用角色管理办法,针对系统需要定义各种角色,如经理、会计等,然后对他们赋予不同的执行权利。
6、业务填充机制
在业务闲时发送无用的随机数据,增加攻击者通过通信流量获得信息的困难。同时,也增加了密码通信的破译难度。发送的随机数据应具有良好模拟性能,能够以假乱真。
三、电子商务安全关键技术
安全问题是电子商务的核心,为了满足安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全技术保证整个电子商务过程的安全与完整,并实现交易的防抵赖性等,综合起来主要有以下几种技术。
1、防火墙技术
现有的防火墙技术包括两大类:数据包过滤和代理服务技术。其中最简单和最常用的是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避免对其进行的有意或无意的攻击,从而保证了专用私有网的安全。将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效的策略。防火墙技术的局限性主要在于:防火墙技术只能防止经由防火墙的攻击,不能防止网络内部用户对于网络的攻击;防火墙不能保证数据的秘密性,也不能保证网络不受病毒的攻击,它只能有效地保护企业内部网络不受主动攻击和入侵。
2、虚拟专网技术(VPN)
VPN的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。VPN具投资小、易管理、适应性强等优点。VPN可帮助远程用户、公司分支机构、商业伙伴及供应商与公司的.内部网之间建立可信的安全连接,并保证数据的安全传输,以此达到在公共的Internet上或企业局域网之间实现完全的电子交易的目的。
3、数据加密技术
加密技术是保证电子商务系统安全所采用的最基本的安全措施,它用于满足电子商务对保密性的需求。加密技术分为常规密钥密码体系和公开密钥密码体系两大类。如果进行通信的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄露,可通过常规密钥密码体系的方法加密机密信息,并随报文发送报文摘要和报文散列值,以保证报文的机密性和完整性。目前常用的常规密钥密码体系的算法有:数据加密标准DES、三重DES、国际数据加密算法IDEA等,其中DES使用最普遍,被ISO采用为数据加密的标准。在公开密钥密码体系中,加密密钥是公开信息,而解密密钥是需要保护的,加密算法和解密算法也都是公开的。典型的公开密钥密码体系有:基于数论中大数分解的RSA体系、基于NP完全理论的Merkel—Hellman背包体系和基于编码理论的McEliece体系。在以上两类加密体系中,常规密钥密码体系的特点是加密速度快、效率高,被广泛用于大量数据的加密,但该方法的致命缺点是密钥的传输易被截获,难以安全管理大量的密钥,因此大范围应用存在一定问题。而公开密钥密码体系很好地解决了上述不足,保密性能也优于常规密钥密码体系,但公开密钥密码体系复杂,加密速度不够理想。目前电子商务实际运用中常将两者结合使用。
4、安全认证技术
安全认证技术主要有:
(1)数字摘要技术,可以验证通过网络传输收到的明文是否被篡改,从而保证数据的完整性和有效性。
(2)数字签名技术,能够实现对原始报文的鉴别和不可否认性,同时还能阻止伪造签名。
(3)数字时间戳技术,用于提供电子文件发表时间的安全保护。
(4)数字凭证技术,又称为数字证书,负责用电子手段来证实用户的身份和对网络资源访问的权限。
(5)认证中心,负责审核用户的真实身份并对此提供证明,而不介入具体的认证过程,从而缓解了可信第三方的系统瓶颈问题,而且只须管理每个用户的一个公开密钥,大大降低了密钥管理的复杂性,这些优点使得非对称密钥认证系统可用于用户众多的大规模网络系统。
(6)智能卡技术,它不但提供读写数据和存储数据的能力,而且还具有对数据进行处理的能力,可以实现对数据的加密和解密,能进行数字签名和验证数字签名,其存储器部分具有外部不可读特性。采用智能卡,可使身份识别更有效、安全,但它仅仅为身份识别提供一个硬件基础,如果要使身份认证更安全,还需要与安全协议的配合。
5、电子商务安全协议
不同交易协议的复杂性、开销、安全性各不相同,同时不同的应用环境对协议目标的要求也不尽相同。目前比较成熟的协议有:
(1)Netbill协议,是由J.D.Tygar等设计和开发的关于数字商品的电子商务协议,该协议假定了一个可信赖的第三方,将商品的传送和支付链接到一个原子事务中。
(2)匿名原子交易协议,由J.D.Tygar首次提出,具有匿名性和原子性,对著名的数字现金协议进行了补充和修改,改进了传统的分布式系统中常用的两阶段提交,引入了除客户、商家和银行之外的独立第四方一交易日志(Transactionlog)以取代两阶段提交协议中的协调者(Coordinator)。
(3)安全电子交易协议SET,由VISA公司和MasterCard公司联合开发设计。SET用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,它可以对交易各方进行认证,防止商家欺诈。SET协议开销较大,客户、商家、银行都要安装相应软件。
(4)安全套接字层协议SSL,是目前使用最广泛的电子商务协议,它由Netscape公司于设计开发。它位于运输层和应用层之间,能很好地封装应用层数据,不用改变位于应用层的应用程序,对用户透明。然而,SSL并不专为支持电子商务而设计,只支持双方认证,只能保证传送信息传送过程中不因被截而泄密,不能防止商家利用获取的信用卡号进行欺诈。
(5)JEPI(JointElectronicPaymentInitiative),是为了解决众多协议间的不兼容性而提出来的,是现有HTTP协议的扩展,在普遍HTTP协议之上增加了PEP(ProtocolExtensionProtocol)和UPP(UniversalPaymentPreamble)两层结构,其目的不是提出一种新的电子支付手段,而是在允许多种支付系统并存的情况下,帮助商家和顾客双方选取一个合适的支付系统。
四、结束语
基于电子商务的安全技术讨论 篇6
【关键词】电子商务;加密;安全技术
一、数据加密技术
在电子商务中,信息加密技术是其它安全技术的基础,为了保护商业机密在传输过程中不被别人窃取或篡改,必须对数据进行加密处理。加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式(即加密),在线路上传送或在数据库中存储,其他用户再将密文还原成明文(即解密),从而保障信息数据的安全性。
数据加密的方法很多,常用的有两大类:一种是对称密钥加密,一种是非对称密钥加密。
对称加密也叫秘密密钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密,其特点是加密和解密使用的是同一个密钥。这种方法使用简单,加密解密速度快,适合于大量信息的加密。
但存在几个问题:第一,不能保证也无法知道密钥在传输中的安全。若密钥泄漏,黑客可用它解密信息,也可假冒一方做坏事。第二,假设每对交易方用不同的密钥,N对交易方需要N*(N-1)/2个密钥,难于管理。第三,不能鉴别数据的完整性。
非对称密钥加密也叫公开密钥加密。公钥加密法是在对数据加解密时,使用不同的密钥,在通信双方各具有两把密钥,一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密,同样地,用私钥加密的数据只能用对应的公钥解密。具体加密传输过程如下:
(1)发送方甲用接收方乙的公钥加密自己的私钥。
(2)发送方甲用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方。
(3)接收方乙用自己的私钥解密,得到甲的私钥。
(4)接收方乙用甲的公钥解密,得到明文。
这个过程包含了两个加密解密过程:密钥的加解密和文件本身的加解密。在密钥的加密过程中,由于发送方甲用乙的公钥加密了自己的私钥,如果文件被窃取,由于只有乙保管自己的私钥,黑客无法解密。这就保证了信息的机密性。另外,发送方甲用自己的私钥加密信息,因为信息是用甲的私钥加密,只有甲保管它,可以认定信息是甲发出的,而且没有甲的私钥不能修改数据。可以保证信息的不可抵赖性。
运用公开密钥加密算法,处理和计算量都比较大,速度慢,所以只适合于少量数据的加密。
因此,在当前的加密应用中,应该使用对称密钥来对文本加密和解密,用非对称RSA加密体系对私钥加密和解密。发送方把密文和加密后的私钥一起发送给接收方。使用这种联合加密法,不仅可以确保数据的保密性,而且还可以实现一种名为数字签名的认证机制。发送者私钥加密的数据可以提供对发送者身份的认证,接收者私钥加密的数据可以提供对接收者身份的认证。
当然,任何一个安全产品或技术都不会提供永远和绝对的安全,因为网络在变化,应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的出路。
二、与电子商务安全有关的协议技术
1.SSL协议(Secure Sockets Layer)安全套接层协议
应用:面向连接的协议,在电子商务中传输重要、敏感数据。
SSL协议的概念:SSL协议是早期的一种安全电子支付协议,它的主要目标是保证两个应用间通信的保密性和可靠性,是实现浏览器和服务器(通常是Web服务器)之间安全通信的协议。
SSL协议的功能:SSL协议提供了三种基本的安全服务,即秘密性、完整性和认证性。所谓秘密性是指在客户机和服务器之间通过密码算法和密钥的协商,建立起一个安全通道,使得在安全通道中传输的数据都经过加密处理。所谓完整性是指利用密码算法和Hash函数,确保要传输的信息完整无损的到达目的地。所谓认证性是指利用认证技术和权威的第三方CA,让客户机和服务起互相识别对方的身份。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道,在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。SSL协议独立于应用层协议,因此,在电子交易中被用来安全传送信用卡号码。
SSL的应用及局限:中国目前多家银行均采用SSL协议,从目前实际使用的情况来看,SSL还是人们最信赖的协议。但是SSL当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端。它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系,并且购货时用户要输入通信地址,这样将可能使得用户收到大量垃圾信件。
2.SET协议(Secure Electronic Transaction)安全电子交易
应用:电子商务的结算方式是在Internet环境下,借助SET协议在网络上直接支付,具体方式是用户网上发送经加密的信用卡号和密码到银行进行支付。由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。
SET的局限性:SET是专门为电子商务而设计的协议,虽然它在很多方面优于SSL协议,但仍然不能解决电子商务所遇到的全部问题。
SET主要目标是:①信息在Internet上安全传输,保证网上传输的数据不被黑客窃取;②定单信息和个人帐号信息的隔离,当包含持卡人帐号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息;③持卡人和商家相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通信双方提供信用担保;④要求软件遵循相同协议和报文格式,使不同厂家开发的软件具有兼容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
总之,随着电子商务的发展,安全问题将更加重要和突出,要想解决好此问题,必须由安全技术和标准作保障。安全是一个“相对的”词汇,电子商务的发展促使对安全技术进行不断探索研究和开发应用,以建立一个安全的商务环境。
参考文献:
[1]覃征,谢国彤等编著.商务体系结构及系统设计[M].西安交通大学出版社,2001.
[2]石磊.电子商务的网络技术[M].中国水利水电出版社,2005,3.
[3]陈建强.关于电子商务系统中安全支付模型的探讨[J].贵州工业大学学报(自然科学版),2001(02).
[4]吴国栋.安全电子支付协议的两种改进方案[J].农业网络信息,2005(11).
[5]徐小亚,吴雪毅.我国电子商务发展的问题及对策研究[J].广西轻工业,2007(01).
电子商务安全技术 篇7
在电子商务交易过程中, 每个参与者都可能受到不同类型的安全威胁。例如:销售者的中央系统的安全被入侵者破坏, 客户资料被竞争者获悉, 消费者提交订单后不付款, 收到虚假订单等。消费者也不是无忧的, 付款后不能收到商品, 机密性信息被泄漏, 受到拒绝服务攻击等等。概括起来, 电子商务所面临的安全问题可分为如下三个方面:
1.1 网络结点的安全
对于客户机, 黑客利用特定的技术非法入侵进来, 破坏用户信息的机密性和完整性。例如, Cookie管理程序、Java小应用程序和Java Script、Active控件, 以及一些图形文件、插件和电子邮件的附件都可能对客户机的安全性构成威胁。
对于服务器, 也有很多弱点会被利用, 如WWW服务器及其软件的安全漏洞、数据库的数据库服务器, 以及服务器上的公用网关接口程序都是黑客入侵的重点。
1.2 通讯的安全
电子商务系统的数据通信主要存在于客户端浏览器与电子商务WEB服务器, WEB服务器与电子商务数据库服务器, 以及银行内部网与业务网之间的通讯。通讯过程中, 数据信息的机密性、完整性对电子商务安全至关重要。
1.3 认证管理
传统的商务活动是以现有的信用体系为依托, 交易是以签订书面合同为依据的, 而电子商务的主要形式之一就是网上交易, 包括合同的处理以及资金的划转等, 所以在网上如何确定信用保护商业秘密, 对发展电子商务是一个很严重的问题。
2 电子商务中的安全技术
2.1 安全的网络平台
安全可靠的网络平台是电子商务成功运行的首要条件。提供安全网络平台的常用方法是采用防火墙技术、病毒防护技术等。防火墙是连接在Internet与Intranet之间的硬件或软件设备, 通过IP过滤和代理服务器软件方法保护企业内部网中的数据, 病毒防护技术主要用于对客户发来的订单及附件进行查毒、杀毒, 防止入侵者伪装成合法用户, 通过发送信息向服务器植入木马或其他恶意代码。
某些防火墙提供了拒绝服务和暴力攻击的防护功能, 但它们并不能执行深入的流量分析, 而入侵检测系统作为一种积极主动的安全防护技术, 提供了对内部攻击、外部攻击和误操作的实时保护, 在网络系统受到危害之前拦截和响应入侵。按照获得原始数据的方法, 可以将入侵检测系统分为基于网络的入侵检测系统和基于主机的入侵检测系统, 两种系统都具有监视分析用户和系统的行为、审计系统配置和漏洞、识别攻击行为、对异常行为进行统计等功能, 企业可以根据自身特点选取合适的保护措施。
2.2 数据加密技术
数据加密技术就是对信息进行重新编码, 从而隐蔽信息内容, 使非法用户无法获取信息的真实内容的一种技术手段, 该技术是电子商务所采
取的主要安全措施。目前, 加密技术主要分为两类, 即对称加密和非对称加密。
2.2.1 对称加密
对称加密又称常规加密或单密钥加密, 即对信息的加密和解密都使用相同的密钥。参见图1。
对称加密技术的主要优点是速度快、效率高, 因为贸易方公用一种加密算法, 减少了研究对方算法带来的成本。只要保证密钥在进行通信的贸易双方在交换的过程中未被泄漏, 那么文件的机密性和完整性就可以通过对称加密信息, 然后将加密后的信息随同报文一起发送报文摘要来实现。对称加密的不足在于将密钥发给贸易方是困难的, 另外, 有一个贸易伙伴就要有一个密钥, 也就是密钥的规模无法适应因特网这类大环境的要求。
2.2.2 非对称加密
非对称加密又称公开密钥加密, 该体系中, 密钥被分解为一对, 即公开密钥 (公钥) 和私人密钥 (私钥) , 顾名思义, 公钥对外公开, 私钥由个人秘密保存, 用其中一把密钥来加密, 就只能用另一把密钥来解密。 (见图2)
应用过程是:贸易方甲生成一对密钥, 并将其中一把作为公开密钥向其他贸易方公开, 得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把私钥对加密后的信息进行解密。
公开密钥加密技术解决了密钥的发布和管理问题, 是当前电子商务所主要应用的技术, 然而其运算速度较慢, 通常不适合对信息量大的文件进行加密。实际应用中, 通常是结合使用两种技术, 即采用公开密钥加密技术实现对称密钥的管理, 使相应的管理变得简单和安全。
2.3 数字签名
数字签名是公开密钥加密技术的一种应用, 它是在传输的数据信息里附加一些特定的数据或对数据信息作密码变换, 这种附加数据或密码变换使接收方能确认信息的真正来源和完整性, 并且发送方事后不能否认发送的信息, 而接收方或非法者不能伪造或篡改发送方的信息。其具体使用方式是:报文发送方采用Hash函数, 将原始报文M通过一个单向的Hash函数作用, 生成相当短的输出H (报文摘要) , 即Hash (M) =H, 在用自己的专用密钥对H进行加密形成发送方的数字签名。然后这个数字签名将作为报文附件随报文一起发送给接收方。报文接收方首先从收到的原始报文中用同样的算法计算出新的报文摘要, 再用发送方的公钥对报文附件的数字签名进行解密, 比较两个报文摘要, 如果值相同, 接收方就能确认该数字签名是发送方的。
2.4 身份认证
电子商务交易过程中企业与用户通过Internet互相交换从CA申请到的数字证书, 并验证其真实性 (包括验证数字签名、数字证书有效性等) , 如任何一方发现对方数字签名有误, 则立刻停止交易。
认证中心 (CA) 是提供身份验证的第三方机构, 通常由一个或多个用户信任的组织实体组成。而数字证书是一段包含用户身份信息、用户公钥信息以及安全认证中心 (CA) 数字签名的数据, 其中, CA的数字签名确保了证书信息的真实性, 用户公钥信息确保了数字信息传输的完整性, 而用户的数字签名又确保了数字信息的不可否认性。
在我国, 基于Internet的电子商务尚未得到长足发展, 其信息安全工作任重而道远, 这不仅有技术方面的因素, 也存在人为因素。作为企业的管理人员, 应尽量采用先进的技术措施防范黑客, 并加强企业内部的安全管理, 提高员工安全意识, 而作为电子商务的参与者, 我们要积极参与, 密切关注, 共同为电子商务的良好发展保驾护航。
摘要:随着因特网技术的迅猛发展, 电子商务的发展前景也变得更为诱人, 同时, 其安全问题也变得日趋突出, 成为决定电子商务成败的关键因素。本文首先阐述了目前电子商务所面临的几大安全问题, 继而对电子商务中的安全技术作了分析介绍, 最后对我国电子商务的发展提出了几点建议。
电子商务信息安全技术分析 篇8
电子商务真正实现了在开放、透明的网络环境下实现人们网上购物、网上交易等活动,随着电子商务技术的逐渐成熟,由于电子商务的方便、快捷等优点,得到了越来越多的认可,同时也得到人们更多的关注,那么电子商务的安全问题也变得重要起来,为了解决电子商务的安全问题,信息安全技术成了这个时代的关键。
1 信息安全中存在的问题
电子商务安全大体上可以分为两个方面,一方面是计算机网络安全,另一方面就商务交易安全。对电子商务的安全来说都是十分重要的,计算机网络安全是电子商务安全的基础,商务交易安全是电子商务安全的基本保障,两者密切联系,相辅相成,那么电子商务安全到底存在哪些安全问题呢?
1.1 对数据进行攻击
危机网络信息安全的任何行为都可以称之为数据攻击,主要可以通过对基本信息进行截获、对信息进行伪造、强制中断信息的传输、对信息进行错误的修改等方式对电子商务信息安全进行攻击。
1.2 数据安全的基本保障
用户主要通过信息安全服务加强一个组织的数据处理系统及信息传输的安全性,以此来达到安全服务对抗攻击的主要目标,信息的安全服务主要包括:
(1)数据的保密性
数据的保密性就是指保证企业的一些机密文件或者商业信息不易被截获或者破解,就算被截获也无法读懂信息含义。数据的保密性极大的保护了用户的隐私权,给用电子商务信息的安全提供了基本的保障。
(2)数据的完整性
数据的完整性主要体现在数据的传输过程中,数据的完整性作为电子商务应用的基础主要包括两个方面,一方面,是指真实的数据传输,就是在数据传输过程中无法对基本信息进行篡改,与用户的信息相一致。另一方面,是指统一数据传输。
(3)数据的不可否认性
数据的不可否认性就是指对数据传输的双方来说,数据传输的整个过程都是透明的,这样可以有效的避免双方对信息的收发情况进行抵赖,减少交易过程中的问题纠纷。
(4)确定交易者的正确性
通过电子商务进行交易活动时,时常会有第三方出现进行信息的骗取,因此电子商务能确定交易者的身份这个特点在商务交易显得尤为重要,可以有效的防止信息的丢失与泄露。
2 电子商务信息安全技术分析
在电子商务进行交易等活动时,电子商务的安全问题显得尤为重要,因此要设置一定的安全机制、安全技术,对电子商务中的交易进行保护。
2.1 关于数据防火墙
电子商务的防火墙技术,是指限制公共的数据与服务对内部资源进行访问,防火墙技术可以达到一定的安全要求在不修改原有网络应用系统情况的前提下,由于其实用性及使用透明性,被广泛应用到企业安全问题当中,虽然在商务安全上,防火墙有一定的保护作用,但是防火墙也有不足之处,一方面防火墙不能防止病毒的入侵,另一个方面,在防火墙之间的数据不能及时进行更新,更新速度慢给人们对数据的应用带来不便,同时防火墙也不能满足企业与多个客户同时交流的需求,大大降低的工作效率。
2.2 对数据的信息进行保密处理
数据的加密技术一般被应用到数据的传输过程中,在传输过程中对数据进行加密,若数据安全到达客户手中,客户可以通过密钥进行解密,显示数据的主要内容,若数据被不法分子截获,只会显示一堆乱码,从而达到保护信息数据安全的效果,对数据加密的方法有两种,一种是通过对称密钥对数据进行加密设置,对称密钥的特点就是加密密钥与解密密钥的相同,另一种是通过非对称密钥对数据进行加密设置,那么非对称密钥的最大的特点就是加密密钥与解密密钥不同,非对称密钥的加密算法复杂,解密速度慢,相比之下,非对称密钥的保密性比对称密钥的保密性强一点。
2.3 对已破坏的数据进行修复
数据的恢复就是字面上看到的意思,将受到损坏或者丢失、病毒感染等因素影响的数据进行恢复,使其能够正常使用,对于数据的修复不只是对文件进行修复,同时也要对磁盘中损坏的数据进行修复,数据的修复不只是在被攻击者攻击之后,还有可能是因为数据的载体太过老化,而引起数据的丢失,这些都需要进行数据修复。
2.4 对重要的数据信息进行隐藏
数据的隐藏技术其实主要是利用“最危险的地方最安全”这个理论,数据隐藏为了不让普通用户发现而将秘密数据隐藏到一般的非秘密的文件中,非法分子分不清哪个普通信息中存在其本身需要的数据内容,间接的保护了信息数据的安全,数据的隐藏技术与普通一般的加密技术有所不同,隐藏技术主要通过对代码的不同编写形成不同的密文使其隐藏在一个公开的数据中,通过公开数据对加密数据进行传输,使得非法分子无法识别数据是否存在及数据的意义而保护了信息数据的安全。
2.5 数据的损坏过程及入侵早期监测
通过电子商务安全可以对电子交易中的安全事件进行详细的检测,入侵检测主要是对试图入侵还没开始行动的、正在进行的入侵活动或者已经发生的入侵行为进行识别并及时的处理,电子商务安全主要通过对已知的网络的信息及数据情况进行分析,同时根据不同的情况做出不同处理最大程度保证信息数据的安全,入侵技术主要分为三类:
(1)对数据的前期监测
在进行数据的入侵前,对数据进行全面的了解对攻击者来说是极为重要的,只有全面详细的了解整个数据,才能更加迅速的对数据进行攻击窃取。
(2)对数据进行破坏
在攻击者对整个数据足够了解之后就会实施对数据的破坏行为,在攻击过程中,攻击者会根据不同数据的不同的情况采用不同的攻击方法进行攻击窃取,甚至有些攻击者会通过非法欺骗、窃听等方式得到数据加密的密钥,对数据的密钥进行解密或者直接利用病毒攻击数据防火墙。
(3)伪造数据破坏情况
攻击者在对数据进行破坏窃取之后,伪造数据被破坏的情况,使得用户不易发现数据的破坏甚至被篡改,不能及时对数据信息进行处理。
2.6 安全的网络基础设施
安全的网络基础设施是保证电子商务安全的基础,网络安全包括很多种,其中上文所说的防火墙技术也属于网络安全,另外操作系统技术、漏洞检测技术等都属于网络安全技术,安全的网络基础设施真正做到使计算机的硬件与软件相互结合,为数据信息安全建立一个安全屏障。
3 结束语
五大技术保障电子商务安全发展 篇9
一、加密技术
在电子商务活动中,公司之间许多重要的商业合作需要通过网络来沟通,尤其是在Internet越来越发展的时代。但是,在公司通过Email或者其他方式进行交流的时候,网络上的许多恶意窃听者通过自己的计算机技术对交流的信息进行窃听,盗取了公司间交流的信息,引起了公司商业机密的泄露等问题,严重的将导致正在进行的商务活动被迫终止,在很大程度上阻碍了电子商务的发展。
目前,应对信息泄露的最基本的技术是加密技术。加密技术是电子商务的最基本安全措施,包括对称加密和非对称加密技术。不同的用户可以根据自己的需求在这两种加密方式中选择,如果用户安全性要求不高,但对加密速度、效率更侧重的话,可以选择对称加密。反之,则可以选择非对称加密。甚至,用户也可以将两者结合使用。
以非对称加密技术为例:A公司生成一对密钥并将其中的一把作为公用密钥向其他相关公司公开;得到该公用密钥的B公司使用该密钥对机密信息进行加密后再发送给A公司;A公司再用自己保存的另一把专用密钥对加密后的信息进行解密。A公司只能用其专用密钥解密公用密钥加密后的任何信息。这样,网络上的窃听者因为没有相应的密钥则无法窃取公司交流的信息,保护了电子商务的安全。
二、安全认证技术
随着电子商务的发展,以互联网为交易平台的交易将越来越多。由于是通过网络签订的合作协议,其中的签名、图章透过一些计算机技术就能够伪造,不少企业因此遭受了巨大的损失。但是如果采用传统的签名方式,将大大降低电子商务的效率,或者就不存在电子商务。
目前,在技术上解决这个问题的手段有电子签名技术。电子签名是指在一个数据信息中或附在其后或逻辑上与其有联系的电子形式的签名,其在形式上,与传统签名差别很大,但在功能上,两者却很接近,都是用来鉴别合同的当事人并表明其同意该数据信息的内容。电子签名一方面解决了对用户的认证问题,另一方面解决了用户对商家的认证问题,建立了完善的双向认证机制。
在具体的应用中,电子签名技术是通过和加密技术相结合实现的,数字签名保证了电子商务主体的身份,加密技术保证了数字签名的安全。
三、电子商务中的第三方支付
在电子商务活动中,网上支付是必不可少的环节。在这个环节中,消费者、网上商家、交易双方银行、信用卡组织之间都要承担相应的安全方面的义务。但是,尽管目前存在着网上支付的SET、SSL协议等安全协议,作为网上支付工具的网上银行中的资金仍然出现了被他人恶意交易,或者直接被盗走的现象。
目前,为了解决网上支付的安全问题,采用第三方支付平台是比较先进的做法。第三方支付平台有两种代表,一种是以首信为代表的网关型支付平台,它为电子商务提供了统一的支付界面、手续费用标准,结算较为便利。另一种是以支付宝为代表的信用担保型第三方支付平台,支付宝保障了电子商务过程中双方尤其是买方的利益,保证了资金流和货物流的顺利对流,它为交易提供了担保,通过改造支付流程,保障了交易资金的安全。
四、病毒防范技术
2000年2月8日到10日,包括雅虎、美国有线新闻在内的五大热门网站遭到黑客病毒的攻击,这些网站有的瘫痪时间长达数小时,由于正处于网上购物最活跃的时候,数小时的网络瘫痪意味着巨大的经济损失。
电子商务系统虽然可以提高交易效率,但也不可避免地为计算机病毒的传播创造了条件。病毒影响并且威胁着电子商务交易的顺利进行,计算机病毒轻则影响计算机的运行速度,重则盗取用户的信息,“替”用户交易,给用户造成巨大的损失。
随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,病毒防范技术是必不可少的。由于病毒的攻击需要突破网关,所以网关防御是至关重要的。当前,CSG(Content Security Gateway)内容安全网关是解决网关病毒攻击的一种技术,它支持多种形式的防护,包括使用双病毒扫描引擎的防病毒检测、防垃圾邮件、URL过滤、关键词过滤等。CSG能够真正做到即插式完全透明的网关解决方案,部署到客户网络环境中而无需修改任何设置,即可为客户提供防御保护。基于流式的病毒扫描技术,CSG可满足用户对“高吞吐量、高并发连接、低延迟”的需要。
五、防火墙技术
电子商务离不开网络,所以网络安全对于从事电子商务的企业具有极其重要的意义。企业每天都要应对电子商务中的海量数据和繁杂数据信息的种种处理任务。企业在对外开放的服务等信息要通过保障内联服务器的永续运行,才能确保外界能够对其实现不间断访问。外网与内网的分工与合作在保障了企业业务运营的同时也带来了新的问题,网络上的许多黑客入侵了企业的内网,修改了其中信息,或者恶意攻击企业的内网,使内网无法为外网提供支持。
尽管内网的访问设有专门的权限,但是黑客通过自己的技术破解了这个权限,攻击内网。为了解决这个问题,需要在内网和外网之间增加一道屏障,这就是防火墙。
防火墙按照基于对象可分为两类:一类是基于包过滤,这类防火墙通常只包括对源和目的IP地址及端口的检查,它对用户完全透明,速度很快,但是不能够对用户进行区分;另一类防火墙是基于代理服务,这种类型的防火墙使用一个客户程序与特定的中间结点(即防火墙)连接,然后中间节点与服务器进行实际连接,这使得内网与外网之间不存在直接连接,大大提高了网络的安全性。但是,这种防火墙在使用过程中会导致网络性能的明显下降,有一定的局限性。在具体的应用上可以将这两类防火墙结合起来组成复合式防火墙,充分发挥各自的优势,进而满足安全性要求更高的电子商务的企业需求。
目前的防火墙技术已经发展到智能防火墙阶段。与传统防火墙相比,智能防火墙内外兼顾,它能够大大提升内部局域网的速度,阻止恶意病毒和木马对内网的攻击。智能防火墙的防欺骗功能和MAC控制功能,能够有效地发现内部恶意流量,帮助管理员找到攻击来源,更好地保护电子商务的安全。
总结
电子商务中的安全技术 篇10
电子商务具有许多优势,譬如高效率、低成本;同时,电子商务也会提供各种各样的机会。但迄今为止,真正开始实施电子商务的企业还很少,绝大多数企业还在持观望态度,电子商务还远远谈不上普及。这其中的原因主要有以下三个点:人的因素、立法问题、安全问题。其中安全问题可以说是电子商务活动的最大障碍。
二、电子商务的安全性要求
保证交易数据的安全是电子商务系统的关键,由于Internet本身的开放性,使电子商务系统面临着各种各样的安全威胁,因此,对电子商务的安全性提出了很高的要求。
1、有效性
电子商务系统应有效防止系统延迟和拒绝服务情况的发生,要对网络故障、硬件故障、操作错误、应用程序错误、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,保证交易数据在确定的时刻、确定的地点是有效的。
2、机密性
系统应能对公众网络上传输的信息进行加密处理,防止交易中信息被非法截获或读取,防止通过非法拦截会话数据获得账户有效信息。
3、完整性
电子商务系统应防止对交易信息的随意生成、修改和删除,同时防止数据传输过程中交易信息的丢失和重复,井保证信息传递次序的统一。
4、可靠性
由于网上的通信双方互不见面,所以在交易前必须首先确认对方的真实身份;在进行支付时,还需要确认对方的账号等信息是台真实有效电子商务系统应该提供通信双方进行身份鉴别的机制,确保交易双方身份信息的可靠和合法。
5、匿名性
电子商务系统应确保交易的区名性,防止交易过程被跟踪,保证交易过程中的用户个人信息小会泄露,确保合法用户的隐私小被侵犯。
6、防抵赖性
电子商务系统应有效防止商业欺许行为的发生,网上进行交易的各方在进行数据传输时,都必须携有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证,以保证商业信用和行为的不可否认性,保证交易各方对已做交易无法抵赖。
三、电子商务中的主要安全技术
为了满足电子商务在安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全控制技术保证整个电子商务过程的安全与完整,并实现交易的防抵赖性等。具体实现有以下几种技术:
1、网络服务
网络服务是各种电子商务应用系统的基础,并提供信息传送的载体和用户接入的手段及安全通信服务,保证网络最基本的运行安全。主要内容包括:网络隐患扫描、网络安全监控、内容识别、访问控制、防火墙技术。
2、加密技术
加密技术是电子商务的最基木安全措施,加密的主要目的是防止信息的非授权泄露。密码算法是一些数学公式、法则或程序,算法中的可变参数是密钥。
(1)对称加密,也称密钥加密或专用密钥加密,是指对信息的加密和解密都使用相同的密钥,也就是说,交易双方采用相同的加密算法,井只交换共享的专用密钥。
(2)非对称加密,也称公开密钥加密,是指密钥被分解为一对,即一把公开密钥加密密钥和一把专用密钥解密密钥。
3、安全认证技术
认证技术是保证电子商务安全的又一重要技术手段,是防止信息被篡改、删除、重放和伪造的一种有效方法,它使发送的消息具有被验证的能力,使接收者能够识别和确认消息的真伪。
(1)数字摘要
数字摘要一般采用安全的Hash算法SHA,Secure Hash Algorithm),通过使用单向散列函数Hash将需要加密的明文“摘要”成一个固定民度128 bit的密文。该密文同明文是一一对应的,不同的明文加密成不同的密文,相同的明文其摘要必然一样。因此,利用数字摘要可以验证通过网络传输收到的明文是否为初始的、未被篡改过的,从而保证数据的完帷性和有效性。
(2)数字签名
数字签名也称电子签名,在信息安全,包括身份认证、数据完整性、不可否认性以及区名性等方面有重要应用。其主要方式为:报文发送方从报文文本中生成一个128 bit的散列值或报文摘要,并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首光从接收到的原始报文中计算出128 bit位的散列值或报文摘要,接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
(3)数字时间戳
在电子交易中,需要对交易文件的日期和时间信息采取安全措施,而数字时间戳服务DTS专用于提供电子文件发表时间的安全保护。DTS由专门机构提供,所谓的时问戳是一个经加密后形成的凭证文档,共包括份个部分:需要加时问戳的文件的摘要、DTS收到文件的日期和时间以及DTS的数字签名。
(4)数字凭证
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源访问的权限。数字凭证包含以下内容:凭证拥有者的姓名、凭证拥有者的公共密钥、公共密钥的有效期、颁发数字凭证的单位、数字凭证的序列号。目前,数字凭证有个人凭证、企业凭证、软件凭证,其中前两类较为常用。
(5)认证中心
在电子商务系统中,无论是数字时间戳服务DTS,还是数字凭证的发放,都需要有一个具有权威性和公开性的第三方认证机构来承担。认证中心CA就是承担网上安全电子交易服务、能签发数字证书、井能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。认证中心依据认证操作规定来实现服务操作。
4、交易协议
国际上,电子商务的安全交易机制正在走向成熟,并逐渐形成了一些国际规范,比较有代表性的有SSL(Secure Sockets Layer)协议和SET(Secure Electronic Transaction)协议。
(1)安全套接层
协议安全套接层协议(SSL)是一个用来保证安全传输文件的协议。SSL通过在浏览器软件和Web服务器之间建立一条安全通道,实现信息在Internet中传送的保密性,主要适用于点对点之间的信息传输。SSL采用了公开密钥和专有密钥两种加密:在建立连接过程中采用公开密钥:在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间信息传递的安全性。
(2)安全电子交易协议
安全电子交易(SET)协议是维萨(VISA)国际组织、万事达(MasterCard)国际组织创建。结合IBM,Netscope等公司制定的电子商务中安全电子交易的一个国际标准。其主要目的是解决信用卡电子付款的安全保障性问题:保证信息的机密性;保证信息安全传输,不能被窃听,只有收件人才能得到和解密信息;保证支付信息的完整性:保证传输数据完整地接收,在中途不被篡改。
四、结束语
电子商务作为全球商务发展的趋势,将给全球的经济、政治和法律带来深刻的影响,安全问题将会变得更加重要和突出。本文电子商务系统从计算机网络安全、商务交易安全出发,全面、系统地对电子商务的关键技术进行了分析和研究。有助于提高对电子商务安全的正确认识,为研究和实施电子商务的安全提供借鉴和参考。
参考文献
[1]郭玲文.精彩网页制作三剑客[M].北京:机械工业出版社,2003.
[2]丰洪才,管华,陈坷.电子商务的关键技术及其安全性分析[J].武汉工业学院学报,2004.
电子商务安全技术 篇11
【关键词】电子商务;安全;加密技术
现在随着网络技术的发展和普及,电子商务正在影响和改变着人们的生活。越来越多的商家已经认识到,要想在市场竞争中取得优势,必须将业务实体向电子商务方向拓展,借助网络以较低成本扩展自己的市场份额。网络上的交易虽然方便快捷,但存在各种各样的风险,如病毒的感染、数据被窃听、身份冒充等,因此,安全问题已经成为电子商务发展中不可忽视的问题,安全是电子商务不可缺少的条件和基础[1]。
一、电子商务系统的组成
电子商务系统的总体架构分为三个层次,底层是电子商务网络平台,中间是电子商务基础平台,顶层是电子商务应用系统。电子商务网络平台,是指支持整个电子商务系统运行的企业内部网和Internet,与银行支付系统的接口连接,客户通过网络实现网上交易。中间层电子商务基础平台,是为电子商务应用提供服务的基础设施。如CA认证机构、支付网关等。电子商务应用系统是指企业进行电子商务的软件系统,为客户提供购物服务和企业内部管理服务的功能[2]。
二、电子商务面临的安全问题
电子商务的安全性主要是指电子商务网络平台的安全和交易中信息传递的安全。而网络平台的安全是指电子商务系统的计算机设备、软件平台和网络环境能够正常运行,不受外部入侵和破坏。由于电子商务是通过计算机和网络实现的,因此它面临着一系列的网络安全问题[3]。
1.信息泄漏。在电子商务中表现为商业机密的泄漏,交易双方进行交易的内容被第三方窃取,破坏信息的机密性。
2.篡改。电子交易的交易信息通过网络进行传输的过程中,可能被他人非法修改、删除或修改,这样就使信息失去了真实性和完整性。
3.身份识别。网上进行交易时无法见面,经常会发生攻击者伪造网站、伪造电子邮件地址、给用户发送假冒的支付请求等攻击行为,所以需要进行身份的确认。如果不对身份进行识别, 交易的一方的身份有可能被盗用,通过身份鉴别,交易双方就可防止相互猜疑的情况。
4.抵赖。交易的一方发现交易的发生对自己不利时,就有可能否认自己的交易行为。发送方发出某个消息后,想否认发过这个消息,接收方接到这个消息后否认自己收到过这个消息。
三、數据加密
未经过加密的原始的信息称为明文,数据加密就是将明文按某种算法或步骤进行处理,使其转换成为不可读的一段字符,通常称为密文。密文需要使用相应的密钥并进行变换之后才能还原为原来的内容,通过这样的方法来实现数据不被非法人窃取目的,达到保护数据的目的,这个过程就是解密。解密是将经过处理的信息转化为其原来数据的过程[4]。
加密技术主要有两种密码体制,一种是对称密钥体制,即加密密钥和解密密钥是相同的。对称密钥算法速度快,广泛应用于对大量数据的处理。另一种是公钥密钥体制,又称非对称密钥密码体制,有两个密钥,一个公钥和一个私钥,公钥是公开的,私钥是保密的。用两个密钥中任何一个密钥加密的数据,只能用对应的另一个密钥解密。
在实际应用时一般是将这两种密码体制综合起来使用。在传输信息的过程总要避免密钥不被泄露,可采用如下策略:假如A要向B发送经过对称密钥加密的密文和对称密钥SK。可以用B公布的公开密钥对SK进行加密。将其结果和密文一起发送给B。B接受信息后首先用自己的私钥对SK进行解密。得到A的对称密钥SK。再用SK解密密文。这样就解决了密钥的转输问题。因为没有人知道B的私钥。也就没有办法获得A的对称密钥SK。
四、密钥的管理
密钥是需要保密的,这就涉及到密钥的管理问题,管理方式不合理同样可能导致被无意识地泄露。要管理好密钥需注意以下几个方面:
1.密钥要定期更换
用户与别人通信时使用密钥,密钥也存在着一定的安全性问题,虽然用户的私钥是保密的,不对外公开的,但是也很难保证私钥的机密性。一旦被别人地知道了用户的密钥,那么通讯中传输的信息就被泄露了。另外使用密钥加密的信息和次数越多,窃听者得到的可供研究的材料也就越多,从某种程度来说也就越不安全了。因此,对话密钥的使用次数和使用时间就需要有一定限制,需要定期更换密钥以减小密钥泄露的可能性。
2.多密钥的管理
对称密钥加密体制的最大问题是密钥的管理和分配比较复杂。比如,具有n个用户的网络,因为每对用户通讯时使用对称式加密算法都需要一个密钥,以保证信息的机密性,所以系统拥有的密钥总数为n(n-1)/2,需要占用大量的存储空间,如果网络或机构的人员增加,对密钥的管理是一件很复杂的事。Kerberos提出了一种解决方案,使密钥的管理和分发变得十分容易,通过建立一个安全、可信任的密钥分发中心,每个用户只要知道一个和密钥分发中心进行会话的密钥就可以了,而不需要知道成千上万个不同的密钥。
五、数据加密技术在电子商务中的应用
随着网络技术的发展,对网络传输过程中信息的保密性、完整性、身份验证提出了更高的要求,现在业界普遍采用以下方式实现信息的安全认证。
1.利用对称加密体制的信息认证
基于对称加密体制的信息认证是事先建立一个通信双方都知道的一个共享的密钥。当通信的A要发送信息给B时,为了防止信息在传输中被窃取,通信的A方将信息用共享密钥加密后再传送。通信的B方接收信息并成功解密后可以确定信息是由A方发出的。这是一种简单的信息认证方法,在认证的同时对信息也进行了加密。
2.公钥密钥体制的数字签名
数字签名是一种防止事后抵赖的手段。采用数字签名,发送方不能否认他发送过报文,接收方自己也不能伪造报文。利用公钥加密体制进行数据签名的过程如下:将发送信息用发送方的私有密钥进行加密,将得到的密文发给接收方,接收方用发送方的公开密钥对密文进行解密,若解密成功,则可确定这个消息是发送方发来的。这样, 只要拥有发送方的公开密钥,都能够验证数字签名的正确性,只有发送方才能发送这一数字签名,这也就完成了对发送方身份的鉴别。这就实现了不可抵赖性的安全需求。
六、结束语
在电子商务交易的过程中,要进行身份的鉴别、抗否认性和可服务性等安全性的服务和保证。而这些问题又要依靠密码技术、数字签名、身份验证技术等安全机制加以解决,其中加密技术是保证电子商务安全的基础和核心,随着加密技术水平的不断提高,电子商务在网络上的安全性得到进一步保证,最终将推动电子商务的不断完善和发展。
参考文献
[1]余绍军,彭银香.电子商务安全与数据加密技术浅析[J].中国管理信息化,2007,10(4):73-74
[2]唐四薪.电子商务安全实用教程[M].北京:中国铁道出版社出版社,2011.
[3]刘红军.电子商务技术[M].北京:机械工业出版社,2013.
[4]谭霞.浅谈电子商务安全中的数据加密技术[J].科技信息,2008(11):75-76
电子商务的信息安全技术研究 篇12
电子商务的一个重要技术特征是利用技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分商务交易安全和计算机网络安全。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保电子商务信息安全技术基础密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
商务交易安全与计算机网络安全实际上是密不可分的。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁。没有商务交易安全保障,即使计算机再安全,仍然无法达到电子商务所特有的安全要求。
二、电子商务安全技术现状及存在的问题
网络安全是电子商务安全的基础,一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全所涉及到的方面比较广,如防火墙技术、操作系统安全、虚拟专用网技术和各种反黑客技术和漏洞检测技术等。
1、防火墙技术
防火墙建立在通信技术和信息安全技术之上,用于在网络之间建立一个安全屏障,根据指定的策略对数据进行过滤、分析和审计,并对各种攻击提供防范。该防火墙模型由两个包过滤路由器和一个堡垒主机构成,支持应用层和网络层的安全功能。它把代理服务器、身份验证系统日志登录和审计系统以及加密系统放在堡垒主机中。堡垒主机位于外部网络和内部网络之间。其中路由器、堡垒主机和包过滤、代理服务、加密技术、身份验证和日志登录审计系统构成屏蔽子网。防火墙主要用于接入和专用网与公用网之间的安全连接。是多种技术如信息包过滤、代理、认证、加密、日志审计等的综合体,从某种意义上来说也是一种安全策略。它具有安全性较好,自适应能力高,效率高等特点。另一方面,“防火墙”型系统在技术原理上对来自内部性的安全威胁不具备防范作用,并且常常需要有相对封闭的网络拓扑结构来支持。
2、加密技术
为保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术,加密技术是指通过使用代码或密码来保障数据的安全性。欲加密的数据称为明文,明文经过某种加密算法作用后,转换成密文,我们将明文转换为密文的这一过程称为加密,将密文经解密算法作用后形成明文输出的这一过程称为解密。加密算法中使用的参数称为密钥。密钥长度越长,密钥的空间就越大,遍历密钥空间所花的时间就越多,破译的可能性就越小。以密钥为标准,可将密钥系统分为对称密钥系统和非对称密钥系统。
对称密钥加密算法是传统的加密手段,由于收发双方共享一个秘密密钥,密钥的传递和管理很困难。公开密钥加密算法的安全性依赖于一类特殊的数学函数一单向陷门函数,单向陷门函数的性质为从一个方向求值容易,但逆向计算却很困难。计算复杂度高,加密和解密速度都比对称密钥算法慢的多。为了充分利用公开密钥密码算法和私有密钥密码算法的优点,克服其缺点,解决每次传送更换密钥的问题,可以采用混合密码技术,即所谓的电子信封技术。发送者自动生成对称密钥,用对称密钥加密发送的信息,将生成的密文连同用接收方的公开密钥加密的对称密钥一起传送出去。收信者用自己的私有密钥解密被加密的密钥来得到对称密钥并用它来解密密文。这样保证每次传送都可由发送方选定不同密钥进行,更好的保证了数据通信的安全性。
3、认证技术
网络认证主要是指对某个实体的身份加以鉴别、确认,从而证实是否是名副其实或是否是有效的过程。也就是验证某一实体的一个或多个参数的真实性和有效性。认证系统常用的验证参数可分为以下两类“基于密码”的认证参数,如口令、密钥、时间戳记、令牌、智能卡等。“基于生理特征身份”的认证参数,如指纹、语言、眼底视网膜图案、人的头部照片等。这两类认证参数在使用中各有其优缺点,前者的认证对象可以是人或物通信进程等,它简单易行,目前在实际中得到了广泛的应用。而后者的认证对象主要是人,它利用用户所特有的人体特征,不必保密,无法伪造。故其具有更高的安全性和可靠性,但由于经费技术等原因而不能普及,目前仍处于强化的研究之中。目前比较常用的用户认证方法主要有口令认证、数字签名及等认证机制。
4、防病毒技术
防病毒技术一般表现在以下几个方面:
第一:安装网络防毒软件。应用于网络的防病毒软件有两种:一种是“单机版”防病毒产品;另一种是“联机版”防病毒产品。前者是以事后消毒为原理的。当系统被病毒感染之后才能发挥这种软件的作用,适合于个人用户。后者属于事前的防范,其原理是在网络端口设置一个病毒过滤器。即事前在系统上安装一个防病毒的网络软件,它能够在病毒入侵到系统之前,将其挡在系统外边。
第二:控制权限。可以将网络系统中易感染病毒的文件的属性、权限加以限制,对各终端用户,只许他们具有只读权限,断绝病毒入侵的渠道,从而达到预防的目的。
除此之外,一定要认真执行病毒定期清理制度。许多病毒都有一个潜伏期。有时候,虽然计算机仍在运行,但实际上己经染上了病毒。病毒定期清理制度可以清除处于潜伏期的病毒,防止病毒的突然爆发,使计算机始终处于良好的工作状态。
三、电子商务安全对策的实现
为了保证电子商务交易的安全,通常会使用一些网络安全产品,如数字签名、防火墙等,这些安全产品和技术的使用尽管在某种意义上满足了网络的安全需求,但不能满足整体的安全需求。如防火墙的最主要的功能就是访问控制功能,数字签名技术可以保证用户身份的真实性和不可抵赖性等等。所以一定要想办法来保证电子商务安全的实现。在身份认证系统的设计和支付系统的设计中要注意以下几点:
1、身份认证系统的模型设计
由于改进的一次性口令认证技术安全性、可靠性和运行效率都比较高,运算速度快,而且在使用过程中,客户端无需作任何设置,也不必安装任何软件,只需到安全站点下载APPLET使用,方便性和通用性比较好,非常适合B2C电子商务系统中客户端广大用户的使用,所以本文将改进的一次性口令认证技术应用于B2C电子商务身份认证系统中。
而基于有限域上椭圆曲线点群中离散对数问题的ECDSA算法则具有密钥短、签名短、证书短、密钥的生成容易,安全强度高等优点,但“域参数”的计算复杂。考虑到B2B电子商务对安全性的特殊需求,将ECDSA算法应用于B2B电子商务身份认证系统中,可以有效的提高身份认证的安全性和可靠性,在具体实现中结合智能卡技术,可进一步提高身份认证系统的方便性和通用性。客户通过运行在浏览器上的用户界面和相应程序递交身份认证请求,身份认证服务器将普通用户的OTP身份认证请求交给OTP认证模块处理,将合作伙伴的E C DS A身份认证请求交给ECDSA认证模块处理,并将身份认证的结果反馈给用户。只有通过身份认证的用户才能获得相应身份的交易资格权限,否则只能作为匿名用户进行有限访问。
2、电子商务交易支付系统模型设计
电子商务的核心部分是交易支持系统。目前大多数的电子商务是根据安全套接口层SSL协议以信用卡或电子现金来付费。信用卡有First Virtual,Cybank;电子现金包括USC(美国南加州大学)提出的Netcash,DEC公司系统研究中心的Millicent等。1997年5月31日,Visa Master Card联合其他一些大公司一起推出了一个基于开放网络的安全的以信用卡支付为基础的电子商务协议S E T(SecureElectronic Transaction)。该协议详细定义了网上购买的全过程,并需要一个完整的认证体系来参与。SET己被大多数公司所接受,并看成是今后电子商务发展的主要方向。作为一种电子商务系统应用实例,在线电子银行系统应该满足以下几种安全需求:
(1)机密性:系统应该保证只有经过授权的实体间才能进行信息交流;
(2)实体鉴别:在发送敏感信息前,用户应该能确信和他们进行通信的是真实的银行,同样,银行也应该在处理事务之前确认用户的身份;
(3)数据鉴别:所谓数据鉴别就是数据来源鉴别和数据完整性鉴别,它使得人们能够检测出是否有非授权实体对数据进行插入、删除、替换和重传等操作;4、不可抵赖性:它能够确保已经执行提交或者其他操作的实体不能事后否认其行为。比如,银行应该能够向第三方证明某个用户执行了某种事务,即使用户对此否认。
该系统的安全性可从几方面考虑:①用户信息。用户只是第一次在交易中心登记开户时把自己有关的银行信息加密后通过网络传给该中心,以后的资金转移要由交易中心与银行利用现已通用的安全体系结构进行。而对于任何第三方而言,所有这些信息是不可得的。②交易过程。除在“零售商”与“供应商”之间传送的所有信息都进行统一加密外,所需的信息资源都须经过二次加密处理。另外,客户的电子付费定单,商家的电子发票都附有数字签名。以验证传送信息的真实性与完整性。这些措施使得整个交互过程满足所需的安全要求。③操作过程。整个系统的交互操作过程快捷、简便,适合大交互量的情况。“零售商”与“供应商”之间的信息传送对交到双方而言是透明的。客户只须选择信息,询问价格,决定是否购买即可。“供应商”接到请求后,自动发送商品价格,传送数字商品以及解密的KS。对商家,还可根据客户的购买情况采取灵活的价格策略。另外,交易中心有每次交互的记录,使发生纠纷时有案可查。支付过程与银行不发生直接关系,更迅速、安全,从订购到支付到最后取得数字商品,整个交互过程全部通过网络进行,实现一体化设计。TR
参考文献
[1]、傅少川,张文杰,马军,电子商务风险分析及定性评估方法研究,情报杂志:2005,5,17~19
[2]、张明光,魏琦,电子商务安全体系的探讨,计算机工程与设计,2005,26 (2):394~396
【电子商务安全技术】推荐阅读:
电子商务安全技术分析07-16
电子商务安全技术问题07-19
电子商务安全技术综述03-17
电子商务安全技术总结08-02
电子商务网络安全技术09-16
电子商务中的安全技术07-17
计算机系电子商务安全技术研究毕业论文模版11-16
移动电子商务技术11-10
电子技术下的电子商务03-30
电子商务技术专业介绍07-02
扫一扫微信支付