论文部分内容阅读
[摘要]安全问题是电子商务发展的核心和关键问题。安全性技术保证电子商务健康有序发展的关键因素。本文讨论了电子商务应用中所存在的安全问题,针对这些安全问题滴电子商务的安全技术进行了分析。
[关键词]电子商务 安全技术 加密技术 签名技术
电子商务是一个机遇和挑战共存的新领域,这种挑战在很大程度上来源于对可使用的安全技术的信赖。在开放的网络(Internet)上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要因素之一。
一、电子商务
1.电子商务的概念
电子商务最通用的英文原名是EC(Electronic Commerce),顾名思义指的就是以电子信息技术为基础的商务运作。
2.电子商务的内容
电子商务一般包括四个部分:(1)交易的商流:指接受订单、够买、开具发票等销售的工作,也包括维修等售后服务之类的工作;(2)配送的物流:指商品的配送;(3)转账支付结算;(4)信息流:包括商品信息、信息提供、促销、直销等。
二、电子商务面临的安全问题
1.信息的截获和窃取。由于未采用加密措施,信息在网络上以明文形势传送,入侵者在数据包经过的网关或路由器上可截获传送的信息。
2.篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。
3.信息假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4.交易抵赖。
5.恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
三、电子商务安全技术
电子商务安全体系结构图1.密码技术
密码技术是信息安全的核心技术。对信息安全的需求大部分可以通过密码技术来实现。密码技术包括加密、签名认证和密钥管理技术等。
(1)加密技术。数据加密的基本过程就是对原来明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容。
(2)数字签名。数字签名是基于加密技术的,它的作用就是用来确定用户是否真实的。
(3)密钥管理技术。密钥管理不仅影响系统的安全性,而且涉及系统的可靠性、有效性和经济性。密钥管理技术主要包括:对称密钥管理;公开密钥管理,第三方托管技术。
2.交易的安全机制
安全机制用来保证电子商务中交易的安全性,如SET、SSL、S/MIME、S-HTTP等,以下主要介绍常用的SET标准。
安全电子交易SET是一种电子支付过程标准,用以保护网上支付卡交易的每一个环节,由VISA和MasterCard合作产生,同时采用IBM、GTE、Microsoft、Netscape、RSA、SAIC、Terisa、VeriSign等多个公司的技术,是专为网上支付卡业务安全所制定的唯一有意义的标准,保证电子支付卡交易的安全进行,加密付款信息被安全地发送。SET标准主要由三个文件组成:SET程序员指南和SET协议描述。
SET结合强大的加密功能和保证支付过程中每一步保密性和可靠性的一系列认证过程,主要包括四个方面:
(1)信息的保密性:SET通过综合使用对称密钥加密技术、公钥加密技术与Hash函数实现信息的保密性。(2)确认能力:SET使用一种认证技术将持卡人和一个专用帐号连接在一起,确认能力通过数字签名和认证实现。(3)数据的完整性:SET使用SecureHash和数字签名方法来确保交易的完整性。(4)多方的操作性:SET协议使用的协议和信息格式来保证在不同的软件平台上运行。
一项SET交易有五个部分组成:
(1)持卡人,即客户。(2)商家。(3)发行人,客户的金融机构,给客户提供支付卡,给商家提供支付。(4)收单银行,商家的金融机构,保证商家能接受一种支付卡品牌并将获得的支付转发给商家。(5)认证授权机构,一个可信任的第三方,能够验证客户、商家和收单行之间身份。
其中,发行人通过安全的网络或其他交流渠道与获得者通信,因此不需要用安全的网络技术。其他4部分则需要他们自己的SET软件。由于SET是一项开放协议,所以任何软件开发者可以为这些机构的任意一方开发兼容的软件,即持卡人软件、商家软件、支付网关软件和认证授权机构软件。
SET使用综合的密码技术(包括对称密钥加密技术、公钥加密技术与Hash函数)以达到安全交易的要求,从而确保交易的安全性和可靠性。虽然多层次的复杂安全技术使所有的四方成员都受益,但很少需要使用者看见他们,并且他们在后台的执行过程是透明的。
3.网络安全技术
(1)防火墙技术。防火墙可以根据网络安全水平和可信任关系将网络划分成一些相对独立的子网,两侧间的通信受到防火墙的检查控制;可以根据既定的安全策略允许特定的用户和数据包穿过,同时将安全策略不允许的用户与数据包割断,达到保护高安全等级的子网、防止墙外黑客的攻击、限制入侵蔓延等目的。
(2)虚拟专用网VPN技术。虚拟专用网VPN是一种特殊的网络,它采用一种叫做“通道”或“数据封装”的系统,用公共网络及其协议向贸易伙伴、顾客、供应商和雇员发送敏感的数据。这种通道是Internet上的一种专用通道,可保证数据在外部网络上的企业直接按安全地传输。
(3)入侵检测技术。入侵检测技术是防火墙技术的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。其最重要的价值之一是它能提供事后统计分析。
(4)安全交易协议。除了各种安全控制技术之外,电子商务的运行还需要一套完整的安全交易协议。不同交易协议的复杂性、开销、安全性各不同。同时,不同的应用环境对协议目标的要求也不尽相同。目前,比较成熟的协议有安全套接层协议(SSL)和安全电视交易协议(SET)。
参考文献:
[1]祝凌曦.电子商务安全[D].北京:清华大学出版社,2006.
[2]夏颖.电子商务中的信息安全技术[J].电脑知识与技术,2005.
[3]刘明珍.电子商务中的信息安全技术[J].湖南人文科技学院学报,2006.
[4]张立克.电子商务及其安全保障技术[J].水利电力机械,2007.
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文
[关键词]电子商务 安全技术 加密技术 签名技术
电子商务是一个机遇和挑战共存的新领域,这种挑战在很大程度上来源于对可使用的安全技术的信赖。在开放的网络(Internet)上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要因素之一。
一、电子商务
1.电子商务的概念
电子商务最通用的英文原名是EC(Electronic Commerce),顾名思义指的就是以电子信息技术为基础的商务运作。
2.电子商务的内容
电子商务一般包括四个部分:(1)交易的商流:指接受订单、够买、开具发票等销售的工作,也包括维修等售后服务之类的工作;(2)配送的物流:指商品的配送;(3)转账支付结算;(4)信息流:包括商品信息、信息提供、促销、直销等。
二、电子商务面临的安全问题
1.信息的截获和窃取。由于未采用加密措施,信息在网络上以明文形势传送,入侵者在数据包经过的网关或路由器上可截获传送的信息。
2.篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。
3.信息假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4.交易抵赖。
5.恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
三、电子商务安全技术
电子商务安全体系结构图1.密码技术
密码技术是信息安全的核心技术。对信息安全的需求大部分可以通过密码技术来实现。密码技术包括加密、签名认证和密钥管理技术等。
(1)加密技术。数据加密的基本过程就是对原来明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容。
(2)数字签名。数字签名是基于加密技术的,它的作用就是用来确定用户是否真实的。
(3)密钥管理技术。密钥管理不仅影响系统的安全性,而且涉及系统的可靠性、有效性和经济性。密钥管理技术主要包括:对称密钥管理;公开密钥管理,第三方托管技术。
2.交易的安全机制
安全机制用来保证电子商务中交易的安全性,如SET、SSL、S/MIME、S-HTTP等,以下主要介绍常用的SET标准。
安全电子交易SET是一种电子支付过程标准,用以保护网上支付卡交易的每一个环节,由VISA和MasterCard合作产生,同时采用IBM、GTE、Microsoft、Netscape、RSA、SAIC、Terisa、VeriSign等多个公司的技术,是专为网上支付卡业务安全所制定的唯一有意义的标准,保证电子支付卡交易的安全进行,加密付款信息被安全地发送。SET标准主要由三个文件组成:SET程序员指南和SET协议描述。
SET结合强大的加密功能和保证支付过程中每一步保密性和可靠性的一系列认证过程,主要包括四个方面:
(1)信息的保密性:SET通过综合使用对称密钥加密技术、公钥加密技术与Hash函数实现信息的保密性。(2)确认能力:SET使用一种认证技术将持卡人和一个专用帐号连接在一起,确认能力通过数字签名和认证实现。(3)数据的完整性:SET使用SecureHash和数字签名方法来确保交易的完整性。(4)多方的操作性:SET协议使用的协议和信息格式来保证在不同的软件平台上运行。
一项SET交易有五个部分组成:
(1)持卡人,即客户。(2)商家。(3)发行人,客户的金融机构,给客户提供支付卡,给商家提供支付。(4)收单银行,商家的金融机构,保证商家能接受一种支付卡品牌并将获得的支付转发给商家。(5)认证授权机构,一个可信任的第三方,能够验证客户、商家和收单行之间身份。
其中,发行人通过安全的网络或其他交流渠道与获得者通信,因此不需要用安全的网络技术。其他4部分则需要他们自己的SET软件。由于SET是一项开放协议,所以任何软件开发者可以为这些机构的任意一方开发兼容的软件,即持卡人软件、商家软件、支付网关软件和认证授权机构软件。
SET使用综合的密码技术(包括对称密钥加密技术、公钥加密技术与Hash函数)以达到安全交易的要求,从而确保交易的安全性和可靠性。虽然多层次的复杂安全技术使所有的四方成员都受益,但很少需要使用者看见他们,并且他们在后台的执行过程是透明的。
3.网络安全技术
(1)防火墙技术。防火墙可以根据网络安全水平和可信任关系将网络划分成一些相对独立的子网,两侧间的通信受到防火墙的检查控制;可以根据既定的安全策略允许特定的用户和数据包穿过,同时将安全策略不允许的用户与数据包割断,达到保护高安全等级的子网、防止墙外黑客的攻击、限制入侵蔓延等目的。
(2)虚拟专用网VPN技术。虚拟专用网VPN是一种特殊的网络,它采用一种叫做“通道”或“数据封装”的系统,用公共网络及其协议向贸易伙伴、顾客、供应商和雇员发送敏感的数据。这种通道是Internet上的一种专用通道,可保证数据在外部网络上的企业直接按安全地传输。
(3)入侵检测技术。入侵检测技术是防火墙技术的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。其最重要的价值之一是它能提供事后统计分析。
(4)安全交易协议。除了各种安全控制技术之外,电子商务的运行还需要一套完整的安全交易协议。不同交易协议的复杂性、开销、安全性各不同。同时,不同的应用环境对协议目标的要求也不尽相同。目前,比较成熟的协议有安全套接层协议(SSL)和安全电视交易协议(SET)。
参考文献:
[1]祝凌曦.电子商务安全[D].北京:清华大学出版社,2006.
[2]夏颖.电子商务中的信息安全技术[J].电脑知识与技术,2005.
[3]刘明珍.电子商务中的信息安全技术[J].湖南人文科技学院学报,2006.
[4]张立克.电子商务及其安全保障技术[J].水利电力机械,2007.
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文