论文部分内容阅读
一、引言
随着互联网的快速发展,电子商务也在迅速崛起。电子商务这一新的商业形式彻底改变了传统的交易方式,也改变了企业的经营模式和管理理念。而电子商务中安全性是一个至关重要的核心问题,包括:运行系统的安全;网络上系统信息的安全;网络上信息传播的安全;网络上信息内容的安全。
二、电子商务面临的安全问题
由于Internet本身具有开放性、交易各方的不直接对面等特点,电子商务中存在着以下几种安全隐患:
1.信息泄露。在电子商务中表现为泄露商业机密,计算机网络安全威胁与隐患可能使得电子商务中的信息泄漏,主要包括两方面:交易一方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件第三方非法使用。
2.信息篡改。在电子商务中,商业信息的真实性和完整性非常重要。电子交易信息在网络上传输过程中,有可能被他人非法修改、删除或重放(指只能使用一次的信息被多次使用),这样就失去了信息的真实性和完整性。
3.身份识别。若不进行身份识别,第三方有可能假冒交易一方的身份来破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果。同时,不进行身份识别,交易双方不仅会相互猜疑,而且还会抵赖,而进行身份认证后信息发送者和接受者都不能对此予以否认。
4.信息破坏。在电子商务中,信息破坏表现为商业信息在网络上传输时出现错误或失败。如计算机病毒、特洛伊木马程序、逻辑炸弹等,导致信息传递的丢失和谬误,或者导致电子商务信息遭到破坏。
三、电子商务中的安全对策
目前电子商务交易常用的安全技术主要包括:加密技术、身份认证技术、访问控制技术、防火墙技术、安全内核技术、入侵检测技术、信息泄密防治技术、网络安全漏洞扫描技术等。
1.加密技术。加密技术是最基本的网络安全技术,主要用于保证数据在存储和传输过程中的保密性。采用数学方法对原始信息进行再组织,加密后在网络上公开传输的内容对于非法接收者来说成为不可理解的字符。对于合法的接受者,则可以利用其密钥,通过解密得到原始数据,达到保护信息的目的。目前,加密技术可分为两类:对称密钥加密和非对称密钥加密。
(1)对称密钥加密。加密所使用的密钥和解密所使用的密钥相同,或者虽不相同,但可以从其中一个密钥推导出另一个。使用对称密钥不必交换加密算法,只需交换加密密钥,因而简化了加密过程,加解密速度快,但存在密钥的分配、保存和管理的问题。目前常用的对称加密算法有DES。
(2)非对称密钥加密。信息加密和解密所使用的密钥是不同的,并且从其中一个密钥无法推导出另一个密钥。非对称密钥加密解决了对称密钥加密存在的密钥分配、保存和管理的问题,但加密算法复杂,加解密速度慢。目前,常用的非对称加密算法有RSA算法。
2.认证技术。基本的加密技术不足以保证电子商务中的交易安全,信息鉴别和身份认证技术是保证电子商务安全不可缺少的技术手段。认证技术是防止交易信息被篡改、删除、重复和伪造的一种有效方法,主要有数字签名、数字证书、数字时间戳等技术。
(1)数字签名。传统商务活动中,通常利用书面文件中的亲笔签名或印章来规定合同的责任,而在电子商务中传送的文件是通过数字签名来证明当事人身份与数据的真实性。数字签名是数字加密技术的一种应用方式,其核心是采用加密技术的加、解密算法来实现电子信息的数字签名。对于电子商务中的业务款项如何分辨其真假,则需要数字签名技术来确认其交易或结算双方的真实身份及电子货币的可靠性。通过数字签名技术可实现对原始信息和关联方身份的鉴别,也可较好地防范关联方和非关联方的道德风险。
(2)数字证书。数字证书是用电子手段来证实一个用户的身份和对网络资源访问的权限,含有证书持有者的有关信息,以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性,可以控制哪些数据库能够被查看,因此提高了总体的保密性。
(3)数字时间戳。在书面合同中,签署日期和签名是防止文件被伪造和篡改的关键性内容。在电子商务中,同样需对交易文件的日期信息采取安全措施,而数字时间戳就可提供电子文件发表时间的安全保护。时间戳是一个经加密后形成的凭证文档,包括需加时间戳的文件的摘要、DTS收到文件的日期与时间和DIS数字签名,用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。
3.安全认证协议。目前,在电子商务中有两种安全认证协议被广泛应用:
(1)安全套接层协议(SSL)。SSL协议是由Netscape公司研究制定的安全协议,用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
(2)安全电子交易协议(SEL)。SEL协议是为基于信用卡进行电子化交易提供的安全措施,它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准,采用公钥密码体制的X.509数字证书标准,主要应用于保障网上购物信息的安全性。由于SEL提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为目前公认的信用卡/借记卡的网上交易的国际安全标准。
四、结语
电子商务安全技术并不限于以上所提到的,还有很多其他措施,如物理安全措施、入侵检测、防病毒技术、虚拟专用网(VPN)等。实际应用中常将各种技术结合起来使用,以最大限度地提高电子交易的安全性。
参考文献:
[1]吴 洋:电子商务安全方法研究[D].天津大学,2006
[2]陈克非:信息安全技术导轮[M].北京:电子工业出版社,2007.1
随着互联网的快速发展,电子商务也在迅速崛起。电子商务这一新的商业形式彻底改变了传统的交易方式,也改变了企业的经营模式和管理理念。而电子商务中安全性是一个至关重要的核心问题,包括:运行系统的安全;网络上系统信息的安全;网络上信息传播的安全;网络上信息内容的安全。
二、电子商务面临的安全问题
由于Internet本身具有开放性、交易各方的不直接对面等特点,电子商务中存在着以下几种安全隐患:
1.信息泄露。在电子商务中表现为泄露商业机密,计算机网络安全威胁与隐患可能使得电子商务中的信息泄漏,主要包括两方面:交易一方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件第三方非法使用。
2.信息篡改。在电子商务中,商业信息的真实性和完整性非常重要。电子交易信息在网络上传输过程中,有可能被他人非法修改、删除或重放(指只能使用一次的信息被多次使用),这样就失去了信息的真实性和完整性。
3.身份识别。若不进行身份识别,第三方有可能假冒交易一方的身份来破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果。同时,不进行身份识别,交易双方不仅会相互猜疑,而且还会抵赖,而进行身份认证后信息发送者和接受者都不能对此予以否认。
4.信息破坏。在电子商务中,信息破坏表现为商业信息在网络上传输时出现错误或失败。如计算机病毒、特洛伊木马程序、逻辑炸弹等,导致信息传递的丢失和谬误,或者导致电子商务信息遭到破坏。
三、电子商务中的安全对策
目前电子商务交易常用的安全技术主要包括:加密技术、身份认证技术、访问控制技术、防火墙技术、安全内核技术、入侵检测技术、信息泄密防治技术、网络安全漏洞扫描技术等。
1.加密技术。加密技术是最基本的网络安全技术,主要用于保证数据在存储和传输过程中的保密性。采用数学方法对原始信息进行再组织,加密后在网络上公开传输的内容对于非法接收者来说成为不可理解的字符。对于合法的接受者,则可以利用其密钥,通过解密得到原始数据,达到保护信息的目的。目前,加密技术可分为两类:对称密钥加密和非对称密钥加密。
(1)对称密钥加密。加密所使用的密钥和解密所使用的密钥相同,或者虽不相同,但可以从其中一个密钥推导出另一个。使用对称密钥不必交换加密算法,只需交换加密密钥,因而简化了加密过程,加解密速度快,但存在密钥的分配、保存和管理的问题。目前常用的对称加密算法有DES。
(2)非对称密钥加密。信息加密和解密所使用的密钥是不同的,并且从其中一个密钥无法推导出另一个密钥。非对称密钥加密解决了对称密钥加密存在的密钥分配、保存和管理的问题,但加密算法复杂,加解密速度慢。目前,常用的非对称加密算法有RSA算法。
2.认证技术。基本的加密技术不足以保证电子商务中的交易安全,信息鉴别和身份认证技术是保证电子商务安全不可缺少的技术手段。认证技术是防止交易信息被篡改、删除、重复和伪造的一种有效方法,主要有数字签名、数字证书、数字时间戳等技术。
(1)数字签名。传统商务活动中,通常利用书面文件中的亲笔签名或印章来规定合同的责任,而在电子商务中传送的文件是通过数字签名来证明当事人身份与数据的真实性。数字签名是数字加密技术的一种应用方式,其核心是采用加密技术的加、解密算法来实现电子信息的数字签名。对于电子商务中的业务款项如何分辨其真假,则需要数字签名技术来确认其交易或结算双方的真实身份及电子货币的可靠性。通过数字签名技术可实现对原始信息和关联方身份的鉴别,也可较好地防范关联方和非关联方的道德风险。
(2)数字证书。数字证书是用电子手段来证实一个用户的身份和对网络资源访问的权限,含有证书持有者的有关信息,以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性,可以控制哪些数据库能够被查看,因此提高了总体的保密性。
(3)数字时间戳。在书面合同中,签署日期和签名是防止文件被伪造和篡改的关键性内容。在电子商务中,同样需对交易文件的日期信息采取安全措施,而数字时间戳就可提供电子文件发表时间的安全保护。时间戳是一个经加密后形成的凭证文档,包括需加时间戳的文件的摘要、DTS收到文件的日期与时间和DIS数字签名,用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。
3.安全认证协议。目前,在电子商务中有两种安全认证协议被广泛应用:
(1)安全套接层协议(SSL)。SSL协议是由Netscape公司研究制定的安全协议,用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
(2)安全电子交易协议(SEL)。SEL协议是为基于信用卡进行电子化交易提供的安全措施,它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准,采用公钥密码体制的X.509数字证书标准,主要应用于保障网上购物信息的安全性。由于SEL提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为目前公认的信用卡/借记卡的网上交易的国际安全标准。
四、结语
电子商务安全技术并不限于以上所提到的,还有很多其他措施,如物理安全措施、入侵检测、防病毒技术、虚拟专用网(VPN)等。实际应用中常将各种技术结合起来使用,以最大限度地提高电子交易的安全性。
参考文献:
[1]吴 洋:电子商务安全方法研究[D].天津大学,2006
[2]陈克非:信息安全技术导轮[M].北京:电子工业出版社,2007.1