淺談電子商務(wù)中的安全問(wèn)題論文

　　摘要:電子商務(wù)的安全問(wèn)題是電子商務(wù)的核心問(wèn)題。本文分析了電子商務(wù)中存在的安全隱患,及其對于安全性的請求,并論述目前解決電子商務(wù)安全的主要技術(shù)及相干措施。

　　癥結詞:電子商務(wù);安全措施;探討

　　一 引言

　　電子商務(wù)是通過(guò)電子方式處理以及傳遞數據,它觸及許多方面的流動(dòng),包含貨物電子貿易以及服務(wù)、在線(xiàn)數據傳遞、電子資金劃拔、電子證券交易、商業(yè)拍賣(mài)、合作設計以及工程、在線(xiàn)資料、公共產(chǎn)品取得等內容。電子商務(wù)的發(fā)展勢頭無(wú)比驚人,但它的產(chǎn)值在全世界出產(chǎn)總值中卻只占極小的份額,其緣由就在于電子商務(wù)的安全問(wèn)題,依據美國1個(gè)調查機構對于近三0000名因特網(wǎng)用戶(hù)的調查顯示,因為耽心電子商務(wù)的安全性問(wèn)題,超過(guò)六0%的網(wǎng)民不愿意進(jìn)行網(wǎng)上交易, 因而,如何樹(shù)立1個(gè)安全、便捷的電子商務(wù)利用環(huán)境,對于信息提供足夠的維護,已經(jīng)經(jīng)成為影響到電子商務(wù)健康發(fā)展的癥結性課題。

　　二 電子商務(wù)對于安全的請求

　　對于電子商務(wù)流動(dòng)安全性的需求和可以使用的網(wǎng)絡(luò )安全措施,主要包括如下幾方面。

　　(一)如何肯定通訊中的貿易火伴的真實(shí)性?經(jīng)常使用的處理技術(shù)是身份認證,依賴(lài)某個(gè)可托賴(lài)的機構發(fā)放證書(shū),雙方交流信息以前通過(guò)CA獲取對于方的證書(shū),并以此辨認對于方。

　　(二)如何保證電子單證的秘密性,防范電子單證的內容被第3方讀取?經(jīng)常使用的處理技術(shù)是數據加密以及解密。

　　(三)如何保證被傳輸的業(yè)務(wù)單證不會(huì )丟失,或者者發(fā)送方可以發(fā)覺(jué)所發(fā)單證的丟失?對于于固定且擁有頻繁貿易來(lái)往的火伴,可以采取單證傳輸的序列性檢修;也可采取雙方商定的法子(即在規定的時(shí)間內,通過(guò)某種方式進(jìn)行確認)。

　　(四)如何肯定電子單證的內容未被篡改;單證傳輸完全性主要采取散列技術(shù)來(lái)避免非法用戶(hù)對于單證的篡改,通過(guò)散列算法對于被傳輸的單證進(jìn)行處理,發(fā)生1個(gè)依賴(lài)于該單證的短小的散列值,并將該散列值附接在單證以后傳輸給接管方。以便接管方采取相同的散列算法對于接管的單證進(jìn)行檢修。

　　(五)如何肯定電子單證的真實(shí)性?鑒別單證真實(shí)性的主要手腕是數字簽名技術(shù),其基礎是數據加密中的公然密鑰加密技術(shù),實(shí)用中常結合單證完全性1起斟酌,應用發(fā)送方的密鑰對于散列值進(jìn)行加密。

　　(六)如何解決或者者仲裁收發(fā)雙方對于交流的單證所發(fā)生的爭議,包含發(fā)方或者收方可能的否認或者抵賴(lài)?通常請求引入認證中心進(jìn)行管理,由CA發(fā)放密鑰,傳輸的單證及其簽名的備份發(fā)至CA保留,作為可能爭議的仲裁根據。

　　(七)如何保證存儲信息的安全性?如何規范內部管理?如何使用走訪(fǎng)節制權限以及日志和敏感信息加密存儲?當使用WWW服務(wù)器支撐電子商務(wù)流動(dòng)時(shí),應注意數據的備份以及恢復,并采取防火墻技術(shù)來(lái)維護內部網(wǎng)絡(luò )的安全性。

　　三 電子商務(wù)采取的主要安全技術(shù)

　　為了確保電子商務(wù)在交易進(jìn)程中信息有效、真實(shí)、可靠且保密,目前主要采取的安全技術(shù)有加密技術(shù)、身份認證技術(shù)以及交易的安全認證協(xié)定。安全認證協(xié)定用來(lái)保證電子商務(wù)中交易的安全性,如set、ssl、s/mime、s-http等。下面咱們主要來(lái)介紹這些技術(shù)。

　　三.一 加密技術(shù)

　　加密技術(shù)是電子商務(wù)系統所采用的最基本的安全措施,加密的主要目的是避免信息的非授權泄露。密碼算法是1些數學(xué)公式、法則或者程序,算法中的可變參數是密鑰。依據密碼算法所使用的加密密鑰以及解密密鑰是不是相同,能否由加密密鑰推導出解密密鑰,可以將密碼算法分為對于稱(chēng)密碼算法以及非對于稱(chēng)密碼算法。1般來(lái)講,在1個(gè)加密系統中,信息使用加密密鑰加密后,接管方使用解密密鑰對于密文解密患上到原文。

　　三.一.一 對于稱(chēng)加密/對于稱(chēng)密鑰加密

　　在對于稱(chēng)加密法子中,對于信息的加密以及解密都使用相同的密鑰,即1把鑰匙開(kāi)1把鎖。這樣可以簡(jiǎn)化加密的處理,每一個(gè)交易方都沒(méi)必要彼此鉆研以及交流專(zhuān)用的加密算法。如果進(jìn)行通訊的交易各方能夠確保在密鑰交流階段未曾經(jīng)產(chǎn)生私有密鑰泄露,那末秘要性以及報文完全性就能夠患上以保證。這樣密鑰安全交流是瓜葛到對于稱(chēng)加密有效的核心環(huán)節。而對于稱(chēng)加密技術(shù)存在著(zhù)在通訊的交易各方之間確保密鑰安全交流的問(wèn)題。對于稱(chēng)加密方式存在的另外一個(gè)問(wèn)題是沒(méi)法鑒別貿易發(fā)起方或者貿易終究方。由于貿易雙方同享同1把專(zhuān)用密鑰,貿易雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對于方的。目前經(jīng)常使用的對于稱(chēng)加密算法有DES、PCR、IDEA等。其中DES使用最普遍,被采取為數據加密的標準。

　　三.一.二 非對于稱(chēng)加密/公然密鑰加密

　　在非對于稱(chēng)加密體系中,密鑰被分解為1對于(即1把公然密鑰或者加密密鑰以及1把私有密鑰或者解密密鑰)。密鑰對于生成后,公然密鑰以非保密方式對于外公然,只對于應于生成該密鑰的發(fā)布者;私有密鑰則保留在密鑰發(fā)布方手中。任何患上到公然密鑰的用戶(hù)均可使用該密鑰加密信息發(fā)送給該公然密鑰的發(fā)布者,而發(fā)布者患上到加密信息后,使用與公然密鑰相應答的私有密鑰進(jìn)行解密。由此可知,公然密鑰用于對于秘要性的加密,私有密鑰則用于對于加密信息的解密。目前經(jīng)常使用的非對于稱(chēng)加密算法是RSA算法。它是非對于稱(chēng)加密領(lǐng)域內最為有名的算法,然而它存在的主要問(wèn)題是算法的運算速度較慢,并且也難以做到1次1密。因而,在實(shí)際的利用中通常不采取這1算法對于信息量大的信息進(jìn)行加密。對于于加密量大的利用,公然密鑰加密算法通經(jīng)常使用于對于稱(chēng)加密法子密鑰的加密。

　　三.二 身份認證技術(shù)

　　身份認證技術(shù)保證電子商務(wù)安全不可缺乏的又1首要技術(shù)手腕。常見(jiàn)的安全認證技術(shù)有數字摘要、數字信封、數字簽名、數字時(shí)間戳、數字證書(shū)等技術(shù)。

　　三.二.一 數字摘要

　　數字摘要是1種避免數據被改動(dòng)的法子,它采取單向HASH函數將需要加密的文件中若干首要元素進(jìn)行某種變換運算患上到固定長(cháng)度的摘要碼,并在傳輸信息時(shí)將之加入文件1同送給接管方,接管方收到文件后,用相同的法子進(jìn)行變換運算,若患上到的結果與發(fā)送來(lái)的摘要碼相同,則可判定文件未被篡改,反之亦然。在數字摘要中HASH函數的輸入可以是任意大小的文件動(dòng)靜,而輸出是1個(gè)固定長(cháng)度的摘要。且摘要有這樣1個(gè)性質(zhì),如果扭轉了輸入動(dòng)靜中的任何東西,乃至只有1位,輸出的摘要將會(huì )產(chǎn)生不可預測的扭轉,故而經(jīng)常使用數字摘要來(lái)斷定信息是不是被篡改的1項首要技術(shù)。

　　三.二.二 數字信封

　　在大批數據加密中所使用的對于稱(chēng)密碼是隨機發(fā)生的,而接管方也需要此密碼才能對于動(dòng)靜進(jìn)行正確的解密。對于稱(chēng)密鑰的傳遞需要加密進(jìn)行,即發(fā)送方用接管方的公鑰加密此對于稱(chēng)密鑰。這樣只有接管方用自己的私鑰才能正確地解密此對于稱(chēng)密鑰,從而正確地解密動(dòng)靜。這類(lèi)加密傳送密鑰的法子稱(chēng)為數字信封。數字信封技術(shù)可以保證接管方的獨一性。即便信息在傳送途中被監聽(tīng)或者截獲,由干第3方并無(wú)接管方的密鑰,也不能對于信息進(jìn)行正確的解密。

　　三.二.三 數字簽名

　　數字簽名能夠實(shí)現對于原始報文的鑒別與驗證,保證報文的完全性、權威性以及發(fā)送者對于所發(fā)報文的不可抵賴(lài)性。在實(shí)際糊口中,簽名通常采取書(shū)面情勢,由甲乙雙方完成,在網(wǎng)絡(luò )環(huán)境下,可以用電子簽名作為摹擬。

　　數字簽名是將數字摘要以及公鑰算法兩種加密法子結合起來(lái)使用,其可以在提供數據完全性的同時(shí)保證數據的真實(shí)性。完全性保證傳輸的數據未被篡改,真屬性則保證傳輸過(guò)來(lái)的數據是由合法者發(fā)生的,而不是由其別人假冒。如假定用戶(hù)A要寄信給用戶(hù)B,他們相互知道對于方的公鑰,A用自己的私鑰將簽名內容加密,附加在郵件中,再用B的公鑰將整個(gè)郵件加密(注意這里的秩序序,如果先加密再簽名的話(huà),他人可以將簽名去掉后簽上自己的簽名,從而篡改了簽名)。這樣這份密文被B收

　　到后,B用自己的私鑰將郵件解密,患上到A的原文以及數字簽名,然后用A的公鑰解密簽名,這樣1來(lái)就保兩方面的安全了。

　　三.二.四 數字時(shí)間戳

　　在電子商務(wù)的交易文件中,時(shí)間是1條首要的信息,文件的簽署日期以及簽名1樣均是避免文件被捏造以及篡改的癥結性?xún)热�。為了避免在電子交易�?文件簽署的時(shí)間信息被修改,數字時(shí)間戳提供了相應的安全維護。數字時(shí)間戳服務(wù)(DTS)是由專(zhuān)門(mén)的機構提供的。數字時(shí)間戳是1個(gè)經(jīng)加密處理后構成的憑證文檔,它包含3個(gè)部份:需加時(shí)間戳的文件摘要;DTS機構收到文件的日期以及時(shí)間;DTS機構的數字簽名。

　　三.二.五 數字證書(shū)

　　數字證書(shū)是由證書(shū)授權中心CA管理以及發(fā)放的。CA是數字證書(shū)的最高管理機構,是安全電子交易的核心環(huán)節。它作為電子商務(wù)交易中中立的、受信任的、可仲裁的第3方,也是為了解決電子商務(wù)中,交易雙方的信息以及身份驗證問(wèn)題,從根本上保障電子商務(wù)交易流動(dòng)順利進(jìn)行而設立的。在交易支付的進(jìn)程中,介入各方為了證實(shí)自己的身份,需到第3方即認證中心(CA)去認證。數字證書(shū)就是認證中心為交易各方頒發(fā)的身份憑證。它是1個(gè)經(jīng)CA數字簽名的、包括證書(shū)申請者(公然密鑰具有者)個(gè)人信息及其公然密鑰的文件。任何交易雙方只有申請到相應的數字證書(shū),才能參加安全電子商務(wù)的網(wǎng)上交易。

　　三.三 安全認證協(xié)定

　　目前電子商務(wù)中有兩種安全認證協(xié)定被廣泛使用,即安全套接層SSL協(xié)定以及安全電子交易SET協(xié)定。

　　三.三.一 SSL協(xié)定

　　SSL安全協(xié)定的中文全稱(chēng)是“加密套接字協(xié)定層”,最初由Netscape公司推出的1種基于RSA以及保密密鑰的安全通訊協(xié)定,是目前使用最廣泛的電子商務(wù)協(xié)定。該協(xié)定位于HTTP協(xié)定層以及TCP協(xié)定層之間,向基于TCP/IP的客戶(hù)/服務(wù)器利用程序,提供了客戶(hù)端以及服務(wù)器的鑒別、數據完全性及信息秘要性等安全措施。該協(xié)定在利用程序進(jìn)行數據交流前,通過(guò)交流SSL初始握手信息來(lái)實(shí)現有關(guān)安全特性的審查。SSL協(xié)定可內置于用戶(hù)閱讀器以及商家的服務(wù)器中,能利便而低開(kāi)消地進(jìn)行信息加密,多用于WEB信譽(yù)卡的傳送。這樣應用它能夠對于信譽(yù)卡以及個(gè)人信息提供較強的維護。

　　SSL協(xié)定運行的基點(diǎn)是商家對于客戶(hù)信息保密的許諾�？蛻�(hù)的信息常常首先傳到商家,商家瀏覽后再傳到銀行;這樣,客戶(hù)資料的安全性便遭到要挾。此外,整個(gè)進(jìn)程只有商家對于客戶(hù)的認證,缺乏客戶(hù)對于商家的認證,不能避免商家應用獲取的信譽(yù)卡號進(jìn)行欺詐。跟著(zhù)電子商務(wù)與廠(chǎng)商的迅速增添,對于廠(chǎng)商的認證問(wèn)題愈來(lái)愈凸起,SSL協(xié)定的缺陷則越加顯明。SSL協(xié)定逐步被新的SET協(xié)定所取代。

　　三.三.二 SET 協(xié)定

　　SET協(xié)定的中文全稱(chēng)“安全電子交易協(xié)定”,它向基于信譽(yù)卡進(jìn)行電子化交易的利用提供了實(shí)現安全措施的規則。它是由Vsia國際組織 以及Mastercard組織聯(lián)合國際上多家科技機構,共同制訂的利用于INTERNET上的以銀行卡為基礎進(jìn)行在線(xiàn)交易的安全技術(shù)標準。它采取公鑰密碼體制以及X.五0九數字證書(shū)標準,主要利用于保障網(wǎng)上購物信息的安全性。SET主要由三個(gè)文件組成,分別是SET業(yè)務(wù)描寫(xiě)、SET程序員指南以及SET協(xié)定描寫(xiě)。SET協(xié)定在保存對于客戶(hù)信譽(yù)卡認證的條件下,又增添了對于商家身份的認證。它可以對于交易各方進(jìn)行認證,可避免商家身份的欺詐。為了進(jìn)1步加強安全性,使用兩組密鑰對于分別用于加密以及簽名,通過(guò)雙簽名機制將訂購信息同賬戶(hù)信息鏈在1起簽名。因為設計較為公道,患上到了諸如微軟公司、IBM公司、Netscape公司等大公司的支撐,已經(jīng)成為實(shí)際上工業(yè)技術(shù)標準。

　　SET協(xié)定的不足的地方在于協(xié)定繁雜,且只合用于用戶(hù)安裝了“電子錢(qián)包”的場(chǎng)合。依據統計,在1個(gè)典型的SET交易進(jìn)程中,需驗證數字證書(shū)九次,驗證數字簽名六次;需傳送證書(shū)七次,進(jìn)行五次簽名、四次對于稱(chēng)加密以及四次非對于稱(chēng)加密;整個(gè)交易進(jìn)程可能會(huì )花費一.五~二分鐘。

　　四 電子商務(wù)安全需要進(jìn)1步完美的配套措施

　　電子商務(wù)要真正成為1種主導的商務(wù)模式,特別對于發(fā)展中的中國來(lái)講,發(fā)展電子商務(wù),就必需從下列幾個(gè)方面來(lái)完美配套措施:

　　(一)突破癥結技術(shù)受制于人的瓶頸。當前不但國內幾近所有的主機、交流機、路由器、網(wǎng)絡(luò )操作系統都來(lái)自國外,而且美國對于出口別國的產(chǎn)品履行密鑰信前節制以及長(cháng)密鑰限制,因而咱們必需依托本身的氣力研制自己的加密算法,以保證中國電子商務(wù)的正常發(fā)展。

　　(二)我國應盡快對于電子商務(wù)的有關(guān)細則進(jìn)行立法。當前大多數人信息安全意識稀薄,以銀行以及金融界來(lái)看,大家對于安全方面的注重還不夠,因為有關(guān)電子商務(wù)的立法以及管理剛剛開(kāi)始,有人開(kāi)玩笑說(shuō)“電子商務(wù)目前是個(gè)‘3無(wú)’行業(yè):沒(méi)法可依、無(wú)安全可言、無(wú)規可循”,固然這類(lèi)說(shuō)法欠妥,但目前我國關(guān)于網(wǎng)絡(luò )安全的法律的確還有待完美。

　　(三)鼎力開(kāi)發(fā)大型商務(wù)網(wǎng)站、發(fā)展與之相配套的物流公司。目前我國的電子商務(wù)沒(méi)有真正深刻商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域,這勢必影響我國電子商務(wù)進(jìn)1步的發(fā)展。

　　參考文獻:

　　[一]周明,黃元江,李建設.株洲工學(xué)院學(xué)報[J].電子商務(wù)中的安全技術(shù)鉆研,二00五.一.

　　[二]張娟.甘肅科技縱橫[M].電子商務(wù)網(wǎng)絡(luò )安全技術(shù)探究,二00五.四.

　　[三]趙乃真.電子商務(wù)技術(shù)與利用[M].中國鐵道出版社,二00三.

　　[四]謝丹夏.電子與信息化[M].電子商務(wù)中的安全技術(shù).

　　[五]常連定,趙剛. 科技情報開(kāi)發(fā)與經(jīng)濟[M].我國電子商務(wù)發(fā)展存在的問(wèn)題及應答策略,二00五.一0.

【淺談電子商務(wù)中的安全問(wèn)題論文】相關(guān)文章：

淺談電子商務(wù)和電子采購中的信息安全問(wèn)題11-16

淺談變電站改擴建施工安全問(wèn)題論文02-25

淺談電子商務(wù)在鋼鐵物流中的應用11-16

論電子商務(wù)面臨的若干網(wǎng)絡(luò )安全問(wèn)題論文03-01

談化學(xué)實(shí)驗教學(xué)中的安全問(wèn)題論文01-01

淺談電子商務(wù)中的信用風(fēng)險管理11-22

淺談工商管理學(xué)中的電子商務(wù)與市場(chǎng)營(yíng)銷(xiāo)關(guān)系論文06-07

淺談電子商務(wù)中的消費心理研究11-17

淺談WTO中的競爭政策論文02-23

淺談表演中的喜劇小品論文02-19