電子商務(wù)安全技術(shù)對策研討論文

　　[摘要]文章主要從技術(shù)角度闡述了電子商務(wù)信息安全問(wèn)題，詳細說(shuō)明了電子商務(wù)信息存在的問(wèn)題，并提出了相應的技術(shù)解決方案。

　　[關(guān)鍵詞]電子商務(wù)信息安全數據加密網(wǎng)絡(luò )安全

　　一、電子商務(wù)信息安全問(wèn)題

　　由于Internet本身的開(kāi)放性，使電子商務(wù)系統面臨著(zhù)各種各樣的安全威脅。目前，電子商務(wù)主要存在的安全隱患有以下幾個(gè)方面。

　　1、身份冒充問(wèn)題

　　攻擊者通過(guò)非法手段盜用合法用戶(hù)的身份信息，仿冒合法用戶(hù)的身份與他人進(jìn)行交易，進(jìn)行信息欺詐與信息破壞，從而獲得非法利益。主要表現有：冒充他人身份；冒充他人消費、栽贓；冒充主機欺騙合法主機及合法用戶(hù)等。

　　2、網(wǎng)絡(luò )信息安全問(wèn)題

　　主要表現在攻擊者在網(wǎng)絡(luò )的傳輸信道上，通過(guò)物理或邏輯的手段，進(jìn)行信息截獲、篡改、刪除、插入。截獲，攻擊者可能通過(guò)分析網(wǎng)絡(luò )物理線(xiàn)路傳輸時(shí)的各種特征，截獲機密信息或有用信息，如消費者的賬號、密碼等。篡改，即改變信息流的次序，更改信息的內容；刪除，即刪除某個(gè)信息或信息的某些部分；插入，即在信息中插入一些信息，讓收方讀不懂或接受錯誤的信息。

　　3、拒絕服務(wù)問(wèn)題

　　攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。主要表現為散布虛假資訊，擾亂正常的資訊通道。包括：虛開(kāi)網(wǎng)站和商店，給用戶(hù)發(fā)電子郵件，收訂貨單；偽造大量用戶(hù)，發(fā)電子郵件，窮盡商家資源，使合法用戶(hù)不能正常訪(fǎng)問(wèn)網(wǎng)絡(luò )資源，使有嚴格時(shí)間要求的服務(wù)不能及時(shí)得到響應。

　　4、交易雙方抵賴(lài)問(wèn)題

　　某些用戶(hù)可能對自己發(fā)出的信息進(jìn)行惡意的否認，以推卸自己應承擔的責任。如：發(fā)布者事后否認曾經(jīng)發(fā)送過(guò)某條信息或內容；收信者事后否認曾經(jīng)收到過(guò)某條信息或內容；購買(mǎi)者做了訂貨單不承認；商家賣(mài)出的商品質(zhì)量差但不承認原有的交易。在網(wǎng)絡(luò )世界里誰(shuí)為交易雙方的糾紛進(jìn)行公證、仲裁。

　　5、計算機系統安全問(wèn)題

　　計算機系統是進(jìn)行電子商務(wù)的基本設備，如果不注意安全問(wèn)題，它一樣會(huì )威脅到電子商務(wù)的信息安全。計算機設備本身存在物理?yè)p壞，數據丟失，信息泄露等問(wèn)題。計算機系統也經(jīng)常會(huì )遭受非法的入侵攻擊以及計算機病毒的破壞。同時(shí)，計算機系統存在工作人員管理的問(wèn)題，如果職責不清，權限不明同樣會(huì )影響計算機系統的安全。

　　二、電子商務(wù)安全機制

　　1、加密和隱藏機制

　　加密使信息改變，攻擊者無(wú)法讀懂信息的內容從而保護信息；而隱藏則是將有用的信息隱藏在其他信息中，使攻擊者無(wú)法發(fā)現，不僅實(shí)現了信息的保密，也保護了通信本身。

　　2、認證機制

　　網(wǎng)絡(luò )安全的基本機制，網(wǎng)絡(luò )設備之間應互相認證對方身份，以保證正確的操作權力賦予和數據的存取控制。網(wǎng)絡(luò )也必須認證用戶(hù)的身份，以保證正確的用戶(hù)進(jìn)行正確的操作并進(jìn)行正確的審計。

　　3、審計機制

　　審計是防止內部犯罪和事故后調查取證的基礎，通過(guò)對一些重要的事件進(jìn)行記錄，從而在系統發(fā)現錯誤或受到攻擊時(shí)能定位錯誤和找到攻擊成功的原因。審計信息應具有防止非法刪除和修改的措施。

　　4、完整性保護機制

　　用于防止非法篡改，利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴(lài)服務(wù)，當信息源的完整性可以被驗證卻無(wú)法模仿時(shí)，收到信息的一方可以認定信息的發(fā)送者，數字簽名就可以提供這種手段。

　　5、權力控制和存取控制機制

　　主機系統必備的安全手段，系統根據正確的認證，賦予某用戶(hù)適當的操作權力，使其不能進(jìn)行越權的操作。該機制一般采用角色管理辦法，針對系統需要定義各種角色，如經(jīng)理、會(huì )計等，然后對他們賦予不同的執行權利。

　　6、業(yè)務(wù)填充機制

　　在業(yè)務(wù)閑時(shí)發(fā)送無(wú)用的隨機數據，增加攻擊者通過(guò)通信流量獲得信息的困難。同時(shí)，也增加了密碼通信的破譯難度。發(fā)送的隨機數據應具有良好模擬性能，能夠以假亂真。

　　三、電子商務(wù)安全關(guān)鍵技術(shù)

　　安全問(wèn)題是電子商務(wù)的核心，為了滿(mǎn)足安全服務(wù)方面的要求，除了網(wǎng)絡(luò )本身運行的安全外，電子商務(wù)系統還必須利用各種安全技術(shù)保證整個(gè)電子商務(wù)過(guò)程的安全與完整，并實(shí)現交易的防抵賴(lài)性等，綜合起來(lái)主要有以下幾種技術(shù)。

　　1、防火墻技術(shù)

　　現有的防火墻技術(shù)包括兩大類(lèi)：數據包過(guò)濾和代理服務(wù)技術(shù)。其中最簡(jiǎn)單和最常用的是包過(guò)濾防火墻，它檢查接受到的每個(gè)數據包的頭，以決定該數據包是否發(fā)送到目的地。由于防火墻能夠對進(jìn)出的數據進(jìn)行有選擇的過(guò)濾，所以可以有效地避免對其進(jìn)行的有意或無(wú)意的攻擊，從而保證了專(zhuān)用私有網(wǎng)的安全。將包過(guò)濾防火墻與代理服務(wù)器結合起來(lái)使用是解決網(wǎng)絡(luò )安全問(wèn)題的一種非常有效的策略。防火墻技術(shù)的局限性主要在于：防火墻技術(shù)只能防止經(jīng)由防火墻的攻擊，不能防止網(wǎng)絡(luò )內部用戶(hù)對于網(wǎng)絡(luò )的攻擊；防火墻不能保證數據的秘密性，也不能保證網(wǎng)絡(luò )不受病毒的攻擊，它只能有效地保護企業(yè)內部網(wǎng)絡(luò )不受主動(dòng)攻擊和入侵。

　　2、虛擬專(zhuān)網(wǎng)技術(shù)（VPN）

　　VPN的實(shí)現過(guò)程使用了安全隧道技術(shù)、信息加密技術(shù)、用戶(hù)認證技術(shù)、訪(fǎng)問(wèn)控制技術(shù)等。VPN具投資小、易管理、適應性強等優(yōu)點(diǎn)。VPN可幫助遠程用戶(hù)、公司分支機構、商業(yè)伙伴及供應商與公司的內部網(wǎng)之間建立可信的安全連接，并保證數據的安全傳輸，以此達到在公共的Internet上或企業(yè)局域網(wǎng)之間實(shí)現完全的電子交易的目的。

　　3、數據加密技術(shù)

　　加密技術(shù)是保證電子商務(wù)系統安全所采用的最基本的安全措施，它用于滿(mǎn)足電子商務(wù)對保密性的需求。加密技術(shù)分為常規密鑰密碼體系和公開(kāi)密鑰密碼體系兩大類(lèi)。如果進(jìn)行通信的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄露，可通過(guò)常規密鑰密碼體系的方法加密機密信息，并隨報文發(fā)送報文摘要和報文散列值，以保證報文的機密性和完整性。目前常用的常規密鑰密碼體系的算法有：數據加密標準DES、三重DES、國際數據加密算法IDEA等，其中DES使用最普遍，被ISO采用為數據加密的標準。在公開(kāi)密鑰密碼體系中，加密密鑰是公開(kāi)信息，而解密密鑰是需要保護的，加密算法和解密算法也都是公開(kāi)的。典型的公開(kāi)密鑰密碼體系有：基于數論中大數分解的RSA體系、基于NP完全理論的Merkel—Hellman背包體系和基于編碼理論的McEliece體系。在以上兩類(lèi)加密體系中，常規密鑰密碼體系的特點(diǎn)是加密速度快、效率高，被廣泛用于大量數據的加密，但該方法的致命缺點(diǎn)是密鑰的傳輸易被截獲，難以安全管理大量的密鑰，因此大范圍應用存在一定問(wèn)題。而公開(kāi)密鑰密碼體系很好地解決了上述不足，保密性能也優(yōu)于常規密鑰密碼體系，但公開(kāi)密鑰密碼體系復雜，加密速度不夠理想。目前電子商務(wù)實(shí)際運用中常將兩者結合使用。

　　4、安全認證技術(shù)

　　安全認證技術(shù)主要有：

　�。�1）數字摘要技術(shù)，可以驗證通過(guò)網(wǎng)絡(luò )傳輸收到的明文是否被篡改，從而保證數據的完整性和有效性。

　�。�2）數字簽名技術(shù)，能夠實(shí)現對原始報文的鑒別和不可否認性，同時(shí)還能阻止偽造簽名。

　�。�3）數字時(shí)間戳技術(shù)，用于提供電子文件發(fā)表時(shí)間的安全保護。

　�。�4）數字憑證技術(shù)，又稱(chēng)為數字證書(shū)，負責用電子手段來(lái)證實(shí)用戶(hù)的身份和對網(wǎng)絡(luò )資源訪(fǎng)問(wèn)的權限。

　�。�5）認證中心，負責審核用戶(hù)的真實(shí)身份并對此提供證明，而不介入具體的認證過(guò)程，從而緩解了可信第三方的系統瓶頸問(wèn)題，而且只須管理每個(gè)用戶(hù)的一個(gè)公開(kāi)密鑰，大大降低了密鑰管理的復雜性，這些優(yōu)點(diǎn)使得非對稱(chēng)密鑰認證系統可用于用戶(hù)眾多的大規模網(wǎng)絡(luò )系統。

　�。�6）智能卡技術(shù)，它不但提供讀寫(xiě)數據和存儲數據的能力，而且還具有對數據進(jìn)行處理的能力，可以實(shí)現對數據的加密和解密，能進(jìn)行數字簽名和驗證數字簽名，其存儲器部分具有外部不可讀特性。采用智能卡，可使身份識別更有效、安全，但它僅僅為身份識別提供一個(gè)硬件基礎，如果要使身份認證更安全，還需要與安全協(xié)議的配合。

　　5、電子商務(wù)安全協(xié)議

　　不同交易協(xié)議的復雜性、開(kāi)銷(xiāo)、安全性各不相同，同時(shí)不同的應用環(huán)境對協(xié)議目標的要求也不盡相同。目前比較成熟的協(xié)議有：

　�。�1）Netbill協(xié)議，是由J.D.Tygar等設計和開(kāi)發(fā)的關(guān)于數字商品的電子商務(wù)協(xié)議，該協(xié)議假定了一個(gè)可信賴(lài)的第三方，將商品的傳送和支付鏈接到一個(gè)原子事務(wù)中。

　�。�2）匿名原子交易協(xié)議，由J.D.Tygar首次提出，具有匿名性和原子性，對著(zhù)名的數字現金協(xié)議進(jìn)行了補充和修改，改進(jìn)了傳統的分布式系統中常用的兩階段提交，引入了除客戶(hù)、商家和銀行之外的獨立第四方一交易日志（Transactionlog）以取代兩階段提交協(xié)議中的協(xié)調者（Coordinator）。

　�。�3）安全電子交易協(xié)議SET，由VISA公司和MasterCard公司聯(lián)合開(kāi)發(fā)設計。SET用于劃分與界定電子商務(wù)活動(dòng)中消費者、網(wǎng)上商家、交易雙方銀行、信用卡組織之間的權利義務(wù)關(guān)系，它可以對交易各方進(jìn)行認證，防止商家欺詐。SET協(xié)議開(kāi)銷(xiāo)較大，客戶(hù)、商家、銀行都要安裝相應軟件。

　�。�4）安全套接字層協(xié)議SSL，是目前使用最廣泛的電子商務(wù)協(xié)議，它由Netscape公司于1996年設計開(kāi)發(fā)。它位于運輸層和應用層之間，能很好地封裝應用層數據，不用改變位于應用層的應用程序，對用戶(hù)透明。然而，SSL并不專(zhuān)為支持電子商務(wù)而設計，只支持雙方認證，只能保證傳送信息傳送過(guò)程中不因被截而泄密，不能防止商家利用獲取的信用卡號進(jìn)行欺詐。

　�。�5）JEPI（JointElectronicPaymentInitiative），是為了解決眾多協(xié)議間的不兼容性而提出來(lái)的，是現有HTTP協(xié)議的擴展，在普遍HTTP協(xié)議之上增加了PEP（ProtocolExtensionProtocol）和UPP（UniversalPaymentPreamble）兩層結構，其目的不是提出一種新的電子支付手段，而是在允許多種支付系統并存的情況下，幫助商家和顧客雙方選取一個(gè)合適的支付系統。

　　四、結束語(yǔ)

　　信息安全是電子商務(wù)發(fā)展的基礎，隨著(zhù)電子商務(wù)的發(fā)展，通過(guò)各種網(wǎng)絡(luò )的交易手段也會(huì )更加多樣化，安全問(wèn)題變得更加突出。為了解決好這個(gè)問(wèn)題，必須有安全技術(shù)作保障。目前，防火墻技術(shù)、網(wǎng)絡(luò )掃描技術(shù)，數據加密技術(shù)和計算系統安全技術(shù)發(fā)揮著(zhù)重要的作用，此外，需要完善法律制度、管理制度和誠信制度，保證電子商務(wù)信息安全，加快電子商務(wù)的發(fā)展。

【電子商務(wù)安全技術(shù)對策研討論文】相關(guān)文章：

07-22

09-08

09-17

07-21

04-26

08-29

10-26

10-01

10-26

12-22