淺談電子商務(wù)中的安全問題論文

時(shí)間：2024-09-08 22:06:45 其他類論文我要投稿

淺談電子商務(wù)中的安全問題論文

　　摘要:電子商務(wù)的安全問題是電子商務(wù)的核心問題。本文分析了電子商務(wù)中存在的安全隱患,及其對(duì)于安全性的請(qǐng)求,并論述目前解決電子商務(wù)安全的主要技術(shù)及相干措施。

淺談電子商務(wù)中的安全問題論文

　　癥結(jié)詞:電子商務(wù);安全措施;探討

　　一引言

　　電子商務(wù)是通過電子方式處理以及傳遞數(shù)據(jù),它觸及許多方面的流動(dòng),包含貨物電子貿(mào)易以及服務(wù)、在線數(shù)據(jù)傳遞、電子資金劃拔、電子證券交易、商業(yè)拍賣、合作設(shè)計(jì)以及工程、在線資料、公共產(chǎn)品取得等內(nèi)容。電子商務(wù)的發(fā)展勢(shì)頭無比驚人,但它的產(chǎn)值在全世界出產(chǎn)總值中卻只占極小的份額,其緣由就在于電子商務(wù)的安全問題,依據(jù)美國1個(gè)調(diào)查機(jī)構(gòu)對(duì)于近三0000名因特網(wǎng)用戶的調(diào)查顯示,因?yàn)榈⑿碾娮由虅?wù)的安全性問題,超過六0%的網(wǎng)民不愿意進(jìn)行網(wǎng)上交易, 因而,如何樹立1個(gè)安全、便捷的電子商務(wù)利用環(huán)境,對(duì)于信息提供足夠的維護(hù),已經(jīng)經(jīng)成為影響到電子商務(wù)健康發(fā)展的癥結(jié)性課題。

　　二電子商務(wù)對(duì)于安全的請(qǐng)求

　　對(duì)于電子商務(wù)流動(dòng)安全性的需求和可以使用的網(wǎng)絡(luò)安全措施,主要包括如下幾方面。

　　(一)如何肯定通訊中的貿(mào)易火伴的真實(shí)性?經(jīng)常使用的處理技術(shù)是身份認(rèn)證,依賴某個(gè)可托賴的機(jī)構(gòu)發(fā)放證書,雙方交流信息以前通過CA獲取對(duì)于方的證書,并以此辨認(rèn)對(duì)于方。

　　(二)如何保證電子單證的秘密性,防范電子單證的內(nèi)容被第3方讀取?經(jīng)常使用的處理技術(shù)是數(shù)據(jù)加密以及解密。

　　(三)如何保證被傳輸?shù)臉I(yè)務(wù)單證不會(huì)丟失,或者者發(fā)送方可以發(fā)覺所發(fā)單證的丟失?對(duì)于于固定且擁有頻繁貿(mào)易來往的火伴,可以采取單證傳輸?shù)男蛄行詸z修;也可采取雙方商定的法子(即在規(guī)定的時(shí)間內(nèi),通過某種方式進(jìn)行確認(rèn))。

　　(四)如何肯定電子單證的內(nèi)容未被篡改;單證傳輸完全性主要采取散列技術(shù)來避免非法用戶對(duì)于單證的篡改,通過散列算法對(duì)于被傳輸?shù)膯巫C進(jìn)行處理,發(fā)生1個(gè)依賴于該單證的短小的散列值,并將該散列值附接在單證以后傳輸給接管方。以便接管方采取相同的散列算法對(duì)于接管的單證進(jìn)行檢修。

　　(五)如何肯定電子單證的真實(shí)性?鑒別單證真實(shí)性的主要手腕是數(shù)字簽名技術(shù),其基礎(chǔ)是數(shù)據(jù)加密中的公然密鑰加密技術(shù),實(shí)用中常結(jié)合單證完全性1起斟酌,應(yīng)用發(fā)送方的密鑰對(duì)于散列值進(jìn)行加密。

　　(六)如何解決或者者仲裁收發(fā)雙方對(duì)于交流的單證所發(fā)生的爭(zhēng)議,包含發(fā)方或者收方可能的否認(rèn)或者抵賴?通常請(qǐng)求引入認(rèn)證中心進(jìn)行管理,由CA發(fā)放密鑰,傳輸?shù)膯巫C及其簽名的備份發(fā)至CA保留,作為可能爭(zhēng)議的仲裁根據(jù)。

　　(七)如何保證存儲(chǔ)信息的安全性?如何規(guī)范內(nèi)部管理?如何使用走訪節(jié)制權(quán)限以及日志和敏感信息加密存儲(chǔ)?當(dāng)使用WWW服務(wù)器支撐電子商務(wù)流動(dòng)時(shí),應(yīng)注意數(shù)據(jù)的備份以及恢復(fù),并采取防火墻技術(shù)來維護(hù)內(nèi)部網(wǎng)絡(luò)的安全性。

　　三電子商務(wù)采取的主要安全技術(shù)

　　為了確保電子商務(wù)在交易進(jìn)程中信息有效、真實(shí)、可靠且保密,目前主要采取的安全技術(shù)有加密技術(shù)、身份認(rèn)證技術(shù)以及交易的安全認(rèn)證協(xié)定。安全認(rèn)證協(xié)定用來保證電子商務(wù)中交易的安全性,如set、ssl、s/mime、s-http等。下面咱們主要來介紹這些技術(shù)。

　　三.一加密技術(shù)

　　加密技術(shù)是電子商務(wù)系統(tǒng)所采用的最基本的安全措施,加密的主要目的是避免信息的非授權(quán)泄露。密碼算法是1些數(shù)學(xué)公式、法則或者程序,算法中的可變參數(shù)是密鑰。依據(jù)密碼算法所使用的加密密鑰以及解密密鑰是不是相同,能否由加密密鑰推導(dǎo)出解密密鑰,可以將密碼算法分為對(duì)于稱密碼算法以及非對(duì)于稱密碼算法。1般來講,在1個(gè)加密系統(tǒng)中,信息使用加密密鑰加密后,接管方使用解密密鑰對(duì)于密文解密患上到原文。

　　三.一.一對(duì)于稱加密/對(duì)于稱密鑰加密

　　在對(duì)于稱加密法子中,對(duì)于信息的加密以及解密都使用相同的密鑰,即1把鑰匙開1把鎖。這樣可以簡化加密的處理,每一個(gè)交易方都沒必要彼此鉆研以及交流專用的加密算法。如果進(jìn)行通訊的交易各方能夠確保在密鑰交流階段未曾經(jīng)產(chǎn)生私有密鑰泄露,那末秘要性以及報(bào)文完全性就能夠患上以保證。這樣密鑰安全交流是瓜葛到對(duì)于稱加密有效的核心環(huán)節(jié)。而對(duì)于稱加密技術(shù)存在著在通訊的交易各方之間確保密鑰安全交流的問題。對(duì)于稱加密方式存在的另外一個(gè)問題是沒法鑒別貿(mào)易發(fā)起方或者貿(mào)易終究方。由于貿(mào)易雙方同享同1把專用密鑰,貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對(duì)于方的。目前經(jīng)常使用的對(duì)于稱加密算法有DES、PCR、IDEA等。其中DES使用最普遍,被采取為數(shù)據(jù)加密的標(biāo)準(zhǔn)。

　　三.一.二非對(duì)于稱加密/公然密鑰加密

　　在非對(duì)于稱加密體系中,密鑰被分解為1對(duì)于(即1把公然密鑰或者加密密鑰以及1把私有密鑰或者解密密鑰)。密鑰對(duì)于生成后,公然密鑰以非保密方式對(duì)于外公然,只對(duì)于應(yīng)于生成該密鑰的發(fā)布者;私有密鑰則保留在密鑰發(fā)布方手中。任何患上到公然密鑰的用戶均可使用該密鑰加密信息發(fā)送給該公然密鑰的發(fā)布者,而發(fā)布者患上到加密信息后,使用與公然密鑰相應(yīng)答的私有密鑰進(jìn)行解密。由此可知,公然密鑰用于對(duì)于秘要性的加密,私有密鑰則用于對(duì)于加密信息的解密。目前經(jīng)常使用的非對(duì)于稱加密算法是RSA算法。它是非對(duì)于稱加密領(lǐng)域內(nèi)最為有名的算法,然而它存在的主要問題是算法的運(yùn)算速度較慢,并且也難以做到1次1密。因而,在實(shí)際的利用中通常不采取這1算法對(duì)于信息量大的信息進(jìn)行加密。對(duì)于于加密量大的利用,公然密鑰加密算法通經(jīng)常使用于對(duì)于稱加密法子密鑰的加密。

　　三.二身份認(rèn)證技術(shù)

　　身份認(rèn)證技術(shù)保證電子商務(wù)安全不可缺乏的又1首要技術(shù)手腕。常見的安全認(rèn)證技術(shù)有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等技術(shù)。

　　三.二.一數(shù)字摘要

　　數(shù)字摘要是1種避免數(shù)據(jù)被改動(dòng)的法子,它采取單向HASH函數(shù)將需要加密的文件中若干首要元素進(jìn)行某種變換運(yùn)算患上到固定長度的摘要碼,并在傳輸信息時(shí)將之加入文件1同送給接管方,接管方收到文件后,用相同的法子進(jìn)行變換運(yùn)算,若患上到的結(jié)果與發(fā)送來的摘要碼相同,則可判定文件未被篡改,反之亦然。在數(shù)字摘要中HASH函數(shù)的輸入可以是任意大小的文件動(dòng)靜,而輸出是1個(gè)固定長度的摘要。且摘要有這樣1個(gè)性質(zhì),如果扭轉(zhuǎn)了輸入動(dòng)靜中的任何東西,乃至只有1位,輸出的摘要將會(huì)產(chǎn)生不可預(yù)測(cè)的扭轉(zhuǎn),故而經(jīng)常使用數(shù)字摘要來斷定信息是不是被篡改的1項(xiàng)首要技術(shù)。

　　三.二.二數(shù)字信封

　　在大批數(shù)據(jù)加密中所使用的對(duì)于稱密碼是隨機(jī)發(fā)生的,而接管方也需要此密碼才能對(duì)于動(dòng)靜進(jìn)行正確的解密。對(duì)于稱密鑰的傳遞需要加密進(jìn)行,即發(fā)送方用接管方的公鑰加密此對(duì)于稱密鑰。這樣只有接管方用自己的私鑰才能正確地解密此對(duì)于稱密鑰,從而正確地解密動(dòng)靜。這類加密傳送密鑰的法子稱為數(shù)字信封。數(shù)字信封技術(shù)可以保證接管方的獨(dú)一性。即便信息在傳送途中被監(jiān)聽或者截獲,由干第3方并無接管方的密鑰,也不能對(duì)于信息進(jìn)行正確的解密。

　　三.二.三數(shù)字簽名

　　數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)于原始報(bào)文的鑒別與驗(yàn)證,保證報(bào)文的完全性、權(quán)威性以及發(fā)送者對(duì)于所發(fā)報(bào)文的不可抵賴性。在實(shí)際糊口中,簽名通常采取書面情勢(shì),由甲乙雙方完成,在網(wǎng)絡(luò)環(huán)境下,可以用電子簽名作為摹擬。

　　數(shù)字簽名是將數(shù)字摘要以及公鑰算法兩種加密法子結(jié)合起來使用,其可以在提供數(shù)據(jù)完全性的同時(shí)保證數(shù)據(jù)的真實(shí)性。完全性保證傳輸?shù)臄?shù)據(jù)未被篡改,真屬性則保證傳輸過來的數(shù)據(jù)是由合法者發(fā)生的,而不是由其別人假冒。如假定用戶A要寄信給用戶B,他們相互知道對(duì)于方的公鑰,A用自己的私鑰將簽名內(nèi)容加密,附加在郵件中,再用B的公鑰將整個(gè)郵件加密(注意這里的秩序序,如果先加密再簽名的話,他人可以將簽名去掉后簽上自己的簽名,從而篡改了簽名)。這樣這份密文被B收

　　到后,B用自己的私鑰將郵件解密,患上到A的原文以及數(shù)字簽名,然后用A的公鑰解密簽名,這樣1來就保兩方面的安全了。

　　三.二.四數(shù)字時(shí)間戳

　　在電子商務(wù)的交易文件中,時(shí)間是1條首要的信息,文件的簽署日期以及簽名1樣均是避免文件被捏造以及篡改的癥結(jié)性內(nèi)容。為了避免在電子交易中,文件簽署的時(shí)間信息被修改,數(shù)字時(shí)間戳提供了相應(yīng)的安全維護(hù)。數(shù)字時(shí)間戳服務(wù)(DTS)是由專門的機(jī)構(gòu)提供的。數(shù)字時(shí)間戳是1個(gè)經(jīng)加密處理后構(gòu)成的憑證文檔,它包含3個(gè)部份:需加時(shí)間戳的文件摘要;DTS機(jī)構(gòu)收到文件的日期以及時(shí)間;DTS機(jī)構(gòu)的數(shù)字簽名。

　　三.二.五數(shù)字證書

　　數(shù)字證書是由證書授權(quán)中心CA管理以及發(fā)放的。CA是數(shù)字證書的最高管理機(jī)構(gòu),是安全電子交易的核心環(huán)節(jié)。它作為電子商務(wù)交易中中立的、受信任的、可仲裁的第3方,也是為了解決電子商務(wù)中,交易雙方的信息以及身份驗(yàn)證問題,從根本上保障電子商務(wù)交易流動(dòng)順利進(jìn)行而設(shè)立的。在交易支付的進(jìn)程中,介入各方為了證實(shí)自己的身份,需到第3方即認(rèn)證中心(CA)去認(rèn)證。數(shù)字證書就是認(rèn)證中心為交易各方頒發(fā)的身份憑證。它是1個(gè)經(jīng)CA數(shù)字簽名的、包括證書申請(qǐng)者(公然密鑰具有者)個(gè)人信息及其公然密鑰的文件。任何交易雙方只有申請(qǐng)到相應(yīng)的數(shù)字證書,才能參加安全電子商務(wù)的網(wǎng)上交易。

　　三.三安全認(rèn)證協(xié)定

　　目前電子商務(wù)中有兩種安全認(rèn)證協(xié)定被廣泛使用,即安全套接層SSL協(xié)定以及安全電子交易SET協(xié)定。

　　三.三.一 SSL協(xié)定

　　SSL安全協(xié)定的中文全稱是“加密套接字協(xié)定層”,最初由Netscape公司推出的1種基于RSA以及保密密鑰的安全通訊協(xié)定,是目前使用最廣泛的電子商務(wù)協(xié)定。該協(xié)定位于HTTP協(xié)定層以及TCP協(xié)定層之間,向基于TCP/IP的客戶/服務(wù)器利用程序,提供了客戶端以及服務(wù)器的鑒別、數(shù)據(jù)完全性及信息秘要性等安全措施。該協(xié)定在利用程序進(jìn)行數(shù)據(jù)交流前,通過交流SSL初始握手信息來實(shí)現(xiàn)有關(guān)安全特性的審查。SSL協(xié)定可內(nèi)置于用戶閱讀器以及商家的服務(wù)器中,能利便而低開消地進(jìn)行信息加密,多用于WEB信譽(yù)卡的傳送。這樣應(yīng)用它能夠?qū)τ谛抛u(yù)卡以及個(gè)人信息提供較強(qiáng)的維護(hù)。

　　SSL協(xié)定運(yùn)行的基點(diǎn)是商家對(duì)于客戶信息保密的許諾�？蛻舻男畔⒊３Ｊ紫葌鞯缴碳�,商家瀏覽后再傳到銀行;這樣,客戶資料的安全性便遭到要挾。此外,整個(gè)進(jìn)程只有商家對(duì)于客戶的認(rèn)證,缺乏客戶對(duì)于商家的認(rèn)證,不能避免商家應(yīng)用獲取的信譽(yù)卡號(hào)進(jìn)行欺詐。跟著電子商務(wù)與廠商的迅速增添,對(duì)于廠商的認(rèn)證問題愈來愈凸起,SSL協(xié)定的缺陷則越加顯明。SSL協(xié)定逐步被新的SET協(xié)定所取代。

　　三.三.二 SET 協(xié)定

　　SET協(xié)定的中文全稱“安全電子交易協(xié)定”,它向基于信譽(yù)卡進(jìn)行電子化交易的利用提供了實(shí)現(xiàn)安全措施的規(guī)則。它是由Vsia國際組織以及Mastercard組織聯(lián)合國際上多家科技機(jī)構(gòu),共同制訂的利用于INTERNET上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全技術(shù)標(biāo)準(zhǔn)。它采取公鑰密碼體制以及X.五0九數(shù)字證書標(biāo)準(zhǔn),主要利用于保障網(wǎng)上購物信息的安全性。SET主要由三個(gè)文件組成,分別是SET業(yè)務(wù)描寫、SET程序員指南以及SET協(xié)定描寫。SET協(xié)定在保存對(duì)于客戶信譽(yù)卡認(rèn)證的條件下,又增添了對(duì)于商家身份的認(rèn)證。它可以對(duì)于交易各方進(jìn)行認(rèn)證,可避免商家身份的欺詐。為了進(jìn)1步加強(qiáng)安全性,使用兩組密鑰對(duì)于分別用于加密以及簽名,通過雙簽名機(jī)制將訂購信息同賬戶信息鏈在1起簽名。因?yàn)樵O(shè)計(jì)較為公道,患上到了諸如微軟公司、IBM公司、Netscape公司等大公司的支撐,已經(jīng)成為實(shí)際上工業(yè)技術(shù)標(biāo)準(zhǔn)。

　　SET協(xié)定的不足的地方在于協(xié)定繁雜,且只合用于用戶安裝了“電子錢包”的場(chǎng)合。依據(jù)統(tǒng)計(jì),在1個(gè)典型的SET交易進(jìn)程中,需驗(yàn)證數(shù)字證書九次,驗(yàn)證數(shù)字簽名六次;需傳送證書七次,進(jìn)行五次簽名、四次對(duì)于稱加密以及四次非對(duì)于稱加密;整個(gè)交易進(jìn)程可能會(huì)花費(fèi)一.五~二分鐘。

　　四電子商務(wù)安全需要進(jìn)1步完美的配套措施

　　電子商務(wù)要真正成為1種主導(dǎo)的商務(wù)模式,特別對(duì)于發(fā)展中的中國來講,發(fā)展電子商務(wù),就必需從下列幾個(gè)方面來完美配套措施:

　　(一)突破癥結(jié)技術(shù)受制于人的瓶頸。當(dāng)前不但國內(nèi)幾近所有的主機(jī)、交流機(jī)、路由器、網(wǎng)絡(luò)操作系統(tǒng)都來自國外,而且美國對(duì)于出口別國的產(chǎn)品履行密鑰信前節(jié)制以及長密鑰限制,因而咱們必需依托本身的氣力研制自己的加密算法,以保證中國電子商務(wù)的正常發(fā)展。

　　(二)我國應(yīng)盡快對(duì)于電子商務(wù)的有關(guān)細(xì)則進(jìn)行立法。當(dāng)前大多數(shù)人信息安全意識(shí)稀薄,以銀行以及金融界來看,大家對(duì)于安全方面的注重還不夠,因?yàn)橛嘘P(guān)電子商務(wù)的立法以及管理剛剛開始,有人開玩笑說“電子商務(wù)目前是個(gè)‘3無’行業(yè):沒法可依、無安全可言、無規(guī)可循”,固然這類說法欠妥,但目前我國關(guān)于網(wǎng)絡(luò)安全的法律的確還有待完美。

　　(三)鼎力開發(fā)大型商務(wù)網(wǎng)站、發(fā)展與之相配套的物流公司。目前我國的電子商務(wù)沒有真正深刻商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域,這勢(shì)必影響我國電子商務(wù)進(jìn)1步的發(fā)展。

　　參考文獻(xiàn):

　　[一]周明,黃元江,李建設(shè).株洲工學(xué)院學(xué)報(bào)[J].電子商務(wù)中的安全技術(shù)鉆研,二00五.一.

　　[二]張娟.甘肅科技縱橫[M].電子商務(wù)網(wǎng)絡(luò)安全技術(shù)探究,二00五.四.

　　[三]趙乃真.電子商務(wù)技術(shù)與利用[M].中國鐵道出版社,二00三.

　　[四]謝丹夏.電子與信息化[M].電子商務(wù)中的安全技術(shù).

　　[五]常連定,趙剛. 科技情報(bào)開發(fā)與經(jīng)濟(jì)[M].我國電子商務(wù)發(fā)展存在的問題及應(yīng)答策略,二00五.一0.

【淺談電子商務(wù)中的安全問題論文】相關(guān)文章：

淺談電子商務(wù)和電子采購中的信息安全問題11-16

淺談變電站改擴(kuò)建施工安全問題論文02-25

淺談電子商務(wù)在鋼鐵物流中的應(yīng)用11-16

論電子商務(wù)面臨的若干網(wǎng)絡(luò)安全問題論文03-01