電子商務(wù)安全方面的論文范文參考(2)
電子商務(wù)安全論文范文篇3
試談電子商務(wù)安全
【摘 要】電子商務(wù)安全是電子商務(wù)活動的基礎(chǔ)和關(guān)鍵。文章從電子商務(wù)所面臨的安全威脅入手,提出了開展電子商務(wù)活動必須滿足的安全需求,最后探討了電子商務(wù)安全解決方案及其實現(xiàn)技術(shù)。
【關(guān)鍵詞】電子商務(wù)安全;加密;數(shù)字簽名;認(rèn)證;協(xié)議
隨著網(wǎng)絡(luò)通信技術(shù)的迅猛發(fā)展和Internet的不斷普及,電子商務(wù)作為一種新型的商務(wù)模式,在全球范圍內(nèi)正以驚人的速度迅猛發(fā)展。然而由于它是基于Internet開展的商務(wù)活動,大量重要的信息都需要在互聯(lián)網(wǎng)上進(jìn)行傳遞,尤其還涉及到資金的流動,必然要求傳遞信息的過程足夠安全。因此如何保障交易過程和傳遞信息的安全性就成為影響電子商務(wù)發(fā)展的一個至關(guān)重要的問題,也是技術(shù)難點。
一、電子商務(wù)的安全威脅
電子商務(wù)是基于網(wǎng)絡(luò)信息傳輸?shù)?,依靠從信息終端之間信息的傳遞完成商務(wù)交易。與傳統(tǒng)商務(wù)的面對面交易不同,電子商務(wù)的安全就是要確保這些信息的傳遞是穩(wěn)定的、完整的、可靠的、保密的,是反映信息發(fā)送者的真實意愿的。而威脅互聯(lián)網(wǎng)安全的因素很多。
1.截獲
攻擊者獲取了對資源的訪問權(quán),這是對機(jī)密性的攻擊。例如,在網(wǎng)絡(luò)上搭線或安裝電磁波截獲裝置以獲取銀行賬號、用戶密碼等有用數(shù)據(jù)。
2.篡改
攻擊者不僅獲得了訪問權(quán)而且篡改了某些資源,這是對完整性的攻擊。例如,修改資金額度、貨物數(shù)量、商品價格等交易信息。
3.偽造
攻擊者將偽造的對象插入系統(tǒng),這是對真實性的攻擊。例如,冒充合法用戶進(jìn)行交易,給合法用戶造成損失。
4.否認(rèn)或抵賴
商家或用戶否認(rèn)自己曾經(jīng)發(fā)送或接收到信息,這是對不可抵賴性的攻擊。例如,合法用戶可能會賴賬,商家也有可能因為商品價格差而不承認(rèn)原有交易。
二、電子商務(wù)的安全需求
在電子商務(wù)面臨上述安全隱患的情況下,要在因特網(wǎng)中建立并維持一個令人可以信任的環(huán)境和機(jī)制,也為了保障交易各方的合法權(quán)益,需要滿足以下幾個方面的安全需求。
1.信息的機(jī)密性
信息的機(jī)密性或稱保密性是指信息在網(wǎng)絡(luò)上傳送或存儲的過程中不被他人竊取、不被泄露或披露給未經(jīng)授權(quán)的人或組織,或者經(jīng)過加密偽裝后,使未經(jīng)授權(quán)者無法了解其內(nèi)容。機(jī)密性可用加密和信息隱匿技術(shù)實現(xiàn),使截獲者不能解讀加密信息的內(nèi)容。機(jī)密性的另一方面是保護(hù)通信流特性以防止被分析。
2.信息的完整性
信息的完整性或稱正確性是保護(hù)數(shù)據(jù)不被偽授權(quán)者修改、建立、嵌入、刪除、重復(fù)傳送或由于其他的原因使原始數(shù)據(jù)被更改。在存儲時,要防止非法篡改,防止網(wǎng)站上的信息被破壞。在傳輸過程中,如果接收方收到的信息與發(fā)送方的信息完全一樣則說明在傳輸過程中信息沒有遭到破壞,具有完整性。針對信息的完整性,目前的主要措施是通過散列算法(也稱消息摘要算法)來檢查信息的完整性。
3.商務(wù)對象的認(rèn)證性
商務(wù)對象的認(rèn)證性是指網(wǎng)絡(luò)兩端的使用者在溝通之前相互確認(rèn)對方的身份,保證身份的正確性。分辨參與者聲稱身份的真?zhèn)?,防止偽裝攻擊。認(rèn)證性采用由認(rèn)證中心向各交易主體發(fā)放數(shù)字證書并進(jìn)行驗證。
4.信息的不可抵賴性
信息的不可抵賴性是指信息的發(fā)送方不能否認(rèn)已發(fā)送的信息,信息的接受方不能否認(rèn)已收到的信息。這是一種法律有效性要求。交易一旦達(dá)成是不能被否認(rèn)的。否則必然會損害一方的利益。目前的主要措施是采用數(shù)字簽名技術(shù)。
三、電子商務(wù)安全技術(shù)
1.加密技術(shù)
加密技術(shù)是電子商務(wù)的最基本信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成難以識別和理解的密文并進(jìn)行傳輸,從而確保數(shù)據(jù)的機(jī)密。主要有對稱加密技術(shù)、非對稱加密技術(shù)和數(shù)字信封技術(shù)。
(1)對稱加密技術(shù)
對稱加密技術(shù),即信息的發(fā)送方和接收方用一個密鑰去加密和解密數(shù)據(jù),也就是說加密和解密用同一個密鑰。它要求發(fā)送方、接收方在安全通信之前,商定一個密鑰,對稱密鑰算法的安全性依賴于密鑰,泄露密鑰就意味著任何人都能對消息進(jìn)行加、解密。
只要通信需要保密,密鑰就必須保密。它的最大優(yōu)勢是加、解密速度快,便于用硬件實現(xiàn)、適合于對大數(shù)據(jù)量進(jìn)行加密等,但密鑰管理困難。
(2)非對稱加密技術(shù)
非對稱加密技術(shù)就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為“公鑰”和“私鑰”。“公鑰”和“私鑰”不能由一個推出另一個,但是“公鑰”加密的信息只能由“私鑰”解密,反之亦然。非對稱密鑰機(jī)制靈活,但加密和解密速度比對稱密鑰加密慢得多,所以它不適合于對文件進(jìn)行加密,而只適用于對少量數(shù)據(jù)進(jìn)行加密。
(3)數(shù)字信封技術(shù)
鑒于對稱加密技術(shù)和非對稱加密技術(shù)各自的特點,在實際應(yīng)用中將兩種加密技術(shù)結(jié)合使用,從而獲得對稱加密技術(shù)的高效性和非對稱加密技術(shù)的靈活性。這種把對稱加密技術(shù)和非對稱加密技術(shù)結(jié)合使用的技術(shù)稱數(shù)字信封技術(shù)。
2.數(shù)字簽名技術(shù)
數(shù)字簽名技術(shù)主要解決電子商務(wù)中信息的不可抵賴性問題。其工作原理是:將報文按雙方約定的HASH算法計算,得到一個固定位數(shù)的HASH值,在數(shù)學(xué)上保證只要改動報文的任何一位,重新計算出的HASH值就會與原值不符。然后把該HASH值用發(fā)送者的私鑰加密,然后將該密文同原報文一起發(fā)送給接收者,產(chǎn)生的報文即數(shù)字簽名。
接收方收到數(shù)字簽名后,用同樣的HASH算法對報文計算HASH值,然后與用發(fā)送者的公鑰進(jìn)行解密解開的HASH值進(jìn)行比較,如相等則說明報文確實來自發(fā)送者從而保證了數(shù)據(jù)的真實性。通過數(shù)字簽名還能夠?qū)崿F(xiàn)對原信息的鑒別,從而保證信息在傳輸過程中的信息完整性和信息發(fā)送方的不可抵賴性。
3.認(rèn)證技術(shù)
對數(shù)字簽名和公開密鑰加密技術(shù)來說,都會面臨公鑰的分發(fā)問題。這就要求管理公鑰的系統(tǒng)必須是值得信賴的,數(shù)字證書就是解決這一問題的有效方法。它通常是一個簽名文檔,標(biāo)記特定對象的公開密鑰。
由認(rèn)證中心CA簽發(fā),CA通常是一個服務(wù)性機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)和管理數(shù)字證書,是一個普遍可信的第三方。當(dāng)通信雙方都信任同一個CA時,兩者就可以相互得到對方的公鑰從而能進(jìn)行秘密通信、數(shù)字簽名和認(rèn)證。
4.數(shù)字時間戳技術(shù)
在電子商務(wù)交易中,時間是十分重要的信息。數(shù)字時間戳服務(wù)DTS就是為電子文件的時間信息進(jìn)行安全保護(hù)的網(wǎng)上安全服務(wù)項目。時間戳是經(jīng)過加密后形成的文檔,它包括三部分內(nèi)容:①需加時間戳的文件的摘要;②DTS收到文件的日期和時間;③DTS的數(shù)字簽名。
5.與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)
(1)SSL-安全套接層協(xié)議
SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和加密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。它在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>
SSL協(xié)議獨立于應(yīng)用層協(xié)議,且被大部分的瀏覽器和Web服務(wù)器所內(nèi)置,便于在電子交易中應(yīng)用,因此,在電子交易中被用來安全傳送信用卡號碼。國際著名的CyberCash信用卡支付系統(tǒng)就支持這種簡單加密模式,IBM等公司也提供了這種簡單加密模式的支付系統(tǒng)。
但SSL協(xié)議它是一個面向連接的協(xié)議,在涉及多方的電子交易中,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。因此,為了實現(xiàn)更加完善的電子交易,制訂發(fā)布了SET協(xié)議。
(2)SET-安全電子交易協(xié)議
SET協(xié)議是目前唯一保證信用卡信息能安全可靠地通過因特網(wǎng)傳輸?shù)男聟f(xié)議。它為在Internet上進(jìn)行安全的電子商務(wù)活動提供了一個開放的標(biāo)準(zhǔn),為Internet上支付交易提供高層的安全和反欺詐保證。
SET協(xié)議為基于信用卡進(jìn)行電子交易的應(yīng)用提供了安全措施,保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性。SET是專門為電子商務(wù)而設(shè)計的協(xié)議,它在很多方面優(yōu)于SSL協(xié)議,但仍不能解決電子商務(wù)所遇到的全部問題。
四、結(jié)束語
電子商務(wù)安全是電子商務(wù)活動的核心,我們要堅持引進(jìn)和吸收的原則,組織各方面力量,研制和開發(fā)出具有自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全和電子商務(wù)安全產(chǎn)品,逐步掌握電子商務(wù)安全的核心技術(shù),我國的電子商務(wù)安全現(xiàn)狀一定會得到極大的改善,從而為我國電子商務(wù)的發(fā)展創(chuàng)建良好的安全環(huán)境。
電子商務(wù)安全論文范文篇4
淺談電子商務(wù)安全現(xiàn)狀及對策
隨著網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,我國電子商務(wù)的安全問題也日益突出。根據(jù)“2010年上半年,計算機(jī)病毒和互聯(lián)網(wǎng)安全報告疫情”的數(shù)據(jù)表明,2010 年上半年,計算機(jī)病毒,木馬的數(shù)量依然保持快速增長,新病毒不斷出現(xiàn),一些“老”的病毒推出了眾多變種。2010年上半年計算機(jī)病毒,木馬數(shù)量迅速增加, 超出了近五年病毒數(shù)量的總和。在日益增多的電子商務(wù)安全問題面前,需要我們采取新措施來進(jìn)行防范。
一、電子商務(wù)的安全現(xiàn)狀
目前電子商務(wù)的安全問題比較嚴(yán)重,最突出的表現(xiàn)在計算機(jī)網(wǎng)絡(luò)安全和商業(yè)誠信問題上。因為篇幅問題,本文只側(cè)重于計算機(jī)網(wǎng)絡(luò)安全問題的描述和解決對于其他方面的問題不作詳細(xì)的分析。與以往相比電子商務(wù)安全呈現(xiàn)出以下特點:
(一)木馬病毒爆炸性增長,變種數(shù)量的快速增加
據(jù)統(tǒng)計,僅2009年上半年掛載木馬網(wǎng)頁數(shù)量累計達(dá)2.9億個,共有11.2億人次網(wǎng)民訪問掛載木馬,2010年元旦三天就新增電腦病毒50 萬。病毒的數(shù)量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征??傮w而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件 的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進(jìn)行病毒投放,可以自動從指定的網(wǎng)址上下載 新病毒,并進(jìn)行自動更新,永遠(yuǎn)也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、詐騙活動,通過網(wǎng)絡(luò)販賣病毒、木馬,教授病 毒編制技術(shù)和網(wǎng)絡(luò)攻擊技術(shù)等形式的網(wǎng)絡(luò)犯罪活動明顯增多,電子商務(wù)網(wǎng)絡(luò)犯罪也逐漸開始呈公開化、大眾化的趨勢。
(二)網(wǎng)絡(luò)病毒傳播方式的變化
過去,傳播病毒通過網(wǎng)絡(luò)進(jìn)行。目前,通過移動存儲介質(zhì)傳播的案例顯著增加,存儲介質(zhì)已經(jīng)成為電子商務(wù)網(wǎng)絡(luò)病毒感染率上升的主要原因。由于U盤和 移動存儲介質(zhì)廣泛使用,病毒、木馬通過autorun.inf文件自動調(diào)用執(zhí)行U盤中的病毒、木馬等程序,然后感染用戶的計算機(jī)系統(tǒng),進(jìn)而感染其他U盤。
與往年相比,今年通過網(wǎng)絡(luò)瀏覽或下載該病毒的比例在下降。不過,從網(wǎng)絡(luò)監(jiān)測和用戶尋求幫助的情況來看,大量的網(wǎng)絡(luò)犯罪通過“掛馬”方式來實現(xiàn)。“掛馬”是 指在網(wǎng)頁中嵌入惡意代碼,當(dāng)存在安全漏洞的用戶訪問這些網(wǎng)頁時,木馬會侵入用戶系統(tǒng),然后盜取用戶敏感信息或者進(jìn)行攻擊、破壞。通過瀏覽網(wǎng)頁方式進(jìn)行攻擊 的方法具有較強(qiáng)的隱蔽性,用戶更難于發(fā)現(xiàn),潛在的危害性也更大。
(三)網(wǎng)絡(luò)病毒給電子商務(wù)造成的損失繼續(xù)增加
調(diào)查顯示,瀏覽器配置被修改,損壞或丟失數(shù)據(jù),系統(tǒng)的使用受限,網(wǎng)絡(luò)無法使用,密碼被盜造成都給電子商務(wù)造成嚴(yán)重的破壞后果。2006年“熊貓 燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經(jīng)濟(jì)利益,給被感染的用戶帶來重大損失。繼“熊貓燒香”之后,復(fù)合型病毒大量出 現(xiàn),如:仇英、艾妮等病毒。同時,網(wǎng)上販賣病毒、木馬和僵尸網(wǎng)絡(luò)的活動不斷增多,利用病毒、木馬技術(shù)傳播垃圾郵件和進(jìn)行網(wǎng)絡(luò)攻擊、破壞的事件呈上升趨勢。
二、電子商務(wù)的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進(jìn)行交易,從而獲得非法利益。
2.對信息的竊取。攻擊者在網(wǎng)絡(luò)的傳輸信道上。通過物理或邏輯的手段,對數(shù)據(jù)進(jìn)行非法的截獲與監(jiān)聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網(wǎng)上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進(jìn)行產(chǎn)品交易,甚至能洗黑錢。
3.對信息的篡改。攻擊者有可能對網(wǎng)絡(luò)上的信息進(jìn)行截獲后篡改其內(nèi)容,如修改消息次序、時間,注人偽造消息等,從而使信息失去真實性和完整性。
4.拒絕服務(wù)。攻擊者使合法接入的信息、業(yè)務(wù)或其他資源受阻。
5.對發(fā)出的信息予以否認(rèn).某些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。
6.信用威脅。交易者否認(rèn)參加過交易,如買方提交訂單后不付款,或者輸人虛假銀行資料使賣方不能提款I(lǐng)用戶付款后,賣方?jīng)]有把商品發(fā)送到客戶手中,使客戶蒙受損失。
7.電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作 為自己的傳播途徑,還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快,動輒造成數(shù)百億美元的經(jīng)濟(jì)損失。如,CIH病毒的爆發(fā)幾乎在瞬間給網(wǎng)絡(luò)上數(shù)以萬計的計算機(jī)以沉重打 擊。
三、電子商務(wù)的安全需求
電子商務(wù)威脅的出現(xiàn)導(dǎo)致了對電子商務(wù)安全的需求,主要包括有效性、完整性、不可抵賴性、匿名性。
1.有效性。保證信息的有效性是開展電子商務(wù)的前提,一旦簽訂交易,這項交易就應(yīng)得到保護(hù)以防止被篡改或偽造。
猜你喜歡:
電子商務(wù)安全方面的論文范文參考(2)
上一篇:jsp電子商務(wù)交易論文