電子商務(wù)安全論文
電子商務(wù)安全論文
隨著電子商務(wù)的發(fā)展,電子商務(wù)的安全性問(wèn)題越來(lái)越受到人們的關(guān)注。下文是學(xué)習(xí)啦小編為大家搜集整理的關(guān)于電子商務(wù)安全論文的內(nèi)容,歡迎大家閱讀參考!
電子商務(wù)安全論文篇1
淺談電子商務(wù)安全缺陷及策略
1引言
近年來(lái)隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)的不斷進(jìn)步,特別是得益于互聯(lián)網(wǎng)(Internet)的飛速發(fā)展,使得全球電子商務(wù)的發(fā)展呈現(xiàn)出持續(xù)高速增長(zhǎng)的趨勢(shì)。電子商務(wù)這種新的商務(wù)模式,從深層次上改變了全球的經(jīng)濟(jì)結(jié)構(gòu)和環(huán)境。根據(jù)美國(guó)研究機(jī)構(gòu)For-resterResearch報(bào)告顯示,全球電子商務(wù)交易額逐年攀升。截至2009年年底,全球電子商務(wù)交易額則達(dá)到161357億美元,同比增長(zhǎng)25%,2010年,全球電子商務(wù)交易額達(dá)到194697億美元,同比增長(zhǎng)20.7%。2009年,世界B2B電子商務(wù)交易額占電子商務(wù)總額的90%以上,B2C和C2C電子商務(wù)交易額共占到總交易額的10%以?xún)?nèi)。另?yè)?jù)我國(guó)電子商務(wù)協(xié)會(huì)發(fā)布的報(bào)告稱(chēng),2011年全球電子商務(wù)市場(chǎng)規(guī)模將達(dá)到40.6萬(wàn)億美元。我國(guó)的電子商務(wù)隨著政策的大力支持和資金的不斷投入,得到了迅猛的發(fā)展。
中國(guó)電子商務(wù)研究中心最新數(shù)據(jù)顯示,截止到2010年12月,中國(guó)電子商務(wù)市場(chǎng)交易額已逾4.5萬(wàn)億,同比增長(zhǎng)22%。其中,B2B電子商務(wù)交易額達(dá)到3.8萬(wàn)億,同比增長(zhǎng)15.8%,網(wǎng)上零售市場(chǎng)交易規(guī)模達(dá)5131億元,同比增長(zhǎng)97.3%,較2009年近翻一番,約占全年社會(huì)商品零售總額的3%。電子商務(wù)把互聯(lián)網(wǎng)和零售業(yè)很好地融合起來(lái),未來(lái)的發(fā)展前景十分廣闊。據(jù)波士頓咨詢(xún)集團(tuán)的最新報(bào)告顯示,中國(guó)電子商務(wù)市場(chǎng)規(guī)模到2015年有望達(dá)到2萬(wàn)億元人民幣(約合3150億美元)。就在我們看到電子商務(wù)不斷發(fā)展的后,又不得不著重考慮挑戰(zhàn)其安全性的諸多問(wèn)題,尤其是電子商務(wù)的數(shù)據(jù)處于公共互聯(lián)網(wǎng)之上,互聯(lián)網(wǎng)固有的開(kāi)放性和系統(tǒng)的安全漏洞及安全體系建設(shè)的滯后等不利因素也對(duì)其構(gòu)成了嚴(yán)重的威脅。因此,信息安全和網(wǎng)絡(luò)安全就成為電子商務(wù)大力發(fā)展的關(guān)鍵所在,也是必須考慮的核心問(wèn)題。
2電子商務(wù)的安全問(wèn)題
從電子商務(wù)交易的計(jì)算機(jī)終端到服務(wù)器的整個(gè)數(shù)據(jù)鏈路上,時(shí)時(shí)刻刻都存在著各種安全威脅,主要表現(xiàn)在以下幾個(gè)方面:
(1)用戶(hù)終端的系統(tǒng)漏洞及計(jì)算機(jī)病毒等惡意程序的攻擊用戶(hù)終端的計(jì)算機(jī)沒(méi)有及時(shí)安裝系統(tǒng)和軟件的漏洞、補(bǔ)丁,就可能存在著極大的安全隱患,攻擊者就可以利用這些已知和未知的缺陷發(fā)動(dòng)攻擊,加上木馬、蠕蟲(chóng)等計(jì)算機(jī)病毒和惡意程序的攻擊,以及用戶(hù)缺乏計(jì)算機(jī)和網(wǎng)絡(luò)安全知識(shí),使得計(jì)算機(jī)終端用戶(hù)的安全性處于最薄弱的環(huán)節(jié)。
(2)惡意破壞網(wǎng)絡(luò)設(shè)備和服務(wù)器攻擊者對(duì)提供交易服務(wù)的服務(wù)器發(fā)動(dòng)攻擊,如DDOS攻擊就很難防范,致使交易停止,長(zhǎng)時(shí)間難以正常運(yùn)行。或者利用服務(wù)器的漏洞和軟件程序的缺陷進(jìn)行攻擊,獲取服務(wù)器的口令,盜取用戶(hù)的機(jī)密資料,使用戶(hù)蒙受損失。攻擊者對(duì)整個(gè)電子交易數(shù)據(jù)的網(wǎng)絡(luò)硬件和軟件進(jìn)行惡意非法攻擊,導(dǎo)致服務(wù)中斷、停止,使用戶(hù)不能正常交易。
(3)網(wǎng)絡(luò)數(shù)據(jù)在傳輸過(guò)程中被竊取攻擊者通過(guò)各種非正常手段(竊聽(tīng)、重放、流量分析等),在互聯(lián)網(wǎng)上截獲用戶(hù)的機(jī)密信息,加以分析得到有用數(shù)據(jù)信息,導(dǎo)致用戶(hù)產(chǎn)生不可估量的損失,也破壞了網(wǎng)絡(luò)數(shù)據(jù)的保密安全性。
(4)惡意篡改合法用戶(hù)的網(wǎng)絡(luò)數(shù)據(jù)攻擊者截獲到用戶(hù)的有用信息以后,會(huì)對(duì)數(shù)據(jù)進(jìn)行惡意篡改,惡意破壞信息數(shù)據(jù)的完整性。
(5)盜用合法用戶(hù)身份進(jìn)行非法交易攻擊者仿冒合法用戶(hù)的身份后,與第三方進(jìn)行正常交易,使合法用戶(hù)產(chǎn)生損失。這種利用假冒身份認(rèn)證的非法手段,直接導(dǎo)致電子商務(wù)的不可靠性。
(6)電子商務(wù)的法律和道德問(wèn)題用戶(hù)一旦進(jìn)行了交易后,就應(yīng)該具有法律保障效應(yīng),即具不可否認(rèn)性,但也存在著非法假冒和惡意否認(rèn)身份的問(wèn)題,缺乏誠(chéng)信導(dǎo)致商業(yè)欺詐的行為。
3電子商務(wù)交易的技術(shù)和安全性分析
3.1電子商務(wù)中使用的關(guān)鍵安全技術(shù)
(1)數(shù)據(jù)加密數(shù)據(jù)加密技術(shù)是電子商務(wù)領(lǐng)域所采用的關(guān)鍵安全技術(shù),也是主要的安全防御技術(shù)。
數(shù)據(jù)加密技術(shù)原理是采用加密(數(shù)學(xué))算法對(duì)原始信息(明文)進(jìn)行再整合,使得攻擊者接收到加密數(shù)據(jù)(密文)以后變成無(wú)意義的內(nèi)容,從而在整體數(shù)據(jù)傳輸鏈上,保證了數(shù)據(jù)的高保密性和完整性。完整的一條信息傳遞過(guò)程如圖1所示。圖1數(shù)據(jù)加、解密傳遞過(guò)程按照加密密鑰和解密密鑰是否相同,可將數(shù)據(jù)加密技術(shù)分為兩種:對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密。對(duì)稱(chēng)加密對(duì)稱(chēng)加密又稱(chēng)為專(zhuān)用密鑰加密,就是雙方協(xié)商使用相同的密鑰(Key)來(lái)完成加密、解密過(guò)程,并且密鑰是保密的。在這種加密算法中,所采用的加密算法等于解密算法,因此密鑰的安全管理就顯得特別重要,成為安全與否的核心因素。對(duì)稱(chēng)加密的特點(diǎn)是具有高保密性,加、解密速度快,效率高,因此適用于數(shù)據(jù)量比較大的加密操作。
常見(jiàn)的對(duì)稱(chēng)加密算法主要有DES[1]、3DES、IDEA、RC4、RC5和Blowfish等。對(duì)稱(chēng)加密主要有如下安全問(wèn)題:①在網(wǎng)絡(luò)中建立通道傳輸數(shù)據(jù)過(guò)程中,可能導(dǎo)致密鑰泄露,讓攻擊者有機(jī)可趁。②電子商務(wù)交易存在著多個(gè)交易對(duì),每確立一對(duì)交易對(duì)關(guān)系,就要維護(hù)一個(gè)專(zhuān)用密鑰,給密鑰的安全管理和維護(hù)帶來(lái)極大的難度。③難以對(duì)交易雙方的身份進(jìn)行準(zhǔn)確識(shí)別,因此缺乏數(shù)字實(shí)名驗(yàn)證的可行性。非對(duì)稱(chēng)加密非對(duì)稱(chēng)加密又稱(chēng)為公開(kāi)密鑰加密。在這種加密算法中密鑰被分成一對(duì),即一把公鑰和一把私鑰,公鑰不需要保密可以公開(kāi),私鑰必須嚴(yán)格保密,且加密密鑰和解密密鑰并不相同。這種加密算法順利地解決了密鑰的管理和維護(hù)及數(shù)字實(shí)名驗(yàn)證的問(wèn)題,安全性大大優(yōu)于對(duì)稱(chēng)加密,是現(xiàn)在普遍采用的加密技術(shù)。非對(duì)稱(chēng)加密的特點(diǎn)是高安全性和保密性,密鑰安全管理和維護(hù)量小,可以實(shí)現(xiàn)數(shù)字實(shí)名驗(yàn)證。問(wèn)題是這種加密算法過(guò)于復(fù)雜,計(jì)算量太大,導(dǎo)致加、解密的速度不是很理想。普遍采用的非對(duì)稱(chēng)加密算法主要有RSA、ELGamma、橢圓曲線(xiàn)加密算法等。
(2)數(shù)字簽名數(shù)字簽名技術(shù)[2]是基于非對(duì)稱(chēng)加密技術(shù)而產(chǎn)生的,具有數(shù)字認(rèn)證、身份核查的功能。
數(shù)字簽名技術(shù)具有以下的特點(diǎn)。①發(fā)送方事后不可抵賴(lài)發(fā)送的包含自己簽名的報(bào)文。②接收方能對(duì)發(fā)送方簽名的身份予以核查。③接收方不能篡改發(fā)送方的報(bào)文。④接收方不能偽造發(fā)送方的數(shù)字簽名。數(shù)字簽名技術(shù)的實(shí)現(xiàn)過(guò)程為:發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要),并用自己的私鑰對(duì)這個(gè)散列值進(jìn)行加密,形成發(fā)送方的數(shù)字簽名;然后,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方;報(bào)文接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值(或報(bào)文摘要),接著再用發(fā)送方的公開(kāi)密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的[3]。
(3)數(shù)字證書(shū)數(shù)字證書(shū)是由認(rèn)證中心(CA,CertificateAuthori-ty)[4]簽發(fā)的,用以確認(rèn)用戶(hù)身份信息并獲取訪問(wèn)網(wǎng)絡(luò)資源的權(quán)限。數(shù)字證書(shū)是現(xiàn)在電子商務(wù)交易普遍采用的技術(shù)之一,普遍遵守X.509國(guó)際通用標(biāo)準(zhǔn),一般含有證書(shū)持有人的名稱(chēng)、公鑰信息、數(shù)字簽名、CA機(jī)構(gòu)的名稱(chēng)、數(shù)字簽名、證書(shū)的序列號(hào)和有效期、版本信息等。CA是發(fā)放和管理數(shù)字證書(shū)的第三方可信任機(jī)構(gòu),具有權(quán)威性。交易雙方使用數(shù)字證書(shū)來(lái)進(jìn)行商務(wù)活動(dòng)。
(4)數(shù)字時(shí)間戳數(shù)字時(shí)間戳[5]是系統(tǒng)自動(dòng)生成的,用來(lái)確認(rèn)電子商務(wù)交易發(fā)生的日期和時(shí)間,防止惡意篡改交易數(shù)據(jù)的一種有效的手段。它由專(zhuān)業(yè)的第三方認(rèn)證機(jī)構(gòu)形成,采用加密形式的文件。數(shù)字時(shí)間戳服務(wù)(DTS,DigitalTimeStampService)是一種專(zhuān)門(mén)提供電子交易文件的日期和時(shí)間服務(wù)。具體過(guò)程為:需要數(shù)字時(shí)間戳的申請(qǐng)者向DTS發(fā)送請(qǐng)求(含加戳數(shù)據(jù)的散列值),DTS收到文件后從自己的時(shí)間源中獲取一個(gè)時(shí)間值,把時(shí)間值加入到含數(shù)據(jù)散列值的文件中,并對(duì)數(shù)據(jù)文件進(jìn)行加密(用時(shí)間的私鑰進(jìn)行數(shù)字簽名),最后發(fā)送給申請(qǐng)者。
3.2電子商務(wù)的安全層次結(jié)構(gòu)
電子商務(wù)的安全層次結(jié)構(gòu)如圖2所示。各層次之間并非相互獨(dú)立,而是由層次安全構(gòu)成了電子商務(wù)的整體高安全性。
(1)電子商務(wù)的安全認(rèn)證在電子商務(wù)交易中,認(rèn)證是交易安全中很重要的步驟,即實(shí)現(xiàn)對(duì)用戶(hù)身份唯一性和數(shù)據(jù)報(bào)文完整性的雙重認(rèn)證。在公鑰基礎(chǔ)設(shè)施(PKI,PublicKeyInfrastructure)中,由CA驗(yàn)證申請(qǐng)者的身份及發(fā)放可證明申請(qǐng)者身份的數(shù)字證書(shū),建立用戶(hù)和商家的信任關(guān)系,并驗(yàn)證交易數(shù)據(jù)報(bào)文的完整性,從而安全完成電子商務(wù)交易。
(2)電子商務(wù)的安全協(xié)議目前,典型的電子商務(wù)安全協(xié)議有SSL和SET[6]。
安全套接層(SSL,SecuritySocketLayer)協(xié)議是美國(guó)網(wǎng)景公司開(kāi)發(fā),用于提供互聯(lián)網(wǎng)安全通信服務(wù)的協(xié)議,使得傳輸?shù)臄?shù)據(jù)報(bào)文保密性更強(qiáng)。SSL協(xié)議存在著一些安全問(wèn)題(客戶(hù)和商家的資料安全性不高,缺乏可信任的第三方身份認(rèn)證機(jī)構(gòu),證書(shū)不能自動(dòng)及時(shí)更新等)。相對(duì)SSL來(lái)說(shuō),SET(Se-curityElectronicTransaction,安全電子交易系統(tǒng))更安全、更可靠、更可信。SET協(xié)議由Visa和Master-Card等公司聯(lián)合開(kāi)發(fā)的,在互聯(lián)網(wǎng)上實(shí)現(xiàn)安全電子交易的國(guó)際標(biāo)準(zhǔn)和協(xié)議。SET協(xié)議解決了在公共互聯(lián)網(wǎng)上信用卡支付的安全性問(wèn)題,滿(mǎn)足持卡人、商家、銀行、認(rèn)證機(jī)構(gòu)等多方電子支付安全需求。
筆者重點(diǎn)分析了SET協(xié)議的安全性,SET協(xié)議的安全性有以下幾點(diǎn):
?、贁?shù)據(jù)報(bào)文和個(gè)人信息的保密性由于電子交易的數(shù)據(jù)都在公共互聯(lián)網(wǎng)上傳輸,所以SET協(xié)議對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行了加密(如DES)處理,防止交易數(shù)據(jù)和個(gè)人信息被竊取或篡改,造成經(jīng)濟(jì)損失。
?、跀?shù)據(jù)報(bào)文的完整性SET協(xié)議采用數(shù)字簽名技術(shù)來(lái)確保數(shù)據(jù)報(bào)文的完整性。使用安全Hash(SHA-1)算法實(shí)現(xiàn)數(shù)字簽名算法,SHA-1可將一個(gè)任意長(zhǎng)度(最大264bits)的消息,生成一個(gè)160位的消息摘要。由此得知,發(fā)生消息摘要相同的概率相當(dāng)?shù)汀,F(xiàn)在還采用雙重簽名技術(shù)來(lái)保護(hù)數(shù)據(jù)報(bào)文的真實(shí)性和完整性,用戶(hù)一次簽名同時(shí)生成兩個(gè)數(shù)字簽名消息,達(dá)到雙重簽名的效果。一個(gè)雙重簽名是通過(guò)計(jì)算兩個(gè)消息的消息摘要產(chǎn)生的,并將兩個(gè)摘要連接在一起形成一個(gè)總摘要,并用用戶(hù)的私鑰加密摘要。每個(gè)消息的接收者取出自己的消息,重新生成消息摘要來(lái)驗(yàn)證消息。
?、鄄捎脭?shù)字信封技術(shù)保證數(shù)據(jù)不被竊取為保證電子商務(wù)交易數(shù)據(jù)傳輸?shù)母甙踩裕荑€應(yīng)定期及時(shí)更換,SET協(xié)議使用數(shù)字信封技術(shù)來(lái)及時(shí)更換密鑰。經(jīng)常更換密鑰的機(jī)制保證電子交易數(shù)據(jù)不會(huì)被竊取。
?、艹挚ㄈ撕蜕碳业南嗷ド矸蒡?yàn)證在SET協(xié)議中采用PKI體系,CA負(fù)責(zé)管理和發(fā)放證書(shū)。SET協(xié)議中,CA起著非常重要的作用,SET協(xié)議通過(guò)數(shù)字證書(shū)來(lái)鑒別交易雙方的真實(shí)身份,并建立起可信任關(guān)系,為順利完成電子交易打下基礎(chǔ)。SET體系中用戶(hù)擁有一對(duì)簽名密鑰(持卡人保管)和一對(duì)加密密鑰(CA托管),它們都擁有自己的數(shù)字證書(shū)。SET協(xié)議采用數(shù)據(jù)加密、數(shù)字簽名、數(shù)字信封等安全技術(shù),而且支持對(duì)交易雙方的相互身份驗(yàn)證,從而能夠保證網(wǎng)絡(luò)交易數(shù)據(jù)的真實(shí)性、保密性、完整性、不可抵賴(lài)性。另外還對(duì)交易雙方的私人信息進(jìn)行保密,使得SET協(xié)議具有高安全性。
4電子商務(wù)的安全對(duì)策研究
(1)加強(qiáng)網(wǎng)絡(luò)安全建設(shè),構(gòu)建高安全的電子交易環(huán)境在電子商務(wù)交易的整個(gè)過(guò)程中,都離不開(kāi)網(wǎng)絡(luò)安全,特別是內(nèi)部網(wǎng)絡(luò)的安全。采用防火墻隔離內(nèi)、外網(wǎng),構(gòu)筑起安全的屏障;采用代理技術(shù)來(lái)形成緩沖,采用前置服務(wù)器來(lái)承擔(dān)交易風(fēng)險(xiǎn);采用訪問(wèn)控制技術(shù)來(lái)限制非法用戶(hù)的訪問(wèn),并設(shè)置不同用戶(hù)的訪問(wèn)權(quán)限;采用[7]、IPSEC體系等安全虛擬專(zhuān)用網(wǎng)絡(luò)進(jìn)行電子交易;采用EDI、電子支付和XML等相關(guān)技術(shù)提高安全性;采用入侵檢測(cè)技術(shù)并通過(guò)安全策略來(lái)防范外網(wǎng)威脅;改進(jìn)并完善網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)協(xié)議,提高抗攻擊的能力。
(2)采用高安全加密算法和新安全體系結(jié)構(gòu)采用橢圓曲線(xiàn)、混合加密等高安全加密算法,發(fā)揮不同加密算法的長(zhǎng)處,進(jìn)一步提高數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸?shù)陌踩裕WC交易數(shù)據(jù)報(bào)文和個(gè)人信息不被泄密。安全體系結(jié)構(gòu)決定了電子商務(wù)交易的安全性,在現(xiàn)有的安全體系結(jié)構(gòu)基礎(chǔ)上進(jìn)行改進(jìn)和完善,或者設(shè)計(jì)新安全體系架構(gòu),能夠應(yīng)對(duì)電子交易的新安全威脅。
(3)加強(qiáng)安全制度管理,用法律手段來(lái)保障電子交易的安全通過(guò)制訂和實(shí)施安全管理制度,加強(qiáng)從業(yè)人員的安全防范和風(fēng)險(xiǎn)意識(shí),避免不必要的經(jīng)濟(jì)損失。健全和完善電子商務(wù)交易的法律體系,目前各部、委、辦頒布并實(shí)施了相應(yīng)的法律法規(guī),約束和規(guī)范電子交易的行為,構(gòu)建起一個(gè)健康、安全的電子交易環(huán)境。
5結(jié)束語(yǔ)
通過(guò)上面的分析,筆者意識(shí)到以下幾點(diǎn):
(1)電子商務(wù)交易安全架構(gòu)是一個(gè)復(fù)雜的系統(tǒng)性工程,并非僅靠技術(shù)和協(xié)議的簡(jiǎn)單組合就能完成的,而是一個(gè)由技術(shù)系統(tǒng)(網(wǎng)絡(luò)和通信技術(shù)、加密技術(shù)、認(rèn)證技術(shù)和協(xié)議等)、法律法規(guī)體系、管理制度、從業(yè)人員的安全防范和風(fēng)險(xiǎn)意識(shí)等因素構(gòu)成,所以必須站在整個(gè)系統(tǒng)安全的高度去思考和分析安全問(wèn)題,全方位地構(gòu)筑起電子交易的安全屏障,切實(shí)防范安全風(fēng)險(xiǎn)和威脅。
(2)通過(guò)對(duì)電子商務(wù)交易的層次化分析,使我們深入了解電子交易的安全性,所以我們?cè)诜治鲭娮由虅?wù)的安全問(wèn)題時(shí),應(yīng)該把安全問(wèn)題分層化處理,有針對(duì)性解決安全問(wèn)題。
(3)電子商務(wù)安全新問(wèn)題會(huì)不斷出現(xiàn),新安全技術(shù)體系也處于發(fā)展之中,這對(duì)矛盾關(guān)系永遠(yuǎn)沒(méi)有盡頭,處于長(zhǎng)期對(duì)立的狀態(tài)。特別是當(dāng)前電子商務(wù)交易呈現(xiàn)繁榮景象,安全問(wèn)題更值得深入探討與研究。
>>>下頁(yè)帶來(lái)更多的電子商務(wù)安全論文