实用参考电子商务电子安全现状分析与解决方案.docx
- 文档编号:28686501
- 上传时间:2023-07-19
- 格式:DOCX
- 页数:12
- 大小:53.70KB
实用参考电子商务电子安全现状分析与解决方案.docx
《实用参考电子商务电子安全现状分析与解决方案.docx》由会员分享,可在线阅读,更多相关《实用参考电子商务电子安全现状分析与解决方案.docx(12页珍藏版)》请在冰豆网上搜索。
实用参考电子商务电子安全现状分析与解决方案
电子商务信息安全现状分析与解决方案
前言
第一章:
电子商务信息安全理论
1.电子商务基本概念
2.电子商务信息安全所面临的问题
3.电子商务信息的安全要素
第二章:
我国电子商务信息发展现状及存在的安全问题
1.我国电子商务信息发展现状
2.我国电子商务信息发展存在的安全问题
(1)安全技术方面的问题
1.1黑客攻击
1.2网上支付的问题
(2)个人信息泄密的安全问题
(3)法律安全问题
第三章:
我国电子商务信息安全问题的解决办法及策略
1.电子商务信息安全技术解决办法
(1)防火墙安全技术
1.1包过滤型
1.2网络地址转化—NAT
1.3代理型
1.4监测型
(2)加密技术
2.1对称密钥加密体制
2.2非对称密钥加密体制
(3)安全认证协议
3.1安全套接层(SSL)协议
3.2安全电子交易(SET)协议
2.政府部门在法律法规方面应采取的措施。
结束语
参考文献
四、结束语
参考文献
中文摘要:
随着Internet和Intranet/EGtranet的快速增长,Web已经对商业、工业、银行、财政、教育、政府和娱乐及我们的工作和生活产生了深远的影响。
许多传统的信息和数据库系统正在被移植到互联网上,与此同时电子商务(e-commerce)也迅速增长,早已超过了国界。
但在其发展的过程中网络上的信息安全问题成为了制约其发展的重要因素。
本文将对电子商务的安全威胁问题进行分析并提出一些解决措施和方法。
关键词:
电子商务信息安全互联网解决方法
Abstract:
WiththefastgrowthofInternetandIntranet/EGtranet,WebhasalreadPeGertedafar-reachinginfluenceonthecommerce,industrP,bank,finance,education,government,amusementandourworkingandliving.AlotoftraditionalinformationanddatabasesPstemarebeingtransplantedtoonInternet,meanwhilee-commerce(e-commerce)isincreasedrapidlPtoo,havealreadPeGceededthenationalboundaries.ButthequestionofinformationsafetPonthenetworkinthecourseofitsdevelopmenthasbecometheimportantfactorofrestrictingitsdevelopment.ThisteGtwillanalPseandproposesomesettlementmeasuresandmethodstothesecuritPthreatproblemofe-commerce.
KePwords:
E-commerceInformationsafetPInternetSolution
第3页,共3页
一、引言
1.电子商务的定义
电子商务(EC,ElectronicCommerce)就是利用电子数据交换(EDI)、电子邮件(E-mail)、电子资金转帐(EFT)及Internet的主要技术在个人间、企业间和国家间进行无纸化的业务信息的交换。
【2】随着计算机和计算机网络的应用普及,电子商务不断被赋予新的含义。
电子商务被认为是通过信息技术(IT)将企业、用户、供应商及其它商贸活动涉及的职能机构结合起来的应用,是完成信息流、物流和资金流转移的一种行之有效的方法。
它主要包括下列三个方面:
(1)企业与消费者之间的电子商务(B2C);
(2)企业间的电子商务(B2B);(3)支持WWW上的销售和采购活动所需的交易和流程。
其关系可以用图1表示:
图1.1
2.电子商务的发展现状
随着互联网的快速普及,利用WWW进行商务活动的潜在利益也就越来越大,国际社会和各国政府正积极引导电子商务发展。
由于电子商务具有深刻而广泛的影响和巨大的发展前景从而受到国际社会广泛和高度重视。
据专家预测,到20GG年全球消费者网上购物的总额将会超过3000亿美元,而网
第4页,共4页
上所有商务活动总额将会超过40000亿美元。
【2】而且,电子商务的形式也越来越多样化从已使用多年的电子资金转帐(EFT)和企业间电子数据交换(EDI)发展到现在的包括电子现金、电子钱包、智能储值卡、信用卡等的电子结算系统及网上银行,更先进的包括企业采购、后勤和支持活动的EDI,大大小小售卖各种商品的网上商店,网上拍卖,虚拟社区及网络门户网站等。
尽管电子商务的发展势头非常惊人,但它在全球贸易额中只占极小的一部分。
一个主要的障碍就是如何保证传输数据的安全和交易对方的身份确认。
因此,从传统的基于纸张的贸易方式向电子化的贸易方式转变的过程中,如何保持电子化的贸易方式与传统方式一样安全可靠,则是人们关注的焦点,同时也是电子商务全面应用的关键问题之一。
下面。
笔者将分析电子商务的安全威胁及现行的解决措施和方法。
二、电子商务的安全威胁
随着Internet的快速发展,电子商务在发展过程中存在着很多的安全威胁问题,总的来说就有三方面的安全问题。
【4】
2.1.物理安全问题
它是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
本文不作详述。
2.2.网络安全
可以分成三类:
第5页,共5页
(1)系统安全,指主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控)和审计分析;
(2)网络运行安全,指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等等;
(3)局域网或子网的安全主要是访问控制和网络安全检测的问题。
特别说明,大众所熟知的黑客与防火墙主要属于网络安全的相关范畴。
本文不作详述。
2.3.信息安全
信息安全问题主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面,当然也包括对用户的鉴别和授权。
电子商务交易双方的信息安全隐患传统商务活动是面对面进行的,交易双方能较容易地建立信任感并产生安全感。
而电子商务是买卖双方通过Internet的信息流动来实现商品交换的,信息技术手段使不法之徒有机可乘,这就使得电子商务的交易双方在安全感和信任程度等方面都存在疑虑。
电子商务的交易双方都面临着信息安全的威胁。
2.3.1商家的信息安全隐患。
主要有:
(1)不法之徒假冒合法用户名义改变商务信息内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;
(2)恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息;(3)信息间谍通过技术手段窃取商业秘密;(4)大量虚假订单的生成挤占了信息系统资源,无法从事正常的业务运营。
第6页,共6页
2.3.2用户的信息安全隐患。
主要有:
(1)用户身份证明信息被拦截窃用,以致
被要求付帐或返还商品;
(2)域名信息被监听和扩散,被迫接收许多无用信息甚至个人隐私被泄露。
(3)发送的商务信息不完整或被篡改,用户无法收到商品;(4)受虚假广告信息误导购买假冒伪劣商品或被骗钱财;(5)遭受黑客暗算计算机设备被毁、信息丢失。
三.解决电子商务安全威胁的措施和技术
常用的主要安全技术包括:
加密、数字签名、安全通信协议与交易协议、电子证书、电子信封和双重签名等。
下面主要介绍加密、数字签名、安全通信协议与交易协议这三种技术在电子商务中的应用.【5】
3.1加密技术.
加密技术是电子商务采取的基本安全措施,贸易方可根据需要在信息交换的阶段使用。
加密技术分为两类,即对称加密和非对称加密。
3.1.1对称加密
在对称加密方法中,采用相同的加密算法并只交换共享的专用密钥(加密和解密都使用相同的密钥)。
如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。
因此,对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。
此外,对称加密方式无法鉴别贸易发起方或贸易最终方。
下图为对称加密过程。
发送者输入加密算法传输过程解密算法
图3.1.1对称加密和解密过程
第7页,共7页
3.1.2非对称加密
在非对称加密体系中,密钥被分解为一对,即公开密钥或专用密钥。
公开密钥(加密密钥)通过非保密方式向他人公开,而专用密钥(解密密钥)加以保存。
公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。
专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。
贸易甲方生成一对密钥,公布公开密钥;贸易方乙得到该公开密钥,使用该密钥对机密信息进行加密,然后发送给贸易甲方;贸易甲方再用自己保存的专用密钥对加密后的信息进行解密。
贸易方只能用其专用密钥解密由其公开密钥加密后的任何信息。
RSA算法是非对称加密领域内最为著名的算法。
图3.1.2非对称加密和解密过程
在上图中,EA和EB分别是用户A和B的加密钥(或公开钥),DA和DB分别是A和B的解密钥(或专用钥)。
一个明文若要从用户A传输到用户B,先要用A的专用密钥DA加密(又称签名),再用B的公开钥EB加密,然后传送到接收方B;B在接收后,首先用专用密钥DB解密,再用A的公开密钥EA认证。
这一信息传递过程,不仅保护了信息的安全,又使接收方B对信息的发送方A确信无疑。
第8页,共8页
3.2数字签名
数字签名是非对称加密技术的一类应用。
它的主要方式是:
报文发送方从报文文本中生成一个128位的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。
如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。
通过数字签名能够实现对原始报文的鉴别和不可否认性。
3.2.1数字信封(DigitalEnvelope) 对称加密是基于共同保守秘密的原则来实现。
采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,还要保证彼此密钥的交换是安全可靠的,同时要设定防止密钥泄密及变更密钥的程序。
因此,对称密钥的管理和分发工作具有潜在的危险和繁琐的过程。
数字信封将对称密码与非对称密码体系结合起来传输信息,使用公开密钥加密技术来实现对称密钥,解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。
具体过程是:
贸易方可以为每次交换的信息生成惟一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息一起发送给相应的贸易方。
由于对每次信息交换都对应生成了惟一一把密钥,因此各贸易方就不再需要对密钥进行维护并且不必担心密钥的泄露或过期。
3.2.2 数字时间戳(digitaltime---stamp) 交易文件中,时间是十分重要的信息。
第9页,共9页
在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。
在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(Digitaltime---StampServer)就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。
时间戳(time--stamp)是一个经加密后形成的凭证文档,它包括三个部分:
1)需加时间戳的文件的摘要(digest);2)DTS收到文件的日期和时间,
3)DTS的数字签名。
时间戳产生的过程为:
用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。
由Billcore创造的DTS采用下面的过程:
加密时将摘要信息归并到二叉树的数据结构;再将二叉树的根值发表在报纸上,这样更有效地为文件发表时间提供了佐证。
但要值得注意的是,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。
因此,时间戳也可作为科学家的科学发明文献的时间认证。
3.3安全通信协议与交易协议
目前世界上公认的安全协议标准有:
SSL,SET和NETBILL协议。
SSL(securesocketlaPer安全套接层)协议是TCP/IP协议族中目前最新的安全协议,提供了两台机器间的安全连接,可以实现通信过程的安全保密,它虽然是针对INTERNET环境提出的,但由于属于套接协议,具有与上层应用协议与下层网络协议无关性的特点,所以在其他网络的通信中也可以使
第10页,共10页
用。
目前SSL被众多厂家和用户广泛采用,已经成为通信底层协议的实际标准。
在电子商务中可通过在SSL连接上传输信用卡卡号的方式来构建支付系统,在线银行和其他金融系统也常常构建在SSL之上。
由于SSL被大部分Web浏览器和Web服务器所内置,比较容易被应用,因此SSL被广泛使用。
但如果想要电子商务得以成功地广泛开展的话,必须采用更先进的支付系统。
SET(SecureElectronicTransaction:
安全电子交易)规范是由两大信用卡商Visa和MarsterCard联合制定的实现网上信用卡交易的模型和规范。
从概念上,它是通用信用卡的自然延拓,保留了信用卡交易的一切特点,同时针对网上交易,制定了确保安全的一系列规范和协议。
SET主要目标如下:
信息在Internet上安全传输,保证网上传输的数据不被黑客窃取;定单信息和个人帐号信息的隔离,当包含持卡人帐号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息;持卡人和商家相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通信双方提供信用担保;要求软件遵循相同协议和报文格式,使不同厂家开发的软件具有兼容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
SET的关键是认证技术,它包括如下几个方面:
1)证书。
SET中主要的证书是持卡人证书和商家证书。
持卡人证书是支付卡的一种电子化的表示。
持卡人证书不包括帐号和终止日期信息,而是用
第11页,共11页
单向哈希算法根据帐号和截止日期生成的一个码,如果知道帐号、截止日期、
密码值即可导出这个码值,反之不行。
商家证书就像是贴在商家收款台小窗上的付款卡贴画,以表示它可以用什么卡来结算。
在SET环境中,一个商家至少应有一对证书,与一个银行打交道;一个商家也可以有多对证书,表示它与多个银行有合作关系,可以接受多种付款方法。
除了持卡人证书和商家证书以外,还有支付网关证书、银行证书、发卡机构证书。
2)CA持卡人可从公开媒体上获得商家的公开密钥,但持卡人无法确定商家不是冒充的(有信誉),于是持卡人请求CA对商家认证。
CA对商家进行调查、验证和鉴别后,将包含商家公开密钥的证书经过数字签名传给持卡人。
同样,商家也可对持卡人进行验证。
CA的主要功能包括:
接收注册请求,处理、批准/拒绝请求,颁发证书。
(3)证书的树形验证结构。
在双方通信时,通过出示由某个CA签发的证书来证明自己的身份,如果对签发证书的CA本身不信任,则可验证CA的身份,依次类推,一直到公认的权威CA处,就可确信证书的有效性。
每一个证书与签发证书的实体的签名证书关联。
SET证书正是通过信任层次来逐级验证的。
例如,C的证书是由B的CA签发的,而B的证书又是由A的CA签发的,A是权威的机构,通常称为根CA。
验证到了根CA处,就可确信C的证书是合法的。
整套CA认证过程如下图
第13页,共13页
(1)相互提交证书;
(2)提供个人资料或求证得到商家证书;(3)颁发证书或验证商家证书的合法性;
(4)颁发证书或验证客户证书的或非性;(5)提供商家资料或求证得到的客户证书
四.结束语
随着时间的推移和技术的发展,在电子商务的安全问题上,我们更应注重技术手段和管理手段相结合的办法.毕竟,电子商务的安全问题不仅仅是技术上的问题,还有管理上的问题,而且它还与社会文化,企业文化紧密相连的.在实施电子商务安全问题时,我们应该根据自身的情况来选择相应的电子商务安全技术,通过合理选择加密技术、网络信息的安全传输技术.只有提高了信息安全意识,加强信息安全管理,加强电子商务立法与信息安全立法,加强信息安全的技术防范措施和加强管理手段才能保证电子商务稳步向前发展.
参考文献:
(1)张炯明.安全电子商务使用技术.北京.清华大学出版社.20GG.4
(2)吴应良.电子商务概论.广州.华南理工大学出版社.20GG.8
(3)游梦良,李冬华.企业电子商务模式.广州.广东人民大学出版社.20GG.10
(4)祁 明.电子商务安全与保密[M].北京.高等教育出版社.20GG.10
(5)王 缜,叶 林.电子商务中的安全技术.河北工业科技报.第4期.20GG
(6)吴 波,郝春梅,高立果.电子商务与CA认证技术.黑龙江农垦师专学报.20GG年第2期第14页,共14页
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实用 参考 电子商务 电子 安全 现状 分析 解决方案