电子商务安全浅析(共12篇)
1.电子商务安全浅析 篇一
电子金融信息安全防护措施浅析论文
一、我国电子金融领域信息安全的现状
全国相关的金融机构陆续成立了专门的安全防范机构,并重点加强对系统需求设计、投产、推广和软件开发等重点程序的监管和保护以及风险防范;在系统设计开发、防火墙选用、认证密码等方面加大了投入。但是,当前的金融电子行业仍然存在着一些隐患,具体是传递信息的安全隐患和业务系统维护的风险防范隐患。
二、信息安全防护措施
(一)行业自律
行业或是客户自身的信息包括最敏感机密部分对金融机构而言往往是公开的,金融机构可以轻松的获取这部分信息,其中有部分信息具有相当的经济价值。对信息保护,行业的自律有着相当重要的意义,政府的监管只是被动的行为,防患于未然更多的在于金融结构的自律行为。电子金融行业需制定一个有效的行业自律规范,从行业内部规范从事人员的行为总则,争取将非法信息来源斩断。国外大多数国家在立法上对行业自律机制给予较高的肯定,我国其实也可以借鉴,进一步发挥行业自律在信息安全上的作用。
(二)金融信息监管
完善的信息安全法律法规是做好信息安全工作的基础。我国在信息安全法律法规建设方面已经做了很多工作,如今与信息安全有关的法律法规包括法律、行政法规、部门规章及规范性文件三个层面。但是,我国的信息安全法律法规仍然不够完善,管理机构存在多头管理,要求从金融信息监督开始为信息安全做好第一步。同时,中国人民银行对网上银行业务的监管尚处于起步阶段,应在《人民银行法》等相关法规中将网上银行明确纳入中国人民银行、银监会监管的对象。其次,金融服务业消费者安全保障的投诉与受理机制欠缺,监管机构中缺乏专门负责金融消费者安全保障方面事务的部门,对于投诉问题没有从自律或者强制性法律机制角度进行规范。建议在我国因成立一个独立的电子金融监管机构,它独立于各个行政体系,采用直接负责制,这是由于电子金融领域如出现信息安全事故,它所牵扯的相关行政部门较多,地域范围较广,现有职能部门无法对它进行有效的监管,该机构应对电子金融机构信息可审查,可回溯并构建一个评价体系,将其评价结果对外公示,对于那些信息安全保护不当的机构应给予惩罚,改变我国对信息泄露或是保护不当的金融机构只罚不惩的`局面。
(三)信息安全体系
电子金融主要的运行手段是基于计算机网络或是通信网络,必须要技术层面上保护其安全,传统的金融交易手段是基于柜台式、盘点式,早期电子金融只是较为粗犷的将原有的业务照搬于网络环境中,又由于网络是个开放的平台,所以造成了较多的信息安全事故,在近几年的发展中有了迅猛的进步,但还存在诸多问题:用户认证手段单一、支付手段繁杂、内网权限过大、设备更新过于频繁、客户端保护不够、异常行为监管不到位、标准不统一等问题。现应构建一个统一标准网络信息安全体系。将用户权限分割,将用户不常用或是对其信息保护有隐患的功能部分需转为传统的柜台办理,用户可对其权限进行缩减,提供用户常用功能及其权限。用户认证需多层次的,一般的安全层次认证简单快捷,高层次需提供较多有效凭证方可使用。网络模型要做到有效的内外分离,对外网要设置多层安全防范,不能以单一的防火墙形式存在,应具有动态更新、行为分析、危害恢复等功能。对内网必须将权限分割,无单一权限,在很多核心内容上应采用多人协同开启权限功能,防止某一个体权限过大造成过多损失等。客户端应该附加对客户端安全的监察,如发现客户端存在隐患则尽到提醒义务,保护客户信息安全。
三、结束语
安全建设的研究一定要考虑到多方面,找到多种技术和管理方法,而不能只局限到某一种策略。单一的安全技术和产品已满足不了行业用户保障网络安全的需求,防火墙、隔离卡、防病毒技术、信息加密技术、入侵检测技术、安全评估技术、等级管理体系、安全认证技术、漏洞扫描等相互配合,构成网络安全整体解决方案,并能在稳定性及协同性整体配合上加强。信息的安全建设如今不仅仅只是技术的问题,更需要管理与技术相融合而发挥作用的一项系统工程。当然,不断完善的规章制度、科学系统的管理以及高素质、高执行力的团队也是安全建设所必不可少的。
2.电子商务安全浅析 篇二
1 防火墙的关键技术
防火墙是利用了IP封包过滤技术, 被放置在Internet与被保护的网络两者之间的屏障。它可以对过往的信息与数据进行不安全因素监测与分析, 对不良数据与恶意信息进行过滤, 对各种病毒与木马入侵进行拦截;防止网络信息被攻击和篡改。一般的防火墙系统主要包括Telnet、Email、WWW、FTP等代理服务器, 以及用户登录、加密、审计、过滤路由、身份审核与验证、堡垒主机等基本功能模块组成。各个服务器与各个功能模块分工明确, 经过有效的配合, 能够实现共同抵御不安全网络攻击行为的目标。
防火墙具有很多功能, 主要体现在: (1) 防火墙可以将网络内部的信息屏蔽起来, 避免外界干扰和攻击。 (2) 防火墙可以监测、审计和分析进入和流出网络的数据信息, 对恶意信息进行筛选。 (3) 壁垒主机功能模块可以有效阻断外部入侵。 (4) 防火墙可以阻止所有可疑的对网络的访问, 拦截所有携带病毒攻击的报文, 并且可以预防这些病毒与木马的传播和扩散。但是, 具有了这些功能网络也并不是绝对安全的, 实践证明防火墙体系还存在许多漏洞, 诸如尽管防火墙可以记录一切网络访问的活动, 但是却也为黑客提供了入侵的端口, 也有些黑客也能够绕过防火墙而进入网络, 这些漏洞需要我们认真对待, 及时完善防火墙技术。
1.1 包过滤技术
包过滤技术是防火墙技术中的一种, 该技术的主要通过数据包过滤来实现的。其作用是阻塞某些主机及网络对内部网络的连接, 这种技术主要工作在网络层。它为危机四伏的网络提供着过滤路由器的技术。例如, 利用这种技术可以限制网络访问者去访问非法、色情站点等。可以通过选择系统内部的访问控制表Access Control List, 选取恰当的网络位置, 并在这个位置对数据包选择性的滤取, 满足网络传输要求的数据包被过滤出来, 并且可以通过一些网络安全协议在网络间进行有序的传输, 其余不符合网络传输要求的数据包则被过滤出来, 并最终在数据流中彻底删除, 避免危害网络安全。
数据包过滤技术也存在一定漏洞, 例如它只能通过数据包的端口号码、目的地址及协议类型等对数据包进行分析和判断, 是只工作在网络层的过滤技术。这就决定了该技术不能对网络应用层的数据进行筛选和分析, 对于应用层内的不良网络入侵不发挥功效。
1.2 代理 (Proxy) 技术
代理 (Proxy) 技术是完全不同于数据包过滤技术的应用网关技术——Application Gateway。它主要拦截一切信息流, 工作在网络层, 不同的应用配有不同的程序实现防护功能。代理技术以状态性为主要特征, 目标是在网络应用层实现不安全访问的防范。代理技术能够展现与应用和传输相关联的所有信息与数据的状态, 并且能够规范管理甚至及时处理这些传输应用信息。
代理是内外网间的网关, 是工作在网络应用层上的特殊服务, 且网络应用服务与应用代理具有一对一的关系。这让通信的网络服务器与客户之间不会进行直接的联系, 而是通过代理进行转接与中继。代理服务器主要分为服务器代理和客户代理两大分支, 前者负责完成与服务器间的通讯, 后者负责完成与客户的对接通讯。随之而来的是代理服务器与服务器方面以及地理服务器和客户方面的两大类连接, 这些连接都需要代理技术来进行维持。对服务器方面而言, 代理是客户端, 负责访问服务。对客户方面, 代理是服务器, 负责目的服务器与客户的对接。
1.3 状态检测技术
状态检测技术是采用对网络通信各层的数据传输进行检测的手段, 是利用检测模块对动态数据包过滤技术的完善。状态检测技术可以提取一些数据的状态信息, 并能够将这些信息进行动态保存, 目的是方便以后做出安全决策。这种技术本质上讲采用的还是以会话为基本原色的一种连接检测机制, 将属于同一连接性质的数据包同一成一个数据流整体后形成连接状态表。通过这些表的相互协作达成对表中各个连接元素的分析和甄别, 为提高传输效率可随意排列这些表中的记录。用户的访问到达网关以前, 检测设备要对数据进行分析和提取, 根据网络协议与传输要素, 对这些用户数据进行分析、鉴定、识别和过滤。这样, 提高了网络的安全级别。
如果有的访问不符合安全规范, 或者有的数据不符合传输协议, 防火墙中的安全警报器就会及时提醒系统拒绝这些访问, 及时地记录这些活动, 以备查询分析。状态检测技术还能根据更高层网络安全协议对数据会话状态与上下报文进行监测, 能够及时并准确地对规则进行过滤性的调整以适应协议需求, 保障网络安全。
2 入侵检测技术
入侵检测技术主要是为识别并处理对恶意使用计算机和网络资源的活动提供的一种检测技术, 它主要囊括了内部用户的非法活动和外部用户的恶意入侵。入侵检测技术是利用主机系统与计算机网络里对网络内部的关键信息实施识别、分析和采集。然后将识别出来的合法用户资源滥用以及非法用户入侵的恶意行为进行记录, 必要时作出响应。这种技术实现了主动预防, 比传统的安全防范技术多了响应和检测步骤。传统的技术防范是对不安全行为事后报警, 入侵检测技术已经进化到可以事前提醒, 及时处理不安全活动。这种技术对于网络攻击的非法行为也提供了准确的记录和有力的证据。可见, 入侵检测技术已经逐步在发展和完善。入侵检测系统主要包含了响应单元、事件分析器和产生器、报警器等四个主要组件。各个组件只有通力配合, 各尽其责, 才能达成维护网络安全的一致目标。
2.1 事件产生器 (Event Generators)
Event Generators——事件产生器, 是入侵检测系统的一个组件, 事件产生器可以对网络访问日志、数据流等进行监测与追踪, 对原始信息例如用户活动、数据、网络等等信息进行采集, 并将采集到的所有信息以事件的形式供应给系统的其它部分。需要注意的是, 事件产生器可以在计算机网络中, 例如不同主机、不同网段这类不同关键点进行信息的采集与收录。
2.2 事件分析器 (Event Analyzers)
Event Analyzers事件分析器, 是通过IDS的知识库中的安全规范对接收到的一切事件信息进行识别和分析, 按照库中已经有的安全规范判定访问与入侵的异常活动。IDS在接收到事件信息以后会对事件与知识库内安全策略对比, 知识库有哪些报文属于攻击性质的定义, 系统发现异常立即处理和记录。检测技术报文中是否有攻击性是最常用的定义知识库的手段。事件分析器这种处理模式也是由简单到复杂, 简单的处理即将报文数据与攻击定义进行字符串比对, 发现异常系统即刻报警提示。缺点是降低了工作效率与准确度。这样, 技术人员后续的工作就会很繁琐, 还要进行TCP重组、检查、解码、IP碎片重组、校验等工作, 增加了人力工作量。
3 防火墙与入侵检测技术的联动
入侵检测技术作为通过收集关键信息进行分析的一种主动防御的安全技术手段, 也面临着很多困难, 如:检测系统会提供很多误报信息, 大量的漏报信息也很难追踪到;检测数据的数量不断增多, 需要警报的信息也逐渐增多, 无疑加重了系统负担, 降低了系统工作效率;入侵检测技术对硬件配置要求较高;入侵检测技术无法检测诸如IPv6数据包以及未知攻击的加密数据。以上这些问题是入侵检测技术亟待解决的重要课题。防火墙与入侵检测技术的有效结合, 协调联动就可以解决上述问题, 因为入侵检测技术可以检测到防火墙检测之外的侵犯活动, 防火墙可以根据入侵检测系统检测到的不良活动及时调整防范策略, 二者的有机结合, 积极联动是保障网络安全的最有效手段。
3.1 检测器设置的位置选择分析
入侵检测器是在防火墙以外的非军事区域, 该区域是在最外端防火墙与ISP间可以看到对Internet攻击的检测设备。当遇到TCP攻击时, 过滤路由器和防火墙都能够对其进行封锁, 导致检测漏检现象出现。检测过程大多需要对字符串进行对比, 而字符传送前提是TCP三次握手。尽管防火墙外的检测器检测不到入侵, 检测位置却已经是最佳的, 对站点有能见到防火墙暴露在多少种攻击下。因为防火墙内部被攻击次数明显低于外部, 将检测器放在防火墙内部可以减少误报几率, 降低检测干扰。
3.2 IDS与防火墙的接口
开放接口和防火墙与入侵技术形成一个系统, 这样两种方式是防火墙与入侵检测技术联动的体现。前者是入侵系统或者是防火墙开放个接口按照通讯协议, 供对方使用, 完成网络传输。后者是入侵检测系统与防火墙形成一个统一的系统对流经防火墙的数据流进行实时监督与检测。
要实现入侵检测与防火墙模块的统一, 就要将入侵检测系统嵌入式分布在主机与网络边界的防火墙中。第一道防线可以是防火墙过滤模块, 第二道防线可以设置成入侵检测模块。访问与入侵的数据包要得到防火墙的检验合格, 才能继续传输。
4 结语
电子商务交易改变了市场结构的同时也提高了企业的效率, 给企业带来了无限商机, 但是不可避免的是新型电子商务交易安全和保密问题, 而如何保障其安全性和保密性, 正是新型电子商务发展应该解决的问题。电子商务交易安全离不开先进的信息安全技术和科学的信息安全管理手段, 融合防火墙和入侵检测技术的网络安全防护必将促进电子商务的发展。
摘要:在当今人们的生活中, 电子商务已成为不可或缺的元素。随着电子商务的迅速发展, 电子商务交易、支付的迅猛增加, 一些网络黑客任意截获、盗取或者恶意攻击电子商务网站, 给电子商务交易的安全造成了威胁。在预防电子商务交易中个人信息泄露, 防止信息被恶意篡改的技术探索中, 得出了防火墙与入侵检测技术的恰当结合是解决电子商务交易网络安全的有效方法之一。本文主要探讨防火墙、入侵检测技术及二者联动在电子商务交易安全中的应用。
关键词:电子商务交易,防火墙,入侵检测,信息安全
参考文献
[1]胡平, 李臻, 彭纪奎.基于入侵检测的分布式防火墙的应研究[J].微电子学与计算机, 2011, 28 (6) .
[2]郑丽生, 陈金聪.基于入侵防护系统的网络安全研究[J].软件导刊, 2011 (07) .
[3]张沛强.防火墙与入侵检测协同方案分析[J].华章, 2009 (06) .
[4]韩彬.防火墙技术在网络安全中的实际应用[J].科技资讯, 2010 (01) .
3.浅析电子商务安全问题 篇三
关键词:电子商务;安全问题
一、电子商务的概念
(一)电子商务的定义
目前,尚未有一个关于电子商务的准确定义,世界贸易组织(WTO)给电子商务下的定义为:电子商务是指以电子方式进行的商品和服务之生产、分配、市场营销、销售或交付。经济合作发展组织(OECD)认为:电子商务是指商业交易,它包括组织与个人在基于文本、声音、可视化图象等在内的数字化数据传输与处理方面的商业活动。①尽管电子商务的定义在内容上各有侧重,但是笔者认为对于电子商务的内涵,一般应至少包括下列三方面的内容:①使用电子工具,借助互联网传输信息;②在公开环境下交易;③依靠一定的技术规范和技术标准,利用数据化的信息来进行交易。
电子商务业务可以分为两大类:非支付型业务和支付型业务。前者包括税务申报、电子选举、证书发放、在线报表、安全政务等业务。后者包括各种电子银行业务、代缴代付业务、银证转账业务、银企转账业务、电子证券业务、网上购物业务等。本文主要针对支付性业务的安全问题进行阐述。
(二)电子商务的特点
与传统商务相比,电子商务具有许多特点:
(1)电子商务由于借助互联网,这就使得经济交易突破了空间的限制,可以在全球范围内进行交易。
(2)在电子商务中,电子数据的传递、编制、发送、接收都由精密的电脑程序完成,更加精确、可靠。
(3)电子商务是一种快速、便捷、高效的交易方式。在电子商务中,信息的传递通过网络完成,速度很快,可以节省宝贵的交易时间。
(4)电子商务的进行采取无纸形式,因此进行过程往往以电子数据形式储存在电子系统里。
(5)EDI系统的采用使得电子商务的交易过程可能是自动化的。
上述特点,是电子商务独有的,传统商务无法实现。因此也可以看作是电子商务与传统商务的区别。
二、电子商务的安全问题
(一)电子商务的安全性要求
安全与效率,是一切经济交易必须考虑的两个问题。电子商务,作为一种新的经济交易方式,它只是在表现形式上与传统商业不同,但是这并没有改变其商业属性,这就要求电子商务的运作必须遵循商业活动的一般规律②,否则,电子商务是无法发展的。同时,从电子商务的特点来看,买卖双方是通过网络联系的,彼此远隔千山万水而仅仅是通过网络获得彼此信息,因此建立交易双方的安全和信任关系相当困难,同时也使得的上述安全和信任关系的验证也很困难。从传统商业与电子商务的不同特点来看,要满足电子商务的安全性要求,至少要有下面几个问题需要解决:
1.交易前交易双方身份的认证问题
电子商务是建立在网络平台上的虚拟空间中的商务活动,交易的当事人可能处在不同的国家,他们并不直接见面,双方只能通过数据、符号、信号等进行判断、选择,具体的商业行为也依靠电子信号和数据的交流,交易的当事人再也无法用传统商务中的方法来保障交易的安全。
2.交易中电子合同的法律效力问题以及完整性保密性问题
在传统商事法律中,合同形式要求为书面,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。
3.交易后电子记录的证据力问题
在我国,诉讼法中并未对电子记录的证据力作出明确规定,甚至也没有将其单列出来作为证据的一种。
上述这些问题是实现电子商务安全所必须解决的问题。笔者将针对这些问题,从电子商务的法律安全问题角度进行分析。
(二)电子商务的法律安全
1.电子合同的法律效力
要保证电子商务的安全运营,法律的保障是不容忽略的。合同是商业交易的内容,随着电子商务的发展,许多国家都运用法律手段来确定电子合同的效力。美国、欧盟等有关电子商务的法律文件都对电子合同进行了规范,我国《合同法》③也顺应时代发展的潮流,对电子合同这种新型合同形式也作了一些简单的规定。电子合同的形式及法律效力我国《合同法》第十条规定:当事人订立合同,有书面形式、口头形式和其他形式。第十一条规定:书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。这说明我国已经承认了电子合同的法律效力,并规定电子合同形式为书面形式。这种规定虽很简单,但对于我国电子商务的发展却是意义深远。同时,联合国国际贸易法委员会在96年12月通过的《电子商业示范法》第6条中写明:“如果法律要求信息须采用书面形式,则假若一项数据电文所包含信息可以调取以备日后查用,即满足了该项要求。”并且在第11条中规定:“就合同的订立而言,除非当事各方另有协议,一项要约以及对要约的承诺均可通过数据电文的手段表示。如使用了一项数据电文来订立合同,则不得仅仅以使用了数据电文为理由而否定该合同的有效性或可执行性。”④美国的《统一电子交易法》中也有类似的规定。以上这些法律文件实际上已经承认了电子合同,并且赋予其与传统合同形式相同的法律效力。
2.电子签名的法律效力
在电子合同中,合同的完整性和保密性主要是通过电子签名来实现的。很多国家在法律上都承认了电子签名的效力。美国的《统一电子交易法》中规定:①一个记录或签名的效力或可执行性不得仅因其为电子形式而被否认;②一个合同的效力或可执行性不得仅因合同的成立中用了电子记录而被否认;③如果某一法律要求记录为书面形式,则电子记录即满足了该法的要求;④如果某一法律要求有签名,则电子签名即满足了该法律的要求。⑤上述规定从法律上承认了电子签名的效力,有利于加强电子商务的安全和促进电子商务的发展。
3.电子记录的证据力问题
与传统合同不同,电子合同的证据是电子化的,容易被伪造和篡改,而且很难发现改动的痕迹。因此,电子合同的证据力在传统证据规则中,是受到限制的。针对这个情况,联合国国际贸易法委员会在《电子商业示范法》第9条中规定:对于以数据电文为形式的信息,应给予应有的证据力。在评估一项数据电文的证据力时,应考虑到生成、储存或传递该数据电文的办法的可靠性,保持信息完整性的办法的可靠性,用以鉴别发端人的办法,以及任何其他相关因素。⑥这一规定既考虑到了电子记录自身的特点,又赋予了其应有的证据力,是对传统证据规则的突破,有利于电子商务的安全运营。
三、加强我国电子商务安全的思考
为了保障电子商务的安全性,目前,一些国际组织已先后制订了一些规定,但是,商家的商业信誉远远不够,在电子商务的环境中,人们对安全性更是普遍存有疑虑。这些已经成为阻碍我国电子商务发展的一个重要因素。如何保障我国的电子商务安全运营,已经成为关系到我国未来经济发展的一个重要问题。对此,笔者认为应努力做到以下几点:
(一)对电子商务进行专门立法
电子商务是一个新生事物,很多方面不同于传统商务,与传统的法律规范体系也存在着诸多的不相容之处,而且,传统的法律规范体系中还有许多电子商务方面的空白。这一情况已经在实践中引起了不少的问题。我国的电子商务是近年才发展起来的,目前规范电子商务的相关的法律法规极为有限。在法律的层次上,只有1997年《中华人民共和国刑法》和1999年《中华人民共和国合同法》对相关问题作了简单规定。例如,我国1997年修订的《刑法》中增加了关于计算机犯罪的条文,1999年通过的《合同法》对电子合同的书面形式、生效时间地点等作了规定。但是,这种规定太过简单,远远不能满足电子商务发展的需要。例如,对于电子认证的效力、虚假电子认证等重要的问题,我国法律还没有规定,这已经成为阻碍我国电子商务发展的重要问题。因此,我国应大力加强电子商务法制化建设,制订专门的《电子商务法》,对电子商务当事人的权利义务、电子合同法律关系、电子签名、电子认证、网上知识产权的保护、电子支付等问题进行专门规定,使之适应电子商务发展的需要。在刑法中,对电子商务领域的犯罪进行规定。从而在法律上,为电子商务提供一个良好的发展环境。
(二)建设我国的电子商务认证机构体系
电子商务认证机构是电子商务中的重要部门,其担负着维护电子交易安全的责任。因此,要完善我国的电子商务安全运营,必须建立我国的电子商务认证体系。在目前存在的三种电子商务认证机构模式中,由于我国电子商务刚刚发展起来,不完善的地方很多,很多普通的消费者对电子商务还不很了解,而且在交易双方的力量对比悬殊的情况下,弱势一方很难通过谈判来取得公平的结果,因此当事人自由约定的电子商务认证体系不适合我国的实际情况。至于政府主导的电子商务认证体系,虽然政府可以对认证中的许多问题作出详细规定,并且认证结果通用性强。但是,这种方式行政色彩过浓,不利于电子商务按照商业规律自主发展。因此,目前来看,行业协会主导的电子商务认证体系是更适合我国国情的一种选择。行业协会更了解认证机构的运作,更能有效的对其进行监管。这种认证体系,把电子商务的商业发展的自主性、安全性要求与认证机构的行业特点有效地结合起来。同时,应当规定作为认证机构的指导机构,认证机构行业协会有权对认证的效力进行规定,并且有权规定认证机构的行业准则,对各个认证机构的业务活动进行监管,对违反行业规则的行为进行制裁和处罚。
但另一方面,我国的电子商务认证系统还远不成熟,仍有许多需要完善的地方。我们必须对此给予充分的重视,以便为电子商务的安全发展提供组织保障。
(三)从技术上为电子商务提供安全保障
大力推进加密技术、认证技术等技术的发展,从技术上为电子商务提供安全保障,电子商务的产生、发展是科技发展的结果,其安全运营也要依靠技术给予的保障。因此,为加强电子商务的安全性,我们必须大力推进科技的发展,使技术满足电子商务的安全运营要求。
(四)加强国际合作,与国际接轨
电子商务的一个特点就是无国界,可以全球交易。适应这一特点,我们必须加强国际合作。在立法上,我们必须考虑到国内法律、国际条约与行业惯例,使我们将来的《电子商务法》适应国际贸易发展的需要。在技术上,我们也要加强国际合作,共同推进电子商务的发展。另外,我们还要积极地参加有关的国际会议,了解电子商务发展的最新国际动态,努力与国际接轨。同时,我们也要通过国际合作,来积极维护我们的国家利益。
四、结语
电子商务出现于20世纪90年代,发展的时间并不长,但与传统商务相比,电子商务具有惊人的发展速度。我国的电子商务近年来发展也很快,但是有关的安全保障还未建立起来。这已经成为影响我国电子商务发展的一个障碍。
为此,我们必须加快建设有关的电子商务安全系统。这将是一个综合性的、涉及全社会的系统工程。惟有如此,我们才能顺应时代潮流,推动我国经济的发展;也惟有如此,我们才能在经济全球化的今天,参与到国际竞争中去,并进而赢得竞争的优势。
注释:
①周忠海.《电子商务法导论》.北京邮电大学出版社,P3
②蒋坡.《电子商务法律制度的内核》.《法学》.2000年第12期,P31
③指1999年《中华人民共和国合同法》
④阚凯力,张楚.《外国电子商务法》.北京邮电大学出版社,P266-268
⑤阚凯力,张楚.《外国电子商务法》.北京邮电大学出版社,P19
⑥阚凯力,张楚.《外国电子商务法》.北京邮电大学出版社,P267
参考文献:
[1]高媛,欧阳志明,石晓军.《电子商务》.企业管理出版社,1999年
[2]包晓闻,张海堂.《电子商务-21世纪,世界商务发展的潮流》.经济科学出版社,1999年
[3]蒋建平,杨毅.《电子合同的效力问题》.《律师世界》,1999年第11期
作者简介:
4.移动电子商务定义浅析论文 篇四
来源:作者:日期:09-12-04
摘 要:移动电子商务,是通过手机、PDA(个人数字助理)、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。文章介绍我国移动电子商务的发展现状、移动电子商务的技术及应用,分析我国移动电子商务存在的问题并提出相应的对策.指出弄多动电子商务的发展趋势。
关键词:移动电子商务;无线通信设备;因特网
一、移动电子商务的定义
所谓移动电子商务,是通过手机、PDA(个人数字助理)、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动通信技术和其他技术的完美组合创造了移动电子商务,但真正推动市场发展的却是服务。移动电子商务能提供以下服务:PIM(个人信息服务)、银行业务、交易、购物、基于位置的服务、娱乐等。
二、我国移动电子商务的发展现状
我国移动电话发展史大致经历了三个阶段:第一阶段(1987~1993年)为起步阶段,主要是满足用户急需;第二阶段(1994~1995年上半年)为发展阶段,我国90MHz模拟蜂窝移动电话成为世界上联网区最大、覆盖面最广的一个移动电话网;第三阶段(1995年下半年至今)为迅速提高阶段。我国引进世界上技术先进的GSM数字移动电话系统,它标志着我国移动通信由单一的模拟制进入模拟数字并存时代,可以称得上是一步到位、后来居上。我国移动互联网发展势头迅猛,目前移动电子商务在我国已经开始有实际应用。中国移动通信集团公司在北京、天津、广州、杭州、深圳等六大城市同时推出“全球通"WAP(无线互联)商用试验网,WAP手机用户可在这六大城市中使用漫游业务。上海移动通信公司还同步推出了WAP门户站点,并成功地为梅林正广和华印科技等电子商务企业建立了移动电子商务系统。电商网、ToeCom.com.cn、搜狐、阿里巴巴等都已经或准备推出移动电子商务服
务,中国的搜狐和诺基亚公司宣布联手推出无线互联网服务。
虽然我国有30个已经开通的WAP业务的网站,但用户申请WAP业务的不足1000人,所
以从目前看,我国WAP业务还处在初级阶段。
三、移动电子商务的技术(协议)和应用
实现移动电子商务技术因特网、移动通信技术和其他技术的完美结合创造了移动电子商务,实现移动电子商务的技术(协议)有:无线应用协议(WAP)、通用分组无线业务(GPRS)、移动IP技术、“蓝牙”(Blue tooth)技术、移动定位系统技术、第三代(3G)移动通信系统。
移动电子商务业务为用户提供了操作上的便利,对金融机构、商业机构来说,也降低了成本,提高了效率。它免除了现金交易带来的短款、假币、保管、携带等风险和烦恼,同时加快收款速度。不仅如此,由于在刷卡交易过程中,由银行验证银行卡持有人的有效身份和交易真实性,交易完成即时打印收款凭证,也保证了商户在交易上的安全性。有特色的移动
电子商务应用主要有:无线CRM、移动订票、移动博彩、移动股市、手机银行等。
四、我国移动电子商务存在的问题与对策
(一)无线信道资源短缺、质量较差
与有线相比,对无线频谱和功率的限制使其带宽较小,带宽成本较高,同时分组交换的发展使得信道变为共享;时延较大;连接可靠性较低,超出覆盖区域时,服务则拒绝接入。所以服务提供商应优化网络带宽的使用,同时增加网络容量,以提供更加可靠的服务。
(二)移动网络的易用性和功能性需要改进
分辨率较高的显示屏以及具有条形码阅读功能会使移动设备增加用户的友善性,但是狭小的显示屏和烦琐的数据输入方法依然是限制移动因特网易用性和功能性的主要障碍。预计
在近期数据输入方式和屏幕尺寸不可能有较大的改善。
(三)安全性是影响移动电子商务发展的关键
相对于传统的电子商务模式,移动电子商务的安全性更加薄弱。如何保护用户的合法信息(账户、密码等)不受侵犯,是一项迫切需要解决的问题。除此之外,目前我国还应解决好电子支付系统、商品配送系统等安全问题。可以采取的方法是吸收传统电子商务的安全防范措施,并根据移动电子商务的特点,开发轻便高效的安全协议,如面向应用层的加密(如电
子签名)和简化的IPSEC协议等。
(四)资费问题
结束了移动上网的“免费午餐”,中国移动通信集团公司宣布,使用WAP服务的手机开始收费。但目前所定的价格仍然属于政策性的优惠价格。如果资费问题能够得到解决,中国
移动市场将有一个显著的变化。
(五)面向用户的业务还需改善和加强
就目前的应用情况来看,移动电子商务的应用更多地集中于获取信息、订票、炒股等个
人应用,缺乏更多、更具吸引力的应用,这无疑将制约移动电子商务的发展。
(六)改进移动终端的设记
为了能够吸引更多的人从事移动电子商务活动,必须提供方便可靠和具备多种功能的移
动设备。
(七)语音网络导航系统仍在研究中
语音看起来是移动通信设备的最自然的接口,语音网络导航系统的研制对移动电子商务的发展起着非常重要的作用。不过采用语音方式接入互联网这一研究工作在近期内不会获得
突破性进展,更不会出现商用。
尽管移动电子商务在中国已经取得了一定的发展,但是由于现阶段移动通信运营商、银行、商户和移动电子商务服务使用者自身条件等诸多方面的限制,WAP无可替代的特性还未凸现出来,中国的移动电子商务仍旧处于起步阶段,很多应用还处于试点阶段,未得到广泛的推广和应用。不过,我们应该看到移动电子商务已经显示出了强大的发展势头,我们有理
由相信我国移动电子商务的发展必将有一个美好的前景。
六、移动电子商务的发展趋势
从全球著名的市场调查公司美国Frost & Sul-livan的报告显示,未来的移动电子商务市场将主要集中在以下几个不同领域:自动支付系统,包括自动售货机、停车场计时器、自动售票机等;半自动支付系统,包括商店的收银柜机、出租车计费器等;移动互联网接入支付系统,包括商业的WAP站点等;手机代替信用卡类支付以及私人之间账务结算。在以上这些支付形式当中,其中通过手机一互联网这种支付形式的占整个移动电子商务的39%,私人之间的P2P支付占34%。Frost &Sullivan的调查报告还称,由于当前的移动电子商务已初具规模,对于网络运营商、银行、信用卡结算单位、相关设备开发商来说,未来移动电子商务市场的前景颇为广阔。最近IDC的专家对移动电子商务今后发展的前景进行了预测,并
总结了十 个关键的发展趋势:(一)移动互联网的商业炒作将达到顶峰
移动运营商和通信设备制造商将围绕着移动互联网进行大肆宣传,因为它们已经在数据通信设备和运营许可证上投入了巨额资金。这些公司将倾尽全力唤醒用户的意识,并且使他们接纳这一通信方式。IDC预测在2003年全球将有超过1O亿部的手机具有互联网接入功能,当然这些手机并不会全部用于Web冲浪。
(二)企业应用将成为移动电子商务领域的中心和热点
无线客户关系管理(CRM)、销售管理和其他企业应用将使得企业用户不论在收入和办公效率方面都获益匪浅。因此,移动商务企业应用将成为今年运营商宣传的重头戏,而消费者
应用将转入幕后。
(三)消费者使用移动设备主要是获取信息而不是进行事务处理和交易
对消费者来说,他们主要使用手机获取信息如电子邮件、股票行情、天气、旅行路线和航班信息等。不过尽管这些服务并不代表直接的商业机会,但是在电子商务的引导下,这些
业务有助于构建客户关系,并且创造间接商业机会。
(四)移动电话中将集成嵌入条形码阅读器。为移动商务带来新鲜的风气
预计具备嵌入条形码阅读器的手机今年就能供货。这新功能将在传统商业和网络商业之
间架起桥梁,嵌入条形码阅读器能解决数据输入的问题,而这是移动电子商务迈上了一个新的台阶。IDC预计该功能对于那些移动商务专业人士特别有用。
(五)智能手持设备的显示屏将有所改善,但是表格输入和原始数据收入依然成问题 分辨率较高的显示屏以及具有条形码阅读功能会使移动设备增加用户的友善性,但是别期望有奇迹发生。狭小的显示屏和烦琐的数据收入方法依然是限制移动因特网易用性和功能性的主
要障碍。IDC预测在近期数据输入方式和屏幕尺寸不可能有较大的改善。
(六)移动安全性将成为一个热点问题
随着人们开始逐渐接受采用移动设备接入互联网,同时也开始日益关注类似于PC机的安全性问题。当采用移动通信设备进行数据共享以及移动设备功能的不断增加,这种安全性顾虑更加突出。尽管目前全球使用的具有数据传输能力的移动设备达到了数百万之众,但是
这些设备几乎没有什么安全机制。
(七)语音网络导航仍在研究之中
由于语音看起来是移动通信设备的最自然的接口,不过采用语音方式接入互联网这一研
究工作在近期内不会获得突破性进展,更不会出现商用。
(八)移动通信设备将多种功能集于一身,但依然将继续保持多种设备共存的局面虽然今后的通信设备集成了越来越多的功能,但是不会出现某种设备一统天下的格局。PDA厂商会将电话功能加入到他们的设备中,使PDA越来越像移动电话,而移动电话厂商则努力使得他们的设备更像PDA,然而这样做不但会增加设备的体积、重量,增加设备的成本,大多数人不会接受这种设备。
(九)无线通信设备上的广告将继续增加
无线广告逐渐成为一种时尚。虽然它不会成为运营商的重要收入来源,但是它为广告客
户提供了一个新的宣传媒介。
(十)移动通信运营商必须改变它们的业务销售策略
直到现在,运营商将其业务销售对象定位于消费者,但是这一策略即将发生改变。随着大批商业应用服务投入运营,可以预见移动通信运营商会将其业务的销售对象从终端消费者转向企业用户,而那些能成功实现这一策略转变的运营商不但可以赢得市场份额而且可以提
高收入。
5.电子商务安全论文 篇五
电子商务安全策略是对企业的核心资产进行全面系统的保护,不断的`更新企业系统的安全防护,找出企业系统的潜在威胁和漏洞,识别,控制,消除存在安全风险的活动。
电子商务安全是相对的,不是绝对的,不能认为存在永远不被攻破的系统,当然无论是何种模式的电子商务网站都要考虑到为了系统安全所要付出的代价和消耗的成本。
作为一个安全系统的使用者,必须应该综合考虑各方因素合理使用电子商务安全策略技术,作为系统的研发设计者,也必须在设计的同时考虑到成本与代价的因素。
在这个网络攻防此消彼长的时代,更应该根据安全问题的不断出现来检查,评估和调整相应的安全策略,采用适合当前的技术手段,来达到提升整体安全的目的。
电子商务所带来的巨大商机背后同样隐藏着日益严重的电子商务安全问题,不仅为企业机构带来了巨大的经济损失,更使社会经济的安全受到威胁。
1电子商务面临的安全威胁
在电子商务运作的大环境中,时时刻刻面临着安全威胁,这不仅仅设计技术问题,更重要的是管理上的漏洞,而且与人们的行为模式有着密不可分的联系。
电子商务面临的安全威胁可以分为以下几类:
1.1信息内容被截取窃取
这一类的威胁发生主要由于信息传递过程中加密措施或安全级别不够,或者通过对互联网,电话网中信息流量和流向等参数的分析来窃取有用信息。
1.2中途篡改信息
主要破坏信息的完整性,通过更改、删除、插入等手段对网络传输的信息进行中途篡改,并将篡改后的虚假信息发往接受端。
1.3身份假冒
建立与销售者服务器名称相似的假冒服务器、冒充销售者、建立虚假订单进行交易。
1.4交易抵赖
比如商家对卖出的商品因价格原因不承认原有交易,购买者因签订了订单却事后否认。
1.5同行业者恶意竞争
同行业者利用购买者名义进行商品交易,暗中了解买卖流程、库存状况、物流状况。
1.6电子商务系统安全性被破坏
不法分子利用非法手段进入系统,改变用户信息、销毁订单信息、生成虚假信息等。
2电子商务安全策略原则
电子商务安全策略是在现有情况,实现投入的成本与效率之间的平衡,减少电子商务安全所面临的威胁。
6.电子商务安全问题 篇六
[摘要]网络信息技术的发展加快了计算机电子商务发展速度,并且受到个人和企业甚至是国家的广泛关注,由于计算机电子商务立足于网络技术,所以计算机电子商务具有一定的资源共享性和开放性,这为使用者带来方便的同时,却给电商活动的安全带来一定困扰。基于此类现象,本文以新时期计算机电子商务的安全方法为研究课题,系统的进行阐述和研究。
关键词:新时期;安全方法;计算机电子商务
计算机电子商务的发展年限较短,但是覆盖范围较为广泛,目前各个行业领域或多或少都有计算机电子商务的应用,因此计算机电子商务的安全方法也是各行各业重点关心的热点话题。基于电子商务安全的重要性,在世界各国纷纷颁布电子商务的管理政策后,中国也对计算机电子商务引起了高度的重视,并且在综合考虑计算机电子商务的安全隐患后,制定相应的政策以此规范计算机电子商务的应用。
一、新时期计算机电子商务面临的安全问题
(1)网络环境的基础设施保障性能低。我国电子商务的发展时间较短,因此在计算机电子商务的基础设施和安全意识上还存在一定的缺陷。随着各个行业领域的发展,以及各行业内部网站的不断建设,计算机电子商务频频爆发安全问题,从而阻碍了电商活动的正常发展,造成电商活动经营者的恐慌。并且一些网络病毒对网络系统的破坏,造成企业用户信息的丢失和窃取。对时下的计算机电子商务安全问题单单采用行业内部的杀毒软件,并不能达到根治的效果。
(2)计算机电子商务信息存储性能低。因为计算机电子商务信息的存储方式都是静态方式,导致很多网络黑客用户对存储资源的篡改和查看,造成企业内部网络信息数据保密性和安全性的丢失,致使计算机电子商务人员难以在安全的网络环境下进行重要信息的存储。
(3)计算机电子商务的网络环境缺乏规范性。电子商务的发展对传统的产品交易模式产生了巨大的冲击,时至今日,一些实体店因为淘宝、天猫这些购物网络的发展,客户流失量日益增高,使得店铺的经营无法得以有效的维持。虽然计算机电子商务活动得到有效的发展,但是计算机电子商务安全性问题仍然没有得到一个科学规范化管理,安全问题仍影响着现今的电商活动的发展。
二、新时期计算机电子商务安全方法策略
(1)完善电子支付的法律制度,加强政府监管。电子支付的安全性是现在电商活动经营人员最为关注的安全问题,因为电子支付涉及到收款人、付款人和银行这三个方面的隐私信息,因此需要对三者的法律关系进行明确的规范,从而制定相应的法律政策,为电子支付的安全性提供可靠的法律保障。
新时期的背景下,随着计算机电子商务的发展,人们对电子商务的安全性也提出了更高的要求,要提升计算机电子商务安全性,政府就要发挥其应有的监管职能,对计算机电子商务交易安全进行监督和管理,从而保证用户交易的`安全。
7.浅析移动电子商务交易安全性研究 篇七
移动电子商务(M-commerce)是指通过手机、传呼机、掌上电脑、笔记本电脑等移动通讯设备与无线上网技术结合所构成的一个电子商务体系。它能够不受时间和空间的约束展开商务活动,已经为越来越多的企业所接受。移动电子商务的模式目前主要有两种:SMS模式和WAP模式。SMS模式(hort Message Service)短消息模式;WAP模式(ireless Application Protocol无线应用协议)在数字移动电话、因特网及其他个人数字助理(DA)计算机应用之间进行通信的开放式全球标准,它是开展移动电子商务应用的核心技术之一。但由于移动电子商务采用的是无线信道,同时计算机通讯网络系统结构原有存在的不安全因素,使得交易过程中存在大量的安全隐患。
1 存在问题
移动电子商务交易过程中主要面临着三个方面的威胁:无线链路威胁、拒绝服务和交易抵赖。
(1)无线链路威胁。由于无线网络具有开放性特点以及短消息等数据一般都是明文传输,这使得通过无线空中接口进行窃听成为可能。在无线通信网络中,所有网络通信内容(如通话信息、身份信息、位置信息、数据信息等)都是通过无线信道传送的,而无线信道是一个开放性信道,任何具有适当无线终端设备的人均可以通过窃听无线信道而获得上述信息。因而无线窃听相对来说比较容易,只需要适当的无线接收设备即可,而且很难被发现。同时由于通讯过程中,信息需要通过基站之间以及基站和移动服务交换中间来传递,信息在转换过程中容易导致用户身份、位置的泄露。
(2)交易抵赖。指交易双方对交易的内容包括合同、单据等在事后都能进行有效的确认。进行交易的双方都要能够在事后确认进行过的交易,即对交易本身及交易合同、契约、或交易的单据等文件的抗抵赖性。
(3)假冒攻击。利用无线网络信号的漫游性,攻击者可以利用无线接收设备对信息进行截取和窃听,当攻击者截获到一个合法用户的身份信息时,他就可以利用这个身份信息来假冒该合法用户,这就是所谓的身份假冒攻击。
(4)拒绝服务。入侵者通过物理层或协议层干扰用户数据、信令数据或控制数据在网络中的正常传输,来实现网络中的拒绝服务攻击,还可以通过假冒某一网络单元阻止合法用户的业务数据、信令信息或控制数据,从而使合法用户无法接受正常的网络服务。如:攻击者可以通过删除某一网络上传送的所有数据包的方法,使网络拒绝为用户服务;还可以通过邮件炸弹的方法使系统性能降低或崩溃,从而达到拒绝服务的目的。
2 解决方案
2.1 WEP协议
在无线局域网环境中可以考虑采用WEP协议(Wired Equivalent Privacy,有线对等安全协议)。对数据层数据在传输过程中采用WEP进行数据加密,保证通信信道上数据传输的安全。同时,由网络管理员对每个授权用户分配一个基于WEP算法的密钥,能够有效的防止非授权用户的访问。但由于早期WEP仅能提供40位长度的加密,及其容易破解和攻击。现在的WEP有效密钥长度为104位,仍然不能有效实现网络攻击。因此,采用WEP协议仍然不能保证移动电子商务的安全交易。
2.2 WAP协议框架
考虑到上述的安全性问题及威胁,可以采用WAP体系框架来改进数据传输和交易过程中的安全性。通过建立一个具有WAP网关的Web服务器来解决端到端的问题。因为数据在移动终端与WAP服务器之间采用WTLS(Wireless Transport Layer Security)加密,数据通道上不存在协议转换,而WAP网关作为最终服务器的一部分,就不再是整个过程的一个环节。数据解密出来直接提交给服务器操作,实现了端到端的安全。若采用WAP服务器方式,用户必须重新配置WAP移动终端设备,建立与之相应的WAP会话,但存在配置费用过高的问题,以及在WAP会话的通讯的过程中,存在明文通讯,这种通讯容易别攻击者获取和利用。可以考虑在通讯传输的过程中,进行一定的加密,现在用的最多的是椭圆加密ECC,主要考虑的因素是该加密过程中密钥长度为163位,加密能力和程度可以达到RSA加密密钥1024位的加密程度(如图1)。
2.3 加密和认证手段
(1)加密技术
现在有许多加密解决方案可降低数据在无线网络上传输时遭到拦截的风险。由于GSM和GPRS网络采用的加密技术存在许多弱点,所以采用更可靠的加密解决方案是必要的。这些解决方案虽然运行在无线网络运营商提供的现有系统之上,但可以由公司控制并使用经过验证的标准化协议,提供的选项包括IPSec、WTLS和TPKDP。
(2)MEIP安全协议
采用移动电子商务交互协议(Mobile E-Commerce Interact Protocol,EIP)。该协议从源头解决了数据重传问题,它采用端连接的方式,及时攻击者截获了数据包,也没有办法加以利用来获取用户信息。此外该协议能够实现用户身份验证,防止用户误操作。
(3)授权
授权解决方案用来管理和集成用户接入控制及授权信息,在必要时也可对用户接入加以限制。授权包括两种方式,即基于功能的授权(根据能使用订购信息接入的资源对每位用户进行授权)和基于接入控制表ACL的授权(定义用户可以接入的资源)。简单的授权检查可在无线环境中的各种位置完成。
(4)WPKI技术
可通过部署无线公共密钥基础设施(WPKI-Wireless Public Key Infrastructure)技术来实现数据传输路径真正的端到端的安全性、安全的用户鉴权及可信交易。WPKI使用公共密钥加密及开放标准技术来构建可信的安全性架构,该架构可促使公共无线网络上的交易和安全通信鉴权。可信的PKI不仅能够安全鉴权用户、保护数据在传输中的完整性和保密性,而且能够帮助企业实施非复制功能,使得交易参与各方无法抵赖。
3 结论
考虑到WAP存在的缺陷,在相应的认证中心签发数字签名和数字证书的过程前,考虑加入相应的加密过程,保证用户信息的惟一性。此外,利用相应的授权和WPKI技术来进一步保证移动电子商务交易过程的安全性。
摘要:系统采用3G网络来改进TCP/IP网络体系的安全,同时采用WAP协议框架中的安全传输协议、安全网关和安全层次以及加强数据传输过程中的加密和认证算法,来改进移动电子商务交易过程的安全性。
关键词:移动电子商务,WAP,加密,认证
参考文献
[1]王德仲,孙秀平.移动电子商务发展初具规模[J].通信世界.2007.
[2]施庆平.移动电子商务中的信息交换安全性分析[J].场现代化.2009.
[3]代文锋,王玉珍.我国移动电子商务现状与问题研究[J].办公自动化.2008.
[4]李必云,石俊萍.基于WPKI的移动电子商务研究[J].计算机与现代化.2010.
[5]李思辉,陈桦.移动电子商务模式下安全问题的研究[J].商场现代化.2008.
[6]吴章.WAP协议的安全策略在移动电子商务中的应用[J].现代商业.2010.
[7]范荣真.基于WAP2.0的移动安全支付协议[J].技术研究.2010.
[8]孙雁飞,张顺颐,陆青莲等.一种基于数据安全保证的移动电子商务系统[J].电信快报.2008.
8.浅析电子政务信息安全 篇八
近年来,政府电子政务安全体系建设受到各级政府的高度重视。在各类电子政务系统建设中,安全无不被提高到战略高度对待。政府部门或从技术手段出发,采用各类信息安全技术来保障电子政务安全,或是辅之以信息安全的制度保障,从技术加管理的角度来落实安全措施。
一、电子政务安全需求
电子政务是由政务内网、政务外网和互联网三级网络构成的,政务内网为政府部门内部的关键业务管理系统和核心数据应用系统,政务外网为政府部门内部以及部门之间的各类非公开应用系统,所涉及的信息应在政务外网上传输,与互联网相联的网络。电子政务所涵盖的信息系统是政府机构用于执行政府职能的信息系统。政府机构从事的行业性质跟国家紧密联系,所涉及的众多信息都带有保密性,所以信息安全问题尤其重要。
电子政务安全主要表现在技术层面的安全机制和社会人文环境、道德伦理方面的保障体系。在电子政务实践中人们的安全需求主要有三点:一是扫除信息网络安全隐患;二是打击违法犯罪活动;三是保障国家信息领域。
二、加强电子政务信息安全管理对策
电子政务网络安全是指信息安全和系统安全两部分。信息安全包括“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。系统安全包括物理安全与传输安全、操作系统安全、网络结构安全、信息传递过程安全、身份鉴别与访问控制、标准时间源、病毒保护、数据备份与容灾等几个方面,其中操作系统安全、网络结构安全和信息传递过程安全成为重点。加强电子政务信息安全管理对策如下:
1使用网页防篡改系统构建安全网站。
针对政府机关Web安全性的要求,可选用网页防篡改系统来构建安全网站。网页防篡改系统实时监控Web站点,当Web站点上的文件受到破坏时,能迅速恢复被破坏的文件,并及时提交报告给系统管理员,从而保护政务网每个Web站点的数据安全。做好服务器的安全策略配置,及时升级补丁程序;正确配置防火墙、入侵检测设备策略,通过以防火墙为政府网站的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上,对网络存取和访问进行监控审计。既注重外部防范。又要加强内部管理,在政务内网与外网之间采用物理方式隔离,政务外网与互联网之间采用逻辑方式隔离。
2使用漏洞扫描系统弥补缺陷。
目前,我国的信息安全形势严峻,被列入防护能力最低的国家之一。所有的政务应用和安全措施都依赖操作系统提供支持,操作系统的漏洞或配置不当将有可能导致整个安全体系的崩溃。在电子政务设计建设中,使用具有自主知识产权且代码对政府公开的产品是信息安全的根本,但由于我国没有掌握CPU等核心技术,未能建立独立自主的信息安全产业,在操作系统安全设计方面必须布置漏洞扫描系统以弥补操作系统无自主产权的缺陷。利用漏洞扫描工具采取时间策略定时扫描整个网络地址网段,对多种来自通讯、服务、设备、系统等的漏洞进行扫描。采用模拟攻击的手段去检测网络上隐藏的漏洞。且对网络不做任何修改或造成任何危害,并提供漏洞检测报告和解决方案,从而有效检查网络系统的可靠性和安全性。
3使用隔离网闸技术整合网络结构。
电子政务实践中往往产生内网与专网、外网间的信息交换需求,然而基于内网数据保密性的考虑,我们又不希望内网暴露在对外环境中。解决该问题的有效方式是设置安全岛,通过安全岛来实现信息的过滤和两个网络间的物理隔离,从而实现安全的数据交换。隔离网闸技术是实现安全岛的关键技术,通过添加VPN通信认证、加密、入侵检测和对数据的病毒扫描,就可构成一个在物理隔离基础上实现安全数据交换的信息安全岛。在此基础上,隔离网闸作为代理从外网的网络访问包中抽取出数据然后通过反射开关转入内网。完成数据中转。另一方面,由于隔离网闸仅抽取数据交换进内网,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换。
4使用PKI技术进行加密认证。
PKl是公钥基础设施(Public Key In-frastructure)的简称,是一个用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施。在电子政务和电子商务的建设中,PKI实际上是提供了一整套的、遵循标准的密钥管理基础平台。PKI技术通过第三方的可信任机构认证中心CA把用户的公钥和用户的其他标识信息(如名称、E-mail、身份证号等)捆绑在一起,通过数字身份证、数据签名、用户名及其访问口令。进行身份鉴别及访问权限的控制,防止非法人员对网络的登录,保证网络资源的使用安全性。在加密过程将密钥分解为公开密钥和私有密钥,公开密钥用于加密,私有密钥用于解密,私有密钥只能由生成密钥的交换方掌握,公开密钥可广泛公布。但它只对应于生成密钥的交换方。认证中心CA是PKI的核心执行机构,承担认证服务、签发数字证书,由受信任的第三方权威机构担当,验证并标识证书申请者的身份,对证书申请者的信用度、申请证书的目的、身份的真实可靠性等问题进行审查,确保证书与身份绑定的正确性,具有唯一性和权威性。
三、结束语
9.电子商务安全及案例 篇九
1)Unicode编码漏洞
微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代“/”和“"而能利用”../"目录遍历的漏洞。消除该漏洞的方式是安装操作系统的补丁,只要安装了SP1以后,该漏洞就不存在了。2)RPC漏洞
此漏洞是由于 Windows RPC 服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在 RPC 建立连接后发送某种类型的格式不正确的 RPC 消息,则会导致远程计算机上与 RPC 之间的基础分布式组件对象模型(DCOM)接口出现问题,进而使任意代码得以执行。此问题的修补程序将包括在 Windows 2000 Service Pack
5、Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中。3)ASP源码泄漏和MS SQL Server攻击
通过向web服务器请求精心构造的特殊的url就可以看到不应该看到的asp程序的全部或部分源代码,进而取得诸如MS SQL Server的管理员sa的密码,再利用存储过程xp_cmdshell就可远程以SYSTEM账号在服务器上任意执行程序或命令。设置较为复杂的密码。4)BIND缓冲溢出
在最新版本的Bind以前的版本中都存在有严重的缓冲溢出漏洞,可以导致远程用户直接以root权限在服务器上执行程序或命令,极具危险性。但由于操作和实施较为复杂,一般也为黑客高手所用。这种攻击主要存在于Linux、BSDI和Solaris等系统中。打补丁。5)IIS缓冲溢出
对于IIS4.0和IIS5.0来说都存在有严重的缓冲溢出漏洞,利用该漏洞远程用户可以以具有管理员权限的SYSTEM账号在服务器上任意执行程序或命令,极具危险性。但由于操作和实施较为复杂,一般为黑客高手所用。
2、三种网络病毒的产生与防治方法
1)Checker/Autorun“U盘寄生虫”
Checker/Autorun“U盘寄生虫”是一个利用U盘等移动存储设备进行自我传播的蠕虫病毒。“U盘寄生虫” 运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存。“U盘寄生虫”会在被感染计算机系统中的所有磁盘根目录下创建“autorun.inf”文件和蠕虫病毒主程序体,来实现用户双击盘符而启动运行“U盘寄生虫”蠕虫病毒主程序体的目的。“U盘寄生虫”还具有利用U盘、移动硬盘等移动存储设备进行自我传播的功能。“U盘寄生虫”运行时,可能会在被感染计算机系统中定时弹出恶意广告网页,或是下载其它恶意程序到被感染计算机系统中并调用安装运行,会被用户带去不同程度的损失。“U盘寄生虫”会通过在被感染计算机系统注册表中添加启动项的方式,来实现蠕虫开机自启动。
2)Backdoor/Huigezi “灰鸽子”
Backdoor/Huigezi “灰鸽子”是后门家族的最新成员之一,采用Delphi语言编写,并经过加壳保护处理。“灰鸽子”运行后,会自我复制到被感染计算机系统的指定目录下,并重新命名保存(文件属性设置为:只读、隐藏、存档)。“灰鸽子”是一个反向连接远程控制后门程序,运行后会与骇客指定远程服务器地址进行TCP/IP网络通讯。中毒后的计算机会变成网络僵尸,骇客可以远程任意控制被感染的计算机,还可以窃取用户计算机里所有的机密信息资料等,会给用户带去不同程度的损失。“灰鸽子”会把自身注册为系统服务,以服务的方式来实现开机自启动运行。“灰鸽子”主安装程序执行完毕后,会自我删除。3)Trojan/PSW.QQPass“QQ大盗”
Trojan/PSW.QQPass“QQ大盗”是木马家族的最新成员之一,采用高级语言编写,并经过加壳保护处理。“QQ大盗”运行时,会在被感染计算机的后台搜索用户系统中有关QQ注册表项和程序文件的信息,然后强行删除用户计算机中的QQ医生程序“QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件,从而来保护自身不被查杀。“QQ大盗”运行时,会在后台盗取计算机用户的QQ帐号、QQ密码、会员信息、ip地址、ip所属区域等信息资料,并且会在被感染计算机后台将窃取到的这些信息资料发送到骇客指定的远程服务器站点上或邮箱里,会给被感染计算机用户带去不同程度的损失。“QQ大盗”通过在注册表启动项中添加键的方式,来实现开机木马自启动。防止病毒的方法,安全上网,装杀毒软件。
3、几种加密算法的描述
1)分组加密的DES算法
DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位,产生最大 64 位的分组大小。这是一个迭代的分组密码,使用称为 Feistel 的技术,其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能,然后将输出与另一半进行“异或”运算;接着交换这两半,这一过程会继续下去,但最后一个循环不交换。DES 使用 16 个循环,使用异或,置换,代换,移位操作四种基本运算。
DES破解方法:攻击 DES 的主要形式被称为蛮力的或彻底密钥搜索,即重复尝试各种密钥直到有一个符合为止。如果 DES 使用 56 位的密钥,则可能的密钥数量是 2 的 56 次方个。随着计算机系统能力的不断发展,DES 的安全性比它刚出现时会弱得多,然而从非关键性质的实际出发,仍可以认为它是足够的。不过,DES 现在仅用于旧系统的鉴定,而更多地选择新的加密标准 — 高级加密标准(Advanced Encryption Standard,AES)。2)大数分解的RSA算法
解析:RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在(美国麻省理工学院)开发的。RSA取名来自开发他们三者的名字。RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的所有密码攻击,已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。
安全性:RSA的安全性依赖于大数分解,但是否等同于大数分解一直未能得到理论上的证明,因为没有证明破解 RSA就一定需要作大数分解。假设存在一种无须分解大数的算法,那它肯定可以修改成为大数分解算法。目前,RSA 的一些变种算法已被证明等价于大数分解。不管怎样,分解n是最显然的攻击方法。现在,人们已能分解多个十进制位的大素数。因此,模数n 必须选大一些,因具体适用情况而定。
3)基于NP完全理论的背包加密算法
安全性:影响陷门背包的安全性的一个重要的参数是背包密度,背包密度小于0.9408 的陷门背包都容易遭受低密度子集和攻击。因而,要设计安全的背包型公钥密码,其背包密度必须大于0.9408。如果背包密度大于1,则该体制在实现过程中就会存在解密不唯一的问题。因此,要设计安全的背包型公钥密码必须兼顾到背包密度不能太小以及解密必须唯一这两个要求。低密度子集和攻击的基本思想是,把求解低密度子集和问题与格理论中的基规约算法联系起来。通过低密度子集和问题来构造格基,对该基实施LLL 算法或者它的改进算法,找到格基的一个规约基,该规约基的第一个向量很短,这个短向量以很大的概率等于低密度子集和问题的解向量。4)基于离散对数的EIGamal加密算法
ElGamal算法既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。
密钥对产生办法。首先选择一个素数p,两个随机数, g 和x,g, x < p, 计算 y = g^x(mod p),则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。
安全性:ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。素数p必须足够大,且p-1至少包含一个大素数,因子以抵抗Pohlig & Hellman算法的攻击。M一般都应采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依赖于p和g,若选取不当则签名容易伪造,应保证g对于p-1的大素数因子不可约。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。ElGamal的一个不足之处是它的密文成倍扩张。
10.电子商务安全论文相关 篇十
在电子商务迅猛发展的今日,安全问题越来越受到关注。
在网络购物中出现的付款收不到货,或者货物不符合实际等此类事件屡见不鲜,这些事件暴露出来的电子商务安全问题不容小觑;还有些威胁到网络安全事件,如用户信息或贸易内容被窃取、中途篡改信息、病毒网络化、同行业者恶意竞争,甚至是身份假冒、交易抵赖等等。
这些现象与问题暴露出了我国电子商务存在严重的安全隐患,且极大地妨碍了电子商务的健康发展,本文认为要解决这些问题,需从以下几个方面入手。
1不断完善电子商务的立法和执法
一方面,电子商务是在一个虚拟空间完成的商务活动,因此,我们应该调整现行的法律法规,确立与之相适应的法律制度与法律规范,让法律适应电子商务发展的需求。
在我国针对电子商务的相关法律规范主要有《合同法》、《消费者权益保护法》、《计算机信息网络国际联网安全保护管理办法》、《电子签名法》等,这些法律虽然适用于电子商务,但并没有针对电子商务的交易环境做出明确的规定。
因此,我们必须在严格遵照目前法律法规的基础上不断地健全和完善电子商务法律体系。
另一方面,对于那些破坏网络交易秩序、危害网络交易平台的行为应依法给予严厉惩治。
电子商务犯罪是伴随电子商务产生而产生的,电子商务犯罪是指利用电子商务活动,侵害电子商务交易并造成社会危害的行为。
上述提到,目前我国电子商务的立法讨论仍只限于电子签名、身份认证的层面上,而对于具有抽象性、易删改性和易复制性的电子证据方面,因其来源与制作信息具有隐蔽性等特性,我国法律还未明确的界定,这给电子商务犯罪的认定造成了困难。
鉴于电子商务犯罪存在于虚拟空间这样的特殊性,本文认为,我国应加紧完善立法,尽快地将电子证据作为一种新型的证据纳入证据法领域。
只有这样才能弥补电子商务犯罪中的证据采集难、案件侦查难、罪名裁定难以及量刑难等方面的漏洞,才能更有力地惩治、打击电子商务犯罪活动。
2加强电子商务的安全监控管理
11.电子商务安全浅析 篇十一
关键词:电子商务网络 安全隐患 安全技术
近年来,电子商务的发展十分迅速,它可以降低成本,增加贸易机会,简化贸易流通过程,提高生产力,改善物流金流、商品流和信息流的环境与系统。虽然电子商务发展势头强劲,但其贸易额所占整个贸易额的比例仍然很低,影响其发展的首要因素就是安全问题。
由于网上交易是一种非面对面式的交易,所以交易安全在电子商务的发展中占有十分重要的位置。可以说,没有网络安全就没有电子商务。
一、电子商务网络的安全隐患
1.窃取信息
由于没有采用加密措施,数据信息在网络上以明文形式传送,当数据包经过网关或路由器时,入侵者可以截获传送的信息。通过多次窃取和分析,入侵者就可以找到信息的传送规律和格式,进而得到传输信息的内容,导致网上传输的信息泄漏。
2.篡改信息
当入侵者掌握了信息的格式和规律后,就能通过各种技术手段和方法,修改网络上传送的信息数据,然后再发向其他目的地。这种方法并不新颖,在路由器或者网关上都能篡改信息。
3.假冒
只要掌握了数据的格式,入侵者就可以篡改信息,冒充合法用户发送假冒信息,使得远端用户难以辨别真伪。
4.恶意破坏
攻击者只要接入网络,就能修改网络信息,掌握网上的机要信息,甚至可以潜入网络内部,其后果非常严重。
二、电子商务网络的安全技术
为了提高电子商务网络的安全性,我们可以采用多种网络安全技术和协议,为电子商务交易活动提供安全保障。
1.防火墙技术
防火墙是目前主要的网络安全设备,通常它使用的安全控制手段主要包括过滤、状态检测、代理服务。由于它假设了网络的边界和服务,难以有效控制对内部的非法访问,所以最适合于相对独立的、与外部网络互连途径有限的、网络服务种类相对集中的单一网络,如常见的企业专用网。目前,防火墙产品主要分为两大类,即基于代理服务方式的和基于状态检测方式的,防火墙的隔离技术决定了它在电子商务安全交易中的重要作用。
2.数据加密技术
防火墙技术是一种被动的防卫技术,它难以有效防卫电子商务活动中的不安全因素。因此,要保障电子商务的交易安全,人们可以使用密码技术。加密技术是电子商务中采取的主要安全措施,贸易方可以根据需要在信息交换的阶段使用。
目前,加密技术分为两类,即对称加密(或称为对称密钥加密、专用密钥加密)和非对称加密(或称为公开密钥加密)。现在,许多机构运用PKI(punickey nfrastructur),即公开密钥体系技术,实施构建完整的加密/签名体系,有效解决了上述难题,在充分利用互联网实现资源共享的前提下,从真正意义上确保了网上交易与信息传递的安全。
3.身份认证技术
身份认证又称为鉴别或确认,它通过验证被认证对象的一个或多个参数的真实性与有效性,来证实被认证对象是否符合或是否有效的一种过程,以确保数据的真实性,防止攻击者假冒、篡改等。一般来说,用人的生理特征参数,如指纹识别、虹膜识别等进行认证的安全性较高。但是,这种技术存在实现困难、成本高的缺点。
目前,计算机通信中采用的参数包括口令、标识符密钥、随机数等,一般使用基于证书的公钥密码体制(PKI)身份认证技术。
要实现基于公钥密码算法的身份认证需求,就必须建立一种信任及信任验证机制,即每个网络上的实体必须有一个可以被验证的数字标志——数字证书(Certificate)。
参考文献:
[1]肖满梅,罗兰娥.电子商务及其安全技术问题[J].湖南科技学院学报,2006,(27).
[2]丰洪才,管华,陈珂.电子商务的关键技术及其安全性分析[J].武汉工业学院学报,2004,(2).
[3]阎慧,王伟,宁宇鹏等编著.防火墙原理与技术[M].北京:机械工业出版社,2004.
12.电子商务安全浅析 篇十二
电子商务是在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,同时,人们不再受地域的限制,能以非常简捷的方式完成过去较为繁杂的商务活动。通过这样的交易方式不仅降低了经营成本,而且大大地提高了生产效率,优化了资源配置,所以电子商务现在已是全球化的发展趋势,然而,这是商业模式给经济带来机遇的同时也带来了一定的挑战,其中,交易的安全成为其核心和关键问题。
2、电子商务存在的安全隐患
电子商务中所有的交易都是基于开放的网络环境下进行的。这样,开放网络环境下的网络安全隐患问题自然也是电子商务交易所存在的问题,且这些安全隐患不能很好的解决,势必阻碍电子商务的发展。
2.1 网络设施不完善
国内计算机网络设施与发达国家相比,有待进一步完善。近几年,随着电子技术的发展,我国的计算机信息网络技术及设施也在不断的发展。但是跟发达国家相比,依然存在一定的差距,例如容量不是足够大,速度还有待进步提高,技术指标还存在差异,管理水平、使用成本、安全性和协调性等也都存在较大差距,这样的硬件环境本身就为电子商务安全交易隐患提供了土壤。
2.2 信用问题
一个完整的电子商务交易体系涉及买卖双方,因为互联网的存在,买卖双方可以不见面进行大量的商业交易。然而由于市场还不很成熟,假冒伪劣商品泛滥,而网上交易又不能让消费者对商品亲自试用鉴别,所以有许多消费者对电子商务望而却步。这样的话,网上交易中买卖双钩相互信任就成了成交的根本保证。
2.3 交易安全
电子商务中核心的问题就是交易安全问题。由于网络的开放性,一些虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种违法违规行为屡屡发生,这样使电子商务面临种种风险。如何保障电子商务的安全一直是电子商务的核心研究领域。
3、认证技术在电子商务中的应用
认证是建立网络安全系统必不可少的基本组成部分,它是网络安全的基础。同样,认证在电子商务安全中也是必不可少的重要组成部分。在电子商务交易安全中,认证技术主要包括身份认证和信息认证。身份认证用于鉴别用户身份,验证信息的发送者是真的,而不是冒充的;信息认证是验证信息的完整性,即验证数据在传送或存储过程中未被窜改、重放或延迟等。在电子商务交易中,通过这两种认证技术的结合,才能保证交易的顺利进行。
3.1 身份认证
在网上进行交易,身边认证是第一道防线,只有确认了对方的身份才可能使交易流程顺利展开。所以,身份认证是电子商务交易中首要的安全保证。网上交易进行身份认证最常用的有口令认证和基于生物特征认证。
3.1.1 口令认证
口令认证分为静态口令认证和动态口令认证两种方式。静态口令认证就是传统的用户名密码认证,是最简单的认证方法。采用此类的认证方式,系统为每一个合法用户建立一个二元组信息(用户ID、口令),当用户登录系统时,提示用户输入自己的用户名和口令,系统服务器通过核对用户输入的用户名、口令与系统维护的信息进行匹配来判断用户身份的合法性。这种认证方法操作简单,但是系统安全性极差,一旦口令泄露,后果将不堪设想。动态口令技术是为解决传统的静态口令认证的缺陷而设计的一种认证方式,也称“一次性口令认证”,在认证过程中,用户的密码按照时间或使用的次数不断动态变化,且保证一次一密且任何人都无法预知,有效抵御重放攻击行为。这种认证技术有效地保证了用户身份的安全性[2]。
在电子商务交易中,由于密码口令很容易被遗忘或被其他人进行攻击或破解,相对于其他保密技术,这种认证技术是安全级别相对较低的一种。
3.1.2 基于生物学特征的认证
生物特征认证是依赖用户特有的生物信息的一种认证方式。这种认证方式与口令认证最大的不同是,口令认证是依赖用户知道的某个秘密信息,而生物特征认证依赖独一无二的用户特征生物信息,且生物特征很难在个体之间传递。这种认证主要是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性来进行个人身份的鉴定。基于生物学特征的认证包括基于指纹识别的身份认证、基于声音识别的身份认证以及近来流行的基于虹膜识别的身份认证等。
目前,在保密性较高的系统中采用基于生物特征的认证技术,在电子商务交易中,这种认证技术由于高成本性等原因还没有广泛的应用。
3.2 信息认证
信息认证技术是电子商务系统中的重要组成部分,是确保电子商务安全、可靠以及一致性。在电子商务交易中,由于开放的网络环境下,网络上传输的信息很容易被篡改、伪造,或者被冒充,或信息接收方事后否认,同时,通过电子数据方式达成的交易文件又必须与传统的商务交易一样,必须具有严肃性和公正性,且是不能被否认的,为实现这一目标,除了采用身份认证起到确保网上交易者身份的真实可信外,信息认证就用来确保交流的信息完整、不可抵赖性,以及信息访问的权限控制。
3.2.1 基于密钥体制的认证体制
在密钥体制中,主要包括基于对称的密钥体制和基于非对称的密钥体制两种认证体制。
(1)对称密钥体制又称私有密钥体制,是一种传统、简单的密钥体制,即加密和解密使用同一个密钥的密码技术,且通信双方必须保存好他们共同的密钥,同时通信各方必须得相互信任,对方不会把密钥泄露出去。以一个具体例子来说明其加密原理:假设用户A需要把一份明文为M的资料发给用户B,但是因为担心资料在传输的中途被窃听或者篡改,故用户A用了对称加密法将M经过一个加密函数Fk处理后生成M'加密文,而用户B接受到加密文后通过事先商定好的Fk函数再次处理M'便可以还原成明文M,从而达到安全传输信息的目的。
用户A:M'=Fk(M)
用户B:M=Fk(M')
在该体制中,需要强大的加密算法,一旦密钥泄露,且知道了算法,那么使用此密匙的所有通信便都是可读取的,这样就没有任何安全可言,后果可想而知。
(2)非对称密钥机制也叫公开密钥体制,在该体制中有两个不同的密钥:公钥和私钥,使用公钥(私钥)加密的数据,只能使用其对应的私钥(公钥)解密,且公钥和私钥不能由一个推出另一个。以一个具体例子来说明其加密原理:假设用户A需要把一份明文为M的资料发给用户B,但是因为担心资料在传输的中途被窃听或者篡改,故用户A用了加密算法Ek将M处理后生成M'加密文,而用户B接受到M'加密文后,通过解密算法Dk再次处理M'便可以还原成明文M,从而达到安全传输信息的目的。其中,加密算法Ek实质就是利用公钥进行加密,而解密算法就是利用私钥Dk解密。
客户A:M'=Ek(M)
客户B:M=Dk(M')
在电子商务交易中,买卖双方之间的交易都是建立在相互“信任”的基础之上的,而公钥基础设施PKI(Public-Key Infrastru cture,简称PKI)就是是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。在PKI中,用户之间的通信都是建立在相互“信任”的基础之上的,通过对通信对方证书的认证达到建立“信任”的目的。在严格的层次结构中,由于证书的声称者(用户)与证书的验证者具有相同的可信任第三方根CA(Certification Authority,简称CA),因此,对用户证书的验证只需找到根CA的公钥即可进行认证。
在电子商务交易中,只有对称和非对称加密体制有机的相结合,能够确保电子商务信息的完整性和机密性。
3.2.2 数字签名技术
在电子商务交易中,除了要防止他人破坏传输的数据之外,还要确定发送信息人的身份,这就需要采取另外一种手段——数字签名。数字签名技术是指接收者通过计算机网络接收数据时,可以利用它来确认所接收的数据确实是由发送者发送的,并且能够确认该接收的数据并没有被篡改。具体实现是报文的发送方从报文文本中生成一个128位的单向散列值(即Hash函数根据报文文本而产生的具有固定长度的单向Hash值),有时这个单向Hash值也叫做报文摘要,它与报文文本的数字指纹或标准校验相似。数字签名工作流程如下:(1)发送方首先用公开的散列函数对报文进行一次变换,得到数字签名,然后利用私有密钥对数字签名进行加密后附在报文后同时发送给接收方;(2)接收方用发送方的公开密钥对数字签名进行解密,得到一个数字签名的明文;(3)接收方将得到的明文通过散列函数进行计算,也得到一个数字签名,再将两个数字签名比较,如果相同,则证明签名有效;如果不同,则说明签名无效。
通过数字签名能够实现对原始报文的鉴别和不可抵赖性。数字签名机制提供了一种鉴别方法,用于解决伪造、抵赖、冒充、篡改等问题。
4、结语
认证技术是电子商务安全交易中必不可少的基本组成部分。其中,身份认证是确保电子商务交易中首要的安全保证,用来防止非法用户假冒合法用户窃取敏感数据;而信息认证技术是确保电子商务交易中信息机密性、完整性及不可否认性。在电子商务交易中,身份认证和信息认证的有效结合是电子商务交易安全的基础,也是电子商务交易顺利的重要的保障。
参考文献
[1]张建兵,程财军.电子商务安全问题探析[J].现代商贸工业,2009,23.
[2]尉永青,刘培德.电子商务环境下主要的身份认证分析[J].商城现代化,2005,13.
[3]鲁军,汪同庆,任莉.身份认证系统的设计与实现[J].网络安全技术与应用,2004,30(2):24-26.
[4]陈云,彭春山,邓亚平.Kerberos认证协议的研究和改进[J].电子技术学报,2006,32(10):206-209.
[5]孙鹏,黄鑫,庄雷.认证技术在P2P网络中的应用研究[J].计算机应用与软件,2005,22(6):115-118.
[6]史创明,王立新.数字签名及技术原理与应用[J].微计算机信息,2005,21(8):122-124.
【电子商务安全浅析】推荐阅读:
浅析b2c电子商务发展06-27
电子商务的安全07-05
电子商务安全整理版07-04
电子商务安全复习范围07-29
计算机系电子商务安全技术研究毕业论文模版06-26
商务局电子商务进社区06-21
电子商务试卷09-03
浅析商务英语合同翻译08-12
电子商务期末总结06-09