歡迎來到學術參考發表網

信息安全技术在電子商务中的应用

发布时间:2015-07-07 09:59

[摘要] 近些年来電子商务越来越流行,而确保電子商务正常进行的数据的可靠性、真实性、保密性越来越受到人们的关注。这些问题都可以归结到信息安全技术之中,本文简要介绍了電子商务及在電子商务中信息安全的基本原理,并指出了目前信息安全技术中的弱点。
  [关键词] 電子商务信息安全加密電子商务证书電子签名
  
  一、前言
  
  隨著通信網絡技術的飞速发展和快速普及,人们的消费观念和整个商务系统也发生了巨大了变化,人们更希望通过网络的便利性来进行网络采购和交易,从而导致了電子商务(electronic commerce)的出现,電子商务的发展给人们的工作和生活带来了新的尝试和便利性,但并没有像人们想象的那样普及和深入,一个很重要的原因就是電子商务的安全性。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于担心電子商务的安全问题而不愿进行网上购物。所以,研究和分析電子商务的安全性问题,充分借鉴国外的先进技术和经验,开发和研究出具有独立知识产权的電子商务安全产品,这些都成为目前我国发展電子商务的关键。
  
  二、電子商务中的安全隐患可分为如下几类
  
  1.信息的截獲和竊取。如果沒有采用加密措施或加密強度不夠,攻擊者可能通過互聯網、公共電話網、搭線、電磁波輻射範圍內安裝截收裝置或在數據包通過的網關和路由器上屆截獲數據等方式,獲取輸的機密信息,或通過對信息流量和流向、通信頻度和長度等參數的分析,推出有用信息,如消費者的銀行帳號、密碼以及企業的商業機密等。wWw.133229.cOM
  2.信息的篡改。當攻擊者熟悉了網絡信息格式以後,通過各種技術方法和手段對網絡傳輸的信息進行中途修改,並發往目的地,從而破壞信息的完整性。這種破壞手段主要有三方面:改變信息流的次序,更改信息的內容,如購買商品的出貨地址;刪除某個消息或消息的某些部分;在消息中插入一些信息,讓收方讀不懂或接收錯誤的信息。
  3.信息假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后,主要用两种方式进行欺骗:一是伪造電子邮件,虚开网站和商店,发大量的電子邮件,窃取商家的商品信息和用户信用等信息。另一种为假冒他人身份,冒充他人消费或栽赃、冒充网络控制程序套取或修改使用权限、通行字、密钥等信息等。
  4.交易抵賴。它包括多個方面,如發信者事後否認曾經發送過某條信息或內容、購買者做了定貨單不承認、商家賣出的商品因價格差而不承認原有交易等。
  
  三、電子商务安全需求
  
  1.机密性。電子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密,维护商业机密是電子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取,一般通过密码技术来对传输的信息进行加密处理来实现。
  2.完整性。在電子商务中由于数据输入时的意外差错或欺诈等行为,可能会影响贸易各方信息的完整性,这将影响到贸易各方的交易和经营策略,因此保持贸易各方信息的完整性是電子商务应用的基础。完整性一般可通过提取信息消息摘要的方式来获得。
  3.认证性。由于网络電子商务交易系统的特殊性,要求对人或实体的身份进行鉴别,即交易双方能够在相互不见面的情况下确认对方的身份,鉴别服务一般通过证书机构ca和证书来实现。
  4.不可抵赖性。在无纸化的電子商务方式下,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题是保证電子商务顺利进行的关键。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。不可抵赖性可通过对发送的消息进行数字签名来获取。
  5.有效性。電子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的經濟利益和声誉。因此要对网络故障、硬件故障及計算機病毒所产生的潜在威胁等加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
  
  四、電子商务安全中的主要技术
  
  1.网络安全技术。网络安全是電子商务安全的基础,它所涉及到最重要的就是防火墙技术。防火墙是建立在通信技术和信息安全技术之上,它用于在网络之间建立一个安全屏障,根据指定的策略对网络数据进行过滤、分析和审计,并对各种攻击提供有效的防范,主要用于internet接入和专用网与公用网之间的安全连接。目前国内使用的防火墙产品都是国外厂商提供的,由于他们对加密技术的限制和保护,国内无法得到急需的安全而实用的网络安全系统和数据加密軟件。因此我国也应研制开发并采用自己的防火墙系统和数据加密軟件,以满足用户和市场的巨大需要。
  vpn也使一項保證網絡安全的技術之一,它是指在公共網絡中建立一個專用網絡,數據通過建立好的虛擬安全通道在公共網絡中傳播。企業只需要租用本地的數據專線,連接上本地的公衆信息網,其各地的分支機構就可以互相之間安全傳遞信息。使用vpn有節省成本、提供遠程訪問、擴展性強、便于管理和實現全面控制等好處,是目前和今後企業網絡發展的趨勢。

  2.加密技术。加密技术是保证電子商务安全的重要手段,它包括私钥加密和公钥加密。私钥加密又称对称密钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据,目前常用的私钥加密算法包括des和idea等。对称加密技术的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。公钥密钥加密,又称不对称密钥加密系统,它需要使用一对密钥来分别完成家密和解密操作,一个公开发布,称为公开密钥(public-key);另一个由用户自己秘密保存,称为私有密钥(private-key)。信息发送者人用公开密钥去加密,而信息接收者则用私有密钥去解密,常用的算法是rsa、elgamal等。为了充分利用公钥密码和对称密码算法的优点,克服其缺点,提出混合密码系统,即所谓的電子信封(envelope)技术。发送者自动生成对称密钥,用对称密钥加密钥发送的信息,将生成的密文连同用接收方的公钥加密后的对称密钥一起传送出去。收信者用其秘密密钥解密被加密的密钥来得到对称密钥,并用它来解密密文。
  3.数字签名。在网络環境中,可以用電子数字签名作为模拟,数字签名中很常用的就是散列(hash)函数,从而为電子商务提供不可否认服务。把hash函数和公钥算法结合起来,可以在提供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的hash。把这两种机制结合起来就可以产生所谓的数字签名(digital signature)。将报文按双方约定的hash算法计算得到一个固定位数的报文摘要(mes-sage digest)值。只要改动报文的任何一位,重新计算出的报文摘要就会与原先值不符。然后把该报文的摘要值用发送者的私人密钥加密,将该密文同原报文一起发送给接收者,所产生的报文即称数字签名。数字签名相的优点:它不仅与签名者的私有密钥有关,而且与报文的内容有关,因此不能将签名者对一份报文的签名复制到另一份报文上,同时也能防止篡改报文的内容。
  4.认证机构和数字证书。对数字签名和公开密钥加密技术来说,都会面临公开密钥的分发问题。必须有一项技术来解决公钥与合法拥有者身份的绑定问题。数字证书是解决这一问题的有效方法。它通常是一个签名文档,标记特定对象的公开密钥。電子证书由一个认证中心(ca)签发,认证中心类似于现实生活中公证人的角色,它具有权威性,是一个普遍可信的第三方。当通信双方都信任同一个ca时,两者就可以得到对方的公开密钥从而能进行秘密通信、签名和检验。证书机构ca(certification authority)是一个可信的第三方实体,其主要职责是保证用户的真实性。网络用户的電子身份(electronic identity)是由ca来发布的,也就是说他是被ca所信任的,该電子身份就成为数字证书。护照颁发机构和证书机构ca都是由策略和物理元素构成。在护照颁发机构,有一套由政府确定的政策来判定那些人可信任为公民,以及护照的颁发过程。一个ca系统也可以看成由许多人组成的一个组织,它用于指定网络安全策略,并决定组织中的那些人可以发给一个在网络上使用的電子身份。
  
  五、結論
  
  安全是電子商务的核心和灵魂,没有安全保障的電子商务应用只是虚伪的炒作或欺骗,任何独立的个人或团体都不会愿意让自己的敏感信息在不安全的電子商务流程中传输。一句话:网络应用,安全为本。只要我国坚持在吸收、引进的前提下,组织各方面力量,独立研制和开发具有独立知识产权的网络安全和電子商务安全产品,逐步掌握電子商务安全的核心技术,并从宏观上进行调节和控制,我国的電子商务安全现状一定会得到极大的改善,为我国電子商务的真正发展构筑一道牢不可破的坚固屏障。

學術參考網:/gl/ds/39634.html

上一篇:WTO对我国電子商务发展的推动作用

下一篇:關于網絡備份系統的加解密設計

相關標簽: