序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)���,特別為您篩選了11篇電子商務(wù)安全論文范文。如果您需要更多原創(chuàng)資料�����,歡迎隨時(shí)與我們的客服老師聯(lián)系����,希望您能從中汲取靈感和知識(shí)!
篇1
如果不采用特別的保護(hù)措施���,包括電子郵件等在internet中開放傳輸?shù)臄?shù)據(jù)都可能被第三者監(jiān)視和閱讀��?��?紤]到巨大的傳輸量和難以計(jì)數(shù)的傳輸途徑��,想任意竊聽一組數(shù)據(jù)傳輸是不可能�����,但是一些設(shè)置在web服務(wù)器的黑客程序卻可以查找和收集特定類型的數(shù)據(jù)���,這些數(shù)據(jù)包括信用卡、存款的賬號(hào)和相應(yīng)的口令��。同時(shí)��,因?yàn)閕nternet的開放性設(shè)計(jì)����,數(shù)據(jù)私有性和安全性還包括數(shù)據(jù)傳輸之外的問題,例如:連入internet的數(shù)據(jù)存儲(chǔ)網(wǎng)絡(luò)驅(qū)動(dòng)器的安全性���。所以�����,任何存儲(chǔ)在web服務(wù)器上的數(shù)據(jù)必須采取保護(hù)措施。
(二)數(shù)據(jù)的完整性
對完整性的安全威脅也叫主動(dòng)搭線竊取。當(dāng)未經(jīng)授權(quán)方改變了信息流時(shí)就構(gòu)成了對完整性的安全威脅��。未保護(hù)的銀行交易很易受到對完整性的攻擊���。當(dāng)然�,破壞了完整性也就意味著破壞了保密性�����,因?yàn)槟芨淖冃畔⒌母`取者肯定能閱讀此信息�����。完整性和保密性間的差別在于:對保密性的安全威脅是指某人看到了他不應(yīng)看到的信息�。而對完整性的安全威脅是指某人改動(dòng)了關(guān)鍵的傳輸。破壞他人網(wǎng)站就是破壞完整性的例子����。破壞他人網(wǎng)站是指以電子方式破壞某個(gè)網(wǎng)站的網(wǎng)頁。破壞他人網(wǎng)站的行為相當(dāng)于破壞他人財(cái)產(chǎn)或在公共場所涂鴉���。當(dāng)某人用自己的網(wǎng)頁替換某個(gè)網(wǎng)站的正常內(nèi)容時(shí)���,就說發(fā)生了破壞他人網(wǎng)站的行為�����。由于internct的開放體系���,如果具備了特定的知識(shí)和工具,則完全可以更改傳輸中的數(shù)據(jù)����。同時(shí),要采取適當(dāng)?shù)拇嫒≡L問控制�,以保證數(shù)據(jù)存取系統(tǒng)的安全。在電子商務(wù)中務(wù)必保存數(shù)據(jù)最初的格式和內(nèi)容�。
(三)認(rèn)證
在猖獗的網(wǎng)絡(luò)欺詐或者反悔中,網(wǎng)絡(luò)交易者隱身在電腦屏幕背后�,身份難以識(shí)別的問題是其重要淵源。建立有效的網(wǎng)上交易身份認(rèn)證機(jī)制��,提升交易雙方的信用度是有效控制網(wǎng)絡(luò)欺詐的重要途徑�,對于電子商務(wù)的健康發(fā)展有著重要作用。交易方的信用問題已經(jīng)成為制約電子商務(wù)發(fā)展的重要瓶頸之一��。在現(xiàn)實(shí)社會(huì)中���,即便有著諸多因素的制約����,仍然普遍地存在著信用缺乏的現(xiàn)象�,建立完善的信用機(jī)制已經(jīng)成為社會(huì)各界的共識(shí)。在電子商務(wù)的具體實(shí)現(xiàn)中���,首先要確認(rèn)當(dāng)前的通訊�����、交易和存取要求是合法的�。例如��,internet中的計(jì)算機(jī)系統(tǒng)的身份是其由IP地址確認(rèn)的��。黑客通過IP欺騙�����,使用虛假的IP地址��,從而達(dá)到隱瞞自己身份盜用他人身份的目的�����。在日常電子郵件的使用中可以很容易地發(fā)匿名郵件,或者使用不真實(shí)的郵件用戶名�����。因此���,在電子商務(wù)中必須建立嚴(yán)格的身份認(rèn)證機(jī)制�,以確保參加交易各方的身份真實(shí)有效����。
(四)不可否認(rèn)性
不可否認(rèn)主要包含數(shù)據(jù)的原始記錄和發(fā)送記錄,確認(rèn)數(shù)據(jù)已經(jīng)完成發(fā)送和接收�,防止接收用戶更改原始記錄,防止用戶在已經(jīng)收到數(shù)據(jù)以后否認(rèn)收到數(shù)據(jù)�����,并拖延自己的下一步工作���。為了保證交易過程的可操作性����,必須采取可靠的方法確保交易過程的真實(shí)性�����,保證參加電子交易的各方承認(rèn)交易過程的合法性。
簡言之��,在internet上實(shí)現(xiàn)電子商務(wù)面臨的任務(wù):(1)私有性�,即保證只有發(fā)送者和接收者可以接觸到信息�����;(2)完整性���,即信息在傳輸過程中未經(jīng)任何改動(dòng)��;(3)身份認(rèn)證����,即接收方可以確信信息來自發(fā)信者�,而不是第三者冒名發(fā)送,發(fā)送方可以確信接收方的身份是真實(shí)的�,而不至于發(fā)往與交易無關(guān)的第三方;(4)不可否認(rèn)性����,在交易數(shù)據(jù)發(fā)送完成以后�,雙方都不能否認(rèn)自己曾經(jīng)發(fā)出或接收過信息����。
電子商務(wù)面臨的上述問題主要是由對系統(tǒng)的非法入侵造成的。首先是網(wǎng)絡(luò)黑客�,他們通過發(fā)現(xiàn)web服務(wù)器、操作系統(tǒng)或者主頁部件在配置方面的漏洞�����,攻擊網(wǎng)絡(luò)系統(tǒng)��。其次是內(nèi)部入侵���,這主要是由企業(yè)IT部門的員工造成的���,保護(hù)網(wǎng)絡(luò)的物理安全(如主控機(jī)房)及嚴(yán)格的口令管理制度,是防范該類問題的關(guān)鍵�。還有惡意代碼(如計(jì)算機(jī)病毒),它們在企業(yè)的傳播會(huì)給電子商務(wù)系統(tǒng)造成嚴(yán)重的損失�����。另外,值得關(guān)注的是計(jì)算機(jī)系統(tǒng)本身的問題�����,例如�����,由于電源造成的系統(tǒng)宕機(jī)�,以及廣域網(wǎng)絡(luò)的通訊����,這些都會(huì)直接造成服務(wù)的突然中止,影響電子商務(wù)的形象����。我們還應(yīng)關(guān)注系統(tǒng)管理方面的問題,有時(shí)電子商務(wù)出現(xiàn)的問題既非黑客也非系統(tǒng)本身的毛病�����,而是源于對敏感數(shù)據(jù)處理不善或者是安全系統(tǒng)(如防火墻)的不正確配置����。用戶的身份認(rèn)證是計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)工作,數(shù)字簽名加密等技術(shù)在這里可以充分起到作用。
二��、電子商務(wù)安全系統(tǒng)關(guān)鍵技術(shù)
(一)ssLVPN技術(shù)
SSL(安全套接層)協(xié)議是一種在Internet上保證發(fā)送信息安全的通用協(xié)議���。它處于應(yīng)用層���。SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議(如HTTP�、Telnet和FTP等)和TCP/IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制,為TCP/IP連接提供數(shù)據(jù)加密����、服務(wù)器認(rèn)證以及可選的客戶機(jī)認(rèn)證。SSL協(xié)議包括握手協(xié)議��、記錄協(xié)議以及警告協(xié)議三部分�����。握手協(xié)議負(fù)責(zé)確定用于客戶機(jī)和服務(wù)器之間的會(huì)話加密參數(shù)�。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯(cuò)誤時(shí)終止兩個(gè)主機(jī)之間的會(huì)話���。
VPN(虛擬專用網(wǎng))則主要應(yīng)用于虛擬連接網(wǎng)絡(luò)����,它可以確保數(shù)據(jù)的機(jī)密性并且具有一定的訪問控制功能。VPN是一項(xiàng)非常實(shí)用的技術(shù)����,它可以擴(kuò)展企業(yè)的內(nèi)部網(wǎng)絡(luò),允許企業(yè)的員工����、客戶以及合作伙伴利用Internet訪問企業(yè)網(wǎng),而成本遠(yuǎn)遠(yuǎn)低于傳統(tǒng)的專線接人�����。過去��,VPN總是和IPSec聯(lián)系在一起��,因?yàn)樗荲PN加密信息實(shí)際用到的協(xié)議��。IPSec運(yùn)行于網(wǎng)絡(luò)層����,IPSeeVPN則多用于連接兩個(gè)網(wǎng)絡(luò)或點(diǎn)到點(diǎn)之間的連接�。所謂的SSLVPN,其實(shí)是YPN設(shè)備廠商為了與IPsecVPN區(qū)別所創(chuàng)造出來的名詞,指的是使用者利用瀏覽器內(nèi)建的SecureSocketLayer封包處理功能����,用瀏覽器連回公司內(nèi)部SSLVPN服務(wù)器,然后透過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式�����,讓使用者可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序���,讀取公司內(nèi)部服務(wù)器數(shù)據(jù)����。它采用標(biāo)準(zhǔn)的安全套接層(ssL)對傳輸中的數(shù)據(jù)包進(jìn)行加密�,從而在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。高質(zhì)量的SSLVPN解決方案可保證企業(yè)進(jìn)行安全的全局訪問�����。在不斷擴(kuò)展的互聯(lián)網(wǎng)Web站點(diǎn)之間�����、遠(yuǎn)程辦公室����、傳統(tǒng)交易大廳和客戶端間�����,SSLVPN克服了IPSecVPN的不足����,用戶可以輕松實(shí)現(xiàn)安全易用�����、無需客戶端安裝且配置簡單的遠(yuǎn)程訪問�����,從而降低用戶的總成本并增加遠(yuǎn)程用戶的工作效率���。而同樣在這些地方,設(shè)置傳統(tǒng)的IPSecVPN非常困難�����,甚至是不可能的���,這是由于必須更改網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和防火墻設(shè)置�����。(二)加密技術(shù)
數(shù)據(jù)加密技術(shù)作為一項(xiàng)基本技術(shù)�����,是電子商務(wù)的基石�,是電子商務(wù)最基本的信息安全防范措施。其實(shí)質(zhì)是對信息進(jìn)行重新編碼�����,從而達(dá)到隱藏信息內(nèi)容����,使非法用戶無法獲取真實(shí)信息的一種技術(shù)手段,確保數(shù)據(jù)的保密性���?���;诩?解密所使用的密鑰是否相同��,可分為對稱加密和非對稱加密兩類。
(1)對稱加密�。對稱加密的加密密鑰和解密密鑰相同,即在發(fā)送方和接收方進(jìn)行安全通信之前���,商定一個(gè)密鑰���,用這個(gè)密鑰對傳輸數(shù)據(jù)進(jìn)行加密、解密���。對稱加密的突出特點(diǎn)是加解密速度快�����,效率高�,適合對大量數(shù)據(jù)加密���。缺點(diǎn)是密鑰的傳輸與交換面臨安全問題����,且若和大量用戶通信時(shí)�,難以安全管理大量密鑰��。目前,常用的對稱加密算法有DES����、3DES、IDEA�、Blowfish等。其中�,DES(DataEncryptionStandard)算法由IBM公司設(shè)計(jì),是迄今為止應(yīng)用最廣泛的一種算法����,也是一種最具代表性的分組加密體制。DES是一種對二元數(shù)據(jù)進(jìn)行加密的算法��,數(shù)據(jù)分組長度為64bit��,密文分組長度也是64bit��,沒有數(shù)據(jù)擴(kuò)展����,密鑰長度為64bit,其中有8bit奇偶校驗(yàn)��,有效密鑰長度為56bit�����。加密過程包括16輪的加密迭代,每輪都采用一種乘積密碼方式(代替和移位)�。DES整個(gè)體制是公開的,系統(tǒng)的安全性全靠密鑰的保密�����。DES算法的入口參數(shù)有3個(gè):Key����、Data、Mode�����。其中��,Key為8個(gè)字節(jié)共64位��,是DES算法的工作密鑰��。Data也是8個(gè)字節(jié)64位��,是需被加密或解密的數(shù)據(jù)。Mode為DES的工作方式����,分為加密或解密兩種�����。DES算法的步驟為:如Mode為加密���,則用Key去對數(shù)據(jù)進(jìn)行加密�,生成Data的密碼形式(64位)作為DES輸出結(jié)果����。如Mode為解密,則用Key去把密碼形式的數(shù)據(jù)Data解密���,還原為Data的明碼形式(64位)作為DES的輸出結(jié)果�����。DES是一種世界公認(rèn)的較好的加密算法�����,具有較高的安全性���,到目前為止除了用窮舉搜索法對DES算法進(jìn)行攻擊外�,尚未發(fā)現(xiàn)更有效的方法���。
(2)非對稱加密�����。非對稱加密的最大特點(diǎn)是采用兩個(gè)密鑰將加密和解密能力分開�。一個(gè)公開作為加密密鑰��;一個(gè)為用戶專用����,作為解密密鑰,通信雙方無需事先交換密鑰就可進(jìn)行保密通信�����。而要從公開的公鑰或密文分析出明文或密鑰����,在計(jì)算上是不可行的���。若以公開鑰作為加密密鑰,以用戶專用鑰作為解密密鑰�,則可實(shí)現(xiàn)多個(gè)用戶加密的信息只能由一個(gè)用戶解讀。反之��,以用戶專用鑰作為加密密鑰而以公開鑰作為解密密鑰���,則可實(shí)現(xiàn)由一個(gè)用戶加密的消息而使多個(gè)用戶解讀,前者可用于保密通信�,后者可用于數(shù)字簽字。非對稱加密體制的出現(xiàn)是密碼學(xué)史上劃時(shí)代的事件�����,為解決計(jì)算機(jī)信息網(wǎng)中的安全提供了新的理論技術(shù)基礎(chǔ)��。其優(yōu)點(diǎn)是很好地解決了對稱加密中密鑰數(shù)量過多難以管理的不足��,且保密性能優(yōu)于對稱加密算法��;缺點(diǎn)是算法復(fù)雜�,加密速度不是很理想。
目前����,RSA算法是最著名且應(yīng)用最廣泛的公鑰算法�����,其安全性基于模運(yùn)算的整數(shù)因子分解的困難性���。
算法內(nèi)容簡要描述如下:①獨(dú)立選取兩大素?cái)?shù)p和q,計(jì)算n=p×q����;其歐拉函數(shù)值z=(p-1)×(q-1)。②隨機(jī)選一整數(shù)e�,1≤e由于RSA涉及大數(shù)計(jì)算,無論是硬件或軟件實(shí)現(xiàn)的效率都比較低���,不適用對長的明文加密�����,常用來對密鑰加密���,即與對稱密碼體制結(jié)合使用。
(三)網(wǎng)上交易身份認(rèn)證機(jī)制
網(wǎng)上交易身份認(rèn)證對于建立電子商務(wù)業(yè)界的信用機(jī)制起著重要作用�,因此如何確認(rèn)網(wǎng)上交易者的身份便成為諸多電子商務(wù)網(wǎng)站迫切希望解決的問題���。
(1)在目前網(wǎng)絡(luò)法律制度還不健全的時(shí)代,自律機(jī)制非常重要�,網(wǎng)絡(luò)交易的有效性和真實(shí)性在一定程度上能夠反映這個(gè)國家的信用機(jī)制的完善程度。相對而言�,國外的電子商務(wù)信用體系相對較高,其交易身份認(rèn)證多與信用卡等銀行信用記錄掛鉤���,而我國則更多的是通過手機(jī)和身份證等方式進(jìn)行����。
(2)一些網(wǎng)上交易平臺(tái)為了幫助交易雙方打消顧慮����,順利進(jìn)行交易�����,提供第三方介入的支付方式��,以保護(hù)雙方的合法利益��,這種機(jī)制對于維護(hù)網(wǎng)上交易的誠信起到了很好的作用�����。
(3)電子郵件在電子商務(wù)交易中對子商務(wù)交易者的身份認(rèn)證機(jī)制起著重要作用。電子郵件一旦重復(fù)則易造成無法注冊����,甚至很多網(wǎng)站要求用戶兩次輸入有效的電子郵件以進(jìn)行確認(rèn),以確保之后的所有信息能夠順利進(jìn)行����,所有的網(wǎng)站均將用戶的電子郵件作為聯(lián)系用戶和確認(rèn)用戶諸多信息的重要聯(lián)系方式,其便捷性毋庸置疑�����。但是���,在電子郵件收費(fèi)的模式基本上發(fā)展前景不甚明朗的今天其有效性和真實(shí)性還值得商榷���。
(4)用戶注冊中所提交的資料即身份認(rèn)證過程中會(huì)涉及到很多可以列為用戶隱私權(quán)保護(hù)的信息,因此����,在進(jìn)行身份認(rèn)證時(shí)還需要考慮隱私權(quán)保護(hù)問題。現(xiàn)在幾乎所有的電子商務(wù)網(wǎng)站上都有隱私權(quán)法律聲明��,或者在用戶填寫過程中就通過鏈接的形式彈出窗口聲明用戶的這些資料將被用于那些用途。盡管如此����,由于網(wǎng)絡(luò)上沒有絕對的安全,如果由于技術(shù)上的原因?qū)е掠脩舻纳矸菡J(rèn)證資料泄露給他人����,甚至被他人用于牟利或者其他非法目的,網(wǎng)站是否應(yīng)該承擔(dān)責(zé)任��、應(yīng)該承擔(dān)什么樣的責(zé)任��,也是身份認(rèn)證機(jī)制應(yīng)該考慮的問題��。
篇2
人類社會(huì)進(jìn)入20世紀(jì)70年代以來,以微電子技術(shù)為基礎(chǔ)的計(jì)算機(jī)技術(shù)和通信技術(shù)取得了長足的進(jìn)展,并滲透到經(jīng)濟(jì)和社會(huì)的各個(gè)領(lǐng)域,從而引起了世界范圍內(nèi)的新技術(shù)創(chuàng)新浪潮�。信息化建設(shè)受到各國政府的高度重視,1991年美國提出"信息高速公路"的設(shè)想,1993年正式實(shí)施"國家信息基礎(chǔ)結(jié)構(gòu):行動(dòng)計(jì)劃";1978年法國制定了一項(xiàng)有關(guān)"促進(jìn)社會(huì)信息化的計(jì)劃",從那以后,法國政府不斷推進(jìn)信息革命,每年投入50億美元巨款改進(jìn)通信設(shè)備;早在1983年,我國政府就把發(fā)展信息技術(shù)納入了國家總體科技論文發(fā)展戰(zhàn)略規(guī)劃中,1999年,我國政府上網(wǎng)工程迅速推進(jìn),國家信息化戰(zhàn)略�、數(shù)字化產(chǎn)品發(fā)展戰(zhàn)略、電子商務(wù)發(fā)展框架也都在加緊研究����、制定中。目前全球的計(jì)算機(jī)社會(huì)擁有量迅速增加,互聯(lián)網(wǎng)用戶呈幾何級(jí)數(shù)增長,新的經(jīng)濟(jì)消費(fèi)觀正在逐步形成�����。電子商務(wù)的社會(huì)基礎(chǔ)已經(jīng)形成。Internet技術(shù)的應(yīng)用普及為電子商務(wù)奠定了基礎(chǔ)條件,萬維網(wǎng)及相關(guān)技術(shù)的推出開創(chuàng)了電子商務(wù)應(yīng)用的新局面,基于Internet的網(wǎng)絡(luò)環(huán)境建設(shè)是開創(chuàng)電子商務(wù)市場的前提,安全保障等核心技術(shù)的實(shí)用化是電子商務(wù)成功的保證,商貿(mào)活動(dòng)的信息網(wǎng)絡(luò)化加快了電子商務(wù)的發(fā)展進(jìn)程,各種解決方案的推出標(biāo)志著電子商務(wù)即將進(jìn)入實(shí)用化階段��。
從技術(shù)的角度看,電子商務(wù)的發(fā)展經(jīng)歷了啟蒙階段�、商業(yè)化階段、社會(huì)化階段,并開始步入智能化時(shí)代��?�;仡櫰髽I(yè)信息化和電子商務(wù)的發(fā)展過程,從最初各部門用數(shù)據(jù)庫管理本部門的數(shù)據(jù),通過辦公自動(dòng)化(OA)實(shí)現(xiàn)企業(yè)內(nèi)部辦公文檔傳遞,到建立統(tǒng)一的ERP系統(tǒng)為管理決策提供信息,通過CRM和SCM將企業(yè)和客戶��、供應(yīng)商等整個(gè)供應(yīng)鏈上的各個(gè)環(huán)節(jié)聯(lián)系起來,再到以服務(wù)形式提供各式應(yīng)用,通過第三方ASP實(shí)現(xiàn)企業(yè)應(yīng)用服務(wù)的外包,這實(shí)際上就是一個(gè)從數(shù)據(jù)�����、信息到服務(wù)的縱向發(fā)展過程��?;ヂ?lián)網(wǎng)應(yīng)用的發(fā)展也是這樣,從最初企業(yè)間使用EDI交換數(shù)據(jù),Email通訊傳遞簡單的信息,到通過門戶網(wǎng)站、搜索引擎獲取所需信息,與世界各地的人在BBS上交流信息,再到如今的通過社會(huì)網(wǎng)絡(luò)SNS拓展自己的交際圈,社會(huì)化程度越來越高�。隨著信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的普及和深入應(yīng)用,電子商務(wù)正在以前所未有的速度發(fā)展,以其方便性和靈活性向傳統(tǒng)商務(wù)模型提出了挑戰(zhàn)?����;ヂ?lián)網(wǎng)的飛速發(fā)展,使得傳統(tǒng)的商業(yè)模式產(chǎn)生了深刻的變化����,在相當(dāng)程度上改變著人們的日常生活習(xí)慣?;诰W(wǎng)絡(luò)的電子商務(wù)作為一種全新的商業(yè)模式,已經(jīng)得到了快速的發(fā)展�����,但網(wǎng)絡(luò)交易的安全問題始終是阻礙電子商務(wù)全面發(fā)展的巨大障礙�����。因此采用先進(jìn)的網(wǎng)絡(luò)信息安全防范技術(shù)�����,為電子商務(wù)提供完整的安全保障體系���,進(jìn)而推動(dòng)電子商務(wù)高速發(fā)展。1.電子商務(wù)信息安全要素互聯(lián)網(wǎng)是一個(gè)完全開放的網(wǎng)絡(luò),任何一臺(tái)計(jì)算機(jī)���、任何一個(gè)網(wǎng)絡(luò)都可以與之聯(lián)接,并借助互聯(lián)網(wǎng)信息,進(jìn)行各種網(wǎng)上商務(wù)活動(dòng)�����。同時(shí),也給那些別有用心的組織或個(gè)人提供了竊取別人的各種機(jī)密如消費(fèi)者的銀行賬號(hào)��、密碼,甚至妨礙或毀壞他人網(wǎng)絡(luò)系統(tǒng)運(yùn)行等各種機(jī)會(huì)�����。影響電子商務(wù)信息安全要素主要有系統(tǒng)的可靠性�,交易的真實(shí)性,資料的安全性��,資料的完整性�����,交易的不可抵賴性等����。概括起來,電子商務(wù)面臨的安全威脅主要有以下幾方面。
1.1系統(tǒng)的中斷與癱瘓���。網(wǎng)絡(luò)故障���、操作失誤、應(yīng)用程序出錯(cuò)、硬件故障�、系統(tǒng)軟件設(shè)計(jì)不完善以及計(jì)算機(jī)病毒都有可能導(dǎo)致系統(tǒng)不能正常工作。如在劃撥貨款的過程中突然出現(xiàn)網(wǎng)絡(luò)中斷等�����。1.2信息被竊取�。電子商務(wù)作為一種全新的貿(mào)易形式,其通訊的信息直接代表著個(gè)人、企業(yè)或國家的利益�。攻擊者可能通過因特網(wǎng)、公共電話網(wǎng)����、搭線或在電磁波輻射范圍內(nèi)安裝截收裝置等方式,截獲傳輸?shù)臋C(jī)密信息,或通過對信息流量和流向、通信頻度和長度等參數(shù)分析,推斷出有用的信息���、如消費(fèi)者的銀行賬號(hào)��、密碼等��。1.3信息被篡改���。攻擊者可能從三個(gè)方面破壞信息的完整性。1)篡改�。改變信息流的次序,更改信息的內(nèi)容。2)刪除����。刪除某個(gè)消息或消息中的某些部分。3)插入�����。在信息中插入一些其它干擾信息,讓收方讀不懂或接收錯(cuò)誤的信息���。腦知識(shí)與技術(shù)1.4信息被偽造��。1)虛開網(wǎng)站和商店,給用戶發(fā)電子郵件,接受訂單����。2)偽造大量用戶,發(fā)電子郵件,窮盡商家資源����、使合法用戶不能正常訪問網(wǎng)絡(luò)資源。3)冒充他人身份,進(jìn)行消費(fèi)和栽贓等�。1.5對交易行為進(jìn)行抵賴或不承認(rèn)。1)發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條消息或內(nèi)容�。2)收信者事后否認(rèn)曾經(jīng)收到過某條消息或內(nèi)容。3)購買者不承認(rèn)確認(rèn)了的訂單��。4)商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易。2.電子商務(wù)中的信息安全防范技術(shù)
2.1數(shù)據(jù)加密技術(shù)加密技術(shù)是一種主動(dòng)的信息安全防范措施�,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文�����,阻止非法用戶理解原始數(shù)據(jù)���,從而確保數(shù)據(jù)的保密性���。按加密密鑰與解密密鑰的對稱性可分為對稱型加密、不對稱型加密����、不可逆加密。在網(wǎng)絡(luò)安全技術(shù)中�,加密技術(shù)是保障信息安全最關(guān)鍵和最基本的技術(shù)手段和理論基礎(chǔ),但是由于大部分?jǐn)?shù)據(jù)加密算法都源于美國�����,且受到美國出口管制法的限制�,無法在互聯(lián)網(wǎng)上大規(guī)模使用,從而限制了以加密技術(shù)為基礎(chǔ)網(wǎng)絡(luò)安全解決方案的應(yīng)用��。2.2密鑰管理技術(shù)密鑰管理包括確保所產(chǎn)生的密鑰具有必要的屬性,把密鑰提前通知給需要它的特定系統(tǒng)�����,確保密鑰按要求得到保護(hù)以阻止暴露和/或替代�����。其中��,對稱密鑰管理是基于共同保守秘密來實(shí)現(xiàn)的�,采用對稱加密技術(shù)的雙方必須保證采用的是相同的密鑰�����,要保證彼此密鑰的交換是安全可靠的�����,同時(shí)還要設(shè)定防止密鑰泄漏和更改密鑰的程序����。使用公開密鑰的交易雙方可以使用證書(公開密鑰證書)來交換公開密鑰。國際電聯(lián)指定的X509對37福建電腦2008年第11期數(shù)字證書進(jìn)行了定義��,數(shù)字證書能夠起到標(biāo)識(shí)交易雙方的作用,是目前電子商務(wù)廣泛使用的技術(shù)之一����。2.3身份認(rèn)證技術(shù)網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。要建立安全的電子商務(wù)系統(tǒng),必須首先建立一個(gè)穩(wěn)固���、健全的數(shù)字證書和認(rèn)證中心(CA)����。數(shù)字簽名是利用數(shù)字技術(shù)實(shí)現(xiàn)在網(wǎng)絡(luò)傳送文件時(shí)�����,附加個(gè)人標(biāo)記��,完成傳統(tǒng)意義上手書簽名或印章的作用��,以表示確認(rèn)����、負(fù)責(zé)、經(jīng)手等��。使用數(shù)字簽名可以保證交易中的認(rèn)證性和不可否認(rèn)性���。數(shù)字簽名可以防范:接收方偽造���、發(fā)送者或接收者否認(rèn)�、第三方冒充�、接收方篡改。常見的數(shù)字簽名技術(shù)有:RSA數(shù)字簽名�、DSA數(shù)字簽名��、橢圓曲線數(shù)入侵檢測技術(shù)通常通過基于應(yīng)用的監(jiān)控技術(shù)�、基于主機(jī)的監(jiān)控技術(shù)、基于目標(biāo)的監(jiān)控技術(shù)和基于網(wǎng)絡(luò)的監(jiān)控技術(shù)四種檢測技術(shù)來抵御攻擊�����。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門����,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測,從而提供對內(nèi)部攻擊�����、外部攻擊和誤操作的實(shí)時(shí)保護(hù)�。認(rèn)證機(jī)制是保護(hù)電子商務(wù)安全的第一條防線���。任何一個(gè)在架構(gòu)設(shè)計(jì)上、代碼開發(fā)中以及認(rèn)證的實(shí)現(xiàn)時(shí)所出現(xiàn)的小的漏洞或不足��,都有可能使電子商務(wù)處在被攻擊的風(fēng)險(xiǎn)中����。因此,加強(qiáng)對認(rèn)證攻擊的充分認(rèn)識(shí)和了解����,并在系統(tǒng)開發(fā)時(shí)選擇合適的防御措施,就可以從根本上對某些攻擊進(jìn)行有效的屏蔽���,減少后期頻繁維護(hù)所付出的代價(jià)�,達(dá)到事半功倍的效果��。2.4網(wǎng)絡(luò)安全掃描技術(shù)安全掃描技術(shù)是對網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)提供可靠的分析結(jié)果����,并為系統(tǒng)管理員提供可靠性和安全性分析報(bào)告等。包括端口掃描技術(shù)和漏洞掃描技術(shù)等�����。2.5病毒防范技術(shù)計(jì)算機(jī)病毒實(shí)際上就是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害計(jì)算機(jī)系統(tǒng)的功能程序。病毒經(jīng)過系統(tǒng)穿透或違反授權(quán)攻擊成功后�,攻擊者通常要在系統(tǒng)中植入木馬或邏輯炸彈等程序,為以后攻擊系統(tǒng)��、網(wǎng)絡(luò)提供方便條件����。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁的掃描和監(jiān)測,工作站上采用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等����。2.6電子認(rèn)證技術(shù)為了保證電子商務(wù)安全因素的順利實(shí)現(xiàn)�,在電子商務(wù)中使用了基于公鑰體系的安全系統(tǒng)?�;诠€體系的加密系統(tǒng)是按對生成的��,每對密鑰由公鑰和私鑰組成�����,實(shí)際應(yīng)用中�,公鑰是以證書性質(zhì)存放的,一個(gè)最基本而又是最關(guān)鍵的問題是公鑰的分發(fā),也就是證書的分發(fā)�����,如果證書不能得到有效安全的分發(fā)���,所有的上層應(yīng)用軟件就不能得到安全的保障�,解決問題的方法就是建立認(rèn)證機(jī)構(gòu)體系CA��。2.7防火墻技術(shù)防火墻(Firewall)是近年來發(fā)展最重要的安全技術(shù)��,它是通過對網(wǎng)絡(luò)作拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來加強(qiáng)網(wǎng)絡(luò)安全的一種手段��,核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對安全的子網(wǎng)環(huán)境����。它所保護(hù)的對象是網(wǎng)絡(luò)中有明確閉合邊界的一個(gè)網(wǎng)塊,而它所防范的對象是來自被保護(hù)網(wǎng)塊外部的安全威脅�。目前的防火墻分為兩大類,一類是簡單的包過濾技術(shù)���,它是在網(wǎng)絡(luò)層對數(shù)據(jù)包實(shí)施有選擇的通過��。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯����,檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址�����、目的地址��、所用的TCP端口和TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過�。另一類是應(yīng)用網(wǎng)管和服務(wù)器,其顯著的優(yōu)點(diǎn)是較容易提供細(xì)顆粒度的存取控制����,其可針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告�����。通過應(yīng)用防火墻技術(shù)�����,可以做到通過過濾不安全的服務(wù)�����,極大地提高網(wǎng)絡(luò)安全和減少網(wǎng)絡(luò)中主機(jī)的風(fēng)險(xiǎn)�����。但防火墻是一種基于網(wǎng)絡(luò)邊界的被動(dòng)安全技術(shù)�����,對內(nèi)部未授權(quán)訪問難以有效控制�����,因此較適合于內(nèi)部網(wǎng)絡(luò)相對獨(dú)立����,且與外部網(wǎng)絡(luò)的互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對集中的網(wǎng)絡(luò)����。2.8入侵檢測技術(shù)入侵檢測技術(shù)是一種利用入侵者留下的痕跡,如試圖登錄的失敗記錄等信息來有效地發(fā)現(xiàn)來自外部或內(nèi)部的非法入侵的技術(shù)���。它以探測與控制為技術(shù)本質(zhì)����,起著主動(dòng)防御的作用,是網(wǎng)絡(luò)安全中極其重要的部分���。
3.企業(yè)實(shí)現(xiàn)電子商務(wù)的安全策略安全問題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問題,如何保障電子商務(wù)活動(dòng)的安全,一直是電子商務(wù)的核心研究領(lǐng)域���。作為一個(gè)安全的電子商務(wù)系統(tǒng),必須采用相應(yīng)的網(wǎng)絡(luò)安全策略。安全策略包括網(wǎng)絡(luò)安全問題的總原則�����、對安全使用的要求以及如何保障網(wǎng)絡(luò)的安全運(yùn)行����。3.1制定安全策略時(shí)首先確定的最重要的原則拒絕訪問明確準(zhǔn)許以外的所有服務(wù)。當(dāng)前一些電子商務(wù)企業(yè)的安全策略存在兩個(gè)誤區(qū):首先,企業(yè)所采取的操作系統(tǒng)的標(biāo)準(zhǔn)安全策略存在問題,這一標(biāo)準(zhǔn)安全策略只能提供一道脆弱的防線,很容易被攻破;其次,為滿足多種安全需求,許多企業(yè)以零碎的方式實(shí)施節(jié)點(diǎn)式解決方案,這雖然對電子商務(wù)的某些領(lǐng)域提供了有限的保護(hù),但同時(shí)使系統(tǒng)管理更為復(fù)雜�。阻止外來系統(tǒng)入侵只是電子商務(wù)安全的一個(gè)方面。成功的電子商務(wù)安全策略,必須涵蓋身份識(shí)別與認(rèn)證��、隱私與欺騙控制��、管理與審計(jì)等傳統(tǒng)領(lǐng)域����。3.2安全策略制定時(shí)還應(yīng)注意的問題3.2.1將需保護(hù)的對象分類,確定需保護(hù)的資源及其保護(hù)級(jí)別;規(guī)定可以訪問資源的實(shí)體和可執(zhí)行的動(dòng)作;規(guī)定審計(jì)功能,記錄用戶活動(dòng)及資源使用情況��。3.2.2系統(tǒng)的安全應(yīng)從物理上、技術(shù)上�����、管理制度上以及安全教育上全方位采取措施,相互彌補(bǔ)和完善,盡可能地排除安全漏洞�����。3.2.3根據(jù)企業(yè)的實(shí)際需要確定內(nèi)部網(wǎng)的服務(wù)類型,規(guī)定內(nèi)部用戶和外部用戶能夠使用的服務(wù)種類,建立網(wǎng)管站,并制定出切實(shí)可行的安全管理制度��。此外還需完善電子商務(wù)企業(yè)內(nèi)部安全管理體制,增強(qiáng)相關(guān)人員的安全意識(shí)����。
4.結(jié)束語電子商務(wù)尚是一個(gè)機(jī)遇和挑戰(zhàn)共存的新領(lǐng)域,這種挑戰(zhàn)不僅來源于傳統(tǒng)的習(xí)慣,來源于計(jì)劃經(jīng)濟(jì)體制和市場經(jīng)濟(jì)體制的沖突,更來源于對可使用的安全技術(shù)的信賴。企業(yè)在應(yīng)用電子商務(wù)時(shí),應(yīng)采取一系列的安全技術(shù)和安全策略����。這種種安全措施的采用,一定能保證企業(yè)進(jìn)行安全的電子商務(wù)活動(dòng)。
參考文獻(xiàn):
1.韓磊石松:淺談電子商務(wù)中信息安全問題[J].臨沂師范學(xué)院學(xué)報(bào)��,2001����;(8):136-139
2.黃發(fā)文:計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)初探[J].計(jì)算機(jī)應(yīng)用研究,2002(5):46-48
3.林柏鋼.網(wǎng)絡(luò)與信息安全教程[M].機(jī)械工業(yè)出版社,2005.
篇3
一���、電子商務(wù)網(wǎng)絡(luò)信息安全存在的問題
電子商務(wù)的前提是信息的安全性保障����,信息安全,勝的含義主要是信息的完整性����、可用性、保密險(xiǎn)和可靠性����。因此電子商務(wù)活動(dòng)中的信安全問題主要體現(xiàn)在以兩個(gè)方面:
1、網(wǎng)絡(luò)信息安全方面
(l)安全協(xié)議問題�。目前安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范,相對制約了國際性的商務(wù)活動(dòng)���。此外�����,在安全管理方面還存在很大隱患���,普遍難以抵御黑客的攻擊。
(3)防病毒問題����。互聯(lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介�����,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑��,在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個(gè)十分緊迫的問題�。
(4)服務(wù)器的安全問題。裝有大量與電子商務(wù)有關(guān)的軟件和商戶信息的系統(tǒng)服務(wù)器是電子商務(wù)的核心�����,所以服務(wù)器特別容易受到安全的威脅����,并且一旦出現(xiàn)安全問題,造成的后果會(huì)非常嚴(yán)重��。
2����、電子商務(wù)交易方面
(1)身份的不確定問題。由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺(tái)�,在這個(gè)平臺(tái)上交易雙方是不需要見面的����,因此帶來了交易雙方身份的不確定性����。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易����。
(2)交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性�。有些用戶可能對自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任���。
(3)交易的修改問題�。交易文件是不可修改的���,否則必然會(huì)影響到另一方的商業(yè)利益�����。電子商務(wù)中的交易文件同樣也不能修改��,以保證商務(wù)交易的嚴(yán)肅和公正�����。
二��、電子商務(wù)中的網(wǎng)絡(luò)信息安全對策
1���、電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)對策
(1)應(yīng)用數(shù)字簽名。數(shù)字簽名是用來保證信息傳輸過程中信息的完整和提供信息發(fā)送者身份的認(rèn)證�����,應(yīng)用數(shù)字簽名可在電子商務(wù)中安全����,方便地實(shí)現(xiàn)在線支付,而數(shù)據(jù)傳輸?shù)陌踩?、完整性,身份?yàn)證機(jī)制以及交易的不可抵賴性等均可通過電子簽名的安全認(rèn)證手段加以解決���。(2)配置防火墻�。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度�,它能阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改、拷貝�、毀壞你的重要信息。它能控制網(wǎng)絡(luò)內(nèi)外的信息交流�,提供接人控制和審查跟蹤,是一種訪問控制機(jī)制�。在邏輯,防火墻是一個(gè)分離器�、限制器,能有效監(jiān)控內(nèi)部網(wǎng)和工nternet之間的任何活動(dòng)�,保證內(nèi)部網(wǎng)絡(luò)的安全。
(3)應(yīng)用加密技術(shù)���。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和公用密鑰體制兩��。相應(yīng)地����,對數(shù)據(jù)加密的技術(shù)分為對稱加密和非討稱力日密兩類�。根據(jù)電子商務(wù)系統(tǒng)的特點(diǎn),全面加密保護(hù)應(yīng)包括對遠(yuǎn)程通信過程中和網(wǎng)內(nèi)通信過程中傳輸?shù)臄?shù)據(jù)實(shí)施加密保護(hù)�。一般來說,應(yīng)根據(jù)管理級(jí)別所對應(yīng)的數(shù)據(jù)保密要求進(jìn)行部分加密而非全程加密��。
2����、電子商務(wù)網(wǎng)絡(luò)安全的管理策略
(1)建立保密制度�����。涉及信息保密����、口令或密碼保密��、通信地址保密���、日常管理和系統(tǒng)運(yùn)行狀況保密、工作日記保密等各個(gè)方面��。對各類保密都需要慎重考慮���,根據(jù)輕重程度劃分好不同的保密級(jí)別�,并制定出相應(yīng)的保密措施��。
(2)建立系統(tǒng)維護(hù)制度�。該制度是電子商務(wù)網(wǎng)絡(luò)系統(tǒng)能否保持長期安全、穩(wěn)定運(yùn)行的基本保證��,應(yīng)由專職網(wǎng)絡(luò)管理技術(shù)人員承擔(dān),為安全起見�����,其他任何人不得介人�,主要做好硬件系統(tǒng)日常借理維護(hù)和軟件系統(tǒng)日常管理維護(hù)兩方面的工作。
(3)建立病毒防范制度�。病毒在網(wǎng)絡(luò)環(huán)境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外���,還要及時(shí)升級(jí)防病毒軟件版本�、及時(shí)通報(bào)病毒人侵信息等工作�。此外,還可將網(wǎng)絡(luò)系統(tǒng)中易感染病毒的文件屬性����、權(quán)限加以限制,斷絕病毒人侵的渠道���,從而達(dá)預(yù)防的目的��。
(4)建立數(shù)據(jù)備份和恢復(fù)的保障制度����。作為一個(gè)成功的電子商務(wù)系統(tǒng),應(yīng)針對信息安全至少提供三個(gè)層面的安全保護(hù)措施:一是數(shù)據(jù)在操作系統(tǒng)內(nèi)部或者盤陣中實(shí)現(xiàn)快照����、鏡像;二是對數(shù)據(jù)庫及郵件服務(wù)器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動(dòng)備份;三是對重要的數(shù)據(jù)做到通過廣域網(wǎng)專線等途徑做好數(shù)據(jù)的克隆備份,通過以土保護(hù)措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險(xiǎn)��。
三��、電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)
電子商務(wù)的網(wǎng)絡(luò)信息安全不僅與技術(shù)有關(guān)�����,更與社會(huì)因素���、法制環(huán)境等多方面因素有關(guān)。故應(yīng)對電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)劃分如下:
1.電子商務(wù)系統(tǒng)硬件安全�����。主要是指保護(hù)電子商務(wù)系統(tǒng)所涉及計(jì)算機(jī)硬件的安全性���,保證其可靠哇和為系統(tǒng)提供基礎(chǔ)性作用的安全機(jī)制��。
2.電子商務(wù)系統(tǒng)軟件安全���。主要是指保證交易記錄及相關(guān)數(shù)據(jù)不被篡改���、破壞與非法復(fù)制,系統(tǒng)軟件安全的目標(biāo)是使系統(tǒng)中信息的處理和傳輸滿足整個(gè)系統(tǒng)安全策略需求���。
3.電子商務(wù)系統(tǒng)運(yùn)行安全�����。主要指滿足系統(tǒng)能夠可靠���、穩(wěn)定、持續(xù)和正常的運(yùn)行�����。
篇4
2電子商務(wù)安全教學(xué)方法改革
目前電子商務(wù)安全課程在教學(xué)過程中�����,學(xué)生對教材的知識(shí)缺乏主動(dòng)理解和接受���,學(xué)習(xí)的興趣和主動(dòng)性不高�。因此要對現(xiàn)有以教學(xué)大綱為主要目標(biāo)的方法進(jìn)行改革,能讓學(xué)生融會(huì)貫通理論知識(shí)����,主動(dòng)思考問題,具有理解分析解決實(shí)際問題能力���。本文提出電子商務(wù)安全課程在課堂講授的進(jìn)行:教師準(zhǔn)備階段�����,學(xué)生準(zhǔn)備階段�,小組討論階段���、集中討論階段和總結(jié)階段���。主要目的是使老師和學(xué)生在課堂上有較大的自我發(fā)揮空間����。在教學(xué)法的五個(gè)階段中,教師準(zhǔn)備階段和學(xué)生預(yù)備階段是教學(xué)法中最為關(guān)鍵的環(huán)節(jié)�。教師準(zhǔn)備階段:教師準(zhǔn)備是教學(xué)的第一環(huán)節(jié),也是為明確教學(xué)目而準(zhǔn)備�����,是有序進(jìn)行教學(xué)組織與設(shè)計(jì)的基礎(chǔ)。明確教學(xué)目標(biāo)后����,就應(yīng)選擇合適教學(xué)背景,教學(xué)背景應(yīng)且具有高啟發(fā)性素材�,并且滿足教學(xué)目標(biāo)切合實(shí)際的教學(xué)案例。對選擇的教學(xué)案例或素材還需要對及進(jìn)行典型化處理����,最后準(zhǔn)備在課堂上提出讓學(xué)生思考的問題,引導(dǎo)介紹學(xué)生學(xué)習(xí)相關(guān)資料��。學(xué)生預(yù)備階段:課前讓學(xué)生閱讀典型化處理相關(guān)學(xué)習(xí)資料�����,老師指導(dǎo)學(xué)生查閱相關(guān)學(xué)習(xí)資料�,讓學(xué)生課前主動(dòng)準(zhǔn)備課堂講授知識(shí)的信息,對老師提出的思考問題要求學(xué)生獨(dú)立思考并形成初步的解決方法����。小組討論階段:首先根據(jù)學(xué)生人數(shù)將學(xué)生分為3到5人小組,然后在小組范圍內(nèi)自行組織討論���,再確定小組成員的任務(wù)分工��,最后形成小組在課堂上展示方案�����。課堂展示階段:在時(shí)間控制在半個(gè)課時(shí)以內(nèi)前提條件下各小組派代表對問題解決方案進(jìn)行展示���,其他小組對解決方法進(jìn)行互動(dòng)式提問和回答����,這個(gè)過程需要教師加以正確引導(dǎo)���。老師總結(jié)階段:老師總結(jié)出意見比較集中的問題����,針對重點(diǎn)問題組織大家集中討論����,并提出引導(dǎo)性建議擴(kuò)展深化學(xué)生對有疑慮問題的理解。
3電子商務(wù)安全課程實(shí)踐
傳統(tǒng)的電子商務(wù)安全課程教學(xué)是以理論知識(shí)為中心的教育體系�,對實(shí)踐操作課程和技能的要求不高�,很可能會(huì)導(dǎo)致學(xué)生在畢業(yè)后難以適應(yīng)工作的要求����,在現(xiàn)行教育模式中�����,用人單位也很難選擇到合格的專業(yè)技術(shù)人才�����。為此�,本課題對信息安全專業(yè)開設(shè)的電子商務(wù)安全課程特點(diǎn)及開發(fā)合適的教學(xué)模式,尤其是如何建立創(chuàng)新性實(shí)踐教學(xué)體系進(jìn)行了研究�,以教學(xué)目標(biāo)為指導(dǎo)、以社會(huì)需求為導(dǎo)向���,開發(fā)以學(xué)生就業(yè)為宗旨的高技能型人才培養(yǎng)模式��,根據(jù)電子商務(wù)安全課程特點(diǎn)����,將信息安全未來發(fā)展的創(chuàng)新技術(shù)運(yùn)用到電子商務(wù)安全教學(xué)方法中���,建立較為全面的以人才培養(yǎng)目標(biāo)為基礎(chǔ)的創(chuàng)新環(huán)境和教學(xué)模式�����。另外�,本課程實(shí)踐教學(xué)內(nèi)容的要求是讓學(xué)生對電子商務(wù)安全和信息安全的理論和實(shí)踐聯(lián)系建立一個(gè)全面的知識(shí)結(jié)構(gòu)。通過實(shí)踐環(huán)節(jié)設(shè)置���,讓學(xué)生了解電子商務(wù)安全加密技術(shù)及使用技能�����;了解電子商務(wù)郵件和數(shù)字簽名的聯(lián)系及作用���;熟練掌握電子商務(wù)安全協(xié)議的設(shè)置;掌握PKI的應(yīng)用及數(shù)字證書的申請���、安裝和使用流程����;熟悉基本的電子支付工具的使用��。本課程的為實(shí)現(xiàn)實(shí)踐培養(yǎng)目標(biāo)對實(shí)驗(yàn)教學(xué)進(jìn)行合理的安排�。
篇5
2003年對中國來說是個(gè)多事之秋�����,先是SARS肆虐后接高溫威脅。但對電子商務(wù)來說�����,卻未必不是好事:更多的企業(yè)�����、個(gè)人及其他各種組織�,甚至包括政府都在積極地推動(dòng)電子商務(wù)的發(fā)展,越來越多的人投入到電子商務(wù)中去��。電子商務(wù)是指發(fā)生在開放網(wǎng)絡(luò)上的商務(wù)活動(dòng)�,現(xiàn)在主要是指在Internet上完成的電子商務(wù)。
Intenet所具有的開放性是電子商務(wù)方便快捷��、廣泛傳播的基礎(chǔ)����,而開放性本身又會(huì)使網(wǎng)上交易面臨種種危險(xiǎn)。一個(gè)真正的電子商務(wù)系統(tǒng)并非單純意味著一個(gè)商家和用戶之間開展交易的界面�����,而應(yīng)該是利用Web技術(shù)使Web站點(diǎn)與公司的后端數(shù)據(jù)庫系統(tǒng)相連接,向客戶提供有關(guān)產(chǎn)品的庫存�����、發(fā)貨情況以及賬款狀況的實(shí)時(shí)信息����,從而實(shí)現(xiàn)在電子時(shí)空中完成現(xiàn)實(shí)生活中的交易活動(dòng)。這種新的完整的電子商務(wù)系統(tǒng)可以將內(nèi)部網(wǎng)與Internet連接�,使小到本企業(yè)的商業(yè)機(jī)密、商務(wù)活動(dòng)的正常運(yùn)轉(zhuǎn)���,大至國家的政治���、經(jīng)濟(jì)機(jī)密都將面臨網(wǎng)上黑客與病毒的嚴(yán)峻考驗(yàn)。因此���,安全性始終是電子商務(wù)的核心和關(guān)鍵問題���。
電子商務(wù)的安全問題,總的來說分為二部分:一是網(wǎng)絡(luò)安全�,二是商務(wù)安全��。計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全����,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全����,數(shù)據(jù)庫安全���,工作人員和環(huán)境等����。其特征是針對計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題�,實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案,以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)�。商務(wù)安全則緊緊圍繞傳統(tǒng)商務(wù)在Internet上應(yīng)用時(shí)產(chǎn)生的各種安全問題,在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上�,如何保障電子商務(wù)過程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性�����,完整性����,可鑒別性���,不可偽造性和不可依賴性。
一��、網(wǎng)絡(luò)安全問題
一般來說����,計(jì)算機(jī)網(wǎng)絡(luò)安全問題是計(jì)算機(jī)系統(tǒng)本身存在的漏洞和其他人為因素構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)的潛在威脅。一方面�,計(jì)算機(jī)系統(tǒng)硬件和通信設(shè)施極易遭受自然環(huán)境的影響(如溫度、濕度�、電磁場等)以及自然災(zāi)害和人為(包括故意破壞和非故意破壞)的物理破壞;另一方面計(jì)算機(jī)內(nèi)的軟件資源和數(shù)據(jù)易受到非法的竊取����、復(fù)制、篡改和毀壞等攻擊���;同時(shí)計(jì)算機(jī)系統(tǒng)的硬件�����、軟件的自然損耗等同樣會(huì)影響系統(tǒng)的正常工作���,造成計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)信息的損壞��、丟失和安全事故�����。
二��、計(jì)算機(jī)網(wǎng)絡(luò)安全體系
一個(gè)全方位的計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全�、訪問控制安全��、系統(tǒng)安全���、用戶安全、信息加密���、安全傳輸和管理安全等�。充分利用各種先進(jìn)的主機(jī)安全技術(shù)�、身份認(rèn)證技術(shù)、訪問控制技術(shù)�、密碼技術(shù)、防火墻技術(shù)���、安全審計(jì)技術(shù)���、安全管理技術(shù)�、系統(tǒng)漏洞檢測技術(shù)�、黑客跟蹤技術(shù),在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線�,極大地增加了惡意攻擊的難度,并增加了審核信息的數(shù)量���,利用這些審核信息可以跟蹤入侵者���。
在實(shí)施網(wǎng)絡(luò)安全防范措施時(shí),首先要加強(qiáng)主機(jī)本身的安全����,做好安全配置,及時(shí)安裝安全補(bǔ)丁程序�����,減少漏洞���;其次要用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析���,找出可能存在的安全隱患����,并及時(shí)加以修補(bǔ)�����;從路由器到用戶各級(jí)建立完善的訪問控制措施���,安裝防火墻�,加強(qiáng)授權(quán)管理和認(rèn)證���;利用RAID5等數(shù)據(jù)存儲(chǔ)技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施。
對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施����;對在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M(jìn)行強(qiáng)度的數(shù)據(jù)加密;安裝防病毒軟件����,加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施;建立詳細(xì)的安全審計(jì)日志,以便檢測并跟蹤入侵攻擊等����。
網(wǎng)絡(luò)安全技術(shù)是伴隨著網(wǎng)絡(luò)的誕生而出現(xiàn)的,但直到80年代末才引起關(guān)注�,90年代在國外獲得了飛速的發(fā)展。近幾年頻繁出現(xiàn)的安全事故引起了各國計(jì)算機(jī)安全界的高度重視��,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)也因此出現(xiàn)了日新月異的變化�。安全核心系統(tǒng)、VPN安全隧道�����、身份認(rèn)證���、網(wǎng)絡(luò)底層數(shù)據(jù)加密和網(wǎng)絡(luò)入侵主動(dòng)監(jiān)測等越來越高深復(fù)雜的安全技術(shù)極大地從不同層次加強(qiáng)了計(jì)算機(jī)網(wǎng)絡(luò)的整體安全性���。安全核心系統(tǒng)在實(shí)現(xiàn)一個(gè)完整或較完整的安全體系的同時(shí)也能與傳統(tǒng)網(wǎng)絡(luò)協(xié)議保持一致。它以密碼核心系統(tǒng)為基礎(chǔ)����,支持不同類型的安全硬件產(chǎn)品,屏蔽安全硬件以變化對上層應(yīng)用的影響����,實(shí)現(xiàn)多種網(wǎng)絡(luò)安全協(xié)議�,并在此之上提供各種安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用���。
互聯(lián)網(wǎng)已經(jīng)日漸融入到人類社會(huì)的各個(gè)方面中���,網(wǎng)絡(luò)防護(hù)與網(wǎng)絡(luò)攻擊之間的斗爭也將更加激烈。這就對網(wǎng)絡(luò)安全技術(shù)提出了更高的要求��。未來的網(wǎng)絡(luò)安全技術(shù)將會(huì)涉及到計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)層次中�,但圍繞電子商務(wù)安全的防護(hù)技術(shù)將在未來的幾年中成為重點(diǎn),如身份認(rèn)證����,授權(quán)檢查,數(shù)據(jù)安全�,通信安全等將對電子商務(wù)安全產(chǎn)生決定性影響。
三���、商務(wù)安全要求
作為一個(gè)成功的電子商務(wù)系統(tǒng),首先要消除客戶對交易過程中安全問題的擔(dān)心才能夠吸引用戶通過WEB購買產(chǎn)品和服務(wù)����。使用者擔(dān)心在網(wǎng)絡(luò)上傳輸?shù)男庞每皞€(gè)人資料被截取,或者是不幸遇到“黑店”,信用卡資料被不正當(dāng)運(yùn)用����;而特約商店也擔(dān)心收到的是被盜用的信用卡號(hào)碼,或是交易不認(rèn)賬�����,還有可能因網(wǎng)絡(luò)不穩(wěn)定或是應(yīng)用軟件設(shè)計(jì)不良導(dǎo)致被黑客侵入所引發(fā)的損失�����。由于在消費(fèi)者��、特約商店甚至與金融單位之間��,權(quán)責(zé)關(guān)系還未徹底理清��,以及每一家電子商場或商店的支付系統(tǒng)所使用的安全控管都不盡相同��,于是造成使用者有無所適從的感覺���,因擔(dān)憂而猶豫不前�����。因些�,電子商務(wù)順利開展的核心和關(guān)鍵問題是保證交易的安全性,這是網(wǎng)上交易的基礎(chǔ)�,也是電子商務(wù)技術(shù)的難點(diǎn)。
用戶對于安全的需求主要包括以下幾下方面:
1.信息的保密性���。交易中的商務(wù)信息均有保密的要求�。如信用卡的賬號(hào)和用戶被人知悉�����,就可能被盜用��;定貨和付款信息被競爭對手獲悉�,就可能喪失商機(jī)。因此在電子商務(wù)中的信息一般都有加密的要求��。
2.交易者身份的確定性���。網(wǎng)上交易的雙方很可能素昧平生���,相隔千里。因此�����,要使交易能夠成功����,首先要想辦法確認(rèn)對方的身份。對商家而言��,要考慮客戶端是否是騙子���,而客戶也會(huì)擔(dān)心網(wǎng)上的商店是否是黑店���。因此,能方便而可靠地確認(rèn)對方身份是交易的前提����。
3.交易的不可否認(rèn)性。交易一旦達(dá)成�,是不能被否認(rèn)的,否則必然會(huì)損害一方的利益��。因此電子交易過程中通信的各個(gè)環(huán)節(jié)都必須是不可否認(rèn)的�。主要包括:源點(diǎn)不可否認(rèn):信息發(fā)送者事后無法否認(rèn)其發(fā)送了信息。接收不可否認(rèn):信息接收方無法否認(rèn)其收到了信息����?;貓?zhí)不可否認(rèn):發(fā)送責(zé)任回執(zhí)的各個(gè)環(huán)節(jié)均無法推脫其應(yīng)負(fù)的責(zé)任��。
4.交易內(nèi)容的完整性����。交易的文件是不可以被修改的,否則必然會(huì)損害交易的嚴(yán)肅性和公平性�。
5.訪問控制。不同訪問用戶在一個(gè)交易系統(tǒng)中的身份和職能是不同的���,任何合法用戶只能訪問系統(tǒng)中授權(quán)和指定的資源�����,非法用戶將拒絕訪問系統(tǒng)資源����。
四����、電子商務(wù)安全交易標(biāo)準(zhǔn)
近年來,針對電子交易安全的要求�,IT業(yè)界與金融行業(yè)一起�����,推出不少有效的安全交易標(biāo)準(zhǔn)和技術(shù)。主要的協(xié)議標(biāo)準(zhǔn)有:
1.安全超文本傳輸協(xié)議(S—HTTP):依靠對密鑰的加密�,保障Web站點(diǎn)間的交易信息傳輸?shù)陌踩浴?/p>
2.安全套接層協(xié)議(SSL):由Netscape公司提出的安全交易協(xié)議,提供加密���、認(rèn)證服務(wù)和報(bào)文的完整性��。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器��,以完成需要的安全交易操作����。
3.安全交易技術(shù)協(xié)議(STT���,SecureTransactionTechnology):由Microsoft公司提出����,STT將認(rèn)證和解密在瀏覽器中分離開��,用以提高安全控制能力��。Microsoft在InternetExplorer中采用這一技術(shù)。
4.安全電子交易協(xié)議(SET�,SecureElectronicTransaction):1996年6月,由IBM����、MasterCardInternational、VisaInternational�、Microsoft、Netscape�����、GTE����、VeriSign、SAIC���、Terisa就共同制定的標(biāo)準(zhǔn)SET公告�,并于1997年5月底了SETSpecificationVersion1.0����,它涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認(rèn)證�、數(shù)據(jù)簽名等。SET2.0預(yù)計(jì)今年���,它增加了一些附加的交易要求����。這個(gè)版本是向后兼容的����,符合SET1.0的軟件并不必要跟著升級(jí)��,除非它需要新的交易要求�����。SET規(guī)范明確的主要目標(biāo)是保障付款安全���,確定應(yīng)用之互通性����,并使全球市場接受�����。
所有這些安全交易標(biāo)準(zhǔn)中,SET標(biāo)準(zhǔn)以推廣利用信用卡支付網(wǎng)上交易��,而廣受各界矚目���,它將成為網(wǎng)上交易安全通信協(xié)議的工業(yè)標(biāo)準(zhǔn)���,有望進(jìn)一步推動(dòng)Internet電子商務(wù)市場。
五�、商務(wù)安全的關(guān)鍵CA認(rèn)證
怎樣解決電子商務(wù)安全問題呢?國際通行的做法是采用CA安全認(rèn)證系統(tǒng)���。CA是CertificateAuthority的縮寫���,是證書授權(quán)的意思。在電子商務(wù)系統(tǒng)中����,所有實(shí)體的證書都是由證書授權(quán)中心即CA中心分發(fā)并簽名的。一個(gè)完整����、安全的電子商務(wù)系統(tǒng)必須建立起一個(gè)完整�����、合理的CA體系��。CA機(jī)構(gòu)應(yīng)包括兩大部門:一是審核授權(quán)部門��,它負(fù)責(zé)對證書申請者進(jìn)行資格審查���,決定是否同意給該申請者發(fā)放證書,并承擔(dān)因?qū)徍隋e(cuò)誤引起的一切后果�,因此它應(yīng)由能夠承擔(dān)這些責(zé)任的機(jī)構(gòu)擔(dān)任;另一個(gè)是證書操作部門�����,負(fù)責(zé)為已授權(quán)的申請者制作����、發(fā)放和管理證書��,并承擔(dān)因操作運(yùn)營所產(chǎn)生的一切后果���,包括失密和為沒有獲得授權(quán)者發(fā)放證書等�����,它可以由審核授權(quán)部門自己擔(dān)任�,也可委托給第三方擔(dān)任。
CA體系主要解決幾大問題:1.解決網(wǎng)絡(luò)身份證的認(rèn)證以保證交易各方身份是真實(shí)的�����;2.解決數(shù)據(jù)傳輸?shù)陌踩砸员WC在網(wǎng)絡(luò)中流動(dòng)的數(shù)據(jù)沒有受到破壞或篡改�����;3.解決交易的不可抵賴性以保證對方在網(wǎng)上說的話是真實(shí)的���。
需要注意的是�����,CA認(rèn)證中心并不是安全機(jī)構(gòu)��,而是一個(gè)發(fā)放”身份證”的機(jī)構(gòu)��,相當(dāng)于身份的”公證處”��。因此�,企業(yè)開展電子商務(wù)不僅要依托于CA認(rèn)證機(jī)構(gòu),還需要一個(gè)專業(yè)機(jī)構(gòu)作為外援來解決配置什么安全產(chǎn)品�、怎樣設(shè)置安全策略等問題。外援的最合適人選當(dāng)然非那些提供信息安全軟硬件產(chǎn)品的廠商莫屬了��。好的IT廠商����,會(huì)讓用戶在部署安全策略時(shí)少走許多彎路。在選擇外援時(shí)�����,用戶為了節(jié)省成本���,避免損失���,應(yīng)該把握幾個(gè)基本原則:1.要知道自己究竟需要什么;2.要了解廠商的信譽(yù);3.要了解廠商推薦的安全產(chǎn)品;4.用戶要有一雙”火眼金睛”�,對項(xiàng)目的實(shí)施效果能夠正確加以評(píng)估。有了這些基本的安全思路�����,用戶可以少走許多彎路����。
六�����、相應(yīng)法律法規(guī)
電子商務(wù)要健康有序地發(fā)展���,就像傳統(tǒng)商務(wù)一樣,也必須有相應(yīng)的法律法規(guī)作后盾�����。商務(wù)過程中不可避免地會(huì)產(chǎn)生一些矛盾����,電子商務(wù)也一樣。在電子商務(wù)中��,合同的意義和作用沒有發(fā)生改變���,但其形式卻發(fā)生了極大的變化���,1.訂立合同的雙方或多方是互不見面的。所有的買方和賣方在虛擬市場上運(yùn)作��,其信用依靠密碼的辨認(rèn)或認(rèn)證機(jī)構(gòu)的認(rèn)證。2.傳統(tǒng)合同的口頭形式在貿(mào)易上常常表現(xiàn)為店堂交易����,并將商家所開具的發(fā)票作為合同的依據(jù)。而在電子商務(wù)中標(biāo)的額較小�����、關(guān)系簡單的交易沒有具體的合同形式���,表現(xiàn)為直接通過網(wǎng)絡(luò)訂購���、付款,例如利用網(wǎng)絡(luò)直接購買軟件���。3.表示合同生效的傳統(tǒng)簽字蓋章方式被數(shù)字簽名所代替��。
電子商務(wù)合同形式的變化���,對于世界各國都帶來了一系列法律新問題���。電子商務(wù)作為一種新的貿(mào)易形式�,與現(xiàn)存的合同法發(fā)生矛盾是非常容易理解的事情。但對于法律法規(guī)來說����,就有一個(gè)怎樣修改并發(fā)展現(xiàn)存合同法,以適應(yīng)新的貿(mào)易形式的問題����。
小結(jié)
在計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)上實(shí)現(xiàn)的電子商務(wù)交易必須具有保密性、完整性�����、可鑒別性�����、不可偽造性和不可抵賴性等特性�����。一個(gè)完善的電子商務(wù)系統(tǒng)在保證其計(jì)算機(jī)網(wǎng)絡(luò)硬件平臺(tái)和系統(tǒng)軟件平臺(tái)安全的基礎(chǔ)上���,應(yīng)該還具備以下特點(diǎn):強(qiáng)大的加密保證��;使用者和數(shù)據(jù)的識(shí)別和鑒別��;存儲(chǔ)和加密數(shù)據(jù)的保密��;連網(wǎng)交易和支付的可靠�;方便的密鑰管理;數(shù)據(jù)的完整�、防止抵賴。電子商務(wù)對計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)安全的雙重要求����,使電子商務(wù)安全的復(fù)雜程度比大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)更高,因此電子商務(wù)安全應(yīng)作為安全工程�����,而不是解決方案來實(shí)施���。
參考文獻(xiàn):
篇6
1.對稱密鑰加密體制
對稱密鑰加密�����,又稱私鑰加密���,即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快,適合于對大數(shù)據(jù)量進(jìn)行加密����,但密鑰管理困難�����。
使用對稱加密技術(shù)將簡化加密的處理�,每個(gè)參與方都不必彼此研究和交換專用設(shè)備的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰���。如果進(jìn)行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露����,那么機(jī)密性和報(bào)文完整性就可以通過使用對稱加密方法對機(jī)密信息進(jìn)行加密以及通過隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來實(shí)現(xiàn)��。
2.非對稱密鑰加密體制
非對稱密鑰加密系統(tǒng)���,又稱公鑰密鑰加密���。它需要使用一對密鑰來分別完成加密和解密操作,一個(gè)公開����,即公開密鑰�,另一個(gè)由用戶自己秘密保存��,即私用密鑰���。信息發(fā)送者用公開密鑰去加密����,而信息接收者則用私用密鑰去解密����。公鑰機(jī)制靈活,但加密和解密速度卻比對稱密鑰加密慢得多��。
在非對稱加密體系中��,密鑰被分解為一對�����。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開�����,而另一把則作為私用密鑰(解密密鑰)加以保存。私用密鑰只能由生成密鑰對的貿(mào)易方掌握��,公開密鑰可廣泛���。
該方案實(shí)現(xiàn)信息交換的過程是:貿(mào)易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易方乙使用該密鑰對信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲�;貿(mào)易方甲再用自己保存的另一把專用密鑰對加密信息進(jìn)行解密。
認(rèn)證技術(shù)
安全認(rèn)證的主要作用是進(jìn)行信息認(rèn)證�。信息認(rèn)證的目的為:(1)確認(rèn)信息發(fā)送者的身份;2)驗(yàn)證信息的完整性����,即確認(rèn)信息在傳送或存儲(chǔ)過程中未被篡改過。下面從安全認(rèn)證技術(shù)和安全認(rèn)證機(jī)構(gòu)兩個(gè)方面來做介紹�����。
1.常用的安全認(rèn)證技
安全認(rèn)證技術(shù)主要有數(shù)字摘要����、數(shù)字信封、數(shù)字簽名�、數(shù)字時(shí)間戳、數(shù)字證書等���。
(1)數(shù)字摘要
數(shù)字摘要是采用單向Hash函數(shù)對文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長度的摘要碼�,并在傳輸信息時(shí)將之加入文件一同送給接收方,接收方收到文件后�����,用相同的方法進(jìn)行變換運(yùn)算����,若得到的結(jié)果與發(fā)送來的摘要碼相同,則可斷定文件未被篡改����,反之亦然。
(2)數(shù)字信封
數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容���。在數(shù)字信封中�,信息發(fā)送方采用對稱密鑰來加密信息���,然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數(shù)字信封)之后���,將它和信息一起發(fā)送給接收方,接收方先用相應(yīng)的私有密鑰打開數(shù)字信封�,得到對稱密鑰�,然后使用對稱密鑰解開信息�。這種技術(shù)的安全性相當(dāng)高。
(3)數(shù)字簽名
日常生活中����,通常用對某一文檔進(jìn)行簽名來保證文檔的真實(shí)有效性,防止其抵賴���。在網(wǎng)絡(luò)環(huán)境中,可以用電子數(shù)字簽名作為模擬�����。
把Hash函數(shù)和公鑰算法結(jié)合起來����,可以在提供數(shù)據(jù)完整性的同時(shí)保證數(shù)據(jù)的真實(shí)性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改�����,而真實(shí)性則保證是由確定的合法者產(chǎn)生的Hash��,而不是由其他人假冒���。而把這兩種機(jī)制結(jié)合起來就可以產(chǎn)生數(shù)字簽名���。
(4)數(shù)字時(shí)間戳
在書面合同中���,文件簽署的日期和簽名一樣均是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。而在電子交易中���,同樣需對交易文件的日期和時(shí)間信息采取安全措施�,而數(shù)字時(shí)間戳服務(wù)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)��。數(shù)字時(shí)間戳服務(wù)(DTS)是網(wǎng)絡(luò)安全服務(wù)項(xiàng)目��,由專門的機(jī)構(gòu)提供����。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔,它包括三個(gè)部分:需加時(shí)間戳的文件的摘要����、DTS收到文件的日期和時(shí)間、DTS的數(shù)字簽名���。
(5)數(shù)字證書
在交易支付過程中�����,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書來證明各自的身份�����。所謂數(shù)字證書����,就是用電子手段來證實(shí)一個(gè)用戶的身份及用戶對網(wǎng)絡(luò)資源的訪問權(quán)限。
數(shù)字證書是用來惟一確認(rèn)安全電子商務(wù)交易雙方身份的工具�。由于它由證書管理中心做了數(shù)字簽名,因此任何第三方都無法修改證書的內(nèi)容�。任何信用卡持有人只有申請到相應(yīng)的數(shù)字證書�����,才能參加安全電子商務(wù)的網(wǎng)上交易��。數(shù)字證書一般有四種類型:客戶證書�、商家證書、網(wǎng)關(guān)證書及CA系統(tǒng)證書�����。
2.安全認(rèn)證機(jī)構(gòu)
電子商務(wù)授權(quán)機(jī)構(gòu)(CA)也稱為電子商務(wù)認(rèn)證中心(CertificateAuthority)。在電子交易中����,無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書的發(fā)放,都不是靠交易雙方自己能完成的�����,而需要有一個(gè)具有權(quán)威性和公正性的第三方來完成�����。
認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)����,能簽發(fā)數(shù)字證書,并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)��。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)�,主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理��。
安全認(rèn)證協(xié)議
目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用��,即安全套接層SSL(SecureSocketsLayer)協(xié)議和安全電子交易SET(SecureElectronicTransaction)協(xié)議。
1.安全套接層(SSL)協(xié)議
安全套接層協(xié)議是由Netscape公司1994年設(shè)計(jì)開發(fā)的安全協(xié)議��,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)����。SSL協(xié)議的概念可以被概括為:它是一個(gè)保證任何安裝了安全套接層的客戶和服務(wù)器間事務(wù)安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別���、數(shù)據(jù)完整性及信息機(jī)密性等安全措施�����。目的是為用戶提供Internet和企業(yè)內(nèi)聯(lián)網(wǎng)的安全通信服務(wù)���。
SSL采用了公開密鑰和專有密鑰兩種加密:在建立連接過程中采用公開密鑰;在會(huì)話過程中使用專有密鑰��。加密的類型和強(qiáng)度則在兩端之間建立連接的過程中判斷決定����。它保證了客戶和服務(wù)器間事務(wù)的安全性�����。
篇7
一����、前言
電子商務(wù)全球化的發(fā)展趨勢中��,電子商務(wù)交易的信用危機(jī)也悄然襲來�����,虛假交易�、假冒行為�����、合同詐騙����、侵犯消費(fèi)者合法權(quán)益等各種違法違規(guī)行為屢屢發(fā)生,這些現(xiàn)象在很大程度上制約了我國電子商務(wù)乃至全球電子商務(wù)快速�����、健康發(fā)展�。限制電子商務(wù)的發(fā)展主要因素就是電子支付手段的安全性。
二���、主要的電子支付手段及其安全性分析
1.電子信用卡
(1)支付方式:信用卡支付是電子支付中最常用的工具����,方法是在Internet環(huán)境下通過標(biāo)準(zhǔn)的SET協(xié)議進(jìn)行網(wǎng)絡(luò)支付,用戶在網(wǎng)上發(fā)送信用卡號(hào)和密碼�,加密后發(fā)送到銀行進(jìn)行支付。支付過程中要進(jìn)行用戶���、商家及付款要求的合法性驗(yàn)證�����。
(2)安全策略:電子信用卡��,是通過用戶在網(wǎng)上輸入賬號(hào)/密碼+數(shù)字簽名����,這些信息都是通過SET或者SSL協(xié)議的支付網(wǎng)關(guān)平臺(tái)直接與銀行進(jìn)行相關(guān)支付信息的安全交互��,進(jìn)行網(wǎng)絡(luò)支付�����,這種支付方式的安全性是可以得到保證的�。
(3)安全隱患:單純從技術(shù)上來說,無安全隱患問題�����。
2.電子支票
(1)支付方式:電子支票是利用數(shù)字化手段進(jìn)行網(wǎng)上支付�,支付過程與傳統(tǒng)支票的支付過程相似,只是電子支票完全拋開了紙質(zhì)的媒介��,其支票的形式是通過網(wǎng)絡(luò)傳播��,并用數(shù)字簽名代替了傳統(tǒng)的簽名方式���。其交易流程如下:
(2)安全策略:和電子信用卡一樣���,采用賬號(hào)/密碼+數(shù)字簽名的方式進(jìn)行身份驗(yàn)證。其支付目前一般是通過專用網(wǎng)絡(luò)��、設(shè)備���、軟件及一套完整的用戶識(shí)別�����、標(biāo)準(zhǔn)報(bào)文��、數(shù)據(jù)驗(yàn)證等規(guī)范化協(xié)議完成數(shù)據(jù)傳輸��,從而控制安全性���,從上面的交易流程�,我們可以看到��,電子支票的支付在專用系統(tǒng)上有可靠的安全措施的���。
(3)安全隱患:專用網(wǎng)絡(luò)上的應(yīng)用具有成熟的模式(例如SWIFT(環(huán)球銀行金融通訊協(xié)會(huì)���、SocietyforWorldwideInterbankFinancialTelecommunication)系統(tǒng));公共網(wǎng)絡(luò)上的點(diǎn)的資金轉(zhuǎn)賬仍在實(shí)驗(yàn)之中。
3.電子現(xiàn)金
(1)支付方式:電子現(xiàn)金是一種以數(shù)字化形式存在的現(xiàn)金貨幣���,它同信用卡不一樣����,信用卡本身并不是貨幣�,只是一種轉(zhuǎn)賬手段,而電子現(xiàn)金本身就是一種貨幣���,是一種以數(shù)據(jù)形式存在的現(xiàn)金貨幣�。它把現(xiàn)金數(shù)值轉(zhuǎn)換成為一系列的加密序列數(shù),通過這些序列數(shù)來表示現(xiàn)實(shí)中各種金額的幣值�����?�?梢灾苯佑脕碣徫?����。電子現(xiàn)金具有如下特點(diǎn):匿名;節(jié)省交易費(fèi)用;支付靈活方便��;安全存儲(chǔ)�����。
(2)安全策略:沒有適當(dāng)?shù)纳矸菡J(rèn)證機(jī)制����,是匿名的���,為防止被偽造��,電子現(xiàn)金的傳輸是經(jīng)過數(shù)字簽名的�。
(3)安全隱患:①逃稅:由于電子現(xiàn)金可以實(shí)現(xiàn)跨國交易,稅收和洗錢將成為潛在的問題�。電子現(xiàn)金不像真實(shí)的現(xiàn)金一樣,流通時(shí)不會(huì)留下任何記錄���,稅務(wù)部門很難追查�,所以即使將來調(diào)整了國際稅收規(guī)則�,由于其不可跟蹤性,電子現(xiàn)金很可能被不法分子用以逃稅����。②洗錢:電子現(xiàn)金使洗錢也變得很容易。因?yàn)槔秒娮蝇F(xiàn)金可以將錢送到世界上的任何地方而不留痕跡��,如果調(diào)查機(jī)關(guān)想要獲取證據(jù)�����,需要檢查網(wǎng)上所有的數(shù)據(jù)并破譯所有的密碼�����,這幾乎是不可能的��。目前惟一的辦法是建立一定的密鑰托管機(jī)制�,使政府在一定條件下能夠獲得私人的密鑰���,而這又會(huì)損害客戶的隱私權(quán),但作為預(yù)防洗錢等違法行為的措施�,許多國家已經(jīng)開始了這種做法。
③擾亂金融秩序:電子現(xiàn)金的法律地位一直難以確定���。這是因?yàn)榘凑肇泿诺膶?shí)質(zhì)和網(wǎng)絡(luò)無國界性來推斷,各國中央銀行的地位都將受到挑戰(zhàn)�����,因?yàn)槿魏我粋€(gè)有實(shí)力���、有信譽(yù)的全球性公司�,都可以發(fā)行購買其產(chǎn)品或服務(wù)的數(shù)字化等價(jià)物����,從而避開銀行的繁瑣手續(xù)和稅收。而這會(huì)擾亂一國的金融秩序����,任何國家都不會(huì)允許。
④重復(fù)消費(fèi):由于電子序列號(hào)可以被復(fù)制����,因此需要一個(gè)大型的數(shù)據(jù)庫存儲(chǔ)用戶完成的交易和E-Cash序列號(hào)以防止重復(fù)消費(fèi)�,這對于軟件和硬件的要求都很高����,因此很多銀行都不支持電子現(xiàn)金業(yè)務(wù)。
4.移動(dòng)支付
(1)支付方式:移動(dòng)支付系統(tǒng)將為每個(gè)移動(dòng)用戶建立一個(gè)與其手機(jī)號(hào)碼關(guān)聯(lián)的支付賬戶�����,為移動(dòng)用戶提供了一個(gè)通過手機(jī)進(jìn)行交易支付和身份認(rèn)證的途徑�。用戶通過撥打電話、發(fā)送短信或者使用WAP功能接入移動(dòng)支付系統(tǒng)��,移動(dòng)支付系統(tǒng)將此次交易的要求傳送給MASP�����,由MASP確定此次交易的金額���,并通過移動(dòng)支付系統(tǒng)通知用戶��,在用戶確認(rèn)后��,付費(fèi)方式可通過多種途徑實(shí)現(xiàn)�����,如直接轉(zhuǎn)入銀行����、用戶電話賬單或者實(shí)時(shí)在專用預(yù)付賬戶上借記,這些都將由移動(dòng)支付系統(tǒng)來完成���。
(2)安全措施:身份驗(yàn)證方式采用個(gè)人賬號(hào)/密碼的方式��。對交易中的部分敏感信息進(jìn)行了加密。
篇8
一����、電子商務(wù)發(fā)展存在的風(fēng)險(xiǎn)
第三方的電子交易平臺(tái)在網(wǎng)絡(luò)上對于信息進(jìn)行儲(chǔ)存、記錄����、處理、和傳遞����,以此來協(xié)助一次網(wǎng)絡(luò)消費(fèi)行為的完成。一般情況下,這些信息都具有真實(shí)性和保密性��,屬于大眾的隱私�����。但是���,現(xiàn)在的網(wǎng)絡(luò)環(huán)境比較惡劣����,有很多網(wǎng)絡(luò)陷阱以及刻意挖掘用戶信息的“黑客”��,從而導(dǎo)致基本信息出現(xiàn)失真�、泄露和刪除的危機(jī),不利于正常電子商務(wù)交易的完成��。對于電子商務(wù)信息大致上可以分為以下幾類:第一�,信息的真實(shí)性;第二��,信息的實(shí)時(shí)性����;第三,信息的安全性。首先�,是信息的真實(shí)性。電子商務(wù)上的基本信息是賣家和買家進(jìn)行認(rèn)識(shí)對方和分辨商品真實(shí)性可靠性的唯一途徑�,應(yīng)該絕對真實(shí)。一旦出現(xiàn)虛假信息����,則屬于欺騙消費(fèi)者,是危害消費(fèi)者權(quán)益的不法行為���。其次�����,是信息的實(shí)時(shí)性�。信息的實(shí)時(shí)性主要是指信息的保質(zhì)期��。因?yàn)楹芏嘈畔⒅辉谝欢螘r(shí)間內(nèi)有效�,具有時(shí)效性����,一旦錯(cuò)過這段關(guān)鍵時(shí)期,那么該信息則失去自身的價(jià)值�,變得一文不值。最后,就是信息的安全性�,這也是消費(fèi)者最為關(guān)心的問題。電子商務(wù)出現(xiàn)的安全性問題主要表現(xiàn)為客戶的信息被刪除�����、篡改從而失真��,同時(shí)也表現(xiàn)為用戶的信息被竊取從而達(dá)成其他目的�,使得用戶的隱私被侵犯,正常的生活受到打擾����。
二、電子商務(wù)的信息安全技術(shù)的內(nèi)容
篇9
對數(shù)據(jù)進(jìn)行有效加密與解密,稱為密碼技術(shù),即數(shù)據(jù)機(jī)密性技術(shù)���。其目的是為了隱蔽數(shù)據(jù)信息,將明文偽裝成密文,使機(jī)密性數(shù)據(jù)在網(wǎng)絡(luò)上安全地傳遞而不被非法用戶截取和破譯�����。偽裝明文的操作稱為加密,合法接收者將密文恢復(fù)出原明文的過程稱為解密,非法接收者將密文恢復(fù)出原明文的過程稱為破譯�。密碼是明文和加密密鑰相結(jié)合,然后經(jīng)過加密算法運(yùn)算的結(jié)果����。加密包括兩個(gè)元素,加密算法和密鑰���。加密時(shí)所使用的信息變換規(guī)則稱為加密算法,是用來加密的數(shù)學(xué)函數(shù),一個(gè)加密算法是將普通的文本(或者可以理解的信息)與一串字符串即密鑰結(jié)合運(yùn)算,產(chǎn)生不可理解的密文的步驟。密鑰是借助一種數(shù)學(xué)算法生成的,它通常是由數(shù)字���、字母或特殊符號(hào)組成的一組隨機(jī)字符串,是控制明文和密文變換的唯一關(guān)鍵參數(shù)����。對于相同的加密算法,密鑰的位數(shù)越多,破譯的難度就越大,安全性就越好��。目前,電子商務(wù)通信中常用的有私有(對稱)密鑰加密法和公開(非對稱)密鑰加密法���。
一���、私有密鑰加密法
(一)定義
私有密鑰加密,指在計(jì)算機(jī)網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時(shí),發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用同樣的一把密鑰A對收到的密文M進(jìn)行解密,得到明文信息,從而完成密文通信目的的方法��。這種信息加密傳輸方式,就稱為私有密鑰加密法���。上述加密法的一個(gè)最大特點(diǎn)是,信息發(fā)送方與信息接收方均需采用同樣的密鑰,具有對稱性,所以私有密鑰加密又稱為對稱密鑰加密。
(二)使用過程
具體到電子商務(wù),很多環(huán)節(jié)要用到私有密鑰加密法���。例如,在兩個(gè)商務(wù)實(shí)體或兩個(gè)銀行之間進(jìn)行資金的支付結(jié)算時(shí),涉及大量的資金流信息的傳輸與交換����。這里以發(fā)送方甲銀行與接收方乙銀行的一次資金信息傳輸為例,來描述應(yīng)用私有密鑰加密法的過程:銀行甲借助專業(yè)私有密鑰加密算法生成私有密鑰A,并且復(fù)制一份密鑰A借助一個(gè)安全可靠通道(如采用數(shù)字信封)秘密傳遞給銀行乙;銀行甲在本地利用密鑰A把信息明文加密成信息密文;銀行甲把信息密文借助網(wǎng)絡(luò)通道傳輸給銀行乙;銀行乙接受信息密文;銀行乙在本地利用一樣的密鑰A把信息密文解密成信息明文。這樣銀行乙就知道銀行甲的資金轉(zhuǎn)賬通知單的內(nèi)容,結(jié)束通信�。
(三)常用算法
世界上一些專業(yè)組織機(jī)構(gòu)研發(fā)了許多種私有密鑰加密算法,比較著名的有DES算法及其各種變形、國際數(shù)據(jù)加密算法IDEA等���。DES算法由美國國家標(biāo)準(zhǔn)局提出,1977年公布實(shí)施,是目前廣泛采用的私有密鑰加密算法之一,主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬��、軍事定點(diǎn)通信等領(lǐng)域,比如電子支票的加密傳送�����。經(jīng)過20多年的使用,已經(jīng)發(fā)現(xiàn)DES很多不足之處,隨著計(jì)算機(jī)技術(shù)進(jìn)步,對DES的破解方法也日趨有效,所以更安全的高級(jí)加密標(biāo)準(zhǔn)AES將會(huì)替代DES成為新一代加密標(biāo)準(zhǔn)���。
(四)優(yōu)缺點(diǎn)
私有密鑰加密法的主要優(yōu)點(diǎn)是運(yùn)算量小,加解密速度快,由于加解密應(yīng)用同一把密鑰而應(yīng)用簡單。在專用網(wǎng)絡(luò)中由于通信各方相對固定�、所以應(yīng)用效果較好。但是,私有密鑰加密技術(shù)也存在著以下一些問題:一是分發(fā)不易����。由于算法公開,其安全性完全依賴于對私有密鑰的保護(hù)。因此,密鑰使用一段時(shí)間后就要更換,而且必須使用與傳遞加密文件不同的途徑來傳遞密鑰,即需要一個(gè)傳遞私有密鑰的安全秘密渠道,這樣秘密渠道的安全性是相對的,通過電話通知�����、郵寄軟盤、專門派人傳送等方式均存在一些問題����。二是管理復(fù)雜,代價(jià)高昂。私有密鑰密碼體制用于公眾通信網(wǎng)時(shí),每對通信對象的密鑰不同,必須由不被第三者知道的方式,事先通知對方�����。隨著通信對象的增加,公眾通信網(wǎng)上的密碼使用者必須保存所有通信對象的大量的密鑰��。這種大量密鑰的分配和保存,是私有密鑰密碼體制存在的最大問題�。三是難以進(jìn)行用戶身份的認(rèn)定。采用私有密鑰加密法實(shí)現(xiàn)信息傳輸,只是解決了數(shù)據(jù)的機(jī)密性問題,并不能認(rèn)證信息發(fā)送者的身份�����。若密鑰被泄露,如被非法獲取者猜出,則加密信息就可能被破譯,攻擊者還可用非法截取到的密鑰,以合法身份發(fā)送偽造信息�。在電子商務(wù)中,有可能存在欺騙,別有用心者可能冒用別人的名義發(fā)送資金轉(zhuǎn)賬指令。因此,必須經(jīng)常更換密鑰,以確保系統(tǒng)安全���。四是采用私有密鑰加密法的系統(tǒng)比較脆弱,較易遭到不同密碼分析的攻擊�。五是它僅能用于對數(shù)據(jù)進(jìn)行加解密處理,提供數(shù)據(jù)的機(jī)密性,不能用于數(shù)字簽名��。
二����、公開密鑰加密法
(一)定義與應(yīng)用原理
公開密鑰加密法是針對私有密鑰加密法的缺陷而提出來的。是電子商務(wù)應(yīng)用的核心密碼技術(shù)����。所謂公開密鑰加密,就是指在計(jì)算機(jī)網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時(shí),發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用另一把密鑰B對收到的密文M進(jìn)行解密,得到明文信息完密文通信目的的方法��。由于密鑰A��、密鑰B這兩把密鑰中其中一把為用戶私有,另一把對網(wǎng)絡(luò)上的大眾用戶是公開的,所以這種信息加密傳輸方式,就稱為公開密鑰加密法���。與私有(對稱)密鑰加密法的加密和解密用同一把密鑰的原理不同,公開密鑰加密法的加密與解密所用密鑰是不同的,不對稱,所以公開私有密鑰加密法又稱為非對稱密鑰加密法���。
公開密鑰加密法的應(yīng)用原理是:借助密鑰生成程序生產(chǎn)密鑰A與密鑰B,這兩把密鑰在數(shù)學(xué)上相關(guān),對稱作密鑰對。用密鑰對其中任何一個(gè)密鑰加密時(shí),可以用另一個(gè)密鑰解密,而且只能用此密鑰對其中的另一個(gè)密鑰解密���。在實(shí)際應(yīng)用中,某商家可以把生成的密鑰A與密鑰B做一個(gè)約定,將其中一把密鑰如密鑰A保存好,只有商家自己知道并使用,不與別人共享,叫作私人密鑰;將另一把密鑰即密鑰B則通過網(wǎng)絡(luò)公開散發(fā)出去,誰都可以獲取一把并能應(yīng)用,屬于公開的共享密鑰,叫做公開密鑰�����。如果一個(gè)人選擇并公布了他的公鑰,其他任何人都可以用這一公鑰來加密傳送給那個(gè)人的消息�����。私鑰是秘密保存的,只有私鑰的所有者才能利用私鑰對密文進(jìn)行解密,而且非法用戶幾乎不可能從公鑰推導(dǎo)出私鑰�����。存在下面兩種應(yīng)用情況:一是任何一個(gè)收到商家密鑰B的客戶,都可以用此密鑰B加密信息,發(fā)送給這個(gè)商家,那么這些加密信息就只能被這個(gè)商家的私人密鑰A解密����。實(shí)現(xiàn)保密性。二是商家利用自己的私人密鑰A對要發(fā)送的信息進(jìn)行加密進(jìn)成密文信息,發(fā)送給商業(yè)合作伙伴,那么這個(gè)加密信息就只能被公開密鑰B解密����。這樣,由于只能應(yīng)用公開密鑰B解密,根據(jù)數(shù)學(xué)相關(guān)關(guān)系可以斷定密文的形成一定是運(yùn)用了私人密鑰A進(jìn)行加密的結(jié)果,而私人密鑰A只有商家擁有,由此可以斷定網(wǎng)上收到的密文一定是擁有私人密鑰A的商家發(fā)送的。
(二)使用過程
具體到電子商務(wù),很多環(huán)節(jié)要用到公開密鑰加密法,例如在網(wǎng)絡(luò)銀行客戶與銀行進(jìn)行資金的支付結(jié)算操作時(shí),就涉及大量的資金流信息的安全傳輸與交換���。以客戶甲與乙網(wǎng)絡(luò)銀行的資金信息傳輸為例,來描述應(yīng)用公開密鑰加密法在兩種情況下的使用過程����。首先,網(wǎng)絡(luò)銀行乙通過公開密鑰加密法的密鑰生成程序,生成自己的私人密鑰A與公開密鑰B并數(shù)學(xué)相關(guān),私人密鑰A由網(wǎng)絡(luò)銀行乙自己獨(dú)自保存,而公開密鑰B已經(jīng)通過網(wǎng)絡(luò)某種應(yīng)用形式(如數(shù)字證書)分發(fā)給網(wǎng)絡(luò)銀行的眾多客戶,當(dāng)然客戶甲也擁有一把網(wǎng)絡(luò)銀行乙的公開密鑰B�。
1、客戶甲傳送一“支付通知”給網(wǎng)絡(luò)銀行乙,要求“支付通知”在傳送中是密文,并且只能由網(wǎng)絡(luò)銀行乙解密知曉,從而實(shí)現(xiàn)了定點(diǎn)保密通信��??蛻艏桌毛@得的公開密鑰B在本地對“支付通知”明文進(jìn)行加密,形成“支付通知”密文,通過網(wǎng)絡(luò)將密文傳輸給網(wǎng)絡(luò)銀行乙。網(wǎng)絡(luò)銀行乙收到“支付通知”密文后,發(fā)現(xiàn)只能用自己的私人密鑰A進(jìn)行解密形成“支付通知”明文,斷定只有自己知曉“支付通知”的內(nèi)容,的確是發(fā)給自己的。
2����、網(wǎng)絡(luò)銀行乙在按照收到的“支付通知”指令完成支付轉(zhuǎn)賬服務(wù)后,必須回送客戶甲“支付確認(rèn)”,客戶甲在收到“支付確認(rèn)”后,斷定只能是網(wǎng)絡(luò)銀行乙發(fā)來的,而不是別人假冒的,將來可作支付憑證,從而實(shí)現(xiàn)對網(wǎng)絡(luò)銀行業(yè)務(wù)行為的認(rèn)證,網(wǎng)絡(luò)銀行不能隨意否認(rèn)或抵賴。網(wǎng)絡(luò)用戶乙在按照客戶甲的要求完成相關(guān)資金轉(zhuǎn)賬后,準(zhǔn)備一個(gè)“支付確認(rèn)”明文,在本地利用自己的私人密鑰A對“支付確認(rèn)”明文進(jìn)行加密,形成“支付確認(rèn)”密文,通過網(wǎng)絡(luò)將密文傳輸給客戶甲��??蛻艏资盏健爸Ц洞_認(rèn)”密文后,雖然自己有許多密鑰,有自己的,也有別人的,卻發(fā)現(xiàn)只能用獲得的網(wǎng)絡(luò)銀行乙的公開密鑰B進(jìn)行解密,形成“支付確認(rèn)”明文,由于公開密鑰B只能解密由私人密鑰A加密的密文,而私人密鑰A只有網(wǎng)絡(luò)銀行乙所有,因此客戶甲斷定這個(gè)“支付確認(rèn)”只能是網(wǎng)絡(luò)銀行乙發(fā)來的,不是別人假冒的,可作支付完成的憑證���。
(三)算法
當(dāng)前最著名�、應(yīng)用最廣泛的公開密鑰系統(tǒng)是RSA(取自三個(gè)創(chuàng)始人的名字的第一個(gè)字母)算法���。目前電子商務(wù)中大多數(shù)使用公開密鑰加密法進(jìn)行加解密和數(shù)字簽名的產(chǎn)品和標(biāo)準(zhǔn)使用的都是RSA算法���。RSA算法是基于大數(shù)的因子分解,而大數(shù)的因子分解是數(shù)學(xué)上的一個(gè)難題,其難度隨數(shù)的位數(shù)加多而提高。
(四)優(yōu)缺點(diǎn)
優(yōu)點(diǎn)是可以在不安全的媒體上通信雙方交換信息,不需共享通用密鑰,用于解密的私鑰不需發(fā)往任何地方,公鑰在傳遞與過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲公鑰也沒有意義�����。
能夠解決信息的否認(rèn)與抵賴問題,身份認(rèn)證較為方便��。密鑰分配簡單,公開密鑰可以像電話號(hào)碼一樣,告訴每一個(gè)網(wǎng)絡(luò)成員,商業(yè)伙伴需要好好保管的只是一個(gè)私人密鑰�����。而且密鑰的保存量比起私人密鑰加密少得多,管理較為方便。最大的缺陷就在于它的加解密速度����。超級(jí)秘書網(wǎng)
三、兩種加密法的比較
通過DES算法和RSA算法的比較說明公開密鑰加密法和私有密鑰加密法的區(qū)別:在加密�、解密的處理效率方面,DES算法明顯優(yōu)于RSA算法,即DES算法快得多;在密鑰的分發(fā)與管理方面,RSA算法比DES算法更加優(yōu)越;在安全性方面,只要密鑰夠長,如112b密鑰的DES算法和1024b的RSA算法的安全性就很好,目前還沒找到在可預(yù)見的時(shí)間內(nèi)破譯它們的有效方法;在簽名和認(rèn)證方面,DES算法從原理上不可能實(shí)現(xiàn)數(shù)字簽名和身份認(rèn)證,但RSA算法能夠方便容易的進(jìn)行數(shù)字簽名和身份認(rèn)證。
基于以上比較的結(jié)果可以看出,私有密鑰加密法與公開密鑰加密法各有長短,公開密鑰加密在簽名認(rèn)證方面功能強(qiáng)大,而私有密鑰加密在加/解密速度方面具有很大優(yōu)勢�����。為了充分發(fā)揮對稱加密法和非對稱加密法各自的優(yōu)點(diǎn),在實(shí)際應(yīng)用中通常將這兩種加密法結(jié)合在一起使用,比如:利用DES來加密信息,而采用RSA來傳遞對稱加密體制中的密鑰���。這樣不僅數(shù)據(jù)信息的加解密速度快,同時(shí)保障了密鑰傳遞的安全性�����。數(shù)據(jù)加密技術(shù)是信息安全的基本技術(shù),在網(wǎng)絡(luò)中使用的越來越廣泛�。針對不同的業(yè)務(wù)要求可以設(shè)計(jì)或采取不同的加密技術(shù)及實(shí)現(xiàn)方式��。另外還要注意的是,數(shù)據(jù)加密技術(shù)所討論的安全性只是暫時(shí)的,因此還要投入對密碼技術(shù)新機(jī)制�、新理論的研究才能滿足不斷增長的信息安全需求。
參考文獻(xiàn):
[1]丁學(xué)君.電子商務(wù)中的信息安全問題及其對策[J].計(jì)算機(jī)安全,2009,(2).
[2]余紹軍,彭銀香.電子商務(wù)安全與數(shù)據(jù)加密技術(shù)淺析[J].中國管理信息化(綜合版),2007,(04).
[3]王俊杰.電子商務(wù)安全問題及其應(yīng)對策略[J].特區(qū)經(jīng)濟(jì),2007,(07).
篇10
網(wǎng)絡(luò)的安全問題得到人們的日益重視��。網(wǎng)絡(luò)面臨的威脅五花八門:內(nèi)部竊密和破壞,截收���,非法訪問���,破壞信息的完整性,冒充�,破壞系統(tǒng)的可用性,重演�����,抵賴等����。于是公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure�,PKI)應(yīng)運(yùn)而生。PKI是電子商務(wù)和其它信息系統(tǒng)的安全基礎(chǔ)���,用來建立不同實(shí)體間的“信任”關(guān)系�。它的基礎(chǔ)是加密技術(shù)����,核心是證書服務(wù)。用戶使用由證書授權(quán)認(rèn)證中心(CertificateAuthority,CA)簽發(fā)的數(shù)字證書���,結(jié)合加密技術(shù)�����,可以保證通信內(nèi)容的保密性�、完整性���、可靠性及交易的不可抵賴性�����,并進(jìn)行用戶身份的識(shí)別�����。
1.密鑰托管KE與密鑰托管KEA的概念
在電子商務(wù)廣泛采用公開密鑰技術(shù)后��,隨之而來的是公開密鑰的管理問題�����。對于中央政府來說����,為了加強(qiáng)對貿(mào)易活動(dòng)的監(jiān)管,客觀上也需要銀行����、海關(guān)、稅務(wù)����、工商等管理部門緊密協(xié)作。為了打擊犯罪����,還要涉及到公安和國家安全部門����。這樣,交易方與管理機(jī)構(gòu)就不可避免地產(chǎn)生聯(lián)系�。為了監(jiān)視和防止計(jì)算機(jī)犯罪活動(dòng),人們提出了密鑰托管(KeyEscrow����,KE)的概念。KE與CA相接合��,既能保證個(gè)人通信與電子交易的安全性,又能實(shí)現(xiàn)法律職能部門的管理介入��,是今后電子商務(wù)安全策略的發(fā)展方向����。
密鑰托管技術(shù)又稱為密鑰恢復(fù)(KeyRecovery),是一種能夠在緊急情況下提供獲取信息解密密集新途徑的技術(shù)。它用于保存用戶的私鑰備份����,既可在必要時(shí)幫助國家司法或安全等部門獲取原始明文信息,也可在用戶丟失����、損壞自己的密鑰后恢復(fù)密文。
執(zhí)行密鑰托管功能的機(jī)制是密鑰托管(KeyEscrowAgent��,KEA)��。KEA與CA是PKI的兩個(gè)重要組成部分����,分別管理用戶的私鑰與公鑰。KEA對用戶的私鑰進(jìn)行操作�,負(fù)責(zé)政府職能部門對信息的強(qiáng)制訪問,不參與通信過程�����。CA作為電子商務(wù)交易中受信任和具有權(quán)威性的第三方,為每個(gè)使用公開密鑰的客戶發(fā)放數(shù)字證書�����,負(fù)責(zé)檢驗(yàn)公鑰體系中公鑰的合法性����。因此它參與每次通信過程,但不涉及具體的通信內(nèi)容�����。
2.安全密鑰托管的步驟
密鑰托管最關(guān)鍵�����,也是最難解決的問題是:如何有效地阻止用戶的欺詐行為���,即逃脫托管機(jī)構(gòu)的跟蹤。為防止用戶逃避脫管����,密鑰托管技術(shù)的實(shí)施需要通過政府的強(qiáng)制措施進(jìn)行�����。用戶必須先委托密鑰托管進(jìn)行密鑰托管���,取得托管證書,才能向CA申請加密證書���。CA必須在收到加密公鑰對應(yīng)的私鑰托管證書后���,再簽發(fā)相應(yīng)的公鑰證書。
為了防止KEA濫用權(quán)限及托管密要的泄漏�,用戶的私鑰被分成若干部分,由不同的密鑰托管負(fù)責(zé)保存����。只有將所有的私鑰分量合在一起,才能恢復(fù)用戶私鑰的有效性���。
(1)用戶選擇若干個(gè)KEA����,分給每一個(gè)一部分私鑰和一部分公鑰����。根據(jù)所得的密鑰分量產(chǎn)生相應(yīng)的托管證書�。證書中包括該用戶的特定表示符(UniqueIdentify���,UID)�����、被托管的那部分公鑰和私鑰�����、托管證書的編號(hào)��。KEA還要用自己的簽名私鑰對托管證書進(jìn)行加密��,產(chǎn)生數(shù)字簽名����,并將其附在托管證書上���。
(2)用戶收到所有的托管證書后,將證書和完整的公鑰遞交給CA����,申請加密證書�����。
(3)CA驗(yàn)證每個(gè)托管證書的真實(shí)性��,即是否每一個(gè)托管都托管了一部分有效的私鑰分量��,并對用戶身份加以確認(rèn)�����。完成所有的驗(yàn)證工作后���,CA生成加密證書,返回給用戶�����。3.司法部門利用KE對信息的強(qiáng)制訪問
所有傳送的加密信息都帶有包含會(huì)話密鑰的數(shù)據(jù)恢復(fù)域(DataRecoveryField����,DRF),它由時(shí)間戳、發(fā)送者的加密證書����、會(huì)話密鑰組成,與密文綁定在一起傳送給接收方�����。接收方必須通過DRF才能獲得會(huì)話密鑰�。在必要時(shí),司法部門可利用KEA����,通過DRF實(shí)現(xiàn)對通信內(nèi)容的強(qiáng)制訪問。
在司法部門取得授權(quán)后�����,首先監(jiān)聽并截獲可疑信息�,利用DRF中發(fā)送者的加密證書獲得發(fā)送者的托管標(biāo)示符及其對應(yīng)的托管證書號(hào),然后把自己的授權(quán)證書和托管證書號(hào)交給相應(yīng)的密鑰托管���。KEA驗(yàn)證授權(quán)證書的真?zhèn)魏?��,返回自己保管的那部分私鑰����。這樣在收集了所有的私鑰成分后����,司法部門就能恢復(fù)出發(fā)送者的私鑰��,再結(jié)合接收者的公鑰及時(shí)間戳�,就能破解會(huì)話密鑰,進(jìn)而破解整個(gè)密文����。由于密鑰托管不參與通信過程,所以在通信雙方毫無察覺的情況下�����,司法部門就能審查通信內(nèi)容���。
4.結(jié)束語
自從1993年美國政府頒布密鑰托管加密標(biāo)準(zhǔn)EES�����,有關(guān)密鑰托管的研究一直是密碼學(xué)領(lǐng)域一個(gè)持續(xù)的研究熱點(diǎn)��。在電子商務(wù)時(shí)代��,國家為了能夠管理和控制電子商務(wù)的健康發(fā)展��,必須強(qiáng)制實(shí)施一定形式的密鑰托管技術(shù)���,以便及時(shí)發(fā)現(xiàn)和阻止非法商務(wù)活動(dòng)�����,并為司法部門提供取證的方便�。
參考文獻(xiàn)
[1].盧鐵成.信息加密技術(shù)四川科學(xué)出版社1989
[2].陳偉東��,翟起濱.二類基于離散對數(shù)問題的信息恢復(fù)多簽名體制.密碼與信息����,1998.1
[3].NationalInstituteforStandardsandTechnology.EscrowedEncryptionStandard.FederalInformationProcessingStandardsPublication185,U.S.DeptofCommerce�,1994
[4].BellareM,GoldwasserS.Verifiablepartialkeyescrow.In:ProceedingsofFourthAnnualConferenceonComputerandCommunicationsSecurity����,ACM,1997
篇11
1計(jì)算機(jī)安全技術(shù)
計(jì)算機(jī)安全技術(shù)既計(jì)算機(jī)信息系統(tǒng)安全技術(shù)��,是指為防止外部破壞、攻擊及信息竊取�����,以保證計(jì)算機(jī)系統(tǒng)正常運(yùn)行的防護(hù)技術(shù)���。下面我就從計(jì)算機(jī)安全技術(shù)的研究領(lǐng)域、包括方面兩個(gè)角度出發(fā)來進(jìn)行探討�。
1.1計(jì)算機(jī)安全技術(shù)主要有兩個(gè)研究領(lǐng)域
一是計(jì)算機(jī)防泄漏技術(shù)。即通過無線電技術(shù)對計(jì)算機(jī)進(jìn)行屏蔽��、濾波�、接地,以達(dá)到防泄漏作用�����。
二是計(jì)算機(jī)信息系統(tǒng)安全技術(shù)����。即通過加強(qiáng)安全管理,改進(jìn)�、改造系統(tǒng)的安全配置等方法,以防御由于利用計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)���、系統(tǒng)配置���、操作系統(tǒng)及系統(tǒng)源代碼等安全隱患而對計(jì)算機(jī)信息系統(tǒng)進(jìn)行的攻擊���,使計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行。
1.2計(jì)算機(jī)安全技術(shù)包括方面
計(jì)算機(jī)的安全技術(shù)包括兩個(gè)方面:個(gè)人計(jì)算機(jī)的安全技術(shù)����,計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)。
1.2.1個(gè)人計(jì)算機(jī)的安全技術(shù)
個(gè)人計(jì)算機(jī)的安全技術(shù)是影響到使用個(gè)人電腦的每個(gè)用戶的大事��。它包括硬件安全技術(shù)���、操作系統(tǒng)安全技術(shù)��、應(yīng)用軟件安全技術(shù)����、防病毒技術(shù)��。在這里我們主要討論硬件安全技術(shù)和操作系統(tǒng)安全技術(shù)�。
硬件安全技術(shù)是指外界強(qiáng)電磁對電腦的干擾、電腦在工作時(shí)對外界輻射的電磁影響��,電腦電源對電網(wǎng)電壓的波動(dòng)的反應(yīng)、CPU以及主板的電壓和電流適應(yīng)范圍���、串并口時(shí)熱拔插的保護(hù)���、機(jī)箱內(nèi)絕緣措施、顯示器屏幕對周圍電磁干擾的反應(yīng)和存儲(chǔ)介質(zhì)的失效等等�����。目前��,這種單機(jī)的硬件保護(hù)問題在技術(shù)上相對簡單一點(diǎn)��,一般來說�,凡是嚴(yán)格按照IS9001標(biāo)準(zhǔn)進(jìn)行采購���、生產(chǎn)�、管理�、銷售的企業(yè)都可以保證上述安全問題能有相應(yīng)的解決措施。
操作系統(tǒng)安全技術(shù)是指目前常用的PC操作系統(tǒng)的安全問題���,包括DOS���、WINDOWS的安全問題��。由于WIN—DOWS系統(tǒng)在日常生活中被大多數(shù)人所熟知�,這里我們就以WINDOWS系統(tǒng)為例來分析操作系統(tǒng)的安全技術(shù)���。
WINDOWS系統(tǒng)在安全技術(shù)方面采取了軟件加密和病毒防治兩種手段來保證操作系統(tǒng)的安全����。軟件加密由三個(gè)部分組成:反跟蹤��、指紋識(shí)別���、目標(biāo)程序加/解密變換��。三個(gè)部分相互配合�,反跟蹤的目的是保護(hù)指紋識(shí)別和解密算法����。指紋識(shí)別判定軟件的合法性,而加/解密變換則是避免暴露目標(biāo)程序���。病毒防治原理是由于Windows的文件系統(tǒng)依賴于DOS����,所以擴(kuò)充現(xiàn)有的基于DOS的病毒防治軟件。使之能夠識(shí)別Windows可執(zhí)行文件格式(NE格式)���,是一種行之有效的方法�����,在病毒的檢測�����、清除方面則需要分析Win—dows病毒的傳染方式和特征標(biāo)識(shí),擴(kuò)充現(xiàn)有的查毒����、殺毒軟件。
1.2.2計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)
計(jì)算機(jī)安全特別是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)越來越成為能夠謀取較高經(jīng)濟(jì)效益并具有良好市場發(fā)展前景的高新技術(shù)及產(chǎn)業(yè)�。自從計(jì)算機(jī)網(wǎng)絡(luò)暴露出安全脆弱問題且受到攻擊后,人們就一直在研究計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)���,以求把安全漏洞和風(fēng)險(xiǎn)降低到力所能及的限度��,因此出現(xiàn)了一批安全技術(shù)和產(chǎn)品���。
(1)安全內(nèi)核技術(shù)�����。
人們開始在操作系統(tǒng)的層次上考慮安全性�。嘗試把系統(tǒng)內(nèi)核中可能引起安全問題的部分從內(nèi)核中剔出去���。使系統(tǒng)更安全��。如So-laris操作系統(tǒng)把靜態(tài)的口令放在一個(gè)隱含文件中��,使系統(tǒng)更安全�����。
(2)Kerberos系統(tǒng)的鑒別技術(shù)����。
它的安全機(jī)制在于首先對發(fā)出請求的用戶進(jìn)行身份驗(yàn)證�����,確認(rèn)其是否是合法的用戶。如是合法用戶��,再審核該用戶是否有權(quán)對他所請求的服務(wù)或主機(jī)進(jìn)行訪問�。Kerberos系統(tǒng)在分布式計(jì)算機(jī)環(huán)境中得到了廣泛的應(yīng)用,其特點(diǎn)是:安全性高��、明性高��、擴(kuò)展性好���。
(3)防火墻技術(shù)�����。
防火墻即在被保護(hù)網(wǎng)絡(luò)和因特網(wǎng)之間���,或在其他網(wǎng)絡(luò)之間限制訪問的一種部件或一系列部件。
防火墻技術(shù)是目前計(jì)算機(jī)網(wǎng)絡(luò)中備受關(guān)注的安全技術(shù)����。在目前的防火墻產(chǎn)品的設(shè)計(jì)與開發(fā)中����,安全內(nèi)核、系統(tǒng)、多級(jí)過濾�����、安全服務(wù)器和鑒別與加密是其關(guān)鍵所在��。防火墻技術(shù)主要有數(shù)據(jù)包過濾���、服務(wù)器���、SOCKS協(xié)議、網(wǎng)絡(luò)反病毒技術(shù)等方面組成��,共同完成防火墻的功能效應(yīng)����。
2其在電子商務(wù)中的應(yīng)用
隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展
,電子商務(wù)得到了越來越廣泛的應(yīng)用����,但電子商務(wù)是以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)載體的,大量重要的身份信息�、會(huì)計(jì)信息、交易信息都需要在網(wǎng)上進(jìn)行傳遞����,在這樣的情況下��,電子商務(wù)的安全性是影響其成敗的一個(gè)關(guān)鍵因素���。
2.1電子商務(wù)含義
電子商務(wù)是利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和遠(yuǎn)程通信技術(shù)實(shí)現(xiàn)整個(gè)商務(wù)過程中的電子化�����、數(shù)字化和網(wǎng)絡(luò)化�。人們不再是面對面的、看著實(shí)實(shí)在在的貨物���、靠紙介質(zhì)單據(jù)進(jìn)行買賣交易��,而是通過網(wǎng)絡(luò)��,通過網(wǎng)上琳瑯滿目的商品信息�、完善的物流配送系統(tǒng)和方便安全的資金結(jié)算系統(tǒng)進(jìn)行交易��。
整個(gè)交易的過程可以分為三個(gè)階段:第一個(gè)階段是信息交流階段����;第二階段是簽定商品合同階段;第三階段是按照合同進(jìn)行商品交接�����、資金結(jié)算階段�����。
2.2電子商務(wù)安全隱患
2.2.1截獲傳輸信息
攻擊者可能通過公共電話網(wǎng)�、互聯(lián)網(wǎng)或在電磁波輻射范圍內(nèi)安裝接收裝置等方式。截取機(jī)密信息�����;或通過對信息長度����、流量、流向和通信頻度等參數(shù)進(jìn)行分析�。獲得如用戶賬號(hào)、密碼等有用信息����。
2.2.2偽造電子郵件
虛開網(wǎng)上商店。給用戶發(fā)電子郵件���,偽造大量用戶的電子郵件����,窮盡商家資源,使合法用戶不能訪問網(wǎng)絡(luò)���。使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)��。
2.2.3否認(rèn)已有交易
者事后否認(rèn)曾發(fā)送過某條信息或內(nèi)容�,接收者事后否認(rèn)曾收到過某條信息或內(nèi)容�;購買者不承認(rèn)下過訂貨單;商家不承認(rèn)賣出過次品等��。
2.3電子商務(wù)交易中的一些計(jì)算機(jī)安全安全技術(shù)
針對以上問題現(xiàn)在廣泛采用了身份識(shí)別技術(shù)數(shù)據(jù)加密技術(shù)��、數(shù)字簽名技術(shù)和放火墻技術(shù)��。
2.3.1身份識(shí)別技術(shù)
通過電子網(wǎng)絡(luò)開展電子商務(wù)�。身份識(shí)別問題是一個(gè)必須解決的同題。一方面�����,只有合法用戶才可以使用網(wǎng)絡(luò)資源��,所以網(wǎng)絡(luò)資源管理要求識(shí)別用戶的身份;另一方面��,傳統(tǒng)的交易方式���,交易雙方可以面對面地談判交涉。很容易識(shí)別對方的身份��。通過電子網(wǎng)絡(luò)交易方式���。交易雙方不見面���,并且通過普通的電子傳輸信息很難確認(rèn)對方的身份,因此���,電子商務(wù)中的身份識(shí)別問題顯得尤為突出��。
2.3.2數(shù)據(jù)加密技術(shù)
