时间:2023-10-10 10:36:09
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇电子商务信息安全,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
移动电子商务(M-Commerce),是通过手机、PDA(个人数字助理)、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务:PIM(个人信息服务)、银行业务、交易、购物、基于位置的服务、娱乐等。
移动电子商务因其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间,真正解决做生意的问题。
但是对于任何通过无线网路(如:GSM网路)进行金融交易的用户,安全和隐私问题无疑是其关注的焦点。由于移动电子商务的特殊性,移动电子商务的安全问题尤其显得重要。尤其对于有线电子商务用户来说,通常认为物理线缆能带来更好的安全性,从而排斥使用移动电子商务。移动电子商务是一个系统工程,本文从技术、安全、隐私和法制等方面讨论了移动商务的展所面临的种种问题,并指出这些问题的有效解决是建设健康、安全的移动电子商务的重要保证。
一、移动通信新技术的驱动
1.无线应用协议(WAP)
无线应用协议WAP是无线通信和互联网技术发展的产物,它不仅为无线设备提供丰富的互联网资源,也提供了开发各种无线网路应用的途径。1998年,WAP论坛公布了WAP1.0版本,制定了一套专门为移动互联网而设计的应用协议,具有良好的开放性和互通性。随着移动通信网传输速率的显著提高,WAP论坛于2001年颁布了WAP2.0版本,该版本增加了对HTTP、TLS和TCP等互联网协议的支持,WAP的工作大大简化。WAP2.0模式有利于实现电子商务所需的端到端安全性,可以提供TLS隧道。
2.移动IP技术
移动IP技术,是指移动用户可在跨网络随意移动和漫游中,使用基于TCP/IP协议的网络时,不用修改计算机原来的IP地址,同时,也不必中断正在进行的通信。移动IP通过AAA(Authentication,Authorization,Accounting)机制,实现网络全方位的安全移动或者漫游功能。移动IP在一定程度上能够很好地支持移动商务的应用。
3.第三代(3G)移动通信系统
第三代移动通信系统,简称3G,是指将无线通信与互联网等多媒体通信结合的移动通信系统。它能够处理图像、话音、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务。与2G相比,3G产品可提供数据速率高达2Mbps的多媒体业务。在我国,以TD-SCDMA技术为基础的3G基础设施和产品的建设和研制发展迅速,我国发展3G的条件已经基本具备。由于3G带来的高速率、移动性和高安全性等特点,必然会给移动电子商务的应用带来巨大商机。
4.无线局域网(WLAN)技术
美国电子电器工程师协会IEEE在1991年就启动了WLAN标准工作组,称为IEEE802.11,并在1997年产生了WLAN标准-IEEE802.11,后来又相继推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的标准。802.11WLAN标准自公布之日起,安全问题一直是其被关注的焦点问题。802.11b采用了基于RC4算法的有线对等保密(WEP)机制,为网络业务流提供安全保障,但其加密和认证机制都存在安全漏洞。802.11i是2004年6月批准的WLAN标准,其目的是解决802.11标准中存在的安全问题。802.11i应用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高级加密标准的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作为其加密算法,可以向后兼容802.11a/b/g等硬件设备。中国宽带无线IP标准工作组制订了WLAN国家标准GB15629.11,定义了无线局域网鉴别与保密基础结构WAPI,大大减少了WLAN中的安全隐患。
二、移动电子商务面临的安全威胁
尽管移动电子商务给工作效率的提高带来了诸多优势(如:减少了服务时间,降低了成本和增加了收入),但安全问题仍是移动商务推广应用的瓶颈。有线网络安全的技术手段不完全适用于无线设备,由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序。例如:目前还没有有效抵制手机病毒的防护软件。
1.网络本身的威胁
无线通信网络可以不像有线网络那样受地理环境和通信电缆的限制就可以实现开放性的通信。无线信道是一个开放性的信道,它给无线用户带来通信自由和灵活性的同时,也带来了诸多不安全因素:如通信内容容易被窃听、通信双方的身份容易被假冒,以及通信内容容易被篡改等。在无线通信过程中,所有通信内容(如:通话信息,身份信息,数据信息等)都是通过无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取无线信道上传输的内容。这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。
2.无线adhoc应用的威胁
除了互联网在线应用带来的威胁外,无线装置给其移动性和通信媒体带来了新的安全问题。考虑无线装置可以组成adhoc网路。Adhoc网络和传统的移动网络有着许多不同,其中一个主要的区别就是AdHoc网络不依赖于任何固定的网络设施,而是通过移动节点间的相互协作来进行网络互联。由于其网络的结构特点,使得AdHoc网络的安全问题尤为突出。Adhoc网路的一个重要特点是网络决策是分散的,网络协议依赖于所有参与者之间的协作。敌手可以基于该种假设的信任关系入侵协作的节点。
3.网路漫游的威胁
无线网路中的攻击者不需要寻找攻击目标,攻击目标会漫游到攻击者所在的小区。在终端用户不知情的情况下,信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险,没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立,使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书。攻击者可以利用该漏洞来获利。
4.物理安全
无线设备另一个特有的威胁就是容易丢失和被窃。因为没有建筑、门锁和看管保证的物理边界安全和其小的体积,无线设备很容易丢失和被盗窃。对个人来说,移动设备的丢失意味着别人将会看到电话上的数字证书,以及其他一些重要数据。利用存储的数据,拿到无线设备的人就可以访问企业内部网络,包括Email服务器和文件系统。目前手持移动设备最大的问题就是缺少对特定用户的实体认证机制。
三、移动商务面临的隐私和法律问题
1.垃圾短信息
在移动通信给人们带来便利和效率的同时,也带来了很多烦恼,遍地而来的垃圾短信广告打扰着我们的生活。在移动用户进行商业交易时,会把手机号码留给对方。通过街头的社会调查时,也往往需要被调查者填入手机号码。甚至有的用户把手机号码公布在网上。这些都是公司获取手机号码的渠道。垃圾短信使得人们对移动商务充满恐惧,而不敢在网络上使用自己的移动设备从事商务活动。目前,还没有相关的法律法规来规范短信广告,运营商还只是在技术层面来限制垃圾短信的群发。目前,信息产业部正在起草手机短信的规章制度,相信不久的将来会还手机短信一片绿色的空间。
2.定位新业务的隐私威胁
定位是移动业务的新应用,其技术包括:全球定位系统,该种技术利用24颗GPS卫星来精确(误差在几米之内)定位地面上的人和车辆;基于手机的定位技术TOA,该技术根据从GPS返回响应信号的时间信息定位手机所处的位置。定位在受到欢迎的同时,也暴露了其不利的一面——隐私问题。移动酒吧就是一个典型的例子,当你在路上时,这种服务可以在你的PDA上列出离你最近的5个酒吧的位置和其特色。或者当你途经一个商店时,会自动向你的手机发送广告信息。定位服务在给我们带来便利的同时,也影响到了个人隐私。利用这种技术,执法部门和政府可以监听信道上的数据,并能够跟踪一个人的物理位置。
3.移动商务的法律保障
电子商务的迅猛发展推动了相关的立法工作。2005年4月1日,中国首部真正意义上的信息化法律《电子签名法》正式实施,电子签名与传统的手写签名和盖章将具有同等的法律效力,标志着我国电子商务向诚信发展迈出了第一步。《电子签名法》立法的重要目的是为了促进电子商务和电子政务的发展,增强交易的安全性。
参考文献:
[1]A.F.SalamL.Lyer:P.Palviaetal.Trustine-municationofTheACM,48(2),2005,73-77
电子商务所具有的广阔发展前景,越来越为世人所瞩目。但电子商务中的安全问题如得不到妥善解决,电子商务应用就只能是纸上谈兵。从事电子商务活动的主体都已普遍认识到电子商务的交易安全是电子商务成功实施的基础,是企业制订电子商务策略时必须首先要考虑的问题。对于实施电子商务战略的企业来说,保证电子商务的安全已成为当务之急。
一、电子商务信息安全需求
1、信息的保密性
电子商务是建立在一个开放性很强的网络环境中,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取,保密性一般通过密码技术对传输的信息进行加密处理来实现。
2、信息的不可抵赖性
对进行电子商务交易的贸易双方来说,一个很关键问题就是如何确定进行交易的贸易方正是交易所期望的贸易方。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已经不可能。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,使原发方对已发送的数据、接收方对已接收的数据都不能否认。通常可通过对发送的消息进行数字签名来实现信息的不可抵赖性。
3、信息的真实性
由于在电子商务过程中,买卖双方的所有交易活动都通过网络联系,交易双方可能素昧平生,相隔万里。要使交易成功,首先要确认对方的身份。对于商家而言,要考虑客户端不能是骗子,而客户端也会担心网上商店是否是_个玩弄欺诈的黑店,因此,电子商务的开展要求能够对交易主体的真实身份进行鉴别。
4、信息的完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为,可能会导致贸易各方信息的差异。另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。一般可通过提取信息摘要的方式来保持信息的完整性。
5、信息的有效性
电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉,那么保证信息的有效性就成为开展电子商务的前提。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
二、电子商务安全技术
1、防火墙技术
防火墙是企业网安全问题的流行方案,即把公共数据和服务置于防火墙外,使其对防火墙内部资源的访问受到限制。一般说来,防火墙是不能防病毒的,尽管有不少的防火墙产品声称其具有这个功能。防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。此外,防火墙采用滤波技术,滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购置高速路由器,又会大大提高经济预算。作为一种网络安全技术,防火墙具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。但是,如果防火墙系统被攻破,则被保护的网络处于无保护状态。如果一个企业希望在Internet上开展商业活动,与众多的客户进行通信,则防火墙不能满足要求。
2、数据加密技术
加密技术是最基本的网络安全技术,主要用于保证数据在存储和传输过程中的保密性。该技术采用数学方法对原始信息进行再组织,使得加密后在网络上公开传输的内容对于非法接收者来说成为不可理解的字符。而对于合法的接受者,可以利用其掌握的密钥,通过解密过程得到原始数据,从而达到保护信息的目的。数据加密的方法很多常用的有两大类:一种是对称加密,一种是非对称密钥加密。(1)对称密钥加密体制。在对称密钥加密体制中,加结果为:-1.5915,当初值为:x0=[1,1]时,结果为:-0.8949。由此可见,传统方法求解具有多个极小值点的函数时,求解结果的值与初始值的选择有关,所得的最优解为局部最优解。同时通过画该目标函数的曲面图1-1可知,该曲面存在多个局部极小点。所以,应用传统的解法,容易陷入局部极小值区域。对于这样的问题,用传统的非线性规划求解算法不容易求得全局最优解。
用染色体(、&)作为解的代码,用以下方法把染色体X变成染色体(%,&)并把v作为相应的解,密所使用的密钥和解密所使用的密钥相同,或者虽不相同,但可以从其中_个密钥推导出另_个,即发送方和接收方使用同样密钥。使用对称密钥体制不必交换加密算法,只需交换加密密钥,因而简化了加密过程,加解密速度快,但存在密钥的分配、保存和管理的问题。目前广泛应用的对称加密算法是DES算法。(2)非对称密钥加密体制。在非对称密钥加密体制中,对信息加密和解密所使用的密钥是不同的。并且从其中一个密钥无法推导出另一个密钥。非对称密钥加密体制解决了对称密钥加密体制存在的密钥分配、保存和管理的问题,但加密算法复杂,加解密速度慢。非对称密钥加密体制最早的代表算法是RSA算法。由此可见,两种加密技术各有优缺点,在Internet开放网络环境中可以互补。
3、认证技术
基本的加密技术不足以保证电子商务中的交易安全,信息鉴别和身份认证技术是保证电子商务安全不可缺少的重要技术手段。认证技术是防止交易信息被篡改、删除、重复和伪造的一种有效方法,主要有数字签名、数字信封、数字摘要、数字时间戳、数字证书等。(1)数字签名。数字签名是使用某人的私钥加密特定消息摘要散列值而得到的结果,通过这种方法把人同特定消息联系起来,类似于手书签名。日常生活中,通常用对某_文档进行签名来保证文档的真实有效性,防止其抵赖。在网络环境中,可以用电子数字签名作为模拟。(2)数字信封。数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。这种技术的安全性相当高。(3)数字摘其中V可由下面的检验函数检若(VP3L1V,<-3:1v2>3Uv2<-3),返回〇;否则返回这里检验数数值为0表示不可行,1表示可行。易知该模型的可行集包含在下列的超几何体中={(V1»V2)|°^V1^^0^V2^1}然后就可以容易地从这个超几何中抽取初始染色体vL=u(0,1),v2=u<0,1)(1)
关键词:电子商务信息安全安全技术
伴随经济的迅猛发展,电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势,必须保证电子商务中信息交流的安全。
一、电子商务的信息安全问题
电子商务信息安全问题主要有:
1.信息的截获和窃取:如果采用加密措施不够,攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息。2.信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性。3.信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。
二、信息安全要求
电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:
1.信息保密性:维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中,要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性:贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性:保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防,以保证贸易数据在确定时刻和地点有效。4.信息可靠性:确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁,通过控制与预防确保系统安全可靠。
三、信息安全技术
1.防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。
防火墙技术主要有:(1)包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。(2)服务技术:提供应用层服务控制,起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术:在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术:把过滤和服务两种方法结合形成新防火墙,所用主机称为堡垒主机,提供服务。(5)审计技术:通过对网络上发生的访问进程记录和产生日志,对日志统计分析,对资源使用情况分析,对异常现象跟踪监视。(6)路由器加密技术:加密路由器对通过路由器的信息流加密和压缩,再通过外部网络传输到目的端解压缩和解密。2.加密技术。为保证数据和交易安全,确认交易双方的真实身份,电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有:(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开;得到公开密钥的贸易方乙对信息加密后再发给贸易方甲:贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方,保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹,有固定长度且不同明文摘要成密文结果不同,而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点:一是因为自己签名难以否认,从而确认文件已签署;二是因为签名不易仿冒,从而确定文件为真。(4)数字时间戳:电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容,数字时间戳服务能提供电子文件发表时间的安全保护。
3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识,用电子手段证实用户身份及对网络资源的访问权限,可控制被查看的数据库,提高总体保密性。交易支付过程中,参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放,都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。
4.防病毒技术。(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术,如自身校验、关键字、文件长度变化。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度,可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始终处于良好工作状态。
四、结语
信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术,提高电子商务系统的安全性和可靠性。但电子商务的安全运行,仅从技术角度防范远远不够,还必须完善电子商务立法,以规范存在的各类问题,引导和促进我国电子商务快速健康发展。
参考文献:
[1]谭卫:电子商务中安全技术的研究.哈尔滨工业大学,2006
【关键词】电子商务信息;安全要素;存在问题;应对措施
随着市场经济体制的改革、全球电子信息技术的不断发展,人们的生活水平得到了很大的提高,计算机早已得到普及。互联网络使人们的沟通更加快速和便捷,因此越来越多的商业贸易都选择利用互联网络进行。但是目前网络信息安全还存在一些问题和漏洞,能否保障信息安全就成为电子商务贸易中重要的问题。
1.电子商务信息安全的要素
1.1机密性
在过去,企业进行商业贸易往来都是通过书信等可靠的通信渠道来进行商业交流、发送商务文案的,虽然这些方法的使用速度和效率都较低,但是机密安全性能够得到保障。在现代社会,电子商务是在一个开放的网络环境中进行的,电子商务信息的安全存在一定的风险,因此要保障电子商务信息的安全,就必须保障电子商务信息的机密性。
1.2完整性
电子商务信息传输简化了传统贸易过程中的很多过程,减少了其中存在的一些干预信息,但与此同时,也存在着电子商务信息的完整性问题。数据录入过程中存在的一些问题或是非法行为,很容易导致商业贸易数据被篡改。电子商务信息在传输的过程中信息也有可能出现丢失、重复等问题。因此,保证数据信息在传输过程中的完整性是保障电子商务信息安全的重要因素。
1.3认证性
互联网是一个虚拟的网络环境,电子商务信息就是基于互联网络进行的,在进行商业贸易往来时,双方不会见面,这就需要一些技术对双方的身份进行识别和确认。
1.4有效性
在商业贸易过程中,贸易双方都需要确认很多信息,电子商务将纸质的认证转变成为电子信息形式,那么,保证信息的有效性是电子商务贸易的重要前提。因此,对于网络故障、硬件或软件出现的问题和计算机内部可能存在的潜在病毒都要进行一定的控制和预防工作,这样才能保障电子商务贸易数据信息的有效性。
1.5不可抵赖性
传统的贸易都是通过手写签名或是印章的方式进行,这样可以有效防止贸易伙伴发生抵赖的行为。而电子商务贸易是在虚拟的互联网络平台上进行的,而互联网内每个人都是匿名的,存在极大的不安全因素。因此,如何保障电子商务信息安全的不可抵赖性是进行电子商务贸易中的一个重点。
2.电子商务信息安全中存在的问题
2.1计算机网络安全
虽然国际经济和数据信息早已步入全球化时代,但安全协议问题还未进行全球性的规范,并且在安全管理方面还存在着很大的漏洞,这就很容易使黑客进行攻击。一些非法用户在网络上通过不正当手段拦截用户的有效数据或是对数据进行篡改,将导致用户的一些核心数据泄漏,使信息失去真实性和完整性。此外,一些非法用户还会在拦截到的网络数据中加入病毒再进行再次发送,利用修改后的数据信息恶意攻击对方的计算机。电子服务器安全也是计算机网络安全中的一个重要组成部分。电子商务服务器是电子商务中最重要的部分,其中保存着大量的商务信息,一旦出现安全问题,其造成的影响和后果是不可估量的。
2.2电子商务交易安全
电子商务交易安全主要包含身份不确定、交易抵赖和交易信息修改三个主要方面。由于电子商务贸易是基于虚拟的互联网络进行的,这个平台上贸易双方使不用见面的,这就给贸易双方的身份确认带来了一定的阻碍。一些非法用户可以通过不正当手段非法获取用户的身份信息,再冒用他人身份信息和对方进行交易,从中获取非法利益。此外,在电子商务贸易中一些用户可能会对自己曾经发出的信息进行否认并推卸责任。最后就是交易信息的修改问题,在传统贸易中,双方一旦签订合同,一般是不可修改的,在电子商务贸易中也应当做到这点,这样就能保证商务贸易的公平公正性。
3.电子商务信息安全的措施
3.1数据加密技术
保障电子商务信息安全的最基本措施就是数据加密技术,保障数据在存储和传输过程中的安全性和机密性。随着电子商务与信息技术的不断发展,为了保障商务信息的完整性并进行身份鉴定,数字签名、身份认证等新的数字验证技术都在不断的衍生出来。数据加密技术就是将数据信息通过一定的加密算法,将原本明了的数据信息转化成为一段无意义的秘文,以阻止非法用户截取信息获取原始资料的意义,从而保障电子商务信息的安全。对称密钥加密体制和非对称密钥加密体制是目前使用最为广泛的两种加密技术。
3.2防火墙技术
数据包过滤和服务技术是目前互联网内使用最为广泛的防火墙技术。相比服务技术,数据包过滤防火墙技术使用起来更为简单,它检查每个收到的数据包的头并决定数据包是否发送到目的地,因此其运用比较普遍。防火墙能够对进出计算机网络的数据进行一定标准的过滤,就能有效的对有害信息进行阻隔,从而保障计算机网络的安全。然而,防火墙技术也存在着一些缺点,如防火墙只能对经过了防火墙的有害信息进行阻隔,但并不能防止计算机网络内部的网络攻击,并且防火墙不能保障数据的机密性。
3.3身份认证技术
网络中对用户进行身份认证最常用的技术就是数字证书,类似于现实生活中的身份证。CA(Certificate Authority)是颁发数字证书的机构,要想保障电子商务信息安全,就必须建立一个完善、稳固的CA。
3.4保障安全环境性措施
由于目前互联网络的电子商务贸易发展得还不成熟,相关的法律法规都还没建立,其中还存在着一些较大的问题。因此就要保障电子商务信息的环境安全,首先要在我国构件一个完善的电子商务体系,其次要完善相关法律法规的建设,最后要加快网络的基础建设,推动企业信息化的进程。
4.结语
根据电子商务信息的机密性、完整性、认证性、有效性和不可抵赖性这五个基本要素,结合目前电子网络信息中存在的一些问题,采用如数据加密技术、防火墙技术、身份认证等技术就能在很大程度上提高网络信息的安全性,保障在电子商务贸易中商务信息的安全。 [科]
【参考文献】
[1]肖徳琴.电子商务安全保密技术与应用[M].华南理工大学出版社,2012,9.
在电子商务交易过程中,采取适当的安全技术措施能够有效的降低电子商务交易过程中的风险,满足电子商务对于安全性的要求。下面对常用的电子商务信息安全技术措施进行研究。
1)信息加密技术。信息加密指的是将信息数据按照一定的算法规则进行转换处理,根据加密算法的不同,密文有所不同。在进行数据信息的解密时,需要提供预先设置的加密算法,否则无法完成对信息的解密,这样就起到了加密信息数据的目的。信息加密算法的不同保证了用户数据的安全性。其中,加密技术按照密钥的不同可以分为对称加密和非对称加密两种。对称式加密的主要特点是加密算法的运算量较小、加密时间短。但是整个的保密都完全依赖于密钥的保密,一旦密钥出现安全问题,就会使得整个信息数据的安全性丧失,因此,对于密钥的管理是对称式加密的关键环节;非对称加密技术在加密环节与解密环节采用的是不同的密钥,与对称式加密相比,非对称加密有着更高的保密等级,但是其存在的一个缺点就是加密和解密过程运算量较大。
2)认技术。普通的加密技术在实际的电子商务信息安全管理中显得不尽完善。在电子商务信息安全管理的技术手段中,身份认证和信息判别是必须的信息安全管理环节。目前的认证技术主要包括数字签名、数字信封、数字证书等几种认证方式。数字签名技术是类似于传统意义上的签名,只是以数字的形式完成,其目的是保证在电子商务的交易过程中明确交易双方的身份并且保证双方身份的不可变更。电子商务环境下的数字签名技术主要是将数据文件通过数据发送者的密钥进行加密,将二者一起传送出去,接受者在接收到信息后只有通过发送者的公钥才能够解密数据信息,这样整个过程就形同现实生活中的签名一样,将数据信息与个人的身份建立关联,保证了电子商务交易过程中的数据信息安全;数字信封指的是通过在数据信息发送过程中加人特定的标识,以保证数据信息能够准确的发送到制定的用户,其具体的实现选用对称密钥对信息数据进行加密,然后将需要发送的数据信息连同数字信封一同发送,在信息接受者处同样需要数字信封的解密文件对数据信息进行解密,目前这种信封加密技术已经得到了较为普遍的应用。
3)防火墙技术。计算机防火墙是抵御计算机网络攻击的重要手段,其主要是通过设置网络过滤作用的防火墙对防火墙外部的数据进行选择性的接收。防火墙技术是一种相对传统的网络安全技术,其使用较为简单,但是在实际的电子商务交易过程中,网络防火墙只能够起到基础防护的作用,对于更高级别的网络防护要求是无法满足的。
4)安全交易协议。常用的电子商务交易协议有SET、SSL。其中SET是基于互联网的信用卡平台所确立的,其主要的应用领域是BtoC模式。具体的实施过程是通过采用信息的数字签名技术来确保信息的完整性,同时对信息的来源进行确认;SSL通信协议主要能够实现对数据的加密、客户端的身份认证、数据的完整性维护,以保证数据信息都能够准确的到达接受者。
2加强电子商务信息安全的对策
增强电子商务交易过程中的信息安全,不仅仅要从技术的角度出发,同时还要加强对于电子商务信息安全的管理,主要采取以下几个方面的措施。
l)加强安全管理组织建设。加强电子商务信息安全的管理组织建设是信息安全管理的重要方面,应该根据实际的电子商务需要,建立健全安全管理组织机构,完善安全管理组织的职能规划。通常情况下,安全管理组织负责电子商务安全的制度起草以及后期的安全制度落实、安全巡查、安全维护等。同时还可以根据实际需要聘请相关网络安全的专家和学者担任组织的顾问,对组织建设提供建议和指导。
2)完善电子商务信息安全制度建设。加强电子商务交易过程中的制度建设是整个电子商务安全管理的核心工作。要明确相应安全制度的定义、适用范围、权责等,并且不断的根据实际需要对制度进行细化。在实际的电子商务信息安全管理制度建设中,主要包括五个方面的内容。一是建立完善的电子商务授权交易制度,对交易过程中的关键环节进行严格审核;二是明确信息安全的权责,对各个部门的职能和责任进行明确的分工;三是建立财务控制制度,加强交易过程中的财产安全;四是加强对电子商务中经营环节的管控;五是建立相对完善的电子商务信息安全应急处理制度,对信息数据及时进行备份。
3)加强内部人员管理。培养和加强内部员工的信息安全意识对于防范电子商务交易过程中的信息安全有着重要意义。其具体的设施主要有以下两个方面的内容:首先,要加强对于内部员工信息安全意识的培养,使得员工在思想上加强对于信息安全的认识;其次,在人员的录用和培训环节要加强管理,员工需要签署严格的信息安全保密协议,同时强化员工的信息安全权责意识。
3结束语
[关键词]电子商务;PKI;公钥密码系统
前言
电子商务(E-Commerce)是在Internet开放的网络环境下,基于浏览器服务器的应用方式,实现消费者的网上购物商户之间的网上交易和在线电子支付的商业运营模式最近几年,电子商务以其便利快捷的特点迅速发展起来,但是安全问题一直是阻碍其发展的关键因素虽然PKI的研究和应用为互联网络安全提供了必要的基础设施,但是电子商务信息的机密性和完整性仍然是迫切需要解决的问题,本文针对这一问题展开了深入研究并提出了解决方法
1PKI的定义和功能
PKI——公钥基础设施,是构建网络应用的安全保障,专为开放型大型互联网的应用环境而设计PKI是对公钥所表示的信任关系进行管理的一种机制,它为Internet用户和应用程序提供公钥加密和数字签名服务,目的是为了管理密钥和证书,保证网上数字信息传输的机密性真实性完整性和不可否认性,以使用户能够可靠地使用非对称密钥加密技术来增强自己的安全水平PKI的功能主要包括:公钥加密证书证书确认证书撤销
2公钥密码系统
由于PKI广泛应用于电子商务,故文章重点放在讨论RSA公钥密码系统上RSA的安全性是基于数论和计算复杂性理论中的下述论断:求两个大素数的乘积在计算上是容易的,但若分解两个大素数的积而求出它的因子则在计算上是困难的,它属于NPI类
2.1RSA系统
RSA使用的一个密钥对是由两个大素数经过运算产生的结果:其中一个是公钥,为众多实体所知;另外一个是私钥,为了确保其保密性和完整性,必须严格控制并只有其所有者才能使用RSA加密算法的最基本特征就是用密钥对中的一个密钥加密的消息只能用另外一个解密,这也就体现了RSA系统的非对称性RSA具有加密和数字签名功能RSA产生公钥/私钥对加解密的过程如下:
2.1.1产生一个公钥/私钥对
(1)选取两个大素数p和q,为了获得最大程度的安全性,两个数的长度最好相同两个素数p和q必须保密
(2)计算p与q的乘积:n=p*q
(3)再由p和q计算另一个数z=(p-1)*(q-1)
(4)随机选取加密密钥e,使e和z互素
(5)用欧几里得扩展算法计算解密密钥d,以满足e*d=1mod(z)
(6)由此而得到的两组数(n,e)和(n,d)分别被称为公钥和私钥
2.1.2加密/解密过程
RSA的加密方法是一个实体用另外一个实体的公钥完成加密过程,这就允许多个实体发送一个实体加密过的消息而不用事先交换秘密钥或者私钥,并且由于加密是用公钥执行的,所以解密只能用其对应的私钥来完成,因此只有目标接受者才能解密并读取原始消息
在实际操作中,RSA采用一种分组加密算法,加密消息m时,首先将它分成比n小的数据分组(采用二进制数,选取小于n的2的最大次幂),加密后的密文c,将由相同长度的分组ci组成加密公式简化为:
ci=mie(modn)
即对于明文m,用公钥(n,e)加密可得到密文c:
c=memodn,其中m={mi|i=0,1,2,…},c=(ci|i=0,1,2,…)
解密消息时,取每一个加密后的分组ci并计算:mi=cid(modn),便能恢复出明文即对于密文c,用接收者的私钥(n,d)解密可得到明文m:
m=cdmodnm={mi|i=0,1,2,…},c=(ci|i=0,1,2,…)
2.1.3数字签名
RSA的数字签名是加密的相反方式,即由一个实体用它的私钥将明文加密而生成的这种加密允许一个实体向多个实体发送消息,并且事先不需交换秘密钥或加密私钥,接收者用发送者的公钥就可以解密
RSA的数字签名过程如下:
s=mdmodn,其中m是消息,s是数字签名的结果,d和n是消息发送者的私钥
消息的解密过程如下:
m=semodn,其中e和n是发送者的公钥
2.1.4散列(Hash)函数
MD5与SHA1都属于Hash函数标准算法中两大重要算法,就是把一个任意长度的信息经过复杂的运算变成一个固定长度的数值或者信息串,主要用于证明原文的完整性和准确性,是为电子文件加密的重要工具一般来说,对于给出的一个文件要算它的Hash码很容易,但要从Hash码找出相应的文件算法却很难Hash函数最根本的特点是这种变换具有单向性,一旦数据被转换,就无法再以确定的方法获得其原始值,从而无法控制变换得到的结果,达到防止信息被篡改的目的由于Hash函数的这种不可逆特性,使其非常适合被用来确定原文的完整性,从而被广泛用于数字签名
2.2对称密码系统
对称密码系统的基本特点是解密算法就是加密算法的逆运算,加秘密钥就是解秘密钥它通常用来加密带有大量数据的报文和问卷通信的信息,因为这两种通信可实现高速加密算法在对称密码系统中发送者和接收者之间的密钥必须安全传送,而双方实体通信所用的秘密钥也必须妥善保管
3应用模型
利用公钥加密系统可以解决电子商务中信息的机密性和完整性的要求,下面是具体的应用模型在本例中,Alice与Bob两个实体共享同一个信任点,即它们使用同一CA签发的数字证书因此,它们无需评价信任链去决定是否信任其他CA
3.1准备工作
(1)Alice与Bob各自生成一个公钥/私钥对;
(2)Alice与Bob向RA(机构)提供各自的公钥名称和描述信息;
(3)RA审核它们的身份并向CA提交证书申请;
(4)CA格式化Alice和Bob的公钥及其他信息,为Alice和Bob分别生成公钥证书,然后用自己的私钥对证书进行数字签名;
(5)上述过程的结果是,Alice与Bob分别拥有各自的一个公钥/私钥对和公钥证书;
(6)Alice与Bob各自生成一个对称秘密钥
现在,Alice和Bob拥有各自的一个公钥/私钥对,由共同信任的第三方颁发的数字证书以及一个对称密钥
3.2处理过程
假设现在Alice欲发送消息给Bob,并且要求确保数据的完整性,即消息内容不能发生变动;同时Alice和Bob都希望确保信息的机密性,即不容许除双方之外的其他实体能够查看该消息完成这样要求的处理过程如下:其中步骤1~5说明Alice加密消息过程;步骤6~10说明Bob解密消息的过程了消息的完整性,而没有确保其机密性
(3)由于Alice和Bob之间想保持消息的机密性,所以Alice用它的对称秘密钥加密被签名的消息和散列值这一对称秘密钥只有Alice和Bob共享而不被其他实体所用注意,在本例中,我们使用了一个对称秘密钥,这是因为对于加密较长消息诸如订购信息来说,利用对称加密比公钥加密更为有效
(4)Alice必须向Bob提供它用来给消息加密的对称秘密钥,以使得Bob能够用其解密被Alice加密过的消息Alice用Bob的公钥将自己的对称秘密钥签名(加密),这里我们假设Alice事先已经获得Bob的公钥,这样就形成了一个数字信笺,并且只有Bob才能将其打开(解密),因为只有Bob能够访问用来打开该数字信笺的私钥注意,一个公钥/私钥对中,用其中一个密钥加密的信息只有用另外一个密钥才能解密这就为Alice向Bob传输对称秘密钥提供了机密性
(5)Alice发送给Bob的信息包括它用对称秘密钥加密的原始消息和散列值,以及用Bob公钥加密的包含Alice的对称秘密钥的数字信笺图1描述了Alice使用数字签名向Bob发送消息(步骤1~5)
(6)Bob用它的私钥打开(解密)来自于Alice的数字信笺完成这一过程将使Bob获得Alice以前用来加密消息和散列值的对称秘密钥
(7)Bob现在可以打开(解密)用Alice的对称秘密钥加密的消息和散列值解密后Bob得到了用Alice的私钥签名的消息和散列值
(8)Bob用Alice的公钥解密签名的消息和散列值注意,一个公钥/私钥对中,用其中一个密钥加密的信息只有用另外一个密钥才能解密
(9)为了证实消息没有经过任何改动,Bob将原始消息采用与Alice最初使用的完全一致的Hash函数进行转化
(10)最后,Bob将得出的散列值与它从所收消息中解密出来的散列值对比,若二者相同,则证明了消息的完整性图2描述了Bob解密和对比散列值的过程(步骤6~10)
3.3实现方法
采用Java语言实现系统,Java语言本身提供了一些基本的安全方面的函数,我们可以在此基础上实现更为复杂和有效的应用系统系统中主要的类实现如下:
(1)DataEncryption类该类主要实现明文向密文的转换,依据RSA算法的规则实现非对称加密,其中密钥长度为128位每次可加密数据的最大长度为512字节,因此对于较长数据的加密需要划分适当大小的数据块
(2)DataHash类该类完成对所要加密消息产生对应的散列值,对于不同的消息,散列值是不相同的可以借助Java中提供的Hash函数来实现
(3)DataDecryption类该类主要实现密文向明文的转换,依据依据RSA算法的规则,利用加密方的公钥对密文进行解密,并将解密后的明文按序排好
4结束语
文章以PKI理论为基础,利用公钥密码系统确保了电子商务过程中所传输消息的完整性,使用对称加密系统实现对较长消息的加密,并保证了消息的机密性文章的理论研究和实现方法,对于保障电子商务活动中消息的完整性和机密性具有重要的指导意义
主要参考文献
[1]周学广,刘艺.信息安全学[M].北京:机械工业出版社,2004.
关键词:电子商务; 信息安全;运行环境;黑客;防火墙
电子商务在网络经济发展日益迅猛的当下,应用越来越广泛,这种基于Internet进行的各种商务活动模式以其特有的开放性让商务活动相比较以往更加高效快捷。In-ternet 是一个开放的、全球性的、无控制机构的网络,计算机网络自身的特点决定了网络不安全,网络服务一般都是通过各种各样的协议完成的,因此网络协议的安全性是网络安全的重要方面,Internet 的数据传输是基于 TCP/IP操作系统来支持的,TCP/IP 协议本身存在着一定的缺陷。
1电子商务所面临的信息安全威胁
1.1 安全环境恶化
由于在计算机及网络技术方面发展较为迟缓,我国在很多硬件核心设备方面依然以进口采购为主要渠道,不能自主生产也意味着不能自主控制,除了生产技术、维护技术也相应依靠国外引进,这也就让国内的电子商务无法看到眼前的威胁以及自身软件的应付能力。
1.2平台的自然物理威胁
由于电子商务通过网络传输进行,因此诸如电磁辐射干扰以及网络设备老化带来的传输缓慢甚至中断等自然威胁难以预测,而这些威胁将直接影响信息安全。此外,人为破坏商务系统硬件,篡改删除信息内容等行为,也会给企业造成损失。
1.3黑客入侵
在诸多威胁中,病毒是最不可控制的,其主要作用是损坏计算机文件,且具有繁殖功能。配合越来越便捷的网络环境,计算机病毒的破坏力与日俱增。而目前黑客所惯用的木马程序则更有目的性,本地计算机所记录的登录信息都会被木马程序篡改,从而造成信息之外的文件和资金遭窃。
2电子商务信息安全的防范处理方法
2.1针对病毒的技术
作为电子商务安全的最大威胁,对于计算机病毒的防范是重中之重。对于病毒,处理态度应该以预防为主,查杀为辅。因为病毒的预防工作在技术层面上比查杀要更为简单。多种预防措施的并行应用很重要,比如对全新计算机硬件、软件进行全面的检测;利用病毒查杀软件对文件进行实时的扫描;定期进行相关数据备份;服务器启动采取硬盘启动;相应网络目录和文件设置相应的访问权限等等。同时在病毒感染时保证文件的及时隔离。在计算机系统感染病毒的情况下,第一时间清除病毒文件并及时恢复系统。
2.2防火墙应用
防火墙主要是用来隔离内部网和外部网,对内部网的应用系统加以保护。目前的防火墙分为两大类:一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的 TCP 端口和 TCP 链路状态等因素来确定是否允许数据包通过。另一类是应用网管和服务器,可针对特别的网络应用服务协议及数据过滤协议,并且能够对数据包分析并形成相关的报告
2.3数据加密技术的引入
加密技术是保证电子商务安全采用的主要安全措施。加密过程就是根据一定的算法,将可理解的数据(明文)与一串数字(密钥)相结合,从而产生不可理解的密文的过程,主要加密技术是:对称加密技术和非对称加密技术。
2.4认证系统
网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。传统的对称密钥算法具有加密强度高、运算速度快的优点,但密钥的传递与管理问题限制了它的应用。为解决此问题,20 世纪 70 年代密码界出现了公开密钥算法,该算法使用一对密钥即一个私钥和一个公钥,其对应关系是唯一的,公钥对外公开,私钥个人秘密保存。一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。
2.5其他注意事项
(1)机密性是指信息在存储或传输过程中不被他人窃取或泄漏,满足电子商务交易中信息保密性的安全需求,避免敏感信息泄漏的威胁。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
(2)商务信息的完整性,只读特性以及修改授权问题是电子商务信息需要攻克的一大难关。信息在传输过程中必须保持原内容,不能因技术、环境以及刻意原因而轻易被更改。
(3)交易诚信问题也存在于隔空交易当中,电子商务信息在传输当中,保证传输速度和内容真实的情况下,交易方不能对已完成的交易操作产生反悔,一旦因商务平台外的问题而取消或质疑交易操作,对方的利益将蒙受损失。
关键词:电子商务; 信息安全;运行环境;黑客;防火墙
电子商务在网络经济发展日益迅猛的当下,应用越来越广泛,这种基于Internet进行的各种商务活动模式以其特有的开放性让商务活动相比较以往更加高效快捷。In-ternet 是一个开放的、全球性的、无控制机构的网络,计算机网络自身的特点决定了网络不安全,网络服务一般都是通过各种各样的协议完成的,因此网络协议的安全性是网络安全的重要方面,Internet 的数据传输是基于 TCP/IP操作系统来支持的,TCP/IP 协议本身存在着一定的缺陷。
1电子商务所面临的信息安全威胁
1.1 安全环境恶化
由于在计算机及网络技术方面发展较为迟缓,我国在很多硬件核心设备方面依然以进口采购为主要渠道,不能自主生产也意味着不能自主控制,除了生产技术、维护技术也相应依靠国外引进,这也就让国内的电子商务无法看到眼前的威胁以及自身软件的应付能力。
1.2平台的自然物理威胁
由于电子商务通过网络传输进行,因此诸如电磁辐射干扰以及网络设备老化带来的传输缓慢甚至中断等自然威胁难以预测,而这些威胁将直接影响信息安全。此外,人为破坏商务系统硬件,篡改删除信息内容等行为,也会给企业造成损失。
1.3黑客入侵
在诸多威胁中,病毒是最不可控制的,其主要作用是损坏计算机文件,且具有繁殖功能。配合越来越便捷的网络环境,计算机病毒的破坏力与日俱增。而目前黑客所惯用的木马程序则更有目的性,本地计算机所记录的登录信息都会被木马程序篡改,从而造成信息之外的文件和资金遭窃。
2电子商务信息安全的防范处理方法
2.1针对病毒的技术
作为电子商务安全的最大威胁,对于计算机病毒的防范是重中之重。对于病毒,处理态度应该以预防为主,查杀为辅。因为病毒的预防工作在技术层面上比查杀要更为简单。多种预防措施的并行应用很重要,比如对全新计算机硬件、软件进行全面的检测;利用病毒查杀软件对文件进行实时的扫描;定期进行相关数据备份;服务器启动采取硬盘启动;相应网络目录和文件设置相应的访问权限等等。同时在病毒感染时保证文件的及时隔离。在计算机系统感染病毒的情况下,第一时间清除病毒文件并及时恢复系统。
2.2防火墙应用
防火墙主要是用来隔离内部网和外部网,对内部网的应用系统加以保护。目前的防火墙分为两大类:一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的 TCP 端口和 TCP 链路状态等因素来确定是否允许数据包通过。另一类是应用网管和服务器,可针对特别的网络应用服务协议及数据过滤协议,并且能够对数据包分析并形成相关的报告。
2.3数据加密技术的引入
加密技术是保证电子商务安全采用的主要安全措施。加密过程就是根据一定的算法,将可理解的数据(明文)与一串数字(密钥)相结合,从而产生不可理解的密文的过程,主要加密技术是:对称加密技术和非对称加密技术。
2.4认证系统
网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。传统的对称密钥算法具有加密强度高、运算速度快的优点,但密钥的传递与管理问题限制了它的应用。为解决此问题,20 世纪 70 年代密码界出现了公开密钥算法,该算法使用一对密钥即一个私钥和一个公钥,其对应关系是唯一的,公钥对外公开,私钥个人秘密保存。一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。
2.5其他注意事项