導(dǎo)語：如何才能寫好一篇電子商務(wù)安全，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

Internet給整個社會帶來了巨大的變革，成為驅(qū)動所有產(chǎn)業(yè)發(fā)展的動力。電子商務(wù)是在Internet開放環(huán)境下的一種新型的商業(yè)運(yùn)營模式，是網(wǎng)絡(luò)技術(shù)應(yīng)用的全新發(fā)展方向。在此首先對電子商務(wù)中存在的問題及其安全性技術(shù)加以分析，然后對中國電子商務(wù)未來的發(fā)展提出了一些建議，以使更多的人士關(guān)注電子商務(wù)技術(shù)，盡快解決現(xiàn)存的問題，推動電子商務(wù)的發(fā)展。

2電子商務(wù)及其存在的問題

電子商務(wù)是指利用簡單快捷低成本的電子通訊方式，使買賣雙方進(jìn)行各種商貿(mào)活動的新型貿(mào)易形式。它改變了傳統(tǒng)貿(mào)易形式，不僅改變了企業(yè)本身的生產(chǎn)、經(jīng)營、管理活動，而且將導(dǎo)致人類經(jīng)濟(jì)、社會和文化的一次新的革命。但目前電子商務(wù)的發(fā)展中還存在許多問題：

1）安全協(xié)議問題：對安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范，相對制約了國際性的商務(wù)活動。

2）安全管理問題：在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

3）電子商務(wù)沒有真正深入商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域。

4）技術(shù)人才短缺問題：電子商務(wù)是在近幾年才得到了迅猛發(fā)展，許多地方都缺乏足夠的技術(shù)人才來處理所遇到的各種問題。不少電子商務(wù)的開發(fā)商對網(wǎng)絡(luò)技術(shù)很熟悉，但是對安全技術(shù)了解得偏少，因而難以開發(fā)出真正實用的、安全性的產(chǎn)品。

5）法律問題：電子交易衍生了一系列法律問題，例如網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問題，急需為電子商務(wù)提供法律保障。

6）稅收問題：電子商務(wù)的發(fā)展在促進(jìn)貿(mào)易增加稅收的同時又對稅收制度及其管理手段提出了新要求。

3電子商務(wù)中的安全性技術(shù)

安全性技術(shù)是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素，也是目前大家十分關(guān)注的問題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性，但現(xiàn)在幾乎網(wǎng)絡(luò)的各個層次都制訂了安全協(xié)議和具備了相應(yīng)的安全技術(shù)，以保證電子商務(wù)的安全性。

3.1安全的網(wǎng)絡(luò)平臺

安全可靠的網(wǎng)絡(luò)是實現(xiàn)電子商務(wù)的基礎(chǔ)，常用的方法是在網(wǎng)絡(luò)中采用防火墻技術(shù)，虛擬專用網(wǎng)（VPN）技術(shù)，防病毒保護(hù)等。防火墻技術(shù)是通過IP過濾和服務(wù)器軟件方法保護(hù)企業(yè)內(nèi)部網(wǎng)(Intranet)中數(shù)據(jù)，只有授權(quán)用戶才能獲準(zhǔn)進(jìn)入企業(yè)內(nèi)部網(wǎng)的系統(tǒng)。虛擬專用網(wǎng)（VPN）技術(shù)通過IP隧道等方法來保證企業(yè)協(xié)作網(wǎng)（Extranet）中企業(yè)間數(shù)據(jù)和企業(yè)內(nèi)部網(wǎng)的遠(yuǎn)程分支機(jī)構(gòu)和外出職工對中央系統(tǒng)的遠(yuǎn)程訪問數(shù)據(jù)的安全傳遞。單純依靠這些方法保護(hù)網(wǎng)絡(luò)的安全性是不夠的，還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務(wù)基石，例如現(xiàn)在的加密技術(shù)、數(shù)字簽名技術(shù)、電子認(rèn)證技術(shù)等。

3.2在線支付的安全技術(shù)

電子商務(wù)的另一個關(guān)鍵問題是要保證在線支付的安全，它是網(wǎng)上購物的重要保證。目前采用的在線支付協(xié)議有兩種：安全套接層SSL（SecureSocketsLayer）協(xié)議和安全電子交易SET（SecureElectronicTransaction）協(xié)議。

3.2.1SSL協(xié)議

SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證，數(shù)字證書是從認(rèn)證機(jī)構(gòu)（CertificateAuthority，CA）獲得的，通常包含有唯一標(biāo)識證書所有者的名稱、唯一標(biāo)識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后，雙方就可以用保密密鑰進(jìn)行安全的會話了。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如HTTP、FTP、TELNET等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL協(xié)議握手流程由兩個階段組成：服務(wù)器認(rèn)證和用戶認(rèn)證。

1）服務(wù)器認(rèn)證

客戶端向服務(wù)器發(fā)送一個“Hello”信息，以便開始一個新的會話連接；服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務(wù)器在響應(yīng)客戶的“Hello”信息時將包含生成主密鑰所需的信息；客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。這樣通過主密鑰引出的密鑰對一系列數(shù)據(jù)進(jìn)行加密來認(rèn)證服務(wù)器，從而建立安全的通信通道。

2）用戶認(rèn)證

經(jīng)認(rèn)證的服務(wù)器發(fā)送一個提問給客戶，客戶則返回數(shù)字簽名后的提問和其公開密鑰，從而向服務(wù)器提供認(rèn)證。

SSL協(xié)議支持各種加密算法，實現(xiàn)簡單，獨(dú)立于應(yīng)用層協(xié)議，且被大部分瀏覽器和Web服務(wù)器內(nèi)置，便于在電子交易中應(yīng)用。但SSL是一個面向連接的協(xié)議，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，在涉及多方的電子交易中，SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系，為此，Mastercard和Visa共同在網(wǎng)絡(luò)應(yīng)用層開發(fā)了SET協(xié)議。

3.2.2SET協(xié)議

SET協(xié)議是一個能保證通過開放網(wǎng)絡(luò)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)。它采用的技術(shù)包括，對稱密鑰加密、公共密鑰加密、哈希算法、數(shù)字簽名技術(shù)以及公共密鑰授權(quán)機(jī)制等。

SET使訂單信息和信用卡信息的隔離。在把包含信用卡號碼信息的訂單送到商家時，商家只能看到訂單信息，卻看不到信用卡號碼信息，并且需要持卡人和商家相互認(rèn)證，確定通信雙方身份，一般由認(rèn)證中心為雙方提供信用擔(dān)保。

整個電子支付的過程包括：瀏覽、購買、付款合法性驗證以及獲取付款等過程。信用卡持卡客戶通過瀏覽器從商家的商品目錄尋找所需商品，他擁有支付網(wǎng)關(guān)交換密鑰的私人密鑰，可以發(fā)送初始化請求給商家；商家收到客戶的初始化請求后，為請求報文分配一個唯一的交易標(biāo)識號，并用商家的私人密鑰進(jìn)行數(shù)字簽名，然后將初始化響應(yīng)報文與商家和支付網(wǎng)關(guān)的證書一起傳給客戶；客戶收到該初始化響應(yīng)后，驗證商家和支付網(wǎng)關(guān)的證書，確認(rèn)商家和支付網(wǎng)關(guān)的身份，再根據(jù)商家的公開密鑰確認(rèn)初始化響應(yīng)中的商家簽名；然后，客戶產(chǎn)生訂單信息（OrderingInformation）和支付命令（PaymentInstruction），用私人密鑰對訂單信息和支付命令進(jìn)行雙重簽名；并產(chǎn)生一個隨機(jī)的對稱密鑰，用它對雙重簽名后的支付命令加密，然后再用支付網(wǎng)關(guān)交換密鑰的公開密鑰（publickey-exchangekey）對客戶帳號和對稱密鑰加密；客戶將加密后的訂單信息和支付命令發(fā)給商家；商家確認(rèn)客戶證書，用客戶的公開密鑰對訂單信息上的雙重簽名解密，以確保訂單在傳輸過程中無誤，并且其中的簽名是客戶的；然后，商家處理訂單信息請求，將支付命令傳給支付網(wǎng)關(guān)并請求授權(quán)，同時還產(chǎn)生一個包括商家的簽名證書和指明客戶的訂單已被接收等信息的購買響應(yīng)報文，并對該報文數(shù)字簽名后發(fā)給客戶；客戶用商家的公開密鑰來證實購買響應(yīng)上的簽名是商家的，并保存收到的購買響應(yīng)。如果交易被授權(quán)，商家將執(zhí)行訂單上規(guī)定的送貨等服務(wù)。商家使用訂貨單，要求支付網(wǎng)關(guān)付款。

SET定義了一個完備的電子交易流程，較好地解決了電子交易中各方間復(fù)雜的信任關(guān)系和安全連接，確保了電子交易中信息的真實性、保密性、防抵賴性和不可更改性。但由于SET協(xié)議龐大而又復(fù)雜，銀行、商家和客戶均需改造才能實現(xiàn)互操作，使得SET協(xié)議被普遍使用還需有一個過程。在我國，大多尚處在對SSL協(xié)議的應(yīng)用上，要完全實現(xiàn)SET協(xié)議安全支付還要有一個過程。

3.3其它安全問題

對于電子商務(wù)的安全性來講，有了防火墻與安全協(xié)議和規(guī)范還不夠，一方面，網(wǎng)絡(luò)本身的物理差錯是難以避免的；另一方面，Internet主干網(wǎng)和DNS服務(wù)器的可靠性，撥號連接質(zhì)量與速度還不能滿足人們的需求；另外，惡意代碼對網(wǎng)絡(luò)系統(tǒng)的威脅，單純依敕技術(shù)是很難解決的，從某種意義上講，依靠管理加強(qiáng)內(nèi)部人員的安全防范意識等比安全技術(shù)更為重要。因此，要加強(qiáng)電子商務(wù)的安全性應(yīng)從多方面入手。

4對我國電子商務(wù)的發(fā)展的幾點建議

1）提高服務(wù)的安全性。電子商務(wù)飛快的發(fā)展速度，致使其安全技術(shù)和安全管理都跟不上，這已成為越來越突出的問題，但不能因為安全問題而制約了電子商務(wù)的發(fā)展，使安全成為發(fā)展的瓶頸，發(fā)展是首位的，沒有發(fā)展安全就無從談起。

2）加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)普及程度。發(fā)展電子商務(wù)的目的在于降低交易成本，提高交易效率，因此應(yīng)積極發(fā)展高速寬帶通信信道，重點建設(shè)光纜和衛(wèi)星通信，同時積極利用現(xiàn)有通信線路發(fā)展ISDN和ADSL接入，利用有線電視線路，試驗發(fā)展HFC接入網(wǎng)。

3）盡快完善有關(guān)網(wǎng)絡(luò)安全等方面的法律。我國政府在《中華人民共和國合同法》中規(guī)定了以電子媒體為載體的合同具有法律約束力，對推廣電子商務(wù)有很大的促進(jìn)作用，但是在諸多方面還需順應(yīng)網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷完善。

4）加快銀行、稅務(wù)以及郵政等物流環(huán)節(jié)的信息化建設(shè)步伐，建立企業(yè)到企業(yè)（BtoB）、企業(yè)到客戶(BtoC)的商務(wù)溝通，實現(xiàn)網(wǎng)上資金流動，解決目前有形商品交易環(huán)節(jié)中的流通因難。

5）轉(zhuǎn)變?nèi)藗兠鎸γ娼灰椎南M(fèi)習(xí)慣。

篇2

原文

本文從電子商務(wù)的概念及內(nèi)容出發(fā)，介紹了電子商務(wù)中有關(guān)安全的一些基礎(chǔ)技術(shù)和電子商務(wù)在交易中的一般模式。并在文中重點介紹自己的一種電子商務(wù)交易的模式，從中找出電子商務(wù)在交易時容易出現(xiàn)的一些安全性的問題，并介紹相對應(yīng)這些安全問題而存在的一些解決方法。使讀者在了解電子商務(wù)的同時，對有關(guān)電子商務(wù)的一些安全性問題有一個較為全面的認(rèn)識

目錄

第一章電子商務(wù)的概念、環(huán)境、發(fā)展過程及特征

1、電子商務(wù)的概念

2、電子商務(wù)的環(huán)境

3、電子商務(wù)的發(fā)展過程

4、電子商務(wù)的特點

第二章電子商務(wù)中交易的模式

第三章電子商務(wù)安全問題的解決辦法

1、交易中存在的安全威脅。

2、交易時所應(yīng)用的技術(shù)。

第四章電子商務(wù)的總體看法及我國電子商務(wù)的發(fā)展

1、對電子商務(wù)的總體看法

2、我國電子商務(wù)的發(fā)展趨勢

參考資料

參考文獻(xiàn)：

1、1999年11月由Sun、德達(dá)與Entrust三公司在北京港澳中心舉行“電子商務(wù)發(fā)展趨勢研討會”。

三方除取得中國金融認(rèn)證中心Non_SET項目的建設(shè)工程外，目前將更緊密的提出項電子商務(wù)解決方案，該聯(lián)盟將逐步成為全國信息，金融與電子商務(wù)界所熟知的一個專注于電子商務(wù)事業(yè)的聯(lián)合體。

國外科技動態(tài)1999.12期

2、電子商務(wù)被看作是21世紀(jì)全球經(jīng)濟(jì)新的增長點。據(jù)悉英特集團(tuán)、首都信息發(fā)展有限公司、中國銀行、美國花旗銀行和IBM公司共同發(fā)展中國旅游業(yè)電子商務(wù)網(wǎng)絡(luò)介紹會在北京人民在會堂舉行。1999年7月16日

3、電子商務(wù)安全與CA認(rèn)證世界網(wǎng)絡(luò)與多媒體1999.8月期P10

4、電子商務(wù)（上）（下）世界網(wǎng)絡(luò)與多媒體1999七月、八月期

5、21世紀(jì)信息安全發(fā)展展望卿斯?jié)h1999.12月期

6、英國公布電子商務(wù)法律草案世界科技研究與發(fā)展1999.10月期

7、對付黑客的常規(guī)武器“防火墻”軟件工程師1999.5期

8、企業(yè)網(wǎng)絡(luò)安全重在防護(hù)軟件1999.12

9、計算機(jī)通訊中的新型信息加密技術(shù)計算機(jī)與通信1999.10期

10、EDI挑戰(zhàn)傳統(tǒng)國際貿(mào)易中國對外貿(mào)易1999.10

11、發(fā)展我國電子商務(wù)待解決的幾個技術(shù)問題中國信息導(dǎo)報1999.10P16

12、微型電腦應(yīng)用1999.9

13、電子商務(wù)中網(wǎng)上購物的安全協(xié)議-SSL與SET計算機(jī)工程1999.12

14、Intranet/Extranet中的網(wǎng)絡(luò)安全技術(shù)計算機(jī)工程1999.1P30

15、基于PKI的電子商務(wù)安全密鑰托管方案研究計算機(jī)工程1999.1P35

16、基于PKI的電子郵件系統(tǒng)安全方案的設(shè)計與實現(xiàn)計算機(jī)工程1999.8P34

17、帶身份認(rèn)證和加密的Internet防火墻系統(tǒng)計算機(jī)工程1999.8P45

18、基于Internet的支付系統(tǒng)計算機(jī)工程1999.10P40

19、TCP/IP網(wǎng)絡(luò)中若干安全問題計算機(jī)工程1929.12P88

20、防火墻技術(shù)的研究與探討計算機(jī)應(yīng)用研究1999.11.9

21、防火墻技術(shù)計算機(jī)工程與應(yīng)用1999.4

22、開放安全的Internet/Intranet信息系統(tǒng)體系結(jié)構(gòu)的研究與實現(xiàn)

23、深入理解和應(yīng)用Linux防火墻2000.1

24、Internet安全面臨的問題及解決策略信息技術(shù)2000.1

25、實現(xiàn)電子商務(wù)安全的基礎(chǔ)技術(shù)信息技術(shù)2000.1

26、VPN------虛擬專用網(wǎng)絡(luò)；電子信息處理；數(shù)字認(rèn)證；加密算法

篇3

[關(guān)鍵詞] 電子商務(wù)加密技術(shù)認(rèn)證技術(shù)防火墻技術(shù)

電子商務(wù)(Electronic Commerce）是在開放Internet網(wǎng)絡(luò)環(huán)境下，實現(xiàn)買賣雙方的網(wǎng)上交易和在線電子支付的一種新型的商業(yè)運(yùn)營模式。

電子商務(wù)分為三個方面：信息服務(wù)、交易和支付。主要內(nèi)容包括:電子商情廣告；電子選購和交易、電子交易憑證的交換;電子支付與結(jié)算以及售后的網(wǎng)上服務(wù)等。主要交易類型有企業(yè)與個人的交易(B to C方式)和企業(yè)之間的交易(B to B方式)兩種。

參與電子商務(wù)的實體一般有四類：顧客(個人消費(fèi)者或企業(yè)集團(tuán))、商戶(包括銷售商、制造商、儲運(yùn)商)、銀行(包括發(fā)卡行、收單行)及認(rèn)證中心。這些實體之間的信息的傳遞應(yīng)具有保密性、確定性、不可否認(rèn)性、不可修改性，這樣才能保證電子商務(wù)的正常交易，使電子商務(wù)正常有序的發(fā)展。那么，電子商務(wù)的安全性就顯得十分重要了。

電子商務(wù)面臨的安全問題,導(dǎo)致了對電子商務(wù)安全的需求。電子商務(wù)的安全問題是一個復(fù)雜的系統(tǒng)問題,實現(xiàn)系統(tǒng)的安全,保證交易的可靠性,要求電子商務(wù)做到機(jī)密性、完整性、認(rèn)證性和不可抵賴性。解決方法有以下技術(shù)手段。

一、加密技術(shù)

就是基于數(shù)學(xué)算法的程序和保密的密鑰對信息進(jìn)行編碼，生成難以理解的字符串。它保證了信息的完整性、用戶身份的不可否認(rèn)性、身份的驗證和消息的保密性。密鑰就是對發(fā)送、接受信息進(jìn)行加/解的方法。密鑰加密的算法通常有兩類:對稱密鑰算法和非對稱密鑰算法。

1.對稱密鑰加密。又叫秘密/專用密鑰加密，是指使用同一把密鑰對信息進(jìn)行加密、解密運(yùn)算。也就是說,一把鑰匙開一把鎖。它要求發(fā)送方、接收方在安全通信之前,商定一個密鑰,對稱密鑰算法的安全性依賴于密鑰,泄露密鑰就意味著任何人都能對消息進(jìn)行加/解密。只要通信需要保密,密鑰就必須保密。對稱密鑰加密算法包括DES加密算法和IDEA算法，RC2、RC4算法，Skipjack算法等。

2.非對稱密鑰算法。也叫公開密鑰體制，是指將一個加密系統(tǒng)的加密密鑰和解密密鑰分開，加密和解密分別由兩個密鑰來實現(xiàn)，并使得由加密密鑰推導(dǎo)出解密密鑰在計算機(jī)上是不可行的，則該系統(tǒng)稱為非對稱密鑰算法。商戶可以公開其公鑰，而保留其私鑰；客戶可以用商戶的公鑰對發(fā)送的信息進(jìn)行加密，安全地傳送到商戶，然后由商戶用自己的私鑰進(jìn)行解密。公開密鑰加密技術(shù)解決了密鑰的和管理問題，是目前商業(yè)密碼的核心。使用公開密鑰技術(shù)，進(jìn)行數(shù)據(jù)通信的雙方可以安全地確認(rèn)對方身份和公開密鑰，提供通信的可鑒別性。由此，公開密鑰體制的建設(shè)是開展電子商務(wù)的前提。

非對稱加密算法主要有RSA、DSA、Diffie-Hellman、PKCS、PGP等。公開密鑰加密算法的典型代表是RSA算法。它利用兩個很大的質(zhì)數(shù)相乘所產(chǎn)生的乘積來加密。非對稱密鑰算法既可以實現(xiàn)信息加密又可以實現(xiàn)數(shù)字簽名。

二、認(rèn)證技術(shù)

認(rèn)證是判明和確認(rèn)交易雙方真實身份的重要環(huán)節(jié)，是開展電子商務(wù)的重要條件。

1.數(shù)字簽名技術(shù)。是指用發(fā)送方的私有密鑰加密報文摘要，然后將其與原始的信息附加在一起，合稱為數(shù)字簽名。其使用方式是:報文的發(fā)送方從報文文本中生成一個128位或160位的單向散列值（或報文摘要），并用自己的私有密鑰對這個散列值進(jìn)行加密，形成發(fā)送方的數(shù)字簽名;然后，將這個數(shù)字簽名作為報文的附件和報文一起發(fā)送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出128位的散列值（或報文摘要），接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進(jìn)行解密；如果這兩個散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別與驗證，保證報文的完整性、權(quán)威性和發(fā)送者對所發(fā)報文的不可抵賴性。即發(fā)送者事后不能抵賴對文件的簽名、接收者不能偽造對文件的簽名等。

2.身份驗證技術(shù)又稱數(shù)字證書。它作為網(wǎng)上交易雙方真實身份證明的依據(jù)，是一個經(jīng)證書授權(quán)中心（CA）數(shù)字簽名的、包含證書申請者（公開密鑰擁有者）個人信息及其公開密鑰的文件。身份識別是用戶向系統(tǒng)出示自己的身份證明過程。身份認(rèn)證是系統(tǒng)查核用戶的身份證明的過程。人們常把這兩項工作統(tǒng)稱為身份驗證(或身份鑒別),是判明和確認(rèn)通信雙方真實身份的兩個重要環(huán)節(jié)。最簡單的方法是輸入User ID和Password，但是最不安全的。身份認(rèn)證是安全系統(tǒng)最重要且最困難的工作。

3.認(rèn)證機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)(CA) 是由大型用戶群體（如政府機(jī)關(guān)或金融機(jī)構(gòu)）所信賴的第三方，負(fù)責(zé)證書的頒發(fā)和管理。在證書申請被審批部門批準(zhǔn)后，CA通過登記服務(wù)器將證書發(fā)放給申請者。CA通過向電子商務(wù)各參與方發(fā)放數(shù)字證書，來確認(rèn)各方的身份，保證在INTERNET及內(nèi)部網(wǎng)上傳送數(shù)據(jù)的安全，及網(wǎng)上支付的安全性。通過認(rèn)證機(jī)構(gòu)來認(rèn)證買賣雙方的身份是保證網(wǎng)絡(luò)交易安全的重要措施。

三、防火墻技術(shù)

所謂防火墻,就是在內(nèi)部網(wǎng)與外部網(wǎng)之間的界面上構(gòu)造一個保護(hù)層,并強(qiáng)制所有的連接都必須經(jīng)過此保護(hù)層,在此進(jìn)行檢查和連接。只有被授權(quán)的通信才能通過此保護(hù)層,從而保護(hù)內(nèi)部網(wǎng)資源免遭非法入侵。防火墻的功能包括:其一是限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問,從而保護(hù)內(nèi)部網(wǎng)特定資源免受非法侵犯；其二是限制內(nèi)部網(wǎng)對外部網(wǎng)的訪問,主要是針對一些不健康信息及敏感信息的訪問。防火墻系統(tǒng)的實現(xiàn)技術(shù)主要分為包過濾和服務(wù)器兩種,比較完善的防火墻系統(tǒng)通常結(jié)合使用這兩種技術(shù)。

綜上所述,電子商務(wù)系統(tǒng)存在的安全問題,是可以解決的。采用安全技術(shù)手段可以保證電子商務(wù)的正常交易。但是，任何技術(shù)手段都不能保證100％的安全。安全技術(shù)可以降低電子商務(wù)系統(tǒng)遭到破壞、攻擊的風(fēng)險。隨著安全技術(shù)提高，整個電子商務(wù)系統(tǒng)會越來越安全。

參考文獻(xiàn):

[1]張賢:電子商務(wù)安全問題[J].中國科技信息,2006．3

[2]李川:淺談電子商務(wù)的安全與技術(shù)保障[J].漢江職工大學(xué)學(xué)報,2005.8

篇4

    [關(guān)鍵詞]電子商務(wù) 身份認(rèn)證 防火墻

    電子商務(wù)就是要在網(wǎng)絡(luò)信息安全技術(shù)的保證下,利用開放信息互聯(lián)網(wǎng)實現(xiàn)可跨區(qū)的在線商品交易、金融資本交易及其商務(wù)活動作業(yè)的全過程。電子商務(wù)這一浩瀚的全球虛擬市場創(chuàng)造了二十一世紀(jì)各國的經(jīng)濟(jì)熱點。但是由于電子商務(wù)的開放性及其所基于的網(wǎng)絡(luò)全球性、無縫連通性、共享性、動態(tài)性發(fā)展,使得電子商務(wù)的安全問題成為現(xiàn)今的聚焦中心,并制約著電子商務(wù)的進(jìn)一步發(fā)展。構(gòu)建安全電子商務(wù)交易系統(tǒng)將成為今后電子商務(wù)發(fā)展的關(guān)鍵。

    一、電子商務(wù)的安全性要求

    (一)電子商務(wù)活動安全性的要求

    一是服務(wù)的有效性要求,電子商務(wù)系統(tǒng)應(yīng)能防止服務(wù)失敗情況的發(fā)生,預(yù)防由于網(wǎng)絡(luò)故障和病毒發(fā)作等因素產(chǎn)生的系統(tǒng)停止服務(wù)等情況,保證交易數(shù)據(jù)能準(zhǔn)確快速的傳送。二是交易信息的保密性要求,電子商務(wù)系統(tǒng)應(yīng)對用戶所傳送的信息進(jìn)行有效的加密,防止因信息被截取破譯,同時要防止信息被越權(quán)訪問。三是數(shù)據(jù)完整性要求,數(shù)字完整性是指在數(shù)據(jù)處理過程中,原來數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致。為了保障商務(wù)交易的嚴(yán)肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業(yè)利益。四是身份認(rèn)證的要求,電子商務(wù)系統(tǒng)應(yīng)提供安全有效的身份認(rèn)證機(jī)制,確保交易雙方的信息都是合法有效的,以免發(fā)生交易糾紛時提供法律依據(jù)。

    (二)電子商務(wù)的安全要素

    一是信息真實性、有效性,電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。二是信息機(jī)密性,電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。三是信息完整性,電子商務(wù)簡化了貿(mào)易過程,減少了人為的干預(yù),同時也帶來維護(hù)商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。四是信息可靠性、可鑒別性和不可抵賴性,可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^;不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制,防止實體否認(rèn)其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。在無紙化的電子商務(wù)方式下,通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識。

    二、電子商務(wù)運(yùn)用的安全技術(shù)

    (一)網(wǎng)絡(luò)節(jié)點的安全

    防火墻是一種由計算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供一個相對更安全的平臺。防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而做出允許或拒絕等正確的判斷。通過靈活有效地運(yùn)用這些功能,制定正確的安全策略,將能提供一個安全、高效的網(wǎng)絡(luò)系統(tǒng)。應(yīng)給予特別注意的是,防火墻不僅僅是路由器、堡壘主機(jī),或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護(hù)。

    (二)通訊的安全

    在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度,也可以考慮將加密強(qiáng)度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制, SSL 首先要求服務(wù)器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權(quán)機(jī)構(gòu)簽發(fā)。瀏覽器要驗征服務(wù)器證書的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書。驗證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法與服務(wù)器協(xié)商一個對稱算法及密鑰,然后用此對稱算法加密傳輸?shù)拿魑?。此時瀏覽器也會出進(jìn)入安全狀態(tài)的提示。/    (三)應(yīng)用程序的安全性

    即使正確地配置了訪問控制規(guī)則,要滿足計算機(jī)系統(tǒng)的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時;程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運(yùn)行,而不是只有有限的指令子集在特權(quán)模式下運(yùn)行,其他的部分只有縮小的許可;程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源,如一個文件和目錄。不是顯式地設(shè)置訪問控制,程序員認(rèn)為這個缺省的許可是正確的。這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度,假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。

    (四)用戶的認(rèn)證管理

    一是身份認(rèn)證,電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過服務(wù)器CA證書與IC卡相結(jié)合實現(xiàn)。CA證書用來認(rèn)證服務(wù)器的身份, IC卡用來認(rèn)證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認(rèn)機(jī)制。二是CA證書,要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性,需要一份數(shù)字證書進(jìn)行驗證,這份數(shù)字證書就是CA證書,它由認(rèn)證授權(quán)中心發(fā)行。認(rèn)證中心就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,并能確認(rèn)戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認(rèn)的可靠組織,它對個人、組織進(jìn)行審核后,為其發(fā)放數(shù)字證書,證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書。三是SSL協(xié)議,SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證,數(shù)字證書是從認(rèn)證機(jī)構(gòu)獲得的,通常包含有唯一標(biāo)識證書所有者的名稱、唯一標(biāo)識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后,雙方就可以用保密密鑰進(jìn)行安全的會話了。SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

    三、完善電子商務(wù)安全的配套措施

篇5

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢，使得政府與企業(yè)都十分重視并推動電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問題在于時空的分離導(dǎo)致了安全問題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問題之一。研究和分析電子商務(wù)的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開發(fā)的先進(jìn)技術(shù)和經(jīng)驗,開發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵，而安全體系的構(gòu)建顯得尤為重要。

2電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國迅速發(fā)展。實現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動過程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看，傳統(tǒng)的買賣雙方是面對面的，因此較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時空的分離導(dǎo)致了安全問題的出現(xiàn)，電子商務(wù)交易雙方（銷售者和消費(fèi)者）都面臨安全威脅，電子商務(wù)的安全要素主要體現(xiàn)在以下幾個方面：

2.1信息真實性、有效性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。

2.2信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3信息完整性

電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護(hù)商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲及電子商務(wù)完整性檢查的正確和可靠。

3.4信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^；不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制，防止實體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識。在1nternet上每個人都是匿名的，電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

3電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行，要求電子商務(wù)平臺要穩(wěn)定可靠，能不中斷地提供服務(wù)。任何系統(tǒng)的中斷，如硬件、軟件錯誤，網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經(jīng)濟(jì)損失。

所以就整個電子商務(wù)安全系統(tǒng)而言，安全性可以劃分為四個層次，

1)網(wǎng)絡(luò)節(jié)點的安全

2)通訊的安全性

3)應(yīng)用程序的安全性

4)用戶的認(rèn)證管理

其中2、3、4是通過操作系統(tǒng)和Web服務(wù)器軟件實現(xiàn)，而網(wǎng)絡(luò)節(jié)點的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點的安全性。

3.1網(wǎng)絡(luò)節(jié)點的安全

防火墻是一種由計算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，為電子商務(wù)的施展提供個相對更安全的平臺。

防火墻是在連接Internet和Intranet保證安全最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過靈活有效地運(yùn)用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統(tǒng)。應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。

3.2通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度，也可以考慮將加密強(qiáng)度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制，SSL首先要求服務(wù)器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機(jī)構(gòu)（CA中心）簽發(fā)。瀏覽器要驗征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法（RSA）與服務(wù)器協(xié)商一個對稱算法及密鑰，然后用此對稱算法加密傳輸?shù)拿魑?。此時瀏覽器也會出進(jìn)入安全狀態(tài)的提示。

3.3應(yīng)用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計算機(jī)系統(tǒng)的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運(yùn)行，而不是只有有限的指令子集在特權(quán)模式下運(yùn)行，其他的部分只有縮小的許可；程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設(shè)置訪問控制（最少許可），程序員認(rèn)為這個缺省的許可是正確的。

這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹＠?，緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問題一樣的錯誤。

3.4用戶的認(rèn)證管理

1)身份認(rèn)證

電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過服務(wù)器CA證書與IC卡相結(jié)合實現(xiàn)的。CA證書用來認(rèn)證服務(wù)器的身份，IC卡用來認(rèn)證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認(rèn)機(jī)制。

2)CA證書

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性，需要一份數(shù)字證書進(jìn)行驗證，這份數(shù)字證書就是CA證書，它由認(rèn)證授權(quán)中心（CA中心）發(fā)行。認(rèn)證中心（CA）就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認(rèn)的可靠組織，它對個人、組織進(jìn)行審核后，為其發(fā)放數(shù)字證書，證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書（下載可以在訪問之前或訪問時進(jìn)行）。

3)安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證，數(shù)字證書是從認(rèn)證機(jī)構(gòu)（CA，CertificateAuthority）獲得的，通常包含有唯一標(biāo)識證書所有者的名稱、唯一標(biāo)識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后，雙方就可以用保密密鑰進(jìn)行安全的會話了。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如Http、Ftp、Telnet等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL協(xié)議握手流程由兩個階段組成：服務(wù)器認(rèn)證和用戶認(rèn)證。

①服務(wù)器認(rèn)證

客戶端向服務(wù)器發(fā)送一個“Hello”信息，以便開始一個新的會話連接；服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務(wù)器在響應(yīng)客戶的“Hello”信息時將包含生成主密鑰所需的信息；客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。這樣通過主密鑰引出的密鑰對一系列數(shù)據(jù)進(jìn)行加密來認(rèn)證服務(wù)器，從而建立安全的通信通道。

②用戶認(rèn)證

經(jīng)認(rèn)證的服務(wù)器發(fā)送一個提問給客戶，客戶則返回數(shù)字簽名后的提問和其公開密鑰，從而向服務(wù)器提供認(rèn)證。SSL協(xié)議支持各種加密算法，實現(xiàn)簡單，獨(dú)立于應(yīng)用層協(xié)議，且被大部分瀏覽器和Web服務(wù)器內(nèi)置，便于在電子交易中應(yīng)用。但SSL是一個面向連接的協(xié)議，起初并不是為了支持電子商務(wù)而設(shè)計的，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，在涉及多方的電子交易中，SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系。為此，開發(fā)出了在網(wǎng)絡(luò)應(yīng)用層中專為電子商務(wù)而設(shè)計的SET協(xié)議。

4安全管理

為了確保系統(tǒng)的安全性，除了采用上述技術(shù)手段外，還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。對于所有接觸系統(tǒng)的人員，按其職責(zé)設(shè)定其訪問系統(tǒng)的最小權(quán)限。按照分級管理原則，嚴(yán)格管理內(nèi)部用戶帳號和密碼，進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶帳號和密碼。

建立網(wǎng)絡(luò)安全維護(hù)日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時便于跟蹤查詢。定期檢查日志，以便及時發(fā)現(xiàn)潛在的安全威脅。

對于重要數(shù)據(jù)要及時進(jìn)行備份，且對數(shù)據(jù)庫中存放的數(shù)據(jù)，數(shù)據(jù)庫系統(tǒng)應(yīng)視其重要性提供不同級別的數(shù)據(jù)加密。

篇6

關(guān)鍵詞：電子商務(wù)安全策略信息安全認(rèn)證

電子商務(wù)是在Internet開放的網(wǎng)絡(luò)環(huán)境下，實現(xiàn)消費(fèi)者的網(wǎng)上購物、企業(yè)之間的網(wǎng)上交易和在線電子支付的一種新型的交易方式。由于電子商務(wù)具有高效益、低成本、高效率、范圍全球性等特點很快遍及全世界。電子商務(wù)已成為全球經(jīng)濟(jì)最具活力的增長點，它的應(yīng)用和推廣將給社會和經(jīng)濟(jì)發(fā)展帶來巨大的變革和收益。然而，目前全球通過電子商務(wù)渠道完成的貿(mào)易額仍只是同期全球貿(mào)易額中的一小部分。究其原因，電子商務(wù)是一個復(fù)雜的系統(tǒng)工程，它的實施還依賴于相應(yīng)的社會問題和技術(shù)問題的逐步解決與完善。其中，電子商務(wù)的安全是制約電子商務(wù)發(fā)展的一個關(guān)鍵問題。

一、電子商務(wù)的安全性需求

有效性:電子商務(wù)以電子形式取代了紙張，那么如何保證這種電子形式的貿(mào)易信息的有效性則是開展電子商務(wù)的前提。因此，要對網(wǎng)絡(luò)過障、操作錯誤、應(yīng)用程序錯誤等所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。

1.機(jī)密性:電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或者國家的商業(yè)機(jī)密。因此，能否維護(hù)好商業(yè)機(jī)密成為了電子商務(wù)全面推廣應(yīng)用的前提條件。電子商務(wù)系統(tǒng)應(yīng)能夠?qū)娋W(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密處理，防止交易中信息被非法截獲或讀取。

2.完整性:電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、同意問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，在數(shù)據(jù)傳輸過程中信息丟失、信息重復(fù)或者信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息不同。貿(mào)易各方信息的完整性將影響貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。因此，要預(yù)防對信息的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息丟失和重復(fù)，并保證信息傳送次序的統(tǒng)一。

3.可靠性:由于網(wǎng)上通信雙方互不見面，所以在交易前必須首先確認(rèn)對方的真實身份；支付時還要確認(rèn)對方帳號等信息是否真實有效。電子商務(wù)系統(tǒng)應(yīng)提供通信雙方進(jìn)行身份鑒別的機(jī)制，確保交易雙方身份信息的可靠和合法。應(yīng)實現(xiàn)系統(tǒng)對用戶身份的有效確認(rèn)，對私有密鑰和口令的有效保護(hù)，對非法攻擊能夠防范，防止假冒身份在網(wǎng)上進(jìn)行交易。

4.法律性:電子商務(wù)系統(tǒng)應(yīng)有效防止商業(yè)欺詐行為的發(fā)生。最新《合同法》已確認(rèn)雙方同意電子貿(mào)易的電子檔案為有效書面合同，為產(chǎn)生貿(mào)易糾紛雙方提供法律憑證。網(wǎng)上交易的各方在進(jìn)行數(shù)據(jù)傳輸時必須攜有自身特有的、無法被別人復(fù)制的信息，以保證交易發(fā)生糾紛時有所對證，以保證商業(yè)信任和行為的不可否認(rèn)性，保證交易各方對已做的交易無法抵賴，為法律舉證提高有效數(shù)據(jù)。

審查能力:根據(jù)機(jī)密性和完整性的要求，應(yīng)對數(shù)據(jù)審查的結(jié)果進(jìn)行記錄。

二、電子商務(wù)面臨的安全威脅

1.信息在網(wǎng)絡(luò)的傳輸中被截獲：攻擊者可能通過互聯(lián)網(wǎng)、公共電話網(wǎng)或在電磁波輻射范圍內(nèi)安裝裝置等方式，截獲機(jī)密信息，或通過對信息流量和流向、通信頻度和長度等參數(shù)的分析，獲取有用信息，如消費(fèi)者的賬號、密碼等。

2.傳輸?shù)奈募赡鼙淮鄹?改變信息流的次序，更改信息的內(nèi)容，如購買商品的出貨地址;刪除某個信息或信息的某些部分；在信息中插入一些信息，讓收方讀不懂或接受錯誤的信息。

3.偽造電子郵件:虛開網(wǎng)站和商店，給用戶發(fā)電子郵件，收定貨單;偽造大量用戶，發(fā)電子郵件，窮盡商家資源，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格時間要求的服務(wù)不能及時得到響應(yīng);偽造用戶，發(fā)大量的電子郵件，竊取商家的商品信息和用戶等信息。

4.假冒他人身份:冒充他人身份，如冒充領(lǐng)導(dǎo)命令、調(diào)閱文件;冒充他人消費(fèi)、栽贓;冒充網(wǎng)絡(luò)控制程序，套取或修改使用權(quán)限、密鑰等信息。

5.否認(rèn)已經(jīng)做過的交易：者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容;收信者事后否認(rèn)曾經(jīng)收到過某條信息或內(nèi)容；購買者做了訂貨單不承認(rèn);商家賣出的商品質(zhì)量差，但不承認(rèn)原有的交易。三、電子商務(wù)活動的安全保證

為了滿足電子商務(wù)在安全服務(wù)方面的要求，除了網(wǎng)絡(luò)本身運(yùn)行的安全外，電子商務(wù)系統(tǒng)還必須利用各種安全控制技術(shù)保證整個電子商務(wù)過程的安全與完整，并實現(xiàn)交易的防抵賴性等。具體實現(xiàn)有以下幾種技術(shù)。

1.加密技術(shù)是電子商務(wù)的最基本的安全措施。在目前技術(shù)條件下，加密技術(shù)通常分為對稱加密和非對稱加密兩類。

(1)對稱密鑰加密：采用相同的加密算法，并只交換共享的專用密鑰（加密和解密都使用相同的密鑰）。如果進(jìn)行通信的交易各方能夠確保專用密鑰在密鑰交換階段未曾發(fā)生泄露，則可以通過對稱加密方法加密機(jī)密信息，并隨報文發(fā)送報文摘要和報文散列值，來保證報文的機(jī)密性和完整性。密鑰安全交換是關(guān)系到對稱加密有效性的核心環(huán)節(jié)。目前常用的對稱加密算法有DES、PCR、IDEA、3DES等。其DES使用最普遍，被ISO采用作為數(shù)據(jù)加密的標(biāo)準(zhǔn)。

(2)非對稱密鑰加密:非對稱加密不同于對稱加密，其密鑰被分解為公開密鑰和私有密鑰。密鑰對生成后，公開密鑰以非保密方式對外公開，只對應(yīng)于生成該密鑰的者，私有密鑰則保存在密鑰方手里。任何得到公開密鑰的用戶都可以使用該密鑰加密信息發(fā)送給該公開密鑰的者，而者得到加密信息后，使用與公開密鑰相應(yīng)對的私有密鑰進(jìn)行解密。目前，常用的非對稱加密算法有RSA算法。該算法已被ISO/TC的數(shù)據(jù)加密技術(shù)分委員會SC20推薦為非對稱密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。

在對稱和非對稱兩類加密方法中，對稱加密的突出特點是加密速度快（通常比非對稱加密快10倍以上）、效率高，被廣泛用于大量數(shù)據(jù)的加密。但該方法的致命缺點是密鑰的傳輸與交換也面臨著安全問題，密鑰易被截獲，而且，若和大量用戶通信，難以安全管理大量的密鑰，因此大范圍應(yīng)用存在一定問題。而非對稱密鑰則相反，很好地解決了對稱加密中密鑰數(shù)量過多難管理及費(fèi)用高的不足，也無需擔(dān)心傳輸中私有密鑰的泄露，保密性能優(yōu)于對稱加密技術(shù)。但非對稱加密算法復(fù)雜，加密速度不很理想。目前.電子商務(wù)實際運(yùn)用中常常是兩者結(jié)合使用。

2.防火墻技術(shù)是確?；A(chǔ)設(shè)施完整性一種常用方法。它通過在網(wǎng)絡(luò)邊界上建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，控制進(jìn)/出兩個方向的通信流。它制定一系列規(guī)則來準(zhǔn)許或拒絕不同類型的通信，并執(zhí)行所做的路由決策，以阻擋外部的侵入。目前，防火墻技術(shù)主要有分組過濾和服務(wù)兩種類型。

(1)分組過濾:這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器按網(wǎng)絡(luò)安全策略設(shè)置一張訪問表或黑名單，即借助數(shù)據(jù)分組中的49地址確定什么類型的信息允許通過防火墻，什么類型的信息不允許通過。防火墻的職責(zé)就是根據(jù)防問表（或黑名單）對進(jìn)出路由器的分組進(jìn)行檢查和過濾，凡符合要求的放行，不符合的拒之門外。這種防火墻簡單易行，但不能完全有效地防范非法攻擊。

篇7

電子商務(wù)面臨的安全風(fēng)險

電子商務(wù)的優(yōu)勢是明顯的，但電子商務(wù)安全性問題卻日益突出。

任何在Internet上開展業(yè)務(wù)的機(jī)構(gòu)都必須采取積極的步驟，確保系統(tǒng)有足夠的安全措施防止機(jī)密信息泄露和非法侵入所造成的損失。但I(xiàn)nternet本身就是基于開放思想設(shè)計并逐步發(fā)展起來的。要想在Internet上實現(xiàn)絕對安全是困難的。Internet上實現(xiàn)電子商務(wù)面臨的風(fēng)險主要來自機(jī)密關(guān)鍵數(shù)據(jù)安全及電子交易安全兩方面，具體到技術(shù)細(xì)節(jié)包含以下四個方面。

(1)數(shù)據(jù)的私有性和安全性。如果不采用特別的保護(hù)措施，包括電子郵件等在Internet中開放傳輸?shù)臄?shù)據(jù)都可能被第三者監(jiān)視和閱讀。考慮到巨大的傳輸量和難以計數(shù)的傳輸途徑，想任意竊聽一組數(shù)據(jù)傳輸是不可能，但是一些設(shè)置在Web服務(wù)器的黑客程序卻可以查找和收集特定類型的數(shù)據(jù)。這些數(shù)據(jù)包括信用卡、存款的帳號和相應(yīng)的口令。同時因為Internet的開放性設(shè)計，數(shù)據(jù)私有性和安全性還包括數(shù)據(jù)傳輸之外的問題，例如連入Internet的數(shù)據(jù)存儲網(wǎng)絡(luò)驅(qū)動器的安全性，所以任何存儲在Web服務(wù)器上的數(shù)據(jù)必須采取保護(hù)措施。

(2)數(shù)據(jù)的完整性。由于Internet的開放體系，如果具備了特定的知識和工具完全可以更改傳輸中的數(shù)據(jù)。同時要采取適當(dāng)?shù)拇嫒≡L問控制，以保證數(shù)據(jù)存取系統(tǒng)的安全。在電子商務(wù)中務(wù)必保存數(shù)據(jù)最初的格式和內(nèi)容。

(3)認(rèn)證電子商務(wù)的具體實現(xiàn)中，首先要確認(rèn)當(dāng)前的通訊、交易和存取要求是合法的。例如Internet中的計算機(jī)系統(tǒng)的身份是由其IP地址確認(rèn)的。黑客通過IP欺騙，使用虛假的IP地址，從而達(dá)到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發(fā)匿名郵件，或者使用不真實的郵件用戶名。因此，在電子商務(wù)中必須建立嚴(yán)格的身份認(rèn)證機(jī)制以確保參加交易各方的身份真實有效。

(4)不可否認(rèn)性。不可否認(rèn)主要包含數(shù)據(jù)的原始記錄和發(fā)送記

錄，確認(rèn)數(shù)據(jù)已經(jīng)完成發(fā)送和接收，防止接收用戶更改原始記錄，防止用戶在已經(jīng)收到數(shù)據(jù)以后否認(rèn)收到數(shù)據(jù)，并拖延自己的下一步工作。為了保證交易過程的可操作性，必須采取可靠的方法確保交易過程的真實性，保證參加電子交易的各方承認(rèn)交易過程的合法性。

在我們把銀行的內(nèi)部網(wǎng)絡(luò)接入Internet以后，相應(yīng)地增加了許多可以訪問銀行內(nèi)部網(wǎng)絡(luò)的節(jié)點。從理論上講從世界各個地方都可以實現(xiàn)對銀行內(nèi)部網(wǎng)絡(luò)的訪問，這對銀行計算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)和系統(tǒng)的安全性提出了更高的要求。這就需要我們采取嚴(yán)密的訪問控制，禁止非法訪問。電子商務(wù)中威脅計算機(jī)網(wǎng)絡(luò)安全的因素有：破壞、更改或者盜竊數(shù)據(jù)；公開機(jī)密信息；計算機(jī)系統(tǒng)崩潰；公共形象(如主頁)被污損等。造成這些損失的因素有：黑客，公司內(nèi)部職員，電子商務(wù)軟件中的Bug，商業(yè)間諜等。

電子商務(wù)面臨的上述問題主要是由對系統(tǒng)的非法入侵造成的。首先是網(wǎng)絡(luò)黑客，他們通過發(fā)現(xiàn)Web服務(wù)器、操作系統(tǒng)或者主頁部件在配置方面的漏洞，攻擊網(wǎng)絡(luò)系統(tǒng)。其次是內(nèi)部侵入，這主要是由企業(yè)IT部門的員工造成的，保護(hù)網(wǎng)絡(luò)的物理安全(如主控機(jī)房)及嚴(yán)格的口令管理制度是防范該類問題的關(guān)鍵。還有惡意代碼(如計算機(jī)病毒)，它們在企業(yè)的傳播會給電子商務(wù)系統(tǒng)造成嚴(yán)重的損失。另外值得關(guān)注的是計算機(jī)系統(tǒng)本身的問題，例如由于電源造成的系統(tǒng)宕機(jī)，以及廣域網(wǎng)絡(luò)的通訊，這些都會直接造成服務(wù)的突然中止，影響電子商務(wù)的形象。我們還應(yīng)關(guān)注系統(tǒng)管理方面的問題，有時電子商務(wù)出現(xiàn)的問題既非黑客也非系統(tǒng)本身的毛病，而是源于對敏感數(shù)據(jù)處理不善或者是安全系統(tǒng)(如防火墻)的不正確配置。用戶的身份認(rèn)證是計算機(jī)系統(tǒng)安全的基礎(chǔ)工作，數(shù)字簽名加密等技術(shù)在這里可以充分起到作用。

保障電子商務(wù)系統(tǒng)安全的對策

(1)用戶識別文件和口令。許多互聯(lián)網(wǎng)研究機(jī)構(gòu)都將私有性和保密性列為電子商務(wù)的首要問題。用戶識別文件和口令在Internet之前的大型主機(jī)時代，就已經(jīng)是安全的有效實現(xiàn)方法。在電子商務(wù)中，可以采用限制錯誤登錄的次數(shù)、跟蹤錯誤訪問的辦法，保護(hù)用戶識別文件和口令的安全。

(2)數(shù)據(jù)加密。開放的Internet本身并不提供安全的傳輸路徑，所以在電子商務(wù)中必須采用數(shù)據(jù)加密，保證帳戶和交易數(shù)據(jù)的安全。超文本安全傳輸協(xié)議S－HTTP和安全套接層協(xié)議SSL是在Web端與瀏覽器端實現(xiàn)加密的應(yīng)用技術(shù)，這兩種技術(shù)使得數(shù)據(jù)對于沒有密鑰的人是毫無用處的，并且易于在商業(yè)領(lǐng)域應(yīng)用。

(3)認(rèn)證授權(quán)和數(shù)字認(rèn)證CA是認(rèn)證授權(quán)中心(CertficateAuthority)的簡稱，它和數(shù)字認(rèn)證(DigitalCertificate)一起在電子商務(wù)的身份認(rèn)證、不可否認(rèn)性、數(shù)據(jù)私有加密鑰管理方面起著主要的作用。CA是交易雙方都信任的第三方機(jī)構(gòu)，由它來證明參加交易各方的身份。在交易過程中CA將自己的數(shù)字簽名附在所有的傳送消息和公共密鑰上。數(shù)字認(rèn)證指的是附有CA簽名的消息。參加交易方都必須信任CA，CA在交易前確認(rèn)所有各方的身份，可見CA的主要任務(wù)在于管理而不是技術(shù)。CA在電子商務(wù)中，起著法律仲裁的作用，其工作相當(dāng)于確定用戶的數(shù)字簽名能否得到法律的認(rèn)可。但是只有在CA擁有了仲裁權(quán)以后，這種認(rèn)證才有法律效應(yīng)。在電子商務(wù)的發(fā)展過程中，CA的重要作用正在日益顯現(xiàn)。

認(rèn)證中心與加密技術(shù)相結(jié)合產(chǎn)生了一種完全適合電子商務(wù)的加密技術(shù)安全電子交易SET。安全套接層SSL加密方法僅僅是實現(xiàn)了傳輸加密和數(shù)據(jù)完整性，相當(dāng)于在兩臺計算機(jī)之間建立一個安全的通道。而電子商務(wù)的要求則更高一點。例如用戶通過與商家連網(wǎng)，進(jìn)行支付和交易時，商家不應(yīng)該知道用戶的帳戶等信息，顯然SSL協(xié)議不能防止商家的欺詐。另外SSL協(xié)議也不保證交易各方身份的真實性和不可否認(rèn)性。SET的架構(gòu)是通過幾個成員所共同組成的，各個成員可以很好地模擬實際電子商務(wù)操作的角色，這些成員分別是電子錢包(ElectronicWallet)、商戶服務(wù)器(MerchantServer)、支付網(wǎng)關(guān)(PaymentGateway)和認(rèn)證中心(CertificationAuthority)。

SET通過認(rèn)證中心和認(rèn)證簽名確認(rèn)交易各方的真實身份，利用數(shù)字簽名保證交易的不可否認(rèn)性。SET的技術(shù)特點還有：①對訂單信息和支付信息進(jìn)行雙重簽名，這樣商家只能得到訂單信息，銀行只知道支付信息；②采用信息摘要技術(shù)保證了交易的完整性；③采用公鑰體系和密鑰體系結(jié)合進(jìn)行加密，而SSL只采用了公鑰體系。

SET已經(jīng)成為國際公認(rèn)的Internet電子商務(wù)的安全標(biāo)準(zhǔn)，非常詳細(xì)地反映了電子交易各方之間存在的各種關(guān)系。目前，一些廠商有專門的軟件產(chǎn)品與SET的各個角色相對應(yīng)。

(4)虛擬專用網(wǎng)(VPN)虛擬專用網(wǎng)是利用Internet公用網(wǎng)絡(luò)，通過隧道協(xié)議和安全方法傳輸企業(yè)專用數(shù)據(jù)的技術(shù)。虛擬專用網(wǎng)在傳送數(shù)據(jù)前將其加密，在接收端進(jìn)行解密，它的特點是不僅加密數(shù)據(jù)，而且加密接收雙方的網(wǎng)絡(luò)地址。同時VPN的用戶驗證方法也提供了更高一級的遠(yuǎn)程訪問安全性。

篇8

在IEEE802.11標(biāo)準(zhǔn)中，一方面規(guī)定了WEP（有線對等保密）加密內(nèi)容，一方面還定義了MAC層的存取控制規(guī)范。為了保證通信安全，防止侵入無線網(wǎng)絡(luò)，還有相關(guān)的非法用戶竊聽問題，采用加密算法為RCA算法，對于網(wǎng)絡(luò)MAC層的節(jié)點間無線傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。加密和解密傳輸數(shù)據(jù)在WEP中則是利用共享密鑰來進(jìn)行。對于節(jié)點發(fā)送加密數(shù)據(jù)過程進(jìn)行分析如下。種子則是由共享密鑰和初始向量Ⅳ串接而成的。然后，偽隨機(jī)數(shù)發(fā)生器（WEPPRNG）能夠接受產(chǎn)生的種子，同時，還能使得密鑰序列產(chǎn)生。而密文的得到則是通過異或運(yùn)算原文和密鑰序列所得。完整檢查碼（IntegrityCheckValue，ICV）則是通過完整性算法（Integrityalgorithm）處原文所得。最后，把生成的密文、初始向量及完整檢查碼這三項都送到接受節(jié)點。偽隨機(jī)數(shù)發(fā)生器的種子是在接收節(jié)點收到信息過程中，由初始向量與共享密鑰串接而生成。然后，密鑰序列則是在偽隨機(jī)數(shù)發(fā)生器處理后得到。原文是在生成的此序列與密文之間進(jìn)行相關(guān)的XOR運(yùn)算得到。接收節(jié)點重新計算ICV，則是為了驗證是否篡改過在此傳送過程中的數(shù)據(jù)。當(dāng)發(fā)現(xiàn)不匹配接收節(jié)點計算的ICV與原ICV的問題，則應(yīng)該讓接收節(jié)點拒絕該幀。安全隱患在這種安全機(jī)制下依然存在，比如，RCA算法本身存在一定缺陷，大用戶量訪問時共享密鑰的管理問題，密鑰強(qiáng)度還有待于進(jìn)一步檢驗等等，這些問題都需要在無線局域網(wǎng)中進(jìn)行防范。

2、移動電子商務(wù)安全性的技術(shù)解決思考

我們對于移動電子商務(wù)安全性的技術(shù)解決，在參考IEEE802．11和WAP協(xié)議的分析的基礎(chǔ)上，從操作層面、管理層面、安全技術(shù)層面進(jìn)行移動電子商務(wù)的數(shù)據(jù)安全分析。

（1）基礎(chǔ)配置

其中，最為基本的安全防范手段就是通過使用無線AP的配置軟件，讓默認(rèn)的WEP密鑰和默認(rèn)的SSID都進(jìn)行改變設(shè)置。然后，為了提高防病毒木馬攻擊的能力，還應(yīng)該進(jìn)行防火墻的安裝處理。對于信任的MAC地址，通過使用MAC地址過濾的技術(shù)方法來實現(xiàn)無線接入點這個功能。WTLS3級、個人證書再加上USB證書方式則是WAP無線接入的最好方式。為了更好嚴(yán)格控制不信任的證書，應(yīng)該采用證書黑名單的ACL列表技術(shù)。

（2）密鑰和身份的管理

提高密鑰強(qiáng)度可以通過強(qiáng)化密鑰管理和分發(fā)來實現(xiàn)。采用標(biāo)準(zhǔn)化密鑰交換和密鑰分發(fā)機(jī)制。對于802.11的密鑰分況來看，一般可以采用相關(guān)的SSL、Kerberos、RADIUS、IPSEC等協(xié)議。能采用128位的初始向量（IV），還有相關(guān)的128位偏移碼本方式（OCB）數(shù)據(jù)認(rèn)證標(biāo)記等等。

（3）使用操作的安全意識

網(wǎng)絡(luò)安全操作以及公網(wǎng)防范工作應(yīng)該不斷加強(qiáng)。為了更好保護(hù)企業(yè)內(nèi)部的主機(jī)，應(yīng)該利用成熟技術(shù)，進(jìn)行相關(guān)的入侵偵測、防火墻和弱點掃描等工作。不合法網(wǎng)站的瀏覽應(yīng)該進(jìn)行屏蔽，日志應(yīng)該清晰記錄操作行為，以及相應(yīng)的軌跡跟蹤問題。

3、結(jié)束語

篇9

關(guān)鍵詞：電子商務(wù)；IEEE802.11；HomeRF；藍(lán)牙

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1005-6432(2008)41-0042-02

隨著電子商務(wù)在網(wǎng)絡(luò)上的飛速發(fā)展，無線局域網(wǎng)逐漸發(fā)展壯大起來。安全性將是在無線局域網(wǎng)中被考慮的一個重要的部分，全面了解無線局域網(wǎng)的安全機(jī)制之前，首先應(yīng)該正確地認(rèn)識到無線局域網(wǎng)可能存在的安全問題。

一、無線局域網(wǎng)概念

無線局域網(wǎng)（Wireless Local-area Network，WLAN）是計算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。利用紅外線、微波等無線技術(shù)進(jìn)行信息的傳遞，無線局域網(wǎng)可以從廣義和狹義上進(jìn)行定義：GSM/GPRS和CDMA，定義了多種類型的無線局域網(wǎng)，涉及多種標(biāo)準(zhǔn)，但大致可分為兩大發(fā)展方向：以高速傳輸應(yīng)用發(fā)展為主（IEEE802.11a、IEEE802.11b和IEEE802.11g等）；以低速短距離的應(yīng)用為主（Bluetooth、HomeRF和HiperLAN等），從發(fā)展趨勢來看，IEEE802.11協(xié)議系列大有一統(tǒng)無線局域網(wǎng)協(xié)議標(biāo)準(zhǔn)之勢。從狹義上講，無線局域網(wǎng)（WLAN）一般指的是遵循IEEE802.11系列協(xié)議的無線局域技術(shù)的網(wǎng)絡(luò)。

二、IEEE802.11無線局域網(wǎng)安全綜述

在了解無線局域網(wǎng)的安全機(jī)制之前，應(yīng)該考慮到無線局域網(wǎng)可能存在的安全漏洞。某個網(wǎng)絡(luò)用戶（即黑客）能夠通過偷聽（被動攻擊）、非法登錄、鏈接、偵測和配置網(wǎng)絡(luò)（主動攻擊）、人為干擾等方式破壞無線局域 網(wǎng)。

非法登錄是通過一個無線基站連接到一個無線局域網(wǎng)上，某個用戶可能更深入地穿透或進(jìn)入一個網(wǎng)絡(luò)，為了獲取對于服務(wù)器的訪問以得到有價值的數(shù)據(jù)，為了惡意的目的使用公司的Internet訪問，甚至改變網(wǎng)絡(luò)的界面配置，從而改變無線局域網(wǎng)自身，這是一種主動攻擊。方式如下圖所示：

干擾攻擊則并不是為了網(wǎng)絡(luò)中的數(shù)據(jù)而來，可能只是為了使我們的無線局域網(wǎng)癱瘓。某個用戶利用壓制性的微波信號（不明的高功率發(fā)射物）對原來信號產(chǎn)生影響，并且信號發(fā)生設(shè)備可能是可移除的或是不可移除的。若這個信號來源是無目的的，我們稱之為干擾源；而如果它是有目的地破壞和影響當(dāng)前網(wǎng)絡(luò)，我們則稱之為干擾攻擊。

無線局域網(wǎng)由于媒介的不同，在自由空間中進(jìn)行傳輸，是相對開放的，所以對于網(wǎng)絡(luò)的訪問就少了一層障礙，無法通過對傳輸媒介的接入控制來保證數(shù)據(jù)不會被未經(jīng)授權(quán)的用戶獲取。所以在無線局域網(wǎng)被廣泛采用之前，最需要解決的就是網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)的完全性是IT專業(yè)人士、業(yè)務(wù)管理者、承擔(dān)無線基礎(chǔ)設(shè)施安全責(zé)任的相關(guān)人員所必須關(guān)注的。

三、結(jié)束語

無論是在有線局域網(wǎng)還是無線局域網(wǎng)實施電子商務(wù)，在組網(wǎng)之前應(yīng)該首先考慮到網(wǎng)絡(luò)的安全問題，使用恰當(dāng)?shù)陌踩珯C(jī)制，配備響應(yīng)的網(wǎng)絡(luò)管理員，有效防止網(wǎng)絡(luò)安全漏洞。建立一個有線、無線網(wǎng)絡(luò)安全框架是整個業(yè)界的目標(biāo)。安全問題對于公共無線局域網(wǎng)的重要性要遠(yuǎn)超過專用網(wǎng)絡(luò)。

作者單位：張奇華北電力大學(xué)

楊寧俠鄒智凱河北軟件職業(yè)技術(shù)學(xué)院

篇10

論文摘要:本文針對電子商務(wù)安全的要求，分析了電子商務(wù)中常用的安全技術(shù),并闡述了數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)和電子商務(wù)的安全交易標(biāo)準(zhǔn)在電子商務(wù)安全中的應(yīng)用。

所謂電子商務(wù)(Electronic Commerce) 是利用計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和遠(yuǎn)程通信技術(shù), 實現(xiàn)整個商務(wù)(買賣)過程中的電子化、數(shù)字化和網(wǎng)絡(luò)化。目前，因特網(wǎng)上影響交易最大的阻力就是交易安全問題, 據(jù)最新的中國互聯(lián)網(wǎng)發(fā)展統(tǒng)計報告顯示, 在被調(diào)查的人群中只有2.8%的人對網(wǎng)絡(luò)的安全性是感到很滿意的, 因此，電子商務(wù)的發(fā)展必須重視安全問題。

一、電子商務(wù)安全的要求

1、信息的保密性：指信息在存儲、傳輸和處理過程中，不被他人竊取。

2、信息的完整性：指確保收到的信息就是對方發(fā)送的信息，信息在存儲中不被篡改和破壞，保持與原發(fā)送信息的一致性。

3、 信息的不可否認(rèn)性：指信息的發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息，接收方也不可否認(rèn)已經(jīng)收到的信息。

4、 交易者身份的真實性：指交易雙方的身份是真實的，不是假冒的。

5、 系統(tǒng)的可靠性：指計算機(jī)及網(wǎng)絡(luò)系統(tǒng)的硬件和軟件工作的可靠性。

在電子商務(wù)所需的幾種安全性要求中，以保密性、完整性和不可否認(rèn)性最為關(guān)鍵。電子商務(wù)安全性要求的實現(xiàn)涉及到以下多種安全技術(shù)的應(yīng)用。

二、數(shù)據(jù)加密技術(shù)

將明文數(shù)據(jù)進(jìn)行某種變換，使其成為不可理解的形式，這個過程就是加密，這種不可理解的形式稱為密文。解密是加密的逆過程，即將密文還原成明文。

（一）對稱密鑰加密與DES算法

對稱加密算法是指文件加密和解密使用一個相同秘密密鑰，也叫會話密鑰。目前世界上較為通用的對稱加密算法有RC4和DES。這種加密算法的計算速度非?？欤虼吮粡V泛應(yīng)用于對大量數(shù)據(jù)的加密過程。

最具代表的對稱密鑰加密算法是美國國家標(biāo)準(zhǔn)局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。

（二）非對稱密鑰加密與RSA算法

為了克服對稱加密技術(shù)存在的密鑰管理和分發(fā)上的問題，1976年產(chǎn)生了密鑰管理更為簡化的非對稱密鑰密碼體系，也稱公鑰密碼體系(PublicKeyCrypt-system)，用的最多是RSA算法，它是以三位發(fā)明者（Rivest、Shamir、Adleman）姓名的第一個字母組合而成的。

在實踐中，為了保證電子商務(wù)系統(tǒng)的安全、可靠以及使用效率，一般可以采用由RSA和DES相結(jié)合實現(xiàn)的綜合保密系統(tǒng)。

三、認(rèn)證技術(shù)

認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項重要技術(shù)。主要包括身份認(rèn)證和信息認(rèn)證。前者用于鑒別用戶身份，后者用于保證通信雙方的不可抵賴性以及信息的完整性

（一）身份認(rèn)證

用戶身份認(rèn)證三種常用基本方式

1、口令方式

這種身份認(rèn)證方法操作十分簡單，但最不安全，因為其安全性僅僅基于用戶口令的保密性，而用戶口令一般較短且容易猜測，不能抵御口令猜測攻擊，整個系統(tǒng)的安全容易受到威脅。

2、標(biāo)記方式

訪問系統(tǒng)資源時，用戶必須持有合法的隨身攜帶的物理介質(zhì)(如存儲有用戶個性化數(shù)據(jù)的智能卡等)用于身份識別，訪問系統(tǒng)資源。

3、人體生物學(xué)特征方式

某些人體生物學(xué)特征，如指紋、聲音、DNA圖案、視網(wǎng)膜掃描圖案等等，這種方案一般造價較高，適用于保密程度很高的場合。

加密技術(shù)解決信息的保密性問題，對于信息的完整性則可以用信息認(rèn)證方面的技術(shù)加以解決。在某些情況下，信息認(rèn)證顯得比信息保密更為重要。

（二）數(shù)字摘要

數(shù)字摘要，也稱為安全Hash編碼法，簡稱SHA或MD5 ，是用來保證信息完整性的一項技術(shù)。它是由Ron Rivest發(fā)明的一種單向加密算法，其加密結(jié)果是不能解密的。類似于人類的“指紋”，因此我們把這一串摘要而成的密文稱之為數(shù)字指紋，可以通過數(shù)字指紋鑒別其明文的真?zhèn)巍?/p>

（三）數(shù)字簽名

數(shù)字簽名建立在公鑰加密體制基礎(chǔ)上，是公鑰加密技術(shù)的另一類應(yīng)用。它把公鑰加密技術(shù)和數(shù)字摘要結(jié)合起來，形成了實用的數(shù)字簽名技術(shù)。

它的作用:確認(rèn)當(dāng)事人的身份，起到了簽名或蓋章的作用；能夠鑒別信息自簽發(fā)后到收到為止是否被篡改。

（四）數(shù)字時間戳

在電子交易中，時間和簽名同等重要。數(shù)字時間戳技術(shù)是數(shù)字簽名技術(shù)一種變種的應(yīng)用，是由DTS服務(wù)機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項目，專門用于證明信息的發(fā)送時間。包括三個部分：需加時間戳的文件的數(shù)字摘要；DTS機(jī)構(gòu)收到文件摘要的日期和時間； DTS機(jī)構(gòu)的數(shù)字簽名。

（五）認(rèn)證中心

認(rèn)證中心：（Certificate Authority，簡稱CA），也稱之為電子商務(wù)認(rèn)證中心，是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，確認(rèn)用戶身份的、與具體交易行為無關(guān)的第三方權(quán)威機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理證書的申請、簽發(fā)和管理數(shù)字證書。其核心是公共密鑰基礎(chǔ)設(shè)（PKI）。

我國現(xiàn)有的安全認(rèn)證體系(CA)在金融CA方面，根證書由中國人民銀行管理，根認(rèn)證管理一般是脫機(jī)管理；品牌認(rèn)證中心采用“統(tǒng)一品牌、聯(lián)合建設(shè)”的方針進(jìn)行。在非金融CA方面，最初主要由中國電信負(fù)責(zé)建設(shè)。

（六）數(shù)字證書

數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用于證明某一主體（如個人用戶、服務(wù)器等）的身份以及其公鑰的合法性的一種權(quán)威性的電子文檔，由權(quán)威公正的第三方機(jī)構(gòu)，即CA中心簽發(fā)。

以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。

四、電子商務(wù)的安全交易標(biāo)準(zhǔn)

（一）安全套接層協(xié)議

SSL (secure sockets layer)是由Netscape Communication公司是由設(shè)計開發(fā)的，其目的是通過在收發(fā)雙方建立安全通道來提高應(yīng)用程序間交換數(shù)據(jù)的安全性，從而實現(xiàn)瀏覽器和服務(wù)器（通常是Web服務(wù)器）之間的安全通信。

目前Microsoft和Netscape的瀏覽器都支持SSL，很多Web服務(wù)器也支持SSL。SSL是一種利用公共密鑰技術(shù)的工業(yè)標(biāo)準(zhǔn)，已經(jīng)廣泛用于Internet。

（二）安全電子交易協(xié)議

SET (Secure Electronic Transaction)它是由VISA和MasterCard兩大信用卡公司發(fā)起，會同IBM、Microsoft等信息產(chǎn)業(yè)巨頭于1997年6月正式制定的用于因特網(wǎng)事務(wù)處理的一種標(biāo)準(zhǔn)。采用DES、RC4等對稱加密體制加密要傳輸?shù)男畔?，并用?shù)字摘要和數(shù)字簽名技術(shù)來鑒別信息的真?zhèn)渭捌渫暾?，目前已?jīng)被廣為認(rèn)可而成了事實上的國際通用的網(wǎng)上支付標(biāo)準(zhǔn)，其交易形態(tài)將成為未來電子商務(wù)的規(guī)范。

五、總結(jié)

網(wǎng)絡(luò)應(yīng)用以安全為本，只有充分掌握有關(guān)電子商務(wù)的技術(shù)，才能使電子商務(wù)更好的為我們服務(wù)。然而，如何利用這些技術(shù)仍是今后一段時間內(nèi)需要深入研究的課題。

參考文獻(xiàn):