電子商務安全方面的論文范文參考(2)
電子商務安全論文范文篇3
試談電子商務安全
【摘 要】電子商務安全是電子商務活動的基礎和關鍵。文章從電子商務所面臨的安全威脅入手,提出了開展電子商務活動必須滿足的安全需求,最后探討了電子商務安全解決方案及其實現技術。
【關鍵詞】電子商務安全;加密;數字簽名;認證;協議
隨著網絡通信技術的迅猛發展和Internet的不斷普及,電子商務作為一種新型的商務模式,在全球范圍內正以驚人的速度迅猛發展。然而由于它是基于Internet開展的商務活動,大量重要的信息都需要在互聯網上進行傳遞,尤其還涉及到資金的流動,必然要求傳遞信息的過程足夠安全。因此如何保障交易過程和傳遞信息的安全性就成為影響電子商務發展的一個至關重要的問題,也是技術難點。
一、電子商務的安全威脅
電子商務是基于網絡信息傳輸的,依靠從信息終端之間信息的傳遞完成商務交易。與傳統商務的面對面交易不同,電子商務的安全就是要確保這些信息的傳遞是穩定的、完整的、可靠的、保密的,是反映信息發送者的真實意愿的。而威脅互聯網安全的因素很多。
1.截獲
攻擊者獲取了對資源的訪問權,這是對機密性的攻擊。例如,在網絡上搭線或安裝電磁波截獲裝置以獲取銀行賬號、用戶密碼等有用數據。
2.篡改
攻擊者不僅獲得了訪問權而且篡改了某些資源,這是對完整性的攻擊。例如,修改資金額度、貨物數量、商品價格等交易信息。
3.偽造
攻擊者將偽造的對象插入系統,這是對真實性的攻擊。例如,冒充合法用戶進行交易,給合法用戶造成損失。
4.否認或抵賴
商家或用戶否認自己曾經發送或接收到信息,這是對不可抵賴性的攻擊。例如,合法用戶可能會賴賬,商家也有可能因為商品價格差而不承認原有交易。
二、電子商務的安全需求
在電子商務面臨上述安全隱患的情況下,要在因特網中建立并維持一個令人可以信任的環境和機制,也為了保障交易各方的合法權益,需要滿足以下幾個方面的安全需求。
1.信息的機密性
信息的機密性或稱保密性是指信息在網絡上傳送或存儲的過程中不被他人竊取、不被泄露或披露給未經授權的人或組織,或者經過加密偽裝后,使未經授權者無法了解其內容。機密性可用加密和信息隱匿技術實現,使截獲者不能解讀加密信息的內容。機密性的另一方面是保護通信流特性以防止被分析。
2.信息的完整性
信息的完整性或稱正確性是保護數據不被偽授權者修改、建立、嵌入、刪除、重復傳送或由于其他的原因使原始數據被更改。在存儲時,要防止非法篡改,防止網站上的信息被破壞。在傳輸過程中,如果接收方收到的信息與發送方的信息完全一樣則說明在傳輸過程中信息沒有遭到破壞,具有完整性。針對信息的完整性,目前的主要措施是通過散列算法(也稱消息摘要算法)來檢查信息的完整性。
3.商務對象的認證性
商務對象的認證性是指網絡兩端的使用者在溝通之前相互確認對方的身份,保證身份的正確性。分辨參與者聲稱身份的真偽,防止偽裝攻擊。認證性采用由認證中心向各交易主體發放數字證書并進行驗證。
4.信息的不可抵賴性
信息的不可抵賴性是指信息的發送方不能否認已發送的信息,信息的接受方不能否認已收到的信息。這是一種法律有效性要求。交易一旦達成是不能被否認的。否則必然會損害一方的利益。目前的主要措施是采用數字簽名技術。
三、電子商務安全技術
1.加密技術
加密技術是電子商務的最基本信息安全防范措施,其原理是利用一定的加密算法,將明文轉換成難以識別和理解的密文并進行傳輸,從而確保數據的機密。主要有對稱加密技術、非對稱加密技術和數字信封技術。
(1)對稱加密技術
對稱加密技術,即信息的發送方和接收方用一個密鑰去加密和解密數據,也就是說加密和解密用同一個密鑰。它要求發送方、接收方在安全通信之前,商定一個密鑰,對稱密鑰算法的安全性依賴于密鑰,泄露密鑰就意味著任何人都能對消息進行加、解密。
只要通信需要保密,密鑰就必須保密。它的最大優勢是加、解密速度快,便于用硬件實現、適合于對大數據量進行加密等,但密鑰管理困難。
(2)非對稱加密技術
非對稱加密技術就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為“公鑰”和“私鑰”。“公鑰”和“私鑰”不能由一個推出另一個,但是“公鑰”加密的信息只能由“私鑰”解密,反之亦然。非對稱密鑰機制靈活,但加密和解密速度比對稱密鑰加密慢得多,所以它不適合于對文件進行加密,而只適用于對少量數據進行加密。
(3)數字信封技術
鑒于對稱加密技術和非對稱加密技術各自的特點,在實際應用中將兩種加密技術結合使用,從而獲得對稱加密技術的高效性和非對稱加密技術的靈活性。這種把對稱加密技術和非對稱加密技術結合使用的技術稱數字信封技術。
2.數字簽名技術
數字簽名技術主要解決電子商務中信息的不可抵賴性問題。其工作原理是:將報文按雙方約定的HASH算法計算,得到一個固定位數的HASH值,在數學上保證只要改動報文的任何一位,重新計算出的HASH值就會與原值不符。然后把該HASH值用發送者的私鑰加密,然后將該密文同原報文一起發送給接收者,產生的報文即數字簽名。
接收方收到數字簽名后,用同樣的HASH算法對報文計算HASH值,然后與用發送者的公鑰進行解密解開的HASH值進行比較,如相等則說明報文確實來自發送者從而保證了數據的真實性。通過數字簽名還能夠實現對原信息的鑒別,從而保證信息在傳輸過程中的信息完整性和信息發送方的不可抵賴性。
3.認證技術
對數字簽名和公開密鑰加密技術來說,都會面臨公鑰的分發問題。這就要求管理公鑰的系統必須是值得信賴的,數字證書就是解決這一問題的有效方法。它通常是一個簽名文檔,標記特定對象的公開密鑰。
由認證中心CA簽發,CA通常是一個服務性機構,主要任務是受理數字證書的申請、簽發和管理數字證書,是一個普遍可信的第三方。當通信雙方都信任同一個CA時,兩者就可以相互得到對方的公鑰從而能進行秘密通信、數字簽名和認證。
4.數字時間戳技術
在電子商務交易中,時間是十分重要的信息。數字時間戳服務DTS就是為電子文件的時間信息進行安全保護的網上安全服務項目。時間戳是經過加密后形成的文檔,它包括三部分內容:①需加時間戳的文件的摘要;②DTS收到文件的日期和時間;③DTS的數字簽名。
5.與電子商務安全有關的協議技術
(1)SSL-安全套接層協議
SSL協議是Netscape公司在網絡傳輸層之上提供的一種基于RSA和加密密鑰的用于瀏覽器和Web服務器之間的安全連接技術。它在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議以保證應用層數據傳輸的安全性。
SSL協議獨立于應用層協議,且被大部分的瀏覽器和Web服務器所內置,便于在電子交易中應用,因此,在電子交易中被用來安全傳送信用卡號碼。國際著名的CyberCash信用卡支付系統就支持這種簡單加密模式,IBM等公司也提供了這種簡單加密模式的支付系統。
但SSL協議它是一個面向連接的協議,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證,而電子商務往往是用戶、網站、銀行三家協作完成,SSL協議并不能協調各方間的安全傳輸和信任關系。因此,為了實現更加完善的電子交易,制訂發布了SET協議。
(2)SET-安全電子交易協議
SET協議是目前唯一保證信用卡信息能安全可靠地通過因特網傳輸的新協議。它為在Internet上進行安全的電子商務活動提供了一個開放的標準,為Internet上支付交易提供高層的安全和反欺詐保證。
SET協議為基于信用卡進行電子交易的應用提供了安全措施,保證了電子交易的機密性、數據完整性、身份的合法性和抗否認性。SET是專門為電子商務而設計的協議,它在很多方面優于SSL協議,但仍不能解決電子商務所遇到的全部問題。
四、結束語
電子商務安全是電子商務活動的核心,我們要堅持引進和吸收的原則,組織各方面力量,研制和開發出具有自主知識產權的網絡安全和電子商務安全產品,逐步掌握電子商務安全的核心技術,我國的電子商務安全現狀一定會得到極大的改善,從而為我國電子商務的發展創建良好的安全環境。
電子商務安全論文范文篇4
淺談電子商務安全現狀及對策
隨著網絡技術的廣泛應用,我國電子商務的安全問題也日益突出。根據“2010年上半年,計算機病毒和互聯網安全報告疫情”的數據表明,2010 年上半年,計算機病毒,木馬的數量依然保持快速增長,新病毒不斷出現,一些“老”的病毒推出了眾多變種。2010年上半年計算機病毒,木馬數量迅速增加, 超出了近五年病毒數量的總和。在日益增多的電子商務安全問題面前,需要我們采取新措施來進行防范。
一、電子商務的安全現狀
目前電子商務的安全問題比較嚴重,最突出的表現在計算機網絡安全和商業誠信問題上。因為篇幅問題,本文只側重于計算機網絡安全問題的描述和解決對于其他方面的問題不作詳細的分析。與以往相比電子商務安全呈現出以下特點:
(一)木馬病毒爆炸性增長,變種數量的快速增加
據統計,僅2009年上半年掛載木馬網頁數量累計達2.9億個,共有11.2億人次網民訪問掛載木馬,2010年元旦三天就新增電腦病毒50 萬。病毒的數量不僅增速變快,智能型,病毒變種更新速度快是本年度病毒的又一個特征。總體而言,目前的新木馬不多,更多的是它的變種,因為目前反病毒軟件 的升級速度越來越快,病毒存活時間越來越短,因此,今天的病毒投放者不再投放單一的病毒,而是通過病毒下載器來進行病毒投放,可以自動從指定的網址上下載 新病毒,并進行自動更新,永遠也無法斬盡殺絕所有的病毒。同時病毒制造、傳播者利用病毒木馬技術進行網絡盜竊、詐騙活動,通過網絡販賣病毒、木馬,教授病 毒編制技術和網絡攻擊技術等形式的網絡犯罪活動明顯增多,電子商務網絡犯罪也逐漸開始呈公開化、大眾化的趨勢。
(二)網絡病毒傳播方式的變化
過去,傳播病毒通過網絡進行。目前,通過移動存儲介質傳播的案例顯著增加,存儲介質已經成為電子商務網絡病毒感染率上升的主要原因。由于U盤和 移動存儲介質廣泛使用,病毒、木馬通過autorun.inf文件自動調用執行U盤中的病毒、木馬等程序,然后感染用戶的計算機系統,進而感染其他U盤。
與往年相比,今年通過網絡瀏覽或下載該病毒的比例在下降。不過,從網絡監測和用戶尋求幫助的情況來看,大量的網絡犯罪通過“掛馬”方式來實現。“掛馬”是 指在網頁中嵌入惡意代碼,當存在安全漏洞的用戶訪問這些網頁時,木馬會侵入用戶系統,然后盜取用戶敏感信息或者進行攻擊、破壞。通過瀏覽網頁方式進行攻擊 的方法具有較強的隱蔽性,用戶更難于發現,潛在的危害性也更大。
(三)網絡病毒給電子商務造成的損失繼續增加
調查顯示,瀏覽器配置被修改,損壞或丟失數據,系統的使用受限,網絡無法使用,密碼被盜造成都給電子商務造成嚴重的破壞后果。2006年“熊貓 燒香”病毒利用蠕蟲病毒的傳播能力和多種傳播渠道幫助木馬傳播,攫取非法經濟利益,給被感染的用戶帶來重大損失。繼“熊貓燒香”之后,復合型病毒大量出 現,如:仇英、艾妮等病毒。同時,網上販賣病毒、木馬和僵尸網絡的活動不斷增多,利用病毒、木馬技術傳播垃圾郵件和進行網絡攻擊、破壞的事件呈上升趨勢。
二、電子商務的安全問題及存在原因
1.對合法用戶的身份冒充。以不法手段盜用合法用戶的身份資料,仿冒合法用戶的身份與他人進行交易,從而獲得非法利益。
2.對信息的竊取。攻擊者在網絡的傳輸信道上。通過物理或邏輯的手段,對數據進行非法的截獲與監聽,從而得到通信中敏感的信息。如典型的“虛擬盜竊”能從因特網上竊取那些粗心用戶的信用卡賬號,還能以欺騙的手法進行產品交易,甚至能洗黑錢。
3.對信息的篡改。攻擊者有可能對網絡上的信息進行截獲后篡改其內容,如修改消息次序、時間,注人偽造消息等,從而使信息失去真實性和完整性。
4.拒絕服務。攻擊者使合法接入的信息、業務或其他資源受阻。
5.對發出的信息予以否認.某些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
6.信用威脅。交易者否認參加過交易,如買方提交訂單后不付款,或者輸人虛假銀行資料使賣方不能提款I用戶付款后,賣方沒有把商品發送到客戶手中,使客戶蒙受損失。
7.電腦病毒。電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網絡作 為自己的傳播途徑,還有眾多病毒借助于網絡傳播得更快,動輒造成數百億美元的經濟損失。如,CIH病毒的爆發幾乎在瞬間給網絡上數以萬計的計算機以沉重打 擊。
三、電子商務的安全需求
電子商務威脅的出現導致了對電子商務安全的需求,主要包括有效性、完整性、不可抵賴性、匿名性。
1.有效性。保證信息的有效性是開展電子商務的前提,一旦簽訂交易,這項交易就應得到保護以防止被篡改或偽造。
猜你喜歡:
電子商務安全方面的論文范文參考(2)
上一篇:jsp電子商務交易論文
下一篇:電子商務畢業論文評語
