電子商務安全性范文
本站小編為你精心準備了電子商務安全性參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
1.引言
1.1電子商務的概念
電子商務EC(ElectronicCommerce)就是利用電子數據交換EDI(ElectronicDataInterchange)、電子郵件(E-mail)、電子資金轉帳EFT及Internet的主要技術在個人間、企業間和國家間進行無紙化的業務信息的交換。。
1.2電子商務的運作流程
我們從電子商務對信息產業發展的功能方面來研究它的運作流程,可以把它視為信息產業提供的一種服務,參與這種服務的有:服務供給者、需求者和運作支持環節以及運作規則。其關系如圖1示。
圖中右邊的供給與支持環節,環環相扣,各自利益相互影響,只有達成共識,共同努力,才能讓整個供給系統高效的運轉起來,發揮這些正反饋環路的優勢。左邊是需求者環路,主要由利益、市場和技術驅動。左右兩邊的利益是正相關的。要使整個電信產業發展起來,首先要使左邊的需求者能夠得到確實的好處,從而帶動整個社會的信息化,這樣拉動信息產業的發展。這就是電子商務的運作流程。
1.3電子商務的主要特點
電子商務的主要優點有:以最小的費用制作最大的廣告;豐富的網絡資源有利于企業了解市場的變化和做出理性的決策;展示產品而不需要占用店面,小企業可以和大企業獲得幾乎同等的商業機會;提高服務質量,及時獲得顧客的反饋的信息;在線交易方便、快捷、可靠等等。
2.電子商務的安全性
電子商務的自身特性決定了其具有開放性,而它所基于的因特網更是開放和不設防的,所以電子商務從一誕生開始就與安全性緊密聯系在一起。隨著電子商務的日益普及,電子商務的安全也成為當前最熱門的話題之一。以下對電子商務的安全目標以及電子商務安全性的實現進行研究分析。
2.1電子商務的安全目標
(1)保密性保密性主要指信息只能在所授權的時間、所授權的地點暴露給授權的人。
(2)完整性完整性是指信息是完全的,電子商務系統應該提供對數據完整性的驗證手段,確保能夠發現數據化存儲或傳輸過程中是否被改動。
(3)不可否認性不可否認性是指數據的原發送者對所發送數據不可以否認,數據的接收者對所接收數據同樣不可否認,交易雙方更不可以否認已經進行的商業活動。
(4)身份認證指交易雙方可以相互確認彼此的真實身份,確認對方就是本次交易中所稱的真正交易方,確認就是本次交易中所稱的真正交易方。
(5)可審計性可審計性是指每個經授權的用戶的活動是唯一標識和監控的,以便對其所作用的操作內容進行審計和跟蹤。當貿易一方發現交易行對自己不利時否認電子交易行為。
2.2電子商務安全性的實現
電子商務安全性的實現體現在認證中心的設置、密鑰管理、加密算法和電子商務的基本安全技術。
2.2.1認證中心的設置
PKI模式中一個很重要的概念就是認證中心CA(CertificateAuthority)。CA是交易雙方都信任的第三方,功能是為參予電子商務的各方頒發數字證書(Certificate)。數字證書能夠起到標識交易方的作用,用于在交易中驗證對方的身份。
2.2.2密鑰管理
密鑰管理是加密技術的重要一環,密鑰管理的重點是確保密鑰的安全性。密鑰管理分為對稱密鑰算法體制的密鑰和公開密鑰密碼體制的密鑰管理。
(1)對稱密鑰管理對稱加密是基于共同保守秘密來實現的。采用對稱加密技術的交易雙方必須要保證采用的是相同的的密鑰,要保證彼此密鑰的交換是安全可靠的,同時還要設定防止密鑰泄密和更改密鑰的程序。這樣,對稱密鑰管理和分發工作變成一件潛在危險的和繁瑣的過程。
(2)公開密鑰密碼體制公開密鑰密碼體制密碼管理主要解決兩個問題:秘密秘鑰的保護和公開密鑰及其所有者身份的確認。秘密密鑰的保護,由用戶內部所采取的安全策略加以保護,一般用口令及存取權限等訪問控制策略進行保護。。
(3)密鑰管理相關的標準規范目前國際有關的標準化機構都制定關于密鑰管理的技術標準規范。ISO與IEC下屬的信息技術委員會(JTC1)已起草了關于密鑰管理的國際標準規范。該規范主要由3個部分組成:第一部分是密鑰管理框架;第二部分是采用對稱技術的機制;第三部分是采用非對稱技術的機制。該規范現已進入到國際標準草案表決階段,并將很快成為正式的國際標準。
2.2.3加密算法
這里主要指對稱加密算法。具有初始化顯式向量56位及以下密鑰長度的數據加密標準DES(DataEncryptionStandard,)算法顯然已經不太適用。下面幾種算法已經成為DES的替代算法:TripleDES、CAST—128、RC5、IDEA、Blowfish和ARCFour。一般認為CAST(RFC2144)的64位算法比DES算法更強大,此外,其算法效率也比DES高。RC5(RFC2040)是RSA實驗室的一個產品,是一個密鑰長度和迭代輪數都可變化的一種分組迭代密碼體制。
2.2.4電子商務的基本安全技術
(1)數字簽名數字簽名技術廣泛用于電子商務系統中的源鑒別和發方不可否認服務中,收方不可否認服務也需要結合數字簽名技術予以實現。數字簽名的基礎是密碼技術,目前較多使用公開密碼體制實現數字簽名。公開密鑰密碼體制的要求之一是:密鑰對中任何一個都可用于加密,其另外一個此時可用于解密,且密鑰對中稱為秘密密鑰的那一個只有密鑰對的所有者才知道,從而可把秘密作為其所有者的身份特征。分開密鑰算法的運算速度比較慢,因此可使用安全的單向數列函數對要簽名的信息進行摘要處理,減少使用公開密鑰算法的運算量。如圖1所示,實現數字簽名的過程為:信息發送者使用一單向數列函數對信息1生成信息摘要—→信息發送者使用自己的私鑰簽名信息摘要—→信息發送者把信息本身和已簽名的信息摘要一起發送出去。
(2)數字信封數字信封技術結合了秘密密鑰技術和公開密鑰技術的優點,可以克服秘密密鑰中秘密密鑰分散困難和公開密鑰加密中加密時間較長的問題,使用兩個層次的加密來獲得公開密鑰的靈活性和秘密密鑰的高效性,保證信息的安全性。如圖2所示,數字信封的具體實現步驟為:當發送方需要發送信息時,首先生成一個對稱密鑰,用以加密要發送的報文—→發送方用接收方的公鑰加密上述的對稱密鑰—→發送方將上述兩個步驟的結果傳給接收方—→接收方使用自己的私鑰解密被加密的對稱密鑰—→接收方用得到的對稱密鑰解密被發送方加密的報文,得到真正的報文。
(3)身份認證技術在2.1節中已簡單介紹了身份認證的一些概念,這里再把身份認證分析一下。身份認證是指對電子商務業務參與者的認證。在公共網絡上的認證,從安全角度分兩類:一類是請求認證者的秘密消息在網上傳送的口令認證方式;另一類是使用公開密鑰簽名算法,而不需要在網上傳送秘密信息的認證方式,這類認證方式包括前面介紹過的數字簽名認證。
口令認證必須具備一個前提:請求認證者必須具備一個ID,該ID必須有在認證者的數據庫中是唯一的。使用口令的單向身份認證流程如圖3所示,具體流程是:請求認證者和認證者之間進行認證初始化,并建立安全連接,確認身份—→請求認證者向認證者發送ID和口令等信息—→認證者收到ID和口令,并與用戶數據庫中的ID和口令作比較—→認證者向請求認證者發回認證結果—→請求認證者接收認證結果。
3.電子商務涉及的技術問題
近年來不少公司已推出了不少在維護信息安全方面的軟、硬件產品。由于電子商務的形式多種多樣,涉及的問題方方面面,因為篇幅限制,這里只對電子交易、虛擬專用網和對加密算法的控制作簡單介紹。
3.1電子交易
電子交易是電子商務中一種最基本、最常用形式。以信用卡交易為例,Visa和MasterCard公司的調查報告表明,擔心信用卡號被竊取已經成為影響人們通過網絡交易中存在的最大問題。為防止不法分子在Internet上進行傳輸時截取信用卡號,必須使發送和接收信息時保證做到:除發送方和接收方外,不得被其他人知悉;傳輸過程中不被篡改;發送方能確信接收方不是假的;發送不能否認自己的發送行為。
3.1虛擬專網
虛擬專用網VPN是用于Internet交易的一種專用網絡,它可以在兩個系統之間建立安全的信道(或隧道),用于電子數據交換。它與信用卡交易和客戶發送定單交易不同。因為在VPN中,雙方的數據通信量大得多,而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術,只要通信的雙方默認即可,沒有必要為所有的VPN進行統一的加密和認證。為防止黑客的破壞,現有的或正在開發的數據隧道系統進一步增加VPN的安全性,從而能夠保證數據的保密性和可用性。
3.2對加密算法的控制
保證電子商務安全的最重要的一點就是使用加密技術對敏感的信息進行加密。現在一些專用密鑰和公鑰加密可用來保證電子商務的保密性、完整性、真實性和非否認服務。然而,這些技術的廣泛使用卻不是一件容易的事情。
4.結束語
電子商務的安全性直接阻礙著電子商務在商務活動中的進展,因此,需要盡快尋求一種可靠的安全措施,以逐步消除人們在商務交易中的各種疑慮,促進電子商務的發展。
有人稱電子商務無技術,實際上就是指實現電子商務的技術都是已有的技術,但這里有個集成問題。如何利用這些現有技術,實現電子商務安全性的應用需求,仍然是今后一段時間內值得大力研究的課題。電子商務的安全是人們永遠追求的目標.
