第一篇:電子商務中的安全技術
1.引言:
對我國來說,電子商務尚是一個機遇和挑戰并存的新領域,這種挑戰在很大程度上來源于對有關安全技術的信賴。在開放的網絡(如Internet)上處理交易,如何保證傳輸數據的安全成為電子商務能否普及最重要的因素之一。2.電子商務對安全的要求及一般性對策
歸納用戶對電子商務活動安全性的需求,以及可使用的網絡安全
措施主要包括如下幾個方面。
⑴ 如何確定通信中的貿易伙伴的真實性,常用的處理技術是身份認證,依賴某個可信賴的機構(認證中心-CA)發放證書,雙方交換信息之前通過CA獲取對方的證書,并以此識別對方。
⑵ 如何保證電子單證的秘密性,防范電子單證的內容被第三方讀取;常用的處理技術是數據加密和解密。常見的加密技術包括對稱密鑰加密技術(典型的加密算法包括DES、TripleDES、IDEA、RC4和RC5)和非對稱密鑰加密技術(典型的加密算法為RSA、SEEK、PGP和EU等)。
⑶ 如何保證被傳輸的業務單證不會丟失,或者發送方可以察覺所發單證的丟失;對于固定且具有頻繁貿易往來的伙伴,可以采用單證傳輸的序列性檢驗(即為單證分配序列號,或者增加時間戳);也可采用雙方約定的方法(即在規定的時間內,通過某種方式進行確認。
⑷ 如何確定電子單證的內容未被篡改;單證傳輸完整性主要采用散列技術來防止非法用戶對單證的篡改,通過散列算法對被傳輸的單證進行處理,產生一個依賴于該單證的短小的散列值,并將該散列值附接在單證之后傳輸給接收方。以便接收方采用相同的散列算法對接收的單證進行檢驗。
⑸ 如何確定電子單證的真實性,即單證來源于期望的發送方;鑒別單證真實性的主要手段是數字簽名技術,其基礎是數據加密中的公開密鑰加密技術,實用中常結合單證完整性一起考慮,利用發方的秘密密鑰對散列值進行加密。
⑹ 如何解決或者仲裁收發雙方對交換的單證所產生的爭議,包括發方或者收方可能的否認或抵賴。通常要求引入認證中心進行管理,由CA發放密鑰,傳輸的單證及其簽名的備份發至CA保存,作為可能爭議的仲裁依據。
⑺ 如何保證存儲信息的安全性。規范內部管理,使用訪問控制權限和日志,以及敏感信息的加密存儲等。當使用WWW服務器支持電子商務活動時,應注意數據的備份和恢復,并采用防火墻技術(有些專家建議直接采用物理分割WWW服務器和內部網絡的連接)保護內部網絡的安全性。........................
第二篇:電子商務安全技術論文
加密技術是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據,從而確保數據的保密性。明文變為密文的過程稱為加密,由密文還原為明文的過程稱為解密,加密和解密的規則稱為密碼算法。在加密和解密的過程中,由加密者和解密者使用的加解密可變參數叫做密鑰。
目前,獲得廣泛應用的兩種加密技術是對稱密鑰加密體制和非對稱密鑰加密體制。它們的主要區別在于所使用的加密和解密的密碼是否相同。
1.對稱密鑰加密體制
對稱密鑰加密,又稱私鑰加密,即信息的發送方和接收方用一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合于對大數據量進行加密,但密鑰管理困難。
使用對稱加密技術將簡化加密的處理,每個參與方都不必彼此研究和交換專用設備的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機密性和報文完整性就可以通過使用對稱加密方法對機密信息進行加密以及通過隨報文一起發送報文摘要或報文散列值來實現。
2.非對稱密鑰加密體制
非對稱密鑰加密系統,又稱公鑰密鑰加密。它需要使用一對密鑰來分別完成加密和解密操作,一個公開發布,即公開密鑰,另一個由用戶自己秘密保存,即私用密鑰。信息發送者用公開密鑰去加密,而信息接收者則用私用密鑰去解密。公鑰機制靈活,但加密和解密速度卻比對稱密鑰加密慢得多。
在非對稱加密體系中,密鑰被分解為一對。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為私用密鑰(解密密鑰)加以保存。私用密鑰只能由生成密鑰對的貿易方掌握,公開密鑰可廣泛發布。
該方案實現信息交換的過程是:貿易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿易方公開;得到該公開密鑰的貿易方乙使用該密鑰對信息進行加密后再發送給貿易方甲;貿易方甲再用自己保存的另一把專用密鑰對加密信息進行解密。
認證技術
安全認證的主要作用是進行信息認證。信息認證的目的為:(1)確認信息發送者的身份;2)驗證信息的完整性,即確認信息在傳送或存儲過程中未被篡改過。下面從安全認證技術和安全認證機構兩個方面來做介紹。
1.常用的安全認證技
安全認證技術主要有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等。
(1)數字摘要
數字摘要是采用單向Hash函數對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼,并在傳輸信息時將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進行變換運算,若得到的結果與發送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。
(2)數字信封
數字信封是用加密技術來保證只有規定的特定收信人才能閱讀信的內容。在數字信封中,信息發送方采用對稱密鑰來加密信息,然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數字信封)之后,將它和信息一起發送給接收方,接收方先用相應的私有密鑰打開數字信封,得到對稱密鑰,然后使用對稱密鑰解開信息。這種技術的安全性相當高。
(3)數字簽名
日常生活中,通常用對某一文檔進行簽名來保證文檔的真實有效性,防止其抵賴。在網絡環境中,可以用電子數字簽名作為模擬。
把Hash函數和公鑰算法結合起來,可以在提供數據完整性的同時保證數據的真實性。完整性保證傳輸的數據沒有被修改,而真實性則保證是由確定的合法者產生的Hash,而不是由其他人假冒。而把這兩種機制結合起來就可以產生數字簽名。
(4)數字時間戳
在書面合同中,文件簽署的日期和簽名一樣均是防止文件被偽造和篡改的關鍵性內容。而在電子交易中,同樣需對交易文件的日期和時間信息采取安全措施,而數字時間戳服務就能提供電子文件發表時間的安全保護。數字時間戳服務(DTS)是網絡安全服務項目,由專門的機構提供。時間戳是一個經加密后形成的憑證文檔,它包括三個部分:需加時間戳的文件的摘要、DTS收到文件的日期和時間、DTS的數字簽名。
(5)數字證書
在交易支付過程中,參與各方必須利用認證中心簽發的數字證書來證明各自的身份。所謂數字證書,就是用電子手段來證實一個用戶的身份及用戶對網絡資源的訪問權限。
數字證書是用來惟一確認安全電子商務交易雙方身份的工具。由于它由證書管理中心做了數字簽名,因此任何第三方都無法修改證書的內容。任何信用卡持有人只有申請到相應的數字證書,才能參加安全電子商務的網上交易。數字證書一般有四種類型:客戶證書、商家證書、網關證書及CA系統證書。
2.安全認證機構
電子商務授權機構(CA)也稱為電子商務認證中心(Certificate Authority)。在電子交易中,無論是數字時間戳服務還是數字證書的發放,都不是靠交易雙方自己能完成的,而需要有一個具有權威性和公正性的第三方來完成。
認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。
安全認證協議
目前電子商務中有兩種安全認證協議被廣泛使用,即安全套接層SSL(Secure Sockets Layer)協議和安全電子交易SET(Secure Electronic Transaction)協議。
1.安全套接層(SSL)協議
安全套接層協議是由Netscape公司1994年設計開發的安全協議,主要用于提高應用程序之間的數據的安全系數。SSL協議的概念可以被概括為:它是一個保證任何安裝了安全套接層的客戶和服務器間事務安全的協議,該協議向基于TCp/Ip的客戶/服務器應用程序提供了客戶端和服務器的鑒別、數據完整性及信息機密性等安全措施。目的是為用戶提供Internet和企業內聯網的安全通信服務。
SSL采用了公開密鑰和專有密鑰兩種加密:在建立連接過程中采用公開密鑰;在會話過程中使用專有密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和服務器間事務的安全性。
2.安全電子交易(SET)協議
安全電子交易是一個通過開放網絡進行安全資金支付的技術標準,由VISA和MasterCard組織共同制定,于1997年聯合推出。由于它得到了IBM、Hp、Microsoft等很多大公司的支持,已成為事實上的工業標準,目前已獲得IETF標準的認可。這是一個為Internet上進行在線交易而設立的一個開放的、以電子貨幣為基礎的電子付款規范。
SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證,這對于需要支付貨幣的交易來講是至關重要的。SET將建立一種能在Internet上安全使用銀行卡購物的標準。安全電子交易規范是一種為基于信用卡而進行的電子交易提供安全措施的規則,是一種能廣泛應用于Internet上的安全電子付款協議,它能夠將普遍應用的信用卡的使用場所從目前的商店擴展到消費者家里,擴展到消費者個人計算機中。
第三篇:電子商務及其安全技術畢業論文
電子商務及其安全技術
[摘要] 電子商務的安全性是影響其成敗的一個關鍵因素。本文討論了電子商務應用中所存在的問題,繼而對電子商務的安全性技術進行了分析,提出了一些相應措施。
[關鍵詞] 網絡安全交易安全安全技術安全措施
一、引言
電子商務的發展前景十分誘人,而其安全問題也變得越來越突出,如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為商家和用戶都十分關心的話題。
二、電子商務存在的安全問題
1.計算機網絡安全
(1)潛在的安全隱患。未進行操作系統相關安全配置。不論采用什么操作系統,在缺省安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。
(2)未進行CGI程序代碼審計。網站或軟件供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對于電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重后果。
(3)安全產品使用不當。由于一些網絡安全設備本身的問題或使用問題,這些產品并沒有起到應有的作用。很多廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但系統改動,在改動相關安全產品的設置時,很容易產生許多安全問題。
(4)缺少嚴格的網絡安全管理制度
網絡安全最重要的還是要思想上高度重視,網站或局域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網絡安全制度與策略是真正實現網絡安全的基礎。
2.商務交易安全
(1)竊取信息。由于未采用加密措施,信息在網絡上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
(2)篡改信息。當入侵者掌握了信息的格式和規律后,通過各種技術手段和方法,將網絡上傳送的信息數據在中途修改,然后再發向目的地。
(3)假冒。由于掌握了數據的格式,并可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
(4)惡意破壞。由于攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,其后果是非常嚴重的。
三、電子商務安全技術
1.加密技術
(1)對稱加密/對稱密鑰加密/專用密鑰加密
該方法對信息的加密和解密都使用相同的密鑰。使用對稱加密方法將簡化加密的處理,每個貿易方都不必彼此研究和交換專用的加密算法而是采用相同的加密算法并只交換共享的專用密鑰。如果進行通信的貿易方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發送報文摘要或報文散列值來實現。
(2)非對稱加密/公開密鑰加密
這種加密體系中,密鑰被分解為一對。這對密鑰中的任何一把都可作為公開密鑰通過非保密方式向他人公開,而另一把則作為專用密鑰加以保存。公開密鑰用于對機密性的加密,專用密鑰則用于對加密信息的解密。專用密鑰只能由生成密鑰對的貿易方掌握,公開密鑰可廣泛發布,但它只對應于生成該密鑰的貿易方。
(3)數字摘要
該方法亦稱安全Hash編碼法或MD5。采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文,即數字指紋,它有固定的長度,且不同的明文摘要成密文,其結果總是不同的,而同樣的明文其摘要必定一致。這摘要便可成為驗證明文是否是“真身”的“指紋”了。
(4)數字簽名
信息是由簽名者發送的;信息在傳輸過程中未曾作過任何修改。這樣數字簽名就可用來防止電子信息因易被修改而有人作偽;或冒用別人名義發送信息;或發出(收到)信件后又加以否認等情況發生。
(5)數字時間戳
它是一個經加密后形成的憑證文檔,包括三個部分:需加時間戳的文件的摘要;DTS收到文件的日期和時間;DTS的數字簽名。
(6)數字憑證
數字憑證又稱為數字證書,是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限。在網上的電子交易中,如雙方出示了各自的數字憑證,并用它來進行交易操作,那么雙方都可不必為對方身份的真偽擔心。它包含:憑證擁有者的姓名;憑證擁有者的公共密鑰;公共密鑰的有效期;頒發數字憑證的單位;數字憑證的序列號;頒發數字憑證單位的數字簽名。
數字憑證有三種類型:個人憑證,企業(服務器)憑證,軟件(開發者)憑證。
2.Internet電子郵件的安全協議
(1)PEM:是增強Internet電子郵件隱秘性的標準草案,它在Internet電子郵件的標準格式上增加了加密、鑒別和密鑰管理的功能,允許使用公開密鑰和專用密鑰的加密方式,并能夠支持多種加密工具。對于每個電子郵件報文可以在報文頭中規定特定的加密算法、數字鑒別算法、散列功能等安全措施。
(2)S/MIME:是在RFC1521所描述的多功能Internet電子郵件擴充報文基礎上添加數字簽名和加密技術的一種協議,目的是在MIME上定義安全服務措施的實施方式。
(3)PEM-MIME:是將PEM和MIME兩者的特性進行了結合。
3.Internet主要的安全協議
(1)SSL:是向基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別、數據完整性及信息機密性等安全措施。該協議通過在應用程序進行數據交換前交換SSL初始握手信息來實現有關安全特性的審查。在SSL握手信息中采用了DES、MD5等加密技術來實現機密性和數據完整性,并采用X.509的數字證書實現鑒別。
(2)S-HTTP:是對HTTP擴充安全特性、增加了報文的安全性,它是基于SSL技術的。該協議向WWW的應用提供完整性、鑒別、不可抵賴性及機密性等安全措施。
(3)STT: STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。
(4)SET:主要文件是SET業務描述、SET程序員指南和SET協議描述。SET 1.0版己經公布并可應用于任何銀行支付服務。它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。
SET規范明確的主要目標是保障付款安全,確定應用之互通性,并使全球市場接受。
4.UN/EDIFACT的安全
UN/EDIFACT報文是唯一的國際通用的EDI標準。利用Internet進行EDI己成為人們日益關注的領域,保證EDI的安全成為主要解決的問題。
5.虛擬專用網(VPN)
它可以在兩個系統之間建立安全的信道(或隧道),用于電子數據交換。它與信用卡交易和客戶發送訂單交易不同,因為在VPN中,雙方的數據通信量要大得多,而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術,只要通信的雙方默認即可,沒有必要為所有的VPN進行統一的加密和認證。
6.數字認證
用電子方式證明信息發送者和接收者的身份、文件的完整性(如一張發票未被修改過),甚至數據媒體的有效性(如錄音、照片等)。目前,數字認證一般都通過單向Hash函數來實現,它可以驗證交易雙方數據的完整性,7.認證中心(CA)
CA的基本功能是:
生成和保管符合安全認證協議要求的公共和私有密鑰、數字證書及其數字簽名。
對數字證書和數字簽名進行驗證。
對數字證書進行管理,重點是證書的撤消管理,同時追求實施自動管理。
建立應用接口,特別是支付接口。CA是否具有支付接口是能否支持電子商務的關鍵。
8.防火墻技術
防火墻具有以下五大基本功能:(1)過濾進、出網絡的數據;(2)管理進、出網絡的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內容和活動;(5)對網絡攻擊進行檢測和告警。
目前的防火墻主要有兩種類型。其一是包過濾型防火墻,其二是應用級防火墻。
9.入侵檢測
入侵檢測技術是防火墻技術的合理補充,其主要內容有:入侵手段與技術、分布式入侵檢測技術、智能入侵檢測技術以及集成安全防御方案等。
四、電子商務網站安全體系與安全措施
一個全方位的計算機網絡安全體系結構包含網絡的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,并增加了審核信息的數量,利用這些審核信息可以跟蹤入侵者。
1.采取特殊措施以保證電子商務之可靠性、可用性及安全性
使用容錯計算機系統或創造高可用性的計算機環境,以確保信息系統保持可用及不間斷動作。災害復原計劃提供一套程序與設備來重建被中斷的計算與通信服務。當組織利用企業內部網或因特網時,防火墻和入侵偵測系統協助防衛專用網絡避免未授權者的存取。加密是一種廣泛使用的技術來確保因特網上傳輸的安全。數字證書可確認使用者的身份,提供了電子交易更進一步的保護。
2.實施網絡安全防范措施
首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;
其次要用各種系統漏洞檢測軟件定期對網絡系統進行掃描分析,找出可能存在的安全隱患,并及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火墻,加強授權管理和認證;利用RAID5等數據存儲技術加強數據備份和恢復措施;對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網絡上傳輸的敏感信息要進行強度的數據加密;安裝防病毒軟件,加強內部網的整體防病毒措施;建立詳細的安全審計日志,以便檢測并跟蹤入侵攻擊等。
3.電子商務交易中的安全措施
在早期的電子交易中,曾采用過安全措施有:部分告知;另行確認;在線服務等。這些方法均有一定的局限性,且操作麻煩,不能實現真正的安全可靠性。近年來,針對電子交易安全的要求,IT業界與金融行業一起,推出不少有效的安全交易標準和技術,正如上述所列的九種技術。
另外,還可以選擇一些加密產品和系統。如:PGP for Group Wise、File Lock Series、Point`n Crypt World、PrivaSuite、Crypt。可以實現加密、簽名和認證。訪問控制類產品。如:SunScreen、WebST安全平臺、HP Preaesidium 授權服務器、NetKey網絡安全認證系統、Cisco NetRanger等。這些產品的功能可以提供對口令字的管理和控制功能;防止入侵者對口令字的探測;監測用戶對某一分區或域的存取;提供系統主體對客體訪問權限的控制。
五、小結
電子商務對計算機網絡安全與商務安全的雙重要求,使電子商務安全的復雜程度比大多數計算機網絡更高,因此電子商務安全應作為安全工程,而不是解決方案來實施。
第四篇:電子商務安全技術總結
《電子商務與電子政務安全模型》
讀書筆記
姓名: 黃佳
班級: 2班
學號: 104972101414
學院: 計算機科學與技術
2011年 6 月 29 日
電子商務安全技術總結
引言
電子商務是一種依托現代信息技術和網絡技術集金融電子化、管理信息化、商貿信息網絡化為一體,旨在實現物流、資金流與信息流和諧統一的新型貿易方式,是網絡技術應用的全新 發展方向。因特網本身具有的開放性、全球性、低成本和高效率的特點成為電子商務的內在特征,并使得電子商務很容易遭到別有用心者的惡意攻擊和破壞,信息的泄露問題也變得日益嚴重。因此,計算機網絡的安全性問題就變得越來越重要,如何保證以網絡為載體的電子商務的安全性 已成為一個不容忽視 的問題。電子商務的安全隱患
電子商務 的活動是在一個開放、虛擬的場所進行的,容易受到黑客的攻擊,普遍存在以下幾種隱患:
(1)信息泄露。攻擊者可能通過截收裝置,截獲機密信息,推斷出有用信息,如消費的銀行帳號、密碼等。交易雙方的內容被第三方竊取,交易一方提供給另一方的文件被第三方使用。
(2)信息破壞。交易信息在網絡上進行傳輸的過程中,被他人非法修改、刪除或偽造,使信息失去了真實性和完整性。
(3)身份的識別。如果不進行身份的識別,第三方就有可能假冒交易一方的身份介入交易過程,以破壞交易、破壞一方的信譽或盜取交易成果等。
(4)黑客。黑客利用自己在計算機方面的高超技能,對網絡中的一些重要信息進行修改或偽造,造成重大的經濟損失和極為惡劣的影響。電子商務的安全技術措施
3.1 計算機網絡安全措施
計算機網絡安全的內容包括計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。其特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保證計算機網絡 自身的安全性為目標。計算機網絡安全措施主要包括保護網絡安全、保護應用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護 的物理安全、防火墻安全、信息安全、Web安全、媒體安全等等。
(1)保護網絡安全
網絡安全是為保護商務各方網絡端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪 問控制性是網絡安全的重要因素。保護網絡安全的主要措施如下:全面規劃網絡平臺的安全策略。
1)制定網絡安全的管理措施。2)使用防火墻。
3)盡可能記錄網絡上的一切活動 4)注意對網絡設備的物理保護。5)檢驗網絡平臺系統的脆弱性。6)建立可靠的識別和鑒別機制。(2)保護應用安全
保護應用安全,主要是針對特定應用(如Web 服務器、網絡支付專用軟件系統)所建立的安全防護措施,它獨立于 網絡的任何其他安全防護措施 雖然有些防護措施可能是網絡安全業務的一種替代或重疊,如Web 瀏覽器和web 服務器在應用層上對 網絡支付結算信息包的加密,都通過IP 層加密,但是許多應用還有 自己的特定安全要求。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web 安全性、EDI 和網絡支付等應用的安全性。
(3)保護安全系統
保護安全系統,是指從整體電子商務系統或網絡支付系統的角度進行安全防護,它與網絡系統硬件平臺、操作系統、各種應用軟件等互相關聯。涉及網絡支付結算的系統安全包含下述一些措施:
1)在安裝 的軟件中,如瀏覽器軟件、電子錢包軟件、支付網關軟件等,檢查和確認未知的安全漏洞。
2)技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有介入數據必須進行審計,對系統用戶進行嚴格安全管理。3)建立詳細的安全審計日志,以便檢測并跟蹤入侵攻擊等。
3.2 電子商務交易中的安全協議
SSL 協議是美 國Netscape 公司于1996 年提出的一種主要用于W e b 的安全傳輸協議,可以為服務器和客戶問的通信連接提供數據加密、服務器身份驗證和消息完整性等服務,根據服務器 的選項再提供對客戶端的認證。SSL 協議要求 建立在可靠的傳輸層協議上,如TCP,同時,高層的應用協議,如HTTP、FTP、TELNET 等可以透明地建立于SSL 協議之上。
SSL 協議是 由SSL 記錄 協議、SSL 握手協 議和SSL 警報協議組成 的。SSL 握手協議被用來在客戶與服務器真正傳輸應用層數據之前建立安全機制。當客戶與服務器第一次通信時,雙方通過握手協議在版本號、密鑰交換算法、數據加密算法和Hash 算法上達成一致,然后互相驗證對方身份,最后使用協商好的密鑰交換算法產生一個只有雙方知道的秘密信息,客戶和服務器各自根據此秘密信息產生數據加密算法和Hash 算法參數。SSL 記錄協議根據SSL 握手協議協商的參數,對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC,然后經 網絡傳輸層發送給對方。SSL 警報協議用來在客戶和服務器之間傳遞SSL 出錯信息。
在電子商務交易過程中,由于有銀行參與,按照SSL 協議,客戶的購買信息首先發往商家,商家再將信 息轉發銀行,銀行驗證客戶的信息后,通知商家付款成功,商家再通知客戶購買成功,并將商品寄送客戶。在上述流程中我們也可以注意到,SSL 協議有利于商家而不利于客戶。客戶信息首先傳到商家,商家閱讀后再傳到銀行,這樣,客戶資料的安全性便受到威脅。商家認證客戶是必要的,但整個過程中缺少了客戶對商家的認證。在電子商務的開始階段,由于參與電子商務的公司大都是一些大公司,信譽較高,這個問題沒有引起人們的重視。隨著 電子商務參與的廠商迅速增加,對廠商的認證問題越來越突出,SSL 協議的缺點完全暴露出來。
3.3 加密技術
加密技術分為私鑰加密和公鑰加密技術。
私鑰加密(又稱對稱加密)的特點是文件的加密和解密使用相同的密鑰,即加密密鑰也可以用作解密密鑰。私鑰加密的優點:具有很高的保密性,算法使用簡單快捷,密鑰較短,且破譯困難;通信雙方不僅可以把數據加密發給對方,而且可以把對方發來的加密文件進行解密。只要密鑰沒有泄露,并且能夠證 明發送方身份的合法性,該方式的保密性就可以得到保證。
私鑰加密的缺點:容易造成密鑰泄露,并且必須要按照安全途徑進行傳遞,而這些恰恰是影響安全性的關鍵因素,所以難于滿足開放式計算機網絡的需求。
公鑰加密又稱非對稱加密,相對于私鑰加密而言,公鑰加密的優點是密鑰分配簡單;密鑰的保存量少;可 以滿足互不相識的人之間進行私人談話時的保密性需求;可以完成數字簽名的數字鑒別。其缺點就是速度較慢。
公鑰加密技術要求密鑰成對出現,一個為加密密鑰,一個為解密密鑰。在私鑰加密技術中,加密和解密雙方使用相同的密鑰。雙方雖然在通信時加了密,比較保險,但是,密鑰卻要事先約定或通過信使傳遞。如果通過信使傳遞,一方面可能會導致失密;另一方面,在高度自動化的大型計算機 網絡中,用信使傳遞密鑰是不合適的。如果事先約定密鑰,則進行網絡通信的每個人都要保留其他所有人的密鑰,就給密鑰的管理和更新帶來了困難。
公鑰加密正是為了解決這些問題而產生的。公鑰加密算法不需要聯機密鑰服務器,密鑰分配協議簡單,所 以極大簡化了密鑰管理。但是,公鑰算法要比私鑰算法慢很多,所以在實際應用中,通常使用公鑰密碼技術交換密鑰,而利用私鑰密碼技術傳遞正文。
3.4 認證技術
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過,認證技術包含數字簽名和數字證書兩種。
數字簽名:數字簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子文件認證、核準和生效的作用。
數字證書:數字證書是一個經證書授權中心數字簽名的,包含公鑰擁有者信息以及公鑰的文件。數字證書的最主要構成包括一個用戶公鑰,加上密鑰所有者的用戶身份標識符,以及被信任的第三方簽名。第三方一般是用戶信任的證書權威機構(CA),如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰并得到證書,然后用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書,并通過相關的 信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一系列數據,提供了一種驗證各自身份的方式,用戶可以用它來識別對方的身份。
3.5 防火墻
防火墻是保護網絡服務和內部數字信息時使用最廣泛的技術,它是防御外來攻擊的第一道防護。防火墻是指位于兩個信任度不同的網絡之間(如企業內部網絡和Inter net 之問)的軟件或硬件設備的組合。它除了用于將企業 內部局域網與外界Internet 隔離,還可以用于劃分、隔離和控制網絡問的訪問控制。防火墻技術是指在專用設備上使用過濾路由和應用代理技術。
防火墻主要對提供給外界的服務進行控制。一個最簡單的屏蔽入侵的方法就是斷開一切外界的網絡連接,不允許外界訪 問,然而,對那些需要網絡服務(如E-mail、Web服務和TFP)的商業合作來說,這并不是一個好辦法;反之,如果簡單的使內部設備與外界進行無限制的連接而不考慮計算機的安全,將會使企業內部信息隨時面臨著被攻擊的危險。因此,防火墻正是它們之間的最好折中方法,它可以在這兩個極端的方法之間實現比較好的安全保障。防火墻有許多形式,可以分為三種:包過濾防火墻、應用級網關和狀態監視器。
結論
電子商務安全技術并不僅限于以上幾種。還有很多其他技術,如物理安全措施、虛擬專用 網(VPN)等,實際應用中應將各種技術結合起來,以最大限度地提高電子商務的安全性。但電子商務的安全運行僅從技術 角度 防范是遠遠不夠的,還必須在加強安全管理的同時健全信用體系、完善法律保障,以確保和促進電子商務的健康發展。
第五篇:論文《電子商務的安全技術》
電子商務的安全技術
楊 昆
(興安職業技術學院
內蒙古烏蘭浩特
137400)
摘要:隨著信息技術在貿易和商業領域的廣泛應用,利用計算機技術、網絡通信技術和因特網實現商務活動的國際化、信息化和無紙化,已成為各國商務發展的一大趨勢。電子商務正是為了適應這種以全球為市場的的變化而出現的和發展起來的,它是當今社會發展最快的領域之一。電子商務的發展正在改變著傳統的貿易方式,縮減交易程序,提高辦事效率。然而,隨著Internet逐漸發展成為電子商務的最佳載體,互聯網具有充分開放,不設防護的特點使加強電子商務的安全的問題日益緊迫,要加強電子商務的安全,需要有科學的、先進的安全技術。
關鍵字:電子商務 網絡平臺 防火墻 數據加密 中途分類號:TP393.07 文獻標識碼 A
在電子商務的交易中,經濟信息、資金都要通過網絡傳輸,交易雙方的身份也需要認證,因此,電子商務的安全性主要是網絡平臺的安全和交易信息的安全。而網絡平臺的安全是指網絡操作系統對抗網絡攻擊、病毒,使網絡系統連續穩定的運行。常用的保護措施有防火墻技術、網絡入侵檢測技術、網絡防毒技術。交易信息的安全是指保護交易雙方的不被破壞、不泄密,和交易雙方身份的確認。可以用數據加密、數字簽名、數字證書、ssl、set安全協議等技術來保護。下面重點闡述防火墻技術和數據加密技術。
一、防火墻技術
防火墻就是在網絡邊界上建立相應的網絡通信監控系統,用來保障計算機網絡的安全,它是一種控制技術,既可以是一種軟件產品,又可以制作或嵌入到某種硬件產品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強Intranet(內部網)之間安全防御的一個或一組系統,它由一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自Internet的傳輸信息或你發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。防火墻一般運用了以下技術:
1、透明的訪問方式
防火墻利用了透明的代理系統技術,從而降低了系統登錄固有的安全風險和出錯概率。
2、靈活的代理系統
代理系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊。采用兩種代理機制:一種用于代理從內部網絡到外部網絡的連接;另一種用于代理從外部網絡到內部網絡的連接。前者采用網絡地址轉接(NIT)技術來解決,后者采用非保密的用戶定制代理或保密的代理系統技術來解決。
3、多級過濾技術
為保證系統的安全性和防護水平,防火墻采用了三級過濾措施,并輔以鑒別 1
手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關一級,對服務的通行實行嚴格控制。
4、網絡地址轉換技術
防火墻利用NAT技術能透明地對所有內部地址做轉換,使得外部網絡無法了解內部網絡的內部結構,同時允許內部網絡使用自己編的IP源地址和專用網絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
5、Internet網關技術
由于是直接串聯在網絡之中,防火墻必須支持用戶在Internet互聯的所有服務,同時還要防止與Internet服務有關的安全漏洞,它要能夠以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。為確保服務器的安全性,對所有的文件和命令均要利用“改變根系統調用(chroot)”做物理上的隔離。在域名服務方面,防火墻采用兩種獨立的域名服務器:一種是內部DNS服務器,主要處理內部網絡和DNS信息;另一種是外部DNS服務器,專門用于處理機構內部向Internet提供的部分DNS信息。在匿名FTP方面,服務器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務器中,只支持靜態的網頁,而不允許圖形或CGI代碼等在防火墻內運行。在Finger服務器中,對外部訪問,防火墻只提供可由內部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件做處理,并利用郵件映射與標頭剝除的方法隱除內部的郵件環境。Ident服務器對用戶連接的識別做專門處理,網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。
6、安全服務器網絡(SSN)為了適應越來越多的用戶向Internet上提供服務時對服務器的需要,防火墻采用分別保護的策略對用戶上網的對外服務器實施保護,它利用一張網卡將對外服務器作為一個獨立網絡處理,對外服務器既是內部網絡的一部分,又與內部網關完全隔離,這就是安全服務器網絡(SSN)技術。而對SSN上的主機既可單獨管理,也可設置成通過FTP、Telnet等方式從內部網上管理。
7、用戶鑒別與加密
防火墻采用一次性使用的口令系統來作為用戶的鑒別手段,并實現了對郵件的加密。
8、用戶定制服務
為了滿足特定用戶的特定需求,防火墻在提供眾多服務的同時,還為用戶定制提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數據庫的代理,便可以利用這些支持,方便設置。
9、審計和告警
防火墻產品采用的審計和告警功能十分健全,日志文件包括:一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、FTP代理、出站代理、郵件服務器、域名服務器等。告警功能會守住每一個TCP或UDP探尋,并能以發出郵件、聲響等多種方式報警。
防火墻技術從其功能上來分,還可以分為FTP防火墻、Telnet防火墻、Email 防火墻、病毒防火墻等等。通常幾種防火墻技術被一起使用,以彌補各自的缺陷和增加系統的安全性能。
二、數據加密技術
在電子商務中,信息加密技術是其它安全技術的基礎,加密技術是指通過使用代碼或密碼將某些重要信息和數據從一個可以理解的明文形式變換成一種復雜錯亂的、不可理解的密文形式(即加密),在線路上傳送或在數據庫中存儲,其他用戶再將密文還原成明文(即解密),從而保障信息數據的安全性。數據加密的方法很多,常用的有兩大類。一種是對稱加密。一種是非對稱密鑰加密。
1、對稱加密
對稱加密也叫秘密密鑰加密。發送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。這種方法使用簡單,加密解密速度快,適合于大量信息的加密。但存在幾個問題:第一,不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏,黑客可用它解密信息,也可假冒一方做壞事。第二,假設每對交易方用不同的密鑰,N對交易方需要N*(N-1)/2個密鑰,難于管理。第三,不能鑒別數據的完整性。
2、非對稱密鑰加密
非對稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對數據加解密時,使用不同的密鑰,在通信雙方各具有兩把密鑰,一把公鑰和一把密鑰。公鑰對外界公開,私鑰自己保管,用公鑰加密的信息,只能用對應的私鑰解密,同樣地,用私鑰解密的數據只能用對應的公鑰解密。具體加密傳輸過程如下:(1)發送方甲用接收方乙的公鑰加密自己的私鑰。
(2)發送方家用自己的私鑰加密文件,然后將加密后的私鑰和文件傳輸給接收方。
(3)接收方乙用自己的私鑰解密,得到甲的私鑰。(4)接收方乙用甲的公鑰解密,得到明文。
這個過程包含了兩個加密解密過程:密鑰的加解密和文件本身的加解密。在密鑰的加密過程中,由于發送方甲用乙的公鑰加密了自己的私鑰,如果文件被竊取,由于只有乙保管自己的私鑰,黑客無法解密。這就保證了信息的機密性。另外,發送方甲用自己的私鑰加密信息,因為信息是用甲的私鑰加密,只有甲保管它,可以認定信息是甲發出的,而且沒有甲的私鑰不能修改數據。可以保證信息的不可抵賴性。公開密鑰加密典型的代表是RSA算法,但是RSA的加密解密要兩次,處理和計算量都比較大,速度慢,所以只適合于少量數據的加密。因此,在當前的加密應用中,經常使用對稱密鑰來對文本加密和解密,用非對稱RSA加密體系對私鑰加密和解密。發送方把密文和加密后的私鑰一起發送給接收方。使用這種聯合加密法,不僅可以確保數據的保密性,而且還可以實現一種名為數字簽名的認證機制。發送者私鑰加密的數據可以提供對發送者身份的認證,接收者私鑰加密的數據可以提供對接收者身份的認證。
結論
隨著電子商務的飛快發展,加強電子商務安全的問題日益緊迫,要加強電子商務的安全,需要有科學的、先進的安全技術。只有不斷提高防火墻技術、數據加密技術等電子商務安全技術,才能為電子商務提供安全有效的技術保障。
參考文獻:
1.隋紅建,吳璇.計算機網絡與通信[M].北京市:北京大學出版社,2001.155-164 2.馬華東.多媒體計算機技術原理[M].北京市:清華大學出版社,1999.200-206 3.宋文官,徐繼紅.電子商務概論[M].大連市:東北財經大學出版社,2007.67-70 4.王忠誠.電子商務安全[M].北京市:機械工業出版社,2009.59-67
5.馮文輝,劉烔艷.電子商務案例分析[M].重慶市:重慶大學出版社,2002.43-54
點擊咨詢 