电子商务安全范文

时间:2023-03-21 14:20:18

导语:如何才能写好一篇电子商务安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

电子商务安全

篇1

Internet给整个社会带来了巨大的变革,成为驱动所有产业发展的动力。电子商务是在Internet开放环境下的一种新型的商业运营模式,是网络技术应用的全新发展方向。在此首先对电子商务中存在的问题及其安全性技术加以分析,然后对中国电子商务未来的发展提出了一些建议,以使更多的人士关注电子商务技术,尽快解决现存的问题,推动电子商务的发展。

2电子商务及其存在的问题

电子商务是指利用简单快捷低成本的电子通讯方式,使买卖双方进行各种商贸活动的新型贸易形式。它改变了传统贸易形式,不仅改变了企业本身的生产、经营、管理活动,而且将导致人类经济、社会和文化的一次新的革命。但目前电子商务的发展中还存在许多问题:

1)安全协议问题:对安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。

2)安全管理问题:在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。

3)电子商务没有真正深入商务领域而仅仅局限于信息领域。

4)技术人才短缺问题:电子商务是在近几年才得到了迅猛发展,许多地方都缺乏足够的技术人才来处理所遇到的各种问题。不少电子商务的开发商对网络技术很熟悉,但是对安全技术了解得偏少,因而难以开发出真正实用的、安全性的产品。

5)法律问题:电子交易衍生了一系列法律问题,例如网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。

6)税收问题:电子商务的发展在促进贸易增加税收的同时又对税收制度及其管理手段提出了新要求。

3电子商务中的安全性技术

安全性技术是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的问题。虽然Internet的开放式的信息交换使之在安全方面存在脆弱性,但现在几乎网络的各个层次都制订了安全协议和具备了相应的安全技术,以保证电子商务的安全性。

3.1安全的网络平台

安全可靠的网络是实现电子商务的基础,常用的方法是在网络中采用防火墙技术,虚拟专用网(VPN)技术,防病毒保护等。防火墙技术是通过IP过滤和服务器软件方法保护企业内部网(Intranet)中数据,只有授权用户才能获准进入企业内部网的系统。虚拟专用网(VPN)技术通过IP隧道等方法来保证企业协作网(Extranet)中企业间数据和企业内部网的远程分支机构和外出职工对中央系统的远程访问数据的安全传递。单纯依靠这些方法保护网络的安全性是不够的,还必须与其它安全措施综合使用才能为为用户提供更为可靠的电子商务基石,例如现在的加密技术、数字签名技术、电子认证技术等。

3.2在线支付的安全技术

电子商务的另一个关键问题是要保证在线支付的安全,它是网上购物的重要保证。目前采用的在线支付协议有两种:安全套接层SSL(SecureSocketsLayer)协议和安全电子交易SET(SecureElectronicTransaction)协议。

3.2.1SSL协议

SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CertificateAuthority,CA)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。

SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。

SSL协议握手流程由两个阶段组成:服务器认证和用户认证。

1)服务器认证

客户端向服务器发送一个“Hello”信息,以便开始一个新的会话连接;服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。

2)用户认证

经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。

SSL协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web服务器内置,便于在电子交易中应用。但SSL是一个面向连接的协议,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议不能协调各方面的安全传输和信任关系,为此,Mastercard和Visa共同在网络应用层开发了SET协议。

3.2.2SET协议

SET协议是一个能保证通过开放网络进行安全资金支付的技术标准。它采用的技术包括,对称密钥加密、公共密钥加密、哈希算法、数字签名技术以及公共密钥授权机制等。

SET使订单信息和信用卡信息的隔离。在把包含信用卡号码信息的订单送到商家时,商家只能看到订单信息,却看不到信用卡号码信息,并且需要持卡人和商家相互认证,确定通信双方身份,一般由认证中心为双方提供信用担保。

整个电子支付的过程包括:浏览、购买、付款合法性验证以及获取付款等过程。信用卡持卡客户通过浏览器从商家的商品目录寻找所需商品,他拥有支付网关交换密钥的私人密钥,可以发送初始化请求给商家;商家收到客户的初始化请求后,为请求报文分配一个唯一的交易标识号,并用商家的私人密钥进行数字签名,然后将初始化响应报文与商家和支付网关的证书一起传给客户;客户收到该初始化响应后,验证商家和支付网关的证书,确认商家和支付网关的身份,再根据商家的公开密钥确认初始化响应中的商家签名;然后,客户产生订单信息(OrderingInformation)和支付命令(PaymentInstruction),用私人密钥对订单信息和支付命令进行双重签名;并产生一个随机的对称密钥,用它对双重签名后的支付命令加密,然后再用支付网关交换密钥的公开密钥(publickey-exchangekey)对客户帐号和对称密钥加密;客户将加密后的订单信息和支付命令发给商家;商家确认客户证书,用客户的公开密钥对订单信息上的双重签名解密,以确保订单在传输过程中无误,并且其中的签名是客户的;然后,商家处理订单信息请求,将支付命令传给支付网关并请求授权,同时还产生一个包括商家的签名证书和指明客户的订单已被接收等信息的购买响应报文,并对该报文数字签名后发给客户;客户用商家的公开密钥来证实购买响应上的签名是商家的,并保存收到的购买响应。如果交易被授权,商家将执行订单上规定的送货等服务。商家使用订货单,要求支付网关付款。

SET定义了一个完备的电子交易流程,较好地解决了电子交易中各方间复杂的信任关系和安全连接,确保了电子交易中信息的真实性、保密性、防抵赖性和不可更改性。但由于SET协议庞大而又复杂,银行、商家和客户均需改造才能实现互操作,使得SET协议被普遍使用还需有一个过程。在我国,大多尚处在对SSL协议的应用上,要完全实现SET协议安全支付还要有一个过程。

3.3其它安全问题

对于电子商务的安全性来讲,有了防火墙与安全协议和规范还不够,一方面,网络本身的物理差错是难以避免的;另一方面,Internet主干网和DNS服务器的可靠性,拨号连接质量与速度还不能满足人们的需求;另外,恶意代码对网络系统的威胁,单纯依敕技术是很难解决的,从某种意义上讲,依靠管理加强内部人员的安全防范意识等比安全技术更为重要。因此,要加强电子商务的安全性应从多方面入手。

4对我国电子商务的发展的几点建议

1)提高服务的安全性。电子商务飞快的发展速度,致使其安全技术和安全管理都跟不上,这已成为越来越突出的问题,但不能因为安全问题而制约了电子商务的发展,使安全成为发展的瓶颈,发展是首位的,没有发展安全就无从谈起。

2)加快网络基础设施建设和网络普及程度。发展电子商务的目的在于降低交易成本,提高交易效率,因此应积极发展高速宽带通信信道,重点建设光缆和卫星通信,同时积极利用现有通信线路发展ISDN和ADSL接入,利用有线电视线路,试验发展HFC接入网。

3)尽快完善有关网络安全等方面的法律。我国政府在《中华人民共和国合同法》中规定了以电子媒体为载体的合同具有法律约束力,对推广电子商务有很大的促进作用,但是在诸多方面还需顺应网络技术的发展而不断完善。

4)加快银行、税务以及邮政等物流环节的信息化建设步伐,建立企业到企业(BtoB)、企业到客户(BtoC)的商务沟通,实现网上资金流动,解决目前有形商品交易环节中的流通因难。

5)转变人们面对面交易的消费习惯。

篇2

原文

本文从电子商务的概念及内容出发,介绍了电子商务中有关安全的一些基础技术和电子商务在交易中的一般模式。并在文中重点介绍自己的一种电子商务交易的模式,从中找出电子商务在交易时容易出现的一些安全性的问题,并介绍相对应这些安全问题而存在的一些解决方法。使读者在了解电子商务的同时,对有关电子商务的一些安全性问题有一个较为全面的认识

目录

第一章电子商务的概念、环境、发展过程及特征

1、电子商务的概念

2、电子商务的环境

3、电子商务的发展过程

4、电子商务的特点

第二章电子商务中交易的模式

第三章电子商务安全问题的解决办法

1、交易中存在的安全威胁。

2、交易时所应用的技术。

第四章电子商务的总体看法及我国电子商务的发展

1、对电子商务的总体看法

2、我国电子商务的发展趋势

参考资料

参考文献:

1、1999年11月由Sun、德达与Entrust三公司在北京港澳中心举行“电子商务发展趋势研讨会”。

三方除取得中国金融认证中心Non_SET项目的建设工程外,目前将更紧密的提出项电子商务解决方案,该联盟将逐步成为全国信息,金融与电子商务界所熟知的一个专注于电子商务事业的联合体。

国外科技动态1999.12期

2、电子商务被看作是21世纪全球经济新的增长点。据悉英特集团、首都信息发展有限公司、中国银行、美国花旗银行和IBM公司共同发展中国旅游业电子商务网络介绍会在北京人民在会堂举行。1999年7月16日

3、电子商务安全与CA认证世界网络与多媒体1999.8月期P10

4、电子商务(上)(下)世界网络与多媒体1999七月、八月期

5、21世纪信息安全发展展望卿斯汉1999.12月期

6、英国公布电子商务法律草案世界科技研究与发展1999.10月期

7、对付黑客的常规武器“防火墙”软件工程师1999.5期

8、企业网络安全重在防护软件1999.12

9、计算机通讯中的新型信息加密技术计算机与通信1999.10期

10、EDI挑战传统国际贸易中国对外贸易1999.10

11、发展我国电子商务待解决的几个技术问题中国信息导报1999.10P16

12、微型电脑应用1999.9

13、电子商务中网上购物的安全协议-SSL与SET计算机工程1999.12

14、Intranet/Extranet中的网络安全技术计算机工程1999.1P30

15、基于PKI的电子商务安全密钥托管方案研究计算机工程1999.1P35

16、基于PKI的电子邮件系统安全方案的设计与实现计算机工程1999.8P34

17、带身份认证和加密的Internet防火墙系统计算机工程1999.8P45

18、基于Internet的支付系统计算机工程1999.10P40

19、TCP/IP网络中若干安全问题计算机工程1929.12P88

20、防火墙技术的研究与探讨计算机应用研究1999.11.9

21、防火墙技术计算机工程与应用1999.4

22、开放安全的Internet/Intranet信息系统体系结构的研究与实现

23、深入理解和应用Linux防火墙2000.1

24、Internet安全面临的问题及解决策略信息技术2000.1

25、实现电子商务安全的基础技术信息技术2000.1

26、VPN------虚拟专用网络;电子信息处理;数字认证;加密算法

篇3

[关键词] 电子商务加密技术认证技术防火墙技术

电子商务(Electronic Commerce)是在开放Internet网络环境下,实现买卖双方的网上交易和在线电子支付的一种新型的商业运营模式。

电子商务分为三个方面:信息服务、交易和支付。主要内容包括:电子商情广告;电子选购和交易、电子交易凭证的交换;电子支付与结算以及售后的网上服务等。主要交易类型有企业与个人的交易(B to C方式)和企业之间的交易(B to B方式)两种。

参与电子商务的实体一般有四类:顾客(个人消费者或企业集团)、商户(包括销售商、制造商、储运商)、银行(包括发卡行、收单行)及认证中心。这些实体之间的信息的传递应具有保密性、确定性、不可否认性、不可修改性,这样才能保证电子商务的正常交易,使电子商务正常有序的发展。那么,电子商务的安全性就显得十分重要了。

电子商务面临的安全问题,导致了对电子商务安全的需求。电子商务的安全问题是一个复杂的系统问题,实现系统的安全,保证交易的可靠性,要求电子商务做到机密性、完整性、认证性和不可抵赖性。解决方法有以下技术手段。

一、加密技术

就是基于数学算法的程序和保密的密钥对信息进行编码,生成难以理解的字符串。它保证了信息的完整性、用户身份的不可否认性、身份的验证和消息的保密性。密钥就是对发送、接受信息进行加/解的方法。密钥加密的算法通常有两类:对称密钥算法和非对称密钥算法。

1.对称密钥加密。又叫秘密/专用密钥加密,是指使用同一把密钥对信息进行加密、解密运算。也就是说,一把钥匙开一把锁。它要求发送方、接收方在安全通信之前,商定一个密钥,对称密钥算法的安全性依赖于密钥,泄露密钥就意味着任何人都能对消息进行加/解密。只要通信需要保密,密钥就必须保密。对称密钥加密算法包括DES加密算法和IDEA算法,RC2、RC4算法,Skipjack算法等。

2.非对称密钥算法。也叫公开密钥体制,是指将一个加密系统的加密密钥和解密密钥分开,加密和解密分别由两个密钥来实现,并使得由加密密钥推导出解密密钥在计算机上是不可行的,则该系统称为非对称密钥算法。商户可以公开其公钥,而保留其私钥;客户可以用商户的公钥对发送的信息进行加密,安全地传送到商户,然后由商户用自己的私钥进行解密。公开密钥加密技术解决了密钥的和管理问题,是目前商业密码的核心。使用公开密钥技术,进行数据通信的双方可以安全地确认对方身份和公开密钥,提供通信的可鉴别性。由此,公开密钥体制的建设是开展电子商务的前提。

非对称加密算法主要有RSA、DSA、Diffie-Hellman、PKCS、PGP等。公开密钥加密算法的典型代表是RSA算法。它利用两个很大的质数相乘所产生的乘积来加密。非对称密钥算法既可以实现信息加密又可以实现数字签名。

二、认证技术

认证是判明和确认交易双方真实身份的重要环节,是开展电子商务的重要条件。

1.数字签名技术。是指用发送方的私有密钥加密报文摘要,然后将其与原始的信息附加在一起,合称为数字签名。其使用方式是:报文的发送方从报文文本中生成一个128位或160位的单向散列值(或报文摘要),并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。即发送者事后不能抵赖对文件的签名、接收者不能伪造对文件的签名等。

2.身份验证技术又称数字证书。它作为网上交易双方真实身份证明的依据,是一个经证书授权中心(CA)数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。身份识别是用户向系统出示自己的身份证明过程。身份认证是系统查核用户的身份证明的过程。人们常把这两项工作统称为身份验证(或身份鉴别),是判明和确认通信双方真实身份的两个重要环节。最简单的方法是输入User ID和Password,但是最不安全的。身份认证是安全系统最重要且最困难的工作。

3.认证机构。认证机构(CA) 是由大型用户群体(如政府机关或金融机构)所信赖的第三方,负责证书的颁发和管理。在证书申请被审批部门批准后,CA通过登记服务器将证书发放给申请者。CA通过向电子商务各参与方发放数字证书,来确认各方的身份,保证在INTERNET及内部网上传送数据的安全,及网上支付的安全性。通过认证机构来认证买卖双方的身份是保证网络交易安全的重要措施。

三、防火墙技术

所谓防火墙,就是在内部网与外部网之间的界面上构造一个保护层,并强制所有的连接都必须经过此保护层,在此进行检查和连接。只有被授权的通信才能通过此保护层,从而保护内部网资源免遭非法入侵。防火墙的功能包括:其一是限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵犯;其二是限制内部网对外部网的访问,主要是针对一些不健康信息及敏感信息的访问。防火墙系统的实现技术主要分为包过滤和服务器两种,比较完善的防火墙系统通常结合使用这两种技术。

综上所述,电子商务系统存在的安全问题,是可以解决的。采用安全技术手段可以保证电子商务的正常交易。但是,任何技术手段都不能保证100%的安全。安全技术可以降低电子商务系统遭到破坏、攻击的风险。随着安全技术提高,整个电子商务系统会越来越安全。

参考文献:

[1]张贤:电子商务安全问题[J].中国科技信息,2006.3

[2]李川:浅谈电子商务的安全与技术保障[J].汉江职工大学学报,2005.8

篇4

    [关键词]电子商务 身份认证 防火墙

    电子商务就是要在网络信息安全技术的保证下,利用开放信息互联网实现可跨区的在线商品交易、金融资本交易及其商务活动作业的全过程。电子商务这一浩瀚的全球虚拟市场创造了二十一世纪各国的经济热点。但是由于电子商务的开放性及其所基于的网络全球性、无缝连通性、共享性、动态性发展,使得电子商务的安全问题成为现今的聚焦中心,并制约着电子商务的进一步发展。构建安全电子商务交易系统将成为今后电子商务发展的关键。

    一、电子商务的安全性要求

    (一)电子商务活动安全性的要求

    一是服务的有效性要求,电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。二是交易信息的保密性要求,电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。三是数据完整性要求,数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。四是身份认证的要求,电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。

    (二)电子商务的安全要素

    一是信息真实性、有效性,电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。二是信息机密性,电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。三是信息完整性,电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。四是信息可靠性、可鉴别性和不可抵赖性,可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

    二、电子商务运用的安全技术

    (一)网络节点的安全

    防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而做出允许或拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的网络系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机,或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。

    (二)通讯的安全

    在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制, SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。验证此证书是合法的服务器证书通过后利用该证书对称加密算法与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。/    (三)应用程序的安全性

    即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制,程序员认为这个缺省的许可是正确的。这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度,假的输入字符串常常是可执行的命令,特权程序可以执行指令。

    (四)用户的认证管理

    一是身份认证,电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份, IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。二是CA证书,要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心发行。认证中心就是承担网上安全交易认证服务,能签发数字证书,并能确认户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。三是SSL协议,SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议以保证应用层数据传输的安全性。

    三、完善电子商务安全的配套措施

篇5

电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。

2电子商务的主要安全要素

目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现,电子商务交易双方(销售者和消费者)都面临安全威胁,电子商务的安全要素主要体现在以下几个方面:

2.1信息真实性、有效性

电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

2.2信息机密性

电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。

3.3信息完整性

电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

3.4信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。

在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。

3电子商务安全系统

网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。

所以就整个电子商务安全系统而言,安全性可以划分为四个层次,

1)网络节点的安全

2)通讯的安全性

3)应用程序的安全性

4)用户的认证管理

其中2、3、4是通过操作系统和Web服务器软件实现,而网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。

3.1网络节点的安全

防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。

防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。

3.2通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

3.3应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。

3.4用户的认证管理

1)身份认证

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。

2)CA证书

要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。

3)安全套接层SSL协议

安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,CertificateAuthority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。

SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Http、Ftp、Telnet等)以保证应用层数据传输的安全性。

SSL协议握手流程由两个阶段组成:服务器认证和用户认证。

①服务器认证

客户端向服务器发送一个“Hello”信息,以便开始一个新的会话连接;服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。

②用户认证

经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。SSL协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web服务器内置,便于在电子交易中应用。但SSL是一个面向连接的协议,起初并不是为了支持电子商务而设计的,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议不能协调各方面的安全传输和信任关系。为此,开发出了在网络应用层中专为电子商务而设计的SET协议。

4安全管理

为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。

建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。

篇6

关键词:电子商务安全策略信息安全认证

电子商务是在Internet开放的网络环境下,实现消费者的网上购物、企业之间的网上交易和在线电子支付的一种新型的交易方式。由于电子商务具有高效益、低成本、高效率、范围全球性等特点很快遍及全世界。电子商务已成为全球经济最具活力的增长点,它的应用和推广将给社会和经济发展带来巨大的变革和收益。然而,目前全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的一小部分。究其原因,电子商务是一个复杂的系统工程,它的实施还依赖于相应的社会问题和技术问题的逐步解决与完善。其中,电子商务的安全是制约电子商务发展的一个关键问题。

一、电子商务的安全性需求

有效性:电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。因此,要对网络过障、操作错误、应用程序错误等所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。

1.机密性:电子商务作为贸易的一种手段,其信息直接代表着个人、企业或者国家的商业机密。因此,能否维护好商业机密成为了电子商务全面推广应用的前提条件。电子商务系统应能够对公众网络上传输的信息进行加密处理,防止交易中信息被非法截获或读取。

2.完整性:电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、同意问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,在数据传输过程中信息丢失、信息重复或者信息传送的次序差异也会导致贸易各方信息不同。贸易各方信息的完整性将影响贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息丢失和重复,并保证信息传送次序的统一。

3.可靠性:由于网上通信双方互不见面,所以在交易前必须首先确认对方的真实身份;支付时还要确认对方帐号等信息是否真实有效。电子商务系统应提供通信双方进行身份鉴别的机制,确保交易双方身份信息的可靠和合法。应实现系统对用户身份的有效确认,对私有密钥和口令的有效保护,对非法攻击能够防范,防止假冒身份在网上进行交易。

4.法律性:电子商务系统应有效防止商业欺诈行为的发生。最新《合同法》已确认双方同意电子贸易的电子档案为有效书面合同,为产生贸易纠纷双方提供法律凭证。网上交易的各方在进行数据传输时必须携有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证,以保证商业信任和行为的不可否认性,保证交易各方对已做的交易无法抵赖,为法律举证提高有效数据。

审查能力:根据机密性和完整性的要求,应对数据审查的结果进行记录。

二、电子商务面临的安全威胁

1.信息在网络的传输中被截获:攻击者可能通过互联网、公共电话网或在电磁波辐射范围内安装装置等方式,截获机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,获取有用信息,如消费者的账号、密码等。

2.传输的文件可能被篡改:改变信息流的次序,更改信息的内容,如购买商品的出货地址;删除某个信息或信息的某些部分;在信息中插入一些信息,让收方读不懂或接受错误的信息。

3.伪造电子邮件:虚开网站和商店,给用户发电子邮件,收定货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;伪造用户,发大量的电子邮件,窃取商家的商品信息和用户等信息。

4.假冒他人身份:冒充他人身份,如冒充领导命令、调阅文件;冒充他人消费、栽赃;冒充网络控制程序,套取或修改使用权限、密钥等信息。

5.否认已经做过的交易:者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差,但不承认原有的交易。三、电子商务活动的安全保证

为了满足电子商务在安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全控制技术保证整个电子商务过程的安全与完整,并实现交易的防抵赖性等。具体实现有以下几种技术。

1.加密技术是电子商务的最基本的安全措施。在目前技术条件下,加密技术通常分为对称加密和非对称加密两类。

(1)对称密钥加密:采用相同的加密算法,并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密机密信息,并随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。目前常用的对称加密算法有DES、PCR、IDEA、3DES等。其DES使用最普遍,被ISO采用作为数据加密的标准。

(2)非对称密钥加密:非对称加密不同于对称加密,其密钥被分解为公开密钥和私有密钥。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的者,私有密钥则保存在密钥方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的者,而者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法有RSA算法。该算法已被ISO/TC的数据加密技术分委员会SC20推荐为非对称密钥数据加密标准。

在对称和非对称两类加密方法中,对称加密的突出特点是加密速度快(通常比非对称加密快10倍以上)、效率高,被广泛用于大量数据的加密。但该方法的致命缺点是密钥的传输与交换也面临着安全问题,密钥易被截获,而且,若和大量用户通信,难以安全管理大量的密钥,因此大范围应用存在一定问题。而非对称密钥则相反,很好地解决了对称加密中密钥数量过多难管理及费用高的不足,也无需担心传输中私有密钥的泄露,保密性能优于对称加密技术。但非对称加密算法复杂,加密速度不很理想。目前.电子商务实际运用中常常是两者结合使用。

2.防火墙技术是确保基础设施完整性一种常用方法。它通过在网络边界上建立起来的相应网络通信监控系统来隔离内部和外部网络,控制进/出两个方向的通信流。它制定一系列规则来准许或拒绝不同类型的通信,并执行所做的路由决策,以阻挡外部的侵入。目前,防火墙技术主要有分组过滤和服务两种类型。

(1)分组过滤:这是一种基于路由器的防火墙。它是在网间的路由器按网络安全策略设置一张访问表或黑名单,即借助数据分组中的49地址确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过。防火墙的职责就是根据防问表(或黑名单)对进出路由器的分组进行检查和过滤,凡符合要求的放行,不符合的拒之门外。这种防火墙简单易行,但不能完全有效地防范非法攻击。

篇7

电子商务面临的安全风险

电子商务的优势是明显的,但电子商务安全性问题却日益突出。

任何在Internet上开展业务的机构都必须采取积极的步骤,确保系统有足够的安全措施防止机密信息泄露和非法侵入所造成的损失。但Internet本身就是基于开放思想设计并逐步发展起来的。要想在Internet上实现绝对安全是困难的。Internet上实现电子商务面临的风险主要来自机密关键数据安全及电子交易安全两方面,具体到技术细节包含以下四个方面。

(1)数据的私有性和安全性。如果不采用特别的保护措施,包括电子邮件等在Internet中开放传输的数据都可能被第三者监视和阅读。考虑到巨大的传输量和难以计数的传输途径,想任意窃听一组数据传输是不可能,但是一些设置在Web服务器的黑客程序却可以查找和收集特定类型的数据。这些数据包括信用卡、存款的帐号和相应的口令。同时因为Internet的开放性设计,数据私有性和安全性还包括数据传输之外的问题,例如连入Internet的数据存储网络驱动器的安全性,所以任何存储在Web服务器上的数据必须采取保护措施。

(2)数据的完整性。由于Internet的开放体系,如果具备了特定的知识和工具完全可以更改传输中的数据。同时要采取适当的存取访问控制,以保证数据存取系统的安全。在电子商务中务必保存数据最初的格式和内容。

(3)认证电子商务的具体实现中,首先要确认当前的通讯、交易和存取要求是合法的。例如Internet中的计算机系统的身份是由其IP地址确认的。黑客通过IP欺骗,使用虚假的IP地址,从而达到隐瞒自己身份盗用他人身份的目的。在日常电子邮件的使用中可以很容易地发匿名邮件,或者使用不真实的邮件用户名。因此,在电子商务中必须建立严格的身份认证机制以确保参加交易各方的身份真实有效。

(4)不可否认性。不可否认主要包含数据的原始记录和发送记

录,确认数据已经完成发送和接收,防止接收用户更改原始记录,防止用户在已经收到数据以后否认收到数据,并拖延自己的下一步工作。为了保证交易过程的可操作性,必须采取可靠的方法确保交易过程的真实性,保证参加电子交易的各方承认交易过程的合法性。

在我们把银行的内部网络接入Internet以后,相应地增加了许多可以访问银行内部网络的节点。从理论上讲从世界各个地方都可以实现对银行内部网络的访问,这对银行计算机网络的数据和系统的安全性提出了更高的要求。这就需要我们采取严密的访问控制,禁止非法访问。电子商务中威胁计算机网络安全的因素有:破坏、更改或者盗窃数据;公开机密信息;计算机系统崩溃;公共形象(如主页)被污损等。造成这些损失的因素有:黑客,公司内部职员,电子商务软件中的Bug,商业间谍等。

电子商务面临的上述问题主要是由对系统的非法入侵造成的。首先是网络黑客,他们通过发现Web服务器、操作系统或者主页部件在配置方面的漏洞,攻击网络系统。其次是内部侵入,这主要是由企业IT部门的员工造成的,保护网络的物理安全(如主控机房)及严格的口令管理制度是防范该类问题的关键。还有恶意代码(如计算机病毒),它们在企业的传播会给电子商务系统造成严重的损失。另外值得关注的是计算机系统本身的问题,例如由于电源造成的系统宕机,以及广域网络的通讯,这些都会直接造成服务的突然中止,影响电子商务的形象。我们还应关注系统管理方面的问题,有时电子商务出现的问题既非黑客也非系统本身的毛病,而是源于对敏感数据处理不善或者是安全系统(如防火墙)的不正确配置。用户的身份认证是计算机系统安全的基础工作,数字签名加密等技术在这里可以充分起到作用。

保障电子商务系统安全的对策

(1)用户识别文件和口令。许多互联网研究机构都将私有性和保密性列为电子商务的首要问题。用户识别文件和口令在Internet之前的大型主机时代,就已经是安全的有效实现方法。在电子商务中,可以采用限制错误登录的次数、跟踪错误访问的办法,保护用户识别文件和口令的安全。

(2)数据加密。开放的Internet本身并不提供安全的传输路径,所以在电子商务中必须采用数据加密,保证帐户和交易数据的安全。超文本安全传输协议S-HTTP和安全套接层协议SSL是在Web端与浏览器端实现加密的应用技术,这两种技术使得数据对于没有密钥的人是毫无用处的,并且易于在商业领域应用。

(3)认证授权和数字认证CA是认证授权中心(CertficateAuthority)的简称,它和数字认证(DigitalCertificate)一起在电子商务的身份认证、不可否认性、数据私有加密钥管理方面起着主要的作用。CA是交易双方都信任的第三方机构,由它来证明参加交易各方的身份。在交易过程中CA将自己的数字签名附在所有的传送消息和公共密钥上。数字认证指的是附有CA签名的消息。参加交易方都必须信任CA,CA在交易前确认所有各方的身份,可见CA的主要任务在于管理而不是技术。CA在电子商务中,起着法律仲裁的作用,其工作相当于确定用户的数字签名能否得到法律的认可。但是只有在CA拥有了仲裁权以后,这种认证才有法律效应。在电子商务的发展过程中,CA的重要作用正在日益显现。

认证中心与加密技术相结合产生了一种完全适合电子商务的加密技术安全电子交易SET。安全套接层SSL加密方法仅仅是实现了传输加密和数据完整性,相当于在两台计算机之间建立一个安全的通道。而电子商务的要求则更高一点。例如用户通过与商家连网,进行支付和交易时,商家不应该知道用户的帐户等信息,显然SSL协议不能防止商家的欺诈。另外SSL协议也不保证交易各方身份的真实性和不可否认性。SET的架构是通过几个成员所共同组成的,各个成员可以很好地模拟实际电子商务操作的角色,这些成员分别是电子钱包(ElectronicWallet)、商户服务器(MerchantServer)、支付网关(PaymentGateway)和认证中心(CertificationAuthority)。

SET通过认证中心和认证签名确认交易各方的真实身份,利用数字签名保证交易的不可否认性。SET的技术特点还有:①对订单信息和支付信息进行双重签名,这样商家只能得到订单信息,银行只知道支付信息;②采用信息摘要技术保证了交易的完整性;③采用公钥体系和密钥体系结合进行加密,而SSL只采用了公钥体系。

SET已经成为国际公认的Internet电子商务的安全标准,非常详细地反映了电子交易各方之间存在的各种关系。目前,一些厂商有专门的软件产品与SET的各个角色相对应。

(4)虚拟专用网(VPN)虚拟专用网是利用Internet公用网络,通过隧道协议和安全方法传输企业专用数据的技术。虚拟专用网在传送数据前将其加密,在接收端进行解密,它的特点是不仅加密数据,而且加密接收双方的网络地址。同时VPN的用户验证方法也提供了更高一级的远程访问安全性。

篇8

在IEEE802.11标准中,一方面规定了WEP(有线对等保密)加密内容,一方面还定义了MAC层的存取控制规范。为了保证通信安全,防止侵入无线网络,还有相关的非法用户窃听问题,采用加密算法为RCA算法,对于网络MAC层的节点间无线传输的数据进行加密处理。加密和解密传输数据在WEP中则是利用共享密钥来进行。对于节点发送加密数据过程进行分析如下。种子则是由共享密钥和初始向量Ⅳ串接而成的。然后,伪随机数发生器(WEPPRNG)能够接受产生的种子,同时,还能使得密钥序列产生。而密文的得到则是通过异或运算原文和密钥序列所得。完整检查码(IntegrityCheckValue,ICV)则是通过完整性算法(Integrityalgorithm)处原文所得。最后,把生成的密文、初始向量及完整检查码这三项都送到接受节点。伪随机数发生器的种子是在接收节点收到信息过程中,由初始向量与共享密钥串接而生成。然后,密钥序列则是在伪随机数发生器处理后得到。原文是在生成的此序列与密文之间进行相关的XOR运算得到。接收节点重新计算ICV,则是为了验证是否篡改过在此传送过程中的数据。当发现不匹配接收节点计算的ICV与原ICV的问题,则应该让接收节点拒绝该帧。安全隐患在这种安全机制下依然存在,比如,RCA算法本身存在一定缺陷,大用户量访问时共享密钥的管理问题,密钥强度还有待于进一步检验等等,这些问题都需要在无线局域网中进行防范。

2、移动电子商务安全性的技术解决思考

我们对于移动电子商务安全性的技术解决,在参考IEEE802.11和WAP协议的分析的基础上,从操作层面、管理层面、安全技术层面进行移动电子商务的数据安全分析。

(1)基础配置

其中,最为基本的安全防范手段就是通过使用无线AP的配置软件,让默认的WEP密钥和默认的SSID都进行改变设置。然后,为了提高防病毒木马攻击的能力,还应该进行防火墙的安装处理。对于信任的MAC地址,通过使用MAC地址过滤的技术方法来实现无线接入点这个功能。WTLS3级、个人证书再加上USB证书方式则是WAP无线接入的最好方式。为了更好严格控制不信任的证书,应该采用证书黑名单的ACL列表技术。

(2)密钥和身份的管理

提高密钥强度可以通过强化密钥管理和分发来实现。采用标准化密钥交换和密钥分发机制。对于802.11的密钥分况来看,一般可以采用相关的SSL、Kerberos、RADIUS、IPSEC等协议。能采用128位的初始向量(IV),还有相关的128位偏移码本方式(OCB)数据认证标记等等。

(3)使用操作的安全意识

网络安全操作以及公网防范工作应该不断加强。为了更好保护企业内部的主机,应该利用成熟技术,进行相关的入侵侦测、防火墙和弱点扫描等工作。不合法网站的浏览应该进行屏蔽,日志应该清晰记录操作行为,以及相应的轨迹跟踪问题。

3、结束语

篇9

关键词:电子商务;IEEE802.11;HomeRF;蓝牙

中图分类号:TP393 文献标识码:A 文章编号:1005-6432(2008)41-0042-02

随着电子商务在网络上的飞速发展,无线局域网逐渐发展壮大起来。安全性将是在无线局域网中被考虑的一个重要的部分,全面了解无线局域网的安全机制之前,首先应该正确地认识到无线局域网可能存在的安全问题。

一、无线局域网概念

无线局域网(Wireless Local-area Network,WLAN)是计算机网络与无线通信技术相结合的产物。利用红外线、微波等无线技术进行信息的传递,无线局域网可以从广义和狭义上进行定义:GSM/GPRS和CDMA,定义了多种类型的无线局域网,涉及多种标准,但大致可分为两大发展方向:以高速传输应用发展为主(IEEE802.11a、IEEE802.11b和IEEE802.11g等);以低速短距离的应用为主(Bluetooth、HomeRF和HiperLAN等),从发展趋势来看,IEEE802.11协议系列大有一统无线局域网协议标准之势。从狭义上讲,无线局域网(WLAN)一般指的是遵循IEEE802.11系列协议的无线局域技术的网络。

二、IEEE802.11无线局域网安全综述

在了解无线局域网的安全机制之前,应该考虑到无线局域网可能存在的安全漏洞。某个网络用户(即黑客)能够通过偷听(被动攻击)、非法登录、链接、侦测和配置网络(主动攻击)、人为干扰等方式破坏无线局域 网。

非法登录是通过一个无线基站连接到一个无线局域网上,某个用户可能更深入地穿透或进入一个网络,为了获取对于服务器的访问以得到有价值的数据,为了恶意的目的使用公司的Internet访问,甚至改变网络的界面配置,从而改变无线局域网自身,这是一种主动攻击。方式如下图所示:

干扰攻击则并不是为了网络中的数据而来,可能只是为了使我们的无线局域网瘫痪。某个用户利用压制性的微波信号(不明的高功率发射物)对原来信号产生影响,并且信号发生设备可能是可移除的或是不可移除的。若这个信号来源是无目的的,我们称之为干扰源;而如果它是有目的地破坏和影响当前网络,我们则称之为干扰攻击。

无线局域网由于媒介的不同,在自由空间中进行传输,是相对开放的,所以对于网络的访问就少了一层障碍,无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取。所以在无线局域网被广泛采用之前,最需要解决的就是网络安全问题。网络的完全性是IT专业人士、业务管理者、承担无线基础设施安全责任的相关人员所必须关注的。

三、结束语

无论是在有线局域网还是无线局域网实施电子商务,在组网之前应该首先考虑到网络的安全问题,使用恰当的安全机制,配备响应的网络管理员,有效防止网络安全漏洞。建立一个有线、无线网络安全框架是整个业界的目标。安全问题对于公共无线局域网的重要性要远超过专用网络。

作者单位:张奇华北电力大学

杨宁侠邹智凯河北软件职业技术学院

篇10

论文摘要:本文针对电子商务安全的要求,分析了电子商务中常用的安全技术,并阐述了数据加密技术、认证技术和电子商务的安全交易标准在电子商务安全中的应用。

所谓电子商务(Electronic Commerce) 是利用计算机技术、网络技术和远程通信技术, 实现整个商务(买卖)过程中的电子化、数字化和网络化。目前,因特网上影响交易最大的阻力就是交易安全问题, 据最新的中国互联网发展统计报告显示, 在被调查的人群中只有2.8%的人对网络的安全性是感到很满意的, 因此,电子商务的发展必须重视安全问题。

一、电子商务安全的要求

1、信息的保密性:指信息在存储、传输和处理过程中,不被他人窃取。

2、信息的完整性:指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,保持与原发送信息的一致性。

3、 信息的不可否认性:指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。

4、 交易者身份的真实性:指交易双方的身份是真实的,不是假冒的。

5、 系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性。

在电子商务所需的几种安全性要求中,以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到以下多种安全技术的应用。

二、数据加密技术

将明文数据进行某种变换,使其成为不可理解的形式,这个过程就是加密,这种不可理解的形式称为密文。解密是加密的逆过程,即将密文还原成明文。

(一)对称密钥加密与DES算法

对称加密算法是指文件加密和解密使用一个相同秘密密钥,也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快,因此被广泛应用于对大量数据的加密过程。

最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。

(二)非对称密钥加密与RSA算法

为了克服对称加密技术存在的密钥管理和分发上的问题,1976年产生了密钥管理更为简化的非对称密钥密码体系,也称公钥密码体系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位发明者(Rivest、Shamir、Adleman)姓名的第一个字母组合而成的。

在实践中,为了保证电子商务系统的安全、可靠以及使用效率,一般可以采用由RSA和DES相结合实现的综合保密系统。

三、认证技术

认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份,后者用于保证通信双方的不可抵赖性以及信息的完整性

(一)身份认证

用户身份认证三种常用基本方式

1、口令方式

这种身份认证方法操作十分简单,但最不安全,因为其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,不能抵御口令猜测攻击,整个系统的安全容易受到威胁。

2、标记方式

访问系统资源时,用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别,访问系统资源。

3、人体生物学特征方式

某些人体生物学特征,如指纹、声音、DNA图案、视网膜扫描图案等等,这种方案一般造价较高,适用于保密程度很高的场合。

加密技术解决信息的保密性问题,对于信息的完整性则可以用信息认证方面的技术加以解决。在某些情况下,信息认证显得比信息保密更为重要。

(二)数字摘要

数字摘要,也称为安全Hash编码法,简称SHA或MD5 ,是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法,其加密结果是不能解密的。类似于人类的“指纹”,因此我们把这一串摘要而成的密文称之为数字指纹,可以通过数字指纹鉴别其明文的真伪。

(三)数字签名

数字签名建立在公钥加密体制基础上,是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来,形成了实用的数字签名技术。

它的作用:确认当事人的身份,起到了签名或盖章的作用;能够鉴别信息自签发后到收到为止是否被篡改。

(四)数字时间戳

在电子交易中,时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用,是由DTS服务机构提供的电子商务安全服务项目,专门用于证明信息的发送时间。包括三个部分:需加时间戳的文件的数字摘要;DTS机构收到文件摘要的日期和时间; DTS机构的数字签名。

(五)认证中心

认证中心:(Certificate Authority,简称CA),也称之为电子商务认证中心,是承担网上安全电子交易认证服务,能签发数字证书,确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构,主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设(PKI)。

我国现有的安全认证体系(CA)在金融CA方面,根证书由中国人民银行管理,根认证管理一般是脱机管理;品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面,最初主要由中国电信负责建设。

(六)数字证书

数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发。

以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。

四、电子商务的安全交易标准

(一)安全套接层协议

SSL (secure sockets layer)是由Netscape Communication公司是由设计开发的,其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性,从而实现浏览器和服务器(通常是Web服务器)之间的安全通信。

目前Microsoft和Netscape的浏览器都支持SSL,很多Web服务器也支持SSL。SSL是一种利用公共密钥技术的工业标准,已经广泛用于Internet。

(二)安全电子交易协议

SET (Secure Electronic Transaction)它是由VISA和MasterCard两大信用卡公司发起,会同IBM、Microsoft等信息产业巨头于1997年6月正式制定的用于因特网事务处理的一种标准。采用DES、RC4等对称加密体制加密要传输的信息,并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性,目前已经被广为认可而成了事实上的国际通用的网上支付标准,其交易形态将成为未来电子商务的规范。

五、总结

网络应用以安全为本,只有充分掌握有关电子商务的技术,才能使电子商务更好的为我们服务。然而,如何利用这些技术仍是今后一段时间内需要深入研究的课题。

参考文献: