我国电子商务安全及解决方案分析

作者:admin  发表时间:2017-11-02  浏览:48  海淘人物

【摘要】电子商务安全是电子商务活动的基础和关键。文章从电子商务所面临的安全威胁入手,提出了开展电子商务活动必须满足的安全需求,最后探讨了电子商务安全解决方案及其实现技术。 随着网络通信技术的迅猛发展和Internet的不断普及,电子商务作为一种新型的商务模式,在全球范围内正以惊人的速度迅猛发展。然而由于它是基于Internet开展的商务活动,大量重要的信息都需要在互联网上进行传递,尤其还涉及到资金的流动,必然要求传递信息的过程足够安全。因此如何保障交易过程和传递信息的安全性就成为影响电子商务发展的一个至关重要的问题,也是技术难点。  一、电子商务的安全威胁  电子商务是基于网络信息传输的,依靠从信息终端之间信息的传递完成商务交易。与传统商务的面对面交易不同,电子商务的安全就是要确保这些信息的传递是稳定的、完整的、可靠的、保密的,是反映信息发送者的真实意愿的。而威胁互联网安全的因素很多。  1.截获  攻击者获取了对资源的访问权,这是对机密性的攻击。例如,在网络上搭线或安装电磁波截获装置以获取银行账号、用户密码等有用数据。  2.篡改  攻击者不仅获得了访问权而且篡改了某些资源,这是对完整性的攻击。例如,修改资金额度、货物数量、商品价格等交易信息。  3.伪造  攻击者将伪造的对象插入系统,这是对真实性的攻击。例如,冒充合法用户进行交易,给合法用户造成损失。  4.否认或抵赖  商家或用户否认自己曾经发送或接收到信息,这是对不可抵赖性的攻击。例如,合法用户可能会赖账,商家也有可能因为商品价格差而不承认原有交易。  二、电子商务的安全需求  在电子商务面临上述安全隐患的情况下,要在因特网中建立并维持一个令人可以信任的环境和机制,也为了保障交易各方的合法权益,需要满足以下几个方面的安全需求。  1.信息的机密性  信息的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。机密性可用加密和信息隐匿技术实现,使截获者不能解读加密信息的内容。机密性的另一方面是保护通信流特性以防止被分析。  2.信息的完整性  信息的完整性或称正确性是保护数据不被伪授权者修改、建立、嵌入、删除、重复传送或由于其他的原因使原始数据被更改。在存储时,要防止非法篡改,防止网站上的信息被破坏。在传输过程中,如果接收方收到的信息与发送方的信息完全一样则说明在传输过程中信息没有遭到破坏,具有完整性。针对信息的完整性,目前的主要措施是通过散列算法(也称消息摘要算法)来检查信息的完整性。  3.商务对象的认证性  商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份,保证身份的正确性。分辨参与者声称身份的真伪,防止伪装攻击。认证性采用由认证中心向各交易主体发放数字证书并进行验证。  4.信息的不可抵赖性  信息的不可抵赖性是指信息的发送方不能否认已发送的信息,信息的接受方不能否认已收到的信息。这是一种法律有效性要求。交易一旦达成是不能被否认的。否则必然会损害一方的利益。目前的主要措施是采用数字签名技术。  三、电子商务安全技术  1.加密技术  加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法,将明文转换成难以识别和理解的密文并进行传输,从而确保数据的机密。主要有对称加密技术、非对称加密技术和数字信封技术。  (1)对称加密技术  对称加密技术,即信息的发送方和接收方用一个密钥去加密和解密数据,也就是说加密和解密用同一个密钥。它要求发送方、接收方在安全通信之前,商定一个密钥,对称密钥算法的安全性依赖于密钥,泄露密钥就意味着任何人都能对消息进行加、解密。只要通信需要保密,密钥就必须保密。它的最大优势是加、解密速度快,便于用硬件实现、适合于对大数据量进行加密等,但密钥管理困难。  (2)非对称加密技术  非对称加密技术就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”。“公钥”和“私钥”不能由一个推出另一个,但是“公钥”加密的信息只能由“私钥”解密,反之亦然。非对称密钥机制灵活,但加密和解密速度比对称密钥加密慢得多,所以它不适合于对文件进行加密,而只适用于对少量数据进行加密。  (3)数字信封技术  鉴于对称加密技术和非对称加密技术各自的特点,在实际应用中将两种加密技术结合使用,从而获得对称加密技术的高效性和非对称加密技术的灵活性。这种把对称加密技术和非对称加密技术结合使用的技术称数字信封技术。  2.数字签名技术  数字签名技术主要解决电子商务中信息的不可抵赖性问题。其工作原理是:将报文按双方约定的HASH算法计算,得到一个固定位数的HASH值,在数学上保证只要改动报文的任何一位,重新计算出的HASH值就会与原值不符。然后把该HASH值用发送者的私钥加密,然后将该密文同原报文一起发送给接收者,产生的报文即数字签名。接收方收到数字签名后,用同样的HASH算法对报文计算HASH值,然后与用发送者的公钥进行解密解开的HASH值进行比较,如相等则说明报文确实来自发送者从而保证了数据的真实性。通过数字签名还能够实现对原信息的鉴别,从而保证信息在传输过程中的信息完整性和信息发送方的不可抵赖性。  3.认证技术  对数字签名和公开密钥加密技术来说,都会面临公钥的分发问题。这就要求管理公钥的系统必须是值得信赖的,数字证书就是解决这一问题的有效方法。它通常是一个签名文档,标记特定对象的公开密钥。由认证中心CA签发,CA通常是一个服务性机构,主要任务是受理数字证书的申请、签发和管理数字证书,是一个普遍可信的第三方。当通信双方都信任同一个CA时,两者就可以相互得到对方的公钥从而能进行秘密通信、数字签名和认证。  4.数字时间戳技术  在电子商务交易中,时间是十分重要的信息。数字时间戳服务DTS就是为电子文件的时间信息进行安全保护的网上安全服务项目。时间戳是经过加密后形成的文档,它包括三部分内容:①需加时间戳的文件的摘要;②DTS收到文件的日期和时间;③DTS的数字签名。  5.与电子商务安全有关的协议技术  (1)SSL-安全套接层协议  SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和加密密钥的用于浏览器和Web服务器之间的安全连接技术。它在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议以保证应用层数据传输的安全性。SSL协议独立于应用层协议,且被大部分的浏览器和Web服务器所内置,便于在电子交易中应用,因此,在电子交易中被用来安全传送信用卡号码。国际著名的CyberCash信用卡支付系统就支持这种简单加密模式,IBM等公司也提供了这种简单加密模式的支付系统。  但SSL协议它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。因此,为了实现更加完善的电子交易,制订发布了SET协议。  (2)SET-安全电子交易协议  SET协议是目前唯一保证信用卡信息能安全可靠地通过因特网传输的新协议。它为在Internet上进行安全的电子商务活动提供了一个开放的标准,为Internet上支付交易提供高层的安全和反欺诈保证。SET协议为基于信用卡进行电子交易的应用提供了安全措施,保证了电子交易的机密性、数据完整性、身份的合法性和抗否认性。SET是专门为电子商务而设计的协议,它在很多方面优于SSL协议,但仍不能解决电子商务所遇到的全部问题。  四、结束语  电子商务安全是电子商务活动的核心,我们要坚持引进和吸收的原则,组织各方面力量,研制和开发出具有自主知识产权的网络安全和电子商务安全产品,逐步掌握电子商务安全的核心技术,我国的电子商务安全现状一定会得到极大的改善,从而为我国电子商务的发展创建良好的安全环境。(编选:中国电子商务研究中心 勇全)   参考文献:  [1]陈建斌.电子商务与电子政务[M].北京:机械工业出版社,2008.  [2]杨爱民.电子商务安全现状及对策探讨[J].科技资讯,2006(6).  [3]张斌.电子商务中的信息安全[J].晋中师范高等专科学校学报,2003(2).
海客讨论(0条)

头像

0/300

微博发布

部分图片内容来自于网友投稿

1520.53ms