《浅析汽车电子商务的安全技术》由会员分享,可在线阅读,更多相关《浅析汽车电子商务的安全技术(6页珍藏版)》请在金锄头文库上搜索。
1、汽车电子商务课程大论文- 1 -浅析电子商务的安全技术摘要:安全问题是电子商务发展中最为突出的问题。本文主要分析了电子商务的现状及所面临的各种安全威胁和产生这些威胁的各种因素,围绕电子商务的安全目标,以及对信息安全的要求,给出了电子商务安全的实现技术和一些常用的加密技术,对现在所面临的信息安全具有深远的意义。Abstract:Safety is the most salient problem in the development of the e-commerce . This article mainly analyses the present situation and the e-c
2、ommerce faced all kinds of security threats and what kinds of factors make these threats, around e-commerce security objectives, as well as on information security requirements, given the e-commerce security technology and some common encryption technology,which is significance to the information se
3、curity we are facing now.关键词:电子商务; 数字签名;因素;技术分类; CA 证书key words:e-ecommerce ;digital signature ;factor ;technical classification ;CA certificate.引言近年来,随着互联网的飞速发展,电子商务( Elect ronicCommerce) 也在迅速崛起。电子商务这一新的商业形式彻底改变了传统的交易方式,也随之打破了以前的工作经营模式。电子商务是实现消费者网上购物、商户之间网上交易和在线电子支付的一种新型的商业运营模式。它通过网络使企业获得一次近乎平等的竞争机
4、会,并且也从各个细微的领域影响着全国乃至世界的经济发展趋势。就在电子商务为我们带来极大便利的同时,网上交易的安全问题也日益显现出来。我们大家都知道,电子商务的一个重要技术特征就是利用 Internet 来传输和处理商业信息,因此,IT 技术本身的一些缺陷和弊端便不可避免地会带入到电子商务的领域,使得网上交易面临了种种威胁,主要体现在四个方面:窃听、篡改、假冒和抵赖。如何保障电子商务过程的顺利进行,是目前亟待解决的问题。一、电子商务信息安全的现状当前,电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志信息安全杂志披露,从事电子商务的企业比一般企业承担着更大的信息风险。汽车电子商务课程大
5、论文- 2 -其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的可能性高出 9%,被非法入侵的频率高出 10%,而被诈骗的可能性更是比一般企业高出 2.2 倍。调查显示,近年来,我国发生的通过网络进行的电子商务金融犯罪多达 200 起,造成上亿元的经济损失。中国网民对网上交易的最大担心莫过于支付信息的安全问题,超过八成的网民对网上交易的安全性表示担忧。信息安全问题成为困扰网上交易的一大难题。目前,我国的信息安全研究已经历了通信保密、计算机数据保护两个发展阶段,现正处于网络信息安全研究阶段。通过学习、吸收、消化等手段,已逐步掌握了部分网络安全和电子商务安全技术,进行了安全操作系统、多级安全
6、数据库的研制探索,但由于没有掌握系统核心技术,使得要开发出有自主知识产权的信息产品困难重重,而基于国外具体产品开发出的安全系统则难以完全杜绝安全漏洞或“后门” 。在借鉴国外先进技术的基础上,国内一些企业也研制开发出一些安全产品,如防火墙、黑客入侵检测系统、电子商务安全交易系统、安全路由器等。但这些产品安全技术的规范性、完善性、实用性还存在许多不足,理论基础和自主的技术手段需要发展和强化。此外,国内不少电子商务企业对网络信息安全意识不强。无论在建网立项、规划设计上,还是在网络运行管理和使用中,更多的是考虑效益、方便、快捷,而把安全、保密、抗攻击放在了次要地位,出现了诸如对网络实用性要求多,对系统
7、安全性论证少;对网络设备投资多,对安全设施投入少;在操作技能培训上用时多,在安全防范知识的普及与提高上用时少的短期行为。二、电子商务安全产生的因素1.电子商务安全产生的因素主要体现在以下五个方面:1.1 计算机操作系统的脆弱性计算机存在超级用户,如果入侵者得到了超级用户口令,整个系统将完全受控于入侵者。另外,操作系统还可以创建进程,即使在网络的节点上同样可以进行远程进程的创建与激活,并且被创建的进程具有继续创建过程的权力。其次,网络操作系统提供的远程过程调用(RPC) 服务常常被黑客利用。1.2 协议安全的脆弱性计算机网络系统使用的 TCP/IP 协议以及 FTP、E-mail 等都包含着许多
8、影响网络汽车电子商务课程大论文- 3 -安全的因素,存在许多漏洞。1.3 防火墙的局限性防火墙不能防止网络内部用户对网络的攻击,不能防止数据驱动式的攻击,不能防止绕过防火墙的攻击,不能保证数据的的私密性,也不能保证网络不受病毒的攻击。1.4 浏览器的安全漏洞Internet Explorer 是网民用得最多的一种浏览器,它有缓冲区溢出等漏洞。1.5 人为的因素金钱的驱动和好奇心的驱使是电子商务安全产生的根源,也是电子商务安全产生的主要因素,其次是缺少高素质的网络管理员,缺少网络安全管理的技术规范,缺少定期的安全测试与检查等措施也是电子商务安全产生的因素。三、电子商务对信息安全的需求1.机密性。
9、电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。 2.完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序
10、的统一。 3.可靠性。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字” 。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已不可能,因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。 4.有效性。电子商务以电子形式取代了纸张,那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。 四、 电子商务的安全技术的讨论汽车电子商务课程大论文- 4 -1.数据加密技术1.1 面向网络的加密技术通常工作在网络层或传输层,使用经过加
11、密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。1.2 面向网络应用服务的加密技术是目前较为流行的加密技术的使用方法,例如使用 kerberos 服务的telnet、nfs、rlogion 等,以及用作电子邮件加密的 pem(privacy enhanced mail)和 pgp(pretty good privacy) 。这一类加密技术的优点在于实现相对较为简单,不需要对电子信息
12、(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。2.常用的加密技术分类:2.1 对称密钥密码算法对称(传统)密码体制是从传统的简单换位代替密码发展而来的,自 1977 年美国颁布 des 密码算法作为美国数据加密标准以来,对称密钥密码体制得到了迅猛发展,得到了世界各国关注和使用。对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类。2.2 不对称型加密算法也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,只有二者配合使用才能完成加密和解密的全过程。由于不对称算法拥有二个密钥,因此它特别适用于分布式系统中的数据加密,在 Internet 中得到了
13、广泛应用。其中公用密钥在网上公布,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的收信方妥善保管。2.3 不可逆加密算法其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题,适合于分布式网络系统上使用,但是其加密计算工作量大,汽车电子商务课程大论文- 5 -所以通常用于数据量有限的情形的加密,例如计算机系统中的口令的加密。3.电子商务领域常用的加密技术3.1 数字摘要(digital digest)这一加密方法亦称安全 Hash 编码法,由 Ron Rivest 所设计。该编
14、码法采用单向 Hash 函数将需加密的明文“摘要”成一串 128bit 的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“真身”的“指纹”了。3.2 数字签名(digital signature)数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。3.3 数字时间戳(digital time-
15、stamp)交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp) 是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest),2)DTS 收到文件的日期和时间,3)DTS 的数字签名。数字证书(digital certificate,digital ID)3.4 数字证书又称数字凭证,是
16、用电子手段来证实用户的身份和对网络资源的访问的权限。数字凭证有三种类型:个人凭证(Personal Digital ID) 企业(服务器)凭证(Server ID)软件(开发者)凭证(Developer ID) 上述三类凭证中前二类是常用的凭证,第三类则用于较特殊的场合,大部分认证中汽车电子商务课程大论文- 6 -心提供前两类凭证。五、总结电子商务在提供机遇和便利的同时,也面临着网络安全与信息安全的挑战,电子商务必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,还应具备强大的加密保证、使用者和数据的识别和鉴别、存储和加密数据的保密、联网交易和支付的可靠、方便的密钥管理、数据的完整和防止抵赖等功能。参考文献:1张润彤,电子商务概论M.电子工业出版社,20032肖德琴,祁明,彭丽芳. 电子商务安全保密技术与应用M . 华南理工大学出版社,20053李新,吕建,曹春等. 移动 Agent 系统的安全性研究J .软件学报,2002 , (13) 4管有庆,王晓军,董小
