《电子商务安全相关知识》由会员分享,可在线阅读,更多相关《电子商务安全相关知识(10页珍藏版)》请在金锄头文库上搜索。
1、电子商务安全【摘要】随着网络技术和信息技术的飞速发展,电子商务得到了越来越广泛的应用,越来越 多的企业和个人用户依赖于电子商务的快捷高效。但电子商务是以计算机网络为基础载体 的,大董重要的身份信息、会计信息、交易信息都需要在网上进行传递,在这样的情况下, 安全性问题成为首要问題。本文首先论述电子商务安全,介绍电子商务安全的现状,分析电 子商务安全存在的主要问题,然后从网络安全技术、数据加密技术、用户认证技术等方面介 绍主要的电子安全技术从而更好的了解电子商务安全的现状及未来的发展趋势。【关键词】电子商务安全、安全技术Abstract with network technology and th
2、e rapid development of information technology, electronic commerce have been appl ied more and more, more and more enterprises and individual user depends on e-connnerce fast and efficient. But e-coninierce based on computer network of carrier, a lot of important identity information, accounting inf
3、ormation, transaction information needs in the Internet relay, in such a case, and the security, becomes the main problem This paper first discusses e-coniinerce security, introduce e-commerce security, the status quo and e-connnerce security, the main problems of then from network security technolo
4、gy, data encryption technology, user authentication technology introduced main aspects of electronic safety techniques, and better understanding of e-conmierce security situation and future development trendKey words e-conmierce security, safety technology一、引言随着Internet技术的迅速发展和深入应用,以Internet作为交易平台的电
5、子商务正逐 步得到人们的认同和接受。而电子商务是在国际化、社会化 开放化和个性化的Internet 环境中运作的,它的应用可能会出现金触欺诈,市场/竞争价格等秘密信息的泄霜,以及缺 乏可信性而导致的商机丢失等诸如此类的安全与信任问题。二电子商务安全概述及现状信息技术日新月异的发展,人类正在进入以网络为主的信息时代,越来越多的人通过 Internet进行商务活动,电子商务的前景十分诱人,但随之而来的安全问趣也变得越来越 突出。【案例】华硕官方遭黑客攻击 公司被迫关闭服务器2007-4*7Exploit Prevention Labs的首席技术官罗杰-汤姆森(Roger Thompson)透露5该
6、攻击 代码隐藏在主页的一个HTML元素中,并试图从另一台服务器上下载恶意代码。截止周五下 午,这台服务器已经停止工作,虽然黑客们还可转移攻击目标,不过此次攻击的危险性已经 下降。4月6日据外电报道 电脑零部件生产商华硕的遭到黑客攻击,黑客利用本周才修复的一 个Windows系统中的緊急漏洞,通过该的服务器发送恶意代码。Exploit Prevention Labs的首席技术官罗杰-汤姆森(Roger Thompson)透露,该攻击 代码隐藏在主页的一个HTML元素中,并试图从另一台服务器上下载恶意代码。截止周五下 午,这台服务器已经停止工作,虽然黑客们还可转移攻击目标,不过此次攻击的危险性已经
7、 下降。华硕的营销经理大卫-雷(David Ray)不能证实是否被黑,只称公司的看起来没有受到威 胁。此恶意代码之所以受到特别关注,是因为它利用了本周才修复的一个緊急的Windows 动画光标漏洞。瞄准该漏洞的恶意代码已经出现了一个多星期,在安装了补丁前如果用户访 问了华硕,可能会危及电脑的安全。Kaspersky Lab也证实了华硕被黑,同时证实被黑客利用的在周五都已关闭,黑客们无法下 载恶意代码。汤姆森认为,华硕的被黑显示出,即使是人们信赖的也可能存在安全隐患。他 表示,如果像华硕这样的大公司都能被黑并感染上病毒,其他可想而知。I案例告诉我们,网络的普及也带来了安全问趣的升级,而电子商务将
8、在虚拟的网络环境 下实施/因此电子商务活动的安全与否就成为影响其发展的重要因素。据权威调査表明,目前果类企业发展电子商务的最大顾虑也是网上交易的安全问题。Internet之所以能发展成为今天的全球性网络,主要是依赖于它的开放性。但是,这 种开放式的信息交换方式使网络安全具有很大的脆弱性,要保证电子商务的正常运作,就必 须高度重视安全问题。安全得不到保障,即使使用Internet再方便,电子商务也无法得到 广大用户的认可。因此如何建立一个安全便捷的电子商务应用环境,保证整个商务过程中 的信息安全性使基于Internet的电子商务交易方式与传统交易方式一样安全可靠,已经 成为电子商务应用中所关注的
9、重要技术问题。2三、电子商务安全体系和结构(一)电子商务安全体系安全电子商务系统通过Internet将商家、客户和银行三方连接起来,使用安全代理服务器 和CA认证系统等实现电子商务交易数据的性、完整性、不可抵赖性等安全功能。从技术甬 度上说,电子商务系统的安全就是保障计算机信息系统的安全。主要由以下三个部分组成:1、系统实体安全系统实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火 灾等环境事故的破坏。具体包括环境安全、设备安全媒体安全三个方面。其中环境安全是指对电子商务系统所在的环境进行保护,主要包括受灾防护和特定区域的 防护;设备安全是指对电子商务系统的设备进行安全保
10、护,主要包括防盗防毁、防止电确 信息泄霜、防止线路截获、炕电磁千扰和电磁保护等;媒体安全是指对媒体数据和媒体本身 实施保护,包括防止媒体被毁防止媒体数据被非法复制、意外事故破坏等等可能使媒体数 据丢失的行为。2、系统运行安全系统运行的安全是指保障电子商务系统功能的安全实现,提供一套安全措施保护信息处 理过程的安全。具体包括风险分析、审计跟踪、备份与恢复、应急措施等。3、信息安全信息安全是指防止信息财产被故意或偶然地非授权泄露、更改破坏,或使信息被非法 的系统辨识、控制,即信息安全就是要确保信息的完整性、性、可用性和可控性。信息安全体系具体包括操作系统的安全、数据库的安全网络问題、病亦防护安全、
11、访 问控制安全、加密鉴别等。(二)一个实用的安全电子商务系统必须有机集成现代计算码学、信息安全技术、网络安 全技术和电子商务安全支付技术等。密玛技木CUES密玛.RS丸密码.ECC密码等)安全操作裂乐安全数据库系纭 安全物理设备(安全网络设备、安全 计算机、安全通信通道等)电子商务安全的体系结构2安全协復(SSL拠处电子 邮件协谏等)公钥基础设施PKI (数字签名、数字信 封、数宇证书.CA人证等)由上图可知基于健全的计算机网络系统和如上所述的数据加密、认证以及网络安全技术, 在安全的支付机制和交易协议支持下,一个完整安全的电子商务系统就能够建立起来,并 可以安全地应用和服务于社会,造福人类。
12、四、电子商务安全技术电子商务基本的安全技术主要有加密技术认证技术安全电子交易协议、黑客防技术、 虚拟专网技术和反病毒技术。(一)加密技术所谓“加密”,简单地说就是,使用数学的方法将原始信息(明文)重新组织与变换成只 有授权用户才能解读的密码形式(密文),而“解密”就是将密文重新恢复成明文的过程。 可以说,加密技术是认证技术及其他许多安全技术的基础,也是信息安全的核心技术。信息加密技术主要是对传输中的信息进行加密,从而达到隐藏信息容,使非法用户无法荻 取真实信息的一种技术手段,其目的是确保数振的性。基于加密解密所使用的密钥是否相同,可分为对称加密和非对称加密两类。1、对称加密对称加密的加密密钥和
13、解密密钥相同,即在发送方和接收方进行安全通信前,商定的一个 密钥,用这个密钥对传输数据进行加密和解密。对称加密的突出特点是加密解密的速度快,效率高,适合对大量数据进行加密。缺点是密钥的传输和交换面临安全问趣,并且若和大量用户通信时,难以安全管理大董密钥。其中最常见的加密算法有:DES 3DES IDEA Blow仃sh等。下面以DES加密算法为例,介 绍其原理。DES加密算法图解 加解密过程如下:(1) 发送方用自己的私密密钥加密要发送的信息。(2) 加密后的信息通过网络传送给接收方。(3) 接收方用发送方的加密密钥对收到的加密信息解密得到信息明文。整个加密过程如图所示:发送方接收方对称加解密
14、系统word版木.2、非对称加密为了解决对称密码体制的密钥分配问题,以及满足对数字签名的需求,非对称密码应运 而生,也叫公钥加密体系。在这种密码体制下,人们把加密过程和解密过程设计成不同的途 径。非对称密码系统的出现成功的解决了对称密码系统中的密钥管理问题。通常都是用模型 来解释公钥密码系统的思想。代表公钥,毎个人都可以向其中投放信件。而只有的主人才有 的钥匙一四要 用来打开并取出信件。非对称密码加密体制有两种模型:一种是加密墨香,即采用接收方公钥加密数損,而用 接收方的私钥解密;另一种是骑证模型,即采用发送方的私钥加密,而用发送方的公钥解密。 两者原理相同,但用途不同。(1)接收方公钥加密,
15、接收方私钥解密的加密模型如图这种以接收方公钥加密原文,以接收方私钥来解密的非对称密码算法,可以实现多个用 户加密信息只能由一个用户解读,这就实现了通信。B的私钥B的公钥加密模型(2)发送方私钥加密,发送方解密的验证模型如图所示。这种以发送方私钥加密原文,发送方公钥解密的非对称密码算法,可以实现由一个用户 加密的信息,而由多个用户解读,这就是数字签名的原理。认证模型(二) 认证技术认证是防止主动攻击的重要技术,对于开放环境中的冬种信息系统的安全性有重要的作 用。认证的主要技术是:第一,验证信息的发送者是真的,此为实体认证也称身份认证;第 二,验证信息的完整性,此为信息认证也称报文认证。目前,在电子商务中广泛使用的认证方法和手段主要有数字签名、数字摘要数字证书 CA安全认证体系,以及其他一些身份认证技术和报文认证技术。以下以数字摘要和数字签 名为重点介绍。(1) 数字摘要数字摘要是采用单向Hash函数对文件中若千重要元素进行某种变换运算得到因定长度 的摘要码。这一串摘要码亦称为数字指纹,有因定的长度,不同的消息其摘要不同,相同消 息其摘要相同。4(2) 数字签2所谓数字签名就是附加在信息单元上的一些数据,或是对信息单元所作的密码变换,这种 数据或密码变换允许接收者确认消息的来源和信息单元的完整性并保护数損防止他人伪造0数字签名的实现方式是把信息摘要和公开密钥算法结合起来。发送
