协同商务企业信息安全技术研究.docVIP

协同商务企业信息安全技术研究 　[摘要] 随着 网络 信息技术的 发展 ，在协同商务 企业 中，如何提高网络信任度越来越成为一个关系企业成败的重要 问题 。通过剖析协同商务企业的信息安全技术，提出有效对策，使信息在所有用户中实现有层次的高度共享，同时改善协同商务企业的信息安全环境。 　　[关键词] 协同商务 生物密码 电子 签章 　　 　　在传统交易过程中，买卖双方是面对面的，很容易保证交易过程的安全性，建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，在地域环境上跨度很大，因而建立交易双方的安全和信任关系相当困难。而协同商务作为下一代的电子商务模式，比传统的电子商务所面临的安全风险更大，需要处理更为复杂的安全问题。 　　一、协同商务企业所面临的信息安全威胁 　　协同商务企业所面临的安全威胁主要来自企业集团内部和企业集团之间。内部威胁主要是当企业公共设施对内部员工实行开放时，内部电子邮件、即时通信及FTP等方式会成为机密泄漏的重要途径。企业集团之间的安全威胁主要是当协同商务企业通过互联网或其他公用网络处理事务和执行通信时，如果通信超出防火墙的安全范围而进入传送阶段，就有可能被监听截取。在交易过程中经常会出现中央系统安全性被破坏、商品递送状况和客户资料被竞争者获悉、公司名称被他人冒充顶替、企业和企业之间的机密数据被获取等现象，这些一方面会恶化协同商务的生态环境，使用户和企业遭受巨大的 经济 损失，另一方面使协同商务企业对网络身份认证、企业文档的机密性、完整性和印章的不可抵赖性提出了更高的要求。 　　二、协同商务企业信息安全技术 研究 　　1.生物密码保障 　　生物密码保障技术是以生物识别技术为基础，依靠指纹、声音、脸孔、视网膜、掌纹等身体特征来进行身份验证的一种解决方案。生物密码保障技术的核心在于如何获取这些生物特征，并将之转换为数字信息，作为密码存储于 计算 机中，利用可靠的匹配算法来完成验证与识别个人身份的过程。它最大的优点是密码具有惟一性，从 理论 上说，生物特征认证可以为协同商务企业提供最可靠的网络身份认证，它所使用生物密码几乎不可能被仿冒，安全性很高。但从实际 应用 来看，此技术还有很大的局限性。首先，生物特征识别的准确性和稳定性还有待提高，特别是如果进行协同商务运作的用户身体受到伤残或污渍的 影响 ，就无法正常识别，这就有可能丧失商机，造成经济利益的损失。其次，认证系统的终端设备复杂，不易携带，给开展网上业务的用户带来不便。第三，由于研发过程投入大，生物密码认证系统的成本非常高，无法在中小型协同商务系统中推广运行。 　　2.动态口令 　　动态口令技术使用一次性口令（OTP，One-Time Password）机制。这种机制的最大特点是客户端不需要安装软件，且用户的真实口令无须在网上传输，又由于具有一次性的特点，可以有效防止重放攻击。它由用户端的EP CARD和安全认证服务器两部分组成。EP CARD是发给每个用户的动态口令发生器，通过同步信任认证算法使口令无法被预测、跟踪和窃取，无需频繁更换口令；安全认证服务器是整个系统的核心部分，它可以控制所有用户对网络的访问，提供认证、授权和审计服务。OTP机制也存在一些不足之处，例如：动态令牌需要定期更换，累计成本较高，系统扩展性不强，而且对于协同商务企业的文档完整性、不可抵赖性不能提供有效保障，这些在很大程度上限制了此技术的应用。转贴于论文联盟 　　3.硬件认证 　　硬件认证技术是以智能卡为硬件介质的认证技术。智能卡包含内存、微处理器和智能卡阅读器的串行接口，从安全的观点看，它具备“身份识别信息”的存储能力，该信息能够被读取。并通过智能卡阅读器连接到PC上进行验证，能够被 企业 内部 网络 或远程网络上的发生业务关系的用户所访问。用智能卡存储密钥更为安全，因为即使网络交易用户的 计算 机出现安全 问题 ，协同商务企业用户所持有的私钥不会随之一起被盗，所以用户的身份对于网络 应用 系统来说具有一定的可信任性。但智能卡凭借的是硬件介质的存储优势，单独使用时具有“瞬时”性，即认证只在当时有效而加密算法被破解后以前的加密结果就可能被解密，这一点成为硬件认证技术在应用时的最大瓶颈。 　　4. 电子 签章 　　电子签章技术涵盖了加密技术、数字签名技术、访问控制技术、数字认证技术等多个方面，其中最成熟的是数字签名技术，它以公钥和私钥的“非对称”加密技术为基础。在电子签章系统中由计算机程序将密钥和需传送的文件浓缩成信息摘要予以运算，得出数字签章，将数字签章并同原交易信息传送给对方，接受方可用公钥来验证该信息确实由发送方传送、并可查验文件在传送过程中是否被篡改，有效防止对方抵赖。电子签章技术可以实现数字签名、数字水印、生物密码，以及硬