关于电子商务安全性初探.docxVIP

关于电子商务安全性初探　　论文关键词:电子商务；数据加密；信息认证；安全交易标准　　论文摘要:本文针对电子商务安全的要求，分析了电子商务中常用的安全技术,并阐述了数据加密技术、认证技术和电子商务的安全交易标准在电子商务安全中的应用。　　所谓电子商务(Electronic Commerce) 是利用计算机技术、网络技术和远程通信技术, 实现整个商务(买卖)过程中的电子化、数字化和网络化。目前，因特网上影响交易最大的阻力就是交易安全问题, 据最新的中国互联网发展统计报告显示, 在被调查的人群中只有2.8%的人对网络的安全性是感到很满意的, 因此，电子商务的发展必须重视安全问题。　　　　一、电子商务安全的要求　　1、信息的保密性：指信息在存储、传输和处理过程中，不被他人窃取。　　2、信息的完整性：指确保收到的信息就是对方发送的信息，信息在存储中不被篡改和破坏，保持与原发送信息的一致性。　　3、 信息的不可否认性：指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。　　4、 交易者身份的真实性：指交易双方的身份是真实的，不是假冒的。　　5、 系统的可靠性：指计算机及网络系统的硬件和软件工作的可靠性。　　在电子商务所需的几种安全性要求中，以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到以下多种安全技术的应用。　　　　二、数据加密技术　　将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。解密是加密的逆过程，即将密文还原成明文。　　（一）对称密钥加密与DES算法　　对称加密算法是指文件加密和解密使用一个相同秘密密钥，也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快，因此被广泛应用于对大量数据的加密过程。　　最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。　　（二）非对称密钥加密与RSA算法　　为了克服对称加密技术存在的密钥管理和分发上的问题，1976年产生了密钥管理更为简化的非对称密钥密码体系，也称公钥密码体系(PublicKeyCrypt-system)，用的最多是RSA算法，它是以三位发明者（Rivest、Shamir、Adleman）姓名的第一个字母组合而成的。　　在实践中，为了保证电子商务系统的安全、可靠以及使用效率，一般可以采用由RSA和DES相结合实现的综合保密系统。　　　　三、认证技术　　认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份，后者用于保证通信双方的不可抵赖性以及信息的完整性　　（一）身份认证　　用户身份认证三种常用基本方式　　1、口令方式　　这种身份认证方法操作十分简单，但最不安全，因为其安全性仅仅基于用户口令的保密性，而用户口令一般较短且容易猜测，不能抵御口令猜测攻击，整个系统的安全容易受到威胁。　　2、标记方式　　访问系统资源时，用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别，访问系统资源。　　3、人体生物学特征方式　　某些人体生物学特征，如指纹、声音、DNA图案、视网膜扫描图案等等，这种方案一般造价较高，适用于保密程度很高的场合。　　加密技术解决信息的保密性问题，对于信息的完整性则可以用信息认证方面的技术加以解决。在某些情况下，信息认证显得比信息保密更为重要。　　（二）数字摘要　　数字摘要，也称为安全Hash编码法，简称SHA或MD5 ，是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法，其加密结果是不能解密的。类似于人类的“指纹”，因此我们把这一串摘要而成的密文称之为数字指纹，可以通过数字指纹鉴别其明文的真伪。　　（三）数字签名　　数字签名建立在公钥加密体制基础上，是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来，形成了实用的数字签名技术。　　它的作用:确认当事人的身份，起到了签名或盖章的作用；能够鉴别信息自签发后到收到为止是否被篡改。　　（四）数字时间戳　　在电子交易中，时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用，是由DTS服务机构提供的电子商务安全服务项目，专门用于证明信息的发送时间。包括三个部分：需加时间戳的文件的数字摘要；DTS机构收到文件摘要的日期和时间； DTS机构的数字签名。　　（五）认证中心　　认证中心：（Certificate Authority，简称CA），也称之为电子商务认证中心，是承担网上安全电子交易认证服务，能签发数字证书，确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构，主要任务是受