电子商务和网络安全探析.docVIP

电子商务和网络安全探析 　　摘要：网络信息安全是电子商务发展的基础，没有网络信息安全作为基础，电子商务就如同纸上谈兵。随着电子商务的发展．通过各种网络的交易手段也会更加多样化，网络安全问题变得更加突出。为了解决好这个问题，必须有安全技术作保障。 　　关键词: 电子商务；网络安全；加密；对策 　　 　　一、电子商务的涵义 　　 　　电子商务是网络经济时代兴起的一种新的商务活动形式，代表着商务运作发展的主流方向。广义的电子商务通过六种途径来实现，即电话、传真、电视、电子支付及货币流通系统、电子数据交换和国际互联网。从狭义角度来看，电子商务主要指利用国际互联网进行一切商贸活动的总称。作为一种崭新的商业经营模式，电子商务自九十年代兴起以来，以其交易成本的低廉和工作方式的高效受到企业界的青睐，在全球范围内获得了迅猛的发展。电子商务潜在的巨大发展潜力和高额利润已使得任何国家都不敢怠慢这个市场。电子商务已经渗透人们日常生活的方方面面。但是，安全问题始终是制约着电子商务进一步向前发展的一个重要因素。 　　 　　二、电子商务中的网络安全问题 　　 　　1、网络信息安全问题 　　主要表现是攻击者在网络的传输信道上，通过物理或逻辑的手段，进行信息截获、篡改、删除、插入。截获，攻击者可能通过分析网络物理线路传输时的各种特征，截获机密信息或有用信息，如消费者的账号、密码等。篡改，即改变信息流的次序，更改信息的内容；删除，即删除某个信息或信息的某些部分；插入，即在信息中插入一些信息，让收方读不懂或接受错误的信息。 　　2、拒绝服务问题 　　攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯。扰乱正常的资讯通道。包括：虚开网站和商店，给用户发电子邮件，收订货单；伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应 　　3、身份冒充问题 　　攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，进行信息欺诈与信息破坏，从而获得非法利益。主要表现有：冒充他人身份；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户等。 　　4、交易双方抵赖问题 　　某些用户可能对自己发出的信息进行恶意的否认。以推卸自己应承担的责任．如：发布者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条信息或内容；购买者做了订货单不承认；商家卖出的商品质量差但不承认原有的交易。 　　 　　三、电子商务网络安全技术对策 　　 　　1、加密技术 　　加密技术是电子商务采取的基本安全措施．交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。 　　(1)对称加密。对称加密又称私钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加，解密速度快。适合于对大数据量进行加密．但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。 　　(2)非对称加密。非对称加密又称公钥加密，使用一对密钥来分别完成加密和解密操作，其中一个公开发布(即公钥)，另一个由用户自己秘密保存(即私钥)。信息交换的过程是：甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开，得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方，甲方再用自己保存的私钥对加密信息进行解密。 　　2、认证技术 　　目前，仅有加密技术不足以保证电子商务中的交易安全，身份认证技术是保证电子商务安全的又一重要技术手段。认证的实现包括数字摘要技术、数字签名技术、数字信封技术和数字证书技术等。 　　(1)数字摘要。数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样，在传输信息时将摘要加入文件一同送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件末被篡改，反之亦然。 　　(2)数字签名。数字签名也称电子签名，如同出示手写签名一样．能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来，发送方从报文文本中生成一个散列值，并用自己的私钥对这个散列值进行加密，形成发送方的数字签名；然后，将这个数字签名作为报文的附件和报文一起发送给报文的接收方：报文的接收方首先从接收到的原始报文中计算出散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密；如果这两个散列值相同，那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴