互联网上的商务行为.docxVIP

互联网上的商务行为 1 电子商务面临的安全问题 电子商务是基于网络的。除了继承网络上的公共不安全因素外，还有在线交易交易所带来的特殊安全问题。 1.1 传播信息泄露 数据信息在未采用加密措施情况下, 以明文形式在网络上传送, 攻击者在传输信道上对数据进行非法截获、监听, 获取通信中的敏感信息, 造成网上传输信息泄露。 1.2 信息操纵 攻击者在掌握了信息格式和规律后, 采用各种手段对截取的信息进行篡改, 破坏商业信息的真实性和完整性。 1.3 模仿用户id 攻击者运用非法手段盗用合法用户身份信息, 利用仿冒的身份与他人交易, 获取非法利益, 从而破坏交易的可靠性。 1.4 我国电子商务交易安全的两大重 某些用户对发出或收到的信息进行恶意地否认, 以逃避应承担的责任。 针对以上电子商务存在的四种安全问题, 我们提出安全的电子商务交易应该满足一定的要求, 即电子商务的安全需求。针对信息的窃取问题, 我们提出了数据的保密性;针对信息的篡改问题, 我们提出了数据的完整性;针对用户身份的仿冒问题, 我们提出数据的可鉴别性;针对发出信息后的抵赖现象, 我们提出了不可否认性。具体的安全需求如下所述。 2 电子商务的安全需求 电子商务面临的威胁导致了对电子商务安全的需求, 也是实现一个安全电子商务系统所要求做到的各个方面, 主要包括以下几个方面。 2.1 保密性 指网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。 2.2 非法授权修改和破坏 指信息在输入和传输的过程中, 不被非法授权修改和破坏, 即保证数据的一致性。保证信息完整性需要防止数据的丢失、重复及保证传送秩序的一致。 2.3 可识别性 指参与电子商务交易的各方都能识别对方的真实身份, 不会被假冒或者欺骗。 2.4 不可否认 也称不可抵赖性。不可否认性指在传输数据时必须携带含有自身特质、别人无法复制的信息, 防止交易发生后对行为的否认。 3 电子商务的主要安全技术 3.1 加密和解密的概念是全面提高 加密技术是保证电子商务安全的重要手段, 加密算法现已成为网络安全和商务信息安全的基础。加密包括两个元素:算法和密钥。算法是将普通的文本或信息与密钥的结合, 产生不可理解的密文, 密钥是用来加密和解密的数据。按照加密和解密时使用的密钥个数不同, 加密技术可分成三种体制, 即单钥体制、双钥体制和混合钥体制。 3.1.1 加密密钥加密 单钥是指在加密和解密过程中使用相同的密钥, 即同一个密钥, 单钥。因此, 加密密钥也可以用作解密密钥, 又称为对称密钥加密。 对称密钥加密算法使用起来简单快捷, 实现容易, 目前典型的对称密钥加密算法是数据加密标准DES。 3.1.2 加密后的隐私 双钥是指在加密和解密过程中使用不同的密钥, 两个密钥分别是公钥和私钥, 因此又称为非对称密钥加密或公钥体制。 公钥体制是加密技术的核心。使用公钥加密后的信息传送出去, 只有拥有私钥的接收方才能解开密文, 保证的数据保密性;而使用私钥加密后的信息发送至接收方, 再用公钥解密, 就可以可以安全地确认对方身份, 提供通信的可鉴别性。比较典型的加密算法主要有RSA、DSA、PGP等。 3.1.3 根据随机密钥进行解密 在混合钥体制中, 信息发送者首先利用随机产生的对称密钥加密信息, 再利用接收方的公钥加密之前的随机密钥, 形成数字信封, 信息接收方要解密信息时, 必须先用自己的私钥解密数字信封, 得到随机密钥, 再利用随机密钥解密所得到的信息, 这样就保证了数据传输的真实性和完整性。在此过程中既使用了双钥体制来传递密钥, 又使用了传递的密钥解开单钥体制产生的密文。 3.2 通过消息生物验证 消息摘要 (数字摘要, digital digest) 的原理是采用单向Hash (哈希) 函数将需加密的明文进行某种变换运算, 得到固定长度的摘要。不同的明文摘要成密文, 其结果总是不同的, 而同样的明文其摘要必定一致。因此, 消息摘要能够验证数据在传送过程中是否被他人做过修改删除等破坏活动, 从而保障了数据的完整性。报文摘要和非对称加密一起, 提供了数字签名的方法, 是实现数字签名的基础。 3.3 对比报文的发送方 数字签名 (Digital Signature) 是非对称密钥加密的一种应用, 是指用发送方的私钥加密报文摘要, 它采用信息发送者的私钥变换所需传输的信息, 因而不能复制, 安全可靠。 其使用过程是:报文的发送方从报文文本中生成一个128位的单向散列值, 并用自己的私钥对这个散列值进行加密, 形成发送方的数字签名;然后, 将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先用发送方的公钥来对报文附加的数字签名进行解密, 然后将收到的报文也转换成128位的散列值;如果这两个值相同,