电子商务安全问题研究.docxVIP

电子商务安全问题研究 一、 电子商务发展中的安全问题 电子商务是一项尚未发展的新型经济活动。已成为主要发达国家，提高了经济竞争实力，争取了全球资源配置的优势。“十一五”是我国发展电子商务的战略机遇期。抓住机遇, 加快发展电子商务, 是贯彻落实科学发展观, 以信息化带动工业化, 以工业化促进信息化, 走新型工业化道路的客观要求和必然选择。 但是要实现电子商务的健康发展要解决的问题还很多, 其中相对于传统商务来讲, 最大的问题就是安全问题。一方面是交易环境的安全问题, 电子商务是基于Internet进行交易的, Internet应用的基本目的就是资源共享, 其开放性直接影响到电子商务的安全性, 网络很容易受到攻击和破坏, 计算机系统的安全问题如非法入侵、数据非法截取等也很难完全防范, 再者网络和计算机系统本身的可靠性也会对电子商务的安全问题造成一定的影响。另一方面是交易对象的安全性、交易过程的安全性和货币支付过程的安全性问题。 二、 安全协议 1. 隐私技术的应用 安全套接层协议是网景 (Netscape) 公司提出的基于WEB应用的安全协议, 它包括:服务器认证、客户认证 (可选) 、SSL链路上的数据完整性和SSL链路上的数据保密性。SSL主要使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性, 它不能保证信息的不可抵赖性, 主要适用于点对点之间的信息传输。 在电子商务中采用单一的SSL协议来保证交易的安全是不够的, 但采用“SSL+表单签名”模式能够为电子商务提供较好的安全性保证。 2. 电信服务企业 SET协议是由VISA和Master Card两大信用卡公司联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的, 以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份, 以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。SET协议比SSL协议复杂, 因为前者不仅加密两个端点间的单个会话, 它还可以加密和认定三方间的多个信息。 在处理过程中, 通信协议、请求信息的格式、数据类型的定义等, SET都有明确的规定。在操作的每一步, 消费者、在线商店、支付网关都通过CA来验证通信主体的身份, 以确保通信的对方不是冒名顶替。所以, 也可以简单地认为, SET规范充分发挥了认证中心的作用, 以维护在任何开放网络上的电子商务参与者所提供信息的真实性和保密性。 3. 数据加密的安全 安全超文本传输协议基于提供保密、认证、完整性和不可否认等服务, 保证在WEB上交换的媒体文本的案例。 由于Internet的开放性造成了在网络中传输的数据的公开性, 为了保证在网络传输过程中的数据的安全, 需要进行数据加密。实际是上使服务器支持SSL协议, 客户只有在通过服务器方认可的认证授权中心 (CA) 进行身份验证后, 才能登录该网站, 并且在网络中传输的所有数据均通过随机产生的密钥加密。 4. 网络支付规范 由Microsoft公司提出, VISA和Microsoft共同开发的网络支付规范。STT将认证和解密在浏览器中公开, 用以提高安全控制能力。 三、 安全技术 1. 组合加密算法 数据加密技术是研究数据加密、解密及交换的科学, 涉及数学、计算机科学、电子与通信等诸多学科。加密算法能够将信息进行伪装, 使得任何未经过授权的人都无法了解其内容。主要包括以下对称密钥加密和非对称密钥加密两种加密法。 2. 通过数字摘要计算所产生的信息,背景在接收者分子月 数字摘要的工作原理是为了解决信息的完整性而采取的技术。就是利用hash函数对信息进行计算得出一个数字摘要, 然后将信息和数字摘要一同发送给接收者, 接收者在利用相同hash函数对信息进行计算也得出一个数字摘要, 然后把发送者的数字摘要和接收者得出的数字摘要进行对比, 如果两个数字摘要相同, 则说明信息是原信息, 在传送途中没有被篡改;反之, 如果两个数字摘要不同, 则说明信息在传送途中被非法篡改了。 3. 对称密钥的加密 数字信封的工作原理是使用HASH函数对对称密钥来加密数据, 然后将此对称密钥用接受者的公钥加密, 将其和加密数据一起发送给接受者, 它体现的是保密性。 4. 被加密者的发送者生 数字签名是指将摘要用发送者的私钥加密, 与原文一起传送给接受者。接受者只有用发送者的公钥才能解密被加密的摘要。它体现的是不可抵赖性和完整性。 5. 世界戳加密 数字时间戳的工作原理它是用来证明消息的收发时间的。用户首先将需要加世界戳的文件经加密后形成文档, 然后将摘要发送给专门提供数字时间戳服务的权威机构, 该机构对原摘要加上时间后, 进行电子签名, 用私钥加密, 并发送给原用户。它体现的是知识产权的保护问题。 6