電子商務的安全論文

　　電子商務安全論文【1】

　　【摘 要】電子商務安全是電子商務活動的基礎和關鍵。文章從電子商務所面臨的安全威脅入手，提出了開展電子商務活動必須滿足的安全需求，最后探討了電子商務安全解決方案及其實現技術。

　　【關鍵詞】電子商務安全;加密;數字簽名;認證;協議

　　隨著網絡通信技術的迅猛發展和Internet的不斷普及，電子商務作為一種新型的商務模式，在全球范圍內正以驚人的速度迅猛發展。然而由于它是基于Internet開展的商務活動，大量重要的信息都需要在互聯網上進行傳遞，尤其還涉及到資金的流動，必然要求傳遞信息的過程足夠安全。因此如何保障交易過程和傳遞信息的安全性就成為影響電子商務發展的一個至關重要的問題，也是技術難點。

　　一、電子商務的安全威脅

　　電子商務是基于網絡信息傳輸的，依靠從信息終端之間信息的傳遞完成商務交易。與傳統商務的面對面交易不同，電子商務的安全就是要確保這些信息的傳遞是穩定的、完整的、可靠的、保密的，是反映信息發送者的真實意愿的。而威脅互聯網安全的因素很多。

　　1.截獲

　　攻擊者獲取了對資源的訪問權，這是對機密性的攻擊。例如，在網絡上搭線或安裝電磁波截獲裝置以獲取銀行賬號、用戶密碼等有用數據。

　　2.篡改

　　攻擊者不僅獲得了訪問權而且篡改了某些資源，這是對完整性的攻擊。例如，修改資金額度、貨物數量、商品價格等交易信息。

　　3.偽造

　　攻擊者將偽造的對象插入系統，這是對真實性的攻擊。例如，冒充合法用戶進行交易，給合法用戶造成損失。

　　4.否認或抵賴

　　商家或用戶否認自己曾經發送或接收到信息，這是對不可抵賴性的攻擊。例如，合法用戶可能會賴賬，商家也有可能因為商品價格差而不承認原有交易。

　　二、電子商務的安全需求

　　在電子商務面臨上述安全隱患的情況下，要在因特網中建立并維持一個令人可以信任的環境和機制，也為了保障交易各方的合法權益，需要滿足以下幾個方面的安全需求。

　　1.信息的機密性

　　信息的機密性或稱保密性是指信息在網絡上傳送或存儲的過程中不被他人竊取、不被泄露或披露給未經授權的人或組織，或者經過加密偽裝后，使未經授權者無法了解其內容。機密性可用加密和信息隱匿技術實現，使截獲者不能解讀加密信息的內容。機密性的另一方面是保護通信流特性以防止被分析。

　　2.信息的完整性

　　信息的完整性或稱正確性是保護數據不被偽授權者修改、建立、嵌入、刪除、重復傳送或由于其他的原因使原始數據被更改。在存儲時，要防止非法篡改，防止網站上的信息被破壞。在傳輸過程中，如果接收方收到的信息與發送方的信息完全一樣則說明在傳輸過程中信息沒有遭到破壞，具有完整性。針對信息的完整性，目前的主要措施是通過散列算法(也稱消息摘要算法)來檢查信息的完整性。

　　3.商務對象的認證性

　　商務對象的認證性是指網絡兩端的使用者在溝通之前相互確認對方的身份，保證身份的正確性。分辨參與者聲稱身份的真偽，防止偽裝攻擊。認證性采用由認證中心向各交易主體發放數字證書并進行驗證。

　　4.信息的不可抵賴性

　　信息的不可抵賴性是指信息的發送方不能否認已發送的信息，信息的接受方不能否認已收到的信息。這是一種法律有效性要求。交易一旦達成是不能被否認的。否則必然會損害一方的利益。目前的主要措施是采用數字簽名技術。

　　三、電子商務安全技術

　　1.加密技術

　　加密技術是電子商務的最基本信息安全防范措施，其原理是利用一定的加密算法，將明文轉換成難以識別和理解的密文并進行傳輸，從而確保數據的機密。主要有對稱加密技術、非對稱加密技術和數字信封技術。

　　(1)對稱加密技術

　　對稱加密技術，即信息的發送方和接收方用一個密鑰去加密和解密數據，也就是說加密和解密用同一個密鑰。它要求發送方、接收方在安全通信之前，商定一個密鑰，對稱密鑰算法的安全性依賴于密鑰，泄露密鑰就意味著任何人都能對消息進行加、解密。

　　只要通信需要保密，密鑰就必須保密。它的最大優勢是加、解密速度快，便于用硬件實現、適合于對大數據量進行加密等，但密鑰管理困難。

　　(2)非對稱加密技術

　　非對稱加密技術就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”。“公鑰”和“私鑰”不能由一個推出另一個，但是“公鑰”加密的信息只能由“私鑰”解密，反之亦然。非對稱密鑰機制靈活，但加密和解密速度比對稱密鑰加密慢得多，所以它不適合于對文件進行加密，而只適用于對少量數據進行加密。

　　(3)數字信封技術

　　鑒于對稱加密技術和非對稱加密技術各自的特點，在實際應用中將兩種加密技術結合使用，從而獲得對稱加密技術的高效性和非對稱加密技術的靈活性。這種把對稱加密技術和非對稱加密技術結合使用的技術稱數字信封技術。

　　2.數字簽名技術

　　數字簽名技術主要解決電子商務中信息的不可抵賴性問題。其工作原理是：將報文按雙方約定的HASH算法計算，得到一個固定位數的HASH值，在數學上保證只要改動報文的任何一位，重新計算出的HASH值就會與原值不符。然后把該HASH值用發送者的私鑰加密，然后將該密文同原報文一起發送給接收者，產生的報文即數字簽名。

　　接收方收到數字簽名后，用同樣的HASH算法對報文計算HASH值，然后與用發送者的公鑰進行解密解開的HASH值進行比較，如相等則說明報文確實來自發送者從而保證了數據的真實性。通過數字簽名還能夠實現對原信息的鑒別，從而保證信息在傳輸過程中的信息完整性和信息發送方的不可抵賴性。

　　3.認證技術

　　對數字簽名和公開密鑰加密技術來說，都會面臨公鑰的分發問題。這就要求管理公鑰的系統必須是值得信賴的，數字證書就是解決這一問題的有效方法。它通常是一個簽名文檔，標記特定對象的公開密鑰。

　　由認證中心CA簽發，CA通常是一個服務性機構，主要任務是受理數字證書的申請、簽發和管理數字證書，是一個普遍可信的第三方。當通信雙方都信任同一個CA時，兩者就可以相互得到對方的公鑰從而能進行秘密通信、數字簽名和認證。

　　4.數字時間戳技術

　　在電子商務交易中，時間是十分重要的信息。數字時間戳服務DTS就是為電子文件的時間信息進行安全保護的網上安全服務項目。時間戳是經過加密后形成的文檔，它包括三部分內容：①需加時間戳的文件的摘要;②DTS收到文件的日期和時間;③DTS的數字簽名。

　　5.與電子商務安全有關的協議技術

　　(1)SSL-安全套接層協議

　　SSL協議是Netscape公司在網絡傳輸層之上提供的一種基于RSA和加密密鑰的用于瀏覽器和Web服務器之間的安全連接技術。它在應用層收發數據前，協商加密算法、連接密鑰并認證通信雙方，從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議以保證應用層數據傳輸的安全性。

　　SSL協議獨立于應用層協議，且被大部分的瀏覽器和Web服務器所內置，便于在電子交易中應用，因此，在電子交易中被用來安全傳送信用卡號碼。國際著名的CyberCash信用卡支付系統就支持這種簡單加密模式，IBM等公司也提供了這種簡單加密模式的支付系統。

　　但SSL協議它是一個面向連接的協議，在涉及多方的電子交易中，只能提供交易中客戶與服務器間的雙方認證，而電子商務往往是用戶、網站、銀行三家協作完成，SSL協議并不能協調各方間的安全傳輸和信任關系。因此，為了實現更加完善的電子交易，制訂發布了SET協議。

　　(2)SET-安全電子交易協議

　　SET協議是目前唯一保證信用卡信息能安全可靠地通過因特網傳輸的新協議。它為在Internet上進行安全的電子商務活動提供了一個開放的標準，為Internet上支付交易提供高層的安全和反欺詐保證。

　　SET協議為基于信用卡進行電子交易的應用提供了安全措施，保證了電子交易的機密性、數據完整性、身份的合法性和抗否認性。SET是專門為電子商務而設計的協議，它在很多方面優于SSL協議，但仍不能解決電子商務所遇到的全部問題。

　　四、結束語

　　電子商務安全是電子商務活動的核心，我們要堅持引進和吸收的原則，組織各方面力量，研制和開發出具有自主知識產權的網絡安全和電子商務安全產品，逐步掌握電子商務安全的核心技術，我國的電子商務安全現狀一定會得到極大的改善，從而為我國電子商務的發展創建良好的安全環境。

　　參考文獻：

　　[1]陳建斌.電子商務與電子政務[M].北京:機械工業出版社,2008.

　　[2]楊愛民.電子商務安全現狀及對策探討[J].科技資訊,2006(6).

　　[3]張斌.電子商務中的信息安全[J].晉中師范高等專科學校學報,2003(2).

　　電子商務的安全【2】

　　[摘要] 本文針對電子商務中所出現的安全問題，分析了電子商務中常用的安全技術。

　　[關鍵詞] 電子商務信息安全信息加密信息認證

　　隨著Internet的迅猛發展,電子商務作為一種嶄新的商務活動模式受到了全世界、全社會的廣泛關注和吸納。若要電子商務成功且蓬勃地發展，則必須提升消費者對交易可靠性的信心，以及增強網絡對外來非法入侵的防護措施。所以，電子商務安全是目前電子商務發展中，亟待克服且深受矚目的問題。

　　一、電子商務的安全隱患

　　一般來說電子商務安全中普遍存在著以下幾種隱患:

　　1.竊取信息。由于未采用加密措施，數據信息在網絡上以明文形式傳送，入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。

　　2.篡改信息。當入侵者掌握了信息的格式和規律后，通過各種技術手段和方法，將網絡上傳送的信息數據在中途修改，然后再發向目的地。這種方法并不新鮮，在路由器或網關上都可以做此類工作。

　　3.假冒。由于掌握了數據的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

　　4.惡意破壞。由于攻擊者可以接入網絡，則可能對網絡中的信息進行修改，掌握網上的機要信息，甚至可以潛入網絡內部，其后果是非常嚴重的。

　　二、電子商務的安全需求

　　電子商務的安全交易主要保證以下四個方面：

　　1.信息保密性。交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉，因此在信息傳播中一般均有加密的要求。

　　2.交易者身份的確定性。網上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網上的商店是不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。

　　3.不可否認性。由于商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環節都必須是不可否認的。

　　4.不可修改性。交易的文件是不可被修改的，否則也必然會損害一方的商業利益。因此電子交易文件也要能做到不可修改，以保障商務交易的嚴肅和公正。

　　三、電子商務安全措施

　　因此要確保交易的安全，必須要有堅固的網絡安全防護措施(如防護墻)，以及安全的資訊保密技術(如加密技術、數字簽名及認證)的輔助。

　　1.網絡安全防范措施。在實施網絡安全防范措施時，首先要加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞;其次要用各種系統漏洞檢測軟件定期對網絡系統進行掃描分析，找出可能存在的安全隱患，并及時加以修補;從路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強授權管理和認證;利用RAID5等數據存儲技術加強數據備份和恢復措施;對敏感的設備和數據要建立必要的物理或邏輯隔離措施。

　　對在公共網絡上傳輸的敏感信息要進行強度的數據加密;安裝防病毒軟件，加強內部網的整體防病毒措施;建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。

　　2.加密和密鑰管理技術。加密技術是保證電子商務安全的重要手段。許多密碼算法現已成為網絡安全和商務信息安全的基礎，密碼算法利用密鑰來對敏感信息進行加密，然后把加密好的數據和密鑰通過安全方式發送給接收者，接收者可利用同樣的算法和傳遞來的密鑰對數據進行解密，從而獲取敏感信息，保證了網絡數據的機密性。

　　3.數字簽名技術。數字簽名可以保證文檔的真實性與完整性，對簽字方進行約束，防止其抵賴行為，并把文檔與簽名同時發送以作為日后查證的依據，數字簽名不僅與簽名者的私有密鑰有關，而且與報文內容相關。

　　4.認證機構和數字證書。證書機構CA是一個可信的第三方實體，其主要職責是保證用戶的真實性。

　　本質上CA的作用同政府機關的護照頒發機構類似，用于證實公民的正確身份，而網絡用戶的電子身份是由CA來發布的，也就是說他是被CA所信任的，該電子身份就成為數字證書。一個CA系統也可以看成由許多人組成的一個組織，用于指定網絡安全策略，并決定組織中的哪些人可以發給在網絡上使用的電子身份。

　　5.虛擬專用網(VPN)。這是用于Internet交易的一種專用網絡，它可以在兩個系統之間建立安全的信道(或隧道)，用于電子數據交換(EDI)。它與信用卡交易和客戶發送訂單交易不同，因為在VPN中，雙方的數據通信量要大得多，而且通信的雙方彼此都很熟悉。

　　這意味著可以使用復雜的專用加密和認證技術，只要通信的雙方默認即可，沒有必要為所有的VPN進行統一的加密和認證。現有的或正在開發的數據隧道系統可以進一步增加VPN的安全性，因而能夠保證數據的保密性和可用性。

　　總之，安全是電子商務存在和發展的靈魂。電子商務的安全問題是多層次、多剖面的，并且始終處于動態發展過程中，其不安全因素是多方面的。

　　一個完善的電子商務系統在保證技術的前提下，還與國家法律政策、誠信等級制度、物流部門密切相關。電子商務是對計算機網絡安全與商務安全的雙重要求，電子商務安全的復雜程度比大多數計算機網絡更高，因此電子商務安全應作為一項工程對待，而不僅僅是一種解決方案。

【電子商務的安全論文】相關文章：

電子商務安全論文07-22

電子商務安全論文10-09

電子商務安全的論文10-09

電子商務安全技術論文10-09

電子商務安全的參考論文10-01

如何保護電子商務的安全論文10-08

電子商務安全問題論文10-08

電子商務安全論文5000字10-01

電子商務信息安全探究論文10-08