时间:2023-09-19 18:29:23
序论:在您撰写电子商务的商务性时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
关键词:电子商务;信息安全;安全要素;核心安全技术
0 引言
因特网上商机无限,电子商务的前景诱人。但许多商业机构对它仍有疑虑,主要是其安全问题正变得越来越严重。如何建立一个安全、便捷的电子商务战略方案,如何创造一个安全的电子商务应用环境,已经成为广大商家和消费者都十分关心的焦点。
1 电子商务的安全要求
在电子商务交易过程中,企业商业网机密是不能公开的。在竞争激烈的市场环境下,保证商业机密的安全特别重要,一旦商业机密信息失窃,企业的损失将不可估量。电子商务的发展需要解决安全性和可靠性问题。
2 电子商务的安全威胁
从安全和信任的角度来看,传统的买卖双方是面对面的,因此很容易保证交易过程的安全性并建立起信任关系。但在电子商务中,买卖双方是通过网络来联系,由于空间的阻隔,交易双方建立信任关系相当困难,交易双方都面临安全威胁。
2.1 卖方(销售者)面临的安全威胁
(1)系统安全被破坏:入侵者假冒成合法用户改变用户数据(如商品送达地址)、解除用户订单或生成虚假订单。
(2)竞争者的威胁:恶意竞争者以他人的名义订购商品,了解有关商品的递送和库存情况。
(3)商业机密的泄露:客户资料被竞争者获悉。
(4)假冒的威胁:建立与销售者服务器名字相同的服务器来假冒销售者;通过虚假订单获取机密数据,比如,某人想要了解他人在销售商处的信誉,可以冒名向销售商订购昂贵商品,视销售商是否认可该定单,以判断其人信誉情况的高低。
(5)信用的威胁:买方提交订单后不付款。
2.2 买方(消费者)面临的安全威胁
(1)虚假订单:假冒者会以客户的名字订购商品,而且有可能收到商品,此时客户却被要求付款或返还商品。
(2)付款后不能收到商品:客户付款后,销售商中的内部人员并不将订单和资金转发给执行部门,客户不能收到商品。
(3)机密性丧失:客户有可能将秘密的个人数据或身份数据(如PIN,口令等)发送给冒充销售商的机构,这些信息也可能会在传递过程中被窃听。
(4)拒绝服务:攻击者可能向销售商的服务器发送大量的虚假定单来挤占它的资源,从而使合法用户不能得到正常的服务。
2.3 黑客攻击电子商务系统的手段
从买卖双方的情况分析,黑客们攻击电子商务系统的手段可以大致归纳为以下四种:
(1)中断(攻击系统的可用性):破坏系统中的硬件、硬盘和文件系统等,使系统不能正常工作;
(2)窃听(攻击系统的机密性):通过搭线与电磁泄漏等手段获取有用情报,通过网络监听获取用户的帐号和密码等;
(3)窜改(攻击系统的完整性):窜改系统中数据,修正消息次序或时间(延时和重放);
(4)伪造(攻击系统的真实性):将伪造的消息注入系统,假冒合法人介入系统,重放截获的合法消息实现非法目的,否认消息的接入和发送等。
2.4 计算机病毒的威胁
计算机病毒种类繁多,在网络环境下极易传播,危害极大且影响范围广。它动辄删除、修改文件或数据,导致程序运行错误,甚至使系统死机或瘫痪。
3 电子商务的安全要素
电子商务的安全问题涉及范围较广。首先,它是一个复杂的管理问题。管理公司内部的网络环境已很复杂,当把企业网与Internet相连时,其性能、安全、可管理性等方面就面临新的挑战。其次,它也是一个技术性问题。电子商务应由合法的系统进行确认和支持,文件上的数字签字在法律上与书面签字具有同等效力。电子商务是通过信息网络传输商务信息和进行贸易的,与传统的有纸贸易相比减少了直接的票据传递和确认等商业活动,因此保证电子商务的安全性、可靠性比有纸贸易更复杂、更困难。这首先需要技术上的保证,如采用电子签名、电子识别等技术手段。实际上每一次货物、资金或文件的交换都涉及到保密信息的安全问题。任何泄密事件都会造成十分严重的后果。
电子商务的安全措施应具备以下特点。
3.1 有效性、真实性
有效性、真实性,即能对信息、实体的有效性、真实性进行鉴别。
电子商务以电子形式取代了纸张,保证这种电子形式的贸易信息的有效性和真实性是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以预防和控制,以保证贸易数据在确定的时刻、确定的地点是有效真实的。
3.2 机密性
机密性,即能保证信息不泄露给非授权人或实体。
在网络交易中,必须对发送者和接收者交换的信息进行保密。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件,或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,信息的保密是电子商务全面推广的重要保障,因此要预防非法的信息存取和信息在传输过程中被非法窃取,要确保只有合法用户才能看到数据,防止泄密事件。
3.3 数据的完整性
完整性,即能保证数据的一致性,防止数据被非授权建立、修改和破坏。
电子商务简化了贸易过程,减少了人为的干预,但是也增加了商业信息完整性和统一性的维护问题:数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异;数据传输过程中丢失、重复或传送次序差异会导致贸易各方信息的不同。贸易信息的完整性将影响到贸易各方的交易和经营策略。保持贸易各方信息的完整性是电子商务应用的基础,因此,要预防对信息的随意生成、修改和删除,防止数据传送过程中信息的丢失和重复,并保证信息传送次序的统一。
电子商务系统应保证数据传输、存储及电子商务完整性检查的正确和可靠。
3.4 可靠性、不可抵赖性和可控性
可靠性,即能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可抵赖性,即能建立有效的责任机制,防止实体否认其行为;可控性,即能控制使用资源的人或实体的使用方式。
确定进行交易的贸易方,是保证电子商务顺利进行的关键。在传统的纸面贸易中,贸易双方通过交易合同、契约或贸易单据等书面文件上的手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们 常说的“白纸黑字”,一旦交易开展后便不可撤销。交易中的任何一方都不得否认其在该交易中的作用,这点将确保任何一方都无法伪造提供或接受的报价。
在无纸化的电子商务方式下,不可能通过手写签名和印章进行贸易方的鉴别。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在Internet上每个人都是匿名的,原发方在发送数据后不能抵赖,接收方在接收数据后也不能抵赖。
为了进行业务交易,彼此必须能够进行身份鉴别。一旦一方签订交易后,这项交易就应受到保护以防止被篡改或伪造。交易的完整性在价格、期限及数量作为协议的一部分时尤为重要。接收方可以证实所接收的数据是原发方发出的,而原发方也可以证实只有指定的接收方才能接收,以防止身份假冒。根据机密性和完整性的要求,应对数据审查的结果进行记录。
3.5 电子商务的安全体系结构
由于Internet在物理上覆盖全球、在信息内容上无所不包,其用户群结构复杂,因此几乎不可能对其进行集中统一管理。电子商务的大量细节(如,控制通信路由选择、追踪和监控通信过程、控制和封闭信息流通、保证通信的可靠性和敏感信息的安全、提供源和目标的认证、实施法律意义上的公证和仲裁等)都涉及安全问题。面对如此严峻现实,必须花大力气对安全问题进行认真研究,除了加强制度、法规等管理措施外,还要强化信息系统的安全能力。
当前的主流思路是从内联网出发来考虑以Internet为基础的电子商务安全问题。内联网将Internet技术用于政府部门和企业专用网,它是在原有专用网的基础上增加了服务器、服务器软件、WEB内容制作工具和浏览器,并与Internet连通。内联网中往往存有大量的内部敏感信息,具有较高的商业、政治和经济价值。内联网是一种半封闭的集中式可控网,既要保证内联网不被非法入侵和破坏,避免网中的敏感信息不被非法窃取和窜改,又要保证网内用户和网外用户之间正常连通,并提供应有的服务。要保证在Internet基础上建立的电子商务的安全性,最根本的是要发展各商家、各政府部门的内联网并保证它们的安全性。
由于电子商务系统把服务商、客户和银行三方通过Internet连接起来,并实现具体的商务操作,因此电子商务安全系统可由三个安全服务器及CA认证系统构成,它们遵循相同的协议协同工作,来实现整个电子商务交易数据的完整性、保密性、不可否认性等安全功能。
4 电子商务的核心安全技术
电子商务的核心安全技术主要包括:加密技术、密钥管理技术、数字签名技术和防火墙技术等。
5 电子商务安全问题的其他技术
目前,安全电子商务在以下几个方面还没有满意的结果:
(1)没有一种电子商务安全的完整解决方案和完整模型与体系结构。
(2)尽管一些系统正逐渐成为标准,但仅有很少几个标准的应用接口(API)。从开放市场的角度来看,协议问的通用API和网关是绝对需要的。
(3)大多数电子商务系统都是封闭式的,即它们使用独有的技术,仅支持一些特定的协议和机制。它们常常需要一个中央服务器作为所有参与者的可信第三方。有时它们还要求使用特定的服务器或浏览器。
(4)尽管大多数方案都使用了公钥密码,但多方安全受到的关注远远不够,没有建立一种解决争议的决策程序。
(5)客户的匿名性和隐私尚未得到充分的考虑。
(6)大多数系统都将销售商的服务器和消费者的浏览器间的关系假设为主从关系,这种非对称关系限制了在这些系统中执行复杂的协议,而且不允许用户间进行直接交易。
(7)大多数系统都限制为两方,难于集成为一个安全连接到第三方的系统。
(8)所有方案和产品都仅考虑了在线销售,很少考虑多方交易问题(如拍卖),公文交换问题(如签合同,可证实电子邮件)。
6 结束语
摘要:随着互联网的全面普及,基于Internet 开展的电子商务已逐渐成为人们进行商务活动的新模式,越来越多的企业和个人通过Internet 进行商务活动,电子商务的发展前景十分诱人,而商业信息的安全是电子商务的首要问题。
关键词:电子商务;身份认证;防火墙
一、引言
电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。
二、电子商务的主要安全要素
目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,主要体现在以下几个方面:
1.信息真实性、有效性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2.信息机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3.信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。
4.信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
三、电子商务安全系统
网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
1.网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。
2.通讯的安全
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128 位。为在浏览器和服务器之间建立安全机制,SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL 链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL 链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。
3.应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
四、安全管理
为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户账号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户账号和密码。
五、结束语
安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。
参考文献:
[1] 吴洋.电子商务安全方法研究[D].天津大学.2006
[2] 李艳.电子商务信息安全策略研究[J].甘肃科技.2005.06
1 商务性
电子商务最基本的特性为商务性,即提供买、卖交易的服务、手段和机会。
网上购物提供一种客户所需要的方便途径。因而,电子商务对任何 规模的企业而言,都是一种机遇。
就商务性而言,电子商务可以扩展市场,增加客户数量;通过将万维网信息连至数据库,企业能记录下每次访问、销售、购买形式和购货动态以及客户对产品的偏爱,这样企业方就可以通过统计这些数据来获知 客户最想购买的产品是什么。
电子商务作为一种新型交易方式在许多地方取得成功。例如美国一 家服务公司(Speed Serve.Inc.)创建了整套电子商务方案,建立了一家网 上商店。由于节省了租用店面、雇用商场售货员等开支,使其能以低廉的价格出售数以百万计的书本、游戏和光碟。无疑这家公司获得了巨大的成功。
2 服务性
在电子商务环境中,客户不再受地域的限制,象以往那样,忠实地只做某家邻近商店的老主顾,他们也不再仅仅将目光集中在最低价格上。因而,服务质量在某种意义上成为商务活动的关键。技术创新带来新的结果,万维网应用使得企业能自动处理商务过程,并不再象以往那样强调公司内部的分工。现在在!nternet上许多企业都能为客户提供完整服务,而万维网在这种服务的提高中充当了催化剂的角色。
企业通过将客户服务过程移至万维网上,使客户能以一种比过去简捷的方式完成过去他们较为费事才能获得的服务。如将资金从一个存款户头移至一个支票户头,查看一张信用卡的收支,记录发货请求,乃至搜寻并购买稀有产品,这些都可以足不出户而实时完成。
显而易见,电子商务提供的客户服务具有一个明显的特性:方便。这不仅对客户来说如此,对于企业而言,同样也能受益。我们不妨来看这样一个例子。比利时的塞拉银行,通过电子商务,使得客户能全天候地存取资金帐户,快速地阅览诸如押金利率、贷款过程等信息,这使得服务质量 大为提高。
3 集成性
电子商务是一种新兴产物,其中用到了大量新技术,但并不是说新技术的出现就必须导致老设备的死亡。万维网的真实商业价值在于协调新 老技术,使用户能更加行之有效地利用他们已有的资源和技术,更加有效 地完成他们的任务。
电子商务的集成性,还在于事务处理的整体性和统一性,它能规范事务处理的工作流程,将人工操作和电子信息处理集成为一个不可分割的整体。这样不仅能提高人力和物力的利用,也提高了系统运行的严密性。
为了帮助企业分析、规划其电子商务发展战略,指导设计和建立应用,更好地集成新旧资源,充分地利用已有资源,IBM建立了一种可伸缩型的网络计算模型NCF。这种模型是开放的,并且是在现实产品和丰富的开发经验的基础上提出的。 NCF的概念、原理将在本书第七章做详尽的描述。
4 可扩展性
要使电子商务正常运作,必须确保其可扩展性。万维网上有数以百万计的用户,而传输过程中,时不时地会出现高峰状况。倘若一家企业原来设计每天可受理40万人次访问,而事实上却有80万,就必须尽快配有一台扩展的服务器,否则客户访问速度将急剧下降,甚至还会拒绝数干次可能带来丰厚利润的客户的来访。
对于电子商务来说,可扩展的系统才是稳定的系统。如果在出现高峰状况时能及时扩展,就可使得系统阻塞的可能性大为下降。电子商务中,耗时仅2分钟的重新启动也可能导致大量客户流失,因而可扩展性可谓极其重要。
1998年日本长野冬奥会的官方万维网结点的使用率是有史以来基于Internet应用中最高的,在短短的16天中,该结点就接受了将近六亿五千万次访问。
全球体育迷将数以百万计的信息直接通过体育迷电子邮件结点发给运动员,而与此同时,还成交了 600多万笔交易。这些惊人的数字说明,随着技术的日新月异,电子商务的可扩展性将不会成为瓶颈所在。
5 安全性
对于客户而言,无论网上的物品如何具有吸引力,如果他们对交易安全性缺乏把握,他们根本就不敢在网上进行买卖。企业和企业间的交易更是如此。
在电子商务中,安全性是必须考虑的核心问题。欺骗、窃听、病毒和非法入侵都在威胁着电子商务,因此要求网络能提供一种端到端的安全解决方案,包括加密机制、签名机制、分布式安全管理、存取控制、防火墙、 安全万维网服务器、防病毒保护等。为了帮助企业创建和实现这些方案, 国际上多家公司联合开展了安全电子交易的技术标准和方案研究,并发表了 SET(安全电子交易)和 SSL(安全套接层)等协议标准,使企业能建立一种安全的电子商务环境。
随着技术的发展,电子商务的安全性也会相应得以增强,作为电子商务的核心技术,本书第 4,5,6章将对安全性作较详尽的介绍。
6 协调性
商务活动是一种协调过程,它需要雇员和客户,生产方、供货方以及 商务伙伴问的协调。
为提高效率,许多组织都提供了交互式的协议,电子商务活动可以在 这些协议的基础上进行。
论文摘要:本文针对电子商务安全的要求,分析了电子商务中常用的安全技术,并阐述了数据加密技术、认证技术和电子商务的安全交易标准在电子商务安全中的应用。
所谓电子商务(Electronic Commerce) 是利用计算机技术、网络技术和远程通信技术, 实现整个商务(买卖)过程中的电子化、数字化和网络化。目前,因特网上影响交易最大的阻力就是交易安全问题, 据最新的中国互联网发展统计报告显示, 在被调查的人群中只有2.8%的人对网络的安全性是感到很满意的, 因此,电子商务的发展必须重视安全问题。
一、电子商务安全的要求
1、信息的保密性:指信息在存储、传输和处理过程中,不被他人窃取。
2、信息的完整性:指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,保持与原发送信息的一致性。
3、 信息的不可否认性:指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。
4、 交易者身份的真实性:指交易双方的身份是真实的,不是假冒的。
5、 系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性。
在电子商务所需的几种安全性要求中,以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到以下多种安全技术的应用。
二、数据加密技术
将明文数据进行某种变换,使其成为不可理解的形式,这个过程就是加密,这种不可理解的形式称为密文。解密是加密的逆过程,即将密文还原成明文。
(一)对称密钥加密与DES算法
对称加密算法是指文件加密和解密使用一个相同秘密密钥,也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快,因此被广泛应用于对大量数据的加密过程。
最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。
(二)非对称密钥加密与RSA算法
为了克服对称加密技术存在的密钥管理和分发上的问题,1976年产生了密钥管理更为简化的非对称密钥密码体系,也称公钥密码体系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位发明者(Rivest、Shamir、Adleman)姓名的第一个字母组合而成的。
在实践中,为了保证电子商务系统的安全、可靠以及使用效率,一般可以采用由RSA和DES相结合实现的综合保密系统。
三、认证技术
认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份,后者用于保证通信双方的不可抵赖性以及信息的完整性
(一)身份认证
用户身份认证三种常用基本方式
1、口令方式
这种身份认证方法操作十分简单,但最不安全,因为其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,不能抵御口令猜测攻击,整个系统的安全容易受到威胁。
2、标记方式
访问系统资源时,用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别,访问系统资源。
3、人体生物学特征方式
某些人体生物学特征,如指纹、声音、DNA图案、视网膜扫描图案等等,这种方案一般造价较高,适用于保密程度很高的场合。
加密技术解决信息的保密性问题,对于信息的完整性则可以用信息认证方面的技术加以解决。在某些情况下,信息认证显得比信息保密更为重要。
(二)数字摘要
数字摘要,也称为安全Hash编码法,简称SHA或MD5 ,是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法,其加密结果是不能解密的。类似于人类的“指纹”,因此我们把这一串摘要而成的密文称之为数字指纹,可以通过数字指纹鉴别其明文的真伪。
(三)数字签名
数字签名建立在公钥加密体制基础上,是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来,形成了实用的数字签名技术。
它的作用:确认当事人的身份,起到了签名或盖章的作用;能够鉴别信息自签发后到收到为止是否被篡改。
(四)数字时间戳
在电子交易中,时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用,是由DTS服务机构提供的电子商务安全服务项目,专门用于证明信息的发送时间。包括三个部分:需加时间戳的文件的数字摘要;DTS机构收到文件摘要的日期和时间; DTS机构的数字签名。
(五)认证中心
认证中心:(Certificate Authority,简称CA),也称之为电子商务认证中心,是承担网上安全电子交易认证服务,能签发数字证书,确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构,主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设(PKI)。
我国现有的安全认证体系(CA)在金融CA方面,根证书由中国人民银行管理,根认证管理一般是脱机管理;品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面,最初主要由中国电信负责建设。
(六)数字证书
数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发。
以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
四、电子商务的安全交易标准
(一)安全套接层协议
SSL (secure sockets layer)是由Netscape Communication公司是由设计开发的,其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性,从而实现浏览器和服务器(通常是Web服务器)之间的安全通信。
目前Microsoft和Netscape的浏览器都支持SSL,很多Web服务器也支持SSL。SSL是一种利用公共密钥技术的工业标准,已经广泛用于Internet。
(二)安全电子交易协议
(Secure Electronic Transaction)它是由VISA和MasterCard两大信用卡公司发起,会同IBM、Microsoft等信息产业巨头于1997年6月正式制定的用于因特网事务处理的一种标准。采用DES、RC4等对称加密体制加密要传输的信息,并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性,目前已经被广为认可而成了事实上的国际通用的网上支付标准,其交易形态将成为未来电子商务的规范。
五、总结
网络应用以安全为本,只有充分掌握有关电子商务的技术,才能使电子商务更好的为我们服务。然而,如何利用这些技术仍是今后一段时间内需要深入研究的课题。
参考文献:
[1] 万守付,电子商务基础(第二版),人民邮电出版社,2006年6月第2版
1 广告宣传
电子商务可凭借企业的 Web服务器和客户的浏览,在Internet上发播各类商业信息。客户可借助 网上的检索工具(Search)迅速地找到所需商品信息,而商家可利用网上主页( Home Page)和电子邮件 (E-majl)在全球范围内作广告宣传。与以往的各类广告相比,网上的广告成本最为低廉,而给顾客的 信息量却最为丰富。
2 咨询洽谈
电子商务可借助非实时的电子邮件(E-mail),新闻组(News Group) 和实时的讨论组(chat)来了解市场和商品信息、洽谈交易事务,如有进一 步的需求,还可用网上的白板会议(Whiteboard Conference)来交流即时的 图形信息。网上的咨询和洽谈能超越人们面对面洽谈的限制、提供多种 方便的异地交谈形式。
3 网上订购
电子商务可借助 Web中的邮件交互传送实现网上的订购。网上的 订购通常都是在产品介绍的页面上提供十分友好的订购提示信息和订购 交互格式框。当客户填完订购单后,通常系统会回复确认信息单来保证 订购信息的收悉。订购信息也可采用加密的方式使客户和商家的商业信 息不会泄漏。
4 网上支付
电子商务要成为一个完整的过程。网上支付是重要的环节。客户和 商家之间可采用信用卡帐号实施支付。在网上直接采用电子支付手段将 可省略交易中很多人员的开销。网上支付将需要更为可靠的信息传输安 全性控制以防止欺骗、窃听、冒用等非法行为。
5 电子帐户
网上的支付必需要有电子金融来支持,即银行或信用卡公司及保险 公司等金融单位要为金融服务提供网上操作的服务。而电子帐户管理是 其基本的组成部分。 信用卡号或银行帐号都是电子帐户的一种标志。而其可信度需配以 必要技术措施来保证。如数字凭证、数字签名、加密等手段的应用提供了电子帐户操作的安全性。
6服务传递
对于已付了款的客户应将其订购的货物尽快地传递到他们的手中。 而有些货物在本地,有些货物在异地,电子邮件将能在网络中进行物流的 调配。而最适合在网上直接传递的货物是信息产品。如软件、电子读物、信息服务等。它能直接从电子仓库中将货物发到用户端。
7 意见征询
电子商务能十分方便地采用网页上的“选择”、“填空”等格式文件来 收集用户对销售服务的反馈意见。这样使企业的市场运营能形成一个封 闭的回路。客户的反馈意见不仅能提高售后服务的水平,更使企业获得 改进产品、发现市场的商业机会。
8 交易管理
整个交易的管理将涉及到人、财、物多个方面,企业和企业、企业和客户及企业内部等各方面的协调和管理。因此,交易管理是涉及商务活动 全过程的管理。电子商务的发展,将会提供一个良好的交易管理的网络环境及 多种多样的应用服务系统。这样,能保障电子商务获得更广泛的应用。
特性如下:
1、普遍性:电子商务作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地;
2、方便性;
在电子商务环境中,人们不再受地域的限制,客户能以非常简捷的方式完成过去较为繁杂的商务活动,如通过网络银行能够全天侯地存取资金帐户、查询信息等,同时使得企业对客户的服务质量可以大大提高;
3、整体性:电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成为一个不可分割的整体,这样不仅能提高人力和物力的利用,也可以提高系统运行的严密性;
计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
关键字:计算机网络安全 商务交易安全
一 前言
随着INTERNET的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过INTERNET进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全,便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关注的话题。
点击查看全文
在IEEE802.11标准中,一方面规定了WEP(有线对等保密)加密内容,一方面还定义了MAC层的存取控制规范。为了保证通信安全,防止侵入无线网络,还有相关的非法用户窃听问题,采用加密算法为RCA算法,对于网络MAC层的节点间无线传输的数据进行加密处理。加密和解密传输数据在WEP中则是利用共享密钥来进行。对于节点发送加密数据过程进行分析如下。种子则是由共享密钥和初始向量Ⅳ串接而成的。然后,伪随机数发生器(WEPPRNG)能够接受产生的种子,同时,还能使得密钥序列产生。而密文的得到则是通过异或运算原文和密钥序列所得。完整检查码(IntegrityCheckValue,ICV)则是通过完整性算法(Integrityalgorithm)处原文所得。最后,把生成的密文、初始向量及完整检查码这三项都送到接受节点。伪随机数发生器的种子是在接收节点收到信息过程中,由初始向量与共享密钥串接而生成。然后,密钥序列则是在伪随机数发生器处理后得到。原文是在生成的此序列与密文之间进行相关的XOR运算得到。接收节点重新计算ICV,则是为了验证是否篡改过在此传送过程中的数据。当发现不匹配接收节点计算的ICV与原ICV的问题,则应该让接收节点拒绝该帧。安全隐患在这种安全机制下依然存在,比如,RCA算法本身存在一定缺陷,大用户量访问时共享密钥的管理问题,密钥强度还有待于进一步检验等等,这些问题都需要在无线局域网中进行防范。
2、移动电子商务安全性的技术解决思考
我们对于移动电子商务安全性的技术解决,在参考IEEE802.11和WAP协议的分析的基础上,从操作层面、管理层面、安全技术层面进行移动电子商务的数据安全分析。
(1)基础配置
其中,最为基本的安全防范手段就是通过使用无线AP的配置软件,让默认的WEP密钥和默认的SSID都进行改变设置。然后,为了提高防病毒木马攻击的能力,还应该进行防火墙的安装处理。对于信任的MAC地址,通过使用MAC地址过滤的技术方法来实现无线接入点这个功能。WTLS3级、个人证书再加上USB证书方式则是WAP无线接入的最好方式。为了更好严格控制不信任的证书,应该采用证书黑名单的ACL列表技术。
(2)密钥和身份的管理
提高密钥强度可以通过强化密钥管理和分发来实现。采用标准化密钥交换和密钥分发机制。对于802.11的密钥分况来看,一般可以采用相关的SSL、Kerberos、RADIUS、IPSEC等协议。能采用128位的初始向量(IV),还有相关的128位偏移码本方式(OCB)数据认证标记等等。
(3)使用操作的安全意识
网络安全操作以及公网防范工作应该不断加强。为了更好保护企业内部的主机,应该利用成熟技术,进行相关的入侵侦测、防火墙和弱点扫描等工作。不合法网站的浏览应该进行屏蔽,日志应该清晰记录操作行为,以及相应的轨迹跟踪问题。
3、结束语
