時間:2023-07-14 16:35:40
導語:在數字貿易存在的問題的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
關鍵字:電子商務、安全、信息、技術
序言:近年來,隨著因特網的普及日漸迅速,電子交易開始融入人們的日常生活中,網上訂貨、網上繳費等眾多電子交易方式為人們創造了便利高效的生活方式,越來越多的人開始使用電子商務網站來傳遞各種信息,并進行各種交易。電子商務網站傳遞各種商務信息依靠的是互聯網,而互聯網是一個完全開放的網絡,任何一臺計算機、任何一個網絡都可以與之相連。它又是無國界的,沒有管理權威,“是世界唯一的無政府領地”,因此,網上的安全風險就構成了對電子商務的安全威脅。
一、電子商務信息的安全要素
1.機密性
傳統的貿易大多是通過書信或者可靠的通信渠道來發送商業文檔,雖然速度和效率都不高,但卻能達到保密的目的,而電子商務是在開放的網絡環境下進行的,因此要預防非法的信息存取和信息在傳輸過程中被非法竊取,所以保證電子商務信息的機密性就變得非常重要。
2.完整性
電子商務極大地簡化了傳統貿易過程,減少了認為的干預,同時也伴隨著貿易各方商業信息的完整、同一問題。由于數據錄入時合法或非法的行為,可能導致貿易數據的差異。信息在傳輸的過程中也有可能造成信息的丟失、重復或次序的差異。因此要預防對信息的各種非法操作,保證數據在傳送的過程中完整性。
3.認證性
網絡環境是一個虛擬的環境,而電子商務就是在這個虛擬平臺上進行的,貿易雙方一般都不見面,需要一些技術和策略來進行身份確認。當個人或實體聲稱身份時,電子商務服務需要提供一種方式來進行身份認證。
4.有效性
在交易的過程中貿易雙方需要確定很多信息,電子商務以電子形式取代了紙張來確認這此信息,保證謝謝信息的有效性是開展電子商務的前提。因此要對網絡故障、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻和地點是有效的。
二、電子商務網絡的安全隱患
1.竊取信息
(1)交易雙方進行交易的內容被第三方竊取。(2)交易一方提供給另一方使用的文件被第三方非法使用。
2.篡改信息
電子的交易信息在網絡傳輸的過程中,可能被他人非法的修改、刪除這樣就使信息失去了真實性和完整性。
3.假冒
第三方可以冒充合法用戶發送假冒的信息或者主動獲取信息,有可能假冒一方的信謄或盜取被假冒一方的交易成果等。
4.惡意破壞
由于攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,破壞網絡的硬件或軟件而導致交易信息傳遞丟失與謬誤。計算機網絡本身容易遭到一些惡意程序的破壞,而使電子商務信息遭到破壞。
三、電子商務安全中的幾種技術手段
1.防火墻(FireWall)技術
防火墻是一種隔離控制技術,在某個機構的網絡和不安全的網絡(如Internet)之間設置屏障,阻止對信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業的網絡上被非法輸出。
2.加密技術
數據加密技術是電子商務中采取的主要安全措施,貿易方可根據需要在信息交換的階段使用。在網絡應用中一般采取兩種加密形式:對稱加密和非對稱加密,采用何種加密算法則要結合具體應用環境和系統,而不能簡單地根據其加密強度來做出判斷。
(1)對稱加密
在對稱加密方法中,對信息的加密和解密都使用相同的密鑰。也就是說,一把鑰匙開一把鎖。這種加密算法可簡化加密處理過程,貿易雙方都不必彼此研究和交換專用的加密算法,如果進行通信的貿易方能夠確保私有密鑰在交換階段未曾泄露,那么機密性和報文完整性就可以得到保證。不過,對稱加密技術也存在一些不足,如果某一貿易方有n個貿易關系,那么他就要維護n個私有密鑰。對稱加密方式存在的另一個問題是無法鑒別貿易發起方或貿易最終方。因為貿易雙方共享一把私有密鑰。目前廣泛采用的對稱加密方式是數據加密標準(DES),它主要應用于銀行業中的電子資金轉賬(EFT)領域。DES對64位二進制數據加密,產生64位密文數據。使用的密鑰為64位,實際密鑰長度為56位(8位用于奇偶校驗)。解密時的過程和加密時相似,但密鑰的順序正好相反。
(2)非對稱加密/公開密鑰加密
在Internet中使用更多的是公鑰系統,即公開密鑰加密。在該體系中,密鑰被分解為一對:公開密鑰PK和私有密鑰SK。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開,而另一把則作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能由生成密鑰對的貿易方掌握,公開密鑰可廣泛,但它只對應于生成該密鑰的貿易方。在公開密鑰體系中,加密算法E和解密算法D也都是公開的。雖然SK與PK成對出現,但卻不能根據PK計算出SK。
常用的公鑰加密算法是RSA算法,加密強度很高。具體做法是將數字簽名和數據加密結合起來。發送方在發送數據時必須加上數字簽名,做法是用自己的私鑰加密一段與發送數據相關的數據作為數字簽名,然后與發送數據一起用接收方密鑰加密。這些密文被接收方收到后,接收方用自己的私鑰將密文解密得到發送的數據和發送方的數字簽名,然后用方公布的公鑰對數字簽名進行解密,如果成功,則確定是由發送方發出的。由于加密強度高,而且不要求通信雙方事先建立某種信任關系或共享某種秘密,因此十分適合Internet網上使用。
3.數字簽名
數字簽名技術是實現交易安全核心技術之一,它實現的基礎就是加密技術。以往的書信或文件是根據親筆簽名或印章來證明其真實性的。但在計算機網絡中傳送的報文又如何蓋章呢?這就是數字簽名所要解決的問題。數字簽名必須保證以下幾點:接收者能夠核實發送者對報文的簽名;送者事后不能抵賴對報文的簽名;接收者不能偽造對報文的簽名。現在己有多種實現數字簽名的方法,采用較多的就是公開密鑰算法。
4.數字證書
(1)認證中心
在電子交易中,數字證書的發放不是靠交易雙方來完成的,而是由具有權威性和公正性的第三方來完成的。認證中心就是承擔網上安全電子交易認證服務、簽發數字證書并確認用戶身份的服務機構。
(2)數字證書
數字證書是用電子手段來證實一個用戶的身份及他對網絡資源的訪問權限。在網上的電子交易中,如雙方出示了各自的數字證書,并用它來進行交易操作,那么交易雙方都可不必為對方身份的真偽擔心。
5.消息摘要(MessageDigest)
消息摘要方法也稱為Hash編碼法或MDS編碼法。它是由RonRivest所發明的。消息摘要是一個惟一對應一個消息的值。它由單向Hash加密算法對所需加密的明文直接作用,生成一串128bit的密文,這一串密文又被稱為“數字指紋”(FingerPrint)。所謂單向是指不能被解密,不同的明文摘要成密文,其結果是絕不會相同的,而同樣的明文其摘要必定是一致的,因此,這串摘要成為了驗證明文是否是“真身”的數字“指紋”了。
結語:本文分析了目前電子商務的安全需求,使用的安全技術及仍存在的問題,并指出了與電子商務安全有關的協議技術使用范圍及其優缺點,但必須強調說明的是,電子商務的安全運行,僅從技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。
參考文獻:
[1]吳洋.電子商務安全方法研究[D].天津大學,2006.
[2]李艷.電子商務信息安全策略研究[J].甘肅科技,2005,(06)
[3]成衛青,龔儉.網絡安全評估[J].計算機工程,2003,(02).
[4]大衛·范胡斯.電子商務經濟學[M].北京:機械工業出版社,2003.
[5]楊善林.電子商務概論[M].北京:機械工業出版社,2003.
[6]劉麗梅.電子商務信息安全問題探討[J].物流科技,2007,3
在經濟增長的同時,目前確實還存在著與“十一五”規劃要求相悖的傾向:
連續多年,我國投資增長速度高于消費和國內生產總值的增長速度,使得投資率不斷上升,增大了調整投資與消費的比例關系的難度。“十一五”規劃要求,“要進一步擴大國內需求,調整投資和消費的關系,合理控制投資規模,增強消費對經濟增長的拉動作用。”但今年上半年投資的增長速度明顯高于消費,不僅使得經濟增長過多依賴于投資,而且目前投資還有進一步加快的趨勢。如果這種投資波動的態勢演變成長期趨勢,將不利于“十一五”規劃關于調整投資與消費比例關系任務的完成。
產業結構升級是提高經濟增長質量、轉變經濟增長方式的重要標志,產業結構升級一方面要使第一產業占GDP的比重下降,另一方面要不斷提升服務業占GDP的比重。而要實現后一條,則要求服務業的增長速度高于第二產業增加值的增長速度。從2005年的統計數字看,服務業增長低于第二產業增長;今年上半年的統計數字仍然顯示,服務業增長低于第二產業增長。“十一五”規劃要求“產業結構優化升級。產業、產品、企業組織結構更趨合理,服務業增加值占國內生產總值比重和就業人員占全社會就業人員比重分別提高3個和4個百分點。”而目前的狀況是,服務業增長低于第二產業增長的趨勢仍將繼續下去。
關鍵詞:電子商務;安全措施;探討
1 引言
電子商務是通過電子方式處理和傳遞數據,它涉及許多方面的活動,包括貨物電子貿易和服務、在線數據傳遞、電子資金劃拔、電子證券交易、商業拍賣、合作設計和工程、在線資料、公共產品獲得等內容。電子商務的發展勢頭非常驚人,但它的產值在全球生產總值中卻只占極小的份額,其原因就在于電子商務的安全問題,根據美國一個調查機構對近30000名因特網用戶的調查顯示,由于擔心電子商務的安全性問題,超過60%的網民不愿意進行網上交易, 因此,如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為影響到電子商務健康發展的關鍵性課題。
2 電子商務對安全的要求
對電子商務活動安全性的需求以及可使用的網絡安全措施,主要包含如下幾方面。
(1)如何確定通信中的貿易伙伴的真實性?常用的處理技術是身份認證,依賴某個可信賴的機構發放證書,雙方交換信息之前通過CA獲取對方的證書,并以此識別對方。
(2)如何保證電子單證的秘密性,防范電子單證的內容被第三方讀取?常用的處理技術是數據加密和解密。
(3)如何保證被傳輸的業務單證不會丟失,或者發送方可以察覺所發單證的丟失?對于固定且具有頻繁貿易往來的伙伴,可以采用單證傳輸的序列性檢驗;也可采用雙方約定的方法(即在規定的時間內,通過某種方式進行確認)。
(4)如何確定電子單證的內容未被篡改;單證傳輸完整性主要采用散列技術來防止非法用戶對單證的篡改,通過散列算法對被傳輸的單證進行處理,產生一個依賴于該單證的短小的散列值,并將該散列值附接在單證之后傳輸給接收方。以便接收方采用相同的散列算法對接收的單證進行檢驗。
(5)如何確定電子單證的真實性?鑒別單證真實性的主要手段是數字簽名技術,其基礎是數據加密中的公開密鑰加密技術,實用中常結合單證完整性一起考慮,利用發送方的密鑰對散列值進行加密。
(6)如何解決或者仲裁收發雙方對交換的單證所產生的爭議,包括發方或收方可能的否認或抵賴?通常要求引入認證中心進行管理,由CA發放密鑰,傳輸的單證及其簽名的備份發至CA保存,作為可能爭議的仲裁依據。
(7)如何保證存儲信息的安全性?如何規范內部管理?如何使用訪問控制權限和日志以及敏感信息加密存儲?當使用WWW服務器支持電子商務活動時,應注意數據的備份和恢復,并采用防火墻技術來保護內部網絡的安全性。
3 電子商務采用的主要安全技術
為了確保電子商務在交易過程中信息有效、真實、可靠且保密,目前主要采用的安全技術有加密技術、身份認證技術和交易的安全認證協議。安全認證協議用來保證電子商務中交易的安全性,如set、ssl、s/mime、s-http等。下面我們主要來介紹這些技術。
3.1 加密技術
加密技術是電子商務系統所采取的最基本的安全措施,加密的主要目的是防止信息的非授權泄漏。密碼算法是一些數學公式、法則或程序,算法中的可變參數是密鑰。根據密碼算法所使用的加密密鑰和解密密鑰是否相同,能否由加密密鑰推導出解密密鑰,可以將密碼算法分為對稱密碼算法和非對稱密碼算法。一般來說,在一個加密系統中,信息使用加密密鑰加密后,接收方使用解密密鑰對密文解密得到原文。
3.1.1 對稱加密/對稱密鑰加密
在對稱加密方法中,對信息的加密和解密都使用相同的密鑰,即一把鑰匙開一把鎖。這樣可以簡化加密的處理,每個交易方都不必彼此研究和交換專用的加密算法。如果進行通信的交易各方能夠確保在密鑰交換階段未曾發生私有密鑰泄漏,那么機密性和報文完整性就可以得以保證。這樣密鑰安全交換是關系到對稱加密有效的核心環節。而對稱加密技術存在著在通信的交易各方之間確保密鑰安全交換的問題。對稱加密方式存在的另一個問題是無法鑒別貿易發起方或貿易最終方。因為貿易雙方共享同一把專用密鑰,貿易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。目前常用的對稱加密算法有DES、PCR、IDEA等。其中DES使用最普遍,被采用為數據加密的標準。
3.1.2 非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把私有密鑰或解密密鑰)。密鑰對生成后,公開密鑰以非保密方式對外公開,只對應于生成該密鑰的者;私有密鑰則保存在密鑰方手中。任何得到公開密鑰的用戶都可使用該密鑰加密信息發送給該公開密鑰的者,而者得到加密信息后,使用與公開密鑰相應對的私有密鑰進行解密。由此可知,公開密鑰用于對機密性的加密,私有密鑰則用于對加密信息的解密。目前常用的非對稱加密算法是RSA算法。它是非對稱加密領域內最為著名的算法,但是它存在的主要問題是算法的運算速度較慢,并且也難以做到一次一密。因此,在實際的應用中通常不采用這一算法對信息量大的信息進行加密。對于加密量大的應用,公開密鑰加密算法通常用于對稱加密方法密鑰的加密。
3.2 身份認證技術
身份認證技術保證電子商務安全不可缺少的又一重要技術手段。常見的安全認證技術有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等技術。
3.2.1 數字摘要
數字摘要是一種防止數據被改動的方法,它采用單向HASH函數將需要加密的文件中若干重要元素進行某種變換運算得到固定長度的摘要碼,并在傳輸信息時將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進行變換運算,若得到的結果與發送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。在數字摘要中HASH函數的輸入可以是任意大小的文件消息,而輸出是一個固定長度的摘要。且摘要有這樣一個性質,如果改變了輸入消息中的任何東西,甚至只有一位,輸出的摘要將會發生不可預測的改變,故而常用數字摘要來判定信息是否被篡改的一項重要技術。
3.2.2 數字信封
在大批數據加密中所使用的對稱密碼是隨機產生的,而接收方也需要此密碼才能對消息進行正確的解密。對稱密鑰的傳遞需要加密進行,即發送方用接收方的公鑰加密此對稱密鑰。這樣只有接收方用自己的私鑰才能正確地解密此對稱密鑰,從而正確地解密消息。這種加密傳送密鑰的方法稱為數字信封。數字信封技術可以保證接收方的唯一性。即使信息在傳送途中被監聽或截獲,由干第三方并沒有接收方的密鑰,也不能對信息進行正確的解密。
3.2.3 數字簽名
數字簽名能夠實現對原始報文的鑒別與驗證,保證報文的完整性、權威性和發送者對所發報文的不可抵賴性。在實際生活中,簽名通常采用書面形式,由甲乙雙方完成,在網絡環境下,可以用電子簽名作為模擬。
數字簽名是將數字摘要和公鑰算法兩種加密方法結合起來使用,其可以在提供數據完整性的同時保證數據的真實性。完整性保證傳輸的數據未被篡改,真屬性則保證傳輸過來的數據是由合法者產生的,而不是由其他人假冒。如假設用戶A要寄信給用戶B,他們互相知道對方的公鑰,A用自己的私鑰將簽名內容加密,附加在郵件中,再用B的公鑰將整個郵件加密(注意這里的次序,如果先加密再簽名的話,別人可以將簽名去掉后簽上自己的簽名,從而篡改了簽名)。這樣這份密文被B收到后,B用自己的私鑰將郵件解密,得到A的原文和數字簽名,然后用A的公鑰解密簽名,這樣一來就保兩方面的安全了。
3.2.4 數字時間戳
在電子商務的交易文件中,時間是一條重要的信息,文件的簽署日期和簽名一樣均是防止文件被偽造和篡改的關鍵性內容。為了防止在電子交易中,文件簽署的時間信息被修改,數字時間戳提供了相應的安全保護。數字時間戳服務(DTS)是由專門的機構提供的。數字時間戳是一個經加密處理后形成的憑證文檔,它包括三個部分:需加時間戳的文件摘要;DTS機構收到文件的日期和時間;DTS機構的數字簽名。
3.2.5 數字證書
數字證書是由證書授權中心CA管理和發放的。CA是數字證書的最高管理機構,是安全電子交易的核心環節。它作為電子商務交易中中立的、受信任的、可仲裁的第三方,也是為了解決電子商務中,交易雙方的信息和身份驗證問題,從根本上保障電子商務交易活動順利進行而設立的。在交易支付的過程中,參與各方為了證實自己的身份,需到第三方即認證中心(CA)去認證。數字證書就是認證中心為交易各方頒發的身份憑證。它是一個經CA數字簽名的、包含證書申請者(公開密鑰擁有者)個人信息及其公開密鑰的文件。任何交易雙方只有申請到相應的數字證書,才能參加安全電子商務的網上交易。
3.3 安全認證協議
目前電子商務中有兩種安全認證協議被廣泛使用,即安全套接層SSL協議和安全電子交易SET協議。
3.3.1 SSL協議
SSL安全協議的中文全稱是“加密套接字協議層”,最初由Netscape公司推出的一種基于RSA和保密密鑰的安全通信協議,是目前使用最廣泛的電子商務協議。該協議位于HTTP協議層和TCP協議層之間,向基于TCP/IP的客戶/服務器應用程序,提供了客戶端和服務器的鑒別、數據完整性及信息機密性等安全措施。該協議在應用程序進行數據交換前,通過交換SSL初始握手信息來實現有關安全特性的審查。SSL協議可內置于用戶瀏覽器和商家的服務器中,能方便而低開銷地進行信息加密,多用于WEB信用卡的傳送。這樣利用它能夠對信用卡和個人信息提供較強的保護。
SSL協議運行的基點是商家對客戶信息保密的承諾。客戶的信息往往首先傳到商家,商家閱讀后再傳到銀行;這樣,客戶資料的安全性便受到威脅。另外,整個過程只有商家對客戶的認證,缺少客戶對商家的認證,不能防止商家利用獲取的信用卡號進行欺詐。隨著電子商務與廠商的迅速增加,對廠商的認證問題越來越突出,SSL協議的缺點則越加明顯。SSL協議逐漸被新的SET協議所取代。
3.3.2 SET 協議
SET協議的中文全稱“安全電子交易協議”,它向基于信用卡進行電子化交易的應用提供了實現安全措施的規則。它是由Vsia國際組織 和Mastercard組織聯合國際上多家科技機構,共同制定的應用于INTERNET上的以銀行卡為基礎進行在線交易的安全技術標準。它采用公鑰密碼體制和X.509數字證書標準,主要應用于保障網上購物信息的安全性。SET主要由3個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證。它可以對交易各方進行認證,可防止商家身份的欺詐。為了進一步加強安全性,使用兩組密鑰對分別用于加密和簽名,通過雙簽名機制將訂購信息同賬戶信息鏈在一起簽名。由于設計較為合理,得到了諸如微軟公司、IBM公司、Netscape公司等大公司的支持,已成為實際上工業技術標準。
SET協議的不足之處在于協議復雜,且只適用于用戶安裝了“電子錢包”的場合。根據統計,在一個典型的SET交易過程中,需驗證數字證書9次,驗證數字簽名6次;需傳送證書7次,進行5次簽名、4次對稱加密和4次非對稱加密;整個交易過程可能會花費1.5~2分鐘。
4 電子商務安全需要進一步完善的配套措施
電子商務要真正成為一種主導的商務模式,尤其對發展中的中國來說,發展電子商務,就必須從以下幾個方面來完善配套措施:
(1)突破關鍵技術受制于人的瓶頸。當前不僅國內幾乎所有的主機、交換機、路由器、網絡操作系統都來自國外,而且美國對出口別國的產品實行密鑰信前控制和長密鑰限制,因此我們必須依靠自身的力量研制自己的加密算法,以保證中國電子商務的正常發展。
(2)我國應盡快對電子商務的有關細則進行立法。當前大多數人信息安全意識淡薄,以銀行和金融界來看,大家對安全方面的重視還不夠,由于有關電子商務的立法和管理剛剛開始,有人開玩笑說“電子商務目前是個‘三無’行業:無法可依、無安全可言、無規可循”,當然這種說法欠妥,但目前我國關于網絡安全的法律的確還有待完善。
(3)大力開發大型商務網站、發展與之相配套的物流公司。目前我國的電子商務沒有真正深入商務領域而僅僅局限于信息領域,這必將影響我國電子商務進一步的發展。
參考文獻
[1]周明,黃元江,李建設.株洲工學院學報[J].電子商務中的安全技術研究,2005.1.
[2]張娟.甘肅科技縱橫[M].電子商務網絡安全技術探究,2005.4.
[3]趙乃真.電子商務技術與應用[M].中國鐵道出版社,2003.
我國發展電子商務的環境逐步完善,國家有關電子商務的政策、法規即將出臺,已為電子商務的發展建立了基本的條件。由于電子商務可以降低成本.增加貿易機會,簡化貿易流通過程,提高生產力,改善物流和金流、商品流.信息流的環境與系統雖然電子商務發展勢頭很強,但其貿易額所占整個貿易額的比例仍然很低。影響其發展的首要因素是安全問題.網上的交易是一種非面對面交易,因此“交易安全“在電子商務的發展中十分重要。電子商務的安全從整體上可分為兩大部分.計算機網絡安全和商務交易安全。計算機網絡安全包括計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。其特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案.以保證計算機網絡自身的安全性為目標。如何保障電子商務過程的順利進行。即實現電子商務的完整性,安全性是本文描述的重點。
二、電子商務在網絡中存在的安全隱患
1.用戶身份的常用認證問題。
1.1所攜帶內容必須完整包含帳號密碼,或類似的完整安全信息。
1.2必須所有需要權限操作的頁面都必須執行認證判斷的操作。
2.大量數據查詢導致拒絕服務。許多網站對用戶輸入內容的判斷在前臺,用JavaScript判斷,如果用戶繞過前臺判斷,就能對數據庫進行全查詢,如果數據庫比較龐大,會耗費大量系統資源,如果同時進行大量的這種查詢操作,就會有DenialofService(DoS拒絕服務)同樣的效果。
3.假冒由于掌握了數據的格式。以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
4.客戶端數據的完整性和有效性。
4.1MicrosoftASP腳本。普遍存在的問題是程序員在編寫ASP腳本時,缺少或沒有對客戶端輸入的數據/變量進行嚴格的合法性分析。無意或有意輸入的特殊字符可能由于其特殊含義改變了腳本程序,從而使腳本運行出錯或執行非法操作。因此,如果攻擊者輸入某些特定sql語句,可能造成數據庫資料丟失/泄漏/甚至威脅整個站點的安全。比如攻擊者可以任意創建或者刪除表(如果可以猜測出已存在的表名),清除或者更改數據庫數據。攻擊者也可能通過執行一些儲存過程函數,將sql語句的輸出結果通過電子郵件發送給自己,或者執行系統命令。
4.2特殊字符的過濾。在許多編程語言、開發軟件工具、數據庫甚至操作系統中遺漏其中某些特殊字符的情況時常出現,從而導致出現帶有普遍性的安全問題。由于攻擊者可以接入網絡.則可能對網絡中的信息進行修改.掌握網上的機要信息.甚至可以潛入網絡內部.其后果是非常嚴重的。
5.偽造電子郵件。虛開網上商店。給用戶發電子郵件,偽造大量用戶的電子郵件,窮盡商家資源,使合法用戶不能訪問網絡。使有嚴格時間要求的服務不能及時得到響應。
6.截獲傳輸信息。攻擊者可能通過公共電話網、互聯網或在電磁波輻射范圍內安裝接收裝置等方式。截取機密信息;或通過對信息長度、流量、流向和通信頻度等參數進行分析。獲得如用戶賬號、密碼等有用信息。
三、電子商務與網絡安全技術
為了提高電子商務的安全性.可以采用多種網絡安全技術和協議.這些技術和協議各自有一定的使用范圍,可以給電子商務交易活動提供不同程度的安全保障。
1.數據加密技術。防火墻技術是一種被動的防衛技術.它難以對電子商務活動中不安全的因素進行有效的防衛。因此.要保障電子商務的交易安全.就應當用當代密碼技術來助陣。加密技術是電子商務中采取的主要安全措施,貿易方可根據需要在信息交換的階段使用。目前。加密技術分為兩類,即對稱加密/對稱密鑰加密/專用密鑰加密和非對稱加密/公開密鑰加密。現在許多機構運用PKI的縮寫,即公開密鑰體系技術實施構建完整的加密/簽名體系,更有效地解決上述難題,在充分利用互聯網實現資源共享的前提下,從真正意義上確保了網上交易與信息傳遞的安全。
2.智能化防火墻技術。防火墻是目前主要的網絡安全設備。防火墻通常使用的安全控制手段主要有包過濾、狀態檢測、服務由于它假設了網絡的邊界和服務,對內部的非法訪問難以有效地控制。因此.最適合于相對獨立的與外部網絡互連途徑有限、網絡服務種類相對集中的單一網絡(如常見的企業專用網)防火墻的隔離技術決定了它在電子商務安全交易中的重要作用。隨著防火墻的升級換代市場上出現了智能型防火墻,智能防火墻從技術特征上是利用統計、記憶、概率和決策的智能方法來對數據進行識別,并達到訪問控制的目的。新的方法消除了匹配檢查所需要的海置計算,高效發現網絡行為的特征值,直接進行訪問控制。新型智能防火墻自身的安全性較傳統的防火墻有很大的提高。在特權最小化、系統最小化、內核安全、系統加固、系統優化和網絡性能最大化方面,與傳統防火墻相比較有質的飛躍。
3.身份識別認證技術。身份認證又稱為鑒別或確認,它通過驗證被認證對象的一個或多個參數的真實性與有效性來證實被認證對象是否符合或是否有效的一種過程,用來確保數據的真實性。身份識別問題是一個必須解決的同題。一方面,只有合法用戶才可以使用網絡資源,所以網絡資源管理要求識別用戶的身份;另一方面,傳統的交易方式,交易雙方可以面對面地談判交涉。很容易識別對方的身份。通過電子網絡交易方式。交易雙方不見面,并且通過普通的電子傳輸信息很難確認對方的身份,因此,電子商務中的身份識別問題顯得尤為突出。防止攻擊者假冒篡改等。一般來說。用人的生理特征參數如指紋識別、虹膜識別)進行認證的安全性很高。但目前這種技術存在實現困難、成本很高的缺點。目前,計算機通信中采用的參數有口令、標識符密鑰、隨機數等。而且一般使用基于證書的公鑰密碼體制(PKI)身份認證技術。要實現基于公鑰密碼算法的身份認證需求。就必須建立一種信任及信任驗證機制。即每個網絡上的實體必須有一個可以被驗證的數字標識這就是數字證書(Certifi2cate)”。數字證書是各實體在網上信息交流及商務交易活動中的身份證明。具有唯一性。證書基于公鑰密碼體制.它將用戶的公開密鑰同用戶本身的屬性(例如姓名,單位等)聯系在一起。這就意味著應有一個網上各方都信任的機構專門負責對各個實體的身份進行審核,并簽發和管理數字證書,這個機構就是證書中心(certificateauthorities.簡稱CA。
關鍵詞:網上銀行 網絡支付 安全性問題
隨著電子商務技術的發展,網上銀行的使用也越來越廣泛,但是網上銀行還存在很大的安全問題,必須引起廣大網民群眾的重視。
一、我國網上銀行存在的安全性問題
1.網上銀行網站存在的安全性問題
在網絡銀行中,企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法,即便登錄失敗,網站也不會將密碼視為無效。除了用軟件竊取密碼這樣的隱憂以外,“冒充站點”也是網上銀行使用中一個非常重要的安全隱患。客戶在不了解情況時就會向虛假站點發送ID和密碼。客戶發送完畢后,如果顯示出一個“服務馬上就要停止”的畫面,或者把客戶訪問重新引導到正規站點上,客戶當時是很難察覺的。這樣一來,就存在有人進行非法資金轉移的可能性。
2.交易信息在商家與銀行之間傳遞的安全性問題
因為互聯網的虛擬性,交易雙方無法確保對方身份的真實性,尤其在當事人僅僅通過互聯網交流時,在這種情況下,要建立交易雙方的信用機制和安全感是非常困難的。資金在網上劃撥,安全性是最大問題,發展網上銀行業務,大量經濟信息在網上傳遞。而在以網上支付為核心的網上銀行,電子商務最核心的部分包括CA認證在內的電子支付流程。就是說國內目前的網上銀行還不能算真正的網上銀行,只有真正建立起國家金融權威認證中心(CA)系統,才能為網上支付提供法律保障。
3.交易信息在消費者與銀行之間傳遞的安全性問題
目前,我國銀行卡持有人安全意識普遍較弱,不注意密碼保密,或將密碼設為生日等易被猜測的數字。一旦卡號和密碼被他人竊取或猜出,用戶賬號就可能在網上被盜用,例如進行購物消費等,從而造成損失,而銀行技術手段對此卻無能為力。因此一些銀行規定:客戶必須持合法證件到銀行柜臺簽約才能使用“網上銀行”進行轉賬支付,以此保障客戶的資金安全。另一種情況是,客戶在公用的計算機上使用網上銀行,可能會使數字證書等機密資料落入他人之手,從而直接使網上身份識別系統被攻破,網上賬戶被盜用。用戶和銀行之間通過互聯網傳遞的信息是實現交易的基礎條件,如何確保不被第三方知道,是網上業務安全進行的一個重要前提。
綜上所述,其根本原因都是由于登錄密碼或支付密碼泄露造成的。①密碼管理問題。②網絡病毒、木馬問題。③釣魚平臺。另外還有網上支付的信用問題、網上支付的法律問題和網上安全認證機構(CA)建設混亂等問題。
二、網上銀行安全性問題解決的對策
1.做好自身電腦的日常安全維護
一是經常給電腦系統升級。二是安裝殺毒軟件、防火墻,經常升級和殺毒。三在平時上網是盡量不上一些小型網站,選大型網站,知名度比較高的網站,避免網站掛有病毒、木馬造成中毒。四盡量不要在公共電腦上使用自己的有關資金的賬戶和密碼。五有條件的情況下,在初裝系統后確認電腦安全的后,給自己的電腦做上備份,在使用資金賬戶前做一次系統恢復。
2.設立防火墻,隔離相關網絡
所謂防火墻指的是位與不同網絡安全域之間的軟件和硬件設備的一系列部件的組合,作為不同網絡安全域之間通信流的唯一通道,并根據用戶的有關策略控制進出不同網絡安全域的訪問。現實生活中一般采用多重防火墻方案,分隔互聯網與交易服務器,防止互聯網用戶的非法入侵;還用于交易服務器與銀行內部網的分隔,有效保護銀行內部網,同時防止內部網對交易服務器的入侵。
3.設置高安全級的web應用服務器
高安全級的web服務器使用可信的專用操作系統,憑借其獨特的體系結構和安全檢查,保證只有合法用戶的交易請求能通過特定的程序送至應用服務器進行后續處理。
4.建立完善的身份認證和CA認證系統
在網上銀行系統中,用戶的身份認證依靠基于“RSA公鑰密碼體制”的加密機制、數字簽名機制和用戶登錄密碼的多重保證。銀行對用戶的數字簽名和登錄密碼進行檢驗,全部通過后才能確認該用戶的身份。用戶的惟一身份標識就是銀行簽發的“數字證書”。用戶的登錄密碼以密文的方式進行傳輸,確保了身份認證的安全可靠性。數字證書的引入,同時實現了用戶對銀行交易網站的身份認證,以保證訪問的是真實的銀行網站,另外還確保了客戶提交的交易指令的不可否認性。由于數字證書的惟一性和重要性,各家銀行為開展網上業務都成立了CA認證機構,專門負責簽發和管理數字證書,并進行網上身份審核。2000年6月,由中國人民銀行牽頭,12家商業銀行聯合共建的中國金融認證中心(CFCA)正式掛牌運營。這標志著中國電子商務進入了銀行安全支付的新階段。中國金融認證中心作為一個權威的、可信賴的、公正的第三方信任機構,為今后實現跨行交易提供了身份認證基礎。
5.加強客戶的安全意識和網絡通訊的安全性
銀行卡持有人的安全意識是影響網上銀行安全性的不可忽視的重要因素。一些銀行規定:客戶必須持合法證件到銀行柜臺簽約才能使用“網上銀行”進行轉賬支付,以此保障客戶的資金安全。另一種情況是,客戶在公用的計算機上使用網上銀行,可能會使數字證書等機密資料落入他人之手,從而直接使網上身份識別系統被攻破,網上賬戶被盜用。
安全性作為網絡銀行賴以生存和得以發展的核心及基礎,從一開始就受到各家銀行的極大重視,都采取了有效的技術和業務手段來確保網上銀行安全。但安全性和方便性又是互相矛盾的,越安全就意味著申請手續越煩瑣,使用操作越復雜,影響了方便性,使客戶使用起來感到困難。因此,必須在安全性和方便性上進行權衡。
互聯網是一個開放的網絡,客戶在網上傳輸的敏感信息在通訊過程中存在被截獲、被破譯、被篡改的可能。為了防止此種情況發生,網上銀行系統一般都采用加密傳輸交易信息的措施,使用最廣泛的是SSL數據加密協議。
參考文獻:
[1]孫強.互聯網商務應用[M].北京:對外經濟貿易大學出版社,2000.
[2]關翔.中國電子商務與實踐[M].北京:清華大學出版社,2000.
[關鍵詞]網上銀行;網絡支付;安全性問題
隨著電子商務技術的發展,網上銀行的使用也越來越廣泛,但是網上銀行還存在很大的安全問題,必須引起廣大網民群眾的重視。
一、我國網上銀行存在的安全性問題
1.網上銀行網站存在的安全性問題
在網絡銀行中,企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法,即便登錄失敗,網站也不會將密碼視為無效。除了用軟件竊取密碼這樣的隱憂以外,“冒充站點”也是網上銀行使用中一個非常重要的安全隱患。客戶在不了解情況時就會向虛假站點發送ID和密碼。客戶發送完畢后,如果顯示出一個“服務馬上就要停止”的畫面,或者把客戶訪問重新引導到正規站點上,客戶當時是很難察覺的。這樣一來,就存在有人進行非法資金轉移的可能性。
2.交易信息在商家與銀行之間傳遞的安全性問題
因為互聯網的虛擬性,交易雙方無法確保對方身份的真實性,尤其在當事人僅僅通過互聯網交流時,在這種情況下,要建立交易雙方的信用機制和安全感是非常困難的。資金在網上劃撥,安全性是最大問題,發展網上銀行業務,大量經濟信息在網上傳遞。而在以網上支付為核心的網上銀行,電子商務最核心的部分包括CA認證在內的電子支付流程。就是說國內目前的網上銀行還不能算真正的網上銀行,只有真正建立起國家金融權威認證中心(CA)系統,才能為網上支付提供法律保障。
3.交易信息在消費者與銀行之間傳遞的安全性問題
目前,我國銀行卡持有人安全意識普遍較弱,不注意密碼保密,或將密碼設為生日等易被猜測的數字。一旦卡號和密碼被他人竊取或猜出,用戶賬號就可能在網上被盜用,例如進行購物消費等,從而造成損失,而銀行技術手段對此卻無能為力。因此一些銀行規定:客戶必須持合法證件到銀行柜臺簽約才能使用“網上銀行”進行轉賬支付,以此保障客戶的資金安全。另一種情況是,客戶在公用的計算機上使用網上銀行,可能會使數字證書等機密資料落入他人之手,從而直接使網上身份識別系統被攻破,網上賬戶被盜用。用戶和銀行之間通過互聯網傳遞的信息是實現交易的基礎條件,如何確保不被第三方知道,是網上業務安全進行的一個重要前提。
綜上所述,其根本原因都是由于登錄密碼或支付密碼泄露造成的。①密碼管理問題。②網絡病毒、木馬問題。③釣魚平臺。另外還有網上支付的信用問題、網上支付的法律問題和網上安全認證機構(CA)建設混亂等問題。
二、網上銀行安全性問題解決的對策
1.做好自身電腦的日常安全維護
一是經常給電腦系統升級。二是安裝殺毒軟件、防火墻,經常升級和殺毒。三在平時上網是盡量不上一些小型網站,選大型網站,知名度比較高的網站,避免網站掛有病毒、木馬造成中毒。四盡量不要在公共電腦上使用自己的有關資金的賬戶和密碼。五有條件的情況下,在初裝系統后確認電腦安全的后,給自己的電腦做上備份,在使用資金賬戶前做一次系統恢復。
2.設立防火墻,隔離相關網絡
所謂防火墻指的是位與不同網絡安全域之間的軟件和硬件設備的一系列部件的組合,作為不同網絡安全域之間通信流的唯一通道,并根據用戶的有關策略控制進出不同網絡安全域的訪問。現實生活中一般采用多重防火墻方案,分隔互聯網與交易服務器,防止互聯網用戶的非法入侵;還用于交易服務器與銀行內部網的分隔,有效保護銀行內部網,同時防止內部網對交易服務器的入侵。
3.設置高安全級的web應用服務器
高安全級的web服務器使用可信的專用操作系統,憑借其獨特的體系結構和安全檢查,保證只有合法用戶的交易請求能通過特定的程序送至應用服務器進行后續處理。
4.建立完善的身份認證和CA認證系統
在網上銀行系統中,用戶的身份認證依靠基于“RSA公鑰密碼體制”的加密機制、數字簽名機制和用戶登錄密碼的多重保證。銀行對用戶的數字簽名和登錄密碼進行檢驗,全部通過后才能確認該用戶的身份。用戶的惟一身份標識就是銀行簽發的“數字證書”。用戶的登錄密碼以密文的方式進行傳輸,確保了身份認證的安全可靠性。數字證書的引入,同時實現了用戶對銀行交易網站的身份認證,以保證訪問的是真實的銀行網站,另外還確保了客戶提交的交易指令的不可否認性。由于數字證書的惟一性和重要性,各家銀行為開展網上業務都成立了CA認證機構,專門負責簽發和管理數字證書,并進行網上身份審核。2000年6月,由中國人民銀行牽頭,12家商業銀行聯合共建的中國金融認證中心(CFCA)正式掛牌運營。這標志著中國電子商務進入了銀行安全支付的新階段。中國金融認證中心作為一個權威的、可信賴的、公正的第三方信任機構,為今后實現跨行交易提供了身份認證基礎。
5.加強客戶的安全意識和網絡通訊的安全性
銀行卡持有人的安全意識是影響網上銀行安全性的不可忽視的重要因素。一些銀行規定:客戶必須持合法證件到銀行柜臺簽約才能使用“網上銀行”進行轉賬支付,以此保障客戶的資金安全。另一種情況是,客戶在公用的計算機上使用網上銀行,可能會使數字證書等機密資料落入他人之手,從而直接使網上身份識別系統被攻破,網上賬戶被盜用。
安全性作為網絡銀行賴以生存和得以發展的核心及基礎,從一開始就受到各家銀行的極大重視,都采取了有效的技術和業務手段來確保網上銀行安全。但安全性和方便性又是互相矛盾的,越安全就意味著申請手續越煩瑣,使用操作越復雜,影響了方便性,使客戶使用起來感到困難。因此,必須在安全性和方便性上進行權衡。
互聯網是一個開放的網絡,客戶在網上傳輸的敏感信息在通訊過程中存在被截獲、被破譯、被篡改的可能。為了防止此種情況發生,網上銀行系統一般都采用加密傳輸交易信息的措施,使用最廣泛的是SSL數據加密協議。
參考文獻:
[1]孫強.互聯網商務應用[M].北京:對外經濟貿易大學出版社,2000.
[2]關翔.中國電子商務與實踐[M].北京:清華大學出版社,2000.
關鍵詞:電子商務 信息安全 安全技術
伴隨經濟的迅猛發展,電子商務成為當今世界商務活動的新模式。要在國際競爭中贏得優勢,必須保證電子商務中信息交流的安全。
一、電子商務的信息安全問題
電子商務信息安全問題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠,攻擊者通過互聯網、公共電話網在電磁波輻射范圍內安裝截獲裝置或在數據包通過網關和路由器上截獲數據,獲取機密信息或通過對信息流量、流向、通信頻度和長度分析,推測出有用信息。2.信息的篡改:當攻擊者熟悉網絡信息格式后,通過技術手段對網絡傳輸信息中途修改并發往目的地,破壞信息完整性。3.信息假冒:當攻擊者掌握網絡信息數據規律或解密商務信息后,假冒合法用戶或發送假冒信息欺騙其他用戶。4.交易抵賴:交易抵賴包括多方面,如發信者事后否認曾發送信息、收信者事后否認曾收到消息、購買者做了定貨單不承認等。
二、信息安全要求
電子商務的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護。信息安全包括以下幾方面:
1.信息保密性:維護商業機密是電子商務推廣應用的重要保障。由于建立在開放網絡環境中,要預防非法信息存取和信息傳輸中被竊現象發生。2.信息完整性:貿易各方信息的完整性是電子商務應用的基礎,影響到交易和經營策略。要保證網絡上傳輸的信息不被篡改,預防對信息隨意生成、修改和刪除,防止數據傳送中信息的失和重復并保證信息傳送次序的統一。3.信息有效性:保證信息有效性是開展電子商務前提,關系到企業或國家的經濟利益。對網絡故障、應用程序錯誤、硬件故障及計算機病毒的潛在威脅控制和預防,以保證貿易數據在確定時刻和地點有效。4.信息可靠性:確定要交易的貿易方是期望的貿易方是保證電子商務順利進行的關鍵。為防止計算機失效、程序錯誤、系統軟件錯誤等威脅,通過控制與預防確保系統安全可靠。
三、信息安全技術
1.防火墻技術。防火墻在網絡間建立安全屏障,根據指定策略對數據過濾、分析和審計,并對各種攻擊提供防范。安全策略有兩條:一是“凡是未被準許就是禁止”。防火墻先封閉所有信息流,再審查要求通過信息,符合條件就通過;二是“凡是未被禁止就是允許”。防火墻先轉發所有信息,然后逐項剔除有害內容。
防火墻技術主要有:(1)包過濾技術:在網絡層根據系統設定的安全策略決定是否讓數據包通過,核心是安全策略即過濾算法設計。(2)服務技術:提供應用層服務控制,起到外部網絡向內部網絡申請服務時中間轉接作用。服務還用于實施較強數據流監控、過濾、記錄等功能。(3)狀態監控技術:在網絡層完成所有必要的包過濾與網絡服務防火墻功能。(4)復合型技術:把過濾和服務兩種方法結合形成新防火墻,所用主機稱為堡壘主機,提供服務。(5)審計技術:通過對網絡上發生的訪問進程記錄和產生日志,對日志統計分析,對資源使用情況分析,對異常現象跟蹤監視。(6)路由器加密技術:加密路由器對通過路由器的信息流加密和壓縮,再通過外部網絡傳輸到目的端解壓縮和解密。 2.加密技術。為保證數據和交易安全,確認交易雙方的真實身份,電子商務采用加密技術。數據加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應用的加密技術有:(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿易方甲生成一對密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿易方乙對信息加密后再發給貿易方甲:貿易方甲用另一把專用密鑰對加密信息解密。具有數字憑證身份人員的公共密鑰在網上查到或請對方發信息將公共密鑰傳給對方,保證傳輸信息的保密和安全。(2)數字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數字指紋,有固定長度且不同明文摘要成密文結果不同,而同樣明文摘要必定一致。這串摘要成為驗證明文是否真身的“指紋”。(3)數字簽名:將數字摘要、公用密鑰算法兩種加密方法結合。在書面文件上簽名是確認文件的手段。簽名作用有兩點:一是因為自己簽名難以否認,從而確認文件已簽署;二是因為簽名不易仿冒,從而確定文件為真。(4)數字時間戳: 電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內容,數字時間戳服務能提供電子文件發表時間的安全保護。
3.認證技術。安全認證的作用是進行信息認證。信息認證是確認信息發送者的身份,驗證信息完整性,確認信息在傳送或存儲過程中未被篡改。(1)數字證書:也叫數字憑證、數字標識,用電子手段證實用戶身份及對網絡資源的訪問權限,可控制被查看的數據庫,提高總體保密性。交易支付過程中,參與各方必須利用認證中心簽發的數字證書證明身份。(2)安全認證機構:電子商務授權機構也稱電子商務認證中心。無論是數字時間戳服務還是數字證書發放,都需要有權威性和公正性的第三方完成。CA是承擔網上安全交易認證服務、簽發數字證書并確認用戶身份的企業機構,受理數字證書的申請、簽發及對數字證書管理。
4.防病毒技術。(1)預防病毒技術,通過自身常駐系統內存,優先獲取系統控制權,監視系統中是否有病毒,阻止計算機病毒進入計算機系統和對系統破壞。(2)檢測病毒技術,通過對計算機病毒特征進行判斷的偵測技術,如自身校驗、關鍵字、文件長度變化。(3)消除病毒技術,通過對計算機病毒分析,開發出具有殺除病毒程序并恢復原文件的軟件。另外要認真執行病毒定期清理制度,可以清除處于潛伏期的病毒,防止病毒突然爆發,使計算機始終處于良好工作狀態。
四、結語
信息安全是電子商務的核心。要不斷改進電子商務中的信息安全技術,提高電子商務系統的安全性和可靠性。但電子商務的安全運行,僅從技術角度防范遠遠不夠,還必須完善電子商務立法,以規范存在的各類問題,引導和促進我國電子商務快速健康發展。
參考文獻:
[1]譚衛:電子商務中安全技術的研究.哈爾濱工業大學,2006
1電子商務的主要安全要素
目前電子商務(ElectronicCommerce:是利用計算機技術、網絡技術和遠程通信技術,實現整個商務(買賣)過程中的電子化、數字化和網絡化。人們不再是面對面的、看著實實在在的貨物、靠紙介質單據(包括現金)進行買賣交易。而是通過網絡,通過網上琳瑯滿目的商品信息、完善的物流配送系統和方便安全的資金結算系統進行交易。)工程正在全國迅速發展。實現電子商務的關鍵是要保證商務活動過程中系統的安全性,即應保證在基于Internet的電子交易轉變的過程中與傳統交易的方式一樣安全可靠。從安全和信任的角度來看,傳統的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網絡來聯系,由于距離的限制,因而建立交易雙方的安全和信任關系相當困難。電子商務交易雙方(銷售者和消費者)都面臨安全威脅。電子商務的安全要素主要體現在以下幾個方面:
信息有效性、真實性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
信息機密性
電子商務作為貿易的一種手段,其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
信息完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在1nternet上每個人都是匿名的。原發方在發送數據后不能抵賴;接收方在接收數據后也不能抵賴。
2電子商務的安全技術討論
2.1電子商務的安全技術之一-----數據加密技術
加密技術用于網絡安全通常有二種形式,即面向網絡或面向應用服務。
面向網絡的加密技術通常工作在網絡層或傳輸層,使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息,從而保證網絡的連通性和可用性不受損害。在網絡層上實現的加密技術對于網絡應用層的用戶通常是透明的。此外,通過適當的密鑰管理機制,使用這一方法還可以在公用的互聯網絡上建立虛擬專用網絡并保障虛擬專用網上信息的安全性。
面向網絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法,例如使用kerberos服務的telnet、nfs、rlogion等,以及用作電子郵件加密的pem(privacyenhancedmail)和pgp(prettygoodprivacy)。這一類加密技術的優點在于實現相對較為簡單,不需要對電子信息(數據包)所經過的網絡的安全性能提出特殊要求,對電子郵件數據實現了端到端的安全保障。
1)常用的加密技術分類:
對稱密鑰密碼算法
對稱(傳統)密碼體制是從傳統的簡單換位代替密碼發展而來的,自1977年美國頒布des密碼算法作為美國數據加密標準以來,對稱密鑰密碼體制得到了迅猛發展,得到了世界各國關注和使用。對稱密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類。
不對稱型加密算法
也稱公用密鑰算法,其特點是有二個密鑰即公用密鑰和私有密鑰,只有二者配合使用才能完成加密和解密的全過程。
由于不對稱算法擁有二個密鑰,因此它特別適用于分布式系統中的數據加密,在Internet中得到了廣泛應用。其中公用密鑰在網上公布,為數據源對數據加密使用,而用于解密的相應私有密鑰則由數據的收信方妥善保管。
不可逆加密算法
其特征是加密過程不需要密鑰,并且經過加密的數據無法被解密,只有同樣的輸入數據經過同樣的不可逆加密算法才能得到相同的加密數據。不可逆加密算法不存在密鑰保管和分發問題,適合于分布式網絡系統上使用,但是其加密計算工作量大,所以通常用于數據量有限的情形的加密,例如計算機系統中的口令的加密。
2)電子商務領域常用的加密技術
數字摘要(digitaldigest)
這一加密方法亦稱安全Hash編碼法,由RonRivest所設計。該編碼法采用單向Hash函數將需加密的明文"摘要"成一串128bit的密文,這一串密文亦稱為數字指紋(FingerPrint),它有固定的長度,且不同的明文摘要成密文,其結果總是不同的,而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是"真身"的"指紋"了。
數字簽名(digitalsignature)
數字簽名將數字摘要、公用密鑰算法兩種加密方法結合起來使用。在書面文件上簽名是確認文件的一種手段,簽名的作用有兩點,一是因為自己的簽名難以否認,從而確認了文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。
數字時間戳(digitaltime-stamp)
交易文件中,時間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。在電子交易中,同樣需對交易文件的日期和時間信息采取安全措施,而數字時間戳服務(DTS)就能提供電子文件發表時間的安全保護。
數字時間戳服務(DTS)是網上安全服務項目,由專門的機構提供。時間戳(time-stamp)是一個經加密后形成的憑證文檔,它包括三個部分:1)需加時間戳的文件的摘要(digest),2)DTS收到文件的日期和時間,3)DTS的數字簽名。
數字證書(digitalcertificate,digitalID)
數字證書又稱為數字憑證,是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限。
數字憑證有三種類型:
·個人憑證(PersonalDigitalID)
·企業(服務器)憑證(ServerID)
·軟件(開發者)憑證(DeveloperID)
上述三類憑證中前二類是常用的憑證,第三類則用于較特殊的場合,大部分認證中心提供前兩類憑證。
3)與電子商務安全有關的協議技術討論:
SSL協議(SecureSocketsLayer)安全套接層協議
------面向連接的協議,當初不是為電子商務而設計
SSL協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性,它不能保證信息的不可抵賴性,主要適用于點對點之間的信息傳輸,常用WebServer方式。
SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如HTTP、FTP、TELNET等)以保證應用層數據傳輸的安全性。SSL協議獨立于應用層協議,因此,在電子交易中被用來安全傳送信用卡號碼。
SSL的應用及局限:中國目前多家銀行均采用SSL協議,從目前實際使用的情況來看,SSL還是人們最信賴的協議。但是SSL當初并不是為支持電子商務而設計的,所以在電子商務系統的應用中還存在很多弊端。它是一個面向連接的協議,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證,而電子商務往往是用戶、網站、銀行三家協作完成,SSL協議并不能協調各方間的安全傳輸和信任關系;還有,購貨時用戶要輸入通信地址,這樣將可能使得用戶收到大量垃圾信件。
SET協議(SecureElectronicTransaction)安全電子交易
------專門為電子商務而設計的協議,但仍然不能解決電子商務所遇到全部問題
電子商務在提供機遇和便利的同時,也面臨著一個最大的挑戰,即交易的安全問題。在網上購物的環境中,持卡人希望在交易中保密自己的帳戶信息,使之不被人盜用;商家則希望客戶的定單不可抵賴,并且,在交易過程中,交易各方都希望驗明其他方的身份,以防止被欺騙。針對這種情況,由美國Vi sa和MasterCard兩大信用卡組織聯合國際上多家科技機構,共同制定了應用于Internet上的以銀行卡為基礎進行在線交易的安全標準,這就是"安全電子交易"(SET)。它采用公鑰密碼體制和X.509數字證書標準,主要應用于保障網上購物信息的安全性。由于SET提供了消費者、商家和銀行之間的認證,確保了交易數據的安全性、完整可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為了目前公認的信用卡/借記卡的網上交易的國際安全標準。
SET的局限性:SET是專門為電子商務而設計的協議,雖然它在很多方面優于SSL協議,但仍然不能解決電子商務所遇到的全部問題。
2.2電子商務的安全技術之二------身份認證技術
為解決Internet的安全問題,世界各國對其進行了多年的研究,初步形成了一套完整的Internet安全解決方案,即目前被廣泛采用的PKI(PublicKeyInfrastructure公鑰基礎設施)體系結構。PKI體系結構采用證書管理公鑰,通過第三方的可信機構CA,把用戶的公鑰和用戶的其他標識信息(如名稱、e-mail、身份證號等)捆綁在一起,在Internet網上驗證用戶的身份,PKI體系結構把公鑰密碼和對稱密碼結合起來,在Internet網上實現密鑰的自動管理,保證網上數據的機密性、完整性。
在電子交易中,無論是數字時間戳服務(DTS)還是數字證書(DigitalID)的發放,都不是靠交易的自己能完成的,而需要有一個具有權威性和公正性的第三方(thirdparty)來完成。認證中心(CertificateAuthority)就是承擔網上安全電子交易認證服務、能簽發數字證書、并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字憑證的申請、簽發及對數字憑證的管理。認證中心依據認證操作規定(CertificationPracticeStatement)來實施服務操作。
1)認證系統的基本原理
利用RSA公開密鑰算法在密鑰自動管理、數字簽名、身份識別等方面的特性,可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統。這個可信的第三方認證系統也稱為CA,CA為用戶發放電子證書,用戶之間(比如網銀服務器和某客戶之間)利用證書來保證信息安全性和雙方身份的合法性。
2)認證系統結構
整個系統是一個大的網絡環境,系統從功能上基本可以劃分為CA、RA和WebPublisher。
核心系統根CA放在一個單獨的封閉空間中,為了保證運行的絕對安全,其人員及制度都有嚴格的規定,并且系統設計為一離線網絡。CA的功能是在收到來自RA的證書請求時,頒發證書。一般的個人證書發放過程都是自動進行,無須人工干預。
證書的登記機構RegisterAuthority,簡稱RA,分散在各個網上銀行的地區中心。RA與網銀中心有機結合,接受客戶申請,并審批申請,把證書正式請求通過建設銀行企業內部網發送給CA中心。RA與CA雙方的通信報文也通過RSA進行加密,確保安全。系統的分布式結構適于新業務網點的開設,具有較好的擴充性。通信協議為TCP/IP。
證書的公布系統WebPublisher,簡稱WP,置于Internet網上,是普通用戶和CA直接交流的界面。對用戶來講它相當于一個在線的證書數據庫。用戶的證書由CA頒發之后,CA用E-mail通知用戶,然后用戶須用瀏覽器從這里下載證書。
證書鏈服務(有時也稱"交叉認證")是一個CA擴展其信任范圍或被認可范圍的一種實現機制。如果企業或機構已經建立了自己的CA系統,通過第三方認證中心對該機構或企業的CA簽發CA證書,能夠使得該企業或機構的CA發放的證書被所有信任第三方認證中心的瀏覽器、郵件客戶所信任。
3)中國金融認證中心CFCA的建設情況
中國對電子商務的發展也給予了應有的重視。中國金融認證中心CFCA(ChinaFinancialCertificateAuthority)。已于2000年6月29日開始對社會各界提供證書服務,系統進入運行狀態。中國金融認證中心作為一個權威的、可信賴的、公正的第三方信任機構,為參與電子商務各方的各種認證需求提供證書服務,建立彼此的信任機制,為全國范圍內的電子商務及網上銀行等網上支付業務提供多種模式的認證服務,在不遠的將來實現與國外CA的交叉認證。
2.3電子商務的安全技術之三網上支付平臺及支付網關
網上支付平臺分為CTEC支付體系(基于CTCA/GDCS)和SET支付體系(基于CTCA/SET)。網上支付平臺支付型電子商務業務提供各種支付手段,包括基于SET標準的信用卡支付方式、以及符合CTEC標準的各種支付手段。
目前,在國內可以提供網上支付功能服務或者網上支付網關接口的銀行有:
中國工商銀行牡丹卡中國銀行長城借記卡
中國銀行長城信用卡招商銀行一網通卡
中國建設銀行龍卡MASTER/VISA/JCB卡(適用全球)
上述除中國銀行長城借記卡則采用了SET1.2的加密方式外,其余全部采用SSL-128加密方式。
支付網關位于公網和傳統的銀行網絡之間,其主要功能為:將公網傳來的數據包解密,并按照銀行系統內部的通信協議將數據重新打包;接收銀行系統內部的傳回來的響應消息,將數據轉換為公網傳送的數據格式,并對其進行加密。即支付網關主要完成通信、協議轉換和數據加解密功能,并且可以保護銀行內部網絡。此外,支付網關還具有密鑰保護和證書管理等其它功能。
(一)盜取、篡改信息。電子商務系統的三級架構即電子商務是交易雙方與后臺數據存儲及事務處理服務器的相互關系。由于沒有進行加密保護,一切數據信息在網絡上都容易遭到第三方入侵者的截取。更為嚴重的是,一些網絡黑客會盜取信息內容或篡改信息數據以達到個人目的。
(二)假冒和惡意破壞。由于可以分析傳輸數據格式篡改信息,攻擊者可以冒充合法用戶發送假冒信息而不被遠端用戶察覺。此外,攻擊者還可以接入網絡進行信息篡改,甚至潛入專業的內部網絡,給網絡用戶帶來極大危害。
二、電子商務交易與計算機網絡安全技術探討
物聯網與電子商務的密切聯系意味著為了保證電子商務交易的安全性,計算機網絡安全技術必須適應更高挑戰。未來計算機網絡安全技術涉及到計算機網絡中的各個層次,防護重點主要圍繞電子商務安全的防護技術,如:身份認證,訪問控制、數據安全、通信安全等。
(一)入網訪問控制技術。訪問控制主要是防止網絡資源不被非法利用和訪問,是保護網絡安全的主要戰略之一。入網訪問控制是保證網絡安全的第一層控制,它通過用戶認證和密碼輸入來對網絡用戶進行過濾,控制用戶對網絡資源使用的權利與時間等。對用戶的入網訪問控制主要可以從三個方面出發,分別是用戶名識別與驗證、口令卡與驗證、用戶帳號驗證。這三方面齊全的情況下,用戶才能進入所保護網絡。
(二)防火墻技術。防火墻技術上目前使用的主要是網絡安全設備。它通過過濾、狀態檢查、服務等方式達到安全控制的效果。防火墻隔離技術的高低決定電子商務安全交易與否。目前互聯網中使用的防火墻產品主要分為兩大類,分別基于服務方式和狀態檢測方式。它采用專業的操作系統,能較大程度地保護操作系統不被黑客利用和攻擊。但防火墻也存在固有缺點:一是防火墻只能在每臺主機上安裝防病毒的監控軟件,但不能有效防止病毒軟件或文件的傳輸。二是防火墻不能對一些不經過防火墻的攻擊進行防范。比如:在允許受保護的內部網外部撥號中,可以實現用戶與Internet的直接連接,繞過防火墻監控,造成了潛在的網絡安全問題。因此,應該保證內外部網絡之間通道的唯一性。三是防火墻不能防止數據驅動式攻擊。有些數據表面上看沒有病毒,但一經復制到主機上并對主機發起數據驅動攻擊。因此對來歷不明的數據信息要先進行殺毒或程序認證,防止潛在病毒的變異攻擊。
(三)數據加密技術。防火墻技術對電子商務安全性保障只能起到一種被動防護作用,難以對一些不安全因素進行有效防護。因此,為了保障電子商務的交易安全,需要運用到數據加密技術。數據加密技術作為電子商務中普遍采用的安全措施能彌補防火墻的不足之處。對于數字加密技術的運用,主要是貿易方根據需要用于信息交換的環節之中。目前的加密技術可分為兩大類,即專用密鑰加密與公開密鑰加密。現在許多企業運用到的PKI技術中,密鑰被分解為了公開密鑰與專用密鑰一組,對公開密鑰實現非保密式的公開,對專用密鑰進行加密保存,只有貿易雙方才能掌握密鑰信息。貿易雙方在貿易中利用數字加密技術實現信息交換的過程是:貿易方生產一對密鑰,將其中一把作為公開密鑰,貿易方乙通過公開密鑰對自身機密信息進行加密后發送給貿易方甲,貿易方甲再用自己的專用密鑰進行信息加密。交易雙方只能用自己的專用密鑰對公開密鑰加密的信息進行解密。
(四)電子簽名技術。電子簽名技術在信息安全上主要運用于身份認證、匿名性、數據完整性等方面。電子簽名技術是對公開密鑰加密技術和數字摘要技術的聯合應用。電子簽名技術的工作原理為信息發送方在文本中生產一個128Bit的報文摘要,并用專用密鑰進行加密,形成發送方的電子簽名。這個電子簽名將附加在信息內容中一起發送到接收方,接收方運用對方的公開密鑰進行電子簽名的解密。
(五)目錄控制技術。用戶可以通過設置目錄一級指定的權限來控制網絡用戶對所有文件和子目錄的的瀏覽權限。對目錄和文件訪問權限的控制一般可以通過八種途徑實現,分別是:讀、寫權限,系統管理員權限,創建、修改、刪除權限,文件查找權限,訪問控制權限。
(六)屬性安全控制技術。屬性安全控制技術是在權限安全技術的基礎上對電子商務交易的進一步安全保障。對交易中的雙方的任何網絡資源都應預先標識出一組安全屬性,用戶對網絡資源的訪問權限對應一張訪問控制表,用以表明用戶對網絡資源的訪問能力。