亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦 > 論文大全 > 畢業(yè)論文 > 工商管理 > 電子商務(wù) > 電子商務(wù)安全論文

      電子商務(wù)安全論文

      時(shí)間: 秋梅1032 分享

      電子商務(wù)安全論文

        隨著電子商務(wù)的發(fā)展,電子商務(wù)的安全性問題越來越受到人們的關(guān)注。下文是學(xué)習(xí)啦小編為大家搜集整理的關(guān)于電子商務(wù)安全論文的內(nèi)容,歡迎大家閱讀參考!

        電子商務(wù)安全論文篇1

        淺談電子商務(wù)安全缺陷及策略

        1引言

        近年來隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)的不斷進(jìn)步,特別是得益于互聯(lián)網(wǎng)(Internet)的飛速發(fā)展,使得全球電子商務(wù)的發(fā)展呈現(xiàn)出持續(xù)高速增長的趨勢。電子商務(wù)這種新的商務(wù)模式,從深層次上改變了全球的經(jīng)濟(jì)結(jié)構(gòu)和環(huán)境。根據(jù)美國研究機(jī)構(gòu)For-resterResearch報(bào)告顯示,全球電子商務(wù)交易額逐年攀升。截至2009年年底,全球電子商務(wù)交易額則達(dá)到161357億美元,同比增長25%,2010年,全球電子商務(wù)交易額達(dá)到194697億美元,同比增長20.7%。2009年,世界B2B電子商務(wù)交易額占電子商務(wù)總額的90%以上,B2C和C2C電子商務(wù)交易額共占到總交易額的10%以內(nèi)。另據(jù)我國電子商務(wù)協(xié)會(huì)發(fā)布的報(bào)告稱,2011年全球電子商務(wù)市場規(guī)模將達(dá)到40.6萬億美元。我國的電子商務(wù)隨著政策的大力支持和資金的不斷投入,得到了迅猛的發(fā)展。

        中國電子商務(wù)研究中心最新數(shù)據(jù)顯示,截止到2010年12月,中國電子商務(wù)市場交易額已逾4.5萬億,同比增長22%。其中,B2B電子商務(wù)交易額達(dá)到3.8萬億,同比增長15.8%,網(wǎng)上零售市場交易規(guī)模達(dá)5131億元,同比增長97.3%,較2009年近翻一番,約占全年社會(huì)商品零售總額的3%。電子商務(wù)把互聯(lián)網(wǎng)和零售業(yè)很好地融合起來,未來的發(fā)展前景十分廣闊。據(jù)波士頓咨詢集團(tuán)的最新報(bào)告顯示,中國電子商務(wù)市場規(guī)模到2015年有望達(dá)到2萬億元人民幣(約合3150億美元)。就在我們看到電子商務(wù)不斷發(fā)展的后,又不得不著重考慮挑戰(zhàn)其安全性的諸多問題,尤其是電子商務(wù)的數(shù)據(jù)處于公共互聯(lián)網(wǎng)之上,互聯(lián)網(wǎng)固有的開放性和系統(tǒng)的安全漏洞及安全體系建設(shè)的滯后等不利因素也對(duì)其構(gòu)成了嚴(yán)重的威脅。因此,信息安全和網(wǎng)絡(luò)安全就成為電子商務(wù)大力發(fā)展的關(guān)鍵所在,也是必須考慮的核心問題。

        2電子商務(wù)的安全問題

        從電子商務(wù)交易的計(jì)算機(jī)終端到服務(wù)器的整個(gè)數(shù)據(jù)鏈路上,時(shí)時(shí)刻刻都存在著各種安全威脅,主要表現(xiàn)在以下幾個(gè)方面:

        (1)用戶終端的系統(tǒng)漏洞及計(jì)算機(jī)病毒等惡意程序的攻擊用戶終端的計(jì)算機(jī)沒有及時(shí)安裝系統(tǒng)和軟件的漏洞、補(bǔ)丁,就可能存在著極大的安全隱患,攻擊者就可以利用這些已知和未知的缺陷發(fā)動(dòng)攻擊,加上木馬、蠕蟲等計(jì)算機(jī)病毒和惡意程序的攻擊,以及用戶缺乏計(jì)算機(jī)和網(wǎng)絡(luò)安全知識(shí),使得計(jì)算機(jī)終端用戶的安全性處于最薄弱的環(huán)節(jié)。

        (2)惡意破壞網(wǎng)絡(luò)設(shè)備和服務(wù)器攻擊者對(duì)提供交易服務(wù)的服務(wù)器發(fā)動(dòng)攻擊,如DDOS攻擊就很難防范,致使交易停止,長時(shí)間難以正常運(yùn)行?;蛘呃梅?wù)器的漏洞和軟件程序的缺陷進(jìn)行攻擊,獲取服務(wù)器的口令,盜取用戶的機(jī)密資料,使用戶蒙受損失。攻擊者對(duì)整個(gè)電子交易數(shù)據(jù)的網(wǎng)絡(luò)硬件和軟件進(jìn)行惡意非法攻擊,導(dǎo)致服務(wù)中斷、停止,使用戶不能正常交易。

        (3)網(wǎng)絡(luò)數(shù)據(jù)在傳輸過程中被竊取攻擊者通過各種非正常手段(竊聽、重放、流量分析等),在互聯(lián)網(wǎng)上截獲用戶的機(jī)密信息,加以分析得到有用數(shù)據(jù)信息,導(dǎo)致用戶產(chǎn)生不可估量的損失,也破壞了網(wǎng)絡(luò)數(shù)據(jù)的保密安全性。

        (4)惡意篡改合法用戶的網(wǎng)絡(luò)數(shù)據(jù)攻擊者截獲到用戶的有用信息以后,會(huì)對(duì)數(shù)據(jù)進(jìn)行惡意篡改,惡意破壞信息數(shù)據(jù)的完整性。

        (5)盜用合法用戶身份進(jìn)行非法交易攻擊者仿冒合法用戶的身份后,與第三方進(jìn)行正常交易,使合法用戶產(chǎn)生損失。這種利用假冒身份認(rèn)證的非法手段,直接導(dǎo)致電子商務(wù)的不可靠性。

        (6)電子商務(wù)的法律和道德問題用戶一旦進(jìn)行了交易后,就應(yīng)該具有法律保障效應(yīng),即具不可否認(rèn)性,但也存在著非法假冒和惡意否認(rèn)身份的問題,缺乏誠信導(dǎo)致商業(yè)欺詐的行為。

        3電子商務(wù)交易的技術(shù)和安全性分析

        3.1電子商務(wù)中使用的關(guān)鍵安全技術(shù)

        (1)數(shù)據(jù)加密數(shù)據(jù)加密技術(shù)是電子商務(wù)領(lǐng)域所采用的關(guān)鍵安全技術(shù),也是主要的安全防御技術(shù)。

        數(shù)據(jù)加密技術(shù)原理是采用加密(數(shù)學(xué))算法對(duì)原始信息(明文)進(jìn)行再整合,使得攻擊者接收到加密數(shù)據(jù)(密文)以后變成無意義的內(nèi)容,從而在整體數(shù)據(jù)傳輸鏈上,保證了數(shù)據(jù)的高保密性和完整性。完整的一條信息傳遞過程如圖1所示。圖1數(shù)據(jù)加、解密傳遞過程按照加密密鑰和解密密鑰是否相同,可將數(shù)據(jù)加密技術(shù)分為兩種:對(duì)稱加密和非對(duì)稱加密。對(duì)稱加密對(duì)稱加密又稱為專用密鑰加密,就是雙方協(xié)商使用相同的密鑰(Key)來完成加密、解密過程,并且密鑰是保密的。在這種加密算法中,所采用的加密算法等于解密算法,因此密鑰的安全管理就顯得特別重要,成為安全與否的核心因素。對(duì)稱加密的特點(diǎn)是具有高保密性,加、解密速度快,效率高,因此適用于數(shù)據(jù)量比較大的加密操作。

        常見的對(duì)稱加密算法主要有DES[1]、3DES、IDEA、RC4、RC5和Blowfish等。對(duì)稱加密主要有如下安全問題:①在網(wǎng)絡(luò)中建立通道傳輸數(shù)據(jù)過程中,可能導(dǎo)致密鑰泄露,讓攻擊者有機(jī)可趁。②電子商務(wù)交易存在著多個(gè)交易對(duì),每確立一對(duì)交易對(duì)關(guān)系,就要維護(hù)一個(gè)專用密鑰,給密鑰的安全管理和維護(hù)帶來極大的難度。③難以對(duì)交易雙方的身份進(jìn)行準(zhǔn)確識(shí)別,因此缺乏數(shù)字實(shí)名驗(yàn)證的可行性。非對(duì)稱加密非對(duì)稱加密又稱為公開密鑰加密。在這種加密算法中密鑰被分成一對(duì),即一把公鑰和一把私鑰,公鑰不需要保密可以公開,私鑰必須嚴(yán)格保密,且加密密鑰和解密密鑰并不相同。這種加密算法順利地解決了密鑰的管理和維護(hù)及數(shù)字實(shí)名驗(yàn)證的問題,安全性大大優(yōu)于對(duì)稱加密,是現(xiàn)在普遍采用的加密技術(shù)。非對(duì)稱加密的特點(diǎn)是高安全性和保密性,密鑰安全管理和維護(hù)量小,可以實(shí)現(xiàn)數(shù)字實(shí)名驗(yàn)證。問題是這種加密算法過于復(fù)雜,計(jì)算量太大,導(dǎo)致加、解密的速度不是很理想。普遍采用的非對(duì)稱加密算法主要有RSA、ELGamma、橢圓曲線加密算法等。

        (2)數(shù)字簽名數(shù)字簽名技術(shù)[2]是基于非對(duì)稱加密技術(shù)而產(chǎn)生的,具有數(shù)字認(rèn)證、身份核查的功能。

        數(shù)字簽名技術(shù)具有以下的特點(diǎn)。①發(fā)送方事后不可抵賴發(fā)送的包含自己簽名的報(bào)文。②接收方能對(duì)發(fā)送方簽名的身份予以核查。③接收方不能篡改發(fā)送方的報(bào)文。④接收方不能偽造發(fā)送方的數(shù)字簽名。數(shù)字簽名技術(shù)的實(shí)現(xiàn)過程為:發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要),并用自己的私鑰對(duì)這個(gè)散列值進(jìn)行加密,形成發(fā)送方的數(shù)字簽名;然后,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方;報(bào)文接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值(或報(bào)文摘要),接著再用發(fā)送方的公開密鑰來對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的[3]。

        (3)數(shù)字證書數(shù)字證書是由認(rèn)證中心(CA,CertificateAuthori-ty)[4]簽發(fā)的,用以確認(rèn)用戶身份信息并獲取訪問網(wǎng)絡(luò)資源的權(quán)限。數(shù)字證書是現(xiàn)在電子商務(wù)交易普遍采用的技術(shù)之一,普遍遵守X.509國際通用標(biāo)準(zhǔn),一般含有證書持有人的名稱、公鑰信息、數(shù)字簽名、CA機(jī)構(gòu)的名稱、數(shù)字簽名、證書的序列號(hào)和有效期、版本信息等。CA是發(fā)放和管理數(shù)字證書的第三方可信任機(jī)構(gòu),具有權(quán)威性。交易雙方使用數(shù)字證書來進(jìn)行商務(wù)活動(dòng)。

        (4)數(shù)字時(shí)間戳數(shù)字時(shí)間戳[5]是系統(tǒng)自動(dòng)生成的,用來確認(rèn)電子商務(wù)交易發(fā)生的日期和時(shí)間,防止惡意篡改交易數(shù)據(jù)的一種有效的手段。它由專業(yè)的第三方認(rèn)證機(jī)構(gòu)形成,采用加密形式的文件。數(shù)字時(shí)間戳服務(wù)(DTS,DigitalTimeStampService)是一種專門提供電子交易文件的日期和時(shí)間服務(wù)。具體過程為:需要數(shù)字時(shí)間戳的申請者向DTS發(fā)送請求(含加戳數(shù)據(jù)的散列值),DTS收到文件后從自己的時(shí)間源中獲取一個(gè)時(shí)間值,把時(shí)間值加入到含數(shù)據(jù)散列值的文件中,并對(duì)數(shù)據(jù)文件進(jìn)行加密(用時(shí)間的私鑰進(jìn)行數(shù)字簽名),最后發(fā)送給申請者。

        3.2電子商務(wù)的安全層次結(jié)構(gòu)

        電子商務(wù)的安全層次結(jié)構(gòu)如圖2所示。各層次之間并非相互獨(dú)立,而是由層次安全構(gòu)成了電子商務(wù)的整體高安全性。

        (1)電子商務(wù)的安全認(rèn)證在電子商務(wù)交易中,認(rèn)證是交易安全中很重要的步驟,即實(shí)現(xiàn)對(duì)用戶身份唯一性和數(shù)據(jù)報(bào)文完整性的雙重認(rèn)證。在公鑰基礎(chǔ)設(shè)施(PKI,PublicKeyInfrastructure)中,由CA驗(yàn)證申請者的身份及發(fā)放可證明申請者身份的數(shù)字證書,建立用戶和商家的信任關(guān)系,并驗(yàn)證交易數(shù)據(jù)報(bào)文的完整性,從而安全完成電子商務(wù)交易。

        (2)電子商務(wù)的安全協(xié)議目前,典型的電子商務(wù)安全協(xié)議有SSL和SET[6]。

        安全套接層(SSL,SecuritySocketLayer)協(xié)議是美國網(wǎng)景公司開發(fā),用于提供互聯(lián)網(wǎng)安全通信服務(wù)的協(xié)議,使得傳輸?shù)臄?shù)據(jù)報(bào)文保密性更強(qiáng)。SSL協(xié)議存在著一些安全問題(客戶和商家的資料安全性不高,缺乏可信任的第三方身份認(rèn)證機(jī)構(gòu),證書不能自動(dòng)及時(shí)更新等)。相對(duì)SSL來說,SET(Se-curityElectronicTransaction,安全電子交易系統(tǒng))更安全、更可靠、更可信。SET協(xié)議由Visa和Master-Card等公司聯(lián)合開發(fā)的,在互聯(lián)網(wǎng)上實(shí)現(xiàn)安全電子交易的國際標(biāo)準(zhǔn)和協(xié)議。SET協(xié)議解決了在公共互聯(lián)網(wǎng)上信用卡支付的安全性問題,滿足持卡人、商家、銀行、認(rèn)證機(jī)構(gòu)等多方電子支付安全需求。

        筆者重點(diǎn)分析了SET協(xié)議的安全性,SET協(xié)議的安全性有以下幾點(diǎn):

       ?、贁?shù)據(jù)報(bào)文和個(gè)人信息的保密性由于電子交易的數(shù)據(jù)都在公共互聯(lián)網(wǎng)上傳輸,所以SET協(xié)議對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行了加密(如DES)處理,防止交易數(shù)據(jù)和個(gè)人信息被竊取或篡改,造成經(jīng)濟(jì)損失。

       ?、跀?shù)據(jù)報(bào)文的完整性SET協(xié)議采用數(shù)字簽名技術(shù)來確保數(shù)據(jù)報(bào)文的完整性。使用安全Hash(SHA-1)算法實(shí)現(xiàn)數(shù)字簽名算法,SHA-1可將一個(gè)任意長度(最大264bits)的消息,生成一個(gè)160位的消息摘要。由此得知,發(fā)生消息摘要相同的概率相當(dāng)?shù)汀,F(xiàn)在還采用雙重簽名技術(shù)來保護(hù)數(shù)據(jù)報(bào)文的真實(shí)性和完整性,用戶一次簽名同時(shí)生成兩個(gè)數(shù)字簽名消息,達(dá)到雙重簽名的效果。一個(gè)雙重簽名是通過計(jì)算兩個(gè)消息的消息摘要產(chǎn)生的,并將兩個(gè)摘要連接在一起形成一個(gè)總摘要,并用用戶的私鑰加密摘要。每個(gè)消息的接收者取出自己的消息,重新生成消息摘要來驗(yàn)證消息。

       ?、鄄捎脭?shù)字信封技術(shù)保證數(shù)據(jù)不被竊取為保證電子商務(wù)交易數(shù)據(jù)傳輸?shù)母甙踩?,密鑰應(yīng)定期及時(shí)更換,SET協(xié)議使用數(shù)字信封技術(shù)來及時(shí)更換密鑰。經(jīng)常更換密鑰的機(jī)制保證電子交易數(shù)據(jù)不會(huì)被竊取。

       ?、艹挚ㄈ撕蜕碳业南嗷ド矸蒡?yàn)證在SET協(xié)議中采用PKI體系,CA負(fù)責(zé)管理和發(fā)放證書。SET協(xié)議中,CA起著非常重要的作用,SET協(xié)議通過數(shù)字證書來鑒別交易雙方的真實(shí)身份,并建立起可信任關(guān)系,為順利完成電子交易打下基礎(chǔ)。SET體系中用戶擁有一對(duì)簽名密鑰(持卡人保管)和一對(duì)加密密鑰(CA托管),它們都擁有自己的數(shù)字證書。SET協(xié)議采用數(shù)據(jù)加密、數(shù)字簽名、數(shù)字信封等安全技術(shù),而且支持對(duì)交易雙方的相互身份驗(yàn)證,從而能夠保證網(wǎng)絡(luò)交易數(shù)據(jù)的真實(shí)性、保密性、完整性、不可抵賴性。另外還對(duì)交易雙方的私人信息進(jìn)行保密,使得SET協(xié)議具有高安全性。

        4電子商務(wù)的安全對(duì)策研究

        (1)加強(qiáng)網(wǎng)絡(luò)安全建設(shè),構(gòu)建高安全的電子交易環(huán)境在電子商務(wù)交易的整個(gè)過程中,都離不開網(wǎng)絡(luò)安全,特別是內(nèi)部網(wǎng)絡(luò)的安全。采用防火墻隔離內(nèi)、外網(wǎng),構(gòu)筑起安全的屏障;采用代理技術(shù)來形成緩沖,采用前置服務(wù)器來承擔(dān)交易風(fēng)險(xiǎn);采用訪問控制技術(shù)來限制非法用戶的訪問,并設(shè)置不同用戶的訪問權(quán)限;采用[7]、IPSEC體系等安全虛擬專用網(wǎng)絡(luò)進(jìn)行電子交易;采用EDI、電子支付和XML等相關(guān)技術(shù)提高安全性;采用入侵檢測技術(shù)并通過安全策略來防范外網(wǎng)威脅;改進(jìn)并完善網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)協(xié)議,提高抗攻擊的能力。

        (2)采用高安全加密算法和新安全體系結(jié)構(gòu)采用橢圓曲線、混合加密等高安全加密算法,發(fā)揮不同加密算法的長處,進(jìn)一步提高數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸?shù)陌踩?,保證交易數(shù)據(jù)報(bào)文和個(gè)人信息不被泄密。安全體系結(jié)構(gòu)決定了電子商務(wù)交易的安全性,在現(xiàn)有的安全體系結(jié)構(gòu)基礎(chǔ)上進(jìn)行改進(jìn)和完善,或者設(shè)計(jì)新安全體系架構(gòu),能夠應(yīng)對(duì)電子交易的新安全威脅。

        (3)加強(qiáng)安全制度管理,用法律手段來保障電子交易的安全通過制訂和實(shí)施安全管理制度,加強(qiáng)從業(yè)人員的安全防范和風(fēng)險(xiǎn)意識(shí),避免不必要的經(jīng)濟(jì)損失。健全和完善電子商務(wù)交易的法律體系,目前各部、委、辦頒布并實(shí)施了相應(yīng)的法律法規(guī),約束和規(guī)范電子交易的行為,構(gòu)建起一個(gè)健康、安全的電子交易環(huán)境。

        5結(jié)束語

        通過上面的分析,筆者意識(shí)到以下幾點(diǎn):

        (1)電子商務(wù)交易安全架構(gòu)是一個(gè)復(fù)雜的系統(tǒng)性工程,并非僅靠技術(shù)和協(xié)議的簡單組合就能完成的,而是一個(gè)由技術(shù)系統(tǒng)(網(wǎng)絡(luò)和通信技術(shù)、加密技術(shù)、認(rèn)證技術(shù)和協(xié)議等)、法律法規(guī)體系、管理制度、從業(yè)人員的安全防范和風(fēng)險(xiǎn)意識(shí)等因素構(gòu)成,所以必須站在整個(gè)系統(tǒng)安全的高度去思考和分析安全問題,全方位地構(gòu)筑起電子交易的安全屏障,切實(shí)防范安全風(fēng)險(xiǎn)和威脅。

        (2)通過對(duì)電子商務(wù)交易的層次化分析,使我們深入了解電子交易的安全性,所以我們在分析電子商務(wù)的安全問題時(shí),應(yīng)該把安全問題分層化處理,有針對(duì)性解決安全問題。

        (3)電子商務(wù)安全新問題會(huì)不斷出現(xiàn),新安全技術(shù)體系也處于發(fā)展之中,這對(duì)矛盾關(guān)系永遠(yuǎn)沒有盡頭,處于長期對(duì)立的狀態(tài)。特別是當(dāng)前電子商務(wù)交易呈現(xiàn)繁榮景象,安全問題更值得深入探討與研究。

        >>>下頁帶來更多的電子商務(wù)安全論文

      3530543