電子商務(wù)安全技術(shù)論文(2)
電子商務(wù)安全技術(shù)論文
電子商務(wù)安全技術(shù)論文篇2
淺析電子商務(wù)中的安全技術(shù)
[摘要] 安全問題是電子商務(wù)發(fā)展的核心和關(guān)鍵問題。安全性技術(shù)是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素。本文討論了電子商務(wù)應(yīng)用中所存在的安全問題,針對這些安全問題對電子商務(wù)的安全技術(shù)進(jìn)行了分析。
[關(guān)鍵詞] 電子商務(wù) 加密技術(shù) 數(shù)字簽名
一、引言
隨著Internet的發(fā)展,電子商務(wù)已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式。越來越多的人通過Internet進(jìn)行商務(wù)活動(dòng)。電子商務(wù)的一個(gè)重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè)信息。電子商務(wù)安全問題是電子商務(wù)發(fā)展中的一個(gè)主要障礙。電子商務(wù)安全技術(shù)的應(yīng)用為建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境,對商家和客戶的信息提供足夠的保護(hù),起著關(guān)鍵性的作用。
二、電子商務(wù)面臨的安全問題
1.信息的截獲和竊取
由于未采用加密措施,信息在網(wǎng)絡(luò)上以明文形式傳送,入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規(guī)律和格式,進(jìn)而得到傳輸信息的內(nèi)容,造成網(wǎng)上傳輸信息泄密。
2.篡改信息
當(dāng)入侵者掌握了信息的格式和規(guī)律后,通過各種技術(shù)手段和方法,將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改,然后再發(fā)向目的地。
3.信息假冒
由于掌握了數(shù)據(jù)的格式,并可以篡改通過的信息,攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息,而遠(yuǎn)端用戶通常很難分辨。
4.交易抵賴
交易抵賴包括多個(gè)方面,如發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容;收信者事后否認(rèn)曾經(jīng)收到過某條消息或內(nèi)容;購買者做了訂單不承認(rèn);商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易等。
5.惡意破壞
由于攻擊者可以接入網(wǎng)絡(luò),則可能對網(wǎng)絡(luò)中的信息進(jìn)行修改,掌握網(wǎng)上的機(jī)要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部,其后果是非常嚴(yán)重的。
三、電子商務(wù)安全技術(shù)
1.密碼技術(shù)
密碼技術(shù)是信息安全的核心技術(shù)。對信息安全的需求大部分可以通過密碼技術(shù)來實(shí)現(xiàn)。密碼技術(shù)包括加密、簽名認(rèn)證和密鑰管理技術(shù)等。
(1)加密技術(shù)。數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容,通過這樣的途徑來達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取、閱讀的目的。加密技術(shù)通常分為兩大類:“對稱式”和“非對稱式”。加密技術(shù)是保證電子商務(wù)安全的重要手段,許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)。
(2)數(shù)字簽名。在電子商務(wù)安全系統(tǒng)中,數(shù)字簽名技術(shù)占有重要的地位。在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中,都要用到數(shù)字簽名技術(shù)。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來確定用戶是否是真實(shí)的。目前,數(shù)字簽名一般都通過單向Hash函數(shù)來實(shí)現(xiàn),它可以驗(yàn)證交易雙方數(shù)據(jù)的完整性。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報(bào)文的鑒別和不可抵賴性。數(shù)字簽名技術(shù)將具有廣闊的應(yīng)用前景,它將直接影響電子商務(wù)的發(fā)展。
(3)密鑰管理技術(shù)。密鑰管理包括密鑰的產(chǎn)生、存儲、裝入、分配、保護(hù)、丟失、銷毀以及保密等內(nèi)容。其中分配和存儲是最棘手的問題。密鑰管理不僅影響系統(tǒng)的安全性,而且涉及系統(tǒng)的可靠性、有效性和經(jīng)濟(jì)性。在用密碼技術(shù)保護(hù)的現(xiàn)代信息系統(tǒng)的安全性主要取決于對密鑰的保護(hù)。密鑰管理技術(shù)主要包括:對稱密鑰管理;公開密鑰管理,第三方托管技術(shù)。
2.網(wǎng)絡(luò)安全技術(shù)
(1)防火墻技術(shù)。防火墻可以根據(jù)網(wǎng)絡(luò)安全水平和可信任關(guān)系將網(wǎng)絡(luò)劃分成一些相對獨(dú)立的子網(wǎng),兩側(cè)間的通信受到防火墻的檢查控制;可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過,同時(shí)將安全策略不允許的用戶與數(shù)據(jù)包隔斷,達(dá)到保護(hù)高安全等級的子網(wǎng)、防止墻外黑客的攻擊、限制入侵蔓延等目的。防火墻具有以下五大基本功能:過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止行為;記錄通過防火墻的信息內(nèi)容和活動(dòng);對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。目前的防火墻主要有兩種類型。其一是包過濾型防火墻,其二是應(yīng)用級防火墻。
(2)虛擬專用網(wǎng)技術(shù)。虛擬專用網(wǎng)是一種特殊的網(wǎng)絡(luò),它采用一種叫做“通道”或“數(shù)據(jù)封裝”的系統(tǒng),用公共網(wǎng)絡(luò)及其協(xié)議向貿(mào)易伙伴、顧客、供應(yīng)商和雇員發(fā)送敏感的數(shù)據(jù)。這種通道是Internet上的一種專用通道,可保證數(shù)據(jù)在外部網(wǎng)上的企業(yè)之間安全地傳輸。在中,只要通信的雙方默認(rèn)即可,沒有必要為所有的進(jìn)行統(tǒng)一的加密和認(rèn)證?,F(xiàn)有的或正在開發(fā)的數(shù)據(jù)隧道系統(tǒng)可以進(jìn)一步增加的安全性,因而能夠保證數(shù)據(jù)的保密性和可用性。實(shí)現(xiàn)的關(guān)鍵技術(shù)是隧道技術(shù)、加密技術(shù)和QoS(服務(wù)質(zhì)量)技術(shù)。
(3)入侵檢測技術(shù)。入侵檢測技術(shù)是防火墻技術(shù)的合理補(bǔ)充,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。其最重要的價(jià)值之一是它能提供事后統(tǒng)計(jì)分析,所有安全事件或?qū)徲?jì)事件的信息都將被記錄在數(shù)據(jù)庫中,通過從各個(gè)角度對這些事件進(jìn)行分析歸類,可以總結(jié)出被保護(hù)網(wǎng)絡(luò)的安全狀態(tài)的現(xiàn)狀和趨勢,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)或主機(jī)中存在的問題或漏洞,并可歸納出相應(yīng)的解決方案。入侵檢測的主要方法有:靜態(tài)配置分析,異常性檢測方法、基于行為的檢測方法及幾種方法的組合。
(4)安全交易協(xié)議。除了各種安全控制技術(shù)之外,電子商務(wù)的運(yùn)行還需要一套完整的安全交易協(xié)議。不同交易協(xié)議的復(fù)雜性、開銷、安全性各不同。同時(shí),不同的應(yīng)用環(huán)境對協(xié)議目標(biāo)的要求也不盡相同。目前,比較成熟的協(xié)議有安全套接層協(xié)議(SSL)和安全電子交易協(xié)議(SET)。
三、小結(jié)
用于保護(hù)電子商務(wù)的安全控制技術(shù)很多,并非把這些技術(shù)簡單地組合就可以得到安全。但是通過合理應(yīng)用安全控制技術(shù),并進(jìn)行有機(jī)結(jié)合,就可從技術(shù)上實(shí)現(xiàn)系統(tǒng)、有效的電子商務(wù)安全。
參考文獻(xiàn):
[1]張立克:電子商務(wù)及其安全保障技術(shù)[J].水利電力機(jī)械,2007,29(2):69~74
[2]祝凌曦:電子商務(wù)安全[D].北京:清華大學(xué)出版社,2006
[3]夏穎:電子商務(wù)中的信息安全技術(shù)[J].電腦知識與技術(shù),2005,(8):51~53
[4]劉明珍:電子商務(wù)中的信息安全技術(shù)[J].湖南人文科技學(xué)院學(xué)報(bào),2006,(3):48~51