电子商务电子安全现状分析与解决方案_第1页
电子商务电子安全现状分析与解决方案_第2页
电子商务电子安全现状分析与解决方案_第3页
电子商务电子安全现状分析与解决方案_第4页
电子商务电子安全现状分析与解决方案_第5页
已阅读5页,还剩14页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、电子商务信息安全现状分析与解决方案、,一、一刖言第一章:电子商务信息安全理论.电子商务基本概念.电子商务信息安全所面临的问题.电子商务信息的安全要素第二章:我国电子商务信息发展现状及存在的安全问题.我国电子商务信息发展现状.我国电子商务信息发展存在的安全问题(1)安全技术方面的问题1.1黑客攻击1.2网上支付的问题(2)个人信息泄密的安全问题(3)法律安全问题第三章:我国电子商务信息安全问题的解决办法及策略.电子商务信息安全技术解决办法(1)防火墙安全技术包过滤型网络地址转化一NAT代理型监测型加密技术对称密钥加密体制非对称密钥加密体制安全认证协议安全套接层(SSL)协议安全电子交易(SET)

2、协议2.政府部门在法律法规方面应采取的措施。结束语参考文献四、结束语参考文献中文摘要:随着Internet和Intranet/EGtranet的快速增长,Web已经对商业、工业、银行、财政、教育、政府和娱乐及我们的工作和生活产生了深远的影响。许多传统的信息和数据库系统正在被移植到互联网上,与此同时电子商务(e-commerce)也迅速增长,早已超过了国界。但在其发展的过程中网络上的信息安全问题成为了制约其发展的重要因素。本文将对电子商务的安全威胁问题进行分析并提出一些解决措施和方法。关键词:电子商务信息安全互联网解决方法Abstract:WiththefastgrowthofInterneta

3、ndIntranet/EGtranet,WebhasalreadPeGertedafar-reachinginflueneeonthecommerceindustrP,bank,finance,education,government,amusementandourworkingandliving.AlotoftraditionalinformationanddatabasesPstemarebeingtransplantedtoonInternet,meanwhilee-commerce(e-commerce)isincreasedrapidlPtoo,havealreadPeGceeded

4、thesafetP on thenationalboundaries.Butthequestionofinformationnetworkinthecourseofitsdevelopmenthasbecometheimportantfactorofrestrictingitsdevelopment.ThisteGtwillanalPseandproposesomesettlementmeasuresandmethodstothesecuritPthreatproblemofe-commerce.KePwords:E-commerceInformationsafetPInternetSolut

5、ion第3页,共3页一、引言1?电子商务的定义电子商务(EC,ElectronicCommerce)就是利用电子数据交换(EDI)、电子邮件(Email)、电子资金转帐(EFT)及Internet的主要技术在个人问、企业间和国家间进行无纸化的业务信息的交换。【2】随着计算机和计算机网络的应用普及,电子商务不断被赋予新的含义。电子商务被认为是通过信息技术(IT)将企业、用户、供应商及其它商贸活动涉及的职能机构结合起来的应用,是完成信息流、物流和资金流转移的一种行之有效的方法。它主要包括下列三个方面:(1)企业与消费者之间的电子商务(B2C);(2)企业间的电子商务(B2B);(3)支持WWW上的

6、销售和采购活动所需的交易和流程。其关系可以用图1友本:大,国际社会和各国政府正积极引导电子商务发展。由于电子商务具有深刻而广泛的影响和巨大的发展前景从而受到国际社会广泛和高度重视。据专家预测,到20GG年全球消费者网上购物的总额将会超过3000亿美元,而网第4页,共4页上所有商务活动总额将会超过40000亿美元。【2】而且,电子商务的形式也越来越多样化从已使用多年的电子资金转帐(EFTT和企业间电子数据交换(EDI)发展到现在的包括电子现金、电子钱包、智能储值卡、信用卡等的电子结算系统及网上银行,更先进的包括企业米购、后勤和支持活动的EDI,大大小小售卖各种商品的网上商店,网上拍卖,虚拟社区及

7、网络门户网站等。尽管电子商务的发展势头非常惊人,但它在全球贸易额中只占极小的一部分。一个主要的障碍就是如何保证传输数据的安全和交易对方的身份确认。因此,从传统的基于纸张的贸易方式向电子化的贸易方式转变的过程中,如何保持电子化的贸易方式与传统方式一样安全可靠,则是人们关注的焦点,同时也是电子商务全面应用的关键问题之一。下面。笔者将分析电子商务的安全威胁及现行的解决措施和方法。二、电子商务的安全威胁随着Internet的快速发展,电子商务在发展过程中存在着很多的安全威胁问题,总的来说就有三方面的安全问题。【4】物理安全问题它是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人

8、为操作失误或错误及各种计算机犯罪行为导致的破坏过程。本文不作详述。网络安全可以分成三类:第5页,共5页系统安全,指主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控)和审计分析;网络运行安全,指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等等;局域网或子网的安全主要是访问控制和网络安全检测的问题。特别说明,大众所熟知的黑客与防火墙主要属于网络安全的相关范畴。本文不作详述。23信息安全信息安全问题主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面,当然也包括对用户的鉴别和授权。电子商务交易双方的信息安全隐患传统商务活动是面对面进行的,交易双方能较容

9、易地建立信任感并产生安全感。而电子商务是买卖双方通过Internet的信息流动来实现商品交换的,信息技术手段使不法之徒有机可乘,这就使得电子商务的交易双方在安全感和信任程度等方面都存在疑虑。电子商务的交易双方都面临着信息安全的威胁。商家的信息安全隐患。主要有:(1)不法之徒假冒合法用户名义改变商务信息内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;(2)恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息;(3)信息间谍通过技术手段窃取商业秘密;(4)大量虚假订单的生成挤占了信息系统资源,无法从事正常的业务运营。第6页,共6页232用户的信息安全隐患。主要有:(1)用户

10、身份证明信息被拦截窃用,以致被要求付帐或返还商品;(2)域名信息被监听和扩散,被迫接收许多无用信息甚至个人隐私被泄露。(3)发送的商务信息不完整或被篡改,用户无法收到商品;(4)受虚假广告信息误导购买假冒伪劣商品或被骗钱财;(5)遭受黑客暗算计算机设备被毁、信息丢失。三?解决电子商务安全威胁的措施和技术常用的主要安全技术包括:加密、数字签名、安全通信协议与交易协议、电子证书、电子信封和双重签名等。下面主要介绍加密、数字签名、安全通信协议与交易协议这三种技术在电子商务中的应用.【5】加密技术.加密技术是电子商务采取的基本安全措施,贸易方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密

11、和非对称加密。对称加密在对称加密方法中,采用相同的加密算法并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。因此,对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。止匕外,对称加密方式无法鉴别贸易发起方或贸易最终方。下图为对称加密过程。发送者输入.明文加密密传输过程解密算法.明文图3.1.1对称加密和解密过程第7页,共7页非对称加密在非对称加密体系中,密钥被分解为一对,即公开密钥或专用密钥。公开密钥(加密密钥)通过非保

12、密方式向他人公开,而专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。贸易甲方生成一对密钥,公布公开密钥;贸易方乙得到该公开密钥,使用该密钥对机密信息进行加密,然后发送给贸易甲方;贸易甲方再用自己保存的专用密钥对加密后的信息进行解密。贸易方只能用其专用密钥解密由其公开密钥加密后的任何信息。RSA法是非对称加密领域内最为著名的算法。别是A和E的解密钥(或专用钥)。一个明文若要从用户A传输到用户E,先要用A的专用密钥D劭口密(又称签名),再用B的公开钥EB加密,然后传送

13、到接收方B;B在接收后,首先用专用密钥DB解密,再用A的公开密钥EA认证。这一信息传递过程,不仅保护了信息的安全,又使接收方E对信息的发送方A确信无疑。第8页,共8页数字签名数字签名是非对称加密技术的一类应用。它的主要方式是:报文发送方从报文文本中生成一个128位的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的

14、。通过数字签名能够实现对原始报文的鉴别和不可否认性。数字信封(DigitalEnvelope)对称加密是基于共同保守秘密的原则来实现。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,还要保证彼此密钥的交换是安全可靠的,同时要设定防止密钥泄密及变更密钥的程序。因此,对称密钥的管理和分发工作具有潜在的危险和繁琐的过程。数字信封将对称密码与非对称密码体系结合起来传输信息,使用公开密钥加密技术来实现对称密钥,解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。具体过程是:贸易方可以为每次交换的信息生成惟一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息一起发送给

15、相应的贸易方。由于对每次信息交换都对应生成了惟一一把密钥,因此各贸易方就不再需要对密钥进行维护并且不必担心密钥的泄露或过期。322数字时间戳(digitaltime-stamp)交易文件中,时间是十分重要的信息。第9页,共9页在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(Digitaltime-StampServer)就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包

16、括三个部分:1)需加时间戳的文件的摘要(digest);2)DTS收到文件的日期和时间)3)DTS的数字签名。时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH码加密形成摘要,然后将该摘要发送到DTSQTSE加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。由Billcore创造的DTS采用下面的过程:加密时将摘要信息归并到二叉树的数据结构;再将二叉树的根值发表在报纸上,这样更有效地为文件发表时间提供了佐证。但要值得注意的是,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS攵到文件的时间为依据。因此,时间戳也可

17、作为科学家的科学发明文献的时间认证。安全通信协议与交易协议目前世界上公认的安全协议标准有:SSL,SET和 NETBILL协议SSL(securesocketlaPer安全套接层)协议是TCP/IP协议族中目前最新的安全协议,提供了两台机器间的安全连接,可以实现通信过程的安全保密,它虽然是针对INTERNET环境提出的,但由于属于套接协议,具有与上层应用协议与下层网络协议无关性的特点,所以在其他网络的通信中也可以使第10页,共10页用。目前SSL被众多厂家和用户广泛采用,已经成为通信底层协议的实际标准。在电子商务中可通过在SSL连接上传输信用卡卡号的方式来构建支付系统,在线银行和其他金融系统也

18、常常构建在SSL之上。由于SSL被大部分WebU览器和Web服务器所内置,比较容易被应用,因此SSL被广泛使用。但如果想要电子商务得以成功地广泛开展的话,必须采用更先进的支付系统。SET(SecureElectronicTransaction:安全电子交易)规范是由两大信用卡商Visa和MarsterCard联合制定的实现网上信用卡交易的模型和规范。从概念上,它是通用信用卡的自然延拓,保留了信用卡交易的一切特点,同时针对网上交易,制定了确保安全的一系列规范和协议。SETi要目标如下:信息在Internet上安全传输,保证网上传输的数据不被黑客窃取;定单信息和个人帐号信息的隔离,当包含持卡人帐号

19、信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息;持卡人和商家相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通信双方提供信用担保;要求软件遵循相同协议和报文格式,使不同厂家开发的软件具有兼容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。SET的关键是认证技术,它包括如下几个方面:1)证书。SET中主要的证书是持卡人证书和商家证书。持卡人证书是支付卡的一种电子化的表示。持卡人证书不包括帐号和终止日期信息,而是用第11页,共11页单向哈希算法根据帐号和截止日期生成的一个码,如果知道帐号、截止日期、密码值即可导出这个码值,反之不行。商家证书就像是贴在商家收款

20、台小窗上的付款卡贴画,以表示它可以用什么卡来结算。在SET环境中,一个商家至少应有一对证书,与一个银行打交道;一个商家也可以有多对证书,表示它与多个银行有合作关系,可以接受多种付款方法。除了持卡人证书和商家证书以外,还有支付网关证书、银行证书、发卡机构证书。2)CA持卡人可从公开媒体上获得商家的公开密钥,但持卡人无法确定商家不是冒充的(有信誉),于是持卡人请求CAM商家认证。CAM商家进行调查、验证和鉴别后,将包含商家公开密钥的证书经过数字签名传给持卡人。同样,商家也可对持卡人进行验证。CA的主要功能包括:接收注册请求,处理、批准/拒绝请求,颁发证书。(3)证书的树形验证结构。在双方通信时,通过出示由某个CA签发的证书来证明自己的身份,如果对签发证书的CA本身不信任,则可验证CA的身份,依次类推,一直到公认的权威CA处,就可确信证书的有效性。

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论