互联网上的商务行为

互联网上的商务行为

1电子商务面临的安全问题电子商务是基于网络的。除了继承网络上的公共不安全因素外，还有在线交易交易所带来的特殊安全问题。1.1传播信息泄露数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。1.2信息操纵攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。1.3模仿用户id攻击者运用非法手段盗用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。1.4我国电子商务交易安全的两大重某些用户对发出或收到的信息进行恶意地否认,以逃避应承担的责任。针对以上电子商务存在的四种安全问题,我们提出安全的电子商务交易应该满足一定的要求,即电子商务的安全需求。针对信息的窃取问题,我们提出了数据的保密性;针对信息的篡改问题,我们提出了数据的完整性;针对用户身份的仿冒问题,我们提出数据的可鉴别性;针对发出信息后的抵赖现象,我们提出了不可否认性。具体的安全需求如下所述。2电子商务的安全需求电子商务面临的威胁导致了对电子商务安全的需求,也是实现一个安全电子商务系统所要求做到的各个方面,主要包括以下几个方面。2.1保密性指网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。2.2非法授权修改和破坏指信息在输入和传输的过程中,不被非法授权修改和破坏,即保证数据的一致性。保证信息完整性需要防止数据的丢失、重复及保证传送秩序的一致。2.3可识别性指参与电子商务交易的各方都能识别对方的真实身份,不会被假冒或者欺骗。2.4不可否认也称不可抵赖性。不可否认性指在传输数据时必须携带含有自身特质、别人无法复制的信息,防止交易发生后对行为的否认。3电子商务的主要安全技术3.1加密和解密的概念是全面提高加密技术是保证电子商务安全的重要手段,加密算法现已成为网络安全和商务信息安全的基础。加密包括两个元素:算法和密钥。算法是将普通的文本或信息与密钥的结合,产生不可理解的密文,密钥是用来加密和解密的数据。按照加密和解密时使用的密钥个数不同,加密技术可分成三种体制,即单钥体制、双钥体制和混合钥体制。3.1.1加密密钥加密单钥是指在加密和解密过程中使用相同的密钥,即同一个密钥,单钥。因此,加密密钥也可以用作解密密钥,又称为对称密钥加密。对称密钥加密算法使用起来简单快捷,实现容易,目前典型的对称密钥加密算法是数据加密标准DES。3.1.2加密后的隐私双钥是指在加密和解密过程中使用不同的密钥,两个密钥分别是公钥和私钥,因此又称为非对称密钥加密或公钥体制。公钥体制是加密技术的核心。使用公钥加密后的信息传送出去,只有拥有私钥的接收方才能解开密文,保证的数据保密性;而使用私钥加密后的信息发送至接收方,再用公钥解密,就可以可以安全地确认对方身份,提供通信的可鉴别性。比较典型的加密算法主要有RSA、DSA、PGP等。3.1.3根据随机密钥进行解密在混合钥体制中,信息发送者首先利用随机产生的对称密钥加密信息,再利用接收方的公钥加密之前的随机密钥,形成数字信封,信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到随机密钥,再利用随机密钥解密所得到的信息,这样就保证了数据传输的真实性和完整性。在此过程中既使用了双钥体制来传递密钥,又使用了传递的密钥解开单钥体制产生的密文。3.2通过消息生物验证消息摘要(数字摘要,digitaldigest)的原理是采用单向Hash(哈希)函数将需加密的明文进行某种变换运算,得到固定长度的摘要。不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。因此,消息摘要能够验证数据在传送过程中是否被他人做过修改删除等破坏活动,从而保障了数据的完整性。报文摘要和非对称加密一起,提供了数字签名的方法,是实现数字签名的基础。3.3对比报文的发送方数字签名(DigitalSignature)是非对称密钥加密的一种应用,是指用发送方的私钥加密报文摘要,它采用信息发送者的私钥变换所需传输的信息,因而不能复制,安全可靠。其使用过程是:报文的发送方从报文文本中生成一个128位的单向散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先用发送方的公钥来对报文附加的数字签名进行解密,然后将收到的报文也转换成128位的散列值;如果这两个值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的验证,保证报文的完整性、信息发送者身份的可鉴别性以及发送者对所发报文的不可否认性。3.4第三方认证中心认证中心(CertificateAuthority,简称CA),是在电子商务交易中承担签发数字证书、确认用户身份等工作的权威性、公正性的第三方服务机构,它是实现网上交易和网上支付的重要安全保障。认证中心的主要任务是受理数字证书的申请、签发和对数字证书的管理。数字证书(DigitalID)是一个经CA数字签名的、包含证书申请者个人信息和公开密钥的文件。CA对申请者所提供的信息进行验证,然后向电子商务各参与方签发数字证书,实现对证书持有者身份的认证,保证网上支付的安全性。3.5建立安全网关防火墙,是一种计算机硬件和软件组合,它在外部网与内部网之间建立起一个安全网关,具有限制外界用户对内部网络访问及管理内部用户访问外界网络的权限,从而保护内部网络免受非法用户的侵入,在被保护网周边建立起的一个分隔被保护网络与外部网络的安全系统。4国家经济秩序的安全与国家经济秩序的安全网络交易的安全不仅关系到个人的资金安