电子商务的信息安全问题研究_第1页
电子商务的信息安全问题研究_第2页
电子商务的信息安全问题研究_第3页
电子商务的信息安全问题研究_第4页
电子商务的信息安全问题研究_第5页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

电子商务的信息安全问题研究

电子商务是通过网络进行的各种商业活动,主要包括非支付和支付的业务类型。电子商务改变了传统的交易方式,它通过网络使企业面对整个世界,所带来的商机是巨大而深远的。目前,随着Internet的迅猛发展,电子商务已成为国际商务活动的一种崭新模式。这种新型的贸易方式以其特有的成本低、易于参与、对需求反映迅速等优势,已被愈来愈多的国家及不同行业所接受和使用。由于电子商务所依托的Internet的全球性和开放性,电子商务的影响也是全面的,它不仅在微观上影响企业的经营行为和消费者的消费行为,而且在宏观上也影响到国际贸易关系和国家未来竞争力。然而,互联网所固有的开放性与资源共享性使电子商务成为一把双刃剑,它在给人类带来了经济、便捷、高效的交易方式的同时,也使商务活动的安全性受到严重挑战。电子商务的安全问题已成为全球电子商务活动的焦点问题,如何保证网上交易的有效性、机密性、完整性、可靠性和不可否认性是电子商务可持续发展的关键。一、多种安全隐患目前,电子商务普遍存在信息在传输过程中被窃取、被篡改、伪造电子邮件干扰正常交易、假冒他人身份、抵赖已经发生的业务等多种安全隐患。针对这些安全威胁,电子商务安全性要求应包括以下几个方面。1.数据不被非授权方非法访问的人电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密,因此,必须保证数据不被非授权方非法访问,加密的信息不会被破译。保密性又主要分为数据存储保密性和数据网络传输的保密性。2.确保目的信息保证电子交易过程中所有存储和管理的信息不被非法篡改,保证目的信息和源信息相一致。保护电子支付完整性的主要途径有:协议、纠错编码方法、密码校验、数字签名、公证等。3.有效性。有效防止订单延迟和拒绝交付,确保交易数据在确定的时间和地点真实有效4.拒绝拒绝的态度保证合法用户对信息和资源的使用不会被不正当地拒绝。电子支付系统通过提供对用户身份的鉴别方法,实现系统对用户身份的有效确认,确保用户身份信息的合法、可靠。5.不可抗拒通过建立有效的责任机制,使得交易双方对于自己已经发送或者接收的数据不能事后否认,从而有效防止支付欺诈行为的发生。6.无控制。交易的整个过程是可控的,责任和权力之间的关系是明确的,责任和权力之间的关系是相互限制的,这可以有效地确保各方的利益不受损害二、数字签名技术在电子商务活动中,如何鉴别交易伙伴身份、确定合同、契约和单据的可靠性是十分关键的问题。这就出现了数据真实性认证问题,数字签名技术也就应运而生了。数字签名是用来保证信息传输过程中信息的完整性、私有性和不可抵赖性,是实现网上交易安全的核心技术之一,在信息安全,包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用,特别是在大型网络安全通信中的密钥分配、认证以及电子商务系统中都具有重要作用。1.数字签名技术iso3998-2数字签名(DigitalSignatures),就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名。数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性、和不可抵赖性。在ISO7498-2标准中,数字签名被定义为“附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被进行伪造。美国电子签名标准对数字签名作了如下解释:利用一套规则和一个参数对数据进行计算得到结果,用此结果能够确认签名者的身份和数据的完整性。按上述定义,PKI(PublicKeyInfrastruction,公钥基础设施)可以提供数据单元的密码变换,并能使接收者判断数据来源及对数据进行验证。2.公开密钥密码技术首先发送方对信息施以数学变换,所得的信息与原信息唯一对应;在接收方进行逆变换,得到原始信息。只要数学变换方法优良,变换后的信息在传输中就具有很强的安全性,很难被破译、篡改。这一过程称为加密,对应的反变换过程称为解密。现在有两类不同的加密技术,一类是对称加密,双方具有共享的密钥,只有在双方都知道密钥的情况下才能使用。另一类是非对称加密,也称为公开密钥加密,密钥是由公开密钥和私有密钥组成的密钥对,用私有密钥进行加密,利用公开密钥可以进行解密,但是由于公开密钥无法推算出私有密钥,所以公开的密钥并不会损害私有密钥的安全,公开密钥无需保密,可以公开传播,而私有密钥必须保密,丢失时需要报告鉴定中心。目前的数字签名技术采用的就是这种公钥密码技术。即利用两个足够大的质数与被加密原文相乘产生的积来加/解密。这两个质数无论是用哪一个与被加密的原文相乘(模乘),即对原文件加密,均可由另一个质数再相乘来进行解密。但是,若想用这个乘积来求出另一个质数,就要对大数进行质因子分解,分解一个大数的质因子是十分困难的,若选用的质数足够大,这种求解几乎是不可能的。因此,将这两个质数称为密钥对,其中一个采用私密的安全介质保密存储起来,应不对任何外人泄露,简称为“私钥”;另一个密钥可以公开发表,用数字证书的方式发布在称之为“网上黄页”的目录服务器上,用LDAP协议进行查询,也可在网上请对方发送信息时主动将该公钥证书传送给对方,这个密钥称之为“公钥”。公钥密码体制下的数字签名技术实际上是通过一个单向Hash函数来实现的。信息的发送方从信息文本中生成一个128位的散列值(或消息摘要)。发送方用自己的私人密钥对这个散列值进行加密形成发送方的数字签名。然后,这个数字签名将作为信息的附件和信息一起发送给信息的接收方。信息的接收方首先从接收到的原始信息中计算出128位的散列值(消息摘要),接着再用发送方的公用密钥来对信息附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。三、数字签名技术的实现方法1.数字签名、数字视频监控建立在公开密钥体系基础上的数字签名方法有很多,RSA签名、DSS签名及Hash签名等。其中Hash签名是目前电子商务安全中最主要的数字签名方法。Hash签名也称之为数字摘要法(DigitalDigest)或数字指纹法(DigitalFingerPrint)。该数字签名方法是将数字签名与要发送的信息紧密联系在一起,它更适合于电子商务活动。将一个商务合同的个体内容与签名结合在一起,比合同和签名分开传递,更增加了可信度和安全性。数字摘要加密方法亦称安全Hash编码法(SHA:SecureHashAlgorithm)或MD5(MDStandardForMessageDigest),由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(FingerPrint),它有固定的长度,且不同的明文摘要必定一致。这样这串摘要使可成为验证明文是否是“真身”的“指纹”了。2.接收方是否可以进行解密(1)发送方首先用哈希函数从原文得到数字签名,然后采用公开密钥体系用发送方的私有密钥对数字签名进行加密,并把加密后的数字签名附加在要发送的原文后面。(2)发送方选择一个密钥对文件进行加密,并把加密后的文件通过网络传输到接收方。(3)发送方用接收方的公开密钥对秘密密钥进行加密,并通过网络把加密后的秘密密钥传输到接收方。(4)接受方使用自己的私有密钥对密钥信息进行解密,得到秘密密钥的明文。(5)接收方用秘密密钥对文件进行解密,得到经过加密的数字签名。(6)接收方用发送方的公开密钥对数字签名进行解密,得到数字签名的明文。(7)接收方用得到的明文和哈希函数重新计算数字签名,并与解密后的数字签名进行对比。如果两个数字签名是相同的,说明文件在传输过程中没有被破坏。如果第三方冒充发送方发出了一个文件,因为接收方在对数字签名进行解密时使用的是发送方的公开密钥,只要第三方不知道发送方的私有密钥,解密出来的数字签名和经过计算的数字签名必然是不相同的。这就提供了一个安全的确认发送方身份的方法。安全的数字签名使接收方可以得到保证:文件确实来自声称的发送方。鉴于私钥只有发送方自己保存,他人无法做一样的数字签名,因此他不能否认他参与了交易。四、数字签名技术在电子商务中的应用将数字签名技术应用于电子商务中,可以有效解决数据的否认、伪造、篡改及冒充等问题,其主要用途有三个方面:1.篡改或改变获取信息的篡改这个功能能保证信息自签发后到收到为止没有做任何修改。因为当两条信息摘要完全相同时,可以确信这两条信息的内容完全一样。因此,可以通过将信息发送前生成的信息摘要与接收后生成的信息摘要进行对比,来判断信息在传输过程中是否被篡改或改变。由于信息摘要在发送之前,发送方使用私钥进行加密,其他人要生成相同加密的信息摘要几乎不可能,于是,接受方收到信息后,可以使用相同的函数变换,重新生成—个新的信息摘要,将接收到的信息摘要解密,然后进行对比,从而验证信息的完整性。2.式的私钥签名此功能证明信息是由签名者发送的。因为数字签名中,是使用公开密钥加密算法,信息发送方是使用自己的私钥对发送的信息进行加密的,只有持有私钥的人才能对数据进行签名,所以只要密钥没有被窃取,就可以肯定该数据是用户签发的。信息接收方可以使用发送方的公钥对接受到的信息进行解密,因而,接收方一旦解密成功,就完全可以确认信息是由发送方发送的,同时也证实了信息发送方的身份。3.公钥的加密生成当交易中出现抵赖行为时,信息接收方可以将加了数字签名的信息提供给认证方,由于带有数字签名的信息是由发送方的私钥加密生成的,其他任何人不可能产生这种信息,而发送方的公钥是公开的,任何人都可以获得他的公钥对信息解密。这样认证方可以使用公钥对接收方提供的信息解密,从而可以判断发送方是否出现抵赖行为。数字签名技术具有良好的防伪造、防篡改、防拒认的功能,在电子商务领域中实现了传统意义上签名的功能,已经成为保障电子商务安全交易的关键技术之一。五、数字签名技术应用中面临的问题数字签名技术在电子商务活动中能有效解决否认、伪造、篡改及冒充等问题,但电子商务安全问题不仅仅是技术问题,还涉及到法律、道德、管理等诸多方面的因素。毫无疑问,

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论