開篇：寫作不僅是一種記錄，更是一種創(chuàng)造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇電子商務(wù)安全，希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友，陪伴您不斷探索和進(jìn)步。

第1篇

【關(guān)鍵詞】電子商務(wù)，電子商務(wù)安全，安全需求，信息安全

一、電子商務(wù)安全概述

電子商務(wù)主要是利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行商務(wù)交易活動，因此，電子商務(wù)安全可分為兩大部分，即計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。計(jì)算機(jī)網(wǎng)絡(luò)安全主要包括計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全要保障設(shè)備的正常運(yùn)行，能夠做好數(shù)據(jù)備份，防范突發(fā)事件并及時地響應(yīng)。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全要確保系統(tǒng)正常，防范計(jì)算機(jī)病毒，木馬，黑客入侵等威脅。數(shù)據(jù)庫安全要防止黑客的惡意下載及公開，保護(hù)用戶的個人信息及交易數(shù)據(jù)等。商務(wù)交易安全在計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)上，確保電子交易及電子支付為核心的電子商務(wù)過程的順利進(jìn)行。

二、電子商務(wù)安全需求

電子商務(wù)安全主要包括六大安全需求，即機(jī)密性、完整性、認(rèn)證性、不可抵賴性、不可拒絕性和訪問控制性。1、機(jī)密性是確保信息不被他人竊取、不被泄露或者披露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過加密偽裝后，使未經(jīng)授權(quán)者無法了解其內(nèi)容。2、完整性是保護(hù)數(shù)據(jù)不被為授權(quán)者修改、建立、嵌入、刪除、重復(fù)傳送或由于其他原因使原始數(shù)據(jù)被更改。3、認(rèn)證性是指網(wǎng)絡(luò)兩端的使用者在溝通之前相互確認(rèn)雙方的身份。4、不可抵賴性是指信息的發(fā)送方不能否認(rèn)已發(fā)送的信息，接收方不能否認(rèn)已收到的信息。5、不可拒絕性是保證授權(quán)用戶在正常訪問信息和資源時不被拒絕，即保證為用戶提供穩(wěn)定的服務(wù)。6、訪問控制性是指在網(wǎng)絡(luò)上限制和控制通信鏈路對主機(jī)系統(tǒng)和應(yīng)用的訪問。

三、電子商務(wù)安全技術(shù)

電子商務(wù)安全技術(shù)主要分為計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)和電子商務(wù)交易技術(shù)。計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)包括防火墻技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)入侵檢測技術(shù)和防病毒技術(shù)等。電子商務(wù)交易技術(shù)包括加密技術(shù)、數(shù)字簽名技術(shù)和身份認(rèn)證技術(shù)等。

1、防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，設(shè)置在內(nèi)網(wǎng)與外網(wǎng)之間，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入，就好比門衛(wèi)，用來防范外來威脅的侵入。它是不同網(wǎng)絡(luò)與網(wǎng)絡(luò)安全域之間信息的唯一出入口，能夠根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

2、VPN技術(shù)是在公共網(wǎng)絡(luò)中建立一個專用網(wǎng)絡(luò)，數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。VPN解決了內(nèi)部網(wǎng)的信息如何在Internet上安全傳送的問題。VPN可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

3、網(wǎng)絡(luò)入侵檢測技術(shù)是對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，就好比現(xiàn)實(shí)中安裝的攝像頭監(jiān)控。

4、防病毒技術(shù)主要利用殺毒軟件，查殺計(jì)算機(jī)病毒和木馬，防止黑客入侵。常用的殺毒軟件有360安全衛(wèi)士、金山毒霸、諾頓殺毒和瑞星殺毒等。除此之外，用戶還要養(yǎng)成良好的上網(wǎng)習(xí)慣，不打開來歷不明的電子郵件，不隨意點(diǎn)擊不健康的網(wǎng)站和對殺毒軟件要及時更新等。

5、加密技術(shù)用來實(shí)現(xiàn)信息的機(jī)密性，主要分為數(shù)學(xué)和非數(shù)學(xué)的加密理論與技術(shù)。數(shù)學(xué)加密技術(shù)一般通過加密算法對數(shù)據(jù)進(jìn)行加密和解密，非數(shù)學(xué)加密技術(shù)包括信息隱藏，生物識別和量子密碼等。

6、數(shù)字簽名技術(shù)主要利用散列函數(shù)提取摘要進(jìn)行驗(yàn)證，保障交易信息的完整性和不可抵賴性。數(shù)據(jù)簽名的加密解密過程和私有密鑰的加密解密過程相反，使用的密鑰對也不同。

7、身份認(rèn)證技術(shù)是通信和數(shù)據(jù)系統(tǒng)正確識別通信用戶或終端的個人身份的重要途徑。當(dāng)前用于身份識別的技術(shù)方法主要有四種：（1）利用用戶身份、口令、密鑰等技術(shù)措施進(jìn)行身份識別；（2）利用用戶的體貌特征、指紋、簽字等技術(shù)措施進(jìn)行身份識別；（3）利用用戶持有的證件進(jìn)行身份識別；（4）多種方法交互使用進(jìn)行身份識別。

四、總結(jié)

電子商務(wù)領(lǐng)域的安全問題備受關(guān)注，相關(guān)的安全技術(shù)也在不斷地發(fā)展和完善，但是仍然存在不足之處，特別是電子商務(wù)網(wǎng)站自身的安全性和電子商務(wù)人員的安全意識，例如用戶信息資料數(shù)據(jù)庫有些網(wǎng)站以明文的形式進(jìn)行存儲，不采用任何加密技術(shù)對其數(shù)據(jù)加密，導(dǎo)致黑客下載數(shù)據(jù)庫后很容易識別相關(guān)信息，造成用戶和商家的損失。用戶在設(shè)置密碼信息的時候，也不能過于簡短，不要以自己的生日和自身相關(guān)數(shù)據(jù)作為密碼。除此之外，釣魚網(wǎng)站也嚴(yán)重地影響了在線金融服務(wù)、電子商務(wù)的發(fā)展，危害公眾利益，影響公眾應(yīng)用互聯(lián)網(wǎng)的信心。因此在安全技術(shù)不斷發(fā)展的今天，提升用戶自身的安全意識也是十分重要的。只有將安全技術(shù)與安全意識結(jié)合起來，才能共同構(gòu)建安全的電子商務(wù)環(huán)境。

參考文獻(xiàn)：

[1]肖德琴，電子商務(wù)安全保密技術(shù)與應(yīng)用，華南理工大學(xué)出版社，2008年8月

第2篇

【關(guān)鍵詞】電子商務(wù)技術(shù)；信息化；安全問題

隨著現(xiàn)代信息社會的不斷發(fā)展，傳統(tǒng)的商務(wù)模式進(jìn)行著轉(zhuǎn)變，新興的技術(shù)在這個大背景下迅猛的成熟起來，并且開始應(yīng)用于實(shí)踐。比如，無線電子商務(wù)技術(shù)，數(shù)字水印技術(shù)，信息隱藏技術(shù)，智能商務(wù)技術(shù)等等。電子商務(wù)推動著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，是網(wǎng)絡(luò)經(jīng)濟(jì)交易的構(gòu)成主體，更是國民經(jīng)濟(jì)科技化、信息化的重要組成部分，它代表著未來商務(wù)交易運(yùn)作方式的發(fā)展方向，在不斷的發(fā)展壯大的過程中，也必將推動我國現(xiàn)代化經(jīng)濟(jì)的發(fā)展。

一、電子商務(wù)技術(shù)簡述

(1)網(wǎng)絡(luò)通信技術(shù)

在電子商務(wù)的現(xiàn)代化應(yīng)用中，計(jì)算機(jī)網(wǎng)絡(luò)是其最基礎(chǔ)的依托設(shè)施，互聯(lián)網(wǎng)將分散在各地的計(jì)算機(jī)系統(tǒng)進(jìn)行連接，這樣保證了計(jì)算機(jī)之間的相互通信，因而在電子商務(wù)活動中發(fā)揮了重要的溝通、紐帶的作用。由此可見，作為電子商務(wù)技術(shù)中最底層、最基礎(chǔ)的技術(shù)，網(wǎng)絡(luò)技術(shù)是一切的基礎(chǔ)。網(wǎng)絡(luò)技術(shù)主要包括：局域網(wǎng)技術(shù)、廣域網(wǎng)互聯(lián)、接入技術(shù)、TCP／IP協(xié)議和Web技術(shù)。其中局域網(wǎng)和廣域網(wǎng)技術(shù)是Internet的物理構(gòu)成基礎(chǔ)，TCP／IP協(xié)議是Internet的邏輯互聯(lián)基礎(chǔ)，Web技術(shù)是電子商務(wù)網(wǎng)站設(shè)計(jì)和開發(fā)的技術(shù)基礎(chǔ)。

其中本文在此介紹一下Web Service技術(shù)。Web技術(shù)是建立在XML(可擴(kuò)展標(biāo)注語言)和SOAP(訪問Web服務(wù)的標(biāo)準(zhǔn))之上，使用HTTP(超文本傳輸協(xié)議)進(jìn)行對Web方法的請求和應(yīng)答，從而完成數(shù)據(jù)交換的技術(shù)。Web技術(shù)實(shí)現(xiàn)了服務(wù)系統(tǒng)從面向?qū)ο笙蛎嫦蚍?wù)的轉(zhuǎn)化與演變，它使得用戶可以隨時隨地、自動地、自如地搜索互聯(lián)網(wǎng)上不同商業(yè)實(shí)體所提供的各種服務(wù)，并且通過對其進(jìn)行比較，找出提供該服務(wù)的最佳實(shí)體、最佳途徑，從而在最大限度上滿足客戶的需求。

(2)EDI技術(shù)

作為電子商務(wù)的核心技術(shù)之一，電子數(shù)據(jù)交換技術(shù)已經(jīng)發(fā)展了二十多年，該技術(shù)通過電子傳輸?shù)姆绞剑媪藗鹘y(tǒng)的郵政、貨運(yùn)等傳輸模式，為互聯(lián)網(wǎng)虛擬交流開辟了一個嶄新的天地。該技術(shù)通過國際標(biāo)準(zhǔn)的格式對行業(yè)信息進(jìn)行編制，再經(jīng)過互聯(lián)網(wǎng)的傳輸，最終實(shí)現(xiàn)各主體間的數(shù)據(jù)傳輸與處理。

(3)電子商務(wù)安全技術(shù)

交易和支付的安全性一直是電子商務(wù)的敏感問題。網(wǎng)上交易的面臨著諸多不安全因素，雖然一部分是網(wǎng)絡(luò)本身的復(fù)雜性和共享性造成的，但是信用、管理、法律法規(guī)的不規(guī)范，也為不法分子提供了犯罪的溫床。從密碼泄露，身份信息被公開，到原生數(shù)據(jù)被更改，無一不使我們對電子商務(wù)的安全產(chǎn)生了極大的懷疑。不過，針對這些問題，信息保密性技術(shù)、數(shù)據(jù)完整性技術(shù)、不可否認(rèn)技術(shù)、身份認(rèn)證技術(shù)、智能技術(shù)、電子支付技術(shù)等技術(shù)的不斷發(fā)展與完善，為電子商務(wù)的安全問題提供了有效的保障。

(4)MobileAgent技術(shù)

該智能移動技術(shù)通過人工智能技術(shù)對分布計(jì)算技術(shù)進(jìn)行了進(jìn)一步的發(fā)展與完善。它的本質(zhì)是將網(wǎng)絡(luò)上的一臺主機(jī)需要傳輸?shù)拇a、程序移動到另一臺主機(jī)上，通過選擇JAVA語言來實(shí)現(xiàn)的電商體系。Mobile Agent技術(shù)的電子商務(wù)模式具有許多優(yōu)點(diǎn)，其一，它能為交易主體提供接入Intemet的接口并且搜索出自己所需的商品，接著建立雙方的交易平臺，該技術(shù)使得完成交易所耗費(fèi)時間和精力大大減少。其二，保障了在線交易的安全性。

二、電子商務(wù)安全現(xiàn)狀

二十年前，電子商務(wù)安全產(chǎn)業(yè)才剛剛在中國起步，經(jīng)過這幾年的不懈努力，我國電子商務(wù)的科研和發(fā)展已經(jīng)初具規(guī)模。目前，我國通過不斷的研究與摸索，已掌握了部分核心的網(wǎng)絡(luò)安全技術(shù)以及電子商務(wù)安全技術(shù)，但是由于電子商務(wù)安全技術(shù)仍在探索階段，因而對于具有自主知識產(chǎn)權(quán)的信息產(chǎn)品很難進(jìn)行開發(fā)以及運(yùn)用，與此同時，國外信息產(chǎn)品開發(fā)所壟斷的高新技術(shù)因其安全系統(tǒng)的要求，我國也無法進(jìn)行學(xué)習(xí)，因而導(dǎo)致了發(fā)展的滯后。不過近年來，一方面通過借鑒國外先進(jìn)技術(shù)，一方面經(jīng)過國內(nèi)開發(fā)人員的不懈努力，我國也研制出了一些安全產(chǎn)品，例如防火墻、第三方電子商務(wù)安全交易平臺等。但是，在實(shí)際應(yīng)用中，這些產(chǎn)品的安全問題在許多方面還存在技術(shù)漏洞。另外，因?yàn)榉杉s束的不夠規(guī)范性，我國有很多的電子商務(wù)企業(yè)對網(wǎng)絡(luò)信息安全問題重視程度很低。他們把企業(yè)發(fā)展的重點(diǎn)放在了追求效益的增加和交易的快捷上，與此同時，忽略了安全、保密的問題，從而導(dǎo)致了許多企業(yè)不適應(yīng)于電子商務(wù)的長足發(fā)展。

三、電子商務(wù)安全問題

(1)思想上

如何喚起或者說加深更多的企業(yè)、部門和人員在思想對于網(wǎng)絡(luò)安全的認(rèn)識以及重視程度，是從根本上解決電子商務(wù)問題的基礎(chǔ)。往大了說，電子商務(wù)的安全問題與國家信息技術(shù)的安全息息相關(guān)，往小了說，電子商務(wù)滲透到了現(xiàn)實(shí)生活的方方面面，與每個人的切身利益都有不可脫離的關(guān)系。只有解決了電子商務(wù)系統(tǒng)技術(shù)上、管理上的安全問題，才能夠保障國家科技發(fā)展的安全性，從而保證經(jīng)濟(jì)的穩(wěn)定、政治的穩(wěn)定，并最終維護(hù)了國家的安全問題，與此同時，國家有關(guān)部門應(yīng)該成立專門的領(lǐng)導(dǎo)協(xié)調(diào)機(jī)構(gòu)，建立安全可靠的信息網(wǎng)絡(luò)系統(tǒng)。

(2)技術(shù)上

其一，我國目前使用的互聯(lián)網(wǎng)信息技術(shù)和相關(guān)的網(wǎng)絡(luò)安全設(shè)備有很大一部分都是國外開發(fā)出來的，將其直接應(yīng)用到我國的電子商務(wù)中，一方面安全性有待考量，另一方面，實(shí)際運(yùn)用中也不可避免的會存在一些問題；其二，我國自主研發(fā)的安全設(shè)備和技術(shù)在關(guān)鍵時刻因?yàn)榧夹g(shù)的不成熟，往往不能起到安全防范的作用；其三，我國許多企業(yè)只重視網(wǎng)絡(luò)設(shè)備、設(shè)施的建設(shè)，但忽略了網(wǎng)絡(luò)安全的投入。

(3)社會化信用體系

目前我國的互聯(lián)網(wǎng)市場還不夠成熱，電子商務(wù)的交易保障體系還不夠完善，社會化信用體系還不健全。在交易雙方進(jìn)行交易時，因保障體系的不健全，以及社會監(jiān)督力度的不完善，因而交易主體的行為缺乏足夠的自律性。

(4)法律上

電子商務(wù)缺乏相關(guān)法律法規(guī)對其進(jìn)行有力的約束，因而許多網(wǎng)上違法犯罪行為得不到及時的威脅與懲戒，因而為許多網(wǎng)絡(luò)犯罪提供了可能。加大立法，加強(qiáng)執(zhí)法，才能主動預(yù)防犯罪，嚴(yán)厲懲治犯罪。

四、電子商務(wù)安全問題對策

(1)全面應(yīng)用電子商務(wù)安全技術(shù)

其一，加強(qiáng)鑒別和認(rèn)證安全技術(shù)。防止未被授權(quán)的用戶進(jìn)入到第三方支付平臺進(jìn)行不法操作。通過口令機(jī)制、強(qiáng)鑒別機(jī)制等方式，有效地解決主客體的信任問題。目前該鑒別技術(shù)應(yīng)用較廣的主要是在電子賬單領(lǐng)域，在信息化比較發(fā)達(dá)的各大中城市，各大銀行以及政府機(jī)關(guān)都已經(jīng)開始應(yīng)用電子賬單。

其二，防火墻技術(shù)。它通過在網(wǎng)絡(luò)之間建立一個安全屏障，保障各主體信息的安全性，它通過根據(jù)指定的算法，對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析、過濾和統(tǒng)計(jì)，并對各種非法的惡意攻擊提供有效的防范。

其三，信息加密技術(shù)。通過常用的網(wǎng)絡(luò)加密方法：鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密，保護(hù)互聯(lián)網(wǎng)內(nèi)數(shù)據(jù)交換、文件傳輸?shù)男畔踩切畔⒓用芗夹g(shù)的根本目的。

(2)加強(qiáng)安全管理

電子商務(wù)安全管理主要包括以下幾個方面：人員管理制度，對相關(guān)工作人員要進(jìn)行嚴(yán)格的篩選，明確每個成員的工作職責(zé)；保密制度；信息數(shù)據(jù)備份和應(yīng)急措施，主要是指如果計(jì)算機(jī)發(fā)生災(zāi)難時，能用于應(yīng)的行安全保護(hù)；對抗病毒，因?yàn)椴《驹诰W(wǎng)絡(luò)環(huán)境下有很強(qiáng)的傳染性、隱蔽性，它對于電子商務(wù)安全有著很大的威脅。因此，建立病毒防范制度是非常有必要的。

第3篇

[關(guān)鍵詞] 安全體系 加密 數(shù)字證書 電子商務(wù) 安全交易標(biāo)準(zhǔn)

一、引言

當(dāng)前的電子商務(wù)是指通過電子方式的商務(wù)活動。它作為一種全新的業(yè)務(wù)和服務(wù)方式，為全球客戶提供了豐富的商務(wù)信息、便捷的交易過程和廉價的交易成本。但是，電子商務(wù)給人們帶來方便的同時，也把人們引入安全憂慮之中。買方擔(dān)心在網(wǎng)絡(luò)上傳輸?shù)男庞每皞€人資料被截取；賣方則擔(dān)心收到的是被盜用的信用卡號碼，或是交易不認(rèn)賬等，這些存在的安全漏洞問題已成為阻礙網(wǎng)上交易發(fā)展的首要問題。相對于傳統(tǒng)商務(wù)，電子商務(wù)對管理機(jī)制、實(shí)施平臺和信息傳遞技術(shù)都提出了更高的要求，其中安全體系的構(gòu)建尤為顯得重要，已成為電子商務(wù)能否得到進(jìn)一步發(fā)展和推廣的關(guān)鍵所在。

二、電子商務(wù)安全體系結(jié)構(gòu)

1.電子商務(wù)中存在的安全隱患和威脅

Internet是電子商務(wù)實(shí)現(xiàn)的網(wǎng)絡(luò)基礎(chǔ)，它采用TCP/IP完成不同網(wǎng)絡(luò)與不同計(jì)算機(jī)之間的通信，正是由于這些特點(diǎn)，使它給電子商務(wù)帶來了很多的安全問題。Internet的安全隱患主要體現(xiàn)在四個方面。

開放性和資源共享是Internet的主要優(yōu)點(diǎn)，但它帶來的問題卻不容忽視。因?yàn)楫?dāng)甲方在很容易的訪問乙方時，如果沒有采取任何措施，乙方同樣很容易的訪問甲方的計(jì)算機(jī)。

Internet采用的協(xié)議TCP/IP并未采用任何措施來保護(hù)傳輸內(nèi)容不被竊取。它是一種包交換網(wǎng)絡(luò)，每個數(shù)據(jù)包在網(wǎng)絡(luò)上都是透明傳輸?shù)模⑶铱赡芙?jīng)過不同的網(wǎng)絡(luò)，由路由器轉(zhuǎn)發(fā)到達(dá)目的計(jì)算機(jī)。數(shù)據(jù)在傳輸過程中可能會遭到IP窺探、同步信號淹沒、TCP會話竊聽、復(fù)位與結(jié)束信號攻擊等威脅。

Internet底層的操作系統(tǒng)如UNIX，由于源代碼的公開，很容易發(fā)現(xiàn)漏洞，給Internet用戶帶來安全問題。

相比較傳統(tǒng)信函，電子化信息就缺乏可信度，電子信息是否準(zhǔn)確很難由其本身來鑒別。在Internet上傳遞電子信息時，難以確認(rèn)信息發(fā)送者及信息是否被正確無誤地傳遞給對方。

由于Internet存在上述安全隱患，將給電子商務(wù)帶來如下的安全威脅。

由于非法入侵，造成商務(wù)信息被纂改、竊取或丟失。

商業(yè)機(jī)密在傳輸過程中被第三方獲悉，被惡意破壞。

虛假身份的交易對象及虛假訂單、合同。

貿(mào)易對象的抵賴。

由計(jì)算機(jī)系統(tǒng)故障造成的對交易過程和商業(yè)信息安全的破壞。

綜上所述，電子商務(wù)面臨多方面的威脅，存在許多安全隱患。

2.電子商務(wù)的安全性內(nèi)容

要使電子商務(wù)健康、順利發(fā)展，必須解決好以下幾種關(guān)鍵的安全性要求。

(1)保證信息的保密性和完整性。在交易過程中必須保證信息不被非授權(quán)用戶竊取，數(shù)據(jù)在輸入和傳輸過程中能保證數(shù)據(jù)的一致性。

(2)不可否認(rèn)性。它是指信息發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息，接收方也不可否認(rèn)已經(jīng)收到的信息。

(3)真實(shí)性。商務(wù)活動交易雙方身份是真實(shí)的，不是假冒的，不存在的。

(4)系統(tǒng)的可靠性與內(nèi)部網(wǎng)絡(luò)的嚴(yán)密性。在計(jì)算機(jī)失效、程序錯誤、傳輸錯誤、硬件各種及計(jì)算機(jī)病毒等潛在威脅下，有容錯處理機(jī)制、數(shù)據(jù)恢復(fù)能力，確保系統(tǒng)安全、可靠。對企業(yè)內(nèi)部網(wǎng)絡(luò)而言，要保證內(nèi)部網(wǎng)絡(luò)不被入侵。

3.電子商務(wù)安全技術(shù)體系結(jié)構(gòu)

電子商務(wù)的安全技術(shù)體系結(jié)構(gòu)是保證電子商務(wù)中數(shù)據(jù)安全的一個完整邏輯結(jié)構(gòu)，如圖所示。其中，下層是上層的基礎(chǔ)，為上層提供技術(shù)支持。上層是下層的擴(kuò)展與遞增。各層相互聯(lián)系、相互依賴的構(gòu)成一個整體。通過不同的安全控制技術(shù)，實(shí)現(xiàn)各層的安全策略，有效保證了電子商務(wù)系統(tǒng)的安全。

三、電子商務(wù)的安全技術(shù)

1.防火墻技術(shù)

防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封裝機(jī)制，內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的，而外部網(wǎng)絡(luò)（通常指Internet）被認(rèn)為是不安全和不可信賴的。防火墻的主要目的是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略。

防火墻的主要技術(shù)有包過濾技術(shù)、服務(wù)器技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和狀態(tài)檢測包過濾技術(shù)，現(xiàn)在最常用的是狀態(tài)檢測包過濾技術(shù)。狀態(tài)檢測防火墻對每個合法網(wǎng)絡(luò)連接保存的信息包括源地址、目的地址、協(xié)議類型、協(xié)議相關(guān)信息、連接狀態(tài)和超時時間等稱為狀態(tài)。通過狀態(tài)檢測，可實(shí)現(xiàn)比簡單包過濾防火墻具有更好的安全性。

2.加密技術(shù)

數(shù)字加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來保障安全性。利用加密技術(shù)，可以將某些重要的信息和數(shù)據(jù)從一個可以理解的明文轉(zhuǎn)換為復(fù)雜的、不可理解的密文形式，在線路上傳送或在數(shù)據(jù)庫中存儲，其他用戶再將密文還原為明文。

3.信息摘要

密鑰加密技術(shù)只能解決信息的保密性問題，對信息的完整性則可以使用信息摘要技術(shù)來實(shí)現(xiàn)。信息摘要又稱為Hash算法，是一種單向加密算法，其加密結(jié)果是不能解密的。通過Hash算法，得到一個固定長度（128位）的散列值，不同的原文產(chǎn)生的信息摘要必不相同，相同的原文產(chǎn)生的信息摘要必定相同。這樣，通過用接收方產(chǎn)生的摘要與發(fā)送方發(fā)來的摘要比較，若兩者相同則表示原文在傳輸過程中沒有被修改，否則說明原文被修改過。

4.數(shù)字簽名

數(shù)字簽名是密鑰加密和信息摘要相結(jié)合的技術(shù)，用于保證信息的完整性和不可否認(rèn)性。簽名機(jī)制的特征是該簽名只有通過簽名者的私有信息才能產(chǎn)生，即一個簽名者的簽名只能惟一地由他自己生成。當(dāng)收發(fā)雙方發(fā)生爭議時，第三方就能根據(jù)消息上的數(shù)字簽名來裁定這條消息是否由發(fā)送方發(fā)出，從而實(shí)現(xiàn)不可否認(rèn)服務(wù)。

5.數(shù)字時間戳

在電子交易中，時間和簽名同等重要。數(shù)字時間戳是由專門機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項(xiàng)目，用于證明信息發(fā)送的時間。

6.數(shù)字證書與CA認(rèn)證

由于電子商務(wù)在網(wǎng)絡(luò)中完成，互相之間不見面，因此為了保證每個人及機(jī)構(gòu)都能惟一且被準(zhǔn)確無誤地識別，就需要進(jìn)行身份認(rèn)證。身份認(rèn)證可以通過驗(yàn)證參與各方的數(shù)字證書來實(shí)現(xiàn)，而數(shù)字證書是由認(rèn)證中心（CA）頒發(fā)的。

所謂CA（Certificate Authority：證書發(fā)行機(jī)構(gòu)），是采用PKI（Public Key Infrastructure：公共密鑰體系）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書，具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)，其作用就像現(xiàn)實(shí)生活中頒發(fā)證件的機(jī)構(gòu)。

四、電子商務(wù)安全交易標(biāo)準(zhǔn)

要實(shí)現(xiàn)安全的電子商務(wù)交易，交易雙方必須遵照統(tǒng)一的安全標(biāo)準(zhǔn)協(xié)議。當(dāng)前，電子商務(wù)的安全機(jī)制正走向成熟，并逐漸形成了一些國際規(guī)范，比較有代表性的有安全套接層協(xié)議SSL（Secure Sockets Layer）和安全電子交易協(xié)議SET（Secure Electronic Transaction）。

1.安全套接層協(xié)議SSL

SSL協(xié)議是由Netscape公司研制的安全協(xié)議，SSL使用加密的方法建立一個安全的通信通道，以使客戶的信用卡號傳送給商家，商家再將其轉(zhuǎn)發(fā)給銀行，銀行驗(yàn)證后在通知商家付款成功。該協(xié)議已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，微軟、IBM公司都提供基于這種簡單加密模式的支付系統(tǒng)。

2.安全電子交易SET協(xié)議

SET協(xié)議向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實(shí)現(xiàn)安全措施的規(guī)則。它是由Visa國際組織和MasterCard組織制定的，用于在Internet上進(jìn)行在線交易時保證信用卡支付安全的開放性安全技術(shù)標(biāo)準(zhǔn)。由于得到了微軟、IBM、RAS公司的支持與參與，已成為工業(yè)事實(shí)上的標(biāo)準(zhǔn)。

SET協(xié)議采用了RSA公私鑰加密系統(tǒng)、數(shù)字簽名、數(shù)字證書認(rèn)證等技術(shù)，保證了支付信息的保密性、完整性和不可否認(rèn)性。該協(xié)議提供了客戶、商家和銀行之間的身份認(rèn)證，而交易信息和客戶信用卡信息相互隔離，即商家只能獲取訂單信息，銀行只能獲得持卡人信用卡支付信息，雙方互不干擾，各去所需，構(gòu)成了SET協(xié)議的主要特色，使得SET成為電子商務(wù)的安全規(guī)范。

3.SET、SSL協(xié)議比較

(1)SET是一個專門的安全電子支付協(xié)議，而SSL本質(zhì)上是一個網(wǎng)絡(luò)安全協(xié)議，僅在雙方間建立起安全連接。SET是一個多方的消息報文協(xié)議，定義了銀行、商家和持卡人間必須符合的報文規(guī)范，它比SSL在交易過程中的信任度更強(qiáng)。

(2)SSL僅有商家的服務(wù)器需要認(rèn)證，客戶端只是選擇性認(rèn)證；而SET在整個交易過程中都受到嚴(yán)密保護(hù)，其安全性比SSL高。

(3)SSL協(xié)議中若想進(jìn)行電子商務(wù)交易，只需通過瀏覽器實(shí)現(xiàn)，設(shè)置成本低廉，其交易只要幾十秒就可完成；SET盡管安全性高，但需要專門的軟件來實(shí)現(xiàn)，客戶、商家改造成本高，由于交易過程各方之間進(jìn)行多次加密傳輸，每次交易需要數(shù)分鐘。

綜上所述，SSL與SET協(xié)議是電子商務(wù)中最普遍的兩種安全電子支付協(xié)議，各有優(yōu)缺點(diǎn)。SSL雖然簡單快捷，但隨著電子商務(wù)的發(fā)展其缺點(diǎn)凸現(xiàn)出來，需采用更先進(jìn)的支付系統(tǒng)。而SET雖有更強(qiáng)的功能和安全性，但過于復(fù)雜，使得大面積推廣還有很大障礙，并且成本昂貴，所以，在未來一段時間里將會是SSL和SET兩種支付方式并存的局面。

五、結(jié)論

電子商務(wù)的本質(zhì)是商務(wù)，技術(shù)是電子商務(wù)得以實(shí)現(xiàn)的手段。沒有商務(wù)需求，技術(shù)的研究就失去了應(yīng)用價值；沒有技術(shù)實(shí)現(xiàn)，電子商務(wù)就不能得以實(shí)施，所以技術(shù)是電子商務(wù)的必要條件。而安全則是實(shí)現(xiàn)電子商務(wù)技術(shù)的前提，也是電子商務(wù)的必要條件。解決電子商務(wù)的安全問題不是一個單一的技術(shù)問題，它是由一系列工作組成，需要從電子商務(wù)安全管理、安全技術(shù)體系和法律等多方面開展工作和研究。

參考文獻(xiàn):

[1]胡道元 閔京華:網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社，2006

[2]祝凌曦:電子商務(wù)安全[M].北京：北方交通大學(xué)，2006.

[3]李曉燕 李福全 郭愛芳:電子商務(wù)概論[M].陜西：電子科技大學(xué)出版社，2004

[4]何 勝:電子商務(wù)中安全支付協(xié)議的對比及應(yīng)用[J].計(jì)算機(jī)時代,2004(20)

第4篇

1電子商務(wù)面臨的安全威脅

在電子商務(wù)運(yùn)作的大環(huán)境中，時時刻刻面臨著安全威脅，這不僅僅設(shè)計(jì)技術(shù)問題，更重要的是管理上的漏洞，而且與人們的行為模式有著密不可分的聯(lián)系。電子商務(wù)面臨的安全威脅可以分為以下幾類：

1.1信息內(nèi)容被截取竊取

這一類的威脅發(fā)生主要由于信息傳遞過程中加密措施或安全級別不夠，或者通過對互聯(lián)網(wǎng)，電話網(wǎng)中信息流量和流向等參數(shù)的分析來竊取有用信息。

1.2中途篡改信息

主要破壞信息的完整性，通過更改、刪除、插入等手段對網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途篡改，并將篡改后的虛假信息發(fā)往接受端。

1.3身份假冒

建立與銷售者服務(wù)器名稱相似的假冒服務(wù)器、冒充銷售者、建立虛假訂單進(jìn)行交易。

1.4交易抵賴

比如商家對賣出的商品因價格原因不承認(rèn)原有交易，購買者因簽訂了訂單卻事后否認(rèn)。

1.5同行業(yè)者惡意競爭

同行業(yè)者利用購買者名義進(jìn)行商品交易，暗中了解買賣流程、庫存狀況、物流狀況。

1.6電子商務(wù)系統(tǒng)安全性被破壞

不法分子利用非法手段進(jìn)入系統(tǒng)，改變用戶信息、銷毀訂單信息、生成虛假信息等。

2電子商務(wù)安全策略原則

電子商務(wù)安全策略是在現(xiàn)有情況，實(shí)現(xiàn)投入的成本與效率之間的平衡，減少電子商務(wù)安全所面臨的威脅。據(jù)電子商務(wù)網(wǎng)絡(luò)環(huán)境的不同，采用不同的安全技術(shù)來制定安全策略。在制定安全策略時應(yīng)遵循以下總體原則：

2.1共存原則

是指影響網(wǎng)絡(luò)安全的問題是與整個網(wǎng)絡(luò)的運(yùn)作生命周期同時存在，所以在設(shè)計(jì)安全體系結(jié)構(gòu)時應(yīng)考慮與網(wǎng)絡(luò)安全需求一致。如果不在網(wǎng)站設(shè)計(jì)開始階段考慮安全對策，等網(wǎng)站建設(shè)好后在修改會耗費(fèi)更大的人力物力。

2.2靈活性原則

安全策略要能隨著網(wǎng)絡(luò)性能及安全威脅的變化而變化，要及時的適應(yīng)系統(tǒng)和修改。

2.3風(fēng)險與代價相互平衡的分析原則

任何一個網(wǎng)絡(luò)，很難達(dá)到絕對沒有安全威脅。對一個網(wǎng)絡(luò)要進(jìn)行實(shí)際分析，并且對網(wǎng)絡(luò)面臨的威脅以及可能遇到的風(fēng)險要進(jìn)行定量與定性的綜合分析，制定規(guī)范的措施，并確定本系統(tǒng)的安全范疇，使花費(fèi)在網(wǎng)絡(luò)安全的成本與在安全保護(hù)下的信息的價值平衡。

2.4易使用性原則

安全策略的實(shí)施由人工完成，如果實(shí)施過程過于復(fù)雜，對于人的要求過高，對本身的安全性也是一種降低。

2.5綜合性原則

一個好的安全策略在設(shè)計(jì)時往往采用是多種方法綜合應(yīng)用的結(jié)果，以系統(tǒng)工程的觀點(diǎn)，方法分析網(wǎng)絡(luò)安全問題，才可能獲得有效可行的措施。

2.6多層保護(hù)原則

任何單一的安全保護(hù)措施都不是能獨(dú)當(dāng)一面，絕對安全的，應(yīng)該建立一個多層的互補(bǔ)系統(tǒng)，那么當(dāng)一層被攻破時，其它保護(hù)層仍然可以安全的保護(hù)信息。

3電子商務(wù)安全策略主要技術(shù)

3.1防火墻技術(shù)

防火墻技術(shù)是一種保護(hù)本地網(wǎng)絡(luò)，并對外部網(wǎng)絡(luò)攻擊進(jìn)行抵制的重要網(wǎng)絡(luò)安全技術(shù)之一，是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)施。總體可以分為：數(shù)據(jù)包過濾型防火墻、應(yīng)用級網(wǎng)關(guān)型防火墻、服務(wù)型防火墻等幾類。防火墻具有5種基本功能：

（1）抵擋外部攻擊；

（2）防止信息泄露；

（3）控制管理網(wǎng)絡(luò)存取和訪問；

（4）VPN虛擬專用網(wǎng)功能；

（5）自身抗攻擊能力。

防火墻的安全策略有兩種情形：

（1）違背允許的訪問服務(wù)都是被禁止的；

（2）未被禁止的訪問服務(wù)都是被允許的。

多數(shù)防火墻是在兩者之間采取折中策略，在安全的情況之下提高訪問效率。

3.2加密技術(shù)

加密技術(shù)是對傳輸?shù)男畔⒁阅撤N方法進(jìn)行偽裝并隱藏其內(nèi)容，而達(dá)到不被第三方所獲取其真實(shí)內(nèi)容的一種方法。在電子商務(wù)過程中，采用加密技術(shù)將信息隱藏起來，再將隱藏的信息傳輸出去，這樣即使信息在傳輸?shù)倪^程中被竊取，非法截獲者也無法了解信息內(nèi)容，進(jìn)而保證了信息在交換過程中安全性、真實(shí)性、能夠有效的為安全策略提供幫助。

3.3數(shù)字簽名技術(shù)

是指在對文件進(jìn)行加密的基礎(chǔ)上，為了防止有人對傳輸過程中的文件進(jìn)行更改破壞以及確定發(fā)信人的身份所采取的手段。在電子商務(wù)安全中占有特別重要的地位，能夠解決貿(mào)易過程中的身份認(rèn)證、內(nèi)容完整性、不可抵賴等問題。數(shù)字簽名過程：發(fā)送方首先將原文通過Hash算法生成摘要，并用發(fā)送者的私鑰進(jìn)行加密生成數(shù)字簽名發(fā)送給接受方，接收方用發(fā)送者的公鑰進(jìn)行解密，得到發(fā)送方的報文摘要，最后接收方將收到的原文用Hash算法生成其摘要，與發(fā)送方的摘要進(jìn)行比對。

3.4數(shù)字證書技術(shù)

數(shù)字證書是網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，由第三方公正機(jī)構(gòu)頒發(fā)，以數(shù)字證書為依據(jù)的信息加密技術(shù)可以確保網(wǎng)上傳輸信息的的保密性、完整性和交易的真實(shí)性、不可否認(rèn)性，為電子商務(wù)的安全提供保障。標(biāo)準(zhǔn)的數(shù)字證書包含：版本號，簽名算法，序列號，頒發(fā)者姓名，有效日期，主體公鑰信息，頒發(fā)者唯一標(biāo)識符，主體唯一標(biāo)示符等內(nèi)容。一個合理的安全策略離不開數(shù)字證書的支持。

3.5安全協(xié)議技術(shù)

安全協(xié)議能夠?yàn)榻灰走^程中的信息傳輸提供強(qiáng)而有力的保障。目前通用的為電子商務(wù)安全策略提供的協(xié)議主要有電子商務(wù)支付安全協(xié)議、通信安全協(xié)議、郵件安全協(xié)議三類。用于電子商務(wù)的主要安全協(xié)議包括：通訊安全的SSL協(xié)議（SecureSocketLayer），信用卡安全的SET協(xié)議（SecureElectronicTransaction），商業(yè)貿(mào)易安全的超文本傳輸協(xié)議（S-HTTP），InternetEDI電子數(shù)據(jù)交換協(xié)議以及電子郵件安全協(xié)議S/MIME和PEM等。

第5篇

[關(guān)鍵詞] 電子商務(wù) 安全 PKI 公鑰

一、引言

隨著計(jì)算機(jī)技術(shù)和通訊技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)正逐步改變著人們的工作方式和生活方式，成為當(dāng)今社會發(fā)展的一個主題。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴(kuò)大，特別是Internet的出現(xiàn)，使網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。隨著網(wǎng)絡(luò)上電子商務(wù)，電子現(xiàn)金，數(shù)字貨幣，網(wǎng)絡(luò)移動通信等新業(yè)務(wù)的興起，信息安全問題變得越來越重要。在各種網(wǎng)絡(luò)信息技術(shù)的應(yīng)用中，保障用戶的合法訪問、保證數(shù)據(jù)在傳輸過程中的保密性，以及確認(rèn)發(fā)送者的合法身份是最基本的安全要求。越來越多的組織利用公鑰基礎(chǔ)設(shè)施（PKI）技術(shù)為用戶提供信息安全服務(wù)。在我國，基于PKI技術(shù)的安全方案也從金融、電信等少數(shù)行業(yè)擴(kuò)展到更多領(lǐng)域，出現(xiàn)在電子政務(wù)、電子商務(wù)等各類信息化應(yīng)用中。

二、電子商務(wù)安全

電子商務(wù)是指各種具有商業(yè)活動能力的主體（如企業(yè)、個人、政府、銀行等）利用網(wǎng)絡(luò)和先進(jìn)的數(shù)字化傳媒技術(shù)開展的各項(xiàng)商業(yè)貿(mào)易活動。電子商務(wù)作為一種全新的商務(wù)運(yùn)作模式，在不斷發(fā)展的同時，也帶來種種安全問題。電子商務(wù)安全分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。

計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題, 實(shí)施強(qiáng)大的網(wǎng)絡(luò)安全監(jiān)控方案, 以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性。常用的網(wǎng)絡(luò)安全技術(shù)有防火墻、虛擬專用網(wǎng)、入侵檢測技術(shù)、計(jì)算機(jī)防病毒技術(shù)等。

商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)上應(yīng)用時產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行，即實(shí)現(xiàn)電子商務(wù)的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性等。具體包括：如何確定通信中貿(mào)易伙伴的真實(shí)性，保證身份的可認(rèn)證性； 如何保證電子單證的機(jī)密性，防范電子單證的內(nèi)容被第三方讀取；如何保證被傳輸?shù)臉I(yè)務(wù)單證不會丟失，或者發(fā)送方可以察覺所發(fā)單證的丟失；如何保證電子單證內(nèi)容的真實(shí)性、準(zhǔn)確性和完整性；如何保證存儲信息的安全性；如何對數(shù)據(jù)信息進(jìn)行審查并將審查的結(jié)果進(jìn)行記錄。

三、PKI與電子商務(wù)安全

互聯(lián)網(wǎng)絡(luò)的開放性和匿名性的特征使電子商務(wù)的安全問題變得越來越突出，諸如信息的泄露或篡改，欺騙，抵賴等問題。為了防范用戶身份（包括人和設(shè)備）的假冒、數(shù)據(jù)的截取和篡改，以及行為的否認(rèn)等安全漏洞，互聯(lián)網(wǎng)急需一種技術(shù)或體制來實(shí)現(xiàn)對用戶身份的認(rèn)證，建立可信的網(wǎng)絡(luò)應(yīng)用環(huán)境，并保證互聯(lián)網(wǎng)上所傳輸數(shù)據(jù)的安全。PKI是為適應(yīng)網(wǎng)絡(luò)開放狀態(tài)應(yīng)運(yùn)而生的一種技術(shù)，以前的信息安全技術(shù)（如防火墻、入侵檢測。防病毒等）基本上都是解決網(wǎng)絡(luò)安全某一方面的問題，而PKI則是比較完整的網(wǎng)絡(luò)安全解決方案，能夠全面保證信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性。

1.什么是PKI

PKI（Public Key Infrastructure）即“公鑰基礎(chǔ)設(shè)施”，是一套利用公鑰密碼技術(shù)為安全通信提供服務(wù)的基礎(chǔ)平臺的技術(shù)和規(guī)范，PKI規(guī)定了該安全基礎(chǔ)平臺應(yīng)遵循的標(biāo)準(zhǔn)。PKI公鑰基礎(chǔ)設(shè)施的主要任務(wù)是在開放環(huán)境中為開放性業(yè)務(wù)提供基于非對稱密鑰密碼技術(shù)的一系列安全服務(wù)，包括身份認(rèn)證和密碼管理、機(jī)密性、完整性、身份認(rèn)證和數(shù)字簽名等。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。用戶可利用PKI平臺提供的服務(wù)進(jìn)行安全的電子交易，通信和互聯(lián)網(wǎng)上的各種活動。

2.PKI的組成

一個典型的PKI系統(tǒng)應(yīng)該包括PKI策略，軟硬件系統(tǒng)，認(rèn)證中心CA、注冊機(jī)構(gòu)RA、證書簽發(fā)系統(tǒng)和PKI應(yīng)用等基本部分，見圖1 PKI的組成框圖。

圖 PKI的組成框圖

(1)PKI策略：是一個包含如何在實(shí)踐中增強(qiáng)和支持安全策略的一些操作過程的詳細(xì)文檔，它建立和定義了一個組織信息安全方面的指導(dǎo)方針，同時也定義了密碼系統(tǒng)使用的處理方法和原則。

(2)軟硬件系統(tǒng)是：PKI系統(tǒng)運(yùn)行所需的所有軟件、硬件的集合，主要包括認(rèn)證服務(wù)器、目錄服務(wù)器、PKI平臺等。

(3)認(rèn)證中心CA：是PKI的信任基礎(chǔ)，它負(fù)責(zé)管理密鑰和數(shù)字證書的整個生命周期。其作用包括：證書申請、證書審批和發(fā)放、規(guī)定證書的有效期、證書更新、接收并處理合法身份者的證書查詢和撤消申請、產(chǎn)生并管理證書廢止列表CRL、將各用戶的數(shù)字證書歸檔、產(chǎn)生并管理密鑰（包括密鑰備份及恢復(fù)）、將用戶的歷史數(shù)據(jù)歸檔等。

(4)注朋機(jī)構(gòu)RA：是PKI信任體系的重要組成部分，是用戶（可以是個人或團(tuán)體）和認(rèn)證中心CA之間的一個接口。主要完成收集用戶信息、確認(rèn)用戶身份的功能。這里指的用戶，是指將要向認(rèn)證中心(以)申請數(shù)字證書的客戶，它可以是個人，也可以是集團(tuán)、企業(yè)等機(jī)構(gòu)。

(5)證書簽發(fā)系統(tǒng)：負(fù)責(zé)證書的發(fā)放，如可以通過用戶自己，或是通過目錄服務(wù)。目錄服務(wù)器可以是一個組織中現(xiàn)有的，也可以是PKI方案中提供的。

(6)PKI應(yīng)用：包括在Web服務(wù)器和瀏覽器之間的通訊、電子郵件、電子數(shù)據(jù)交換(EDI)、在Internet上的信用卡交易和虛擬專業(yè)網(wǎng)（VPN）等。

(7)應(yīng)用接口系統(tǒng)（API）：一個完整的PKI必須提供良好的應(yīng)用接口系統(tǒng)，讓用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)，使得各種各樣的應(yīng)用能夠以安全、一致、可信的方式與PKI交互，確保所建立起來的網(wǎng)絡(luò)環(huán)境的可信性，降低管理和維護(hù)的成本。

3.基于PKI的電子商務(wù)安全體系

電子商務(wù)的關(guān)鍵是商務(wù)信息電子化，因此，電子商務(wù)安全性問題的關(guān)鍵是計(jì)算機(jī)信息的安全性。如何保障電子商務(wù)過程的順利進(jìn)行，即實(shí)現(xiàn)電子商務(wù)的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性等。PKI體系結(jié)構(gòu)采用證書管理公鑰，通過第三方的可信機(jī)構(gòu)，把用戶的公鑰和用戶的其他標(biāo)識信息（如用戶身份識別碼、用戶名、身份證件號、地址等）捆綁在一起，形成數(shù)字證書，以便在Internet上驗(yàn)證用戶的身份。PKI是建立在公鑰理論基礎(chǔ)上的，從公鑰理論出發(fā)，公鑰和私鑰配合使用來保證數(shù)據(jù)傳輸?shù)臋C(jī)密性；通過哈希函數(shù)、數(shù)字簽名技術(shù)及消息認(rèn)證碼等技術(shù)來保證數(shù)據(jù)的完整性；通過數(shù)字簽名技術(shù)來進(jìn)行認(rèn)證，且通過數(shù)字簽名，安全時間戳等技術(shù)提供不可否認(rèn)。因此PKI是比較完整的電子商務(wù)安全解決方案，能夠全面保證信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性。

通常電子商務(wù)的參與方一般包括買方、賣方、銀行和作為中介的電子交易市場。首先買方通過瀏覽器登錄到電子交易市場的Web服務(wù)器并尋找賣方。當(dāng)買方登錄服務(wù)器時，買賣雙方都要在網(wǎng)上驗(yàn)證對方的電子身份證，這被稱為雙向認(rèn)證。在雙方身份被互相確認(rèn)以后，建立起安全通道，并進(jìn)行討價還價，之后買方向賣方提交訂單。訂單里有兩種信息：一部分是訂貨信息，包括商品名稱和價格；另一部分是提交銀行的支付信息，包括金額和支付賬號。買方對這兩種信息進(jìn)行雙重?cái)?shù)字簽名，分別用賣方和銀行的證書公鑰加密上述信息。當(dāng)賣方收到這些交易信息后，留下訂貨單信息，而將支付信息轉(zhuǎn)發(fā)給銀行。賣方只能用自己專有的私鑰解開訂貨單信息并驗(yàn)證簽名。同理，銀行只能用自己的私鑰解開加密的支付信息、驗(yàn)證簽名并進(jìn)行劃賬。銀行在完成劃賬以后，通知起中介作用的電子交易市場、物流中心和買方，并進(jìn)行商品配送。整個交易過程都是在PKI所提供的安全服務(wù)之下進(jìn)行，實(shí)現(xiàn)了真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性。

四、結(jié)束語

綜上所述，PKI技術(shù)是解決電子商務(wù)安全問題的關(guān)鍵，綜合PKI的各種應(yīng)用，我們可以建立一個可信任和足夠安全的網(wǎng)絡(luò)，能夠全面保證電子商務(wù)中信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性。

參考文獻(xiàn)：

[1]寧宇鵬陳昕等:PKI技術(shù)[M].北京:機(jī)械工業(yè)出版,2004年

第6篇

【關(guān)鍵詞】電子商務(wù)安全；加密；數(shù)字簽名；認(rèn)證；協(xié)議

隨著網(wǎng)絡(luò)通信技術(shù)的迅猛發(fā)展和Internet的不斷普及，電子商務(wù)作為一種新型的商務(wù)模式，在全球范圍內(nèi)正以驚人的速度迅猛發(fā)展。然而由于它是基于Internet開展的商務(wù)活動，大量重要的信息都需要在互聯(lián)網(wǎng)上進(jìn)行傳遞，尤其還涉及到資金的流動，必然要求傳遞信息的過程足夠安全。因此如何保障交易過程和傳遞信息的安全性就成為影響電子商務(wù)發(fā)展的一個至關(guān)重要的問題，也是技術(shù)難點(diǎn)。

一、電子商務(wù)的安全威脅

電子商務(wù)是基于網(wǎng)絡(luò)信息傳輸?shù)模揽繌男畔⒔K端之間信息的傳遞完成商務(wù)交易。與傳統(tǒng)商務(wù)的面對面交易不同，電子商務(wù)的安全就是要確保這些信息的傳遞是穩(wěn)定的、完整的、可靠的、保密的，是反映信息發(fā)送者的真實(shí)意愿的。而威脅互聯(lián)網(wǎng)安全的因素很多。

1.截獲

攻擊者獲取了對資源的訪問權(quán)，這是對機(jī)密性的攻擊。例如，在網(wǎng)絡(luò)上搭線或安裝電磁波截獲裝置以獲取銀行賬號、用戶密碼等有用數(shù)據(jù)。

2.篡改

攻擊者不僅獲得了訪問權(quán)而且篡改了某些資源，這是對完整性的攻擊。例如，修改資金額度、貨物數(shù)量、商品價格等交易信息。

3.偽造

攻擊者將偽造的對象插入系統(tǒng)，這是對真實(shí)性的攻擊。例如，冒充合法用戶進(jìn)行交易，給合法用戶造成損失。

4.否認(rèn)或抵賴

商家或用戶否認(rèn)自己曾經(jīng)發(fā)送或接收到信息，這是對不可抵賴性的攻擊。例如，合法用戶可能會賴賬，商家也有可能因?yàn)樯唐穬r格差而不承認(rèn)原有交易。

二、電子商務(wù)的安全需求

在電子商務(wù)面臨上述安全隱患的情況下，要在因特網(wǎng)中建立并維持一個令人可以信任的環(huán)境和機(jī)制，也為了保障交易各方的合法權(quán)益，需要滿足以下幾個方面的安全需求。

1.信息的機(jī)密性

信息的機(jī)密性或稱保密性是指信息在網(wǎng)絡(luò)上傳送或存儲的過程中不被他人竊取、不被泄露或披露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過加密偽裝后，使未經(jīng)授權(quán)者無法了解其內(nèi)容。機(jī)密性可用加密和信息隱匿技術(shù)實(shí)現(xiàn)，使截獲者不能解讀加密信息的內(nèi)容。機(jī)密性的另一方面是保護(hù)通信流特性以防止被分析。

2.信息的完整性

信息的完整性或稱正確性是保護(hù)數(shù)據(jù)不被偽授權(quán)者修改、建立、嵌入、刪除、重復(fù)傳送或由于其他的原因使原始數(shù)據(jù)被更改。在存儲時，要防止非法篡改，防止網(wǎng)站上的信息被破壞。在傳輸過程中，如果接收方收到的信息與發(fā)送方的信息完全一樣則說明在傳輸過程中信息沒有遭到破壞，具有完整性。針對信息的完整性，目前的主要措施是通過散列算法（也稱消息摘要算法）來檢查信息的完整性。

3.商務(wù)對象的認(rèn)證性

商務(wù)對象的認(rèn)證性是指網(wǎng)絡(luò)兩端的使用者在溝通之前相互確認(rèn)對方的身份，保證身份的正確性。分辨參與者聲稱身份的真?zhèn)危乐箓窝b攻擊。認(rèn)證性采用由認(rèn)證中心向各交易主體發(fā)放數(shù)字證書并進(jìn)行驗(yàn)證。

4.信息的不可抵賴性

信息的不可抵賴性是指信息的發(fā)送方不能否認(rèn)已發(fā)送的信息，信息的接受方不能否認(rèn)已收到的信息。這是一種法律有效性要求。交易一旦達(dá)成是不能被否認(rèn)的。否則必然會損害一方的利益。目前的主要措施是采用數(shù)字簽名技術(shù)。

三、電子商務(wù)安全技術(shù)

1.加密技術(shù)

加密技術(shù)是電子商務(wù)的最基本信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成難以識別和理解的密文并進(jìn)行傳輸，從而確保數(shù)據(jù)的機(jī)密。主要有對稱加密技術(shù)、非對稱加密技術(shù)和數(shù)字信封技術(shù)。

（1）對稱加密技術(shù)

對稱加密技術(shù)，即信息的發(fā)送方和接收方用一個密鑰去加密和解密數(shù)據(jù)，也就是說加密和解密用同一個密鑰。它要求發(fā)送方、接收方在安全通信之前，商定一個密鑰，對稱密鑰算法的安全性依賴于密鑰，泄露密鑰就意味著任何人都能對消息進(jìn)行加、解密。只要通信需要保密，密鑰就必須保密。它的最大優(yōu)勢是加、解密速度快，便于用硬件實(shí)現(xiàn)、適合于對大數(shù)據(jù)量進(jìn)行加密等，但密鑰管理困難。

（2）非對稱加密技術(shù)

非對稱加密技術(shù)就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”。“公鑰”和“私鑰”不能由一個推出另一個，但是“公鑰”加密的信息只能由“私鑰”解密，反之亦然。非對稱密鑰機(jī)制靈活，但加密和解密速度比對稱密鑰加密慢得多，所以它不適合于對文件進(jìn)行加密，而只適用于對少量數(shù)據(jù)進(jìn)行加密。

（3）數(shù)字信封技術(shù)

鑒于對稱加密技術(shù)和非對稱加密技術(shù)各自的特點(diǎn)，在實(shí)際應(yīng)用中將兩種加密技術(shù)結(jié)合使用，從而獲得對稱加密技術(shù)的高效性和非對稱加密技術(shù)的靈活性。這種把對稱加密技術(shù)和非對稱加密技術(shù)結(jié)合使用的技術(shù)稱數(shù)字信封技術(shù)。

2.數(shù)字簽名技術(shù)

數(shù)字簽名技術(shù)主要解決電子商務(wù)中信息的不可抵賴性問題。其工作原理是：將報文按雙方約定的HASH算法計(jì)算，得到一個固定位數(shù)的HASH值，在數(shù)學(xué)上保證只要改動報文的任何一位，重新計(jì)算出的HASH值就會與原值不符。然后把該HASH值用發(fā)送者的私鑰加密，然后將該密文同原報文一起發(fā)送給接收者，產(chǎn)生的報文即數(shù)字簽名。接收方收到數(shù)字簽名后，用同樣的HASH算法對報文計(jì)算HASH值，然后與用發(fā)送者的公鑰進(jìn)行解密解開的HASH值進(jìn)行比較，如相等則說明報文確實(shí)來自發(fā)送者從而保證了數(shù)據(jù)的真實(shí)性。通過數(shù)字簽名還能夠?qū)崿F(xiàn)對原信息的鑒別，從而保證信息在傳輸過程中的信息完整性和信息發(fā)送方的不可抵賴性。

3.認(rèn)證技術(shù)

對數(shù)字簽名和公開密鑰加密技術(shù)來說，都會面臨公鑰的分發(fā)問題。這就要求管理公鑰的系統(tǒng)必須是值得信賴的，數(shù)字證書就是解決這一問題的有效方法。它通常是一個簽名文檔，標(biāo)記特定對象的公開密鑰。由認(rèn)證中心CA簽發(fā)，CA通常是一個服務(wù)性機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)和管理數(shù)字證書，是一個普遍可信的第三方。當(dāng)通信雙方都信任同一個CA時，兩者就可以相互得到對方的公鑰從而能進(jìn)行秘密通信、數(shù)字簽名和認(rèn)證。

4.數(shù)字時間戳技術(shù)

在電子商務(wù)交易中，時間是十分重要的信息。數(shù)字時間戳服務(wù)DTS就是為電子文件的時間信息進(jìn)行安全保護(hù)的網(wǎng)上安全服務(wù)項(xiàng)目。時間戳是經(jīng)過加密后形成的文檔，它包括三部分內(nèi)容：①需加時間戳的文件的摘要；②DTS收到文件的日期和時間；③DTS的數(shù)字簽名。

5.與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)

（1）SSL-安全套接層協(xié)議

SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和加密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。它在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴SL協(xié)議獨(dú)立于應(yīng)用層協(xié)議，且被大部分的瀏覽器和Web服務(wù)器所內(nèi)置，便于在電子交易中應(yīng)用，因此，在電子交易中被用來安全傳送信用卡號碼。國際著名的CyberCash信用卡支付系統(tǒng)就支持這種簡單加密模式，IBM等公司也提供了這種簡單加密模式的支付系統(tǒng)。

但SSL協(xié)議它是一個面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成，SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。因此，為了實(shí)現(xiàn)更加完善的電子交易，制訂了SET協(xié)議。

（2）SET-安全電子交易協(xié)議

SET協(xié)議是目前唯一保證信用卡信息能安全可靠地通過因特網(wǎng)傳輸?shù)男聟f(xié)議。它為在Internet上進(jìn)行安全的電子商務(wù)活動提供了一個開放的標(biāo)準(zhǔn)，為Internet上支付交易提供高層的安全和反欺詐保證。SET協(xié)議為基于信用卡進(jìn)行電子交易的應(yīng)用提供了安全措施，保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性。SET是專門為電子商務(wù)而設(shè)計(jì)的協(xié)議，它在很多方面優(yōu)于SSL協(xié)議，但仍不能解決電子商務(wù)所遇到的全部問題。

四、結(jié)束語

電子商務(wù)安全是電子商務(wù)活動的核心，我們要堅(jiān)持引進(jìn)和吸收的原則，組織各方面力量，研制和開發(fā)出具有自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全和電子商務(wù)安全產(chǎn)品，逐步掌握電子商務(wù)安全的核心技術(shù)，我國的電子商務(wù)安全現(xiàn)狀一定會得到極大的改善，從而為我國電子商務(wù)的發(fā)展創(chuàng)建良好的安全環(huán)境。

參考文獻(xiàn)：

[1]陳建斌.電子商務(wù)與電子政務(wù)[M].北京:機(jī)械工業(yè)出版社,2008.

第7篇

關(guān)鍵詞：電子商務(wù)；身份認(rèn)證；防火墻

中圖分類號：TP3 文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)30-0559-02

A Brief Analysis on the Security Strategy of E-business

WANG Gai-xiang

(Shanxi Professional College of Finance,Taiyuan 030008,China)

Abstract: With the rapid development of Internet applications, E-business based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of E-businessis becoming more and more attracting,But the Chief Problem of E-business is the safety of Commerce information. For realizing an E-business basic frame of security, various kinds of safe practices in e-commerce are analysed in order to develop a kind of effective , safe realization E-business.

Key words:E-business; identity authentication; firewall

1 引言

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢，使得政府與企業(yè)都十分重視并推動電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問題在于時空的分離導(dǎo)致了安全問題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問題之一。研究和分析電子商務(wù)的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開發(fā)的先進(jìn)技術(shù)和經(jīng)驗(yàn),開發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵，而安全體系的構(gòu)建顯得尤為重要。

2 電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動過程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看，傳統(tǒng)的買賣雙方是面對面的，因此較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時空的分離導(dǎo)致了安全問題的出現(xiàn)，電子商務(wù)交易雙方（銷售者和消費(fèi)者）都面臨安全威脅，電子商務(wù)的安全要素主要體現(xiàn)在以下幾個方面：

2.1 信息真實(shí)性、有效性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實(shí)性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。

2.2 信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3 信息完整性

電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護(hù)商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲及電子商務(wù)完整性檢查的正確和可靠。

3.4 信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^；不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識。在1nternet上每個人都是匿名的，電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

3 電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行，要求電子商務(wù)平臺要穩(wěn)定可靠，能不中斷地提供服務(wù)。任何系統(tǒng)的中斷，如硬件、軟件錯誤，網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時刻和地點(diǎn)的有效性得不到保證，往往會造成巨大的經(jīng)濟(jì)損失。

所以就整個電子商務(wù)安全系統(tǒng)而言，安全性可以劃分為四個層次，

1) 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

2) 通訊的安全性

3) 應(yīng)用程序的安全性

4) 用戶的認(rèn)證管理

其中2、3、4是通過操作系統(tǒng)和Web服務(wù)器軟件實(shí)現(xiàn)，而網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。

3.1 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它其實(shí)就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，為電子商務(wù)的施展提供個相對更安全的平臺。

防火墻是在連接Internet和Intranet保證安全最為有效的方法 ，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過靈活有效地運(yùn)用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統(tǒng)。 應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。

3.2 通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。 目前采用的是瀏覽器缺省的40位加密強(qiáng)度，也可以考慮將加密強(qiáng)度增加到128位。 為在瀏覽器和服務(wù)器之間建立安全機(jī)制，SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機(jī)構(gòu)（CA中心）簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實(shí)際上不驗(yàn)證客戶的個人證書情況是很多的。驗(yàn)證個人證書是為了驗(yàn)證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點(diǎn)的服務(wù)器證書（下載可以在訪問之前或訪問時）。驗(yàn)證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法（RSA）與服務(wù)器協(xié)商一個對稱算法及密鑰，然后用此對稱算法加密傳輸?shù)拿魑摹４藭r瀏覽器也會出進(jìn)入安全狀態(tài)的提示。

3.3 應(yīng)用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的，因?yàn)榫幊体e誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運(yùn)行，而不是只有有限的指令子集在特權(quán)模式下運(yùn) 行，其他的部分只有縮小的許可；程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設(shè)置訪問控制（最少許可），程序員認(rèn)為這個缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實(shí)現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹＠纾彌_溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。 訪問控制系統(tǒng)中沒有什么可以檢測到這些問題 。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問題一樣的錯誤。

3.4 用戶的認(rèn)證管理

1) 身份認(rèn)證

電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過服務(wù)器CA證書與IC卡相結(jié)合實(shí)現(xiàn)的。CA證書用來認(rèn)證服務(wù)器的身份，IC卡用來認(rèn)證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認(rèn)機(jī)制。

2) CA證書

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性，需要一份數(shù)字證書進(jìn)行驗(yàn)證，這份數(shù)字證書就是CA證書，它由認(rèn)證授權(quán)中心（CA中心）發(fā)行。認(rèn)證中心（CA）就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認(rèn)的可靠組織，它對個人、組織進(jìn)行審核后，為其發(fā)放數(shù)字證書，證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實(shí)際上不驗(yàn)證客戶的個人證書情況是很多的。驗(yàn)證個人證書是為了驗(yàn)證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點(diǎn)的服務(wù)器證書（下載可以在訪問之前或訪問時進(jìn)行）。

3) 安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

第8篇

電子商務(wù)面臨的安全風(fēng)險

電子商務(wù)的優(yōu)勢是明顯的，但電子商務(wù)安全性問題卻日益突出。

任何在Internet上開展業(yè)務(wù)的機(jī)構(gòu)都必須采取積極的步驟，確保系統(tǒng)有足夠的安全措施防止機(jī)密信息泄露和非法侵入所造成的損失。但I(xiàn)nternet本身就是基于開放思想設(shè)計(jì)并逐步發(fā)展起來的。要想在Internet上實(shí)現(xiàn)絕對安全是困難的。Internet上實(shí)現(xiàn)電子商務(wù)面臨的風(fēng)險主要來自機(jī)密關(guān)鍵數(shù)據(jù)安全及電子交易安全兩方面，具體到技術(shù)細(xì)節(jié)包含以下四個方面。

(1)數(shù)據(jù)的私有性和安全性。如果不采用特別的保護(hù)措施，包括電子郵件等在Internet中開放傳輸?shù)臄?shù)據(jù)都可能被第三者監(jiān)視和閱讀。考慮到巨大的傳輸量和難以計(jì)數(shù)的傳輸途徑，想任意竊聽一組數(shù)據(jù)傳輸是不可能，但是一些設(shè)置在Web服務(wù)器的黑客程序卻可以查找和收集特定類型的數(shù)據(jù)。這些數(shù)據(jù)包括信用卡、存款的帳號和相應(yīng)的口令。同時因?yàn)镮nternet的開放性設(shè)計(jì)，數(shù)據(jù)私有性和安全性還包括數(shù)據(jù)傳輸之外的問題，例如連入Internet的數(shù)據(jù)存儲網(wǎng)絡(luò)驅(qū)動器的安全性，所以任何存儲在Web服務(wù)器上的數(shù)據(jù)必須采取保護(hù)措施。

(2)數(shù)據(jù)的完整性。由于Internet的開放體系，如果具備了特定的知識和工具完全可以更改傳輸中的數(shù)據(jù)。同時要采取適當(dāng)?shù)拇嫒≡L問控制，以保證數(shù)據(jù)存取系統(tǒng)的安全。在電子商務(wù)中務(wù)必保存數(shù)據(jù)最初的格式和內(nèi)容。

(3)認(rèn)證電子商務(wù)的具體實(shí)現(xiàn)中，首先要確認(rèn)當(dāng)前的通訊、交易和存取要求是合法的。例如Internet中的計(jì)算機(jī)系統(tǒng)的身份是由其IP地址確認(rèn)的。黑客通過IP欺騙，使用虛假的IP地址，從而達(dá)到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發(fā)匿名郵件，或者使用不真實(shí)的郵件用戶名。因此，在電子商務(wù)中必須建立嚴(yán)格的身份認(rèn)證機(jī)制以確保參加交易各方的身份真實(shí)有效。

(4)不可否認(rèn)性。不可否認(rèn)主要包含數(shù)據(jù)的原始記錄和發(fā)送記

錄，確認(rèn)數(shù)據(jù)已經(jīng)完成發(fā)送和接收，防止接收用戶更改原始記錄，防止用戶在已經(jīng)收到數(shù)據(jù)以后否認(rèn)收到數(shù)據(jù)，并拖延自己的下一步工作。為了保證交易過程的可操作性，必須采取可靠的方法確保交易過程的真實(shí)性，保證參加電子交易的各方承認(rèn)交易過程的合法性。

在我們把銀行的內(nèi)部網(wǎng)絡(luò)接入Internet以后，相應(yīng)地增加了許多可以訪問銀行內(nèi)部網(wǎng)絡(luò)的節(jié)點(diǎn)。從理論上講從世界各個地方都可以實(shí)現(xiàn)對銀行內(nèi)部網(wǎng)絡(luò)的訪問，這對銀行計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)和系統(tǒng)的安全性提出了更高的要求。這就需要我們采取嚴(yán)密的訪問控制，禁止非法訪問。電子商務(wù)中威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的因素有：破壞、更改或者盜竊數(shù)據(jù)；公開機(jī)密信息；計(jì)算機(jī)系統(tǒng)崩潰；公共形象(如主頁)被污損等。造成這些損失的因素有：黑客，公司內(nèi)部職員，電子商務(wù)軟件中的Bug，商業(yè)間諜等。

電子商務(wù)面臨的上述問題主要是由對系統(tǒng)的非法入侵造成的。首先是網(wǎng)絡(luò)黑客，他們通過發(fā)現(xiàn)Web服務(wù)器、操作系統(tǒng)或者主頁部件在配置方面的漏洞，攻擊網(wǎng)絡(luò)系統(tǒng)。其次是內(nèi)部侵入，這主要是由企業(yè)IT部門的員工造成的，保護(hù)網(wǎng)絡(luò)的物理安全(如主控機(jī)房)及嚴(yán)格的口令管理制度是防范該類問題的關(guān)鍵。還有惡意代碼(如計(jì)算機(jī)病毒)，它們在企業(yè)的傳播會給電子商務(wù)系統(tǒng)造成嚴(yán)重的損失。另外值得關(guān)注的是計(jì)算機(jī)系統(tǒng)本身的問題，例如由于電源造成的系統(tǒng)宕機(jī)，以及廣域網(wǎng)絡(luò)的通訊，這些都會直接造成服務(wù)的突然中止，影響電子商務(wù)的形象。我們還應(yīng)關(guān)注系統(tǒng)管理方面的問題，有時電子商務(wù)出現(xiàn)的問題既非黑客也非系統(tǒng)本身的毛病，而是源于對敏感數(shù)據(jù)處理不善或者是安全系統(tǒng)(如防火墻)的不正確配置。用戶的身份認(rèn)證是計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)工作，數(shù)字簽名加密等技術(shù)在這里可以充分起到作用。

保障電子商務(wù)系統(tǒng)安全的對策

(1)用戶識別文件和口令。許多互聯(lián)網(wǎng)研究機(jī)構(gòu)都將私有性和保密性列為電子商務(wù)的首要問題。用戶識別文件和口令在Internet之前的大型主機(jī)時代，就已經(jīng)是安全的有效實(shí)現(xiàn)方法。在電子商務(wù)中，可以采用限制錯誤登錄的次數(shù)、跟蹤錯誤訪問的辦法，保護(hù)用戶識別文件和口令的安全。

(2)數(shù)據(jù)加密。開放的Internet本身并不提供安全的傳輸路徑，所以在電子商務(wù)中必須采用數(shù)據(jù)加密，保證帳戶和交易數(shù)據(jù)的安全。超文本安全傳輸協(xié)議S－HTTP和安全套接層協(xié)議SSL是在Web端與瀏覽器端實(shí)現(xiàn)加密的應(yīng)用技術(shù)，這兩種技術(shù)使得數(shù)據(jù)對于沒有密鑰的人是毫無用處的，并且易于在商業(yè)領(lǐng)域應(yīng)用。

(3)認(rèn)證授權(quán)和數(shù)字認(rèn)證CA是認(rèn)證授權(quán)中心(CertficateAuthority)的簡稱，它和數(shù)字認(rèn)證(DigitalCertificate)一起在電子商務(wù)的身份認(rèn)證、不可否認(rèn)性、數(shù)據(jù)私有加密鑰管理方面起著主要的作用。CA是交易雙方都信任的第三方機(jī)構(gòu)，由它來證明參加交易各方的身份。在交易過程中CA將自己的數(shù)字簽名附在所有的傳送消息和公共密鑰上。數(shù)字認(rèn)證指的是附有CA簽名的消息。參加交易方都必須信任CA，CA在交易前確認(rèn)所有各方的身份，可見CA的主要任務(wù)在于管理而不是技術(shù)。CA在電子商務(wù)中，起著法律仲裁的作用，其工作相當(dāng)于確定用戶的數(shù)字簽名能否得到法律的認(rèn)可。但是只有在CA擁有了仲裁權(quán)以后，這種認(rèn)證才有法律效應(yīng)。在電子商務(wù)的發(fā)展過程中，CA的重要作用正在日益顯現(xiàn)。

認(rèn)證中心與加密技術(shù)相結(jié)合產(chǎn)生了一種完全適合電子商務(wù)的加密技術(shù)安全電子交易SET。安全套接層SSL加密方法僅僅是實(shí)現(xiàn)了傳輸加密和數(shù)據(jù)完整性，相當(dāng)于在兩臺計(jì)算機(jī)之間建立一個安全的通道。而電子商務(wù)的要求則更高一點(diǎn)。例如用戶通過與商家連網(wǎng)，進(jìn)行支付和交易時，商家不應(yīng)該知道用戶的帳戶等信息，顯然SSL協(xié)議不能防止商家的欺詐。另外SSL協(xié)議也不保證交易各方身份的真實(shí)性和不可否認(rèn)性。SET的架構(gòu)是通過幾個成員所共同組成的，各個成員可以很好地模擬實(shí)際電子商務(wù)操作的角色，這些成員分別是電子錢包(ElectronicWallet)、商戶服務(wù)器(MerchantServer)、支付網(wǎng)關(guān)(PaymentGateway)和認(rèn)證中心(CertificationAuthority)。

SET通過認(rèn)證中心和認(rèn)證簽名確認(rèn)交易各方的真實(shí)身份，利用數(shù)字簽名保證交易的不可否認(rèn)性。SET的技術(shù)特點(diǎn)還有：①對訂單信息和支付信息進(jìn)行雙重簽名，這樣商家只能得到訂單信息，銀行只知道支付信息；②采用信息摘要技術(shù)保證了交易的完整性；③采用公鑰體系和密鑰體系結(jié)合進(jìn)行加密，而SSL只采用了公鑰體系。

SET已經(jīng)成為國際公認(rèn)的Internet電子商務(wù)的安全標(biāo)準(zhǔn)，非常詳細(xì)地反映了電子交易各方之間存在的各種關(guān)系。目前，一些廠商有專門的軟件產(chǎn)品與SET的各個角色相對應(yīng)。

(4)虛擬專用網(wǎng)(VPN)虛擬專用網(wǎng)是利用Internet公用網(wǎng)絡(luò)，通過隧道協(xié)議和安全方法傳輸企業(yè)專用數(shù)據(jù)的技術(shù)。虛擬專用網(wǎng)在傳送數(shù)據(jù)前將其加密，在接收端進(jìn)行解密，它的特點(diǎn)是不僅加密數(shù)據(jù)，而且加密接收雙方的網(wǎng)絡(luò)地址。同時VPN的用戶驗(yàn)證方法也提供了更高一級的遠(yuǎn)程訪問安全性。

第9篇

關(guān)鍵詞：安全、認(rèn)證、證書、CA 、SSL協(xié)議、SET協(xié)議

一 引言

近幾年，隨著互聯(lián)網(wǎng)的不斷發(fā)展，在世界范圍內(nèi)掀起了一股電子商務(wù)熱潮。許多國家政府部門對電子商務(wù)的發(fā)展十分重視，把這場以電子商務(wù)為標(biāo)志的信息化革命與十九世紀(jì)以蒸汽機(jī)為標(biāo)志的工業(yè)化革命相提并論，并紛紛出臺了有關(guān)政策和舉措。

中國對電子商務(wù)的發(fā)展也給予了應(yīng)有的重視，考慮到電子商務(wù)必然涉及到網(wǎng)上支付、必然涉及到銀行支付結(jié)算，為了作好前瞻性的研究，1998年6月，人民銀行支付科技司組織成立了電子商務(wù)課題組，對銀行支付在電子商務(wù)中的作用和對策進(jìn)行研究，并在研究基礎(chǔ)上，組織各商業(yè)銀行聯(lián)合共建金融認(rèn)證中心，為網(wǎng)上安全支付創(chuàng)造條件。

實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動過程中系統(tǒng)的安全性，即應(yīng)保證在向基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。電子商務(wù)的安全主要采用數(shù)據(jù)加密和身份認(rèn)證技術(shù)。

下面分別從認(rèn)證系統(tǒng)，SSL（Secure Sockets Layer）協(xié)議和安全電子交易SET（Secure Electronic Transaction）協(xié)議三個方面來加以論述。

二 認(rèn)證系統(tǒng)

電子商務(wù)的關(guān)鍵是安全，網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。證書類似于生活中的身份證，用以在網(wǎng)絡(luò)上鑒別一個人或組織的真實(shí)身份。證書的頒發(fā)機(jī)構(gòu)叫做Certificate Authority，通常簡稱CA。要建立安全的電子商務(wù)系統(tǒng)，必須首先建立一個穩(wěn)固、健全的CA；否則，一切網(wǎng)上的交易都沒有安全保障。

2.1 認(rèn)證系統(tǒng)的基本原理

傳統(tǒng)的對稱密鑰算法具有加密強(qiáng)度高、運(yùn)算速度快的優(yōu)點(diǎn)，但密鑰的傳遞與管理的問題限制了它的一些應(yīng)用。為解決此問題，七十年代密碼界出現(xiàn)了公開密鑰算法，該算法使用一對密鑰即一個私鑰和一個公鑰，其對應(yīng)關(guān)系是唯一的，公鑰對外公開，私鑰個人秘密保存。一般用公鑰來進(jìn)行加密，用私鑰來進(jìn)行簽名；同時私鑰用來解密，公鑰用來驗(yàn)證簽名。算法的加密強(qiáng)度主要取決于選定的密鑰長度。RSA算法是公開密鑰算法中研究最為深入，使用最為廣泛的算法，為大多數(shù)國家地區(qū)的官方或非官方所采用。利用RSA公開密鑰算法在密鑰自動管理、數(shù)字簽名、身份識別等方面的特性，可建立一個為用戶的公開密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)。這個可信的第三方認(rèn)證系統(tǒng)也稱為CA，CA為用戶發(fā)放電子證書，用戶之間（比如網(wǎng)銀服務(wù)器和某客戶之間）利用證書來保證信息安全性和雙方身份的合法性。

國際郵聯(lián)ITU在1994年公布了關(guān)于證書格式的最新標(biāo)準(zhǔn)，稱為X.509協(xié)議，在X.509的證書格式中，包含很多域，其中比較重要的有：用戶名稱、簽發(fā)者名稱、有效期、用戶公鑰信息、簽發(fā)者對證書信息的數(shù)字簽名。在瀏覽器和Web Server產(chǎn)品中都已集成了證書申請和證書的驗(yàn)證功能，只要能用符合X.509協(xié)議的證書安裝在瀏覽器上和Web Server服務(wù)器端，就能實(shí)現(xiàn)雙方證書的自動驗(yàn)證，從而識別身份。

2.2 系統(tǒng)結(jié)構(gòu)

整個系統(tǒng)是一個大的網(wǎng)絡(luò)環(huán)境，系統(tǒng)從功能上基本可以劃分為CA、RA和Web Publisher。

核心系統(tǒng)根CA放在一個單獨(dú)的封閉空間中，為了保證運(yùn)行的絕對安全，其人員及制度都有嚴(yán)格的規(guī)定，并且系統(tǒng)設(shè)計(jì)為一離線網(wǎng)絡(luò)。CA的功能是在收到來自RA的證書請求時，頒發(fā)證書。一般的個人證書發(fā)放過程都是自動進(jìn)行，無須人工干預(yù)。

證書的登記機(jī)構(gòu)Register Authority，簡稱RA，分散在各個網(wǎng)上銀行的地區(qū)中心。RA與網(wǎng)銀中心有機(jī)結(jié)合，接受客戶申請，并審批申請，把證書正式請求通過建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心。RA與CA雙方的通信報文也通過RSA進(jìn)行加密，確保安全。系統(tǒng)的分布式結(jié)構(gòu)適于新業(yè)務(wù)網(wǎng)點(diǎn)的開設(shè)，具有較好的擴(kuò)充性。通信協(xié)議為TCP/IP。

證書的公布系統(tǒng)Web Publisher，簡稱WP，置于Internet網(wǎng)上，是普通用戶和CA直接交流的界面。對用戶來講它相當(dāng)于一個在線的證書數(shù)據(jù)庫。用戶的證書由CA頒發(fā)之后，CA用E－mail通知用戶，然后用戶須用瀏覽器從這里下載證書。

2.3 我國認(rèn)證系統(tǒng)的建設(shè)情況

為保證電子商務(wù)在中國的順利開展，必須建立全國統(tǒng)一的金融認(rèn)證中心。

目前，經(jīng)"金融系統(tǒng)電子商務(wù)聯(lián)絡(luò)與研究小組"提議，由人民銀行和各家商業(yè)銀行聯(lián)合建立金融部門的安全認(rèn)證體系得到了國內(nèi)十幾家商業(yè)銀行的支持和響應(yīng)。經(jīng)金融信息化領(lǐng)導(dǎo)小組會議批準(zhǔn)，現(xiàn)已決定由人民銀行牽頭，聯(lián)合工商銀行等11家商業(yè)銀行，共同出資建立金融認(rèn)證中心。

金融認(rèn)證中心工程建設(shè)目前正在順利進(jìn)行。它將是面向全國的、金融系統(tǒng)聯(lián)合共建的統(tǒng)一的認(rèn)證中心，將支持B to C和B to B兩種模式的網(wǎng)上交易；在體系結(jié)構(gòu)上，金融認(rèn)證中心的設(shè)計(jì)充分考慮了各地方開展電子商務(wù)的認(rèn)證需求，計(jì)劃在中心城市或某些銀行系統(tǒng)內(nèi)設(shè)立若干面對客戶的注冊機(jī)構(gòu)。

三 SSL協(xié)議

SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。它被視為 Internet 上 Web 瀏覽器和服務(wù)器的標(biāo)準(zhǔn)安全性措施。SSL 提供了用于啟動 TCP/IP 連接的安全性“信號交換”。這種信號交換導(dǎo)致客戶和服務(wù)器同意將使用的安全性級別，并履行連接的任何身份驗(yàn)證要求。它通過數(shù)字簽名和數(shù)字證書可實(shí)現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗(yàn)證。在用數(shù)字證書對雙方的身份驗(yàn)證后，雙方就可以用保密密鑰進(jìn)行安全的會話了。

這種簡單加密模式的特點(diǎn)是：

部分或全部信息加密；

采用對稱的和非對稱的加密技術(shù)；

通過數(shù)字證書驗(yàn)證身份；

采用防止偽造的數(shù)字簽名。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如HTTP、FTP、TELNET等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴SL協(xié)議獨(dú)立于應(yīng)用層協(xié)議，因此，在電子交易中被用來安全傳送信用卡號碼。

SSL協(xié)議握手流程由兩個階段組成：服務(wù)器認(rèn)證和用戶認(rèn)證（可選）。

3.1 服務(wù)器認(rèn)證階段

在一次交易過程中，客戶的證書首先傳送到銀行Server方，服務(wù)器先驗(yàn)證有效期，再根據(jù)簽發(fā)者(CA)名稱找到簽發(fā)者公鑰(在CA的根證書內(nèi))，驗(yàn)證證書的數(shù)字簽名的合法性。

Web 服務(wù)器上的 SSL 安全性要求步驟如下：

1 生成密鑰對文件和請求文件。

2 從身份驗(yàn)證權(quán)限中請求一個證書。

3 在服務(wù)器上安裝證書。

4 激活 WWW 服務(wù)文件夾上的 SSL 安全性。

服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務(wù)器在響應(yīng)客戶的消息時將包含生成主密鑰所需的信息；

客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；

服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。

這樣通過主密鑰引出的密鑰對一系列數(shù)據(jù)進(jìn)行加密來認(rèn)證服務(wù)器，從而建立安全的通信通道。

3.2 用戶認(rèn)證階段（可選）

在此之前，服務(wù)器已經(jīng)過了客戶認(rèn)證，這一階段主要完成對客戶的認(rèn)證。

經(jīng)認(rèn)證的服務(wù)器發(fā)送一個提問給客戶，客戶則返回（數(shù)字）簽名后的提問和其公開密鑰，從而向服務(wù)器提供認(rèn)證。

SSL支持各種加密算法。在“握手”過程中，使用RSA公開密鑰系統(tǒng)。密鑰交換后，使用一系列密碼，包括RC2、RC4、IDEA、DES、triple-DES及MD5 信息摘要算法。公開密鑰認(rèn)證遵循X.509標(biāo)準(zhǔn)。

SSL協(xié)議獨(dú)立于應(yīng)用層協(xié)議，且被大部分的瀏覽器和Web服務(wù)器所內(nèi)置，便于在電子交易中應(yīng)用，國際著名的CyberCash信用卡支付系統(tǒng)就支持這種簡單加密模式，IBM等公司也提供這種簡單加密模式的支付系統(tǒng)。

3.3 SSL的應(yīng)用及局限

中國目前多家銀行均采用SSL協(xié)議，如在目前中國的電子商務(wù)系統(tǒng)中能完成實(shí)時支付，用的最多的招行一網(wǎng)通采用的就是SSL協(xié)議。所以，從目前實(shí)際使用的請款來看，SSL還是人們最信賴的協(xié)議。

SSL當(dāng)初并不是為支持電子商務(wù)而設(shè)計(jì)的，所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端。它是一個面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成， SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系；還有，購貨時用戶要輸入通信地址，這樣將可能使得用戶收到大量垃圾信件。

因此，為了實(shí)現(xiàn)更加完善的電子交易，MasterCard和Visa以及其它一些業(yè)界廠商制訂并了SET協(xié)議。

四 SET協(xié)議

SET協(xié)議是針對開放網(wǎng)絡(luò)上安全、有效的銀行卡交易，由Visa和MasterCard聯(lián)合研制的，為Internet上卡支付交易提供高層的安全和反欺詐保證。SET協(xié)議為電子交易提供的安全措施

SET協(xié)議保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性。

4.1 機(jī)密性（Confidentiality）

SET協(xié)議采用先進(jìn)的公開密鑰算法來保證傳輸信息的機(jī)密性，以避免Internet上任何無關(guān)方的窺探。公開密鑰算法容許任何人使用公開的密鑰將加密信息發(fā)送給指定的接收者，接收者收到密文后，用私人密鑰對這個信息解密，因此，只有指定的接收者才能讀這個信息，從而保證信息的機(jī)密性。

SET協(xié)議也可通過雙重簽名的方法將信用卡信息直接從客戶方透過商家發(fā)送到商家的開戶行，而不容許商家訪問客戶的賬號信息，這樣客戶在消費(fèi)時可以確信其信用卡號沒有在傳輸過程中被窺探，而接收SET交易的商家因?yàn)闆]有訪問信用卡信息，故免去了在其數(shù)據(jù)庫中保存信用卡號的責(zé)任。

4.2 數(shù)據(jù)完整性（Data Integrity）

通過SET協(xié)議發(fā)送的所有報文加密后，將為之產(chǎn)生一個唯一的報文摘要值（message digest），一旦有人企圖篡改報文中包含的數(shù)據(jù)，該數(shù)值就會改變，從而被檢測到，這就保證了信息的完整性。

4.3 身份驗(yàn)證（Verification of Identity）

SET協(xié)議可使用數(shù)字證書來確認(rèn)交易涉及的各方（包括商家、持卡客戶、受卡行和支付網(wǎng)關(guān)）的身份，為在線交易提供一個完整的可信賴的環(huán)境。

4.4 抗否認(rèn)性（Non-repudiation of Disputed Charges）

SET交易中數(shù)字證書的過程也包含了商家和客戶在交易中存在的信息。因此，如果客戶用SET發(fā)出一個商品的訂單，在收到貨物后他（她）不能否認(rèn)發(fā)出過這個訂單；同樣，商家以后也不能否認(rèn)收到過這個訂單。

4.5 SET的局限性

SET是專門為電子商務(wù)而設(shè)計(jì)的協(xié)議，雖然它在很多方面優(yōu)于SSL協(xié)議，但仍然不能解決電子商務(wù)所遇到的全部問題。而且，SET遭到有些銀行的抵制，其前途如何，尚未得知。

五 與電子商務(wù)安全有關(guān)的其他一些技術(shù)

5.1 密碼技術(shù)

密碼技術(shù)基本思想是在加密密鑰Ke的控制下按照加密算法E對要保護(hù)的數(shù)據(jù)（即明文M）加密成密文C，記為C＝E（M，Ke）。而解密是在解密鑰Kd的控制下按照解密算法D對密文C進(jìn)行反變換后還原為明文M，記為M＝D（C，Kd）。根據(jù)密鑰性質(zhì)的不同，可分為傳統(tǒng)密碼體制和公開鑰密碼體制兩大類型。

傳統(tǒng)密碼體制加密解密用同一個密鑰，即Ke=Kd；而公開鑰密碼體制使用一對密鑰即一個私鑰和一個公鑰，其對應(yīng)關(guān)系是唯一的，公鑰對外公開，私鑰個人秘密保存。一般用公鑰來進(jìn)行加密，用私鑰來進(jìn)行簽名；同時私鑰用來解密，公鑰用來驗(yàn)證簽名。算法的加密強(qiáng)度主要取決于選定的密鑰長度。

密碼技術(shù)是上面所提到的幾種技術(shù)的基礎(chǔ)，所以可以說整個電子商務(wù)的安全就是建立在密碼技術(shù)基礎(chǔ)上的。

5.2 訪問控制

除了計(jì)算機(jī)網(wǎng)絡(luò)硬設(shè)備之外，網(wǎng)絡(luò)操作系統(tǒng)是確保計(jì)算機(jī)網(wǎng)絡(luò)安全的最基本部件。它是計(jì)算機(jī)網(wǎng)絡(luò)資源的管理者，必須具備安全的控制策略和保護(hù)機(jī)制，防止非法入侵者攻破設(shè)防而非法獲取資源。網(wǎng)絡(luò)操作系統(tǒng)安全保密的核心是訪問控制，即確保主體對客體的訪問只能是授權(quán)的，未經(jīng)授權(quán)的訪問是不允許的，其操作是無效的。因此，授權(quán)策略和機(jī)制的安全性顯得特別重要。保護(hù)可以從以下幾個方面加以考慮：物理隔離、時間隔離、密碼隔離。

5.3 防火墻技術(shù)

設(shè)立防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊，以及防止內(nèi)部網(wǎng)絡(luò)的用戶向外泄密。目前，防火墻技術(shù)主要是分組過濾和服務(wù)兩種類型。下面簡要介紹這兩種技術(shù)：

分組過濾：這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器中按網(wǎng)絡(luò)安全策略設(shè)置一張?jiān)L問表或黑名單，即借助數(shù)據(jù)分組中的IP地址確定什么類型的信息允許通過防火墻，什么類型的信息不允許通過。防火墻的職責(zé)就是根據(jù)訪問表（或黑名單）對進(jìn)出路由器的分組進(jìn)行檢查和過濾，凡符合要求的放行，不符合的拒之門外。這種防火墻簡單易行，但不能完全有效地防范非法攻擊。目前，80％的防火墻都是采用這種技術(shù)。

服務(wù)：是一種基于服務(wù)的防火墻，它的安全性高，增加了身份認(rèn)證與審計(jì)跟蹤功能，但速度較慢。所謂審計(jì)跟蹤是對網(wǎng)絡(luò)系統(tǒng)資源的使用情況提供－個完備的記錄，以便對網(wǎng)絡(luò)進(jìn)行完全監(jiān)督和控制。通過不斷收集與積累有關(guān)出入網(wǎng)絡(luò)的完全事件記錄，并有選擇地對其中的某些進(jìn)行審計(jì)跟蹤，發(fā)現(xiàn)可能的非法行為并提供有力的證據(jù)，然后以秘密的方式向網(wǎng)上的防火墻發(fā)出有關(guān)信息如黑名單等。

5.4 數(shù)字時間戳

交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務(wù)(DTS：digital time-stamp service)就能提供電子文件發(fā)表時間的安全保護(hù)。

數(shù)字時間戳服務(wù)（DTS）是網(wǎng)上安全服務(wù)項(xiàng)目，由專門的機(jī)構(gòu)提供。時間戳（time-stamp）是一個經(jīng)加密后形成的憑證文檔，它包括三個部分：1)需加時間戳的文件的摘要(digest)，2)DTS收到文件的日期和時間，3)DTS的數(shù)字簽名。

時間戳產(chǎn)生的過程為：用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密（數(shù)字簽名），然后送回用戶。由Bell core創(chuàng)造的DTS采用如下的過程：加密時將摘要信息歸并到二叉樹的數(shù)據(jù)結(jié)構(gòu)；再將二叉樹的根值發(fā)表在報紙上，這樣更有效地為文件發(fā)表時間提供了佐證。注意，書面簽署文件的時間是由簽署人自己寫上的，而數(shù)字時間戳則不然，它是由認(rèn)證單位DTS來加的，以DTS收到文件的時間為依據(jù)。因此，時間戳也可作為科學(xué)家的科學(xué)發(fā)明文獻(xiàn)的時間認(rèn)證。

六 結(jié)束語

隨著上網(wǎng)人數(shù)的不斷增加以及金融認(rèn)證系統(tǒng)的不斷完善，各種安全協(xié)議的不斷出臺，電子商務(wù)在中國將會有一個長足的發(fā)展；隨著時間的推移，電子商務(wù)將從根本上改變幾千年來形成的傳統(tǒng)商業(yè)模式，充分體現(xiàn)現(xiàn)代科學(xué)技術(shù)給人們生活所帶來的便利。

參考文獻(xiàn)

[1] netscape.com

[2] setco.org/set—specifications.html

[3] 楊千里，王育民等著 電子商務(wù)技術(shù)與應(yīng)用 北京：電子工業(yè)出版社，1999

第10篇

數(shù)據(jù)加密技術(shù)是信息安全的核心和關(guān)鍵技術(shù)，加密層對原始數(shù)據(jù)進(jìn)行處理保證數(shù)據(jù)的安全性，電子交易能否順利完成數(shù)據(jù)的完整傳輸便是關(guān)鍵所在，利用數(shù)據(jù)加密技術(shù)對原始數(shù)據(jù)加密，使得數(shù)據(jù)即使丟失，獲得數(shù)據(jù)的第三方仍舊無法識別。數(shù)據(jù)加密技術(shù)采用一定的加密算法，加密系統(tǒng)將明文轉(zhuǎn)換為密文，使非法用戶不能理解明文，使得數(shù)據(jù)得到保障的一種技術(shù)。不妨設(shè)X為加密算法，Y為解密算法，那么數(shù)據(jù)加解密的數(shù)學(xué)表達(dá)式為：P=X(KX，Y(KY，P))[7]數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲加密。數(shù)據(jù)傳輸加密技術(shù)主要是對傳輸中的數(shù)據(jù)流進(jìn)行加密，常用的有鏈路加密、節(jié)點(diǎn)加密和端到端加密三種方式。數(shù)據(jù)加密算法有很多種，隨著信息化的發(fā)展目前國內(nèi)外比較常用的加密算法是：對稱加密和非對稱加密算法。1）對稱加密算法對稱加密，信息的接收方發(fā)送方要使用相同的密鑰，交易雙方在傳送數(shù)據(jù)之前，就要約定一個密鑰，對稱加密算法的安全依靠密鑰，那么密鑰的機(jī)密性對交易來講尤為關(guān)鍵。對稱加密算法特點(diǎn)：算法是公開的并且計(jì)算量小相對加密速度快、加密效率高。如圖2所示。目前被廣泛認(rèn)可的對稱加密技術(shù)有：DES、RC2、RC4、RC5和Blowfish等。著重看一下DES加密算法，DES是對二元數(shù)據(jù)進(jìn)行加密的算法分組長度64位，原始數(shù)據(jù)分組也是64位，解密密鑰同加密密鑰順序相反。DES基本上有著對稱加密算法的特點(diǎn)，只是DES生存周期較短，運(yùn)算速度相對不是很快。DES工作原理：key、data、mode，是DES的三個入口參數(shù)。加解密使用密鑰key，加解密數(shù)據(jù)data，工作模式mode。當(dāng)處于加密模式時，原始數(shù)據(jù)按照64位進(jìn)行分組，形成原始數(shù)據(jù)組，key對數(shù)據(jù)加密；當(dāng)處于解密模式時，key對數(shù)據(jù)解密。由于現(xiàn)實(shí)的局限性密鑰只用到了56位，同時也由于密鑰的容量只有56位不能提供足夠的安全空間。針對DES算法的破解手段主要是暴力破解。DES加密體制流程。如圖3所示。2）非對加密算法非對稱加密，是一種公私鑰加密系統(tǒng)，密鑰分為公開密鑰和私有密鑰，加密和解密時使用不同密鑰的加密算法，當(dāng)公開密鑰和私有密鑰配對，產(chǎn)生密鑰對，此時公開密鑰對外公開，發(fā)送發(fā)則要將私有密鑰保留在自己手中。目前被廣泛認(rèn)可的非對稱加密技術(shù)有：RSA、Elgamal、背包算法、Rabin、HD,ECC。其中RSA算法使用比較廣泛。重點(diǎn)介紹比較常用的RSA算法。RSA公開密鑰加密，一種非對稱加密算法，RSA算法中包含兩個密鑰加密密鑰和解密密鑰，即使用不同的加密密鑰和解密密鑰。在算法中使用的加密密鑰是公開的，那么可以到到這樣的加密解密方程式：n=p×q，P∈[0，n-1]，p和q均為大于10100的素?cái)?shù)，其中p、q是兩個保密的素?cái)?shù)。RSA的密鑰空間比較充足，但是RSA加密速度慢并且安全性依賴于大數(shù)分解，因此目前對RSA最流行的攻擊一般是采取基于大數(shù)因數(shù)的分解。想要獲得原始數(shù)據(jù)的攻擊者，將自己的數(shù)據(jù)偽裝后給擁有私鑰的人發(fā)送數(shù)據(jù)，根據(jù)加密解密原理來推導(dǎo)出密鑰，獲得想要的原始數(shù)據(jù)。

綜上所述。無論是對稱加密還是非對稱加密。在他們的安全管理范圍內(nèi)都存在一定的弊端，因此我們要確保網(wǎng)絡(luò)通信的安全，不能單一的采用某一種加密手段，一般是多種方法嵌套使用。安全認(rèn)證技術(shù)一般就是我們所常用的有：身份認(rèn)證、電子簽名、數(shù)字摘要、數(shù)字證書、數(shù)字信封、數(shù)字時間戳等技術(shù)。電子簽名：只能有信息發(fā)送方產(chǎn)生，附加在數(shù)據(jù)單元上的一些數(shù)據(jù),電子簽名保證傳送的數(shù)據(jù)不被人改寫或假冒。身份認(rèn)證：數(shù)字證書使用電子手段來標(biāo)識用戶的身份。數(shù)字信封又稱為數(shù)字封套，使用某種加密算法讓只有知道密鑰的人才能看到數(shù)據(jù)，其目的是確保數(shù)據(jù)的機(jī)密性。數(shù)字時間戳：就像在實(shí)體見面的交易中，交易雙發(fā)要簽訂有效時間，那么采用同樣的模式利用網(wǎng)絡(luò)平臺交易雙方也要簽訂日期。數(shù)字證書：用來衡量用戶是否有權(quán)利訪問網(wǎng)絡(luò)資源。就目前的發(fā)展形勢來看，SSL和SET是電子商務(wù)常用的兩種安全協(xié)議，都采用RSA算法加密，都可通過認(rèn)證來進(jìn)行身份的識別，SSL被廣泛用于網(wǎng)上交易。SSL安全套接層協(xié)議，只要是安裝了該協(xié)議的用戶和服務(wù)器之間進(jìn)行數(shù)據(jù)交換，該協(xié)議都為之提供可靠保障。而SET是基于應(yīng)用層的協(xié)議，使用較復(fù)雜，要在銀行建立支付網(wǎng)關(guān)，在商家的Web服務(wù)器上安裝商家軟件，在用戶的個人計(jì)算機(jī)上安裝電子錢包軟件等，推廣應(yīng)用較困難。SSL協(xié)議可以對數(shù)據(jù)進(jìn)行加密，維護(hù)數(shù)據(jù)的完整性，然而目前許多運(yùn)營商可以利用自身的權(quán)利，使用一定的數(shù)據(jù)抓捕工具，很快的分析出客戶的需求，并馬上提供個客戶想要商品的其他的同類商品，或者是分析其他運(yùn)營商的數(shù)據(jù)，產(chǎn)生一種惡性競爭。對于客戶來講，提供相關(guān)的其他同類商品的信息，看似是一種好的服務(wù)，但是同時也是在侵犯用戶的隱私，為此在應(yīng)用層也就客戶在瀏覽網(wǎng)頁時，如果客戶需要商家提供相關(guān)的同類商品的信息時，商家才能對客戶的數(shù)據(jù)進(jìn)行分析，否則不應(yīng)任意分析用戶的數(shù)據(jù)。

信息化時代，加劇了計(jì)算資源互聯(lián)和共享，各行各業(yè)的信息化程度也不斷加深，人們對計(jì)算機(jī)和互聯(lián)網(wǎng)越來越依賴，但隨之而來的信息安全問題也日益突出。例如個人信息未經(jīng)允許外泄是最大的隱患，黑客利用安全技術(shù)存在的漏洞破解網(wǎng)頁源代碼，同時在網(wǎng)上種植病毒程序，用戶一旦登入進(jìn)行瀏覽，黑客便馬上通過病毒程序分析出用戶瀏覽的信息。所以如何保護(hù)用戶的信息已成為電子商務(wù)的首要問題。對此作出以下幾點(diǎn)要求[2]：1）加強(qiáng)教育和宣傳，提高電子商務(wù)安全意識。電子商務(wù)的發(fā)展是近幾年才開始流行的，因此對于電子商務(wù)的了解并不是所有的人都清楚的，我們不僅要培養(yǎng)電子商務(wù)的專業(yè)人才，而且要要每個使用者了解電子商務(wù)的特性，懂得安全的使用電子平臺，保護(hù)自己的合法利益。2）數(shù)據(jù)加密加強(qiáng)信息安全。對相關(guān)的加密技術(shù)進(jìn)行不斷的研究，雖然目前已存在多種加密算法但是仍就不能滿足當(dāng)前的一些需求。鼓勵和扶植企業(yè)加快數(shù)字安全技術(shù)的研究，提高我國信息和管理水平，促進(jìn)電子商務(wù)安全建設(shè)。3）健全的法制體系。電子商務(wù)不同于實(shí)實(shí)在在的交易，很多協(xié)議都是交易雙方通過網(wǎng)絡(luò)來完成，那么必定會有一些人利用這一點(diǎn)進(jìn)行詐騙，那么這就要求對這些進(jìn)行網(wǎng)絡(luò)犯罪的人進(jìn)行法律的制裁，維護(hù)消費(fèi)者和合法商家的利益。

電子商務(wù)給人們的生產(chǎn)生活帶來了便利，但作為新興事物仍舊存在許多不足，無論是哪種經(jīng)營模式，保證用戶的安全和利益都是刻不容緩的，因此需要在技術(shù)上不斷的創(chuàng)新與發(fā)展，使得電子商務(wù)能夠更好的為人類造福。

本文作者：工作單位：

第11篇

電子商務(wù)在功能上要求實(shí)現(xiàn)實(shí)時帳戶信息查詢。這就使電子商務(wù)系統(tǒng)必須在物理上與生產(chǎn)系統(tǒng)要有連接，這對于電子商務(wù)系統(tǒng)的安全性提出了更高的要求，必須保證外部網(wǎng)絡(luò)（INTERNET）用戶不能對生產(chǎn)系統(tǒng)構(gòu)成威脅。為此，需要全方位地制定系統(tǒng)的安全策略。 就整個系統(tǒng)而言，安全性可以分為四個層次，如圖1所示

1．網(wǎng)絡(luò)節(jié)點(diǎn)的安全

2．通訊的安全性

3．應(yīng)用程序的安全性

4．用戶的認(rèn)證管理

圖1：安全性四個層次結(jié)構(gòu)

其中2、3、4層是通過操作系統(tǒng)和Web服務(wù)器軟件實(shí)現(xiàn)，網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。

一、網(wǎng)絡(luò)節(jié)點(diǎn)的安全

1．防火墻

防火墻是在連接Internet和Intranet保證安全最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過靈活有效地運(yùn)用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統(tǒng)。

2．防火墻安全策略

應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。

3．安全操作系統(tǒng)

防火墻是基于操作系統(tǒng)的。如果信息通過操作系統(tǒng)的后門繞過防火墻進(jìn)入內(nèi)部網(wǎng)，則防火墻失效。所以，要保證防火墻發(fā)揮作用，必須保證操作系統(tǒng)的安全。只有在安全操作系統(tǒng)的基礎(chǔ)上，才能充分發(fā)揮防火墻的功能。在條件許可的情況下，應(yīng)考慮將防火墻單獨(dú)安裝在硬件設(shè)備上。

二、通訊的安全

1．?dāng)?shù)據(jù)通訊

通訊的安全主要依靠對通信數(shù)據(jù)的加密來保證。在通訊鏈路上的數(shù)據(jù)安全，一定程度上取決于加密的算法和加密的強(qiáng)度。 電子商務(wù)系統(tǒng)的數(shù)據(jù)通信主要存在于：

（1）客戶瀏覽器端與電子商務(wù)WEB服務(wù)器端的通訊；

（2）電子商務(wù)WEB服務(wù)器與電子商務(wù)數(shù)據(jù)庫服務(wù)器的通訊；

（3）銀行內(nèi)部網(wǎng)與業(yè)務(wù)網(wǎng)之間的數(shù)據(jù)通訊。其中（3）不在本系統(tǒng)的安全策略范圍內(nèi)考慮。

轉(zhuǎn)貼于

2．安全鏈路

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的4O位加密強(qiáng)度，也可以考慮將加密強(qiáng)度增加到128位。 為在瀏覽器和服務(wù)器之間建立安全機(jī)制，SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機(jī)構(gòu)（CA中心）簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實(shí)際上不驗(yàn)證客戶的個人證書情況是很多的。驗(yàn)證個人證書是為了驗(yàn)證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點(diǎn)的服務(wù)器證書（下載可以在訪問之前或訪問時）。驗(yàn)證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法（RSA）與服務(wù)器協(xié)商一個對稱算法及密鑰，然后用此對稱算法加密傳輸?shù)拿魑摹４藭r瀏覽器也會出進(jìn)入安全狀態(tài)的提示。

三、應(yīng)用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的，因?yàn)榫幊体e誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運(yùn)行，而不是只有有限的指令子集在特權(quán)模式下運(yùn) 行，其他的部分只有縮小的許可；程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設(shè)置訪問控制（最少許可），程序員認(rèn)為這個缺省的許可是正確的。 這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一 些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實(shí)現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹＠纾彌_溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。 訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問題一樣的錯誤。

四、用戶的認(rèn)證管理

1．身份認(rèn)證

電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過服務(wù)器CA證書與IC卡相結(jié)合實(shí)現(xiàn)的。CA證書用來認(rèn)證服務(wù)器的身份，IC卡用來認(rèn)證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認(rèn)機(jī)制。

2．CA證書

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性，需要一份數(shù)字證書進(jìn)行驗(yàn)證，這份數(shù)字證書就是CA證書，它由認(rèn)證授權(quán)中心（CA中心）發(fā)行。CA中心一般是社會公認(rèn)的可靠組織，它對個人、組織進(jìn)行審核后，為其發(fā)放數(shù)字證書，證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實(shí)際上不驗(yàn)證客戶的個人證書情況是很多的。驗(yàn)證個人證書是為了驗(yàn)證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點(diǎn)的服務(wù)器證書（下載可以在訪問之前或訪問時進(jìn)行）。

五、安全管理

為了確保系統(tǒng)的安全性，除了采用上述技術(shù)手段外，還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。

對于所有接觸系統(tǒng)的人員，按其職責(zé)設(shè)定其訪問系統(tǒng)的最小權(quán)限。

按照分級管理原則，嚴(yán)格管理內(nèi)部用戶帳號和密碼，進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶帳號和密碼。

建立網(wǎng)絡(luò)安全維護(hù)日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時便于跟蹤查詢。定期檢查日志，以便及時發(fā)現(xiàn)潛在的安全威脅。

第12篇

關(guān)鍵詞：實(shí)訓(xùn)設(shè)置；實(shí)訓(xùn)探討；商務(wù)安全

中圖分類號：G424文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044(2008)32-1260-02

1引言

隨著電子商務(wù)應(yīng)用的推廣，近年來，各院校都開設(shè)了電子商務(wù)專業(yè)。電子商務(wù)專業(yè)作為一門交叉學(xué)科，目前專業(yè)體系建設(shè)很不完善。《電子商務(wù)安全》作為電子商務(wù)主干課程，在實(shí)訓(xùn)中同樣存在很多問題，如何借助網(wǎng)絡(luò)資源、實(shí)訓(xùn)平臺，如何整合電子商務(wù)知識，如何做到實(shí)訓(xùn)內(nèi)容的開放式教學(xué)，就成為課程改革的重點(diǎn)。

2 《電子商務(wù)安全》課程的必要性、重要性

電子商務(wù)使得人們可以在網(wǎng)上通過建立網(wǎng)站樹立企業(yè)的形象，自己的產(chǎn)品信息，宣傳產(chǎn)品廣告，提供售后服務(wù)，甚至可以進(jìn)行網(wǎng)上談判、電子合同簽定、電子交易和資金結(jié)算等。但是，一方面電子商務(wù)給我們帶來了便利，同時在進(jìn)行電子商務(wù)活動時，需要在internet上傳輸消費(fèi)者和商家的一些機(jī)密信息，如用戶信用卡號、商家用戶信息和訂購信息等，而這些信息一直是網(wǎng)絡(luò)非法入侵者或黑客攻擊目標(biāo)。如何保證電子商務(wù)安全，如何對敏感信息和個人信息提供機(jī)密性保障、認(rèn)證交易雙方的合法身份以及保證數(shù)據(jù)的完整性和交易的不可否認(rèn)性等，已經(jīng)成為電子商務(wù)發(fā)展的瓶頸，這些問題的擔(dān)心也是導(dǎo)致很多人不愿意進(jìn)行網(wǎng)上購物和支付的主要原因。所以掌握電子商務(wù)安全是必要的。

3 《電子商務(wù)安全》課程內(nèi)容介紹

《電子商務(wù)安全》課程內(nèi)容主要包括：電子商務(wù)安全概述、信息安全技術(shù)、網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全技術(shù)、電子商務(wù)的認(rèn)證與安全電子郵件技術(shù)、電子支付、安全電子交易協(xié)議SET、安全套接層協(xié)議SSL和安全電子商務(wù)應(yīng)用等內(nèi)容。高職計(jì)算機(jī)專業(yè)學(xué)生在學(xué)習(xí)《網(wǎng)絡(luò)安全》時更注重理論學(xué)習(xí)，而電子商務(wù)專業(yè)的高職高專，技校學(xué)生，在學(xué)習(xí)《電子商務(wù)安全》理論以夠用為度，要求突出實(shí)用性，突出對基本理論、基本技能和技術(shù)應(yīng)用能力的培養(yǎng)。所以在設(shè)置實(shí)訓(xùn)時要把握這個度。

4 《電子商務(wù)安全》課程實(shí)訓(xùn)特色、存在的問題

《電子商務(wù)安全》課程實(shí)訓(xùn)顯著特色商務(wù)性，可操作性，實(shí)用性。上機(jī)時還涉及銀行卡網(wǎng)上支付，所以對安全要求更高。實(shí)訓(xùn)課時一般20學(xué)時左右，按2個學(xué)時完成一個實(shí)驗(yàn)，就要有10個實(shí)驗(yàn)。目前許多《電子商務(wù)安全》教材在實(shí)訓(xùn)設(shè)置方面做得不好，配套的實(shí)訓(xùn)手冊很少，主要存在以下問題：一是偏重網(wǎng)絡(luò)安全技術(shù)方面；二是內(nèi)容少，重復(fù)性較多，體現(xiàn)不了電子商務(wù)安全應(yīng)用與網(wǎng)絡(luò)安全應(yīng)用結(jié)合；三是實(shí)訓(xùn)目的不夠明確，實(shí)訓(xùn)操作過程不夠清楚，沒有很好結(jié)合理論知識。

5 《電子商務(wù)安全》課程實(shí)訓(xùn)改革的思路與對策

《電子商務(wù)安全》實(shí)訓(xùn)設(shè)置應(yīng)強(qiáng)調(diào)理論與實(shí)際的結(jié)合，強(qiáng)調(diào)商務(wù)應(yīng)用。每個實(shí)訓(xùn)的實(shí)現(xiàn)都能讓學(xué)生學(xué)到實(shí)操技能，體驗(yàn)到商務(wù)安全的重要性，樹立商務(wù)保密意識，掌握從事電子商務(wù)行業(yè)應(yīng)具備的安全操作技能。根據(jù)電子商務(wù)安全課程要求，對實(shí)訓(xùn)內(nèi)容分析如下：

在教學(xué)過程中，每個模塊可以分配2-4個學(xué)時。考慮實(shí)驗(yàn)所使用的軟件更新速度較快，任課老師可以根據(jù)當(dāng)時情況調(diào)整所使用的軟件和相關(guān)內(nèi)容。

下面以模塊3為例，談實(shí)訓(xùn)設(shè)計(jì)思路。

實(shí)訓(xùn)課題：安全電子郵件。

安全電子郵件是指收發(fā)郵件雙方都擁有電子郵件數(shù)字證書的前提下，發(fā)件人通過收件人的數(shù)字證書對郵件加密, 如此一來，只有收件人才能閱讀加密的郵件，在Internet上傳遞的電子郵件信息不會被人竊取，即使郵件被截留或發(fā)錯郵件，別人也無法看到郵件內(nèi)容，保證了用戶之間通信的安全性。

實(shí)訓(xùn)任務(wù)：老師的數(shù)字證書已經(jīng)發(fā)給學(xué)生，學(xué)生用outlook Express（OE）發(fā)三封郵件到老師郵箱,分別是簽名郵件，加密郵件，簽名和加密郵件。

實(shí)訓(xùn)環(huán)境：能夠上網(wǎng)的電腦機(jī)房。

實(shí)訓(xùn)目標(biāo)：掌握認(rèn)證中心的功能、OE的配置、證書的申請/備份、試用型個人數(shù)字證書應(yīng)用、用OE發(fā)加密簽名的郵件。

相關(guān)理論：熟悉數(shù)字簽名技術(shù)和郵件加密技術(shù)，密碼、公鑰、私鑰、CA、數(shù)字證書定義及作用。

教學(xué)方式：機(jī)房現(xiàn)場演示實(shí)操，將屏幕錄制專家錄好的操作過程發(fā)給學(xué)生看。

檢查方式：每次對完作業(yè)的學(xué)生進(jìn)行登記作為平時成績。

安全電子郵件操作步驟：

操作細(xì)則及要點(diǎn)：

1) 如何配置OE？

啟動OE--點(diǎn)擊菜單欄工具--賬戶--郵件--添加--郵件--輸入姓名，電子郵件地址--設(shè)置好接收郵件，發(fā)送郵件服務(wù)器--輸入密碼--下一步確認(rèn)。常規(guī)設(shè)置中選中“接收郵件或同步時包含此賬戶”，服務(wù)器設(shè)置中選取中“我的服務(wù)器要求身份驗(yàn)證”。

收郵件，發(fā)送郵件服務(wù)器的設(shè)置可以以web方式登陸郵箱查看。

由于有些郵箱不支持OE客戶端登陸，建議大家注冊21CN的郵箱。

2) 如何申請證書？

以在廣東電子商務(wù)認(rèn)證中心為例。登陸/submenu1.asp，點(diǎn)擊試用型個人數(shù)字證書申請---安裝證書鏈，再點(diǎn)繼續(xù)--輸入基本信息，選擇CPS，補(bǔ)充信息--點(diǎn)繼續(xù)--安裝證書--輸入申請得到的業(yè)務(wù)受理號和密碼--確認(rèn)--安裝證書。

證書申請成功后，打開IE--工具--internet選項(xiàng)--內(nèi)容--證書，就可看到申請的證書詳細(xì)信息。

3) 如何發(fā)簽名郵件？

要發(fā)簽名郵件，先加載證書到OE。打開OE賬戶屬性--安全--選擇對應(yīng)證書。

創(chuàng)建新郵件，輸入收件人電子郵件、主題、內(nèi)容，點(diǎn)擊工具欄上的加密圖標(biāo)，點(diǎn)擊發(fā)送即可。收到簽名的郵件后會有一個“金牌” 的標(biāo)識。

4) 如何發(fā)加密的郵件？

發(fā)加密的郵件自己不用申請數(shù)字證書。操作方法一：對簽名郵件直接進(jìn)行加密回復(fù)；方法二：得到收件人的數(shù)字證書（公鑰），編輯收件人通訊簿時，在“數(shù)字標(biāo)識”選項(xiàng)卡中，導(dǎo)入收件人的數(shù)字證書。收到加密的郵件有“鎖” 標(biāo)識。

5) 如何發(fā)簽名/加密的郵件？

發(fā)簽名/加密郵件自己要申請數(shù)字證書，同時也要獲得對方的數(shù)字證書，兩人必須在同一個認(rèn)證中心申請的證書。如果一位學(xué)生是在CA365申請證書，另一位學(xué)生是在廣東電子商務(wù)認(rèn)證中心申請證書，則會出現(xiàn)證書不兼容性，發(fā)送時會提示出錯。

6) 如何對數(shù)字證書進(jìn)行備份？

打開IE--工具--internet選項(xiàng)--內(nèi)容--證書--選中證書--導(dǎo)出--下一步--“是，導(dǎo)出私鑰”--下一步--輸入密碼--選擇保存位置--確認(rèn)。如果選擇“不，不要導(dǎo)出私鑰”則不要輸入密碼。當(dāng)在另一臺電腦接收加密的郵件時，就必須導(dǎo)入證書，否則提示加密出錯。

7) 完成實(shí)訓(xùn)報告

實(shí)訓(xùn)中遇到問題及解決程度。

6 實(shí)訓(xùn)準(zhǔn)備

要求機(jī)房能上網(wǎng)，考慮到機(jī)房安裝了還原，所以要事先安裝好以下軟件：PGP，Esign，瑞星，360防火墻，超級兔子或優(yōu)化大師，U盾或K寶證書客戶端軟件，能夠添加windows組件。

要求每位學(xué)生辦理一張銀行卡并開通網(wǎng)上銀行，有工商銀行的U盾或者農(nóng)業(yè)銀行K寶證書或者是相應(yīng)的口令卡。