電子商務(wù)安全論文

電子商務(wù)安全論文

　　隨著電子商務(wù)的發(fā)展，電子商務(wù)的安全性問題越來越受到人們的關(guān)注。下文是學(xué)習(xí)啦小編為大家搜集整理的關(guān)于電子商務(wù)安全論文的內(nèi)容，歡迎大家閱讀參考!

　　電子商務(wù)安全論文篇1

　　淺談電子商務(wù)安全缺陷及策略

　　1引言

　　近年來隨著計算機技術(shù)和網(wǎng)絡(luò)通信技術(shù)的不斷進步，特別是得益于互聯(lián)網(wǎng)(Internet)的飛速發(fā)展，使得全球電子商務(wù)的發(fā)展呈現(xiàn)出持續(xù)高速增長的趨勢。電子商務(wù)這種新的商務(wù)模式，從深層次上改變了全球的經(jīng)濟結(jié)構(gòu)和環(huán)境。根據(jù)美國研究機構(gòu)For-resterResearch報告顯示，全球電子商務(wù)交易額逐年攀升。截至2009年年底，全球電子商務(wù)交易額則達到161357億美元，同比增長25%，2010年，全球電子商務(wù)交易額達到194697億美元，同比增長20.7%。2009年，世界B2B電子商務(wù)交易額占電子商務(wù)總額的90%以上，B2C和C2C電子商務(wù)交易額共占到總交易額的10%以內(nèi)。另據(jù)我國電子商務(wù)協(xié)會發(fā)布的報告稱，2011年全球電子商務(wù)市場規(guī)模將達到40.6萬億美元。我國的電子商務(wù)隨著政策的大力支持和資金的不斷投入，得到了迅猛的發(fā)展。

　　中國電子商務(wù)研究中心最新數(shù)據(jù)顯示，截止到2010年12月，中國電子商務(wù)市場交易額已逾4.5萬億，同比增長22%。其中，B2B電子商務(wù)交易額達到3.8萬億，同比增長15.8%，網(wǎng)上零售市場交易規(guī)模達5131億元，同比增長97.3%，較2009年近翻一番，約占全年社會商品零售總額的3%。電子商務(wù)把互聯(lián)網(wǎng)和零售業(yè)很好地融合起來，未來的發(fā)展前景十分廣闊。據(jù)波士頓咨詢集團的最新報告顯示，中國電子商務(wù)市場規(guī)模到2015年有望達到2萬億元人民幣(約合3150億美元)。就在我們看到電子商務(wù)不斷發(fā)展的后，又不得不著重考慮挑戰(zhàn)其安全性的諸多問題，尤其是電子商務(wù)的數(shù)據(jù)處于公共互聯(lián)網(wǎng)之上，互聯(lián)網(wǎng)固有的開放性和系統(tǒng)的安全漏洞及安全體系建設(shè)的滯后等不利因素也對其構(gòu)成了嚴(yán)重的威脅。因此，信息安全和網(wǎng)絡(luò)安全就成為電子商務(wù)大力發(fā)展的關(guān)鍵所在，也是必須考慮的核心問題。

　　2電子商務(wù)的安全問題

　　從電子商務(wù)交易的計算機終端到服務(wù)器的整個數(shù)據(jù)鏈路上，時時刻刻都存在著各種安全威脅，主要表現(xiàn)在以下幾個方面:

　　(1)用戶終端的系統(tǒng)漏洞及計算機病毒等惡意程序的攻擊用戶終端的計算機沒有及時安裝系統(tǒng)和軟件的漏洞、補丁，就可能存在著極大的安全隱患，攻擊者就可以利用這些已知和未知的缺陷發(fā)動攻擊，加上木馬、蠕蟲等計算機病毒和惡意程序的攻擊，以及用戶缺乏計算機和網(wǎng)絡(luò)安全知識，使得計算機終端用戶的安全性處于最薄弱的環(huán)節(jié)。

　　(2)惡意破壞網(wǎng)絡(luò)設(shè)備和服務(wù)器攻擊者對提供交易服務(wù)的服務(wù)器發(fā)動攻擊，如DDOS攻擊就很難防范，致使交易停止，長時間難以正常運行?；蛘呃梅?wù)器的漏洞和軟件程序的缺陷進行攻擊，獲取服務(wù)器的口令，盜取用戶的機密資料，使用戶蒙受損失。攻擊者對整個電子交易數(shù)據(jù)的網(wǎng)絡(luò)硬件和軟件進行惡意非法攻擊，導(dǎo)致服務(wù)中斷、停止，使用戶不能正常交易。

　　(3)網(wǎng)絡(luò)數(shù)據(jù)在傳輸過程中被竊取攻擊者通過各種非正常手段(竊聽、重放、流量分析等)，在互聯(lián)網(wǎng)上截獲用戶的機密信息，加以分析得到有用數(shù)據(jù)信息，導(dǎo)致用戶產(chǎn)生不可估量的損失，也破壞了網(wǎng)絡(luò)數(shù)據(jù)的保密安全性。

　　(4)惡意篡改合法用戶的網(wǎng)絡(luò)數(shù)據(jù)攻擊者截獲到用戶的有用信息以后，會對數(shù)據(jù)進行惡意篡改，惡意破壞信息數(shù)據(jù)的完整性。

　　(5)盜用合法用戶身份進行非法交易攻擊者仿冒合法用戶的身份后，與第三方進行正常交易，使合法用戶產(chǎn)生損失。這種利用假冒身份認(rèn)證的非法手段，直接導(dǎo)致電子商務(wù)的不可靠性。

　　(6)電子商務(wù)的法律和道德問題用戶一旦進行了交易后，就應(yīng)該具有法律保障效應(yīng)，即具不可否認(rèn)性，但也存在著非法假冒和惡意否認(rèn)身份的問題，缺乏誠信導(dǎo)致商業(yè)欺詐的行為。

　　3電子商務(wù)交易的技術(shù)和安全性分析

　　3.1電子商務(wù)中使用的關(guān)鍵安全技術(shù)

　　(1)數(shù)據(jù)加密數(shù)據(jù)加密技術(shù)是電子商務(wù)領(lǐng)域所采用的關(guān)鍵安全技術(shù)，也是主要的安全防御技術(shù)。

　　數(shù)據(jù)加密技術(shù)原理是采用加密(數(shù)學(xué))算法對原始信息(明文)進行再整合，使得攻擊者接收到加密數(shù)據(jù)(密文)以后變成無意義的內(nèi)容，從而在整體數(shù)據(jù)傳輸鏈上，保證了數(shù)據(jù)的高保密性和完整性。完整的一條信息傳遞過程如圖1所示。圖1數(shù)據(jù)加、解密傳遞過程按照加密密鑰和解密密鑰是否相同，可將數(shù)據(jù)加密技術(shù)分為兩種:對稱加密和非對稱加密。對稱加密對稱加密又稱為專用密鑰加密，就是雙方協(xié)商使用相同的密鑰(Key)來完成加密、解密過程，并且密鑰是保密的。在這種加密算法中，所采用的加密算法等于解密算法，因此密鑰的安全管理就顯得特別重要，成為安全與否的核心因素。對稱加密的特點是具有高保密性，加、解密速度快，效率高，因此適用于數(shù)據(jù)量比較大的加密操作。

　　常見的對稱加密算法主要有DES[1]、3DES、IDEA、RC4、RC5和Blowfish等。對稱加密主要有如下安全問題:①在網(wǎng)絡(luò)中建立通道傳輸數(shù)據(jù)過程中，可能導(dǎo)致密鑰泄露，讓攻擊者有機可趁。②電子商務(wù)交易存在著多個交易對，每確立一對交易對關(guān)系，就要維護一個專用密鑰，給密鑰的安全管理和維護帶來極大的難度。③難以對交易雙方的身份進行準(zhǔn)確識別，因此缺乏數(shù)字實名驗證的可行性。非對稱加密非對稱加密又稱為公開密鑰加密。在這種加密算法中密鑰被分成一對，即一把公鑰和一把私鑰，公鑰不需要保密可以公開，私鑰必須嚴(yán)格保密，且加密密鑰和解密密鑰并不相同。這種加密算法順利地解決了密鑰的管理和維護及數(shù)字實名驗證的問題，安全性大大優(yōu)于對稱加密，是現(xiàn)在普遍采用的加密技術(shù)。非對稱加密的特點是高安全性和保密性，密鑰安全管理和維護量小，可以實現(xiàn)數(shù)字實名驗證。問題是這種加密算法過于復(fù)雜，計算量太大，導(dǎo)致加、解密的速度不是很理想。普遍采用的非對稱加密算法主要有RSA、ELGamma、橢圓曲線加密算法等。

　　(2)數(shù)字簽名數(shù)字簽名技術(shù)[2]是基于非對稱加密技術(shù)而產(chǎn)生的，具有數(shù)字認(rèn)證、身份核查的功能。

　　數(shù)字簽名技術(shù)具有以下的特點。①發(fā)送方事后不可抵賴發(fā)送的包含自己簽名的報文。②接收方能對發(fā)送方簽名的身份予以核查。③接收方不能篡改發(fā)送方的報文。④接收方不能偽造發(fā)送方的數(shù)字簽名。數(shù)字簽名技術(shù)的實現(xiàn)過程為:發(fā)送方從報文文本中生成一個128位的散列值(或報文摘要)，并用自己的私鑰對這個散列值進行加密，形成發(fā)送方的數(shù)字簽名;然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方;報文接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要)，接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密。如果兩個散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的[3]。

　　(3)數(shù)字證書數(shù)字證書是由認(rèn)證中心(CA，CertificateAuthori-ty)[4]簽發(fā)的，用以確認(rèn)用戶身份信息并獲取訪問網(wǎng)絡(luò)資源的權(quán)限。數(shù)字證書是現(xiàn)在電子商務(wù)交易普遍采用的技術(shù)之一，普遍遵守X.509國際通用標(biāo)準(zhǔn)，一般含有證書持有人的名稱、公鑰信息、數(shù)字簽名、CA機構(gòu)的名稱、數(shù)字簽名、證書的序列號和有效期、版本信息等。CA是發(fā)放和管理數(shù)字證書的第三方可信任機構(gòu)，具有權(quán)威性。交易雙方使用數(shù)字證書來進行商務(wù)活動。

　　(4)數(shù)字時間戳數(shù)字時間戳[5]是系統(tǒng)自動生成的，用來確認(rèn)電子商務(wù)交易發(fā)生的日期和時間，防止惡意篡改交易數(shù)據(jù)的一種有效的手段。它由專業(yè)的第三方認(rèn)證機構(gòu)形成，采用加密形式的文件。數(shù)字時間戳服務(wù)(DTS，DigitalTimeStampService)是一種專門提供電子交易文件的日期和時間服務(wù)。具體過程為:需要數(shù)字時間戳的申請者向DTS發(fā)送請求(含加戳數(shù)據(jù)的散列值)，DTS收到文件后從自己的時間源中獲取一個時間值，把時間值加入到含數(shù)據(jù)散列值的文件中，并對數(shù)據(jù)文件進行加密(用時間的私鑰進行數(shù)字簽名)，最后發(fā)送給申請者。

　　3.2電子商務(wù)的安全層次結(jié)構(gòu)

　　電子商務(wù)的安全層次結(jié)構(gòu)如圖2所示。各層次之間并非相互獨立，而是由層次安全構(gòu)成了電子商務(wù)的整體高安全性。

　　(1)電子商務(wù)的安全認(rèn)證在電子商務(wù)交易中，認(rèn)證是交易安全中很重要的步驟，即實現(xiàn)對用戶身份唯一性和數(shù)據(jù)報文完整性的雙重認(rèn)證。在公鑰基礎(chǔ)設(shè)施(PKI，PublicKeyInfrastructure)中，由CA驗證申請者的身份及發(fā)放可證明申請者身份的數(shù)字證書，建立用戶和商家的信任關(guān)系，并驗證交易數(shù)據(jù)報文的完整性，從而安全完成電子商務(wù)交易。

　　(2)電子商務(wù)的安全協(xié)議目前，典型的電子商務(wù)安全協(xié)議有SSL和SET[6]。

　　安全套接層(SSL，SecuritySocketLayer)協(xié)議是美國網(wǎng)景公司開發(fā)，用于提供互聯(lián)網(wǎng)安全通信服務(wù)的協(xié)議，使得傳輸?shù)臄?shù)據(jù)報文保密性更強。SSL協(xié)議存在著一些安全問題(客戶和商家的資料安全性不高，缺乏可信任的第三方身份認(rèn)證機構(gòu)，證書不能自動及時更新等)。相對SSL來說，SET(Se-curityElectronicTransaction，安全電子交易系統(tǒng))更安全、更可靠、更可信。SET協(xié)議由Visa和Master-Card等公司聯(lián)合開發(fā)的，在互聯(lián)網(wǎng)上實現(xiàn)安全電子交易的國際標(biāo)準(zhǔn)和協(xié)議。SET協(xié)議解決了在公共互聯(lián)網(wǎng)上信用卡支付的安全性問題，滿足持卡人、商家、銀行、認(rèn)證機構(gòu)等多方電子支付安全需求。

　　筆者重點分析了SET協(xié)議的安全性，SET協(xié)議的安全性有以下幾點:

　?、贁?shù)據(jù)報文和個人信息的保密性由于電子交易的數(shù)據(jù)都在公共互聯(lián)網(wǎng)上傳輸，所以SET協(xié)議對傳輸?shù)臄?shù)據(jù)進行了加密(如DES)處理，防止交易數(shù)據(jù)和個人信息被竊取或篡改，造成經(jīng)濟損失。

　?、跀?shù)據(jù)報文的完整性SET協(xié)議采用數(shù)字簽名技術(shù)來確保數(shù)據(jù)報文的完整性。使用安全Hash(SHA-1)算法實現(xiàn)數(shù)字簽名算法，SHA-1可將一個任意長度(最大264bits)的消息，生成一個160位的消息摘要。由此得知，發(fā)生消息摘要相同的概率相當(dāng)?shù)汀，F(xiàn)在還采用雙重簽名技術(shù)來保護數(shù)據(jù)報文的真實性和完整性，用戶一次簽名同時生成兩個數(shù)字簽名消息，達到雙重簽名的效果。一個雙重簽名是通過計算兩個消息的消息摘要產(chǎn)生的，并將兩個摘要連接在一起形成一個總摘要，并用用戶的私鑰加密摘要。每個消息的接收者取出自己的消息，重新生成消息摘要來驗證消息。

　?、鄄捎脭?shù)字信封技術(shù)保證數(shù)據(jù)不被竊取為保證電子商務(wù)交易數(shù)據(jù)傳輸?shù)母甙踩?，密鑰應(yīng)定期及時更換，SET協(xié)議使用數(shù)字信封技術(shù)來及時更換密鑰。經(jīng)常更換密鑰的機制保證電子交易數(shù)據(jù)不會被竊取。

　?、艹挚ㄈ撕蜕碳业南嗷ド矸蒡炞C在SET協(xié)議中采用PKI體系，CA負(fù)責(zé)管理和發(fā)放證書。SET協(xié)議中，CA起著非常重要的作用，SET協(xié)議通過數(shù)字證書來鑒別交易雙方的真實身份，并建立起可信任關(guān)系，為順利完成電子交易打下基礎(chǔ)。SET體系中用戶擁有一對簽名密鑰(持卡人保管)和一對加密密鑰(CA托管)，它們都擁有自己的數(shù)字證書。SET協(xié)議采用數(shù)據(jù)加密、數(shù)字簽名、數(shù)字信封等安全技術(shù)，而且支持對交易雙方的相互身份驗證，從而能夠保證網(wǎng)絡(luò)交易數(shù)據(jù)的真實性、保密性、完整性、不可抵賴性。另外還對交易雙方的私人信息進行保密，使得SET協(xié)議具有高安全性。

　　4電子商務(wù)的安全對策研究

　　(1)加強網(wǎng)絡(luò)安全建設(shè)，構(gòu)建高安全的電子交易環(huán)境在電子商務(wù)交易的整個過程中，都離不開網(wǎng)絡(luò)安全，特別是內(nèi)部網(wǎng)絡(luò)的安全。采用防火墻隔離內(nèi)、外網(wǎng)，構(gòu)筑起安全的屏障;采用代理技術(shù)來形成緩沖，采用前置服務(wù)器來承擔(dān)交易風(fēng)險;采用訪問控制技術(shù)來限制非法用戶的訪問，并設(shè)置不同用戶的訪問權(quán)限;采用[7]、IPSEC體系等安全虛擬專用網(wǎng)絡(luò)進行電子交易;采用EDI、電子支付和XML等相關(guān)技術(shù)提高安全性;采用入侵檢測技術(shù)并通過安全策略來防范外網(wǎng)威脅;改進并完善網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)協(xié)議，提高抗攻擊的能力。

　　(2)采用高安全加密算法和新安全體系結(jié)構(gòu)采用橢圓曲線、混合加密等高安全加密算法，發(fā)揮不同加密算法的長處，進一步提高數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸?shù)陌踩?，保證交易數(shù)據(jù)報文和個人信息不被泄密。安全體系結(jié)構(gòu)決定了電子商務(wù)交易的安全性，在現(xiàn)有的安全體系結(jié)構(gòu)基礎(chǔ)上進行改進和完善，或者設(shè)計新安全體系架構(gòu)，能夠應(yīng)對電子交易的新安全威脅。

　　(3)加強安全制度管理，用法律手段來保障電子交易的安全通過制訂和實施安全管理制度，加強從業(yè)人員的安全防范和風(fēng)險意識，避免不必要的經(jīng)濟損失。健全和完善電子商務(wù)交易的法律體系，目前各部、委、辦頒布并實施了相應(yīng)的法律法規(guī)，約束和規(guī)范電子交易的行為，構(gòu)建起一個健康、安全的電子交易環(huán)境。

　　5結(jié)束語

　　通過上面的分析，筆者意識到以下幾點:

　　(1)電子商務(wù)交易安全架構(gòu)是一個復(fù)雜的系統(tǒng)性工程，并非僅靠技術(shù)和協(xié)議的簡單組合就能完成的，而是一個由技術(shù)系統(tǒng)(網(wǎng)絡(luò)和通信技術(shù)、加密技術(shù)、認(rèn)證技術(shù)和協(xié)議等)、法律法規(guī)體系、管理制度、從業(yè)人員的安全防范和風(fēng)險意識等因素構(gòu)成，所以必須站在整個系統(tǒng)安全的高度去思考和分析安全問題，全方位地構(gòu)筑起電子交易的安全屏障，切實防范安全風(fēng)險和威脅。

　　(2)通過對電子商務(wù)交易的層次化分析，使我們深入了解電子交易的安全性，所以我們在分析電子商務(wù)的安全問題時，應(yīng)該把安全問題分層化處理，有針對性解決安全問題。

　　(3)電子商務(wù)安全新問題會不斷出現(xiàn)，新安全技術(shù)體系也處于發(fā)展之中，這對矛盾關(guān)系永遠沒有盡頭，處于長期對立的狀態(tài)。特別是當(dāng)前電子商務(wù)交易呈現(xiàn)繁榮景象，安全問題更值得深入探討與研究。

　　>>>下頁帶來更多的電子商務(wù)安全論文