电子商务安全论文

电子商务安全论文

　　电子商务安全论文【1】

　　[摘要] 本文首先澄清了电子商务及EDI的相关概念，而后进一步对安全的重要性做出评述。

　　最后，重点阐述了目前常见的几种EDI安全保障技术，并对其相关措施简明描述。

　　[关键词] 电子商务 EDI 安全

　　一、电子商务安全问题概述

　　近年来，随着互联网的激速发展，电子商务也在迅速崛起。

　　电子商务这一新的商业形式彻底改变了传统的交易方式，也随之打破了旧有工作经营模式。

　　它通过网络使企业获得一次近乎平等的竞争机会，并且也从各个细微的领域影响着全国乃至世界的经济发展趋势。

　　就在电子商务为我们带来极大便利的同时，相关的安全问题也日益凸现出来。

　　众所周知，电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息，因此，IT技术本身的一些缺陷和弊端便不可避免地带入了电子商务的领域。

　　电子商务的安全问题，基本可以划分为两大部分，即计算机网络安全和商务交易安全。

　　计算机网络安全问题是IT技术所固有的问题，主要包括网络设备安全、网络系统安全、数据库安全等多个方面，其特征是针对计算机系统及网络本身的安全问题。

　　目前针对这一方面的问题提出的解决方案不胜枚举，从针对个人终端的各种杀毒和预防性软硬件体系，一直到针对大型企业及专业支付平台的多层安全机制应有尽有。

　　而商务交易安全则紧紧围绕电子商务所产生的网上交易展开，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。

　　即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。

　　二、EDI的概念

　　随着电子商务的日渐成熟，EDI的应用也日趋普遍，目前，EDI已经遍布于电子商务的各个角落，电子商务安全的问题也随之转化成了EDI的安全问题。

　　EDI是英文Electronic Data Interchange的缩写，即电子数据互换，目前，EDI已经成为了在公司之问传输订单、发票等作业文件必不可少的电子化手段。

　　EDI的本质在于，通过常用的计算机通信网络，传输与企业业务密切相关的报文数据，而报文数据的格式及内容等特征，则被明确的规范出来。

　　目前，由于EDI的出现减少甚至消除了商业交易过程中的众多纸面文件，因此EDI又被人们通俗地称为“无纸贸易”。

　　既然EDI和核心在于传输数据，因此一般电子商务所面临的传输方面的安全问题都会相应的出现在EDI的使用领域。

　　三、EDI的安全技术

　　既然EDI的主要职能在于传输数据，并且由于EDI是服务于电子商务的一个重要组成部分，因此EDI所涉及到的传输内容常常是一些商务数据，而这些数据一旦丢失，企业就有可能遭受损失，甚至面临危机，因此安全对于EDI来说至关重要。

　　EDI的安全，几乎已经成为了电子商务安全的核心部分。

　　然而计算机网络是一个相对开放的环境，不安全的因素来自四面八方，难以预测，更不能控制。

　　人们一直都在为网络环境的安全作着不懈的努力，目前，应用于EDI体系中的安全手段可以主要划分为如下几个方面：

　　1.存储安全技术

　　存储安全是指当数据保持相对静止的状态时，为确保数据安全而采取的各项技术。

　　具体包括了数据的本地存放状态的安全，以及传输过程中的安全。

　　通常而言，常用的存储安全技术主要是指封装技术。

　　目前密码封装是常见的数据安全封装技术，主要包括两个重要类别，即私钥加密体制以及公钥加密体制。

　　其中私钥加密体制又称对称加密体制，即加密与解密时使用相同的密码。

　　具体又包括两种，即分组密码，如美国数据加密标准(DES)采用的密码算法，以及可以将明文符号立即转换为密文符号的序列密码。

　　相比之下，序列密码具有运算速度更快、安全性更高的特点。

　　2.传输安全技术

　　EDI安全体系最重要的职能之一，是数据一旦发出，系统就必须要有效跟踪数据以确保被收到。

　　在这一方面，根据安全技术实施的对象可以划分为两大类，即链路加密及端对端加密两种方式。

　　具体来说，链路加密是对保密信息通过的各条线路采用不同的加密密钥以提供安全保护的措施。

　　这种安全手段的特点在于可以确保每条链路上的传输的都是经过加密保护的数据，但是链路之间的节点上却会出现未经加密的明文。

　　端对端加密与链路加密有所不同，它可以为两个用户之间传送的数据提供连续保护，数据在信息源一端被加密，到达目的一端才会被解密。

　　这样数据在中间节点和链路上均以密文形式出现，相比之下大大提高了信息位于中间节点上的安全性。

　　但是端对端加密同样存在问题。

　　由于数据在端对端加密技术的控制下中途不得解密，因此包含着数据源头和目的地等一些信息的数据报文报头必须裸露在加密内容的外面，这就为报文流量分析提供了可乘之机。

　　而链路加密则可以对包括报头在内的整个数据报文进行加密，这就使得报文流量分析无孔可入。

　　3.网络安全技术

　　对于EDI而言，网络安全技术的主要形式即防火墙技术。

　　在这一类安全技术下，具体可以分为两个大类，即包过滤技术和应用级网关技术。

　　包过滤技术就是在网络中的适当位置对数据包实施有选择放行。

　　这种技术有赖于在路由器上安装包过滤软件来实现。

　　而应用级网关技术则直接提供一种代理服务。

　　它负责对外来的应用连接请求进行回应，并将通过其安全检查的连接请求与被保护的网络应用服务器连接，为外部服务用户提供在受控制的前提下访问并使用内部网络的服务。

　　参考文献:

　　[1]俞之杭:电子商务质量和安全分析[J].集团经济研究，2007(12):395―396

　　[2]杨晋:现代电子商务安全技术研究[J].网络安全技术与应用，2001(1):66―68

　　电子商务安全策略【2】

　　[摘 要] 电子商务是商务发展的内在要求及技术发展的外在推动下应运而生的，安全性是第一位要考虑的问题，是由一系列安全机制工作组成。

　　本文主要从技术角度详细分析了其中存在的安全隐患和威胁，详述了安全性需求和实现网络的安全技术策略，并探讨了保证交易安全的两个协议，即安全电子交易协议SET和安全套接层协议SSL，并对两种协议做出了相应的分析和比较。

　　[关键词] 安全体系 加密 数字证书 电子商务 安全交易标准

　　一、引言

　　当前的电子商务是指通过电子方式的商务活动。

　　它作为一种全新的业务和服务方式，为全球客户提供了丰富的商务信息、便捷的交易过程和廉价的交易成本。

　　但是，电子商务给人们带来方便的同时，也把人们引入安全忧虑之中。

　　买方担心在网络上传输的信用卡及个人资料被截取;卖方则担心收到的是被盗用的信用卡号码，或是交易不认账等，这些存在的安全漏洞问题已成为阻碍网上交易发展的首要问题。

　　相对于传统商务，电子商务对管理机制、实施平台和信息传递技术都提出了更高的要求，其中安全体系的构建尤为显得重要，已成为电子商务能否得到进一步发展和推广的关键所在。

　　二、电子商务安全体系结构

　　1.电子商务中存在的安全隐患和威胁

　　Internet是电子商务实现的网络基础，它采用TCP/IP完成不同网络与不同计算机之间的通信，正是由于这些特点，使它给电子商务带来了很多的安全问题。

　　Internet的安全隐患主要体现在四个方面。

　　开放性和资源共享是Internet的主要优点，但它带来的问题却不容忽视。

　　因为当甲方在很容易的访问乙方时，如果没有采取任何措施，乙方同样很容易的访问甲方的计算机。

　　Internet采用的协议TCP/IP并未采用任何措施来保护传输内容不被窃取。

　　它是一种包交换网络，每个数据包在网络上都是透明传输的，并且可能经过不同的网络，由路由器转发到达目的计算机。

　　数据在传输过程中可能会遭到IP窥探、同步信号淹没、TCP会话、复位与结束信号攻击等威胁。

　　Internet底层的操作系统如UNIX，由于源代码的公开，很容易发现漏洞，给Internet用户带来安全问题。

　　相比较传统信函，电子化信息就缺乏可信度，电子信息是否准确很难由其本身来鉴别。

　　在Internet上传递电子信息时，难以确认信息发送者及信息是否被正确无误地传递给对方。

　　由于Internet存在上述安全隐患，将给电子商务带来如下的安全威胁。

　　由于非法入侵，造成商务信息被纂改、窃取或丢失。

　　商业机密在传输过程中被第三方获悉，被恶意破坏。

　　虚假身份的交易对象及虚假订单、合同。

　　贸易对象的抵赖。

　　由计算机系统故障造成的对交易过程和商业信息安全的破坏。

　　综上所述，电子商务面临多方面的威胁，存在许多安全隐患。

　　2.电子商务的安全性内容

　　要使电子商务健康、顺利发展，必须解决好以下几种关键的安全性要求。

　　(1)保证信息的保密性和完整性。

　　在交易过程中必须保证信息不被非授权用户窃取，数据在输入和传输过程中能保证数据的一致性。

　　(2)不可否认性。

　　它是指信息发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。

　　(3)真实性。

　　商务活动交易双方身份是真实的，不是假冒的，不存在的。

　　(4)系统的可靠性与内部网络的严密性。

　　在计算机失效、程序错误、传输错误、硬件各种及计算机病毒等潜在威胁下，有容错处理机制、数据恢复能力，确保系统安全、可靠。

　　对企业内部网络而言，要保证内部网络不被入侵。

　　3.电子商务安全技术体系结构

　　电子商务的安全技术体系结构是保证电子商务中数据安全的一个完整逻辑结构，如图所示。

　　其中，下层是上层的基础，为上层提供技术支持。

　　上层是下层的扩展与递增。

　　各层相互联系、相互依赖的构成一个整体。

　　通过不同的安全控制技术，实现各层的安全策略，有效保证了电子商务系统的安全。

　　三、电子商务的安全技术

　　1.防火墙技术

　　防火墙是建立在内外网络边界上的过滤封装机制，内部网络被认为是安全和可信赖的，而外部网络(通常指Internet)被认为是不安全和不可信赖的。

　　防火墙的主要目的是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全策略。

　　防火墙的主要技术有包过滤技术、代理服务器技术、应用网关技术和状态检测包过滤技术，现在最常用的是状态检测包过滤技术。

　　状态检测防火墙对每个合法网络连接保存的信息包括源地址、目的地址、协议类型、协议相关信息、连接状态和超时时间等称为状态。

　　通过状态检测，可实现比简单包过滤防火墙具有更好的安全性。

　　2.加密技术

　　数字加密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行数据加密来保障安全性。

　　利用加密技术，可以将某些重要的信息和数据从一个可以理解的明文转换为复杂的、不可理解的密文形式，在线路上传送或在数据库中存储，其他用户再将密文还原为明文。

　　3.信息摘要

　　密钥加密技术只能解决信息的保密性问题，对信息的完整性则可以使用信息摘要技术来实现。

　　信息摘要又称为Hash算法，是一种单向加密算法，其加密结果是不能解密的。

　　通过Hash算法，得到一个固定长度(128位)的散列值，不同的原文产生的信息摘要必不相同，相同的原文产生的信息摘要必定相同。

　　这样，通过用接收方产生的摘要与发送方发来的摘要比较，若两者相同则表示原文在传输过程中没有被修改，否则说明原文被修改过。

　　4.数字签名

　　数字签名是密钥加密和信息摘要相结合的技术，用于保证信息的完整性和不可否认性。

　　签名机制的特征是该签名只有通过签名者的私有信息才能产生，即一个签名者的签名只能惟一地由他自己生成。

　　当收发双方发生争议时，第三方就能根据消息上的数字签名来裁定这条消息是否由发送方发出，从而实现不可否认服务。

　　5.数字时间戳

　　在电子交易中，时间和签名同等重要。

　　数字时间戳是由专门机构提供的电子商务安全服务项目，用于证明信息发送的时间。

　　6.数字证书与CA认证

　　由于电子商务在网络中完成，互相之间不见面，因此为了保证每个人及机构都能惟一且被准确无误地识别，就需要进行身份认证。

　　身份认证可以通过验证参与各方的数字证书来实现，而数字证书是由认证中心(CA)颁发的。

　　所谓CA(Certificate Authority：证书发行机构)，是采用PKI(Public Key Infrastructure：公共密钥体系)公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，具有权威性和公正性的第三方信任机构，其作用就像现实生活中颁发证件的机构。

　　四、电子商务安全交易标准

　　要实现安全的电子商务交易，交易双方必须遵照统一的安全标准协议。

　　当前，电子商务的安全机制正走向成熟，并逐渐形成了一些国际规范，比较有代表性的有安全套接层协议SSL(Secure Sockets Layer)和安全电子交易协议SET(Secure Electronic Transaction)。

　　1.安全套接层协议SSL

　　SSL协议是由Netscape公司研制的安全协议，SSL使用加密的方法建立一个安全的通信通道，以使客户的信用卡号传送给商家，商家再将其转发给银行，银行验证后在通知商家付款成功。

　　该协议已成为事实上的工业标准，微软、IBM公司都提供基于这种简单加密模式的支付系统。

　　2.安全电子交易SET协议

　　SET协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。

　　它是由Visa国际组织和MasterCard组织制定的，用于在Internet上进行在线交易时保证信用卡支付安全的开放性安全技术标准。

　　由于得到了微软、IBM、RAS公司的支持与参与，已成为工业事实上的标准。

　　SET协议采用了RSA公私钥加密系统、数字签名、数字证书认证等技术，保证了支付信息的保密性、完整性和不可否认性。

　　该协议提供了客户、商家和银行之间的身份认证，而交易信息和客户信用卡信息相互隔离，即商家只能获取订单信息，银行只能获得持卡人信用卡支付信息，双方互不干扰，各去所需，构成了SET协议的主要特色，使得SET成为电子商务的安全规范。

　　3.SET、SSL协议比较

　　(1)SET是一个专门的安全电子支付协议，而SSL本质上是一个网络安全协议，仅在双方间建立起安全连接。

　　SET是一个多方的消息报文协议，定义了银行、商家和持卡人间必须符合的报文规范，它比SSL在交易过程中的信任度更强。

　　(2)SSL仅有商家的服务器需要认证，客户端只是选择性认证;而SET在整个交易过程中都受到严密保护，其安全性比SSL高。

　　(3)SSL协议中若想进行电子商务交易，只需通过浏览器实现，设置成本低廉，其交易只要几十秒就可完成;SET尽管安全性高，但需要专门的软件来实现，客户、商家改造成本高，由于交易过程各方之间进行多次加密传输，每次交易需要数分钟。

　　综上所述，SSL与SET协议是电子商务中最普遍的两种安全电子支付协议，各有优缺点。

　　SSL虽然简单快捷，但随着电子商务的发展其缺点凸现出来，需采用更先进的支付系统。

　　而SET虽有更强的功能和安全性，但过于复杂，使得大面积推广还有很大障碍，并且成本昂贵，所以，在未来一段时间里将会是SSL和SET两种支付方式并存的局面。

　　五、结论

　　电子商务的本质是商务，技术是电子商务得以实现的手段。

　　没有商务需求，技术的研究就失去了应用价值;没有技术实现，电子商务就不能得以实施，所以技术是电子商务的必要条件。

　　而安全则是实现电子商务技术的前提，也是电子商务的必要条件。

　　解决电子商务的安全问题不是一个单一的技术问题，它是由一系列工作组成，需要从电子商务安全管理、安全技术体系和法律等多方面开展工作和研究。

　　参考文献:

　　[1]胡道元 闵京华:网络安全[M].北京:清华大学出版社，2006

　　[2]祝凌曦:电子商务安全[M].北京：北方交通大学，2006.

　　[3]李晓燕 李福全 郭爱芳:电子商务概论[M].陕西：电子科技大学出版社，2004

　　[4]何 胜:电子商务中安全支付协议的对比及应用[J].计算机时代,2004(20)

　　[5]王 茜 杨德礼:电子商务安全体系结构及技术研究[J].计算机工程,2003,29(1)

　　[6]聂小逢 郑 东 顾 健:认证机构CA的安全体系设计[J].计算机工程，2004，30(12)

【电子商务安全论文】相关文章：

电子商务安全论文07-22

如何保护电子商务的安全论文10-08

电子商务安全问题论文10-08

电子商务安全论文大全【15篇】07-21

电子商务安全论文（通用12篇）08-29

电子商务信息安全探究论文10-08

安全技术在电子商务中的应用的论文10-09

分析电子商务中的数据安全论文04-26

电子商务安全技术对策研讨论文10-11

电子商务计算机安全分析论文10-09