电子商务的安全论文

时间：2022-10-09 00:47:46 电子商务毕业论文我要投稿

电子商务的安全论文

　　电子商务安全论文【1】

电子商务的安全论文

　　【摘要】电子商务安全是电子商务活动的基础和关键。文章从电子商务所面临的安全威胁入手，提出了开展电子商务活动必须满足的安全需求，最后探讨了电子商务安全解决方案及其实现技术。

　　【关键词】电子商务安全;加密;数字签名;认证;协议

　　随着网络通信技术的迅猛发展和Internet的不断普及，电子商务作为一种新型的商务模式，在全球范围内正以惊人的速度迅猛发展。然而由于它是基于Internet开展的商务活动，大量重要的信息都需要在互联网上进行传递，尤其还涉及到资金的流动，必然要求传递信息的过程足够安全。因此如何保障交易过程和传递信息的安全性就成为影响电子商务发展的一个至关重要的问题，也是技术难点。

　　一、电子商务的安全威胁

　　电子商务是基于网络信息传输的，依靠从信息终端之间信息的传递完成商务交易。与传统商务的面对面交易不同，电子商务的安全就是要确保这些信息的传递是稳定的、完整的、可靠的、保密的，是反映信息发送者的真实意愿的。而威胁互联网安全的因素很多。

　　1.截获

　　攻击者获取了对资源的访问权，这是对机密性的攻击。例如，在网络上搭线或安装电磁波截获装置以获取银行账号、用户密码等有用数据。

　　2.篡改

　　攻击者不仅获得了访问权而且篡改了某些资源，这是对完整性的攻击。例如，修改资金额度、货物数量、商品价格等交易信息。

　　3.伪造

　　攻击者将伪造的对象插入系统，这是对真实性的攻击。例如，冒充合法用户进行交易，给合法用户造成损失。

　　4.否认或抵赖

　　商家或用户否认自己曾经发送或接收到信息，这是对不可抵赖性的攻击。例如，合法用户可能会赖账，商家也有可能因为商品价格差而不承认原有交易。

　　二、电子商务的安全需求

　　在电子商务面临上述安全隐患的情况下，要在因特网中建立并维持一个令人可以信任的环境和机制，也为了保障交易各方的合法权益，需要满足以下几个方面的安全需求。

　　1.信息的机密性

　　信息的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。机密性可用加密和信息隐匿技术实现，使截获者不能解读加密信息的内容。机密性的另一方面是保护通信流特性以防止被分析。

　　2.信息的完整性

　　信息的完整性或称正确性是保护数据不被伪授权者修改、建立、嵌入、删除、重复传送或由于其他的原因使原始数据被更改。在存储时，要防止非法篡改，防止网站上的信息被破坏。在传输过程中，如果接收方收到的信息与发送方的信息完全一样则说明在传输过程中信息没有遭到破坏，具有完整性。针对信息的完整性，目前的主要措施是通过散列算法(也称消息摘要算法)来检查信息的完整性。

　　3.商务对象的认证性

　　商务对象的认证性是指网络两端的使用者在沟通之前相互确认对方的身份，保证身份的正确性。分辨参与者声称身份的真伪，防止伪装攻击。认证性采用由认证中心向各交易主体发放数字证书并进行验证。

　　4.信息的不可抵赖性

　　信息的不可抵赖性是指信息的发送方不能否认已发送的信息，信息的接受方不能否认已收到的信息。这是一种法律有效性要求。交易一旦达成是不能被否认的。否则必然会损害一方的利益。目前的主要措施是采用数字签名技术。

　　三、电子商务安全技术

　　1.加密技术

　　加密技术是电子商务的最基本信息安全防范措施，其原理是利用一定的加密算法，将明文转换成难以识别和理解的密文并进行传输，从而确保数据的机密。主要有对称加密技术、非对称加密技术和数字信封技术。

　　(1)对称加密技术

　　对称加密技术，即信息的发送方和接收方用一个密钥去加密和解密数据，也就是说加密和解密用同一个密钥。它要求发送方、接收方在安全通信之前，商定一个密钥，对称密钥算法的安全性依赖于密钥，泄露密钥就意味着任何人都能对消息进行加、解密。

　　只要通信需要保密，密钥就必须保密。它的最大优势是加、解密速度快，便于用硬件实现、适合于对大数据量进行加密等，但密钥管理困难。

　　(2)非对称加密技术

　　非对称加密技术就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”。“公钥”和“私钥”不能由一个推出另一个，但是“公钥”加密的信息只能由“私钥”解密，反之亦然。非对称密钥机制灵活，但加密和解密速度比对称密钥加密慢得多，所以它不适合于对文件进行加密，而只适用于对少量数据进行加密。

　　(3)数字信封技术

　　鉴于对称加密技术和非对称加密技术各自的特点，在实际应用中将两种加密技术结合使用，从而获得对称加密技术的高效性和非对称加密技术的灵活性。这种把对称加密技术和非对称加密技术结合使用的技术称数字信封技术。

　　2.数字签名技术

　　数字签名技术主要解决电子商务中信息的不可抵赖性问题。其工作原理是：将报文按双方约定的HASH算法计算，得到一个固定位数的HASH值，在数学上保证只要改动报文的任何一位，重新计算出的HASH值就会与原值不符。然后把该HASH值用发送者的私钥加密，然后将该密文同原报文一起发送给接收者，产生的报文即数字签名。

　　接收方收到数字签名后，用同样的HASH算法对报文计算HASH值，然后与用发送者的公钥进行解密解开的HASH值进行比较，如相等则说明报文确实来自发送者从而保证了数据的真实性。通过数字签名还能够实现对原信息的鉴别，从而保证信息在传输过程中的信息完整性和信息发送方的不可抵赖性。

　　3.认证技术

　　对数字签名和公开密钥加密技术来说，都会面临公钥的分发问题。这就要求管理公钥的系统必须是值得信赖的，数字证书就是解决这一问题的有效方法。它通常是一个签名文档，标记特定对象的公开密钥。

　　由认证中心CA签发，CA通常是一个服务性机构，主要任务是受理数字证书的申请、签发和管理数字证书，是一个普遍可信的第三方。当通信双方都信任同一个CA时，两者就可以相互得到对方的公钥从而能进行秘密通信、数字签名和认证。

　　4.数字时间戳技术

　　在电子商务交易中，时间是十分重要的信息。数字时间戳服务DTS就是为电子文件的时间信息进行安全保护的网上安全服务项目。时间戳是经过加密后形成的文档，它包括三部分内容：①需加时间戳的文件的摘要;②DTS收到文件的日期和时间;③DTS的数字签名。

　　5.与电子商务安全有关的协议技术

　　(1)SSL-安全套接层协议

　　SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和加密密钥的用于浏览器和Web服务器之间的安全连接技术。它在应用层收发数据前，协商加密算法、连接密钥并认证通信双方，从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议以保证应用层数据传输的安全性。

　　SSL协议独立于应用层协议，且被大部分的浏览器和Web服务器所内置，便于在电子交易中应用，因此，在电子交易中被用来安全传送信用卡号码。国际著名的CyberCash信用卡支付系统就支持这种简单加密模式，IBM等公司也提供了这种简单加密模式的支付系统。

　　但SSL协议它是一个面向连接的协议，在涉及多方的电子交易中，只能提供交易中客户与服务器间的双方认证，而电子商务往往是用户、网站、银行三家协作完成，SSL协议并不能协调各方间的安全传输和信任关系。因此，为了实现更加完善的电子交易，制订发布了SET协议。

　　(2)SET-安全电子交易协议

　　SET协议是目前唯一保证信用卡信息能安全可靠地通过因特网传输的新协议。它为在Internet上进行安全的电子商务活动提供了一个开放的标准，为Internet上支付交易提供高层的安全和反欺诈保证。

　　SET协议为基于信用卡进行电子交易的应用提供了安全措施，保证了电子交易的机密性、数据完整性、身份的合法性和抗否认性。SET是专门为电子商务而设计的协议，它在很多方面优于SSL协议，但仍不能解决电子商务所遇到的全部问题。

　　四、结束语

　　电子商务安全是电子商务活动的核心，我们要坚持引进和吸收的原则，组织各方面力量，研制和开发出具有自主知识产权的网络安全和电子商务安全产品，逐步掌握电子商务安全的核心技术，我国的电子商务安全现状一定会得到极大的改善，从而为我国电子商务的发展创建良好的安全环境。

　　参考文献：

　　[1]陈建斌.电子商务与电子政务[M].北京:机械工业出版社,2008.

　　[2]杨爱民.电子商务安全现状及对策探讨[J].科技资讯,2006(6).

　　[3]张斌.电子商务中的信息安全[J].晋中师范高等专科学校学报,2003(2).

　　电子商务的安全【2】

　　[摘要] 本文针对电子商务中所出现的安全问题，分析了电子商务中常用的安全技术。

　　[关键词] 电子商务信息安全信息加密信息认证

　　随着Internet的迅猛发展,电子商务作为一种崭新的商务活动模式受到了全世界、全社会的广泛关注和吸纳。若要电子商务成功且蓬勃地发展，则必须提升消费者对交易可靠性的信心，以及增强网络对外来非法入侵的防护措施。所以，电子商务安全是目前电子商务发展中，亟待克服且深受瞩目的问题。

　　一、电子商务的安全隐患

　　一般来说电子商务安全中普遍存在着以下几种隐患:

　　1.窃取信息。由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

　　2.篡改信息。当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

　　3.假冒。由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

　　4.恶意破坏。由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

　　二、电子商务的安全需求

　　电子商务的安全交易主要保证以下四个方面：

　　1.信息保密性。交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉，因此在信息传播中一般均有加密的要求。

　　2.交易者身份的确定性。网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。

　　3.不可否认性。由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。

　　4.不可修改性。交易的文件是不可被修改的，否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改，以保障商务交易的严肃和公正。

　　三、电子商务安全措施

　　因此要确保交易的安全，必须要有坚固的网络安全防护措施(如防护墙)，以及安全的资讯保密技术(如加密技术、数字签名及认证)的辅助。

　　1.网络安全防范措施。在实施网络安全防范措施时，首先要加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在的安全隐患，并及时加以修补;从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施。

　　对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件，加强内部网的整体防病毒措施;建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

　　2.加密和密钥管理技术。加密技术是保证电子商务安全的重要手段。许多密码算法现已成为网络安全和商务信息安全的基础，密码算法利用密钥来对敏感信息进行加密，然后把加密好的数据和密钥通过安全方式发送给接收者，接收者可利用同样的算法和传递来的密钥对数据进行解密，从而获取敏感信息，保证了网络数据的机密性。

　　3.数字签名技术。数字签名可以保证文档的真实性与完整性，对签字方进行约束，防止其抵赖行为，并把文档与签名同时发送以作为日后查证的依据，数字签名不仅与签名者的私有密钥有关，而且与报文内容相关。

　　4.认证机构和数字证书。证书机构CA是一个可信的第三方实体，其主要职责是保证用户的真实性。

　　本质上CA的作用同政府机关的护照颁发机构类似，用于证实公民的正确身份，而网络用户的电子身份是由CA来发布的，也就是说他是被CA所信任的，该电子身份就成为数字证书。一个CA系统也可以看成由许多人组成的一个组织，用于指定网络安全策略，并决定组织中的哪些人可以发给在网络上使用的电子身份。

　　5.虚拟专用网(VPN)。这是用于Internet交易的一种专用网络，它可以在两个系统之间建立安全的信道(或隧道)，用于电子数据交换(EDI)。它与信用卡交易和客户发送订单交易不同，因为在VPN中，双方的数据通信量要大得多，而且通信的双方彼此都很熟悉。

　　这意味着可以使用复杂的专用加密和认证技术，只要通信的双方默认即可，没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性，因而能够保证数据的保密性和可用性。

　　总之，安全是电子商务存在和发展的灵魂。电子商务的安全问题是多层次、多剖面的，并且始终处于动态发展过程中，其不安全因素是多方面的。

　　一个完善的电子商务系统在保证技术的前提下，还与国家法律政策、诚信等级制度、物流部门密切相关。电子商务是对计算机网络安全与商务安全的双重要求，电子商务安全的复杂程度比大多数计算机网络更高，因此电子商务安全应作为一项工程对待，而不仅仅是一种解决方案。

【电子商务的安全论文】相关文章：