電子商務(wù)安全論文

時間：2022-10-09 02:33:05 電子商務(wù)畢業(yè)論文我要投稿

電子商務(wù)安全論文

　　電子商務(wù)安全論文【1】

電子商務(wù)安全論文

　　[摘要] 本文首先澄清了電子商務(wù)及EDI的相關(guān)概念，而后進(jìn)一步對安全的重要性做出評述。

　　最后，重點闡述了目前常見的幾種EDI安全保障技術(shù)，并對其相關(guān)措施簡明描述。

　　[關(guān)鍵詞] 電子商務(wù) EDI 安全

　　一、電子商務(wù)安全問題概述

　　近年來，隨著互聯(lián)網(wǎng)的激速發(fā)展，電子商務(wù)也在迅速崛起。

　　電子商務(wù)這一新的商業(yè)形式徹底改變了傳統(tǒng)的交易方式，也隨之打破了舊有工作經(jīng)營模式。

　　它通過網(wǎng)絡(luò)使企業(yè)獲得一次近乎平等的競爭機(jī)會，并且也從各個細(xì)微的領(lǐng)域影響著全國乃至世界的經(jīng)濟(jì)發(fā)展趨勢。

　　就在電子商務(wù)為我們帶來極大便利的同時，相關(guān)的安全問題也日益凸現(xiàn)出來。

　　眾所周知，電子商務(wù)的一個重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè)信息，因此，IT技術(shù)本身的一些缺陷和弊端便不可避免地帶入了電子商務(wù)的領(lǐng)域。

　　電子商務(wù)的安全問題，基本可以劃分為兩大部分，即計算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。

　　計算機(jī)網(wǎng)絡(luò)安全問題是IT技術(shù)所固有的問題，主要包括網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等多個方面，其特征是針對計算機(jī)系統(tǒng)及網(wǎng)絡(luò)本身的安全問題。

　　目前針對這一方面的問題提出的解決方案不勝枚舉，從針對個人終端的各種殺毒和預(yù)防性軟硬件體系，一直到針對大型企業(yè)及專業(yè)支付平臺的多層安全機(jī)制應(yīng)有盡有。

　　而商務(wù)交易安全則緊緊圍繞電子商務(wù)所產(chǎn)生的網(wǎng)上交易展開，在計算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行。

　　即實現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。

　　二、EDI的概念

　　隨著電子商務(wù)的日漸成熟，EDI的應(yīng)用也日趨普遍，目前，EDI已經(jīng)遍布于電子商務(wù)的各個角落，電子商務(wù)安全的問題也隨之轉(zhuǎn)化成了EDI的安全問題。

　　EDI是英文Electronic Data Interchange的縮寫，即電子數(shù)據(jù)互換，目前，EDI已經(jīng)成為了在公司之問傳輸訂單、發(fā)票等作業(yè)文件必不可少的電子化手段。

　　EDI的本質(zhì)在于，通過常用的計算機(jī)通信網(wǎng)絡(luò)，傳輸與企業(yè)業(yè)務(wù)密切相關(guān)的報文數(shù)據(jù)，而報文數(shù)據(jù)的格式及內(nèi)容等特征，則被明確的規(guī)范出來。

　　目前，由于EDI的出現(xiàn)減少甚至消除了商業(yè)交易過程中的眾多紙面文件，因此EDI又被人們通俗地稱為“無紙貿(mào)易”。

　　既然EDI和核心在于傳輸數(shù)據(jù)，因此一般電子商務(wù)所面臨的傳輸方面的安全問題都會相應(yīng)的出現(xiàn)在EDI的使用領(lǐng)域。

　　三、EDI的安全技術(shù)

　　既然EDI的主要職能在于傳輸數(shù)據(jù)，并且由于EDI是服務(wù)于電子商務(wù)的一個重要組成部分，因此EDI所涉及到的傳輸內(nèi)容常常是一些商務(wù)數(shù)據(jù)，而這些數(shù)據(jù)一旦丟失，企業(yè)就有可能遭受損失，甚至面臨危機(jī)，因此安全對于EDI來說至關(guān)重要。

　　EDI的安全，幾乎已經(jīng)成為了電子商務(wù)安全的核心部分。

　　然而計算機(jī)網(wǎng)絡(luò)是一個相對開放的環(huán)境，不安全的因素來自四面八方，難以預(yù)測，更不能控制。

　　人們一直都在為網(wǎng)絡(luò)環(huán)境的安全作著不懈的努力，目前，應(yīng)用于EDI體系中的安全手段可以主要劃分為如下幾個方面：

　　1.存儲安全技術(shù)

　　存儲安全是指當(dāng)數(shù)據(jù)保持相對靜止的狀態(tài)時，為確保數(shù)據(jù)安全而采取的各項技術(shù)。

　　具體包括了數(shù)據(jù)的本地存放狀態(tài)的安全，以及傳輸過程中的安全。

　　通常而言，常用的存儲安全技術(shù)主要是指封裝技術(shù)。

　　目前密碼封裝是常見的數(shù)據(jù)安全封裝技術(shù)，主要包括兩個重要類別，即私鑰加密體制以及公鑰加密體制。

　　其中私鑰加密體制又稱對稱加密體制，即加密與解密時使用相同的密碼。

　　具體又包括兩種，即分組密碼，如美國數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)采用的密碼算法，以及可以將明文符號立即轉(zhuǎn)換為密文符號的序列密碼。

　　相比之下，序列密碼具有運算速度更快、安全性更高的特點。

　　2.傳輸安全技術(shù)

　　EDI安全體系最重要的職能之一，是數(shù)據(jù)一旦發(fā)出，系統(tǒng)就必須要有效跟蹤數(shù)據(jù)以確保被收到。

　　在這一方面，根據(jù)安全技術(shù)實施的對象可以劃分為兩大類，即鏈路加密及端對端加密兩種方式。

　　具體來說，鏈路加密是對保密信息通過的各條線路采用不同的加密密鑰以提供安全保護(hù)的措施。

　　這種安全手段的特點在于可以確保每條鏈路上的傳輸?shù)亩际墙?jīng)過加密保護(hù)的數(shù)據(jù)，但是鏈路之間的節(jié)點上卻會出現(xiàn)未經(jīng)加密的明文。

　　端對端加密與鏈路加密有所不同，它可以為兩個用戶之間傳送的數(shù)據(jù)提供連續(xù)保護(hù)，數(shù)據(jù)在信息源一端被加密，到達(dá)目的一端才會被解密。

　　這樣數(shù)據(jù)在中間節(jié)點和鏈路上均以密文形式出現(xiàn)，相比之下大大提高了信息位于中間節(jié)點上的安全性。

　　但是端對端加密同樣存在問題。

　　由于數(shù)據(jù)在端對端加密技術(shù)的控制下中途不得解密，因此包含著數(shù)據(jù)源頭和目的地等一些信息的數(shù)據(jù)報文報頭必須裸露在加密內(nèi)容的外面，這就為報文流量分析提供了可乘之機(jī)。

　　而鏈路加密則可以對包括報頭在內(nèi)的整個數(shù)據(jù)報文進(jìn)行加密，這就使得報文流量分析無孔可入。

　　3.網(wǎng)絡(luò)安全技術(shù)

　　對于EDI而言，網(wǎng)絡(luò)安全技術(shù)的主要形式即防火墻技術(shù)。

　　在這一類安全技術(shù)下，具體可以分為兩個大類，即包過濾技術(shù)和應(yīng)用級網(wǎng)關(guān)技術(shù)。

　　包過濾技術(shù)就是在網(wǎng)絡(luò)中的適當(dāng)位置對數(shù)據(jù)包實施有選擇放行。

　　這種技術(shù)有賴于在路由器上安裝包過濾軟件來實現(xiàn)。

　　而應(yīng)用級網(wǎng)關(guān)技術(shù)則直接提供一種代理服務(wù)。

　　它負(fù)責(zé)對外來的應(yīng)用連接請求進(jìn)行回應(yīng)，并將通過其安全檢查的連接請求與被保護(hù)的網(wǎng)絡(luò)應(yīng)用服務(wù)器連接，為外部服務(wù)用戶提供在受控制的前提下訪問并使用內(nèi)部網(wǎng)絡(luò)的服務(wù)。

　　參考文獻(xiàn):

　　[1]俞之杭:電子商務(wù)質(zhì)量和安全分析[J].集團(tuán)經(jīng)濟(jì)研究，2007(12):395―396

　　[2]楊晉:現(xiàn)代電子商務(wù)安全技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2001(1):66―68

　　電子商務(wù)安全策略【2】

　　[摘要] 電子商務(wù)是商務(wù)發(fā)展的內(nèi)在要求及技術(shù)發(fā)展的外在推動下應(yīng)運而生的，安全性是第一位要考慮的問題，是由一系列安全機(jī)制工作組成。

　　本文主要從技術(shù)角度詳細(xì)分析了其中存在的安全隱患和威脅，詳述了安全性需求和實現(xiàn)網(wǎng)絡(luò)的安全技術(shù)策略，并探討了保證交易安全的兩個協(xié)議，即安全電子交易協(xié)議SET和安全套接層協(xié)議SSL，并對兩種協(xié)議做出了相應(yīng)的分析和比較。

　　[關(guān)鍵詞] 安全體系加密數(shù)字證書電子商務(wù) 安全交易標(biāo)準(zhǔn)

　　一、引言

　　當(dāng)前的電子商務(wù)是指通過電子方式的商務(wù)活動。

　　它作為一種全新的業(yè)務(wù)和服務(wù)方式，為全球客戶提供了豐富的商務(wù)信息、便捷的交易過程和廉價的交易成本。

　　但是，電子商務(wù)給人們帶來方便的同時，也把人們引入安全憂慮之中。

　　買方擔(dān)心在網(wǎng)絡(luò)上傳輸?shù)男庞每ḿ皞€人資料被截取;賣方則擔(dān)心收到的是被盜用的信用卡號碼，或是交易不認(rèn)賬等，這些存在的安全漏洞問題已成為阻礙網(wǎng)上交易發(fā)展的首要問題。

　　相對于傳統(tǒng)商務(wù)，電子商務(wù)對管理機(jī)制、實施平臺和信息傳遞技術(shù)都提出了更高的要求，其中安全體系的構(gòu)建尤為顯得重要，已成為電子商務(wù)能否得到進(jìn)一步發(fā)展和推廣的關(guān)鍵所在。

　　二、電子商務(wù)安全體系結(jié)構(gòu)

　　1.電子商務(wù)中存在的安全隱患和威脅

　　Internet是電子商務(wù)實現(xiàn)的網(wǎng)絡(luò)基礎(chǔ)，它采用TCP/IP完成不同網(wǎng)絡(luò)與不同計算機(jī)之間的通信，正是由于這些特點，使它給電子商務(wù)帶來了很多的安全問題。

　　Internet的安全隱患主要體現(xiàn)在四個方面。

　　開放性和資源共享是Internet的主要優(yōu)點，但它帶來的問題卻不容忽視。

　　因為當(dāng)甲方在很容易的訪問乙方時，如果沒有采取任何措施，乙方同樣很容易的訪問甲方的計算機(jī)。

　　Internet采用的協(xié)議TCP/IP并未采用任何措施來保護(hù)傳輸內(nèi)容不被竊取。

　　它是一種包交換網(wǎng)絡(luò)，每個數(shù)據(jù)包在網(wǎng)絡(luò)上都是透明傳輸?shù)�，并且可能�?jīng)過不同的網(wǎng)絡(luò)，由路由器轉(zhuǎn)發(fā)到達(dá)目的計算機(jī)。

　　數(shù)據(jù)在傳輸過程中可能會遭到IP窺探、同步信號淹沒、TCP會話、復(fù)位與結(jié)束信號攻擊等威脅。

　　Internet底層的操作系統(tǒng)如UNIX，由于源代碼的公開，很容易發(fā)現(xiàn)漏洞，給Internet用戶帶來安全問題。

　　相比較傳統(tǒng)信函，電子化信息就缺乏可信度，電子信息是否準(zhǔn)確很難由其本身來鑒別。

　　在Internet上傳遞電子信息時，難以確認(rèn)信息發(fā)送者及信息是否被正確無誤地傳遞給對方。

　　由于Internet存在上述安全隱患，將給電子商務(wù)帶來如下的安全威脅。

　　由于非法入侵，造成商務(wù)信息被纂改、竊取或丟失。

　　商業(yè)機(jī)密在傳輸過程中被第三方獲悉，被惡意破壞。

　　虛假身份的交易對象及虛假訂單、合同。

　　貿(mào)易對象的抵賴。

　　由計算機(jī)系統(tǒng)故障造成的對交易過程和商業(yè)信息安全的破壞。

　　綜上所述，電子商務(wù)面臨多方面的威脅，存在許多安全隱患。

　　2.電子商務(wù)的安全性內(nèi)容

　　要使電子商務(wù)健康、順利發(fā)展，必須解決好以下幾種關(guān)鍵的安全性要求。

　　(1)保證信息的保密性和完整性。

　　在交易過程中必須保證信息不被非授權(quán)用戶竊取，數(shù)據(jù)在輸入和傳輸過程中能保證數(shù)據(jù)的一致性。

　　(2)不可否認(rèn)性。

　　它是指信息發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息，接收方也不可否認(rèn)已經(jīng)收到的信息。

　　(3)真實性。

　　商務(wù)活動交易雙方身份是真實的，不是假冒的，不存在的。

　　(4)系統(tǒng)的可靠性與內(nèi)部網(wǎng)絡(luò)的嚴(yán)密性。

　　在計算機(jī)失效、程序錯誤、傳輸錯誤、硬件各種及計算機(jī)病毒等潛在威脅下，有容錯處理機(jī)制、數(shù)據(jù)恢復(fù)能力，確保系統(tǒng)安全、可靠。

　　對企業(yè)內(nèi)部網(wǎng)絡(luò)而言，要保證內(nèi)部網(wǎng)絡(luò)不被入侵。

　　3.電子商務(wù)安全技術(shù)體系結(jié)構(gòu)

　　電子商務(wù)的安全技術(shù)體系結(jié)構(gòu)是保證電子商務(wù)中數(shù)據(jù)安全的一個完整邏輯結(jié)構(gòu)，如圖所示。

　　其中，下層是上層的基礎(chǔ)，為上層提供技術(shù)支持。

　　上層是下層的擴(kuò)展與遞增。

　　各層相互聯(lián)系、相互依賴的構(gòu)成一個整體。

　　通過不同的安全控制技術(shù)，實現(xiàn)各層的安全策略，有效保證了電子商務(wù)系統(tǒng)的安全。

　　三、電子商務(wù)的安全技術(shù)

　　1.防火墻技術(shù)

　　防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封裝機(jī)制，內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的，而外部網(wǎng)絡(luò)(通常指Internet)被認(rèn)為是不安全和不可信賴的。

　　防火墻的主要目的是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略。

　　防火墻的主要技術(shù)有包過濾技術(shù)、代理服務(wù)器技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和狀態(tài)檢測包過濾技術(shù)，現(xiàn)在最常用的是狀態(tài)檢測包過濾技術(shù)。

　　狀態(tài)檢測防火墻對每個合法網(wǎng)絡(luò)連接保存的信息包括源地址、目的地址、協(xié)議類型、協(xié)議相關(guān)信息、連接狀態(tài)和超時時間等稱為狀態(tài)。

　　通過狀態(tài)檢測，可實現(xiàn)比簡單包過濾防火墻具有更好的安全性。

　　2.加密技術(shù)

　　數(shù)字加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來保障安全性。

　　利用加密技術(shù)，可以將某些重要的信息和數(shù)據(jù)從一個可以理解的明文轉(zhuǎn)換為復(fù)雜的、不可理解的密文形式，在線路上傳送或在數(shù)據(jù)庫中存儲，其他用戶再將密文還原為明文。

　　3.信息摘要

　　密鑰加密技術(shù)只能解決信息的保密性問題，對信息的完整性則可以使用信息摘要技術(shù)來實現(xiàn)。

　　信息摘要又稱為Hash算法，是一種單向加密算法，其加密結(jié)果是不能解密的。

　　通過Hash算法，得到一個固定長度(128位)的散列值，不同的原文產(chǎn)生的信息摘要必不相同，相同的原文產(chǎn)生的信息摘要必定相同。

　　這樣，通過用接收方產(chǎn)生的摘要與發(fā)送方發(fā)來的摘要比較，若兩者相同則表示原文在傳輸過程中沒有被修改，否則說明原文被修改過。

　　4.數(shù)字簽名

　　數(shù)字簽名是密鑰加密和信息摘要相結(jié)合的技術(shù)，用于保證信息的完整性和不可否認(rèn)性。

　　簽名機(jī)制的特征是該簽名只有通過簽名者的私有信息才能產(chǎn)生，即一個簽名者的簽名只能惟一地由他自己生成。

　　當(dāng)收發(fā)雙方發(fā)生爭議時，第三方就能根據(jù)消息上的數(shù)字簽名來裁定這條消息是否由發(fā)送方發(fā)出，從而實現(xiàn)不可否認(rèn)服務(wù)。

　　5.數(shù)字時間戳

　　在電子交易中，時間和簽名同等重要。

　　數(shù)字時間戳是由專門機(jī)構(gòu)提供的電子商務(wù)安全服務(wù)項目，用于證明信息發(fā)送的時間。

　　6.數(shù)字證書與CA認(rèn)證

　　由于電子商務(wù)在網(wǎng)絡(luò)中完成，互相之間不見面，因此為了保證每個人及機(jī)構(gòu)都能惟一且被準(zhǔn)確無誤地識別，就需要進(jìn)行身份認(rèn)證。

　　身份認(rèn)證可以通過驗證參與各方的數(shù)字證書來實現(xiàn)，而數(shù)字證書是由認(rèn)證中心(CA)頒發(fā)的。

　　所謂CA(Certificate Authority：證書發(fā)行機(jī)構(gòu))，是采用PKI(Public Key Infrastructure：公共密鑰體系)公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，負(fù)責(zé)簽發(fā)和管理數(shù)字證書，具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)，其作用就像現(xiàn)實生活中頒發(fā)證件的機(jī)構(gòu)。

　　四、電子商務(wù)安全交易標(biāo)準(zhǔn)

　　要實現(xiàn)安全的電子商務(wù)交易，交易雙方必須遵照統(tǒng)一的安全標(biāo)準(zhǔn)協(xié)議。

　　當(dāng)前，電子商務(wù)的安全機(jī)制正走向成熟，并逐漸形成了一些國際規(guī)范，比較有代表性的有安全套接層協(xié)議SSL(Secure Sockets Layer)和安全電子交易協(xié)議SET(Secure Electronic Transaction)。

　　1.安全套接層協(xié)議SSL

　　SSL協(xié)議是由Netscape公司研制的安全協(xié)議，SSL使用加密的方法建立一個安全的通信通道，以使客戶的信用卡號傳送給商家，商家再將其轉(zhuǎn)發(fā)給銀行，銀行驗證后在通知商家付款成功。

　　該協(xié)議已成為事實上的工業(yè)標(biāo)準(zhǔn)，微軟、IBM公司都提供基于這種簡單加密模式的支付系統(tǒng)。

　　2.安全電子交易SET協(xié)議

　　SET協(xié)議向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實現(xiàn)安全措施的規(guī)則。

　　它是由Visa國際組織和MasterCard組織制定的，用于在Internet上進(jìn)行在線交易時保證信用卡支付安全的開放性安全技術(shù)標(biāo)準(zhǔn)。

　　由于得到了微軟、IBM、RAS公司的支持與參與，已成為工業(yè)事實上的標(biāo)準(zhǔn)。

　　SET協(xié)議采用了RSA公私鑰加密系統(tǒng)、數(shù)字簽名、數(shù)字證書認(rèn)證等技術(shù)，保證了支付信息的保密性、完整性和不可否認(rèn)性。

　　該協(xié)議提供了客戶、商家和銀行之間的身份認(rèn)證，而交易信息和客戶信用卡信息相互隔離，即商家只能獲取訂單信息，銀行只能獲得持卡人信用卡支付信息，雙方互不干擾，各去所需，構(gòu)成了SET協(xié)議的主要特色，使得SET成為電子商務(wù)的安全規(guī)范。

　　3.SET、SSL協(xié)議比較

　　(1)SET是一個專門的安全電子支付協(xié)議，而SSL本質(zhì)上是一個網(wǎng)絡(luò)安全協(xié)議，僅在雙方間建立起安全連接。

　　SET是一個多方的消息報文協(xié)議，定義了銀行、商家和持卡人間必須符合的報文規(guī)范，它比SSL在交易過程中的信任度更強(qiáng)。

　　(2)SSL僅有商家的服務(wù)器需要認(rèn)證，客戶端只是選擇性認(rèn)證;而SET在整個交易過程中都受到嚴(yán)密保護(hù)，其安全性比SSL高。

　　(3)SSL協(xié)議中若想進(jìn)行電子商務(wù)交易，只需通過瀏覽器實現(xiàn)，設(shè)置成本低廉，其交易只要幾十秒就可完成;SET盡管安全性高，但需要專門的軟件來實現(xiàn)，客戶、商家改造成本高，由于交易過程各方之間進(jìn)行多次加密傳輸，每次交易需要數(shù)分鐘。

　　綜上所述，SSL與SET協(xié)議是電子商務(wù)中最普遍的兩種安全電子支付協(xié)議，各有優(yōu)缺點。

　　SSL雖然簡單快捷，但隨著電子商務(wù)的發(fā)展其缺點凸現(xiàn)出來，需采用更先進(jìn)的支付系統(tǒng)。

　　而SET雖有更強(qiáng)的功能和安全性，但過于復(fù)雜，使得大面積推廣還有很大障礙，并且成本昂貴，所以，在未來一段時間里將會是SSL和SET兩種支付方式并存的局面。

　　五、結(jié)論

　　電子商務(wù)的本質(zhì)是商務(wù)，技術(shù)是電子商務(wù)得以實現(xiàn)的手段。

　　沒有商務(wù)需求，技術(shù)的研究就失去了應(yīng)用價值;沒有技術(shù)實現(xiàn)，電子商務(wù)就不能得以實施，所以技術(shù)是電子商務(wù)的必要條件。

　　而安全則是實現(xiàn)電子商務(wù)技術(shù)的前提，也是電子商務(wù)的必要條件。

　　解決電子商務(wù)的安全問題不是一個單一的技術(shù)問題，它是由一系列工作組成，需要從電子商務(wù)安全管理、安全技術(shù)體系和法律等多方面開展工作和研究。

　　參考文獻(xiàn):

　　[1]胡道元閔京華:網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社，2006

　　[2]祝凌曦:電子商務(wù)安全[M].北京：北方交通大學(xué)，2006.

　　[3]李曉燕李福全郭愛芳:電子商務(wù)概論[M].陜西：電子科技大學(xué)出版社，2004