1、電子商務的安全技術
密碼技術
密碼學(在西歐語文中之源於希臘語kryptós,「隱藏的」,和gráphein,「書寫」)是研究如何隱密地傳遞信息的學科。在現代特別指對信息以及其傳輸的數學性研究,常被認為是數學和計算機科學的分支,和資訊理論也密切相關。著名的密碼學者Ron Rivest解釋道:「密碼學是關於如何在敵人存在的環境中通訊」,自工程學的角度,這相當於密碼學與純數學的異同。密碼學是 信息安全等相關議題,如認證、訪問控制的核心。密碼學的首要目是隱藏信息的涵義,並不是將隱藏信息的存在。密碼學也促進了計算機科學,特別是在於電腦與網路安全所使用的技術,如訪問控制與信息的機密性。密碼學已被應用在日常生活:包括自動櫃員機的晶元卡、電腦使用者存取密碼、電子商務等等。
術語
[編輯本段]
直到現代以前,密碼學幾乎專指加密演算法:將普通信息(明文)轉換成難以理解的資料(密文)的過程;解密演算法則是其相反的過程:由密文轉換回明文;密碼機(cipher或cypher)包含了這兩種演算法,一般加密即同時指稱加密與解密的技術。 密碼機的具體運作由兩部分決定:一個是演算法,另一個是鑰匙。鑰匙是一個用於密碼機演算法的秘密參數,通常只有通訊者擁有。歷史上,鑰匙通常未經認證或完整性測試而被直接使用在密碼機上。
密碼協議(cryptographic protocol)是使用密碼技術的通信協議(communication protocol)。近代密碼學者多認為除了傳統上的加解密演算法,密碼協議也一樣重要,兩者為密碼學研究的兩大課題。在英文中,cryptography和cryptology都可代表密碼學,前者又稱密碼術。但更嚴謹地說,前者(cryptography)指密碼技術的使用,而後者(cryptology)指研究密碼的學科,包含密碼術與密碼分析。密碼分析 (cryptanalysis)是研究如何破解密碼學的學科。但在實際使用中,通常都稱密碼學(英文通常稱cryptography),而不具體區分其含義。
口語上,編碼(code)常意指加密或隱藏信息的各種方法。然而,在密碼學中,編碼有更特定的意義:它意指以碼字(code word)取代特定的明文。例如,以『蘋果派』(apple pie)替換『拂曉攻擊』(attack at dawn)。編碼已經不再被使用在嚴謹的密碼學,它在資訊理論或通訊原理上有更明確的意義。
在漢語口語中,電腦系統或網路使用的個人帳戶口令 (password)也常被以密碼代稱,雖然口令亦屬密碼學研究的范圍,但學術上口令與密碼學中所稱的鑰匙(key)並不相同,即使兩者間常有密切的關連。
現代密碼學
[編輯本段]
現代密碼學大致可被區分為數個領域。 對稱鑰匙密碼學指的是傳送方與接收方都擁有相同的鑰匙。直到1976年這都還是唯一的公開加密法。
現代的研究主要在分組密碼(Block Cipher)與流密碼(Stream Cipher)及其應用。分組密碼在某種意義上是阿伯提的多字元加密法的現代化。分組密碼取用明文的一個區塊和鑰匙,輸出相同大小的密文區塊。由於信息通常比單一區塊還長,因此有了各種方式將連續的區塊編織在一起。 DES和AES是美國聯邦政府核定的分組密碼標准(AES將取代DES)。盡管將從標准上廢除,DES依然很流行(triple-DES變形仍然相當安全),被使用在非常多的應用上,從自動交易機、電子郵件到遠端存取。也有許多其他的區塊加密被發明、釋出,品質與應用上各有不同,其中不乏被破解者。
流密碼,相對於區塊加密,製造一段任意長的鑰匙原料,與明文依位元或字元結合,有點類似一次墊(one-time pad)。輸出的串流根據加密時的內部狀態而定。在一些流密碼上由鑰匙控制狀態的變化。RC4是相當有名的流密碼。
密碼雜湊函數(有時稱作消息摘要函數,雜湊函數又稱散列函數或哈希函數)不一定使用到鑰匙,但和許多重要的密碼演算法相關。它將輸入資料(通常是一整份文件)輸出成較短的固定長度雜湊值,這個過程是單向的,逆向操作難以完成,而且碰撞(兩個不同的輸入產生相同的雜湊值)發生的機率非常小。
信息認證碼或押碼(Message authentication codes, MACs)很類似密碼雜湊函數,除了接收方額外使用秘密鑰匙來認證雜湊值。
公開密鑰密碼體系(Public Key Infranstructures, PKI)
公開密鑰密碼體系,簡稱公鑰密碼體系,又稱非對稱密鑰密碼體系,相對於對稱密鑰密碼體系,最大的特點在於加密和解密使用不同的密鑰。
在對稱密鑰密碼體系中,加密和解密使用相同的密鑰,也許對不同的信息使用不同的密鑰,但都面臨密鑰管理的難題。由於每對通訊方都必須使用異於他組的密鑰,當網路成員的數量增加時,密鑰數量成二次方增加。更尷尬的難題是:當安全的通道不存在於雙方時,如何建立一個共有的密鑰以利安全的通訊?如果有通道可以安全地建立密鑰,何不使用現有的通道。這個『雞生蛋、蛋生雞』的矛盾是長年以來密碼學無法在真實世界應用的阻礙。
1976年, 美國學者Whitfield Diffie與Martin Hellman發表開創性的論文,提出公開密鑰密碼體系的概念:一對不同值但數學相關的密鑰,公開鑰匙(或公鑰, public key)與私密鑰匙(私鑰,private key or secret key)。在公鑰系統中,由公開密鑰推算出配對的私密密鑰於計算上是不可行的。歷史學者David Kahn這樣描述公開密鑰密碼學;「從文藝復興的多字元取代法後最革命性的概念。」在公鑰系統中,公鑰可以隨意流傳,但私鑰只有該人擁有。典型的用法是,其他人用公鑰來加密給該接受者,接受者使用自己的私鑰解密。Diffie與Hellman也展示了如何利用公開鑰匙密碼學來達成Diffie-Hellman鑰匙交換協定。
1978年,MIT的Ron Rivest、Adi Shamir和Len Adleman發明另一個公開密鑰系統,RSA。
直到1997年的公開文件中大眾才知道,早在1970年代早期,英國情報機構GCHQ的數學家James H. Ellis便已發明非對稱密鑰密碼學,而且Diffie-Hellman與RSA都曾被Malcolm J. Williamson與Clifford Cocks分別發明於前。 這兩個最早的公鑰系統提供優良的加密法基礎,因而被大量使用。其他公鑰系統還有Cramer-Shoup、Elgamal、以及橢圓曲線密碼學等等。
除了加密外,公開密鑰密碼學最顯著的成就是實現了數字簽名。數字簽名名符其實是普通簽章的數位化,他們的特性都是某人可以輕易製造簽章,但他人卻難以仿冒。數字簽名可以永久地與被簽署信息結合,無法自信息上移除。數字簽名大致包含兩個演算法:一個是簽署,使用私密密鑰處理信息或信息的雜湊值而產生簽章;另一個是驗證,使用公開鑰匙驗證簽章的真實性。RSA和DSA是兩種最流行的數字簽名機制。數字簽名是公開密鑰
基礎建設(public key infranstructures, PKI)以及許多網路安全機制(SSL/TLS, VPNs等)的基礎。
公開密鑰的演算法大多基於計算復雜度上的難題,通常來自於數論。例如,RSA源於整數因子分解問題;DSA源於離散對數問題。近年發展快速的橢圓曲線密碼學則基於和橢圓曲線相關的數學難題,與離散對數相當。由於這些底層的問題多涉及模數乘法或指數運算,相對於分組密碼需要更多計算資源。因此,公開密鑰系統通常是復合式的,內含一個高效率的對稱密鑰演算法,用以加密信息,再以公開密鑰加密對稱鑰匙系統所使用的鑰匙,以增進效率。
基於身份認證密碼體系( Identity-Based Cryptograph, IBC)
在1984年以色列科學家Shamir提出了基於標識的密碼系統的概念(IBC)。在基於標識的系統中,每個實體具有一個標識。該標識可以是任何有意義的字元串。但和傳統公鑰系統最大的不同是,在基於標識的系統中,實體的標識本身就是實體的公開密鑰。由於標識本身就是實體的公鑰,這類系統就不再依賴證書和證書管理系統如PKI,從而極大地簡化了管理密碼系統的復雜性。在提出IBC概念的同時,Shamir提出了一個採用RSA演算法的基於標識的簽名演算法(IBS)。但是基於標識的加密演算法(IBC)長時期未能找到有效解決方法。
在2000年,三位日本密碼學家R. Sakai, K. Ohgishi 和 M. Kasahara提出了使用橢圓曲線上的pairing設計基於標識的密碼系統的思路。在該論文中他們提出了一種無交互的基於標識的密鑰生成協議. 在該系統中,他們設計了一種可用於基於標識的密碼系統中的系統初始化方法和密碼生成演算法。
在2001年,D. Boneh和M. Franklin , R. Sakai, K. Ohgishi 和 M. Kasahara 以及C. Cocks 分別提出了三個基於標識的加密演算法。前兩個都是採用橢圓曲線上pairing的演算法。第三種演算法利用平方剩餘難問題。前兩種演算法都採用了與中相同的思路初試化系統並生成用戶的私鑰。由於D. Boneh和M. Franklin提出的IBC (BF-IBC)的安全性可以證明並且有較好的效率,所以引起了極大的反響。
基於標識的密碼技術在過去幾年中得到快速發展。研究人員設計了大量的新密碼系統。隨著應用的逐漸廣泛,相應演算法的標准化工作也在逐步展開。IEEE P1363.3的基於標識的密碼技術工作組正在進行相關演算法的標准化工作 。ISO/IEC已經標准化了兩個基於標識的簽名演算法。
2007年,中國國家密碼局組織了國家標識密碼體系IBC標准規范( Identity-Based Cryptograph, IBC)的編寫和評審工作。由五位院士和來自黨政軍、科研院所的密碼專家組成了評審組,對該標准規范在安全性、可靠性、實用性和創新性等方面進行了多次嚴格審查, 2007年12月16日國家IBC標准正式通過了評審。專家們一致認定,該標准擁有獨立知識產權,屬於國內首創,達到了國際領先水平,並已逐步開始應用在智能密鑰、加密郵件、網路安全設備等產品中中。
有關的法律禁令
[編輯本段]
密碼技術長期以來都是情報或司法機構的興趣。由於這些單位的隱密性以及禁令後個人隱私的減少,密碼技術也是人權支持者關心的焦點。環繞密碼技術的法律議題已有很長的歷史,特別是在可以執行高品質密碼的廉價計算機問世後。
在某些國家甚至本國的密碼技術應用也受到了限制:
直到1999年,法國仍然限制國內密碼技術的使用。
在中國,使用密碼技術需要申請執照。
許多國家有更嚴格的限制,例如白俄羅斯、哈薩克、蒙古、巴基斯坦、俄羅斯、新加坡、突尼西亞、委內瑞拉和越南。
在美國,國內密碼技術的使用是合法的,但仍然有許多法律沖突。
一個特別重要的議題是密碼軟體與硬體的出口管制。由於密碼分析在二戰時期扮演的重要腳色,也期待密碼學可以持續在國家安全上效力,許多西方國家政府嚴格規范密碼學的出口。二戰之後,在美國散布加密科技到國外曾是違法的。事實上,加密技術曾被視為軍需品,就像坦克與核武。直到個人電腦和網際網路問世後情況才改變。好的密碼學與壞的密碼學對絕大部分使用者來說是沒有差別的,其實多數情況下,大部分現行密碼技術普遍緩慢而且易出錯。然而當網際網路與個人電腦日益成長,優良的加密技術逐漸廣為人知。可見出口管制將成為商務與研究上的阻礙。
密碼技術在中國的發展狀況
[編輯本段]
我國信息網路安全研究歷經了通信保密、數據保護兩個階段,正在進入網路信息安全研究階段,現已開發研製出防火牆、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟體等。但因信息網路安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網路安全的方案,目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體。
防火牆技術
防火牆技術,最初是針對 Internet 網路不安全因素所採取的一種保護措施。顧名思義,防火牆就是用來阻擋外部不安全因素影響的內部網路屏障,其目的就是防止外部網路用戶未經授權的訪問。目前,防火牆採取的技術,主要是包過濾、應用網關、子網屏蔽等。
防火牆的定義
[編輯本段]
所謂防火牆指的是一個有軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成,
防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的較少,例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。
防火牆的功能
[編輯本段]
防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
為什麼使用防火牆?
[編輯本段]
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
防火牆的類型
[編輯本段]
防火牆有不同類型。一個防火牆可以是硬體自身的一部分,你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行,該機器作為它背後網路中所有計算機的代理和防火牆。最後,直接連在網際網路的機器可以使用個人防火牆。
防火牆的概念
[編輯本段]
當然,既然打算由淺入深的來了解,就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網路中,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火牆的功能
[編輯本段]
防火牆是網路安全的屏障:
一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
防火牆可以強化網路安全策略:
通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
對網路存取和訪問進行監控審計:
如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄:
通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。
除了安全作用,防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN(虛擬專用網)。
防火牆的英文名為「FireWall」,它是目前一種最重要的網路防護設備。從專業角度講,防火牆是位於兩個(或多個)網路間,實施網路之間訪問控制的一組組件集合。
防火牆在網路中經常是以下圖所示的兩種圖標出現的。左邊那個圖標非常形象,真正像一堵牆一樣。而右邊那個圖標則是從防火牆的過濾機制來形象化的,在圖標中有一個二極體圖標。而二極體我們知道,它具有單向導電性,這樣也就形象地說明了防火牆具有單向導通性。這看起來與現在防火牆過濾機制有些矛盾,不過它卻完全體現了防火牆初期的設計思想,同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的,而對外部網路卻總是不信任的,所以最初的防火牆是只對外部進來的通信進行過濾,而對內部網路用戶發出的通信不作限制。當然目前的防火牆在過濾機制上有所改變,不僅對外部網路發出的通信連接要進行過濾,對內部網路用戶發出的部分連接請求和數據包同樣需要過濾,但防火牆仍只對符合安全策略的通信通過,也可以說具有「單向導通」性。
防火牆的本義是指古代構築和使用木製結構房屋的時候,為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護構築物就被稱之為「防火牆」。其實與防火牆一起起作用的就是「門」。如果沒有門,各房間的人如何溝通呢,這些房間的人又如何進去呢?當火災發生時,這些人又如何逃離現場呢?這個門就相當於我們這里所講的防火牆的「安全策略」,所以在此我們所說的防火牆實際並不是一堵實心牆,而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信,在這些小孔中安裝了過濾機制,也就是上面所介紹的「單向導通性」。
2、電子商務中常見的網路安全問題有哪些
電子商務中的網路安全問題:
防火牆技術:防火牆(Firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網路之間的訪問控制,防止外部網路進入內部網路;
加密技術:數據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防範策略。數據加密就是按照確定的密碼演算法將敏感的明文數據變換成難以識別的密文數據;
數字簽名技術:數字簽名(DigitalSignature)技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術;
數字時間戳技術:在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。
電子商務中存在以下安全威脅:
1.黑客攻擊
黑客攻擊是指黑客非法進入網路,非法使用網路資源。隨著互聯網的發展,黑客攻擊也是經常發生,防不勝防,黑客利用網上的任何漏洞和缺陷修改網頁、非法進入主機、竊取信息等進行相關危害活動。2003年,僅美國國防部的"五角大樓"就受到了了230萬次對其網路的嘗試性攻擊。從這里可以看出,目前黑客攻擊已成為了電子商務中計算機網路的重要安全威脅。
2.計算機病毒的攻擊
病毒是能夠破壞計算機系統正常進行,具有傳染性的一段程序。隨著互聯網的發展,病毒利用互聯網,使得病毒的傳播速度大大加快,它侵入網路,破壞資源,成為了電子商務中計算機網路的又一重要安全威脅。
3.拒絕服務攻擊
拒絕服務攻擊(DoS)是一種破壞性的攻擊,它是一個用戶採用某種手段故意佔用大量的網路資源,使系統沒有剩餘資源為其他用戶提供服務的攻擊。目前具有代表性的拒絕服務攻擊手段包括SYNflood、ICMPflood、UDPflood等。隨著互聯網的發展,拒絕服務攻擊成為了網路安全中的重要威脅。
3、電子商務的安全應該怎麼做
一、提高服務的安全性
首先,應用防火牆技術。所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合。防火牆是近期發展起來的一種保護計算機網路安全的技術性措施,它是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型:包過濾防火牆、代理防火牆、雙穴主機防火牆。其次,應用網關技術。應用級網關是在網路應用層上建立協議過濾和轉發功能。它針對特定的網路應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、登記和統計,形成報告。應用網關對某些易於登錄和控制所有輸入輸出的通訊環境給予嚴格的控制,以防有價值的程序和數據被竊取。
二、數據加密技術
加密技術和身份認證技術是電子商務交易安全的基礎技術,加密技術用於對信息的加密,保證信息的機密性。數字簽名和數字信封技術應用了加密技術,建立在公共密鑰體制基礎上。數字簽名技術對信息進行數字簽名,保證信息的完整性和不可抵賴性。由於交易信息在傳輸過程中有可能遭到侵犯者的竊聽而失去機密性,加密技術是電子商務採取的主要保密安全措施,是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地後再用相同或不同的手段還原(解密)。加密包括兩個元素:演算法和密鑰。密鑰和演算法對加密同等重要。密鑰加密技術的密碼體制分為對稱密鑰體制和公共密鑰體制兩種。相應地,對數據加密的技術分為兩類,即對稱加密和非對稱加密。對稱加密以數據加密標准演算法為典型代表,非對稱加密通常以演算法為代表。如果不採用加密技術,則會影響電子商務的發展,或者成為發展的瓶頸。
三、完善管理機制
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防範是遠遠不夠的。安全方案的實施,離不開管理。信息安全意識的加強和培育是實現安全管理的必備條件。它的基本原則是:要求發生在系統中的行為都是有許可權的行為,並且符合程序控制的要求。從管理上完善機制,加強其有效性,往往可以解決許多技術層次解決不了的問題。
4、電子商務的四大風險類型
(一)消費者所面臨的風險(包括信息安全,財產安全等)。
(二)銷售商所面臨的風險(敵對商家惡意攻擊,數據被盜竊,銷售網路被黑客攻擊等)。
(三)企業所面臨的風險(企業內部網的風險,金融做空,金融詐騙,黑客攻擊,數據被盜等。
(四)市場所面臨的風險(由於基礎資產市場價格的不利變動或者急劇波動而導致衍生工具價格或者價值變動的風險)。
(4)防火牆技術在電子商務中的應用擴展資料:
風險的防範方法:
(一)消費者的風險防範
消費者的風險防範,歸納起來,主要應從下面三個方面加強。
(1)設定的密碼最好避免使用生日等容易被別人破譯的密碼號,而且要經常更改口令以減少被盜用的機率。
(2)在各種與網際網路相關的事務中,一定要堅持使用不同的口令。在不同的網址使用不同的密碼。而且,在選擇ISP時,應該注意選擇信譽好、可靠性高的公司。
(3)不要輕易將密碼告訴他人。尤其不要輕信系統管理員提出的需要你的賬號、密碼來維護系統的說法。
(4)對於黑客攻擊系統從而攫取消費者的信用卡數據所造成的信息泄密,消費者確實沒有什麼辦法,除非他在網上根本不運用任何信用卡信息。
(二)銷售商的風險防範
銷售商面臨的風險主要是數據被竊,這一點同企業的數據被竊類似,針對這一點,銷售商應該從加強自身網路的技術措施來加強風險防範,可採用後面提到的企業防範方法。
至於域名注冊方面的風險防範,要求銷售商加強域名的注冊,盡早確立組織自身在網路世界的合法地位,是避免域名糾紛的最佳防範措施。
(三)企業的風險防範
前面已經說到,企業的風險主要來自於內部和外部兩個方面。下面分別針對於這兩方面提出相應的防範措施。
1.企業內部網風險的防範。由於內部風險主要是由於企業員工對企業系統的攻擊所產生的,所以可採取以下手段:
(1)對企業的各種資料信息設置秘密等級,並予以明確的標識,分等級分別管理。也就是說,公司的高層人員、中層人員以及下層的工作人員所能夠看到的關於公司的資料應該是不同的。規定各個員工包括不同業務主管接觸秘密的許可權,每個員工不得接觸自己無權接觸密級的檔案資料。
(2)專人管理商業秘密,定崗定責,不能無人負責,上級主管應當定期予以監督檢查。
(3)要求員工對自己使用的密碼經常更換,不能給竊密者造成機會。
(4)採取加密措施。對於員工使用網路傳輸涉及商業秘密的文件、信息時,可以使用加密計算機程序,取得解密「鑰匙」。這種措施對於傳送文件、信息途中的竊取、竊聽以及員工因過失按錯送達對象按鈕,都可以有效保守秘密。
(5)對員工的個人情況,特別是對那些信息系統上的員工,要進行制度化的選拔與檢查。要將經過一定時間考察、責任心強、講原則、守紀律、業務能力強的人員派到各自崗位上。
2.企業之間風險的防範。針對企業之間進行電子商務交易時所面臨的風險,我們從技術上來防範這些風險:
(1)利用防火牆技術保證電子商務系統的安全。防火牆的目的是提供安全保護、控制和鑒別出入站點的各種訪問。它建立起網路通信的控制過濾機制從而有效保證交易的安全
(2)利用安全協議保證電子商務的安全。由於Intemet的開放性造成的在網路中傳輸的數據的公共性,為了保證網路傳輸過程中數據的安全,就必須要使用安全的通信協議以保證交易各方的安全。例如:可用S/MIME協議、S—HTTP協議、SSL協議等。
(3)利用身份認證技術保證電子商務系統的安全。由於電子商務是在網路中完成,交易各方不見面,為了保證每個參與者(銀行、企業)都能無誤地被識別,必須使用身份認證技術。
5、求論文一篇:計算機網路在電子商務中的應用
計算機網路在電子商務中的應用
摘要:隨著計算機網路技術的飛進發展,電子商務正得到越來越廣泛的應用。由於電子商務中的交易行為大多數都是在網上完成的, 因此電子商務的安全性是影響躉易雙方成敗的一個關鍵因素。本文從電子商務系統對計算機網路安全,商務交易安全性出發,介紹利用網路安全枝術解決安全問題的方法。
關鍵詞:計算機網路,電子商務安全技術
一. 引言
近幾年來.電子商務的發展十分迅速 電子商務可以降低成本.增加貿易機會,簡化貿易流通過程,提高生產力,改善物流和金流、商品流.信息流的環境與系統 雖然電子商務發展勢頭很強,但其貿易額所佔整個貿易額的比例仍然很低。影響其發展的首要因素是安全問題.網上的交易是一種非面對面交易,因此「交易安全「在電子商務的發展中十分重要。可以說.沒有安全就沒有電子商務。電子商務的安全從整體上可分為兩大部分.計算機網路安全和商務交易安全。計算機網路安全包括計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題,實施網路安全增強方案.以保證計算機網路自身的安全性為目標。商務安全則緊緊圍繞傳統商務在Interne'(上應用時產生的各種安全問題.在計算機網路安全的基礎上.如何保障電子商務過程的順利進行。即實現電子商務的保密性.完整性.可鑒別性.不可偽造性和不可依賴性。
二、電子商務網路的安全隱患
1竊取信息:由於未採用加密措施.數據信息在網路上以明文形式傳送.入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容.造成網上傳輸信息泄密
2.篡改信息:當入侵者掌握了信息的格式和規律後.通過各種技術手段和方法.將網路上傳送的信息數據在中途修改 然後再發向目的地。這種方法並不新鮮.在路由器或者網關上都可以做此類工作。
3假冒由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
4惡意破壞:由於攻擊者可以接入網路.則可能對網路中的信息進行修改.掌握網上的機要信息.甚至可以潛入網路內部.其後果是非常嚴重的。
三、電子商務交易中應用的網路安全技術
為了提高電子商務的安全性.可以採用多種網路安全技術和協議.這些技術和協議各自有一定的使用范圍,可以給電子商務交易活動提供不同程度的安全保障。
1.防火牆技術。防火牆是目前主要的網路安全設備。防火牆通常使用的安全控制手段主要有包過濾、狀態檢測、代理服務 由於它假設了網路的邊界和服務,對內部的非法訪問難以有效地控制。因此.最適合於相對獨立的與外部網路互連途徑有限、網路服務種類相對集中的單一網路(如常見的企業專用網) 防火牆的隔離技術決定了它在電子商務安全交易中的重要作用。目前.防火牆產品主要分為兩大類基於代理服務方式的和基於狀態檢測方式的。例如Check Poim Fi rewalI-1 4 0是基於Unix、WinNT平台上的軟體防火牆.屬狀態檢測型 Cisco PIX是硬體防火牆.也屬狀態檢測型。由於它採用了專用的操作系統.因此減少了黑客利用操作系統G)H攻擊的可能性:Raptor完全是基於代理技術的軟體防火牆 由於互聯網的開放性和復雜性.防火牆也有其固有的缺點(1)防火牆不能防範不經由防火牆的攻擊。例如.如果允許從受保護網內部不受限制地向外撥號.一些用戶可以形成與Interne'(的直接連接.從而繞過防火牆:造成一個潛在的後門攻擊渠道,所以應該保證內部網與外部網之間通道的唯一性。(2)防火牆不能防止感染了病毒的軟體或文件的傳輸.這只能在每台主機上裝反病毒的實時監控軟體。(3)防火牆不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到Interne'(主機上並被執行而發起攻擊時.就會發生數據驅動攻擊.所以對於來歷不明的數據要先進行殺毒或者程序編碼辨證,以防止帶有後門程序。
2.數據加密技術。防火牆技術是一種被動的防衛技術.它難以對電子商務活動中不安全的因素進行有效的防衛。因此.要保障電子商務的交易安全.就應當用當代密碼技術來助陣。加密技術是電子商務中採取的主要安全措施, 貿易方可根據需要在信息交換的階段使用。目前.加密技術分為兩類.即對稱加密/對稱密鑰加密/專用密鑰加密和非對稱加密/公開密鑰加密。現在許多機構運用PKI(punickey nfrastructur)的縮寫.即 公開密鑰體系」)技術實施構建完整的加密/簽名體系.更有效地解決上述難題.在充分利用互聯網實現資源共享的前提下從真正意義上確保了網上交易與信息傳遞的安全。在PKI中.密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開.而另一把則作為專用密鑰{解密密鑰)加以保存。公開密鑰用於對機密�6�11生息的加密.專用密鑰則用於對加信息的解密。專用密鑰只能由生成密鑰對的貿易方掌握.公開密鑰可廣泛發布.但它只對應用於生成該密鑰的貿易方。貿易方利用該方案實現機密信息交換的基本過程是 貿易方甲生成一對密鑰並將其中的一把作為公開密鑰向其他貿易方公開:得到該公開密鑰的貿易方乙使用該密鑰對機密信息進行加密後再發送給貿易方甲 貿易方甲再用自己保存的另一把專用密鑰對加密後的信息進行解密。貿易方甲只能用其專用密鑰解密由其公開密鑰加密後的任何信息。
3.身份認證技術。身份認證又稱為鑒別或確認,它通過驗證被認證對象的一個或多個參數的真實性與有效性 來證實被認證對象是否符合或是否有效的一種過程,用來確保數據的真實性。防止攻擊者假冒 篡改等。一般來說。用人的生理特徵參數f如指紋識別、虹膜識別)進行認證的安全性很高。但目前這種技術存在實現困難、成本很高的缺點。目前,計算機通信中採用的參數有口令、標識符 密鑰、隨機數等。而且一般使用基於證書的公鑰密碼體制(PK I)身份認證技術。要實現基於公鑰密碼演算法的身份認證需求。就必須建立一種信任及信任驗證機制。即每個網路上的實體必須有一個可以被驗證的數字標識 這就是 數字證書(Certifi2cate)」。數字證書是各實體在網上信息交流及商務交易活動中的身份證明。具有唯一性。證書基於公鑰密碼體制.它將用戶的公開密鑰同用戶本身的屬性(例如姓名,單位等)聯系在一起。這就意味著應有一個網上各方都信任的機構 專門負責對各個實體的身份進行審核,並簽發和管理數字證書,這個機構就是證書中心(certificate authorities.簡稱CA}。CA用自己的私鑰對所有的用戶屬性、證書屬性和用戶的公鑰進行數字簽名,產生用戶的數字證書。在基於證書的安全通信中.證書是證明用戶合法身份和提供用戶合法公鑰的憑證.是建立保密通信的基礎。因此,作為網路可信機構的證書管理設施 CA主要職能就是管理和維護它所簽發的證書 提供各種證書服務,包括:證書的簽發、更新 回收、歸檔等。
4.數字簽名技術。數字簽名也稱電子簽名 在信息安全包括身份認證,數據完整性、不可否認性以及匿名性等方面有重要應用。數字簽名是非對稱加密和數字摘要技術的聯合應用。其主要方式為:報文發送方從報文文本中生成一個1 28b it的散列值(或報文摘要),並用自己的專用密鑰對這個散列值進行加密 形成發送方的數字簽名:然後 這個數字簽名將作為報文的附件和報文一起發送給報文的接收方 報文接收方首先從接收到的原始報文中計算出1 28bit位的散列值(或報文摘要).接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密 如果兩個散列值相同 那麼接收方就能確認該數字簽名是發送方的.通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。
四、結束語
電子商務安全對計算機網路安全與商務安全提出了雙重要求.其復雜程度比大多數計算機網路都高。在電子商務的建設過程中涉及到許多安全技術問題 制定安全技術規則和實施安全技術手段不僅可以推動安全技術的發展,同時也促進安全的電子商務體系的形成。當然,任何一個安全技術都不會提供永遠和絕對的安全,因為網路在變化.應用在變化,入侵和破壞的手段也在變化,只有技術的不斷進步才是真正的安全保障。
參考文獻:
[1]肖滿梅 羅蘭娥:電子商務及其安全技術問題.湖南科技學院學報,2006,27
[2]豐洪才 管華 陳珂:電子商務的關鍵技術及其安全性分析.武漢工業學院學報 2004,2
[3]閻慧 王偉:寧宇鵬等編著.防火牆原理與技術[M]北京:機械工業出版杜 2004
6、電子商務對網上安全交易的基本要求
1、保障電子商務安全的網路技術
(1)電子商務交易中的防火牆技術。在電子商務交易安全中防火牆技術是比較成熟的安全保護措施,在電子商務安全保障措施中,防火牆技術主要使用了包過濾技術,防火牆技術在計算機使用者之間設置了保護的屏障,當網路在進行信息傳遞的時候防火牆會對信息進行監測分析,將不良數據過濾掉,防止各種病毒與木馬入侵到電腦中,對賣家與買家的電腦中存儲的信息進行破壞,安裝了防火牆之後,防火牆還可以保護用戶的登錄信息,對登陸信息進行加密、審計、過濾,還可以將登陸用戶的信息進行審核,防止他人頂替等。
(2)防火牆的功能主要體現。第一,防火牆對於消費者瀏覽的信息進行安全性分析,將存在不安全因素的信息攔截在防火牆之外,以此來確保信息的安全性;第二,防火牆具備了壁壘主機的功能,在壁壘主機的輔助下,電腦受到攻擊時所受到的損害最小,有效的防止了惡意進攻帶來的危害;第三,防火牆可以阻斷用戶瀏覽的不安全網頁,將攜帶病毒以及木馬的文件、電子郵件攔截在電腦之外。實踐表明,防火牆技術能夠有效的保證電子商務的安全性,能夠有效的攔截病毒以及木馬等。但是,隨著我國網路技術的不斷發展,防火牆的防範功能也明顯下降。因此,技術人員需要及時的更新防火牆,與信息的發展速度同步。
2、針對電子商務安全制定的相關法律
在信息技術時代,迅速發展的信息技術使得很多的人在電子商務模式的幫助下逐漸的發現了致富的快捷方法,隨著電子商務的熱門使用,簡單的交易秩序以及規則已經不能完全的控制電子商務的交易程序,所以制定相關的法律成為了保障電子商務安全的必要手段,在法律效力的約束下,電子商務的交易程序更加的規范化,安全保障的時候更加的方便,管理起來時效率更高。針對電子商務的發展形式,國際上制定了相關的法律條例保障電子商務的安全交易,針對網路上存在的計算機犯罪,加拿大在刑法中明確規定了具體的犯罪行為受到何種程度的懲罰,懲罰的力度與其他刑事犯罪相當,而美國則相繼頒布了《電腦欺詐和濫用法》、《電子通信隱私法》等等明文規定了電子商務交易中的違法行為以及受到的嚴重懲罰,而在我國雖然有關電子商務安全的法律條文並不是很完善,但是我國的立法部門依舊是對其十分重視的,將有關電子商務安全的法律條例個歸納在法律效力最高的刑法之中,以此表示了對電子商務交易安全的重視,並為經濟社會保障電子商務交易安全作出了強硬的後盾。
3、電子商務安全中的簽名認證技術
電子商務中,必須有效的保障交易中雙方的知情權,可以將傳統的交易中的簽名確認制度引進了電子商務交易中。所以簽名技術成為了電子商務安全的技術指標。交易中雙方的簽名形式不能被外界無關人員知曉,加密的形式只能由交易雙方知曉便於核對雙方的身份,不可以泄漏個第三方防止不法分析冒充進行網路詐騙。而在簽名加密中主要有兩種加密方法即:對稱式加密法和非對稱式加密法。對稱式加密方法是指交易雙方使用相同的演算法並了解特有的密鑰,從而呢剛剛得到的加密信息,且傳遞的過程不會被第三人看到,對稱式加密方法指的是交易雙方無論是傳遞者還是接收者都使用相同的密鑰解讀信息,如此便可以了解到信息的正確的內容,並確認交易的詳細信息,保障了信息傳遞的安全。而非對稱式加密法是交易雙方使用的密鑰都是一對一的,雙方只將手中的一方密鑰公開,另一方在收到信息之後,通過未公開的密鑰在一定的計算幫助下獲取到准確的信息,雖然公開密鑰可以被外界得知使用,但是私人密鑰只有一個人知曉,所以保障了交易信息在傳遞的時候是一對一的,信息的安全得到了進一步的保障。四、結語21世紀是一個信息化的時代,是以網路通信為基本特徵的,在這樣的發展形勢下,電子商務的產生可以說是必然的,在一定的程度上給人們的生活帶來了便利,同時也帶來了相應的問題,如何保障電子商務的交易是安全可靠的成為了一個技術以及法律還有信譽上的問題,為了更好的發展電子商務的便利,保障電子商務的安全成為了一個急於解決的的問題,本文著重闡述了在技術以及法律層面上的保障電子商務安全的措施。