電子商務(wù)安全精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的電子商務(wù)安全主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：電子商務(wù)安全范文

關(guān)鍵詞:移動(dòng)電子商務(wù)IEEE802.11WAPWPKI

隨著無(wú)線通信技術(shù)的發(fā)展,移動(dòng)電子商務(wù)已經(jīng)成為電子商務(wù)研究熱點(diǎn)。移動(dòng)電子商務(wù)是將現(xiàn)代信息科學(xué)技術(shù)和傳統(tǒng)商務(wù)活動(dòng)相結(jié)合,隨時(shí)隨地為用戶提供各種個(gè)性化的、定制的在線動(dòng)態(tài)商務(wù)服務(wù)。

但在無(wú)線世界里,人們對(duì)于進(jìn)行商務(wù)活動(dòng)安全性的考慮比在有線環(huán)境中要多。只有當(dāng)所有的用戶確信,通過(guò)無(wú)線方式所進(jìn)行的交易不會(huì)發(fā)生欺詐或篡改、進(jìn)行的交易受到法律的承認(rèn)和隱私信息被適當(dāng)?shù)谋Ｗo(hù)時(shí),移動(dòng)電子商務(wù)才有可能蓬勃開(kāi)展。

移動(dòng)電子商務(wù)通信安全的現(xiàn)狀

由于無(wú)線通訊接入方式非常靈活,所以其對(duì)安全的要求更高。實(shí)際上,主要的無(wú)線通信技術(shù)都有各自的措施、協(xié)議和方法來(lái)保證各自體制下的通信安全。這里我們將從無(wú)線網(wǎng)絡(luò)和電子商務(wù)應(yīng)用兩個(gè)方面作簡(jiǎn)要討論。

無(wú)線局域網(wǎng)

無(wú)線局域網(wǎng)絡(luò)是以無(wú)線連接至局域網(wǎng)絡(luò)的通訊方式。它采用的是IEEE802.11系列標(biāo)準(zhǔn)。在該標(biāo)準(zhǔn)中,無(wú)線局域網(wǎng)的安全機(jī)制采用的是WEP協(xié)議(有線對(duì)等安全協(xié)議)。在數(shù)據(jù)鏈路用WEP加密數(shù)據(jù),保證了信道上傳送數(shù)據(jù)的安全。另外,無(wú)線局域網(wǎng)的網(wǎng)絡(luò)管理員分配給每個(gè)授權(quán)用戶一個(gè)基于WEP算法的密鑰,這樣就有效阻止了非授權(quán)用戶的訪問(wèn)。

WAP(無(wú)線應(yīng)用協(xié)議)技術(shù)

WAP由一系列協(xié)議組成,用來(lái)標(biāo)準(zhǔn)化無(wú)線通信設(shè)備,例如:移動(dòng)電話、移動(dòng)終端;它負(fù)責(zé)將Internet和移動(dòng)通信網(wǎng)連接到一起,客觀上已成為移動(dòng)終端上網(wǎng)的標(biāo)準(zhǔn)。WAP協(xié)議可以廣泛地運(yùn)用于GSM、CDMA、TDMA、3G等多種網(wǎng)絡(luò)。

WAP的安全機(jī)制是通過(guò)WTLS(無(wú)線傳輸層安全)協(xié)議來(lái)實(shí)現(xiàn)的。WTLS協(xié)議類似于互聯(lián)網(wǎng)傳輸層安全協(xié)議。在無(wú)線技術(shù)的有限的發(fā)送功率、存儲(chǔ)容量及帶寬的條件下,WTLS能夠?qū)崿F(xiàn)鑒定,保證數(shù)據(jù)的完整性和提供保密服務(wù)的目標(biāo)。

數(shù)字認(rèn)證技術(shù)

對(duì)諸如移動(dòng)電子商務(wù)和有重要使命的合作通信等活動(dòng),其安全性的一個(gè)關(guān)鍵方面是能否對(duì)信息發(fā)送者的身份進(jìn)行論證,通常都要利用有線安全的公開(kāi)密鑰基本構(gòu)架(PKI)。

PKI提供與加密和數(shù)字證書(shū)有關(guān)的一系列技術(shù)。但在無(wú)線通信環(huán)境中,PKI是很難實(shí)現(xiàn)的。在只有有限計(jì)算能力和低數(shù)據(jù)流通率的設(shè)備上實(shí)現(xiàn)PKI中的服務(wù)一直是一個(gè)有挑戰(zhàn)性的難題。同時(shí)在PKI的基礎(chǔ)上,要將無(wú)線設(shè)備與有線設(shè)備之間進(jìn)行互通也是有難度的。因此無(wú)線PKI(WPKI)協(xié)議是要將標(biāo)準(zhǔn)的PKI進(jìn)行修正和簡(jiǎn)化,使其在無(wú)線通信的環(huán)境下達(dá)到最優(yōu)。

移動(dòng)電子商務(wù)安全分析

IEEE802.11的安全

IEEE802.11標(biāo)準(zhǔn)規(guī)定了MAC層的存取控制規(guī)范,也定義了加密機(jī)制,即上述的WEP。WEP的目的是通過(guò)對(duì)信息流加密并利用WEP認(rèn)證節(jié)點(diǎn),使無(wú)線通信傳輸像有線網(wǎng)絡(luò)一樣安全。

WEP加密使用共享密鑰和RC4加密算法。訪問(wèn)點(diǎn)(AP)和連接到該訪問(wèn)點(diǎn)的所有工作站必須使用同樣的共享密鑰。對(duì)于往任一方向發(fā)送的數(shù)據(jù)包,傳輸程序都將數(shù)據(jù)包的內(nèi)容與數(shù)據(jù)包的檢驗(yàn)組合在一起。然后,WEP標(biāo)準(zhǔn)要求傳輸程序創(chuàng)建一個(gè)特定于數(shù)據(jù)包的初始化向量(IV),后者與密鑰k相組合在一起,用于對(duì)數(shù)據(jù)包進(jìn)行加密。接收器生成自己的匹配數(shù)據(jù)包密鑰并用之對(duì)數(shù)據(jù)包進(jìn)行解密。在理論上,這種方法優(yōu)于單獨(dú)使用共享私鑰的顯式策略,應(yīng)該使對(duì)方更難于破解。

但是,IEEE802.11中用于安全的WEP算法只是提供相當(dāng)于有線局域網(wǎng)基本安全的安全級(jí)別,根本不是一種全面的安全方案。越來(lái)越多的安全專家和研究人員發(fā)現(xiàn)IEEE802.11存在安全漏洞,有經(jīng)驗(yàn)的黑客會(huì)利用這些漏洞進(jìn)行攻擊。其缺陷主要有:RC4算法本身就有一個(gè)小缺陷。WEP標(biāo)準(zhǔn)允許IV重復(fù)使用(平均大約每5小時(shí)重復(fù)一次)。WEP標(biāo)準(zhǔn)不提供自動(dòng)修改密鑰的方法。

最早的WEP實(shí)施只提供40位加密,這使得它抗暴力攻擊能力差。現(xiàn)代的系統(tǒng)提供128位的WEP,128位的密鑰長(zhǎng)度減去24位的IV后,實(shí)際上有效的密鑰長(zhǎng)度為104位。盡管如此,128位的WEP版本也不能保證絕對(duì)安全。最好的解決辦法是把無(wú)線網(wǎng)絡(luò)放在機(jī)構(gòu)防火墻之外,這種防范措施會(huì)強(qiáng)制要求將無(wú)線連接當(dāng)作不受信任的連接來(lái)看待,就像看待其他任何來(lái)自Internet的連接一樣。

所以,WEP應(yīng)該與其他安全機(jī)制一起應(yīng)用才能提供較強(qiáng)的安全。

WAP的安全

WAP規(guī)范的安全特性包括幾個(gè)部分:WTLS協(xié)議、用于存儲(chǔ)用戶證書(shū)的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。

WTLS協(xié)議:WTLS基于IETF小組的SSL/TLS協(xié)議,提供了實(shí)體鑒別、數(shù)據(jù)加密和保護(hù)數(shù)據(jù)完整性的功能,所以可以確保在WAP裝置和WAP網(wǎng)關(guān)之間的安全通信。有三種不同級(jí)別的WTLS:

1級(jí):執(zhí)行未經(jīng)證實(shí)的Diffie-Hellman密鑰交換以建立會(huì)話密鑰。

2級(jí):使用與SSL/TLS協(xié)議相類似的公開(kāi)密鑰證書(shū)機(jī)制進(jìn)行服務(wù)器端鑒別。

3級(jí):客戶端和服務(wù)器端采用X.509格式證書(shū)相互進(jìn)行鑒別。

早期WAP裝置僅僅采用了第1級(jí)別的WTLS,這種級(jí)別的安全不夠,所以不能用于電子商務(wù)。目前,支持第2和第3級(jí)別WTLS的移動(dòng)裝置從市場(chǎng)上可以得到,它們可以確保網(wǎng)上銀行交易和購(gòu)物等應(yīng)用的機(jī)密性。

WIM:為了便于客戶端的鑒別,新一代的WAP電話提供了WIM。WIM包含了WTLS3級(jí)的功能,并嵌入了對(duì)公開(kāi)密鑰加密技術(shù)的支持(RSA是強(qiáng)制的,而ECC是可選的)。生產(chǎn)廠家為WIM配備了兩套公私密鑰對(duì)(一套用于簽名,另一套用于鑒別)和兩個(gè)廠商的證書(shū)。用配置在WIM上的公匙把廠商的證書(shū)和廠商名字捆綁在一起。這樣,通過(guò)WIM和WAP網(wǎng)關(guān)建立的所有WTLS會(huì)話都將使用相同的公匙用作初始會(huì)話。每一個(gè)會(huì)話都將包括與此密鑰對(duì)應(yīng)的一個(gè)不同的證書(shū)。WIM的基本要求是它們要具有抗篡改的能力。

SignText功能:這個(gè)功能為WAP用戶提供了數(shù)字簽名。同電子簽名功能一樣,這個(gè)功能可以被應(yīng)用于其他無(wú)線設(shè)備,或者是手持設(shè)備,或者是內(nèi)嵌SIM卡。

WAP的安全分析:由WAP提供的最好的安全是WTLS3級(jí),多數(shù)情況下WTLS已足以確保WAP的安全。但是,由于WAP網(wǎng)關(guān)在WAP設(shè)備和Web服務(wù)器之間起著翻譯的作用,相應(yīng)的帶來(lái)了安全問(wèn)題:WTLS安全會(huì)話建立在手機(jī)與WAP網(wǎng)關(guān)之間,而與終端服務(wù)器無(wú)關(guān)。這意味著數(shù)據(jù)只在WAP手機(jī)與網(wǎng)關(guān)之間加密,網(wǎng)關(guān)將數(shù)據(jù)解密后,利用其他方法將數(shù)據(jù)再次加密,然后經(jīng)過(guò)TLS連接發(fā)送給終端服務(wù)器。由于WAP網(wǎng)關(guān)可以看見(jiàn)所有的數(shù)據(jù)明文,而該WAP網(wǎng)關(guān)可能并不為服務(wù)器所有者所擁有,這樣,潛在的第三方可能獲得所有的傳輸數(shù)據(jù)。

目前,針對(duì)上述安全性問(wèn)題,可以采用這樣的措施來(lái)提高WAP的安全性:盡力確保WAP網(wǎng)關(guān)的安全。如果WAP網(wǎng)關(guān)位于WAP服務(wù)供應(yīng)商范圍之內(nèi),可以通過(guò)諸如在內(nèi)存中對(duì)加密和解密過(guò)程進(jìn)行最優(yōu)化以減少數(shù)據(jù)明文存在的時(shí)間、在釋放前覆蓋加密解密進(jìn)程使用的內(nèi)存以確保數(shù)據(jù)的安全性。對(duì)于安全要求較高的公司可以擁有自己的WAP網(wǎng)關(guān),從而保障數(shù)據(jù)端到端的安全性。通過(guò)WIM實(shí)現(xiàn)數(shù)據(jù)安全性。

WPKI技術(shù)

在有線通信中,電子商務(wù)交易的一個(gè)重要安全保障是PKI。PKI的系統(tǒng)概念、安全操作流程、密鑰、證書(shū)等同樣也適用于解決移動(dòng)電子商務(wù)交易的安全問(wèn)題,但在應(yīng)用PKI的同時(shí)要考慮到移動(dòng)通信環(huán)境的特點(diǎn),并據(jù)此對(duì)PKI技術(shù)進(jìn)行改進(jìn)。

WPKI技術(shù)滿足移動(dòng)電子商務(wù)安全的要求:即保密性、完整性、真實(shí)性、不可抵賴性,消除了用戶在交易中的風(fēng)險(xiǎn)。WPKI技術(shù)主要包含以下幾個(gè)方面:

認(rèn)證機(jī)構(gòu)(CA)CA系統(tǒng)是PKI的信任基礎(chǔ),負(fù)責(zé)分發(fā)和驗(yàn)證數(shù)字證書(shū),規(guī)定證書(shū)的有效期,證書(shū)廢除列表。

注冊(cè)機(jī)構(gòu)(RA)RA提供用戶和CA之間的一個(gè)接口。作為認(rèn)證機(jī)構(gòu)的校驗(yàn)者,在數(shù)字證書(shū)分發(fā)給請(qǐng)求者之前對(duì)證書(shū)進(jìn)行驗(yàn)證。

智能卡智能卡將具有存儲(chǔ)、加密及數(shù)據(jù)處理能力的集成電路芯片鑲嵌于塑料基片中,具有體積小、難于破解等特點(diǎn),在生產(chǎn)過(guò)程、訪問(wèn)控制方面有很強(qiáng)的安全保障。很多種需要客戶端認(rèn)證的應(yīng)用都可以使用智能卡來(lái)實(shí)現(xiàn)。并且智能卡也是存儲(chǔ)移動(dòng)電子商務(wù)密鑰及相關(guān)數(shù)字證書(shū)的最佳選擇。

加密算法加密算法越復(fù)雜,密鑰越長(zhǎng)則安全性越高,但執(zhí)行運(yùn)算所需的時(shí)間也越長(zhǎng)(或需要計(jì)算能力更強(qiáng)的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有協(xié)處理器的芯片。而ECC使用較短的密鑰就可以達(dá)到和RSA算法相同的加密強(qiáng)度。由于智能卡受CPU處理能力和RAM大小的限制,因而采用一種運(yùn)算量小同時(shí)能提供高加密強(qiáng)度的公鑰密碼體制對(duì)在智能卡上實(shí)現(xiàn)數(shù)字簽名應(yīng)用是至關(guān)重要的,ECC在這方面具有很大的優(yōu)勢(shì)。

綜上所述,在WPKI機(jī)制下,數(shù)字證書(shū)非常重要,但是由于無(wú)線信道和移動(dòng)終端的限制,如何安全、便捷地交換用戶的數(shù)字證書(shū)是WPKI所必須解決的問(wèn)題?？梢圆捎靡韵?種辦法解決:WTLS證書(shū),WTLS證書(shū)的功能與X.509證書(shū)相同,但更小、更簡(jiǎn)化,利于在資源受限的手持終端中處理。但所有證書(shū)必須含有與密鑰交換算法相一致的密鑰,除非特別指定,簽名算法必須與證書(shū)中密鑰的算法相同:移動(dòng)證書(shū)標(biāo)識(shí),將標(biāo)準(zhǔn)的一個(gè)X.509證書(shū)與移動(dòng)證書(shū)標(biāo)識(shí)唯一對(duì)應(yīng),并且在移動(dòng)終端中嵌入移動(dòng)證書(shū)標(biāo)識(shí),用戶每次只需要將自己的移動(dòng)證書(shū)標(biāo)識(shí)與簽名數(shù)據(jù)一起提交給對(duì)方,對(duì)方再根據(jù)移動(dòng)證書(shū)標(biāo)識(shí)檢索相應(yīng)的數(shù)字證書(shū)即可。

目前,大多數(shù)移動(dòng)電子商務(wù)采用的安全方式是非PKI的方式,這種方式主要采用對(duì)稱加密算法和單向散列函數(shù)來(lái)提供安全服務(wù),其密鑰的管理是由移動(dòng)運(yùn)營(yíng)商建立一套主密鑰管理系統(tǒng),為不同的服務(wù)提供商分配不同的密鑰,每次交易過(guò)程中,服務(wù)提供商與用戶協(xié)商產(chǎn)生會(huì)話加密密鑰。顯然,采用這種方式構(gòu)建的系統(tǒng)的安全性主要取決于主密鑰的安全。

盡管非PKI方式對(duì)于無(wú)線終端有限的處理能力來(lái)說(shuō)尤其適合,而且通過(guò)黑名單管理等方法可以使系統(tǒng)的安全得到較好的保障,但是從長(zhǎng)遠(yuǎn)來(lái)說(shuō),移動(dòng)電子商務(wù)有必要逐步過(guò)渡到PKI方式。

移動(dòng)電子商務(wù)隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的成熟發(fā)展迅速,其獨(dú)特的應(yīng)用領(lǐng)域使得其安全問(wèn)題倍受關(guān)注。從技術(shù)角度上看,一方面無(wú)線通信的安全處在不斷地發(fā)展和完善之中,其應(yīng)用到移動(dòng)電子商務(wù)中時(shí)要與其它的安全機(jī)制相結(jié)合才能滿足實(shí)際應(yīng)用的需要;另一方面有線電子商務(wù)的安全技術(shù)不能解決移動(dòng)電子商務(wù)的安全問(wèn)題,所以WPKI技術(shù)是一個(gè)現(xiàn)實(shí)的選擇。因此,將這兩方面進(jìn)行改進(jìn)并進(jìn)行有機(jī)整合,才能營(yíng)造一個(gè)安全的移動(dòng)電子商務(wù)環(huán)境。

參考文獻(xiàn):

1.儲(chǔ)節(jié)旺,郭春俠.移動(dòng)電子商務(wù)研究[J].現(xiàn)代情報(bào),2002,3(3)

2.姜志,聶志鋒.移動(dòng)電子商務(wù)及其關(guān)鍵技術(shù)[J].湖北郵電技術(shù),2002,9(3)

第2篇：電子商務(wù)安全范文

關(guān)鍵詞：電子商務(wù)安全套接層協(xié)議安全電子交易認(rèn)證中心

1電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國(guó)迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過(guò)程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來(lái)看,傳統(tǒng)的買賣雙方是面對(duì)面的,因此較容易保證交易過(guò)程的安全性和建立起信任關(guān)系。但在電子商務(wù)過(guò)程中，買賣雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。電子商務(wù)交易雙方（銷售者和消費(fèi)者）都面臨安全威脅。電子商務(wù)的安全要素主要體現(xiàn)在以下幾個(gè)方面：

信息有效性、真實(shí)性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

信息完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^；不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書(shū)面文件上手寫(xiě)簽名或印章來(lái)鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無(wú)紙化的電子商務(wù)方式下，通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在1nternet上每個(gè)人都是匿名的。原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

2電子商務(wù)的安全技術(shù)討論

2．1電子商務(wù)的安全技術(shù)之一-----數(shù)據(jù)加密技術(shù)

加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。

面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過(guò)加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。在網(wǎng)絡(luò)層上實(shí)現(xiàn)的加密技術(shù)對(duì)于網(wǎng)絡(luò)應(yīng)用層的用戶通常是透明的。此外，通過(guò)適當(dāng)?shù)拿荑€管理機(jī)制，使用這一方法還可以在公用的互聯(lián)網(wǎng)絡(luò)上建立虛擬專用網(wǎng)絡(luò)并保障虛擬專用網(wǎng)上信息的安全性。

面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法，例如使用kerberos服務(wù)的telnet、nfs、rlogion等，以及用作電子郵件加密的pem（privacyenhancedmail）和pgp（prettygoodprivacy）。這一類加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對(duì)較為簡(jiǎn)單，不需要對(duì)電子信息（數(shù)據(jù)包）所經(jīng)過(guò)的網(wǎng)絡(luò)的安全性能提出特殊要求，對(duì)電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。

1）常用的加密技術(shù)分類：

對(duì)稱密鑰密碼算法

對(duì)稱（傳統(tǒng)）密碼體制是從傳統(tǒng)的簡(jiǎn)單換位代替密碼發(fā)展而來(lái)的，自1977年美國(guó)頒布des密碼算法作為美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)以來(lái)，對(duì)稱密鑰密碼體制得到了迅猛發(fā)展，得到了世界各國(guó)關(guān)注和使用。對(duì)稱密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類。

不對(duì)稱型加密算法

也稱公用密鑰算法，其特點(diǎn)是有二個(gè)密鑰即公用密鑰和私有密鑰，只有二者配合使用才能完成加密和解密的全過(guò)程。

由于不對(duì)稱算法擁有二個(gè)密鑰，因此它特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密，在Internet中得到了廣泛應(yīng)用。其中公用密鑰在網(wǎng)上公布，為數(shù)據(jù)源對(duì)數(shù)據(jù)加密使用，而用于解密的相應(yīng)私有密鑰則由數(shù)據(jù)的收信方妥善保管。

不可逆加密算法

其特征是加密過(guò)程不需要密鑰，并且經(jīng)過(guò)加密的數(shù)據(jù)無(wú)法被解密，只有同樣的輸入數(shù)據(jù)經(jīng)過(guò)同樣的不可逆加密算法才能得到相同的加密數(shù)據(jù)。不可逆加密算法不存在密鑰保管和分發(fā)問(wèn)題，適合于分布式網(wǎng)絡(luò)系統(tǒng)上使用，但是其加密計(jì)算工作量大，所以通常用于數(shù)據(jù)量有限的情形的加密，例如計(jì)算機(jī)系統(tǒng)中的口令的加密。

2）電子商務(wù)領(lǐng)域常用的加密技術(shù)

數(shù)字摘要(digitaldigest)

這一加密方法亦稱安全Hash編碼法，由RonRivest所設(shè)計(jì)。該編碼法采用單向Hash函數(shù)將需加密的明文"摘要"成一串128bit的密文，這一串密文亦稱為數(shù)字指紋(FingerPrint)，它有固定的長(zhǎng)度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗(yàn)證明文是否是"真身"的"指紋"了。

數(shù)字簽名(digitalsignature)

數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來(lái)使用。在書(shū)面文件上簽名是確認(rèn)文件的一種手段，簽名的作用有兩點(diǎn)，一是因?yàn)樽约旱暮灻y以否認(rèn)，從而確認(rèn)了文件已簽署這一事實(shí)；二是因?yàn)楹灻灰追旅?，從而確定了文件是真的這一事實(shí)。

數(shù)字時(shí)間戳(digitaltime-stamp)

交易文件中，時(shí)間是十分重要的信息。在書(shū)面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。在電子交易中，同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。

數(shù)字時(shí)間戳服務(wù)(DTS)是網(wǎng)上安全服務(wù)項(xiàng)目，由專門的機(jī)構(gòu)提供。時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：1)需加時(shí)間戳的文件的摘要(digest),2)DTS收到文件的日期和時(shí)間，3)DTS的數(shù)字簽名。

數(shù)字證書(shū)(digitalcertificate,digitalID)

數(shù)字證書(shū)又稱為數(shù)字憑證，是用電子手段來(lái)證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問(wèn)的權(quán)限。

數(shù)字憑證有三種類型：

·個(gè)人憑證(PersonalDigitalID)

·企業(yè)（服務(wù)器）憑證(ServerID)

·軟件（開(kāi)發(fā)者）憑證(DeveloperID)

上述三類憑證中前二類是常用的憑證，第三類則用于較特殊的場(chǎng)合，大部分認(rèn)證中心提供前兩類憑證。

3）與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論：

SSL協(xié)議（SecureSocketsLayer）安全套接層協(xié)議

------面向連接的協(xié)議，當(dāng)初不是為電子商務(wù)而設(shè)計(jì)

SSL協(xié)議主要是使用公開(kāi)密鑰體制和X.509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴性，主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用WebServer方式。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如HTTP、FTP、TELNET等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴SL協(xié)議獨(dú)立于應(yīng)用層協(xié)議，因此，在電子交易中被用來(lái)安全傳送信用卡號(hào)碼。

SSL的應(yīng)用及局限：中國(guó)目前多家銀行均采用SSL協(xié)議，從目前實(shí)際使用的情況來(lái)看，SSL還是人們最信賴的協(xié)議。但是SSL當(dāng)初并不是為支持電子商務(wù)而設(shè)計(jì)的，所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端。它是一個(gè)面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系；還有，購(gòu)貨時(shí)用戶要輸入通信地址，這樣將可能使得用戶收到大量垃圾信件。

SET協(xié)議（SecureElectronicTransaction）安全電子交易

------專門為電子商務(wù)而設(shè)計(jì)的協(xié)議，但仍然不能解決電子商務(wù)所遇到全部問(wèn)題

電子商務(wù)在提供機(jī)遇和便利的同時(shí)，也面臨著一個(gè)最大的挑戰(zhàn)，即交易的安全問(wèn)題。在網(wǎng)上購(gòu)物的環(huán)境中，持卡人希望在交易中保密自己的帳戶信息，使之不被人盜用；商家則希望客戶的定單不可抵賴，并且，在交易過(guò)程中，交易各方都希望驗(yàn)明其他方的身份，以防止被欺騙。針對(duì)這種情況，由美國(guó)Visa和MasterCard兩大信用卡組織聯(lián)合國(guó)際上多家科技機(jī)構(gòu)，共同制定了應(yīng)用于Internet上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全標(biāo)準(zhǔn)，這就是"安全電子交易"（SET）。它采用公鑰密碼體制和X.509數(shù)字證書(shū)標(biāo)準(zhǔn)，主要應(yīng)用于保障網(wǎng)上購(gòu)物信息的安全性。由于SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性，特別是保證不將消費(fèi)者銀行卡號(hào)暴露給商家等優(yōu)點(diǎn)，因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國(guó)際安全標(biāo)準(zhǔn)。

SET的局限性：SET是專門為電子商務(wù)而設(shè)計(jì)的協(xié)議，雖然它在很多方面優(yōu)于SSL協(xié)議，但仍然不能解決電子商務(wù)所遇到的全部問(wèn)題。

2.2電子商務(wù)的安全技術(shù)之二------身份認(rèn)證技術(shù)

為解決Internet的安全問(wèn)題，世界各國(guó)對(duì)其進(jìn)行了多年的研究，初步形成了一套完整的Internet安全解決方案，即目前被廣泛采用的PKI（PublicKeyInfrastructure公鑰基礎(chǔ)設(shè)施）體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書(shū)管理公鑰，通過(guò)第三方的可信機(jī)構(gòu)CA，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息（如名稱、e-mail、身份證號(hào)等）捆綁在一起，在Internet網(wǎng)上驗(yàn)證用戶的身份，PKI體系結(jié)構(gòu)把公鑰密碼和對(duì)稱密碼結(jié)合起來(lái)，在Internet網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理，保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。

在電子交易中，無(wú)論是數(shù)字時(shí)間戳服務(wù)(DTS)還是數(shù)字證書(shū)(DigitalID)的發(fā)放，都不是靠交易的自己能完成的，而需要有一個(gè)具有權(quán)威性和公正性的第三方(thirdparty)來(lái)完成。認(rèn)證中心(CertificateAuthority)就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書(shū)、并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字憑證的申請(qǐng)、簽發(fā)及對(duì)數(shù)字憑證的管理。認(rèn)證中心依據(jù)認(rèn)證操作規(guī)定(CertificationPracticeStatement)來(lái)實(shí)施服務(wù)操作。

1）認(rèn)證系統(tǒng)的基本原理

利用RSA公開(kāi)密鑰算法在密鑰自動(dòng)管理、數(shù)字簽名、身份識(shí)別等方面的特性，可建立一個(gè)為用戶的公開(kāi)密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)。這個(gè)可信的第三方認(rèn)證系統(tǒng)也稱為CA，CA為用戶發(fā)放電子證書(shū)，用戶之間（比如網(wǎng)銀服務(wù)器和某客戶之間）利用證書(shū)來(lái)保證信息安全性和雙方身份的合法性。

2）認(rèn)證系統(tǒng)結(jié)構(gòu)

整個(gè)系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境，系統(tǒng)從功能上基本可以劃分為CA、RA和WebPublisher。

核心系統(tǒng)根CA放在一個(gè)單獨(dú)的封閉空間中，為了保證運(yùn)行的絕對(duì)安全，其人員及制度都有嚴(yán)格的規(guī)定，并且系統(tǒng)設(shè)計(jì)為一離線網(wǎng)絡(luò)。CA的功能是在收到來(lái)自RA的證書(shū)請(qǐng)求時(shí)，頒發(fā)證書(shū)。一般的個(gè)人證書(shū)發(fā)放過(guò)程都是自動(dòng)進(jìn)行，無(wú)須人工干預(yù)。

證書(shū)的登記機(jī)構(gòu)RegisterAuthority，簡(jiǎn)稱RA，分散在各個(gè)網(wǎng)上銀行的地區(qū)中心。RA與網(wǎng)銀中心有機(jī)結(jié)合，接受客戶申請(qǐng)，并審批申請(qǐng)，把證書(shū)正式請(qǐng)求通過(guò)建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心。RA與CA雙方的通信報(bào)文也通過(guò)RSA進(jìn)行加密，確保安全。系統(tǒng)的分布式結(jié)構(gòu)適于新業(yè)務(wù)網(wǎng)點(diǎn)的開(kāi)設(shè)，具有較好的擴(kuò)充性。通信協(xié)議為TCP/IP。

證書(shū)的公布系統(tǒng)WebPublisher，簡(jiǎn)稱WP，置于Internet網(wǎng)上，是普通用戶和CA直接交流的界面。對(duì)用戶來(lái)講它相當(dāng)于一個(gè)在線的證書(shū)數(shù)據(jù)庫(kù)。用戶的證書(shū)由CA頒發(fā)之后，CA用E－mail通知用戶，然后用戶須用瀏覽器從這里下載證書(shū)。

證書(shū)鏈服務(wù)（有時(shí)也稱"交叉認(rèn)證"）是一個(gè)CA擴(kuò)展其信任范圍或被認(rèn)可范圍的一種實(shí)現(xiàn)機(jī)制。如果企業(yè)或機(jī)構(gòu)已經(jīng)建立了自己的CA系統(tǒng)，通過(guò)第三方認(rèn)證中心對(duì)該機(jī)構(gòu)或企業(yè)的CA簽發(fā)CA證書(shū)，能夠使得該企業(yè)或機(jī)構(gòu)的CA發(fā)放的證書(shū)被所有信任第三方認(rèn)證中心的瀏覽器、郵件客戶所信任。

3）中國(guó)金融認(rèn)證中心CFCA的建設(shè)情況

中國(guó)對(duì)電子商務(wù)的發(fā)展也給予了應(yīng)有的重視。中國(guó)金融認(rèn)證中心CFCA（ChinaFinancialCertificateAuthority）。已于2000年6月29日開(kāi)始對(duì)社會(huì)各界提供證書(shū)服務(wù)，系統(tǒng)進(jìn)入運(yùn)行狀態(tài)。中國(guó)金融認(rèn)證中心作為一個(gè)權(quán)威的、可信賴的、公正的第三方信任機(jī)構(gòu)，為參與電子商務(wù)各方的各種認(rèn)證需求提供證書(shū)服務(wù)，建立彼此的信任機(jī)制，為全國(guó)范圍內(nèi)的電子商務(wù)及網(wǎng)上銀行等網(wǎng)上支付業(yè)務(wù)提供多種模式的認(rèn)證服務(wù)，在不遠(yuǎn)的將來(lái)實(shí)現(xiàn)與國(guó)外CA的交叉認(rèn)證。

2．3電子商務(wù)的安全技術(shù)之三網(wǎng)上支付平臺(tái)及支付網(wǎng)關(guān)

網(wǎng)上支付平臺(tái)分為CTEC支付體系（基于CTCA/GDCS）和SET支付體系（基于CTCA/SET）。網(wǎng)上支付平臺(tái)支付型電子商務(wù)業(yè)務(wù)提供各種支付手段，包括基于SET標(biāo)準(zhǔn)的信用卡支付方式、以及符合CTEC標(biāo)準(zhǔn)的各種支付手段。

目前，在國(guó)內(nèi)可以提供網(wǎng)上支付功能服務(wù)或者網(wǎng)上支付網(wǎng)關(guān)接口的銀行有：

中國(guó)工商銀行牡丹卡中國(guó)銀行長(zhǎng)城借記卡

中國(guó)銀行長(zhǎng)城信用卡招商銀行一網(wǎng)通卡

中國(guó)建設(shè)銀行龍卡MASTER/VISA/JCB卡（適用全球）

上述除中國(guó)銀行長(zhǎng)城借記卡則采用了SET1.2的加密方式外，其余全部采用SSL-128加密方式。

支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間，其主要功能為：將公網(wǎng)傳來(lái)的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包；接收銀行系統(tǒng)內(nèi)部的傳回來(lái)的響應(yīng)消息，將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式，并對(duì)其進(jìn)行加密。即支付網(wǎng)關(guān)主要完成通信、協(xié)議轉(zhuǎn)換和數(shù)據(jù)加解密功能，并且可以保護(hù)銀行內(nèi)部網(wǎng)絡(luò)。此外，支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書(shū)管理等其它功能。

3小結(jié)

本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù)：數(shù)據(jù)加密技術(shù)，身份認(rèn)證技術(shù)，網(wǎng)上支付平臺(tái)及支付網(wǎng)關(guān)，指出了它們分別的使用范圍及其優(yōu)缺點(diǎn)，但必須強(qiáng)調(diào)說(shuō)明的是，電子商務(wù)的安全運(yùn)行，僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的，還必須完善電子商務(wù)立法，以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問(wèn)題，從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn)

1覃征編著.電子商務(wù)導(dǎo)論.第一版.北京：人民郵電出版社，2001

第3篇：電子商務(wù)安全范文

【關(guān)鍵詞】電子商務(wù)；安全；技術(shù)

1電子商務(wù)安全性需求

對(duì)于電子商務(wù)系統(tǒng)而言，系統(tǒng)的安全性，可靠性等一直是人們關(guān)注的問(wèn)題。為了保障網(wǎng)上交易安全順利的進(jìn)行，電子商務(wù)系統(tǒng)安全性要求可歸納為：(1)機(jī)密性要求。電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。而電子商務(wù)建立在一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境(Internet)上，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，必須保障交易信息在存取和傳輸過(guò)程中不被泄露給非授權(quán)的人或?qū)嶓w。(2)完整性要求。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略，因此電子交易的雙方數(shù)據(jù)的完整是電子商務(wù)的基礎(chǔ)。因此需防止對(duì)信息的隨意生成、修改和刪除，同時(shí)要防止數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)，并保障信息傳送的次序差的統(tǒng)一。(3)真實(shí)性要求。真實(shí)性是指網(wǎng)上交易雙方身份信息的真實(shí)性，從電子商務(wù)的形式上看，電子交易中參加交易的各方是不見(jiàn)面的，他們是通過(guò)網(wǎng)絡(luò)這個(gè)虛擬場(chǎng)所進(jìn)行活動(dòng)，因此需要對(duì)參加交易的人或?qū)嶓w的身份進(jìn)行檢驗(yàn)，保證交易雙方身份的真實(shí)性，使參加交易的各方能夠在相互不見(jiàn)面的情況下確認(rèn)對(duì)方身份的真實(shí)性。(4)不可抵賴性要求。電子商務(wù)和傳統(tǒng)商務(wù)在本質(zhì)上是相同的，因此電子商務(wù)也需要建立相關(guān)的責(zé)任機(jī)制，防止交易雙方交易過(guò)程出現(xiàn)的相互抵賴行為。在電子交易過(guò)程中需要為參加交易各方的對(duì)象（個(gè)人，企業(yè)或國(guó)家）提供可靠的標(biāo)識(shí)。(5)有效性要求。電子商務(wù)的是指在電子交易的過(guò)程中，要保證在網(wǎng)絡(luò)上傳輸?shù)慕灰讛?shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。電子商務(wù)的有效性直接關(guān)系到交易活動(dòng)的成敗與否，它是能否開(kāi)展電子交易活動(dòng)的前提，直接影響到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。因此，需要對(duì)電子商務(wù)運(yùn)行過(guò)程中有可能遇到的網(wǎng)絡(luò)故障、操作過(guò)程中出現(xiàn)的錯(cuò)誤、相關(guān)的應(yīng)用程序運(yùn)行時(shí)出現(xiàn)的錯(cuò)誤、硬件系統(tǒng)可能出現(xiàn)的故障、系統(tǒng)軟件產(chǎn)生的錯(cuò)誤結(jié)果，以及計(jì)算機(jī)病毒等惡意代碼攻擊和威脅加以控制和預(yù)防。

2電子商務(wù)涉及的幾種安全技術(shù)

2.1加密技術(shù)數(shù)據(jù)加密技術(shù)通過(guò)對(duì)數(shù)據(jù)進(jìn)行重新編碼，隱藏真實(shí)信息的內(nèi)容，當(dāng)非法用戶截獲該數(shù)據(jù)時(shí)，無(wú)法得到信息真實(shí)內(nèi)容的一種技術(shù)，主要有對(duì)稱加密和非對(duì)稱加密兩種形式。加密技術(shù)是保證電子商務(wù)安全的重要手段，除了實(shí)現(xiàn)傳統(tǒng)信息保密之外，在網(wǎng)絡(luò)鑒別、認(rèn)證等方面都有很好的應(yīng)用，加密算法是網(wǎng)絡(luò)安全和電子商務(wù)信息安全的基礎(chǔ)。2.2數(shù)字簽名技術(shù)在電子商務(wù)系統(tǒng)中所有信息都是電子數(shù)據(jù)形式，如商業(yè)合同，交易信息，客戶信息等，為了保證信息的真實(shí)，有效，完整，需要實(shí)現(xiàn)具有手寫(xiě)簽名功能的簽名即數(shù)字簽名。數(shù)字簽名技術(shù)的基礎(chǔ)是加密技術(shù)為。2.3認(rèn)證技術(shù)認(rèn)證實(shí)現(xiàn)網(wǎng)絡(luò)中對(duì)某個(gè)實(shí)體的身份加以鑒別、確認(rèn)，以證明其是否是名副其實(shí)或是否是有效的過(guò)程。認(rèn)證系統(tǒng)常用的驗(yàn)證方法可分為以下兩類:“基于密碼”的認(rèn)證和“基于生理特征身份”的認(rèn)證。2.4防火墻技術(shù)防火墻是在企業(yè)的內(nèi)部網(wǎng)絡(luò)和Internet之間置豎的一道安全屏障，通過(guò)預(yù)先設(shè)定的策略對(duì)數(shù)據(jù)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過(guò)濾、分析和審計(jì)，可以防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，并能有效防范各種攻擊行為，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。2.5VPN技術(shù)虛擬專用網(wǎng)VPN(VirtualPrivateNet)是以公用開(kāi)放的網(wǎng)絡(luò)(如Internet)作為基本的傳輸媒介，通過(guò)相關(guān)網(wǎng)絡(luò)安全協(xié)議和隧道技術(shù)等多種技術(shù)在開(kāi)放的公共網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全的、穩(wěn)定的隧道，為用戶提供類似于具有專用網(wǎng)絡(luò)安全性的網(wǎng)絡(luò)服務(wù)技術(shù)。通過(guò)VPN系統(tǒng)，可以幫助企業(yè)和遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)建立可信的安全通信連接，保護(hù)企業(yè)和個(gè)人敏感信息在互聯(lián)網(wǎng)上傳輸?shù)牡陌踩?，使得企業(yè)和個(gè)人利益得到保護(hù)。2.6公鑰基礎(chǔ)設(shè)施PKIPKI即“公鑰基礎(chǔ)設(shè)施”，是一種利用公鑰理論和技術(shù)建立的提供網(wǎng)絡(luò)安全服務(wù)基礎(chǔ)設(shè)施平臺(tái)，負(fù)責(zé)創(chuàng)建、管理、存儲(chǔ)、分發(fā)和作廢證書(shū)的軟件、硬件、人員、策略和過(guò)程的集合。通過(guò)權(quán)威認(rèn)證機(jī)構(gòu)（CA）提供的數(shù)字證書(shū)為用戶建立起一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，用戶可以在多種應(yīng)用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù)，提供認(rèn)證、數(shù)據(jù)完整性、保密性和不可否認(rèn)等安全服務(wù)。2.7安全電子交易協(xié)議1)安全套階層協(xié)議（SSL）SSL協(xié)議(SecureSocketLayer)提供三種安全連接服務(wù)：數(shù)據(jù)保密；身份真實(shí)性認(rèn)證；數(shù)據(jù)的完整性。2)安全電子交易協(xié)議（SET）SET(SecureElectronicTransaction)安全電子交易協(xié)議提供了消費(fèi)者、商家和銀行之間的認(rèn)證,確保交易的保密性、可靠性和不可否認(rèn)性,保證在開(kāi)放網(wǎng)絡(luò)環(huán)境下使用信用卡進(jìn)行在線購(gòu)物的安全。2.8其他技術(shù)其他技術(shù)如入侵檢測(cè)技術(shù)、智能卡技術(shù)和安全審計(jì)/日志技術(shù)等。

3總結(jié)

隨著電子商務(wù)的飛速發(fā)展，人們逐步意識(shí)到，安全問(wèn)題是一個(gè)核心問(wèn)題，電子商務(wù)的安全問(wèn)題一直受到人們的關(guān)注和安全專家的重視，因而安全技術(shù)不斷的得到發(fā)展應(yīng)用，如:加密技術(shù)，防火墻，安全認(rèn)證協(xié)議等。這些技術(shù)的應(yīng)用極大的促進(jìn)了電子商務(wù)的發(fā)展。

參考文獻(xiàn)

[1]宋少忠,郝莉萍等.電子商務(wù)安全與支付[M].北京:中國(guó)水利水電出版社,2009.

第4篇：電子商務(wù)安全范文

關(guān)鍵詞：電子商務(wù)；信息安全；計(jì)算機(jī)網(wǎng)絡(luò)

1 問(wèn)題的提出

隨著Internet網(wǎng)絡(luò)技術(shù)飛速發(fā)展及普及，電子商務(wù)（Electronic Commerce，簡(jiǎn)稱EC）已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式，越來(lái)越多的人通過(guò)Internet進(jìn)行商務(wù)活動(dòng)。電子商務(wù)是利用網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)技術(shù)和通信技術(shù)，實(shí)現(xiàn)數(shù)字化、電子化，商務(wù)化，網(wǎng)絡(luò)化的整個(gè)商務(wù)過(guò)程，它與傳統(tǒng)商業(yè)活動(dòng)相比，最大的一個(gè)特征就是基于B/S方式下，交易雙方在不見(jiàn)面的情況下完成商品貿(mào)易活動(dòng)。

由于Internet自身的共享性、開(kāi)放性、無(wú)縫性，那么以此為平臺(tái)的在線商務(wù)交易安全也面臨著日益嚴(yán)峻的挑戰(zhàn)。據(jù)國(guó)家信息中心信息安全研究與服務(wù)中心統(tǒng)計(jì)，2012年發(fā)生了2起源代碼被盜事件，2起重大黑客攻擊事件，6起信息泄密事件，3起重大漏洞事件。2013年的棱鏡門，谷歌抓取支付寶轉(zhuǎn)賬信息，酒店開(kāi)房記錄泄露等。據(jù)中國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)統(tǒng)計(jì)，中國(guó)網(wǎng)民在2013年損近1500億元。對(duì)于以上的這些問(wèn)題，本文將對(duì)電子商務(wù)信息安全應(yīng)用進(jìn)行研究，并提出一些合理的安全解決方法，提高電子商務(wù)交易過(guò)程中的安全性，降低實(shí)施風(fēng)險(xiǎn)。

2 國(guó)內(nèi)外電子商務(wù)安全研究現(xiàn)狀

2.1 國(guó)際電子商務(wù)安全研究現(xiàn)狀

在電子商務(wù)安全研究方面，美國(guó)是處于領(lǐng)先地位。美國(guó)國(guó)家安全局（NSA）在1983年正式頒布“受信計(jì)算機(jī)系統(tǒng)評(píng)量基準(zhǔn)”，是目前頗具權(quán)威的計(jì)算機(jī)系統(tǒng)安全標(biāo)準(zhǔn)之一。自“911”恐怖襲擊事件之后，美國(guó)公司增強(qiáng)了信息技術(shù)安全觀念，投入大量的經(jīng)費(fèi)，同時(shí)加強(qiáng)信息技術(shù)安全方面的工作。從現(xiàn)在的網(wǎng)絡(luò)安全研究情況的現(xiàn)實(shí)看，解決網(wǎng)絡(luò)安全問(wèn)題的根本途徑和方向是網(wǎng)絡(luò)技術(shù)創(chuàng)新，即研發(fā)新一代網(wǎng)絡(luò)技術(shù)，采取“立體”措施，包括引入“中間件”層及其安全結(jié)構(gòu)，在“網(wǎng)絡(luò)層”增設(shè)面向連接的實(shí)時(shí)協(xié)議、強(qiáng)化整個(gè)網(wǎng)絡(luò)系統(tǒng)的管控智能以及改進(jìn)終端加密和反黑等措施。

2.2 我國(guó)電子商務(wù)安全研究現(xiàn)狀

國(guó)務(wù)院在1996年了《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》，公安部在1997年了《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》，2000年由國(guó)家信息化推進(jìn)工作辦公室牽頭起草的《關(guān)于發(fā)展我國(guó)電子商務(wù)的若干意見(jiàn)》上報(bào)國(guó)家最高決策層進(jìn)行審議。網(wǎng)絡(luò)信息安全問(wèn)題不但得到了政府、企業(yè)的高度重視，同時(shí)國(guó)內(nèi)的大專院校、研究所和有實(shí)力的大公司也紛紛進(jìn)入網(wǎng)絡(luò)信息安全問(wèn)題的研究領(lǐng)域。

3 電子商務(wù)信息安全隱患

電子商務(wù)的信息存儲(chǔ)安全隱患主要包括：（1）內(nèi)部隱患。主要是網(wǎng)內(nèi)用戶未經(jīng)許可隨意增加、刪除、修改或無(wú)意或故意地非授權(quán)調(diào)用電子商務(wù)信息。（2）外部隱患。主要是因?yàn)檐浖?wèn)題造成外部人員非法闖入內(nèi)網(wǎng)，造成電子商務(wù)信息被增加、刪除、修改或調(diào)用。

電子商務(wù)的信息流動(dòng)安全隱患主要包括：（1）竊取商業(yè)機(jī)密。多數(shù)電子商務(wù)的信息是以明文的方式傳輸，那么攻擊者很容易的對(duì)電子商務(wù)信息進(jìn)行監(jiān)聽(tīng)和截取。（2）攻擊商務(wù)網(wǎng)站。攻擊者通過(guò)傳播計(jì)算機(jī)病毒，繞過(guò)電子商務(wù)網(wǎng)站的防火墻，篡改信息，使其無(wú)法正常運(yùn)轉(zhuǎn)。（3）實(shí)施商務(wù)詐騙。不法分子通過(guò)Internet虛假信息騙取帳號(hào)、現(xiàn)金，用戶對(duì)電子商務(wù)產(chǎn)生不信任感，阻礙了電子商務(wù)的順利發(fā)展。（4）傳播不良信息。不法分子為了達(dá)到自己既有目的，在電子商務(wù)信息中推送不良信息。

電子商務(wù)交易雙方的信息安全隱患主要是：（1）商家的信息安全隱患。不法分子冒充合法用戶修改商務(wù)信息內(nèi)容，致使電子商務(wù)活動(dòng)中斷，造成商家無(wú)法從事正常的業(yè)務(wù)活動(dòng)。（2）用戶的信息安全隱患。不法分子竊用攔截合法用戶身份信息，以合法的用戶進(jìn)行電子商務(wù)活動(dòng)，使用戶蒙受損失。

4 電子商務(wù)信息安全管理

在電子商務(wù)活動(dòng)中，有些信息屬于商業(yè)秘密，如果失竊，將帶來(lái)不可估量的損失，因此需有一個(gè)能不中斷地提供服務(wù)及可靠穩(wěn)定的電子商務(wù)平臺(tái)，任何系統(tǒng)的中斷，如軟硬件錯(cuò)誤，病毒，網(wǎng)絡(luò)故障等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，所以電子商務(wù)信息的安全管理問(wèn)題就成了電子商務(wù)順利推進(jìn)的保障。隨著電子商務(wù)的深入應(yīng)用，攻擊網(wǎng)絡(luò)技術(shù)和手段不斷改進(jìn)，這就對(duì)電子商務(wù)信息系統(tǒng)的安全性提出了更高的要求，必須保證外網(wǎng)用戶不能對(duì)系統(tǒng)構(gòu)成威脅，所以人們對(duì)這些基本技術(shù)進(jìn)行了反復(fù)改進(jìn)以適應(yīng)更高的安全需求。

4.1 電子商務(wù)安全的法制建設(shè)及企業(yè)內(nèi)部管理

為了保護(hù)用戶信息在電子商務(wù)活動(dòng)中不受侵犯，政府應(yīng)該完善電子商務(wù)信息法規(guī)，同時(shí)，還需制定詳盡、具體、具有可操作性的賠償制度，包括精神賠償和物質(zhì)賠償，為電子商務(wù)的發(fā)展提供必要的法律保證。

在國(guó)內(nèi)對(duì)個(gè)人信息安全保護(hù)的監(jiān)管分別由公安部、工業(yè)與信息化部等部門管理，多頭管理難免會(huì)出現(xiàn)監(jiān)管漏洞。對(duì)此可以建議由國(guó)安委統(tǒng)一管理，只有權(quán)力清晰才能保證監(jiān)管沒(méi)有漏洞。

有些安全事件是“禍起蕭墻”，這就要求加強(qiáng)企業(yè)內(nèi)部安全管理，培育和加強(qiáng)企業(yè)安全意識(shí)，通過(guò)企業(yè)和用戶的共同努力來(lái)實(shí)現(xiàn)。它的基本原則是在系統(tǒng)內(nèi)發(fā)生的所有行為都必須被定義好的，并且符合相應(yīng)的程序控制要求，所有行為的發(fā)生都有審計(jì)記錄，可以解決許多技術(shù)層次解決不了的安全性問(wèn)題。

4.2 防火墻技術(shù)

目前的防火墻分可為兩大類，一類是簡(jiǎn)單的包過(guò)濾技術(shù)，它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)。依據(jù)系統(tǒng)內(nèi)事先制定好的過(guò)濾邏輯，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址等因素來(lái)確定是否允許數(shù)據(jù)包通過(guò)。另一類是應(yīng)用網(wǎng)管和服務(wù)器，其顯著的優(yōu)點(diǎn)是能提供小顆度的存取控制，可針對(duì)特別的數(shù)據(jù)過(guò)濾協(xié)議和網(wǎng)絡(luò)應(yīng)用服務(wù)，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。通過(guò)防火墻技術(shù)，可以過(guò)濾掉不安全的服務(wù)，提高網(wǎng)絡(luò)安全和減少網(wǎng)絡(luò)中主機(jī)的風(fēng)險(xiǎn)。但防火墻是一種被動(dòng)安全技術(shù)，不能阻止來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊。唯一的解決辦法就是，在每臺(tái)計(jì)算機(jī)上都裝反病毒軟件。

4.3 病毒防范技術(shù)

計(jì)算機(jī)病毒實(shí)際上就是在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。病毒繞過(guò)系統(tǒng)或違反授權(quán)入侵成功后，在系統(tǒng)中植入木馬等病毒程序，為以后攻擊系統(tǒng)、竊取信息做好準(zhǔn)備。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁的掃描和監(jiān)測(cè)，工作站上對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等。

現(xiàn)在較流行的反病毒技術(shù)基于病毒的特征碼掃描法、文件實(shí)時(shí)監(jiān)控技術(shù)并輔以指令虛擬技術(shù)。掃描病毒：分析出病毒的特征病毒碼并集中存放于病毒代碼庫(kù)文件中，在掃描時(shí)將掃描對(duì)象與特征代碼庫(kù)比較，如有吻合則判斷為染上病毒。該技術(shù)實(shí)現(xiàn)簡(jiǎn)單有效，安全徹底。監(jiān)控病毒：通過(guò)利用操作系統(tǒng)底層接口技術(shù)，對(duì)系統(tǒng)中的指定類型的文件進(jìn)行實(shí)時(shí)的行為監(jiān)控，一旦有病毒傳染或發(fā)作時(shí)就及時(shí)報(bào)警。從而實(shí)現(xiàn)了對(duì)病毒的實(shí)時(shí)、永久、自動(dòng)監(jiān)控。刪除病毒：在刪除時(shí)采用虛擬技術(shù)對(duì)變種的病毒進(jìn)行處理或編寫(xiě)出相應(yīng)的程序，將病毒移除計(jì)算機(jī)內(nèi)存。

4.4 認(rèn)證技術(shù)

安全認(rèn)證技術(shù)主要有：（1）數(shù)字摘要技術(shù)，也稱安全HASH編碼法。用于對(duì)所要傳輸?shù)臄?shù)據(jù)進(jìn)行運(yùn)算生成信息摘要，它并不是一種加密機(jī)制，但能產(chǎn)生信息的數(shù)字"指紋"，目的是為了確保數(shù)據(jù)沒(méi)有被篡改，從而保證數(shù)據(jù)的完整性和有效性。（2）數(shù)字簽名技術(shù)，又稱電子簽章、公鑰數(shù)字簽名。是一種類似寫(xiě)在紙上的普通的物理簽名，就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換。這種變換或數(shù)據(jù)允許數(shù)據(jù)單元的接收者用以確認(rèn)完整性和數(shù)據(jù)單元的來(lái)源并保護(hù)數(shù)據(jù)，防止被人偽造。它是對(duì)電子形式的消息進(jìn)行簽名的一種方法，一個(gè)簽名消息能在一個(gè)通信網(wǎng)絡(luò)中傳輸。主要功能是保證信息傳輸?shù)耐暾?、發(fā)送者的身份認(rèn)證、防止交易中發(fā)生抵賴。（3）數(shù)字證書(shū)技術(shù)，又稱為數(shù)字憑證。負(fù)責(zé)用電子手段來(lái)證實(shí)用戶的身份和對(duì)網(wǎng)絡(luò)資源訪問(wèn)的權(quán)限。（4）數(shù)字時(shí)間戳技術(shù)（DTS）。在文件交易中，時(shí)間是十分重要的信息，需對(duì)文件交易的時(shí)間和日期信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)就能提供電子文件交易時(shí)間的安全保護(hù)。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：需加時(shí)間戳的文件摘要，DTS的數(shù)字簽名，DTS收到文件的日期和時(shí)間。（5）身份認(rèn)證實(shí)際。是計(jì)算機(jī)系統(tǒng)通過(guò)審查用戶身份證明的過(guò)程，提供確認(rèn)和判別用戶身份的機(jī)制，確定用戶是否具有對(duì)系統(tǒng)資源操作和訪問(wèn)權(quán)限。本質(zhì)是確認(rèn)用戶身份，用戶必須能夠證明其身份標(biāo)識(shí)合法性。身份認(rèn)證技術(shù)是訪問(wèn)控制、安全審計(jì)、入侵檢測(cè)等安企機(jī)制的基礎(chǔ)，在電子商務(wù)信息安全理論與技術(shù)中占有至關(guān)重要的位。目身份認(rèn)證技術(shù)主要有基于口令的認(rèn)證技術(shù)、基于密碼學(xué)的認(rèn)證技術(shù)、基于智能卡的認(rèn)證技術(shù)以及基于生物學(xué)特征的認(rèn)證技術(shù)等。

4.5 安全協(xié)議技術(shù)

電子商務(wù)安全問(wèn)題的核心是電子交易的安全性，為了徹底解決電子商務(wù)的安全機(jī)制，人們開(kāi)發(fā)了各種用于加強(qiáng)電子商務(wù)安全的協(xié)議。當(dāng)前廣泛應(yīng)用的電子商務(wù)安全協(xié)議主要有SET協(xié)議（Secure Electronic Transaction，安全電子交易）和SSL協(xié)議（Secure Sockets Layer，安全套接層），二者都采用了RSA算法加密。

SSL協(xié)議提供加密的SSL會(huì)話服務(wù)、SSL服務(wù)器鑒別服務(wù)以及SEL客戶鑒別服務(wù)，實(shí)現(xiàn)了瀏覽器等客戶端應(yīng)用軟件與TC/IP協(xié)議之間的接口，可以對(duì)萬(wàn)維網(wǎng)客戶與服務(wù)器之間傳送的數(shù)據(jù)信息進(jìn)行加密和鑒別，在雙方握手階段，對(duì)將要使用加密算法和雙方共享的會(huì)話密朗進(jìn)行協(xié)商，完成客戶與服務(wù)器之間的鑒別。目前許多運(yùn)營(yíng)商利用本身的便利性，使用一些的數(shù)據(jù)收集工具，分析出客戶的需求，并為客戶提供同類商品信息，或者是分析其他運(yùn)營(yíng)商的數(shù)據(jù)，產(chǎn)生一種惡性競(jìng)爭(zhēng)。對(duì)于客戶來(lái)講，提供相關(guān)的其他同類商品的信息，看似是一種個(gè)性化的服務(wù)，但是同時(shí)也是在侵犯用戶的隱私，為此在應(yīng)用層也就客戶在瀏覽網(wǎng)頁(yè)時(shí)，如果客戶需要商家提供相關(guān)的同類商品的信息時(shí)，商家才能對(duì)客戶的數(shù)據(jù)進(jìn)行分析，否則不應(yīng)任意分析用戶的數(shù)據(jù)。

SET協(xié)議是基于應(yīng)用層的協(xié)議，是一種新的電子支付模式，它保證了開(kāi)放網(wǎng)絡(luò)上使用信用卡進(jìn)行在線購(gòu)物的安全。SET協(xié)議具有強(qiáng)大的驗(yàn)證功能，主要是為了解決用戶、銀行、商家之間通過(guò)信用卡的交易而設(shè)計(jì)的，它具有保證交易數(shù)據(jù)的完整性，交易的不可抵賴性等優(yōu)點(diǎn)，因此它成為目前公認(rèn)的信用卡網(wǎng)上交易的國(guó)際標(biāo)準(zhǔn)。

5 結(jié)束語(yǔ)

電子商務(wù)信息的安全問(wèn)題是一項(xiàng)復(fù)雜的系統(tǒng)工程，隨著電子商務(wù)的發(fā)展，通過(guò)各種網(wǎng)絡(luò)的交易手段也會(huì)更加多樣化，安全問(wèn)題變得更加突出。它不僅涉及到動(dòng)態(tài)傳輸信息及靜態(tài)存儲(chǔ)信息的安全問(wèn)題，還需要保證電子商務(wù)信息安全，加快電子商務(wù)的發(fā)展。還有在非技術(shù)方面，需要完善法律制度、管理制度和誠(chéng)信制度，促進(jìn)社會(huì)公眾商務(wù)觀念的轉(zhuǎn)變等，營(yíng)造電子商務(wù)信息安全的社會(huì)大環(huán)境。

[參考文獻(xiàn)]

[1]金勝男.電子商務(wù)的信息安全技術(shù)研究.技術(shù)研發(fā)，2013年第12期.

[2]孟慧敏.電子商務(wù)對(duì)國(guó)際貿(mào)易的影響及應(yīng)用.電腦知識(shí)與技術(shù)，2013年2月第9卷第5期.

[3]韓文虹.電子商務(wù)中安全技術(shù)的應(yīng)用研究.電子商務(wù)，2013年2月.

[4]崔敏.基于電子商務(wù)的安全技術(shù)討論.網(wǎng)絡(luò)安全，2013年7月.

[5]龍愛(ài)民.電子商務(wù)的信息安全技術(shù)分析.信息技術(shù)，2013年9月.

[6]牟童.電子商務(wù)安全體系結(jié)構(gòu)淺析.電子商務(wù)與電子政務(wù)，2013年3月.

第5篇：電子商務(wù)安全范文

關(guān)鍵詞：電子商務(wù)；身份認(rèn)證；防火墻

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)30-0559-02

A Brief Analysis on the Security Strategy of E-business

WANG Gai-xiang

(Shanxi Professional College of Finance,Taiyuan 030008,China)

Abstract: With the rapid development of Internet applications, E-business based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of E-businessis becoming more and more attracting,But the Chief Problem of E-business is the safety of Commerce information. For realizing an E-business basic frame of security, various kinds of safe practices in e-commerce are analysed in order to develop a kind of effective , safe realization E-business.

Key words:E-business; identity authentication; firewall

1 引言

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢(shì)，使得政府與企業(yè)都十分重視并推動(dòng)電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問(wèn)題在于時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問(wèn)題之一。研究和分析電子商務(wù)的安全性問(wèn)題,特別是針對(duì)企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開(kāi)發(fā)的先進(jìn)技術(shù)和經(jīng)驗(yàn),開(kāi)發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵，而安全體系的構(gòu)建顯得尤為重要。

2 電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國(guó)迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過(guò)程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來(lái)看，傳統(tǒng)的買賣雙方是面對(duì)面的，因此較容易保證交易過(guò)程的安全性和建立起信任關(guān)系。但在電子商務(wù)過(guò)程中，買賣雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn)，電子商務(wù)交易雙方（銷售者和消費(fèi)者）都面臨安全威脅，電子商務(wù)的安全要素主要體現(xiàn)在以下幾個(gè)方面：

2.1 信息真實(shí)性、有效性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

2.2 信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3 信息完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

3.4 信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^；不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書(shū)面文件上手寫(xiě)簽名或印章來(lái)鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無(wú)紙化的電子商務(wù)方式下，通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在1nternet上每個(gè)人都是匿名的，電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

3 電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行，要求電子商務(wù)平臺(tái)要穩(wěn)定可靠，能不中斷地提供服務(wù)。任何系統(tǒng)的中斷，如硬件、軟件錯(cuò)誤，網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證，往往會(huì)造成巨大的經(jīng)濟(jì)損失。

所以就整個(gè)電子商務(wù)安全系統(tǒng)而言，安全性可以劃分為四個(gè)層次，

1) 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

2) 通訊的安全性

3) 應(yīng)用程序的安全性

4) 用戶的認(rèn)證管理

其中2、3、4是通過(guò)操作系統(tǒng)和Web服務(wù)器軟件實(shí)現(xiàn)，而網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。

3.1 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開(kāi)的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，為電子商務(wù)的施展提供個(gè)相對(duì)更安全的平臺(tái)。

防火墻是在連接Internet和Intranet保證安全最為有效的方法 ，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過(guò)靈活有效地運(yùn)用這些功能，制定正確的安全策略，將能提供一個(gè)安全、高效的Intranet系統(tǒng)。 應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤(pán)和數(shù)據(jù)加密、病毒防護(hù)措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒(méi)有全面的安全策略，那么防火墻就形同虛設(shè)。

3.2 通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過(guò)加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。 目前采用的是瀏覽器缺省的40位加密強(qiáng)度，也可以考慮將加密強(qiáng)度增加到128位。 為在瀏覽器和服務(wù)器之間建立安全機(jī)制，SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書(shū)，證書(shū)包括一個(gè)公鑰，由一家可信證書(shū)授權(quán)機(jī)構(gòu)（CA中心）簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書(shū)的正確性，必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL鏈接不需要一定有個(gè)人證書(shū)，實(shí)際上不驗(yàn)證客戶的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(shū)（下載可以在訪問(wèn)之前或訪問(wèn)時(shí)）。驗(yàn)證此證書(shū)是合法的服務(wù)器證書(shū)通過(guò)后利用該證書(shū)對(duì)稱加密算法（RSA）與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰，然后用此對(duì)稱算法加密傳輸?shù)拿魑?。此時(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。

3.3 應(yīng)用程序的安全性

即使正確地配置了訪問(wèn)控制規(guī)則，要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的，因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時(shí)；程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行，而不是只有有限的指令子集在特權(quán)模式下運(yùn) 行，其他的部分只有縮小的許可；程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源，如一個(gè)文件和目錄。不是顯式地設(shè)置訪問(wèn)控制（最少許可），程序員認(rèn)為這個(gè)缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來(lái)騙特權(quán)程序做一些它本來(lái)不應(yīng)該做的事情。緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來(lái)增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙?。例如，緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)。 訪問(wèn)控制系統(tǒng)中沒(méi)有什么可以檢測(cè)到這些問(wèn)題 。只有通過(guò)監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問(wèn)題一樣的錯(cuò)誤。

3.4 用戶的認(rèn)證管理

1) 身份認(rèn)證

電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過(guò)服務(wù)器CA證書(shū)與IC卡相結(jié)合實(shí)現(xiàn)的。CA證書(shū)用來(lái)認(rèn)證服務(wù)器的身份，IC卡用來(lái)認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒(méi)有提供交易功能，所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制。

2) CA證書(shū)

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性，需要一份數(shù)字證書(shū)進(jìn)行驗(yàn)證，這份數(shù)字證書(shū)就是CA證書(shū)，它由認(rèn)證授權(quán)中心（CA中心）發(fā)行。認(rèn)證中心（CA）就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書(shū)，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書(shū)的管理。CA中心一般是社會(huì)公認(rèn)的可靠組織，它對(duì)個(gè)人、組織進(jìn)行審核后，為其發(fā)放數(shù)字證書(shū)，證書(shū)分為服務(wù)器證書(shū)和個(gè)人證書(shū)。建立SSL安全鏈接不需要一定有個(gè)人證書(shū)，實(shí)際上不驗(yàn)證客戶的個(gè)人證書(shū)情況是很多的。驗(yàn)證個(gè)人證書(shū)是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(shū)（下載可以在訪問(wèn)之前或訪問(wèn)時(shí)進(jìn)行）。

3) 安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

第6篇：電子商務(wù)安全范文

[關(guān)鍵詞] 電子商務(wù)；安全性；安全套接層協(xié)議；安全電子交易協(xié)議

[中圖分類號(hào)] F062．5 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1006-5024(2006)12-0136-03

[作者簡(jiǎn)介] 周 強(qiáng)，江西科技師范學(xué)院講師，研究方向?yàn)橛?jì)算機(jī)教學(xué)與管理；

鄧曉輝，江西科技師范學(xué)院講師，研究方向?yàn)橛?jì)算機(jī)教學(xué)與管理。(江西 南昌 330038)

隨著因特網(wǎng)的飛速發(fā)展，電子商務(wù)正得到越來(lái)越廣泛的應(yīng)用，進(jìn)入21世紀(jì)，全球電子商務(wù)迎來(lái)了新的發(fā)展。電子商務(wù)的安全性是影響其成敗的一個(gè)關(guān)鍵因素。對(duì)電子商務(wù)中存在的安全問(wèn)題及安全技術(shù)加以分析，才能滿足電子商務(wù)安全的基本需求，以推動(dòng)電子商務(wù)的更快發(fā)展。

一、電子商務(wù)及其存在的問(wèn)題

電子商務(wù)是指利用簡(jiǎn)單快捷低成本的電子通信方式，買賣雙方不謀面而進(jìn)行各種商業(yè)和貿(mào)易活動(dòng)的新型貿(mào)易形式。它改變了傳統(tǒng)貿(mào)易形式，不僅改變了企業(yè)本身的生產(chǎn)、經(jīng)營(yíng)、管理活動(dòng)，而且將導(dǎo)致人類經(jīng)濟(jì)、社會(huì)和文化的一次新的革命。但目前電子商務(wù)的發(fā)展中還存在許多問(wèn)題：

1．安全協(xié)議問(wèn)題。我國(guó)大多數(shù)尚處在SSL(安全套接層協(xié)議)的應(yīng)用上，SET協(xié)議的應(yīng)用還只是剛剛試驗(yàn)成功，在信息的安全保密體制上還不成熟，對(duì)安全協(xié)議還沒(méi)有全球性的標(biāo)準(zhǔn)和規(guī)范，相對(duì)制約了國(guó)際性的商務(wù)活動(dòng)。

2．安全管理問(wèn)題。在安全管理方面還存在很大隱患，究竟誰(shuí)來(lái)管理，怎么管理，采取什么有序的管理辦法，這些問(wèn)題亟待解決。需要有一個(gè)安全可靠的信息網(wǎng)絡(luò)普抵御黑客的攻擊。

3．電子商務(wù)沒(méi)有真正深入商務(wù)領(lǐng)域，而僅僅局限于信息領(lǐng)域?，F(xiàn)在我國(guó)的電子商務(wù)好多只是停留在用計(jì)算機(jī)簡(jiǎn)單模擬原來(lái)的手工操作流程，提供單純的技術(shù)產(chǎn)品為主，不擅長(zhǎng)動(dòng)態(tài)信息的跟蹤和獲取，個(gè)人用戶比較少，企業(yè)用戶還未大量出現(xiàn)。

4．技術(shù)人才短缺問(wèn)題。電子商務(wù)是在近幾年才得到了迅猛發(fā)展，許多地方都缺乏足夠的技術(shù)人才來(lái)處理所遇到的各種問(wèn)題。不少電子商務(wù)的開(kāi)發(fā)商對(duì)網(wǎng)絡(luò)技術(shù)很熟悉，但是對(duì)安全技術(shù)了解得偏少，因而難以開(kāi)發(fā)出真正實(shí)用的、安全性的產(chǎn)品。

5．法律問(wèn)題。電子交易衍生了一系列法律問(wèn)題，例如網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問(wèn)題，急需為電子商務(wù)提供法律保障。

6．稅收問(wèn)題。電子商務(wù)的發(fā)展在促進(jìn)貿(mào)易增加稅收的同時(shí)又對(duì)稅收制度及其管理手段提出了新要求。

二、電子商務(wù)中的安全性技術(shù)

安全性技術(shù)是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素，也是目前大家十分關(guān)注的問(wèn)題。雖然Internet的開(kāi)放式的信息交換使之在安全方面存在脆弱性，但現(xiàn)在幾乎網(wǎng)絡(luò)的各個(gè)層次都制訂了安全協(xié)議和具備了相應(yīng)的安全技術(shù)，以保證電子商務(wù)的安全性。

(一)安全的網(wǎng)絡(luò)平臺(tái)。安全可靠的網(wǎng)絡(luò)是實(shí)現(xiàn)電子商務(wù)的基礎(chǔ)，常用的方法是在網(wǎng)絡(luò)中采用防火墻技術(shù)，虛擬專用網(wǎng)(VPN)技術(shù)，防病毒保護(hù)等。防火墻技術(shù)是通過(guò)IP過(guò)濾和服務(wù)器軟件方法保護(hù)企業(yè)內(nèi)部網(wǎng)(Intranet)中數(shù)據(jù)，只有授權(quán)用戶才能獲準(zhǔn)進(jìn)入企業(yè)內(nèi)部網(wǎng)的系統(tǒng)。虛擬專用網(wǎng)(VPN)技術(shù)通過(guò)IP隧道等方法來(lái)保證企業(yè)協(xié)作網(wǎng)(Extranet)中企業(yè)間數(shù)據(jù)和企業(yè)內(nèi)部網(wǎng)的遠(yuǎn)程分支機(jī)構(gòu)和外出職工對(duì)中央系統(tǒng)的遠(yuǎn)程訪問(wèn)數(shù)據(jù)的安全傳遞。單純依靠這些方法保護(hù)網(wǎng)絡(luò)的安全性是不夠的，還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務(wù)基石，例如現(xiàn)在的加密技術(shù)、數(shù)字簽名技術(shù)、電子認(rèn)證技術(shù)等。

(二)密碼術(shù)概述。密碼技術(shù)雖然在第二次世界大戰(zhàn)期間開(kāi)始流行，在當(dāng)前才廣泛應(yīng)用于網(wǎng)絡(luò)安全和電子商務(wù)安全之中，但其起源可追溯到幾千年前。其思想目前還在使用，只是在處理過(guò)程中增加了數(shù)學(xué)上的復(fù)雜性。現(xiàn)代密碼體制與傳統(tǒng)密碼體制的最大不同就在于：原文的保密性不再依賴于算法本身，而是依賴于密鑰的保密性，其算法本身則是公開(kāi)的。在網(wǎng)絡(luò)上，計(jì)算機(jī)的數(shù)據(jù)以數(shù)據(jù)包的形式發(fā)送．為防止信息被竊取，應(yīng)當(dāng)對(duì)發(fā)送的全部信息進(jìn)行加密。加密傳輸形式是一種將傳送的內(nèi)容變成一些不規(guī)則的數(shù)據(jù)，只有通過(guò)正確的密鑰才可以恢復(fù)原文的傳輸形式。

根據(jù)密鑰的特點(diǎn)，加密算法可以分為對(duì)稱密鑰加密算法和非對(duì)稱密鑰加密算法兩類。

1．對(duì)稱密鑰加密算法是傳統(tǒng)的加密手段。最著名的對(duì)稱密鑰加密算法DES(Data Encryption s七andard)是由IBM公司在70年展起來(lái)的，并經(jīng)過(guò)政府的加密標(biāo)準(zhǔn)篩選后，于1976年11月被美國(guó)政府采用。DES隨后被美國(guó)國(guó)家標(biāo)準(zhǔn)局和美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)承認(rèn)。在該類算法中，信息的發(fā)送方和接收方用同一個(gè)秘密密鑰去加密和解密數(shù)據(jù)，一方用商定好的加密函數(shù)和秘密密鑰加密明文，另一方用加密函數(shù)的逆函數(shù)和同一個(gè)秘密密鑰對(duì)密文解密，得到原始明文。顯然，通訊雙方需要事先交換秘密密鑰。這類加密算法執(zhí)行效率高、速度快，適合對(duì)大數(shù)據(jù)量進(jìn)行加/解密。但由于收發(fā)雙方共享一個(gè)秘密密鑰，密鑰的傳遞和管理很困難。目前常用的對(duì)稱密鑰加密算法有DES算法和工DEA算法等。

2．非對(duì)稱密鑰加密算法又稱公開(kāi)密鑰技術(shù)。它需要使用一對(duì)密鑰來(lái)分別完成加密和解密操作，一個(gè)公開(kāi)，稱為公開(kāi)密鑰(Public-Key) ；另一個(gè)由用戶自己秘密保存，稱為私有密鑰(Private-Key)。在該類算法中，每個(gè)用戶都擁有一對(duì)密鑰，一個(gè)是公開(kāi)密鑰，另一個(gè)是私有密鑰。經(jīng)用戶公開(kāi)密鑰加密的信息只能通過(guò)他的私有密鑰來(lái)解密，反過(guò)來(lái)，經(jīng)用戶私有密鑰加密的信息也只能通過(guò)他的公開(kāi)密鑰來(lái)解密。當(dāng)兩用戶通訊時(shí)，雙方都用又于的公開(kāi)密鑰加密而用自己的私有密鑰解密，就可以實(shí)現(xiàn)信息的保密傳輸。常用的公開(kāi)密鑰算法有RSA算法。

RSA算法是公開(kāi)密鑰加密算法中比較優(yōu)秀的算法，已經(jīng)得到廣泛的應(yīng)用。公開(kāi)密鑰加密算法的安全性依賴于一類特殊的數(shù)學(xué)函數(shù)一單向哈希函數(shù)，單向哈希函數(shù)的性質(zhì)為：從一個(gè)方向求值容易，但逆向計(jì)算卻很困難。公開(kāi)密鑰加密算法的優(yōu)點(diǎn)是不需在用戶之間傳遞私有密鑰，可以適應(yīng)開(kāi)放性的使用環(huán)境，但計(jì)算復(fù)雜度高，加密和解密速度都比對(duì)稱密鑰算法慢得多。

3．混合密鑰加密技術(shù)。為了充分利用公開(kāi)密鑰密碼算法和私有密鑰密碼算法的優(yōu)點(diǎn)，克服其缺點(diǎn)，解決每次傳送更換密鑰的問(wèn)題，可以采用混合密碼技術(shù)，即所謂的電子信封技術(shù)口發(fā)送者自動(dòng)生成對(duì)稱密鑰，用對(duì)稱密鑰加密發(fā)送的信息，將生成的密文連同用接收方的公開(kāi)密鑰加密的對(duì)稱密鑰一起傳送出去。收信者用自己的私有密鑰解密被加密的密鑰來(lái)得到對(duì)稱密鑰，并用它來(lái)解密密文。這樣保證每次傳送都可由發(fā)送方選定不同密鑰進(jìn)行，更好的保證了數(shù)據(jù)通訊的安全性。

混合密鑰加密技術(shù)的加/解密過(guò)程如下：

a．加密方(或發(fā)方)：

a)生成明文；

b)用密鑰生成算法產(chǎn)生特定長(zhǎng)度的對(duì)稱密鑰：

c)使用對(duì)稱密鑰加密算法(DES/IDEA)和該對(duì)稱密鑰對(duì)明文進(jìn)行加密，形成密文；

d)用收方(RSA)公開(kāi)密鑰加密對(duì)稱密鑰：

e)把加密后的對(duì)稱密鑰和密文一同發(fā)送給收方。

b．解密方(或收方)：

a)用收方的密鑰解密收到的已加密的密鑰，得到未加密的對(duì)稱密鑰；

b)用(a)中得到的對(duì)稱密鑰解密密文，得到明文。

從上面分析可以看出，把兩者結(jié)合起來(lái)使用，就可以綜合發(fā)揮兩種加密體制的優(yōu)點(diǎn)，即DES/IDEA高速簡(jiǎn)便性和RSA密鑰管理的方便性和安全性。也就是說(shuō)，既保證了數(shù)據(jù)安全，又提高了加密和解密的速度。

(三)在線支付的安全技術(shù)。電子商務(wù)的另一個(gè)關(guān)鍵問(wèn)題是要保證在線支付的安全，它是網(wǎng)上購(gòu)物的重要保證。目前采用的在線支付協(xié)議有兩種：安全套接層SSL(Secure Sockets Layer)協(xié)議和安全電子交易SET(Secure Electronic Transac-tion)協(xié)議。

SSL協(xié)議

SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。SSL通過(guò)數(shù)字簽名和數(shù)字證書(shū)來(lái)實(shí)行身份驗(yàn)證，數(shù)字證書(shū)是從認(rèn)證機(jī)構(gòu)(Certificate Authority，CA)獲得的，通常包含有唯一標(biāo)識(shí)證書(shū)所有者的名稱、唯一標(biāo)識(shí)證書(shū)者的名稱、證書(shū)所有者的公開(kāi)密鑰、證書(shū)者的數(shù)字簽名、證書(shū)的有效期及證書(shū)的序列號(hào)等。在用數(shù)字證書(shū)對(duì)雙方的身份驗(yàn)證后，雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。其運(yùn)行機(jī)制是：

①在建立連接過(guò)程中采用公開(kāi)密鑰；

②在會(huì)話過(guò)程中使用專有密鑰；

③加密的類型和強(qiáng)度則在兩端之間建立連接過(guò)程中判斷決定。

采用SSL協(xié)議的電子交易過(guò)程如下：

①表示客戶購(gòu)買的信息首先發(fā)往商家；②表示商家再將信息轉(zhuǎn)發(fā)銀行；③和⑤表示銀行驗(yàn)證客戶的信息的合法性后，再通知商家和客戶付款成功；④表示商家再通知客戶購(gòu)買成功。

這個(gè)流程有兩個(gè)方面的缺點(diǎn)：首先，客戶的銀行資料信息先送到商家，讓商家閱讀，這樣，客戶銀行資料的安全性就得不到保證；其次，SSL只能保證資料傳遞過(guò)程的安全，而傳遞過(guò)程是否有人截取就無(wú)法保證了。所以，SSL并沒(méi)有實(shí)現(xiàn)電子支付所要求的保密性、完整性，而多方互相認(rèn)證也很困難的。

SET協(xié)議

SET協(xié)議是一個(gè)能保證通過(guò)開(kāi)放網(wǎng)絡(luò)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)。采用這種協(xié)議它主要解決了以下問(wèn)題。

首先是客戶資料雖然通過(guò)商家到達(dá)銀行，但商家不能閱讀這些資料，解決了客戶資料的安全性問(wèn)題；其次是協(xié)議解決了網(wǎng)上交易存在的客戶與銀行之間、客戶與商家之間、商家與銀行之間的多方認(rèn)證問(wèn)題；再其次是由于整個(gè)交易過(guò)程是建立在Intranet，Extranet和Internet的網(wǎng)絡(luò)基礎(chǔ)上的，保證了網(wǎng)上交易的實(shí)時(shí)性。

SET協(xié)議下的交易模式如下：

SET使訂單信息和信用卡信息的隔離。在把包含信用卡號(hào)碼信息的訂單送到商家時(shí)，商家只能看到訂單信息，卻看不到信用卡號(hào)碼信息，并且需要持卡人和商家相互認(rèn)證，確定通信雙方身份，一般由認(rèn)證中心為雙方提供信用擔(dān)保。

SET定義了一個(gè)完備的電子交易流程，較好地解決了電子交易中各方間復(fù)雜的信任關(guān)系和安全連接，確保了電子交易中信息的真實(shí)性、保密性、防抵賴性和不可更改性。但由于SET協(xié)議龐大而又復(fù)雜，銀行、商家和客戶均需改造才能實(shí)現(xiàn)互操作，使得SET協(xié)議被普遍使用還需有一個(gè)過(guò)程。在我國(guó)，大多尚處在對(duì)SSL協(xié)議的應(yīng)用上，要完全實(shí)現(xiàn)SET協(xié)議安全支付還要有一個(gè)過(guò)程。

(3)其它安全問(wèn)題

對(duì)于電子商務(wù)的安全性來(lái)講，有了防火墻與安全協(xié)議和規(guī)范還不夠，一方面，網(wǎng)絡(luò)本身的物理差錯(cuò)是難以避免的；另一方面，Internet主干網(wǎng)和DNS服務(wù)器的可靠性，撥號(hào)連接質(zhì)量與速度還不能滿足人們的需求；另外，惡意代碼對(duì)網(wǎng)絡(luò)系統(tǒng)的威脅，單純依賴技術(shù)是很難解決的，從某種意義上講，依靠管理加強(qiáng)內(nèi)部人員的安全防范意識(shí)等比安全技術(shù)更為重要。因此，要加強(qiáng)電子商務(wù)的安全性應(yīng)從多方面入手。

三、對(duì)我國(guó)電子商務(wù)發(fā)展的幾點(diǎn)建議

1．提高服務(wù)的安全性

電子商務(wù)飛快的發(fā)展速度，致使其安全技術(shù)和安全管理都跟不上，這已成為越來(lái)越突出的問(wèn)題，但不能因?yàn)榘踩珕?wèn)題而制約了電子商務(wù)的發(fā)展，使安全成為發(fā)展的瓶頸，發(fā)展是首位的，沒(méi)有發(fā)展安全就無(wú)從談起。

2．加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)普及程度

發(fā)展電子商務(wù)的目的在于降低交易成本，提高交易效率，因此應(yīng)積極發(fā)展高速寬帶通信信道，重點(diǎn)建設(shè)光纜和衛(wèi)星通信，同時(shí)積極利用現(xiàn)有通信線路發(fā)展ISDN和ADSL接入，利用有線電視線路，試驗(yàn)發(fā)展HFC接入網(wǎng)。

3．盡快完善有關(guān)網(wǎng)絡(luò)安全等方面的法律

我國(guó)政府在《中華人民共和國(guó)合同法》中規(guī)定了以電子媒體為載體的合同具有法律約束力，對(duì)推廣電子商務(wù)有很大的促進(jìn)作用，但是在諸多方面還需順應(yīng)網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷完善。

4．加快銀行、稅務(wù)以及郵政等物流環(huán)節(jié)的信息化建設(shè)步伐，建立企業(yè)到企業(yè)(BtoB)、企業(yè)到客戶(BtoC)的商務(wù)溝通，實(shí)現(xiàn)網(wǎng)上資金流動(dòng)，解決目前有形商品交易環(huán)節(jié)中的流通因難。

5．轉(zhuǎn)變?nèi)藗兠鎸?duì)面交易的消費(fèi)習(xí)慣

目前，基于Internet的電子商務(wù)應(yīng)用還剛剛開(kāi)始，許多方面都還不夠完善，并且，我國(guó)和發(fā)達(dá)國(guó)家之間的差距很大，這就要求我們密切關(guān)注電子商務(wù)的動(dòng)向，探討電子商務(wù)中存在的技術(shù)問(wèn)題，加大推廣力度，以把握住網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代這一良好的發(fā)展時(shí)機(jī)，讓電子商務(wù)在我國(guó)經(jīng)濟(jì)建設(shè)中發(fā)揮它最大的作用。

參考文獻(xiàn)：

第7篇：電子商務(wù)安全范文

1.1電子商務(wù)環(huán)境下用戶數(shù)據(jù)存在的技術(shù)風(fēng)險(xiǎn)

1.1.1硬件風(fēng)險(xiǎn)

自從1946年世界上第一臺(tái)計(jì)算機(jī)誕生后，計(jì)算機(jī)一直都被稱為西方世界的產(chǎn)物。計(jì)算機(jī)和有關(guān)產(chǎn)品的制造技術(shù)，大部分都是國(guó)外產(chǎn)商在控制，中國(guó)的計(jì)算機(jī)制造業(yè)，很多就是停駐在周邊的產(chǎn)品上，沒(méi)有自主知識(shí)產(chǎn)權(quán)的意識(shí)。處于電子商務(wù)環(huán)境中，用戶數(shù)控的管理與計(jì)算機(jī)技術(shù)息息相關(guān)。由于計(jì)算機(jī)技術(shù)的迅速發(fā)展，所以硬件的更新也要不停地加快速度。如果一個(gè)老化的設(shè)備沒(méi)有得到及時(shí)的更新，就會(huì)使存儲(chǔ)數(shù)據(jù)無(wú)法得到穩(wěn)定，電子商務(wù)系統(tǒng)的兼容性也會(huì)降低，會(huì)造成用戶數(shù)據(jù)的質(zhì)量與應(yīng)用受到影響。因此，這種過(guò)時(shí)的裝備會(huì)成為不法份子所要攻擊的對(duì)象。

1.1.2軟件風(fēng)險(xiǎn)

這幾年，軟件平臺(tái)經(jīng)常改朝換代，被淘汰掉的軟件環(huán)境，可能是因?yàn)闆](méi)有相對(duì)應(yīng)的運(yùn)行環(huán)境造成不能操作的情況，導(dǎo)致原有數(shù)據(jù)被損壞。所以，對(duì)于運(yùn)行用戶數(shù)據(jù)的軟件平臺(tái)一定要實(shí)施定期有效的檢測(cè)和維護(hù)，才能保證數(shù)據(jù)的可靠性和完整性。目前網(wǎng)絡(luò)在線的升級(jí)與維護(hù)，深受廣大用戶的喜愛(ài)。但是這樣的方式會(huì)使電子商務(wù)系統(tǒng)的信息存在極大的安全風(fēng)險(xiǎn)，因?yàn)樯?jí)與維護(hù)數(shù)據(jù)包，傳輸路線，數(shù)據(jù)發(fā)送方都無(wú)法確定身份和來(lái)源，那就很難實(shí)施第三方的測(cè)試，所以也就不能保證安全性與可靠性，因此一定要選擇具有相當(dāng)高的可靠性方式。在升級(jí)維護(hù)的時(shí)候，這些數(shù)據(jù)可能會(huì)被不法份子利用，這樣就會(huì)成為直接攻擊用戶數(shù)據(jù)的捷徑。

1.2電子商務(wù)環(huán)境下用戶數(shù)據(jù)存在的管理風(fēng)險(xiǎn)

1.2.1制度缺失

2012中國(guó)個(gè)人信息保護(hù)大會(huì)于2012年3月15日在京召開(kāi)。由中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院，中國(guó)軟件評(píng)測(cè)中心舉辦的會(huì)議“，保護(hù)個(gè)人信息，增強(qiáng)行業(yè)自律”是這個(gè)會(huì)議所要宣揚(yáng)的主題。工業(yè)與信息化部電子科學(xué)技術(shù)情報(bào)研究所副所長(zhǎng)劉九如在會(huì)上表明，自2011年下半年開(kāi)始，電子科學(xué)情報(bào)研究所對(duì)個(gè)人信息保護(hù)也展開(kāi)了研究工作，2500多份調(diào)查問(wèn)卷交予社會(huì)公眾，而且拜訪了騰訊和百度等很多公司。從調(diào)查中發(fā)現(xiàn)，中國(guó)的信息存在著嚴(yán)重的安全風(fēng)險(xiǎn)，調(diào)查中大約有75%的公眾提出要增強(qiáng)立法保護(hù)個(gè)人信息。筆者急切地希望我國(guó)對(duì)于法律法規(guī)方面加強(qiáng)完善，最好能夠制定關(guān)于個(gè)人信息的保護(hù)法。

1.2.2重視不足

電子商務(wù)行業(yè)在繁榮發(fā)展的時(shí)候，也有著激烈的競(jìng)爭(zhēng)力。電子商務(wù)的從業(yè)者為了能夠在競(jìng)爭(zhēng)中得到有利的位置，都會(huì)使用降低成本的手段，從而提升利潤(rùn)。所以在這種過(guò)程中，往往只追求利益的存在而忽略安全的問(wèn)題。首先是由于安全工作無(wú)法直接帶來(lái)有效的效益，乃至只能投入而無(wú)法產(chǎn)出的情況；其次是由于安全工作中具有長(zhǎng)期性與復(fù)雜性，需要的資金量是很大的，因?yàn)檫@是一個(gè)漫長(zhǎng)的過(guò)程，所以在短時(shí)間里是不能夠獲取收益的；最后是因?yàn)橹袊?guó)的電子商務(wù)從業(yè)者都存在缺乏經(jīng)驗(yàn)的情況，對(duì)于安全問(wèn)題沒(méi)有完全的認(rèn)知能力。

1.2.3用戶安全意識(shí)淡薄

用戶對(duì)于安全的意識(shí)很薄弱也會(huì)影響到用戶數(shù)據(jù)安全。由于數(shù)據(jù)的所有者就是用戶，若用戶自己對(duì)于個(gè)人信息都沒(méi)有安全意識(shí)，那就更談不上數(shù)據(jù)安全了。中國(guó)用戶對(duì)于個(gè)人信息的保護(hù)意識(shí)與能力一點(diǎn)都不符合電子商務(wù)高速的發(fā)展。存在的主要問(wèn)題有：對(duì)于殺毒軟件沒(méi)有進(jìn)行及時(shí)的升級(jí)和查殺；隨便安裝來(lái)路不明的軟件和插件；訪問(wèn)沒(méi)有安全性的網(wǎng)站或者是被“釣魚(yú)”；密碼設(shè)置的過(guò)于簡(jiǎn)單或者是長(zhǎng)時(shí)間不更換；對(duì)于個(gè)人信息隨意散布或者主動(dòng)透露；網(wǎng)絡(luò)交友不慎，輕信謠言導(dǎo)致受騙等。

二、電子商務(wù)環(huán)境下用戶數(shù)據(jù)安全管理的對(duì)策建議

2.1用戶數(shù)據(jù)安全管理的目標(biāo)

用戶數(shù)據(jù)的安全管理目標(biāo)是為了保障用戶數(shù)據(jù)在收集、加工、存儲(chǔ)、利用的全部生命周期中，其中原始性、真實(shí)性、完整性與有效性都不要受到外界原因的影響，不因?yàn)橥话l(fā)事件和惡意的因素而受到破壞，更改與泄露。主要包含了以下幾個(gè)方面。

2.1.1保證用戶數(shù)據(jù)支撐環(huán)境的完整可用

用戶數(shù)據(jù)的支撐環(huán)境是指對(duì)于用戶數(shù)據(jù)實(shí)施讀取、修改、輸出、維護(hù)之類操作的計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)。處于電子商務(wù)環(huán)境中，用戶數(shù)據(jù)的管理脫離不了計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)。如果脫離支撐環(huán)境，用戶數(shù)據(jù)就沒(méi)有了存在的價(jià)值與意義，就存在著看不到也摸不到的情況。所以想要保障用戶數(shù)據(jù)的安全，就要實(shí)施保護(hù)支撐環(huán)境，保證系統(tǒng)的正常運(yùn)作并且安全具有可靠性。

2.1.2保證用戶數(shù)據(jù)載體的安全

用戶數(shù)據(jù)是根據(jù)磁、光之類的介質(zhì)作為保存載體的，若離開(kāi)了載體，用戶數(shù)據(jù)是不可能獨(dú)立存在的。載體是用戶可以一直生存下去的基本環(huán)境。用戶數(shù)據(jù)的安全性是和載體的可靠性與安全性密切相關(guān)的。因?yàn)檩d體需要存儲(chǔ)用戶數(shù)據(jù)的數(shù)量很大，所以經(jīng)常被作為主要的攻擊對(duì)象。若載體出現(xiàn)故障或者被惡意攻擊，就會(huì)導(dǎo)致用戶數(shù)據(jù)不能讀取或被泄露，受到不能彌補(bǔ)的損失。所以，確保用戶數(shù)據(jù)載體的實(shí)體安全性，是用戶數(shù)據(jù)必須具有的管理。

2.2用戶數(shù)據(jù)安全管理體系設(shè)計(jì)

2.2.1技術(shù)方面

(1)反病毒和安全掃描技術(shù)。在計(jì)算機(jī)網(wǎng)絡(luò)中病毒是很常見(jiàn)的，也是最大的安全問(wèn)題。計(jì)算機(jī)病毒會(huì)因?yàn)橛?jì)算機(jī)的發(fā)展而變化，也會(huì)因?yàn)榫W(wǎng)絡(luò)的繁榮而有效地得到大規(guī)模傳播與擴(kuò)散。計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)一直都存在安全漏洞的問(wèn)題，這是無(wú)法泯滅的，只能減少安全隱患。在防御病毒攻擊與填補(bǔ)安全漏洞中用到的主要手段就是反病毒與安全掃描技術(shù)。利用病毒查殺與實(shí)時(shí)防御，不僅可以及時(shí)地將已經(jīng)存在的病毒清除掉，還可以防御新病毒的侵入和病毒對(duì)數(shù)據(jù)所造成的破壞和泄露。通過(guò)安全掃描會(huì)發(fā)現(xiàn)軟件中會(huì)有漏洞和“后門”程序的存在，可以安裝補(bǔ)丁，預(yù)防漏洞與“后門”被不法分子利用，給數(shù)據(jù)造成安全隱患。

(2)防火墻和入侵檢測(cè)技術(shù)。防火墻屬于一種隔離技術(shù)，位于特定區(qū)域和外界環(huán)境的中心處，可以掌控特定區(qū)域和外界的溝通，起到了保護(hù)特定區(qū)域安全的作用。計(jì)算機(jī)與網(wǎng)絡(luò)的環(huán)境中，軟件和硬件的結(jié)合就形成了防火墻，能夠依據(jù)安全策略掌控進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)的行為和流向，并且可以將日志保存，實(shí)施審核。在電子商務(wù)中，像計(jì)算機(jī)、服務(wù)器這些用戶數(shù)據(jù)存儲(chǔ)與運(yùn)行的設(shè)備都需要安裝防火墻，因?yàn)榉阑饓梢宰鳛椴话踩蛩氐倪^(guò)濾器。能夠?qū)?shù)據(jù)實(shí)施實(shí)時(shí)的監(jiān)控，并且可以對(duì)那些數(shù)據(jù)訪問(wèn)的請(qǐng)求實(shí)施判別，還能及時(shí)地拒絕、中斷、防御有可疑性的訪問(wèn)與傳輸行為。實(shí)時(shí)檢測(cè)和事后檢測(cè)都屬于入侵檢測(cè)技術(shù)。

2.2.2管理方面

電子商務(wù)環(huán)境中的用戶數(shù)據(jù)所存在的安全隱患，大部分都是因?yàn)楣芾淼脑?。這就是“千里之堤，潰于蟻穴”。管理方面出現(xiàn)一個(gè)小漏洞，都會(huì)給用戶數(shù)據(jù)帶來(lái)安全隱患。所以，在管理用戶數(shù)據(jù)的制度中，要做好很多保護(hù)策略，確保數(shù)據(jù)的安全性。只有將法律法規(guī)進(jìn)行深度的完善，加強(qiáng)執(zhí)法力度，提升制度的適用性與可操作性，建立完整的監(jiān)督制度，將社會(huì)監(jiān)督發(fā)展下去，這樣才能夠推動(dòng)個(gè)人信息安全的保護(hù)工作。在有需要的時(shí)候，也可以借助其他國(guó)家的經(jīng)驗(yàn)，將第三方評(píng)測(cè)機(jī)構(gòu)引進(jìn)我國(guó)，可以對(duì)收集與個(gè)人信息企業(yè)的安全管理水準(zhǔn)實(shí)施鑒定，可以提供可靠的信息給政府執(zhí)法，將企業(yè)的信息保護(hù)制度做到更好。關(guān)于用戶數(shù)據(jù)的安全管理體系，所介入的范圍很廣泛，涵蓋層面也比較多。利用多措并舉的方式，實(shí)施齊抓并管，這樣就可以保證這個(gè)體系的正常運(yùn)作，還能夠從根源上保護(hù)用戶數(shù)據(jù)的安全。

三、結(jié)語(yǔ)

第8篇：電子商務(wù)安全范文

要加強(qiáng)電子商務(wù)的安全，需要企業(yè)本身采取更為嚴(yán)格的管理措施，需要國(guó)家建立健全法律制度，更需要有科學(xué)的先進(jìn)的安全技術(shù)。

在電子商務(wù)的交易中，經(jīng)濟(jì)信息、資金都要通過(guò)網(wǎng)絡(luò)傳輸，交易雙方的身份也需要認(rèn)證，因此，電子商務(wù)的安全性主要是網(wǎng)絡(luò)平臺(tái)的安全和交易信息的安全。而網(wǎng)絡(luò)平臺(tái)的安全是指網(wǎng)絡(luò)操作系統(tǒng)對(duì)抗網(wǎng)絡(luò)攻擊、病毒，使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運(yùn)行。常用的保護(hù)措施有防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)防毒技術(shù)。交易信息的安全是指保護(hù)交易雙方的不被破壞、不泄密，和交易雙方身份的確認(rèn)?？梢杂脭?shù)據(jù)加密、數(shù)字簽名、數(shù)字證書(shū)、ssl、set安全協(xié)議等技術(shù)來(lái)保護(hù)。

在這里我想重點(diǎn)談?wù)劮阑饓夹g(shù)和數(shù)據(jù)加密技術(shù)。

一、防火墻技術(shù)。

防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來(lái)保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實(shí)際上,防火墻是加強(qiáng)Intranet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。所有來(lái)自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:(1)過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);(2)管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為;(3)封堵某些禁止行為;(4)記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);(5)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

新一代的防火墻產(chǎn)品一般運(yùn)用了以下技術(shù)：

(1)透明的訪問(wèn)方式。

以前的防火墻在訪問(wèn)方式上要么要求用戶做系統(tǒng)登錄,要么需要通過(guò)SOCKS等庫(kù)路徑修改客戶機(jī)的應(yīng)用。而現(xiàn)在的防火墻利用了透明的系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。

(2)靈活的系統(tǒng)。

系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。采用兩種機(jī)制:一種用于從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接;另一種用于從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來(lái)解決,后者采用非保密的用戶定制或保密的系統(tǒng)技術(shù)來(lái)解決。

(3)多級(jí)過(guò)濾技術(shù)。

為保證系統(tǒng)的安全性和防護(hù)水平,防火墻采用了三級(jí)過(guò)濾措施,并輔以鑒別手段。在分組過(guò)濾一級(jí),能過(guò)濾掉所有的源路由分組和假冒IP地址;在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí),能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測(cè)Internet提供的所有通用服務(wù);在電路網(wǎng)關(guān)一級(jí),實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透膽連接,并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。

(4)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。

防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個(gè)主機(jī)的通信,確保每個(gè)分組送往正確的地址。

(5)Internet網(wǎng)關(guān)技術(shù)。

由于是直接串聯(lián)在網(wǎng)絡(luò)之中,防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù),同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞,故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來(lái)實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性,對(duì)所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。在域名服務(wù)方面,新一代防火墻采用兩種獨(dú)立的域名服務(wù)器:一種是內(nèi)部DNS服務(wù)器,主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息;另一種是外部DNS服務(wù)器,專門用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部分DNS信息。在匿名FTP方面,服務(wù)器只提供對(duì)有限的受保護(hù)的部分目錄的只讀訪問(wèn)。在WWW服務(wù)器中,只支持靜態(tài)的網(wǎng)頁(yè),而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行。在Finger服務(wù)器中,對(duì)外部訪問(wèn),防火墻只提供可由內(nèi)部用戶配置的基本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對(duì)所有進(jìn)、出防火墻的郵件做處理,并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對(duì)用戶連接的識(shí)別做專門處理,網(wǎng)絡(luò)新聞服務(wù)則為接收來(lái)自ISP的新聞開(kāi)設(shè)了專門的磁盤(pán)空間。

(6)安全服務(wù)器網(wǎng)絡(luò)(SSN)。

為了適應(yīng)越來(lái)越多的用戶向Internet上提供服務(wù)時(shí)對(duì)服務(wù)器的需要,新一代防火墻采用分別保護(hù)的策略對(duì)用戶上網(wǎng)的對(duì)外服務(wù)器實(shí)施保護(hù),它利用一張網(wǎng)卡將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理,對(duì)外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分,又與內(nèi)部網(wǎng)關(guān)完全隔離,這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對(duì)SSN上的主機(jī)既可單獨(dú)管理,也可設(shè)置成通過(guò)FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多,因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù),SSN與內(nèi)部網(wǎng)之間也有防火墻的保護(hù),而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下,而一旦DMZ受到破壞,內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。

(7)用戶鑒別與加密。

為了降低防火墻產(chǎn)品在Ielnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn),鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統(tǒng)來(lái)作為用戶的鑒別手段,并實(shí)現(xiàn)了對(duì)郵件的加密。

(8)用戶定制服務(wù)。

為了滿足特定用戶的特定需求,新一代防火墻在提供眾多服務(wù)的同時(shí),還為用戶定制提供支持,這類選項(xiàng)有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個(gè)數(shù)據(jù)庫(kù)的,便可以利用這些支持,方便設(shè)置。

(9)審計(jì)和告警。

新一代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全,日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問(wèn)、告警條件、管理日志、進(jìn)站、FTP、出站、郵件服務(wù)器、域名服務(wù)器等。告警功能會(huì)守住每一個(gè)TCP或UDP探尋,并能以發(fā)出郵件、聲響等多種方式報(bào)警。此外,防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。

目前的防火墻主要有兩種類型。其一是包過(guò)濾型防火墻。它一般由路由器實(shí)現(xiàn)，故也被稱為包過(guò)濾路由器。它在網(wǎng)絡(luò)層對(duì)進(jìn)入和出去內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，一般檢查數(shù)據(jù)包的IP源地址、IP目標(biāo)地址、TCP端口號(hào)、ICMP消息類型，并按照信息過(guò)濾規(guī)則進(jìn)行篩選，若符合規(guī)則，則允許該數(shù)據(jù)包通過(guò)防火墻進(jìn)入內(nèi)部網(wǎng)，否則進(jìn)行報(bào)警或通知管理員，并且丟棄該包。這樣一來(lái)，路由器能根據(jù)特定的劌則允許或拒絕流動(dòng)的數(shù)據(jù)，如：Telnet服務(wù)器在TCP的23號(hào)端口監(jiān)聽(tīng)遠(yuǎn)程連接，若管理員想阻塞所有進(jìn)入的Telnet連接，過(guò)濾規(guī)則只需設(shè)為丟棄所有的TCP端口號(hào)為23的數(shù)據(jù)包。采用這種技術(shù)的防火墻速度快，實(shí)現(xiàn)方便，但由于它是通過(guò)IP地址來(lái)判斷數(shù)據(jù)包是否允許通過(guò)，沒(méi)有基于用戶的認(rèn)證，而IP地址可以偽造成可信任的外部主機(jī)地址，另外它不能提供日志，這樣一來(lái)就無(wú)法發(fā)現(xiàn)黑客的攻擊紀(jì)錄。

其二是應(yīng)用級(jí)防火墻。大多數(shù)的應(yīng)用級(jí)防火墻產(chǎn)品使用的是應(yīng)用機(jī)制，內(nèi)置了應(yīng)用程序，可用服務(wù)器作內(nèi)部網(wǎng)和Internet之間的的轉(zhuǎn)換。若外部網(wǎng)的用戶要訪問(wèn)內(nèi)部網(wǎng)，它只能到達(dá)服務(wù)器，若符合條件，服務(wù)器會(huì)到內(nèi)部網(wǎng)取出所需的信息，轉(zhuǎn)發(fā)出去。同樣道理，內(nèi)部網(wǎng)要訪問(wèn)Internet,也要通過(guò)服務(wù)器的轉(zhuǎn)接，這樣能監(jiān)控內(nèi)部用戶訪問(wèn)Internet.這類防火墻能詳細(xì)記錄所有的訪問(wèn)紀(jì)錄，但它不允許內(nèi)部用戶直接訪問(wèn)外部，會(huì)使速度變慢。且需要對(duì)每一個(gè)特定的Internet服務(wù)安裝相應(yīng)的服務(wù)器軟件，用戶無(wú)法使用未被服務(wù)器支持的服務(wù)。

防火墻技術(shù)從其功能上來(lái)分，還可以分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等等。通常幾種防火墻技術(shù)被一起使用，以彌補(bǔ)各自的缺陷和增加系統(tǒng)的安全性能。

防火墻雖然能對(duì)外部網(wǎng)絡(luò)的功擊實(shí)施有效的防護(hù)，但對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)的功擊卻無(wú)能為力。網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需考慮其它技術(shù)和非技術(shù)的因素，如信息加密技術(shù)、制訂法規(guī)、提高網(wǎng)絡(luò)管理使用人員的安全意識(shí)等。就防火墻本身來(lái)看，包過(guò)濾技術(shù)和訪問(wèn)模式等都有一定的局限性，因此人們正在尋找更有效的防火墻，如加密路由器、“身份證”、安全內(nèi)核等。但實(shí)踐證明，防火墻仍然是網(wǎng)絡(luò)安全中最成熟的一種技術(shù)。

二、數(shù)據(jù)加密技術(shù)

在電子商務(wù)中，信息加密技術(shù)是其它安全技術(shù)的基礎(chǔ)，加密技術(shù)是指通過(guò)使用代碼或密碼將某些重要信息和數(shù)據(jù)從一個(gè)可以理解的明文形式變換成一種復(fù)雜錯(cuò)亂的、不可理解的密文形式（即加密），在線路上傳送或在數(shù)據(jù)庫(kù)中存儲(chǔ)，其他用戶再將密文還原成明文（即解密），從而保障信息數(shù)據(jù)的安全性。

數(shù)據(jù)加密的方法很多，常用的有兩大類。一種是對(duì)稱加密。一種是非對(duì)稱密鑰加密。對(duì)稱加密也叫秘密密鑰加密。發(fā)送方用密鑰加密明文，傳送給接收方，接收方用同一密鑰解密。其特點(diǎn)是加密和解密使用的是同一個(gè)密鑰。典型的代表是美國(guó)國(guó)家安全局的DES。它是IBM于1971年開(kāi)始研制，1977年美國(guó)標(biāo)準(zhǔn)局正式頒布其為加密標(biāo)準(zhǔn)，這種方法使用簡(jiǎn)單，加密解密速度快，適合于大量信息的加密。但存在幾個(gè)問(wèn)題：第一，不能保證也無(wú)法知道密鑰在傳輸中的安全。若密鑰泄漏，黑客可用它解密信息，也可假冒一方做壞事。第二，假設(shè)每對(duì)交易方用不同的密鑰，N對(duì)交易方需要N*(N-1)/2個(gè)密鑰，難于管理。第三，不能鑒別數(shù)據(jù)的完整性。

非對(duì)稱密鑰加密也叫公開(kāi)密鑰加密。公鑰加密法是在對(duì)數(shù)據(jù)加解密時(shí)，使用不同的密鑰，在通信雙方各具有兩把密鑰，一把公鑰和一把密鑰。公鑰對(duì)外界公開(kāi)，私鑰自己保管，用公鑰加密的信息，只能用對(duì)應(yīng)的私鑰解密，同樣地，用私鑰解密的數(shù)據(jù)只能用對(duì)應(yīng)的公鑰解密。具體加密傳輸過(guò)程如下：

（1）發(fā)送方甲用接收方乙的公鑰加密自己的私鑰。

（2）發(fā)送方家用自己的私鑰加密文件，然后將加密后的私鑰和文件傳輸給接收方。

（3）接收方乙用自己的私鑰解密，得到甲的私鑰。

（4）接收方乙用甲的公鑰解密，得到明文。

這個(gè)過(guò)程包含了兩個(gè)加密解密過(guò)程：密鑰的加解密和文件本身的加解密。在密鑰的加密過(guò)程中，由于發(fā)送方甲用乙的公鑰加密了自己的私鑰，如果文件被竊取，由于只有乙保管自己的私鑰，黑客無(wú)法解密。這就保證了信息的機(jī)密性。另外，發(fā)送方甲用自己的私鑰加密信息，因?yàn)樾畔⑹怯眉椎乃借€加密，只有甲保管它，可以認(rèn)定信息是甲發(fā)出的，而且沒(méi)有甲的私鑰不能修改數(shù)據(jù)?？梢员ＷC信息的不可抵賴性。

第9篇：電子商務(wù)安全范文

關(guān)鍵詞： 電子商務(wù) 安全套接層協(xié)議 安全電子交易 認(rèn)證中心

1 電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國(guó)迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過(guò)程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來(lái)看，傳統(tǒng)的買賣雙方是面對(duì)面的，因此較容易保證交易過(guò)程的安全性和建立起信任關(guān)系。但在電子商務(wù)過(guò)程中，買賣雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。電子商務(wù)交易雙方（銷售者和消費(fèi)者）都面臨安全威脅。電子商務(wù)的安全要素主要體現(xiàn)在以下幾個(gè)方面：

信息有效性、真實(shí)性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

信息完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^；不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書(shū)面文件上手寫(xiě)簽名或印章來(lái)鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無(wú)紙化的電子商務(wù)方式下，通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在1nternet上每個(gè)人都是匿名的。原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

2 電子商務(wù)的安全技術(shù)討論

2．1 電子商務(wù)的安全技術(shù)之一-----數(shù)據(jù)加密技術(shù)

加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。

面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過(guò)加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。在網(wǎng)絡(luò)層上實(shí)現(xiàn)的加密技術(shù)對(duì)于網(wǎng)絡(luò)應(yīng)用層的用戶通常是透明的。此外，通過(guò)適當(dāng)?shù)拿荑€管理機(jī)制，使用這一方法還可以在公用的互聯(lián)網(wǎng)絡(luò)上建立虛擬專用網(wǎng)絡(luò)并保障虛擬專用網(wǎng)上信息的安全性。

面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法，例如使用kerberos服務(wù)的telnet、nfs、rlogion等，以及用作電子郵件加密的pem（privacy enhanced mail）和pgp（pretty good privacy）。這一類加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對(duì)較為簡(jiǎn)單，不需要對(duì)電子信息（數(shù)據(jù)包）所經(jīng)過(guò)的網(wǎng)絡(luò)的安全性能提出特殊要求，對(duì)電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。

1） 常用的加密技術(shù)分類：

對(duì)稱密鑰密碼算法

對(duì)稱（傳統(tǒng)）密碼體制是從傳統(tǒng)的簡(jiǎn)單換位代替密碼發(fā)展而來(lái)的，自1977年美國(guó)頒布des密碼算法作為美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)以來(lái)，對(duì)稱密鑰密碼體制得到了迅猛發(fā)展，得到了世界各國(guó)關(guān)注和使用。對(duì)稱密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類。

不對(duì)稱型加密算法

也稱公用密鑰算法，其特點(diǎn)是有二個(gè)密鑰即公用密鑰和私有密鑰，只有二者配合使用才能完成加密和解密的全過(guò)程。

由于不對(duì)稱算法擁有二個(gè)密鑰，因此它特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密，在Internet中得到了廣泛應(yīng)用。其中公用密鑰在網(wǎng)上公布，為數(shù)據(jù)源對(duì)數(shù)據(jù)加密使用，而用于解密的相應(yīng)私有密鑰則由數(shù)據(jù)的收信方妥善保管。

不可逆加密算法

其特征是加密過(guò)程不需要密鑰，并且經(jīng)過(guò)加密的數(shù)據(jù)無(wú)法被解密，只有同樣的輸入數(shù)據(jù)經(jīng)過(guò)同樣的不可逆加密算法才能得到相同的加密數(shù)據(jù)。不可逆加密算法不存在密鑰保管和分發(fā)問(wèn)題，適合于分布式網(wǎng)絡(luò)系統(tǒng)上使用，但是其加密計(jì)算工作量大，所以通常用于數(shù)據(jù)量有限的情形的加密，例如計(jì)算機(jī)系統(tǒng)中的口令的加密。

2） 電子商務(wù)領(lǐng)域常用的加密技術(shù)

數(shù)字摘要(digital digest)

這一加密方法亦稱安全Hash編碼法，由Ron Rivest所設(shè)計(jì)。該編碼法采用單向Hash 函數(shù)將需加密的明文"摘要"成一串128bit的密文，這一串密文亦稱為數(shù)字指紋(Finger Print)，它有固定的長(zhǎng)度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗(yàn)證明文是否是"真身"的"指紋"了。

數(shù)字簽名(digital signature)

數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來(lái)使用。在書(shū)面文件上簽名是確認(rèn)文件的一種手段，簽名的作用有兩點(diǎn)，一是因?yàn)樽约旱暮灻y以否認(rèn)，從而確認(rèn)了文件已簽署這一事實(shí)；二是因?yàn)楹灻灰追旅埃瑥亩_定了文件是真的這一事實(shí)。

數(shù)字時(shí)間戳(digital time-stamp)

交易文件中，時(shí)間是十分重要的信息。在書(shū)面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。在電子交易中，同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。

數(shù)字時(shí)間戳服務(wù)(DTS)是網(wǎng)上安全服務(wù)項(xiàng)目，由專門的機(jī)構(gòu)提供。時(shí)間戳(time-stamp) 是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：1)需加時(shí)間戳的文件的摘要(digest)，2)DTS收到文件的日期和時(shí)間，3)DTS的數(shù)字簽名。

數(shù)字證書(shū)(digital certificate，digital ID)

數(shù)字證書(shū)又稱為數(shù)字憑證，是用電子手段來(lái)證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問(wèn)的權(quán)限。

數(shù)字憑證有三種類型：

·個(gè)人憑證(Personal Digital ID)

·企業(yè)（服務(wù)器）憑證(Server ID)

·軟件（開(kāi)發(fā)者）憑證(Developer ID)

上述三類憑證中前二類是常用的憑證，第三類則用于較特殊的場(chǎng)合，大部分認(rèn)證中心提供前兩類憑證。

3） 與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論：

SSL協(xié)議（Secure Sockets Layer）安全套接層協(xié)議

------面向連接的協(xié)議，當(dāng)初不是為電子商務(wù)而設(shè)計(jì)

SSL協(xié)議主要是使用公開(kāi)密鑰體制和X.509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴性，主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用Web Server方式。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如HTTP、FTP、TELNET等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩?。SSL協(xié)議獨(dú)立于應(yīng)用層協(xié)議，因此，在電子交易中被用來(lái)安全傳送信用卡號(hào)碼。

SSL的應(yīng)用及局限：中國(guó)目前多家銀行均采用SSL協(xié)議，從目前實(shí)際使用的情況來(lái)看，SSL還是人們最信賴的協(xié)議。但是SSL當(dāng)初并不是為支持電子商務(wù)而設(shè)計(jì)的，所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端。它是一個(gè)面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成， SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系；還有，購(gòu)貨時(shí)用戶要輸入通信地址，這樣將可能使得用戶收到大量垃圾信件。

SET協(xié)議（Secure Electronic Transaction）安全電子交易

------專門為電子商務(wù)而設(shè)計(jì)的協(xié)議，但仍然不能解決電子商務(wù)所遇到全部問(wèn)題

電子商務(wù)在提供機(jī)遇和便利的同時(shí)，也面臨著一個(gè)最大的挑戰(zhàn)，即交易的安全問(wèn)題。在網(wǎng)上購(gòu)物的環(huán)境中，持卡人希望在交易中保密自己的帳戶信息，使之不被人盜用；商家則希望客戶的定單不可抵賴，并且，在交易過(guò)程中，交易各方都希望驗(yàn)明其他方的身份，以防止被欺騙。針對(duì)這種情況，由美國(guó)Visa和MasterCard兩大信用卡組織聯(lián)合國(guó)際上多家科技機(jī)構(gòu)，共同制定了應(yīng)用于Internet上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全標(biāo)準(zhǔn)，這就是"安全電子交易"（SET）。它采用公鑰密碼體制和X.509數(shù)字證書(shū)標(biāo)準(zhǔn)，主要應(yīng)用于保障網(wǎng)上購(gòu)物信息的安全性。 由于SET 提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性，特別是保證不將消費(fèi)者銀行卡號(hào)暴露給商家等優(yōu)點(diǎn)，因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國(guó)際安全標(biāo)準(zhǔn)。

SET的局限性：SET是專門為電子商務(wù)而設(shè)計(jì)的協(xié)議，雖然它在很多方面優(yōu)于SSL協(xié)議，但仍然不能解決電子商務(wù)所遇到的全部問(wèn)題。

2.2 電子商務(wù)的安全技術(shù)之二------身份認(rèn)證技術(shù)

為解決Internet的安全問(wèn)題，世界各國(guó)對(duì)其進(jìn)行了多年的研究，初步形成了一套完整的Internet安全解決方案，即目前被廣泛采用的PKI（Public Key Infrastructure公鑰基礎(chǔ)設(shè)施）體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書(shū)管理公鑰，通過(guò)第三方的可信機(jī)構(gòu)CA，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息（如名稱、e-mail、身份證號(hào)等）捆綁在一起，在Internet網(wǎng)上驗(yàn)證用戶的身份，PKI體系結(jié)構(gòu)把公鑰密碼和對(duì)稱密碼結(jié)合起來(lái)，在Internet網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理，保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。

在電子交易中，無(wú)論是數(shù)字時(shí)間戳服務(wù)(DTS)還是數(shù)字證書(shū)(Digital ID)的發(fā)放，都不是靠交易的自己能完成的，而需要有一個(gè)具有權(quán)威性和公正性的第三方(third party)來(lái)完成。認(rèn)證中心(Certificate Authority)就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書(shū)、并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字憑證的申請(qǐng)、簽發(fā)及對(duì)數(shù)字憑證的管理。認(rèn)證中心依據(jù)認(rèn)證操作規(guī)定(Certification Practice Statement)來(lái)實(shí)施服務(wù)操作。

1 ）認(rèn)證系統(tǒng)的基本原理

利用RSA公開(kāi)密鑰算法在密鑰自動(dòng)管理、數(shù)字簽名、身份識(shí)別等方面的特性，可建立一個(gè)為用戶的公開(kāi)密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)。這個(gè)可信的第三方認(rèn)證系統(tǒng)也稱為CA，CA為用戶發(fā)放電子證書(shū)，用戶之間（比如網(wǎng)銀服務(wù)器和某客戶之間）利用證書(shū)來(lái)保證信息安全性和雙方身份的合法性。

2 ）認(rèn)證系統(tǒng)結(jié)構(gòu)

整個(gè)系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境，系統(tǒng)從功能上基本可以劃分為CA、RA和Web Publisher。

核心系統(tǒng)根CA放在一個(gè)單獨(dú)的封閉空間中，為了保證運(yùn)行的絕對(duì)安全，其人員及制度都有嚴(yán)格的規(guī)定，并且系統(tǒng)設(shè)計(jì)為一離線網(wǎng)絡(luò)。CA的功能是在收到來(lái)自RA的證書(shū)請(qǐng)求時(shí)，頒發(fā)證書(shū)。一般的個(gè)人證書(shū)發(fā)放過(guò)程都是自動(dòng)進(jìn)行，無(wú)須人工干預(yù)。

證書(shū)的登記機(jī)構(gòu)Register Authority，簡(jiǎn)稱RA，分散在各個(gè)網(wǎng)上銀行的地區(qū)中心。RA與網(wǎng)銀中心有機(jī)結(jié)合，接受客戶申請(qǐng)，并審批申請(qǐng)，把證書(shū)正式請(qǐng)求通過(guò)建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心。RA與CA雙方的通信報(bào)文也通過(guò)RSA進(jìn)行加密，確保安全。系統(tǒng)的分布式結(jié)構(gòu)適于新業(yè)務(wù)網(wǎng)點(diǎn)的開(kāi)設(shè)，具有較好的擴(kuò)充性。通信協(xié)議為TCP/IP。

證書(shū)的公布系統(tǒng)Web Publisher，簡(jiǎn)稱WP，置于Internet網(wǎng)上，是普通用戶和CA直接交流的界面。對(duì)用戶來(lái)講它相當(dāng)于一個(gè)在線的證書(shū)數(shù)據(jù)庫(kù)。用戶的證書(shū)由CA頒發(fā)之后，CA用E－mail通知用戶，然后用戶須用瀏覽器從這里下載證書(shū)。

證書(shū)鏈服務(wù)（有時(shí)也稱"交叉認(rèn)證"）是一個(gè)CA擴(kuò)展其信任范圍或被認(rèn)可范圍的一種實(shí)現(xiàn)機(jī)制。如果企業(yè)或機(jī)構(gòu)已經(jīng)建立了自己的CA系統(tǒng)，通過(guò)第三方認(rèn)證中心對(duì)該機(jī)構(gòu)或企業(yè)的CA簽發(fā)CA證書(shū)，能夠使得該企業(yè)或機(jī)構(gòu)的CA發(fā)放的證書(shū)被所有信任第三方認(rèn)證中心的瀏覽器、郵件客戶所信任。

3） 中國(guó)金融認(rèn)證中心CFCA的建設(shè)情況

中國(guó)對(duì)電子商務(wù)的發(fā)展也給予了應(yīng)有的重視。中國(guó)金融認(rèn)證中心CFCA（China Financial Certificate Authority）。已于2000年6月29日開(kāi)始對(duì)社會(huì)各界提供證書(shū)服務(wù)，系統(tǒng)進(jìn)入運(yùn)行狀態(tài)。中國(guó)金融認(rèn)證中心作為一個(gè)權(quán)威的、可信賴的、公正的第三方信任機(jī)構(gòu)，為參與電子商務(wù)各方的各種認(rèn)證需求提供證書(shū)服務(wù)，建立彼此的信任機(jī)制，為全國(guó)范圍內(nèi)的電子商務(wù)及網(wǎng)上銀行等網(wǎng)上支付業(yè)務(wù)提供多種模式的認(rèn)證服務(wù)，在不遠(yuǎn)的將來(lái)實(shí)現(xiàn)與國(guó)外CA的交叉認(rèn)證。

2．3電子商務(wù)的安全技術(shù)之三 網(wǎng)上支付平臺(tái)及支付網(wǎng)關(guān)

網(wǎng)上支付平臺(tái) 分為CTEC支付體系（基于CTCA/GDCS）和SET支付體系（基于CTCA/SET）。網(wǎng)上支付平臺(tái)支付型電子商務(wù)業(yè)務(wù)提供各種支付手段，包括基于SET標(biāo)準(zhǔn)的信用卡支付方式、以及符合CTEC標(biāo)準(zhǔn)的各種支付手段。

目前，在國(guó)內(nèi)可以提供網(wǎng)上支付功能服務(wù)或者網(wǎng)上支付網(wǎng)關(guān)接口的銀行有：

中國(guó)工商銀行牡丹卡

中國(guó)銀行長(zhǎng)城借記卡

中國(guó)銀行長(zhǎng)城信用卡

招商銀行一網(wǎng)通卡

中國(guó)建設(shè)銀行龍卡

MASTER/VISA/JCB卡（適用全球）

上述除中國(guó)銀行長(zhǎng)城借記卡則采用了SET1.2的加密方式外，其余全部采用SSL-128加密方式。

支付網(wǎng)關(guān) 位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間，其主要功能為：將公網(wǎng)傳來(lái)的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包；接收銀行系統(tǒng)內(nèi)部的傳回來(lái)的響應(yīng)消息，將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式，并對(duì)其進(jìn)行加密。即支付網(wǎng)關(guān)主要完成通信、協(xié)議轉(zhuǎn)換和數(shù)據(jù)加解密功能，并且可以保護(hù)銀行內(nèi)部網(wǎng)絡(luò)。此外，支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書(shū)管理等其它功能。

3 小結(jié)

本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù)：數(shù)據(jù)加密技術(shù)，身份認(rèn)證技術(shù) ，網(wǎng)上支付平臺(tái)及支付網(wǎng)關(guān)，指出了它們分別的使用范圍及其優(yōu)缺點(diǎn)，但必須強(qiáng)調(diào)說(shuō)明的是，電子商務(wù)的安全運(yùn)行，僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的，還必須完善電子商務(wù)立法，以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問(wèn)題，從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn)

1 覃征編著. 電子商務(wù)導(dǎo)論. 第一版. 北京：人民郵電出版社，2001