電子商務(wù)安全解決方案(一).doc

1、電子商務(wù)安全解決方案(一 )摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的全面普及，基于Internet的電子商務(wù)在近年來(lái)取得了巨大的發(fā)展，已成為一種全新的商務(wù)模式，但安全問(wèn)題始終是制約電子商務(wù)進(jìn)一步發(fā)展的障礙。文章首先介紹了電子商務(wù)安全應(yīng)該解決的問(wèn)題，指出電子商務(wù)應(yīng)具有機(jī)密性、完整性、認(rèn)證性、不可否認(rèn)性、 不可拒絕性和訪問(wèn)控制性等六方面的具體內(nèi)容。然后從網(wǎng)絡(luò)安全技術(shù)、數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)和安全協(xié)議技術(shù)四個(gè)方面介紹了現(xiàn)有的電子商務(wù)安全技術(shù)，并在此基礎(chǔ)上提出了一個(gè)合理的電子商務(wù)安全體系架構(gòu)，同時(shí)還指出了電子商務(wù)的安全還依賴(lài)于許多社會(huì)問(wèn)題的解決。關(guān)鍵詞：電子商務(wù)安全；網(wǎng)絡(luò)安全；加密；認(rèn)證；安全協(xié)議1 引言隨著計(jì)算機(jī)網(wǎng)絡(luò)

2、與通信技術(shù)的迅猛發(fā)展，電子商務(wù)作為一種新型的商務(wù)模式，在全球范圍內(nèi)正以驚人的速度向前發(fā)展。然而由于它是基于 Internet 開(kāi)展的商務(wù)活動(dòng)， 大量重要的信息都需要在網(wǎng)上進(jìn)行傳遞，尤其還涉及到資金的流動(dòng)問(wèn)題，必然要求傳遞信息的過(guò)程足夠安全。因此如何保障交易過(guò)程和傳遞信息的安全性就成為影響電子商務(wù)發(fā)展的一個(gè)至關(guān)重要的問(wèn)題。2 電子商務(wù)安全的中心內(nèi)容電子商務(wù)系統(tǒng)的安全問(wèn)題除了包含計(jì)算機(jī)系統(tǒng)本身存在的安全隱患外，還包含了電子商務(wù)中數(shù)據(jù)的安全隱患和交易的安全隱患。要克服這些安全隱患，就需要實(shí)現(xiàn)以下六個(gè)方面的安全性。2.1 商務(wù)數(shù)據(jù)的機(jī)密性商務(wù)數(shù)據(jù)的機(jī)密性或稱(chēng)保密性是指信息在網(wǎng)絡(luò)上傳送或存儲(chǔ)的過(guò)程中不被

3、他人竊取、不被泄露或披露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過(guò)加密偽裝后，使未經(jīng)授權(quán)者無(wú)法了解其內(nèi)容。機(jī)密性可用加密和信息隱匿技術(shù)實(shí)現(xiàn)，使截獲者不能解讀加密信息的內(nèi)容。機(jī)密性的另一方面是保護(hù)通信流特性以防止被分析。2.2 商務(wù)數(shù)據(jù)的完整性商務(wù)數(shù)據(jù)的完整性或稱(chēng)正確性是保護(hù)數(shù)據(jù)不被偽授權(quán)者修改、建立、嵌入、刪除、重復(fù)傳送或由于其他的原因使原始數(shù)據(jù)被更改。在存儲(chǔ)時(shí)， 要防止非法篡改， 防止網(wǎng)站上的信息被破壞。在傳輸過(guò)程中， 如果接收方收到的信息與發(fā)送方的信息完全一樣則說(shuō)明在傳輸過(guò)程中信息沒(méi)有遭到破壞，具有完整性。2.3 商務(wù)對(duì)象的認(rèn)證性商務(wù)對(duì)象的認(rèn)證性是指網(wǎng)絡(luò)兩端的使用者在溝通之前相互確認(rèn)對(duì)方的身份，保證身

4、份的正確性。分辨參與者聲稱(chēng)身份的真?zhèn)危乐箓窝b攻擊。認(rèn)證性用數(shù)字簽名和身份認(rèn)證技術(shù)實(shí)現(xiàn)。2.4 商務(wù)服務(wù)的不可否認(rèn)性商務(wù)服務(wù)的不可否認(rèn)性是指信息的發(fā)送方不能否認(rèn)已發(fā)送的信息，接受方不能否認(rèn)已收到的信息。 這是一種法律有效性要求。交易一旦達(dá)成是不能被否認(rèn)的。否則必然會(huì)損害一方的利益。信息的不可否認(rèn)性主要用于保護(hù)通信用戶(hù)對(duì)付來(lái)自其他合法用戶(hù)的威脅。2.5 商務(wù)服務(wù)的不可拒絕性商務(wù)服務(wù)的不可拒絕性或稱(chēng)可用性是保證授權(quán)用戶(hù)在正常訪問(wèn)信息和資源時(shí)不被拒絕，即保證為用戶(hù)提供穩(wěn)定的服務(wù)?？捎眯缘牟话踩侵?“延遲 ”的威脅或 “拒絕服務(wù) ”的威脅，這類(lèi)威脅的結(jié)果是破壞計(jì)算機(jī)的正常的處理速度或完全拒絕處理。2

5、.6 訪問(wèn)的控制性訪問(wèn)的控制性是指在網(wǎng)絡(luò)上限制和控制通信鏈路對(duì)主機(jī)系統(tǒng)和應(yīng)用的訪問(wèn)：用于保護(hù)計(jì)算機(jī)系統(tǒng)的資源（信息、計(jì)算和通信資源）不被未經(jīng)授權(quán)人或以未授權(quán)方式接入、使用、修改、破壞、發(fā)出指令或植入程序等。3 電子商務(wù)安全解決方案3.1 網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全是保證電子商務(wù)安全最基本的技術(shù)，通常采用的主要有防火墻技術(shù)、VPN 技術(shù)、 反病毒技術(shù)等。3.1.1 防火墻技術(shù)防火墻技術(shù)是一種安全訪問(wèn)控制技術(shù)，用來(lái)在不安全的公共網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)局部網(wǎng)絡(luò)的安全性。它在內(nèi)部網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間構(gòu)造一個(gè)保護(hù)層，只有授權(quán)的合法用戶(hù)才能通過(guò)防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的資源進(jìn)行訪問(wèn)，從而防止來(lái)自外部互聯(lián)網(wǎng)的破壞。3.1.2V

6、PN 技術(shù)VPN 技術(shù)是利用不可靠的公共網(wǎng)絡(luò)(通常是 Internet) 作為信息的傳輸媒介，通過(guò)附加的安全隧道、用戶(hù)認(rèn)證和訪問(wèn)控制等技術(shù)實(shí)現(xiàn)與專(zhuān)用網(wǎng)絡(luò)相類(lèi)似的安全性能。它可以幫助遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)合作伙伴同公司之間建立可信的安全連接，保證數(shù)據(jù)的安全傳輸。3.1.3 反病毒技術(shù)由于在網(wǎng)絡(luò)環(huán)境下， 計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力，因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)包括了預(yù)防病毒技術(shù)、檢測(cè)病毒技術(shù)和消毒技術(shù)等。 預(yù)防病毒技術(shù)通過(guò)自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在， 進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞

7、。檢測(cè)病毒技術(shù)是通過(guò)對(duì)計(jì)算機(jī)病毒的特征來(lái)進(jìn)行判斷的技術(shù)。而消毒技術(shù)則是通過(guò)對(duì)計(jì)算機(jī)病毒的分析，開(kāi)發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。3.2 數(shù)據(jù)加密技術(shù)加密技術(shù)是電子商務(wù)的最基本信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成難以識(shí)別和理解的密文并進(jìn)行傳輸，從而確保數(shù)據(jù)的機(jī)密。主要有對(duì)稱(chēng)加密技術(shù)和非對(duì)稱(chēng)加密技術(shù)兩種。3.2.1 對(duì)稱(chēng)加密技術(shù)對(duì)稱(chēng)加密技術(shù)， 即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)，也就是說(shuō)加密和解密用同一個(gè)密鑰。它要求發(fā)送方、接收方在安全通信之前，商定一個(gè)密鑰，對(duì)稱(chēng)密鑰算法的安全性依賴(lài)于密鑰， 泄露密鑰就意味著任何人都能對(duì)消息進(jìn)行加、解密。只要通信需要保密

8、，密鑰就必須保密。它的最大優(yōu)勢(shì)是加、解密速度快，便于用硬件實(shí)現(xiàn)、適合于對(duì)大數(shù)據(jù)量進(jìn)行加密等，但密鑰管理困難。3.2.2 非對(duì)稱(chēng)加密技術(shù)非對(duì)稱(chēng)加密技術(shù)就是加密和解密所使用的不是同一個(gè)密鑰，通常有兩個(gè)密鑰，稱(chēng)為“公鑰 ”和 “私鑰 ”。 “公鑰 ”和 “私鑰 ”不能由一個(gè)推出另一個(gè)，但是“公鑰 ”加密的信息只能由“私鑰 ”解密，反之亦然。 非對(duì)稱(chēng)密鑰機(jī)制靈活，但加密和解密速度比對(duì)稱(chēng)密鑰加密慢得多，所以它不適合于對(duì)文件進(jìn)行加密，而只適用于對(duì)少量數(shù)據(jù)進(jìn)行加密。3.3 認(rèn)證技術(shù)目前，僅有加密技術(shù)不足以保證電子商務(wù)中的交易安全，身份認(rèn)證技術(shù)是保證電子商務(wù)安全的又一重要技術(shù)手段。認(rèn)證的實(shí)現(xiàn)包括數(shù)字摘要技術(shù)、數(shù)字簽名技術(shù)、數(shù)字信封技術(shù)、 數(shù)字時(shí)間戳技術(shù)和數(shù)字證書(shū)技術(shù)等。3.3.1 數(shù)字摘要數(shù)字摘要是采用單向 Hash 函數(shù)對(duì)文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度