電子商務(wù)信息安全論述

1、電子商務(wù)信息安全概論摘要：隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成為新的研究熱點(diǎn)。電子商務(wù)是互聯(lián)網(wǎng)應(yīng)用發(fā)展的必然趨勢，同時(shí)也是國際金融貿(mào)易中越來越重要的經(jīng)營模式。安全是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素。目前安全問題己成為電子商務(wù)的核心問題。電子商務(wù)安全主要涉及四個(gè)方面：信息的安全，信用的安全，安全的管理，安全的法律保障等。本文只針對電子商務(wù)安全中的信息安全，通過對以基于網(wǎng)絡(luò)層次上的加密技術(shù)、數(shù)字簽名技術(shù)、密鑰管理技術(shù)、驗(yàn)證技術(shù)、數(shù)字證書技術(shù)等幾種信息安全技術(shù)的研究，擬將有關(guān)系統(tǒng)應(yīng)用到保障電子商務(wù)信息安全上。關(guān)鍵詞： 電子商務(wù)，加密，數(shù)字簽名，密鑰管理，數(shù)字證書electronic commerce

2、information safetyabstract: along with the technical development in internet, network safety is becoming a new hot spot of safety research. electronic commerce is a inevitable trend that the application development of world wide web, and also a more and more important operate trade in international.

3、 the safety is a key factor to guarantee the electronic commerce healthy and ordered development. at present, the safe problem becomes the core problem of the electronic commerce. the electronic commerce involves four aspects primarily: the safety of information, the safety of reputation, safe manag

4、ement, the safe law guarantees etc. this text only makes an analysis of the safety of information in electronic commerce .according to the research of encryption technique, arithmetic figure sign technique, key management technique, verification technique, figure certification technique, which base

5、on the layer of network, we plan to make the relation system to apply to guarantee the information safety of electronic commerce.keywords: electronic commerce, encryption, arithmetic figure signature, key management, arithmetic figure certificate authorit.1. 緒論電子商務(wù)是在internet開放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器/服務(wù)器應(yīng)用方式，實(shí)現(xiàn)

6、消費(fèi)者的網(wǎng)上購物、商戶之間的網(wǎng)上交易和在線電子支付的一種新型的商業(yè)運(yùn)營模式。電子商務(wù)是網(wǎng)絡(luò)技術(shù)應(yīng)用的全新發(fā)展方向。internet本身所具有的開放性、全球性、低成本、高效率的特點(diǎn)，也成為電子商務(wù)的內(nèi)在特征，并使得電子商務(wù)大大超越了作為一種新的貿(mào)易形式所具有的價(jià)值，它不僅會改變企業(yè)本身的生產(chǎn)、經(jīng)營、管理活動，而且將影響到整個(gè)社會的經(jīng)濟(jì)運(yùn)行與結(jié)構(gòu)?，F(xiàn)階段推動電子商務(wù)面臨的最大問題是如何保障電子商務(wù)過程中的安全性，近年來，國際上已實(shí)施和制定了一系列的方法來解決網(wǎng)上交易的安全性問題。1.1. 安全問題的提出電子商務(wù)作為一種全新的業(yè)務(wù)和服務(wù)方式，為全球客戶提供了豐富的商務(wù)信息、簡捷的交易過程和低廉的交易

7、成本。但是電子商務(wù)在給人們帶來方便的同時(shí)，也把人們引進(jìn)了安全陷阱。目前，影響電子商務(wù)廣泛應(yīng)用的首要的且最大的問題就是安全問題。電子商務(wù)是利用計(jì)算機(jī)通過網(wǎng)絡(luò)來實(shí)現(xiàn)的。有關(guān)計(jì)算機(jī)和網(wǎng)絡(luò)安全問題早已引起人們的擔(dān)憂。大量的事實(shí)說明，要保證電子商務(wù)的正常運(yùn)行，就必須高度重視安全問題。電子商務(wù)的安全問題不僅關(guān)系到個(gè)人的資金安全、商家的貨物安全，還關(guān)系到國家的經(jīng)濟(jì)安全，國家經(jīng)濟(jì)秩序的穩(wěn)定問題。對于電子商務(wù)的安全問題絕不可以等閑視之，必須把它提到重要的議事日程上來，只有這樣，才能保證電子商務(wù)的健康發(fā)展。1.2. 電子商務(wù)涉及的信息安全問題分析電子商務(wù)面臨的安全問題，主要是依據(jù)對電子商務(wù)整個(gè)運(yùn)作過程的考察，確定

8、電子商務(wù)流程中可能出現(xiàn)的各種安全問題，分析其危害性，發(fā)現(xiàn)電子商務(wù)過程中潛在的安全隱患和安全漏洞，從而使電子商務(wù)安全的管理能做到有的放矢。電子商務(wù)的安全問題主要涉及信息安全問題、信用安全問題、安全管理問題以及電子商務(wù)的法律保障問題。以下主要說一下信息安全問題：從技術(shù)上看，電子商務(wù)面臨的信息安全問題主要來自以下幾個(gè)方面：1冒名偷竊“黑客”為了獲取重要的商業(yè)秘密、資源和信息，常常采用源ip地址欺騙攻擊。入侵者偽裝成源自一臺內(nèi)部主機(jī)的一個(gè)外部地點(diǎn)傳送信息包，在e-mail服務(wù)器使用報(bào)文傳輸代理中冒名他人，竊取信息。2篡改數(shù)據(jù)攻擊者未經(jīng)授權(quán)進(jìn)入電子商務(wù)系統(tǒng)，使用非法手段刪除、修改、重發(fā)某些重要信息，破壞

9、數(shù)據(jù)的完整性，損害他人的經(jīng)濟(jì)利益，或干擾對方的正確決策，造成電子商務(wù)交易中的信息風(fēng)險(xiǎn)。3信息丟失交易信息的丟失，可能有三種情況：一是因?yàn)榫€路問題造成信息丟失；二是因?yàn)榘踩胧┎划?dāng)而丟失信息；三是在不同的操作平臺上轉(zhuǎn)換操作從而丟失信息。4信息傳遞出問題信息在網(wǎng)絡(luò)上傳遞時(shí)，要經(jīng)過多個(gè)環(huán)節(jié)和渠道。外各種外界的物理性干擾，如通信線路質(zhì)量較差、地理位置復(fù)雜、自然災(zāi)害等，都可能影響到數(shù)據(jù)的真實(shí)性和完整性。2. 信息安全技術(shù)2.1. 信息安全概述電子商務(wù)是通過internet網(wǎng)絡(luò)進(jìn)行，如何保障通過網(wǎng)絡(luò)傳送信息的安全，是電子商務(wù)安全中的一個(gè)重要內(nèi)容。從信息的安全角度來說，主要會涉及五個(gè)方面信息的機(jī)密性服務(wù)，是

10、指信息在以電子化方式發(fā)送時(shí)，通過加密技術(shù)來隱藏?cái)?shù)據(jù)項(xiàng)，保持信息的保密性，防止將信息泄露給除了發(fā)送方和接收方以外的其他非法用戶。信息的完整性服務(wù)，是指信息在以電子化方式發(fā)送時(shí)，保持信息未被修改過，確保接收到的信息同發(fā)送方發(fā)送的信息沒有任何出入。信息的驗(yàn)證服務(wù)，即提供對身份的確認(rèn)。驗(yàn)證服務(wù)主要針對偽裝入侵威脅，主要有實(shí)體驗(yàn)證和數(shù)據(jù)源驗(yàn)證兩種。信息的不可否認(rèn)性服務(wù)，防止一方在交易或通信發(fā)生后進(jìn)行否認(rèn)。2.2. 防火墻技術(shù)網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸

11、的數(shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。 根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型：（1）包過濾型 包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些包是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外，系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。 包過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用,實(shí)現(xiàn)成本較低,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。 但包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判

12、斷,無法識別基于應(yīng)用層的惡意侵入。 （2）網(wǎng)絡(luò)地址轉(zhuǎn)化-nat 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把ip地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊的ip地址標(biāo)準(zhǔn)。它允許具有私有ip地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的ip地址。 （3）代理型 代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道

13、,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。 代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。 （4）監(jiān)測型 監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實(shí)時(shí)的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時(shí)對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。 雖然監(jiān)測型防火墻安全性上已超越

14、了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。 2.3. 加密技術(shù)所謂加密，就是用基于數(shù)學(xué)方法的程序和保密的密鑰對信息進(jìn)行編碼，把計(jì)算數(shù)據(jù)變成一堆雜亂無章難以理解的字符串。所以，加密可以有效地對抗信息的被攔截以及被竊取。加密是由加密過程和解密過程組成的。一般地，發(fā)送方在發(fā)送消息前先用加密程序?qū)⒚魑募用艹擅芪?，接收方在接收到消息后，用解?/p>

15、程序?qū)⒚芪慕饷艹擅魑?。所以說，解密是加密的逆過程。在進(jìn)行加密過程時(shí)需要兩個(gè)輸入項(xiàng)：一個(gè)是明文，還有一個(gè)是稱為加密密鑰的獨(dú)立數(shù)據(jù)值。與此類似，解密過程則需要密文和解密密鑰。密鑰從表面上來看就像是一串隨機(jī)的二進(jìn)制位串，密鑰的長度即位數(shù)取決于特定的加密系統(tǒng)。加密最明顯的作用就是提供機(jī)密性。這里，明文代表了未經(jīng)保護(hù)的敏感數(shù)據(jù)，而相應(yīng)的密文則可以在不被信任的環(huán)境中傳輸，因?yàn)槿绻用芟到y(tǒng)比較好的話，那些沒有解密密鑰的人就無法把密文恢復(fù)成明文，從而密文對他來說根本就沒有意義。除了提供機(jī)密性，加密系統(tǒng)還可以提供其他安全功能。一般情況，加密系統(tǒng)有兩種基本形式：對稱加密系統(tǒng)（私有密鑰加密系統(tǒng)）、不對稱加密系統(tǒng)（公

16、開密鑰加密系統(tǒng)）。兩種加密系統(tǒng)有不同的特點(diǎn)，采用不同的方式來提供安全服務(wù)。2.4. 數(shù)字簽名日常生活中，通常用對某一文檔進(jìn)行簽名來保證文檔的真實(shí)有效性，防止其抵賴。在網(wǎng)絡(luò)環(huán)境中，可以用電子數(shù)字簽名作為模擬。 簡化的數(shù)字簽名技術(shù)使用了像rsa這樣的可逆的公開密鑰加密系統(tǒng)，其數(shù)字簽名過程中運(yùn)用了消息的驗(yàn)證模式。簽名過程如下：1) 發(fā)送方用自己的私有密鑰對要發(fā)送的信息進(jìn)行加密，形成數(shù)字簽名；2) 發(fā)送方將數(shù)字簽名附加在消息后通過網(wǎng)絡(luò)傳送給接收方；3) 接收方用發(fā)送方的公開密鑰對接收到的簽名信息進(jìn)行解密，得到信息明文；4) 接收方將解密得到的消息與接收到的消息進(jìn)行比較，若兩者相同，則說明消息未被篡改過

17、。在這一過程中，消息的發(fā)送方以驗(yàn)證模式用rsa生成加密的信息。加密后的信息附加在明文上一起傳送出去，在接收方那里，接收方必須要知道相應(yīng)的解密密鑰才能用這把密鑰來解密經(jīng)加密后的信息，并將解密后的信息與明文作比較。如果兩者相同，則接收方就能確信發(fā)送方確實(shí)擁有加密密鑰，同時(shí)還可以確信在傳輸?shù)倪^程中消息未被篡改過。像這種基于公開密鑰的數(shù)字簽名方案的優(yōu)點(diǎn)在于，對任何可能的消息接收方來說都能檢查簽名。但這種方案也存在著一定的問題，特別是用于處理和通信的成本過高。為了對此方案進(jìn)行改進(jìn)，可以運(yùn)用散列函數(shù)來進(jìn)行處理。利用散列函數(shù)的數(shù)字簽名過程如下：1) 發(fā)送方對要發(fā)送的消息運(yùn)用散列函數(shù)形成數(shù)學(xué)摘要；2) 發(fā)送方

18、用自己的私有密鑰對數(shù)字摘要進(jìn)行加密，形成數(shù)字簽名；3) 發(fā)送方將數(shù)字簽名附加在消息后通過網(wǎng)絡(luò)傳送給接收方；4) 接收方用發(fā)送方的公開密鑰對接收到的簽名信息進(jìn)行解密，得到數(shù)字摘要；5) 接收方運(yùn)用同樣的散列函數(shù)對接收到信息形成數(shù)字摘要；6) 發(fā)送方對兩個(gè)數(shù)字摘要進(jìn)行比較，若兩者相同，則說明消息未被篡改過。在這一過程中，利用散列函數(shù)，可以對要簽名的消息內(nèi)容生成一個(gè)固定長度的數(shù)據(jù)摘要，只要消息內(nèi)容發(fā)生了任何改變，所形成的摘要就是不同的。在這種機(jī)制下，發(fā)送方用散列函數(shù)來獲得數(shù)字摘要，然后用rsa對數(shù)字摘要進(jìn)行加密形成數(shù)字簽名，并與消息一起傳送出去.接收方收到信息后，重新計(jì)算摘要，同時(shí)用rsa對數(shù)字簽名

19、進(jìn)行解密，然后比較兩個(gè)摘要值，如果相符，則接收方就可以確信發(fā)送方確實(shí)擁有該私有密鑰，即該消息確實(shí)是由該發(fā)送方發(fā)來的，并且信息內(nèi)容在傳送途中未被篡改過。2.5. 密鑰管理2.5.1. 對稱密鑰管理 加密是基于共同保守秘密來實(shí)現(xiàn)的。采用對稱加密技術(shù)的貿(mào)易雙方必須要保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時(shí)還要設(shè)定防止密鑰泄密和更改密鑰的程序。通過公開密鑰加密技術(shù)實(shí)現(xiàn)對稱密鑰的管理使相應(yīng)的管理變得簡單和更加安全,同時(shí)還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。貿(mào)易方可以為每次交換的信息生成唯一一把對稱密鑰并用公開密鑰對該密鑰進(jìn)行加密,然后再將加密后的密鑰和用該密鑰加密的信

20、息一起發(fā)送給相應(yīng)的貿(mào)易方。由于對每次信息交換都對應(yīng)生成了唯一一把密鑰,因此各貿(mào)易方就不再需要對密鑰進(jìn)行維護(hù)和擔(dān)心密鑰的泄露或過期。這種方式的另一優(yōu)點(diǎn)是即使泄露了一把密鑰也只將影響一筆交易,而不會影響到貿(mào)易雙方之間所有的交易關(guān)系。這種方式還提供了貿(mào)易伙伴間發(fā)布對稱密鑰的一種安全途徑。2.5.2. 公開密鑰管理/數(shù)字證書 貿(mào)易伙伴間可以使用數(shù)字證書來交換公開密鑰。數(shù)字證書通常包含有唯一標(biāo)識證書所有者的名稱、唯一標(biāo)識證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號等。證書發(fā)布者一般稱為證書管理機(jī)構(gòu),它是貿(mào)易各方都信賴的機(jī)構(gòu)。2.6. 驗(yàn)證技術(shù)驗(yàn)證是在遠(yuǎn)程通信中獲得信任的手段，就安全服務(wù)中最為基本的內(nèi)容，因?yàn)楸仨毻ㄟ^可靠的驗(yàn)證來進(jìn)行訪問控制，決定誰有權(quán)接收或修改信息(從而影響機(jī)密服務(wù))，增強(qiáng)責(zé)任性以及實(shí)