时间:2023-09-21 16:38:59
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇电子商务安全策略范例。如需获取更多原创内容,可随时联系我们的客服老师。
关键词:电子商务;身份认证;防火墙
中图分类号:TP3 文献标识码:A文章编号:1009-3044(2008)30-0559-02
A Brief Analysis on the Security Strategy of E-business
WANG Gai-xiang
(Shanxi Professional College of Finance,Taiyuan 030008,China)
Abstract: With the rapid development of Internet applications, E-business based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of E-businessis becoming more and more attracting,But the Chief Problem of E-business is the safety of Commerce information. For realizing an E-business basic frame of security, various kinds of safe practices in e-commerce are analysed in order to develop a kind of effective , safe realization E-business.
Key words:E-business; identity authentication; firewall
1 引言
电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。
2 电子商务的主要安全要素
目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现,电子商务交易双方(销售者和消费者)都面临安全威胁,电子商务的安全要素主要体现在以下几个方面:
2.1 信息真实性、有效性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2.2 信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3.3 信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
3.4 信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
3 电子商务安全系统
网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
所以就整个电子商务安全系统而言,安全性可以划分为四个层次,
1) 网络节点的安全
2) 通讯的安全性
3) 应用程序的安全性
4) 用户的认证管理
其中2、3、4是通过操作系统和Web服务器软件实现,而网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。
3.1 网络节点的安全
防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。
防火墙是在连接Internet和Intranet保证安全最为有效的方法 ,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。 应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
3.2 通讯的安全
在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。 目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。
3.3 应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运 行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些问题 。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
3.4 用户的认证管理
1) 身份认证
电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
2) CA证书
要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
3) 安全套接层SSL协议
安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。
[关键词] 安全体系 加密 数字证书 电子商务 安全交易标准
一、引言
当前的电子商务是指通过电子方式的商务活动。它作为一种全新的业务和服务方式,为全球客户提供了丰富的商务信息、便捷的交易过程和廉价的交易成本。但是,电子商务给人们带来方便的同时,也把人们引入安全忧虑之中。买方担心在网络上传输的信用卡及个人资料被截取;卖方则担心收到的是被盗用的信用卡号码,或是交易不认账等,这些存在的安全漏洞问题已成为阻碍网上交易发展的首要问题。相对于传统商务,电子商务对管理机制、实施平台和信息传递技术都提出了更高的要求,其中安全体系的构建尤为显得重要,已成为电子商务能否得到进一步发展和推广的关键所在。
二、电子商务安全体系结构
1.电子商务中存在的安全隐患和威胁
Internet是电子商务实现的网络基础,它采用TCP/IP完成不同网络与不同计算机之间的通信,正是由于这些特点,使它给电子商务带来了很多的安全问题。Internet的安全隐患主要体现在四个方面。
开放性和资源共享是Internet的主要优点,但它带来的问题却不容忽视。因为当甲方在很容易的访问乙方时,如果没有采取任何措施,乙方同样很容易的访问甲方的计算机。
Internet采用的协议TCP/IP并未采用任何措施来保护传输内容不被窃取。它是一种包交换网络,每个数据包在网络上都是透明传输的,并且可能经过不同的网络,由路由器转发到达目的计算机。数据在传输过程中可能会遭到IP窥探、同步信号淹没、TCP会话窃听、复位与结束信号攻击等威胁。
Internet底层的操作系统如UNIX,由于源代码的公开,很容易发现漏洞,给Internet用户带来安全问题。
相比较传统信函,电子化信息就缺乏可信度,电子信息是否准确很难由其本身来鉴别。在Internet上传递电子信息时,难以确认信息发送者及信息是否被正确无误地传递给对方。
由于Internet存在上述安全隐患,将给电子商务带来如下的安全威胁。
由于非法入侵,造成商务信息被纂改、窃取或丢失。
商业机密在传输过程中被第三方获悉,被恶意破坏。
虚假身份的交易对象及虚假订单、合同。
贸易对象的抵赖。
由计算机系统故障造成的对交易过程和商业信息安全的破坏。
综上所述,电子商务面临多方面的威胁,存在许多安全隐患。
2.电子商务的安全性内容
要使电子商务健康、顺利发展,必须解决好以下几种关键的安全性要求。
(1)保证信息的保密性和完整性。在交易过程中必须保证信息不被非授权用户窃取,数据在输入和传输过程中能保证数据的一致性。
(2)不可否认性。它是指信息发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。
(3)真实性。商务活动交易双方身份是真实的,不是假冒的,不存在的。
(4)系统的可靠性与内部网络的严密性。在计算机失效、程序错误、传输错误、硬件各种及计算机病毒等潜在威胁下,有容错处理机制、数据恢复能力,确保系统安全、可靠。对企业内部网络而言,要保证内部网络不被入侵。
3.电子商务安全技术体系结构
电子商务的安全技术体系结构是保证电子商务中数据安全的一个完整逻辑结构,如图所示。其中,下层是上层的基础,为上层提供技术支持。上层是下层的扩展与递增。各层相互联系、相互依赖的构成一个整体。通过不同的安全控制技术,实现各层的安全策略,有效保证了电子商务系统的安全。
三、电子商务的安全技术
1.防火墙技术
防火墙是建立在内外网络边界上的过滤封装机制,内部网络被认为是安全和可信赖的,而外部网络(通常指Internet)被认为是不安全和不可信赖的。防火墙的主要目的是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略。
防火墙的主要技术有包过滤技术、服务器技术、应用网关技术和状态检测包过滤技术,现在最常用的是状态检测包过滤技术。状态检测防火墙对每个合法网络连接保存的信息包括源地址、目的地址、协议类型、协议相关信息、连接状态和超时时间等称为状态。通过状态检测,可实现比简单包过滤防火墙具有更好的安全性。
2.加密技术
数字加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障安全性。利用加密技术,可以将某些重要的信息和数据从一个可以理解的明文转换为复杂的、不可理解的密文形式,在线路上传送或在数据库中存储,其他用户再将密文还原为明文。
3.信息摘要
密钥加密技术只能解决信息的保密性问题,对信息的完整性则可以使用信息摘要技术来实现。信息摘要又称为Hash算法,是一种单向加密算法,其加密结果是不能解密的。通过Hash算法,得到一个固定长度(128位)的散列值,不同的原文产生的信息摘要必不相同,相同的原文产生的信息摘要必定相同。这样,通过用接收方产生的摘要与发送方发来的摘要比较,若两者相同则表示原文在传输过程中没有被修改,否则说明原文被修改过。
4.数字签名
数字签名是密钥加密和信息摘要相结合的技术,用于保证信息的完整性和不可否认性。签名机制的特征是该签名只有通过签名者的私有信息才能产生,即一个签名者的签名只能惟一地由他自己生成。当收发双方发生争议时,第三方就能根据消息上的数字签名来裁定这条消息是否由发送方发出,从而实现不可否认服务。
5.数字时间戳
在电子交易中,时间和签名同等重要。数字时间戳是由专门机构提供的电子商务安全服务项目,用于证明信息发送的时间。
6.数字证书与CA认证
由于电子商务在网络中完成,互相之间不见面,因此为了保证每个人及机构都能惟一且被准确无误地识别,就需要进行身份认证。身份认证可以通过验证参与各方的数字证书来实现,而数字证书是由认证中心(CA)颁发的。
所谓CA(Certificate Authority:证书发行机构),是采用PKI(Public Key Infrastructure:公共密钥体系)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,具有权威性和公正性的第三方信任机构,其作用就像现实生活中颁发证件的机构。
四、电子商务安全交易标准
要实现安全的电子商务交易,交易双方必须遵照统一的安全标准协议。当前,电子商务的安全机制正走向成熟,并逐渐形成了一些国际规范,比较有代表性的有安全套接层协议SSL(Secure Sockets Layer)和安全电子交易协议SET(Secure Electronic Transaction)。
1.安全套接层协议SSL
SSL协议是由Netscape公司研制的安全协议,SSL使用加密的方法建立一个安全的通信通道,以使客户的信用卡号传送给商家,商家再将其转发给银行,银行验证后在通知商家付款成功。该协议已成为事实上的工业标准,微软、IBM公司都提供基于这种简单加密模式的支付系统。
2.安全电子交易SET协议
SET协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和MasterCard组织制定的,用于在Internet上进行在线交易时保证信用卡支付安全的开放性安全技术标准。由于得到了微软、IBM、RAS公司的支持与参与,已成为工业事实上的标准。
SET协议采用了RSA公私钥加密系统、数字签名、数字证书认证等技术,保证了支付信息的保密性、完整性和不可否认性。该协议提供了客户、商家和银行之间的身份认证,而交易信息和客户信用卡信息相互隔离,即商家只能获取订单信息,银行只能获得持卡人信用卡支付信息,双方互不干扰,各去所需,构成了SET协议的主要特色,使得SET成为电子商务的安全规范。
3.SET、SSL协议比较
(1)SET是一个专门的安全电子支付协议,而SSL本质上是一个网络安全协议,仅在双方间建立起安全连接。SET是一个多方的消息报文协议,定义了银行、商家和持卡人间必须符合的报文规范,它比SSL在交易过程中的信任度更强。
(2)SSL仅有商家的服务器需要认证,客户端只是选择性认证;而SET在整个交易过程中都受到严密保护,其安全性比SSL高。
(3)SSL协议中若想进行电子商务交易,只需通过浏览器实现,设置成本低廉,其交易只要几十秒就可完成;SET尽管安全性高,但需要专门的软件来实现,客户、商家改造成本高,由于交易过程各方之间进行多次加密传输,每次交易需要数分钟。
综上所述,SSL与SET协议是电子商务中最普遍的两种安全电子支付协议,各有优缺点。SSL虽然简单快捷,但随着电子商务的发展其缺点凸现出来,需采用更先进的支付系统。而SET虽有更强的功能和安全性,但过于复杂,使得大面积推广还有很大障碍,并且成本昂贵,所以,在未来一段时间里将会是SSL和SET两种支付方式并存的局面。
五、结论
电子商务的本质是商务,技术是电子商务得以实现的手段。没有商务需求,技术的研究就失去了应用价值;没有技术实现,电子商务就不能得以实施,所以技术是电子商务的必要条件。而安全则是实现电子商务技术的前提,也是电子商务的必要条件。解决电子商务的安全问题不是一个单一的技术问题,它是由一系列工作组成,需要从电子商务安全管理、安全技术体系和法律等多方面开展工作和研究。
参考文献:
[1]胡道元 闵京华:网络安全[M].北京:清华大学出版社,2006
[2]祝凌曦:电子商务安全[M].北京:北方交通大学,2006.
[3]李晓燕 李福全 郭爱芳:电子商务概论[M].陕西:电子科技大学出版社,2004
[4]何 胜:电子商务中安全支付协议的对比及应用[J].计算机时代,2004(20)
[关键词] 电子商务安全策略信息安全认证
电子商务是在Internet开放的网络环境下,实现消费者的网上购物、企业之间的网上交易和在线电子支付的一种新型的交易方式。由于电子商务具有高效益、低成本、高效率、范围全球性等特点很快遍及全世界。电子商务已成为全球经济最具活力的增长点,它的应用和推广将给社会和经济发展带来巨大的变革和收益。然而,目前全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的一小部分。究其原因,电子商务是一个复杂的系统工程,它的实施还依赖于相应的社会问题和技术问题的逐步解决与完善。其中,电子商务的安全是制约电子商务发展的一个关键问题。
一、电子商务的安全性需求
有效性:电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。因此,要对网络过障、操作错误、应用程序错误等所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
1.机密性:电子商务作为贸易的一种手段,其信息直接代表着个人、企业或者国家的商业机密。因此,能否维护好商业机密成为了电子商务全面推广应用的前提条件。电子商务系统应能够对公众网络上传输的信息进行加密处理,防止交易中信息被非法截获或读取。
2.完整性:电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、同意问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,在数据传输过程中信息丢失、信息重复或者信息传送的次序差异也会导致贸易各方信息不同。贸易各方信息的完整性将影响贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息丢失和重复,并保证信息传送次序的统一。
3.可靠性:由于网上通信双方互不见面,所以在交易前必须首先确认对方的真实身份;支付时还要确认对方帐号等信息是否真实有效。电子商务系统应提供通信双方进行身份鉴别的机制,确保交易双方身份信息的可靠和合法。应实现系统对用户身份的有效确认,对私有密钥和口令的有效保护,对非法攻击能够防范,防止假冒身份在网上进行交易。
4.法律性:电子商务系统应有效防止商业欺诈行为的发生。最新《合同法》已确认双方同意电子贸易的电子档案为有效书面合同,为产生贸易纠纷双方提供法律凭证。网上交易的各方在进行数据传输时必须携有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证,以保证商业信任和行为的不可否认性,保证交易各方对已做的交易无法抵赖,为法律举证提高有效数据。
审查能力:根据机密性和完整性的要求,应对数据审查的结果进行记录。
二、电子商务面临的安全威胁
1.信息在网络的传输中被截获:攻击者可能通过互联网、公共电话网或在电磁波辐射范围内安装装置等方式,截获机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,获取有用信息,如消费者的账号、密码等。
2.传输的文件可能被篡改:改变信息流的次序,更改信息的内容,如购买商品的出货地址;删除某个信息或信息的某些部分;在信息中插入一些信息,让收方读不懂或接受错误的信息。
3.伪造电子邮件:虚开网站和商店,给用户发电子邮件,收定货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;伪造用户,发大量的电子邮件,窃取商家的商品信息和用户等信息。
4.假冒他人身份:冒充他人身份,如冒充领导命令、调阅文件;冒充他人消费、栽赃;冒充网络控制程序,套取或修改使用权限、密钥等信息。
5.否认已经做过的交易:者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差,但不承认原有的交易。
三、电子商务活动的安全保证
为了满足电子商务在安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全控制技术保证整个电子商务过程的安全与完整,并实现交易的防抵赖性等。具体实现有以下几种技术。
1.加密技术是电子商务的最基本的安全措施。在目前技术条件下,加密技术通常分为对称加密和非对称加密两类。
(1)对称密钥加密:采用相同的加密算法,并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密机密信息,并随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。目前常用的对称加密算法有DES、PCR、IDEA、3DES等。其DES使用最普遍,被ISO采用作为数据加密的标准。
(2)非对称密钥加密:非对称加密不同于对称加密,其密钥被分解为公开密钥和私有密钥。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的者,私有密钥则保存在密钥方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的者,而者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法有RSA算法。该算法已被ISO/TC的数据加密技术分委员会SC20推荐为非对称密钥数据加密标准。
在对称和非对称两类加密方法中,对称加密的突出特点是加密速度快(通常比非对称加密快10倍以上)、效率高,被广泛用于大量数据的加密。但该方法的致命缺点是密钥的传输与交换也面临着安全问题,密钥易被截获,而且,若和大量用户通信,难以安全管理大量的密钥,因此大范围应用存在一定问题。而非对称密钥则相反,很好地解决了对称加密中密钥数量过多难管理及费用高的不足,也无需担心传输中私有密钥的泄露,保密性能优于对称加密技术。但非对称加密算法复杂,加密速度不很理想。目前.电子商务实际运用中常常是两者结合使用。
2.防火墙技术是确保基础设施完整性一种常用方法。它通过在网络边界上建立起来的相应网络通信监控系统来隔离内部和外部网络,控制进/出两个方向的通信流。它制定一系列规则来准许或拒绝不同类型的通信,并执行所做的路由决策,以阻挡外部的侵入。目前,防火墙技术主要有分组过滤和服务两种类型。
(1)分组过滤:这是一种基于路由器的防火墙。它是在网间的路由器按网络安全策略设置一张访问表或黑名单,即借助数据分组中的49 地址确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过。防火墙的职责就是根据防问表(或黑名单)对进出路由器的分组进行检查和过滤,凡符合要求的放行,不符合的拒之门外。这种防火墙简单易行,但不能完全有效地防范非法攻击。
(2)服务:是一种基于服务防火墙,它的安全性高,增加了身份认证与审计跟踪,发现可能的非法行为并提供有力的证据,然后以秘密的方式向网上的防火墙发出有关信息如黑名单等。
3.安全认证技术。目前,仅有加密技术不足以保证电子商务中的交易安全,身份认证技术是保证电子商务安全的又一重要技术手段。认证的实现包括数字摘要技术、数字签名技术、数字证书技术和智能卡技术等。
(1)数字摘要。采用单向Hash函数对信息进行某种变换运算得到固定长度的摘要,并在传输信息时将之加入文件一同送给接收方;接收方收到文件后,用相同的方法进行变换运算得到另一个摘要;然后将自己运算得到的摘要与发送过来的摘要进行比较。这种方法可以验证数据的完整性。
(2)数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
(3)数字时间戳(DTS)。交易文件中,时间是十分重要的信息,在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间安全保护。
数字时间戳服务是网上安全服务项目, 由专门的机构提供。时间戳是一个经过加密后形成的凭证文档,它包括需加时间戳的文件的摘要收到文件的日期和时间和DTS的数字签名。用户首先将需要加时间戳的文件用Hash编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。
(4)数字凭证(Digital ID)又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源访问的权限。在网上的电子交易中,需要双方出示各自的数字凭证,并用它来进行交易操作。数字凭证的内部格式是由CCITT X.509 国际标准所规定的,包含以下内容:凭证拥有者的姓名、凭证拥有者的公共密钥、公共密钥的有效期、颁发数字凭证的单位、数字凭证的序列号。数字证书的使用涉及到数字认证中心CA(Certificate Authority)。
目前,数字凭证有个人凭证、企业凭证、软件凭证,其中前两类较为常用。个人凭证(Personal Digital ID):仅仅为某单个用户提供凭证,用以帮助其个人在网上进行安全交易操作;企业凭证(Server ID):通常为网上的某个电子商务网站服务器提供凭证,使其用来进行安全电子交易。
(5)CA认证。在电子商务系统中,无论是数字时间戳服务,还是数字凭证的发放,都需要有一个具有权威性和公正性的第三方认证机构来承担。CA正是这样的一个受信任的第三方。CA用来为用户签发证书,提供身份认证服务,是整个系统的安全核心[4]。在非对称密钥认证系统中,用户的签名密钥和加密密钥通常是分开的,而CA只知道用户的签名公钥,这样就降低了由于CA受到攻击的危害程度,避免了可信第三方被攻击则整个系统即陷入瘫痪的严重问题。此外,在认证系统中,CA只负责审核用户的真实身份并对此提供证明,而不介入具体的认证过程,从而缓解了可信第三方的系统瓶颈问题。而且CA只需管理每个用户的一个公开密钥,大大降低了密钥管理的复杂性。这些优点使得非对称密钥认证系统可用于用户众多的大规模网络
4.电子商务亟待解决的难题。安全电子商务在如下几个方面还没有满意的结果。
(1)没有一种电子商务安全的完整解决方案和完整模型与体系结构。
(2)大多数电子商务系统都是封闭式的,即它们使用独有的技术,仅支持一些特定的协议和机制。
(3)尽管大多数方案都使用了公钥密码,但多方安全受到的关注远远不够。没有建立一种解决争议的决策程序。
(4)大多数系统都将销售商的服务器和消费者的浏览器间的关系假设为主从关系,不允许用户间进行直接交易。
(5)大多数系统都限制为两方,因此难于集成一个安全连接到第三方。
(6)客户的匿名性和隐私尚未得到充分的考虑。
四、结束语
电子商务的安全涉及技术、管理和法律等广泛领域。技术上,需要一个有效的计算机网络安全体系,包括硬件和软件的全面防范。在管理上要规范电子商务交易行为,制定交易标准和规范;在法律上要建立一套完整的法律体系,为电子商务提供操作依据;同时还要大力加强用户的安全意识。随着电子商务的发展,电子交易手段更加多样化,安全问题会变得更加重要和突出。
参考文献:
[1]李嵩泉:电子商务安全技术[J].计算机与通信,2004,2:55~59
[2]龚静:电子商务的安全策略[J].福建电脑,2004,1:52~53
[3]宁厉锋:电子商务中的安全技术[J].计算机与网络,2004
[关键词]电子商务,安全技术,安全对策
在电子商务迅速发展的今天,信息网络技术的应用正日益普及和广泛,应用层次正在深入。而网络所具有的开放性、自由性在增加应用自由度的同时,对安全提出了更高的要求。如何建立起一个完善的、实用的、安全的电子商务网站,已成为企事业单位信息化发展中一个急切需要讨论的问题。
一、电子商务的安全问题
电子商务的安全问题可以概括为以下几个方面:
(一)信息泄漏:在电子商务中表现出来的信息泄露主要有两种,一种是交易双方进行交易的内容被第三方所窃取:一种是交易一方提供给另一方的文件、资料等被第三方非法使用。(二)篡改:在电子商务中表现为商业信息的真实性和完整性问题。电子的信息在网络传输的过程中,可能被他人非法地修改、删除或重放.这样就使信息丢失了真实性和完整性。(三)身份识别:这涉及到电子商务中的两个问题。1.如果不进行身份识别,第三方就有可能假冒交易方的身份,以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。2.“不可抵赖”性。交易双方对自己的行为应负有一定的责任,信息发送者和接受者都不能对此予以否认。(四)信息破坏:涉及到两方面内容。1.网络传输的可靠性。网络的硬件或软件可能会出现问题而导致交易信息传递的丢失与谬误。2.恶意破坏。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏。这种情况主要由以下问题引起:①计算机病毒。②计算机蠕虫。这种程序将会对网络造成严重的损失,甚至会通过过多占用网络资源的方式来使网络瘫痪,加上这种程序多数会带有破坏性指令,因而破坏性更强,它已经由点的破坏向面的破坏开始发展了。③特洛伊木马。这是一种执行超出程序定义之外的程序,它将会把自己隐藏到安全的程序中,并由此传播出去。④逻辑炸弹。这是一种当运行环境满足某种特定条件时执行特殊功能的程序。
二、电子商务的安全技术
电子商务的开展在安全方面上还存在很多问题。面对电子商务中形形的安全漏洞,我们必须要采取相应的方法来保障电子商务活动的安全进行,下面就着重探讨了电子商务的安全技术。
(一)虚拟专用网络:虚拟专用网络是用于Internet电子交易的一种专用网络,它可以在两个系统之间建立安全的通道,是目前相对而言最适合进行电子商务的形式。在虚拟专用网络中交易的双方比较熟悉,而且彼此之间的数据通信量很大。只要交易双方取得一致,在虚拟专用网络中就可以使用比较复杂的专用加密和认证技术,这样就可以大大提高电子商务的安全。
(二)加密技术:加密技术是实现信息保密性的一种重要手段,目的是为了防止合法接受者之外的人获取信息系统中的机密信息。
加密包括两个元素:算法和密钥。加密技术的要点是加密算法,一个加密算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤。密钥和算法对加密同等重要。密钥是用来对数据进行编码和解码的一种算法。加密算法可以分为对称加密、非对称加密和不可逆加密三类算法。对称加密以数据加密标准(DES,Data Encryption Standard)算法为典型代表,非对称加密通常以RSA(Rivest Shamir Adleman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。通过对数据进行加密,可以使在网络上传播的信息对非法用户来说是无意义的,因此,虽然信息在网络上易被非法接收,但是由于被加密,也就保证了信息的隐秘性。
(三)数字签名技术:数字签名以数字加密技术为基础,是数字加密技术的一种应用方式。其核心是采用加密技术的加、解密算法来实现电子信息的数字签名。对于电子商务中的业务款项如何分辨其真假,则需要数字签名技术来确认其交易或结算双方的真实身份及电子货币的可靠性。数字签名的防欺诈性、防更改性及确认功能是电子商务系统的一个重要安全技术。数字签名是公开密钥技术的另一类应用,它的主要方式是:信息的披露方从信息文本中生成一个128位的散列值,并且用自己的专用密钥对这个散列值进行加密.来形成披露方的数字签名:关联方首先从收到的信息文本中计算128位的散列值,接着再用披露方一同发来的公开密钥来对数字签名进行解密,如果两个散列值相同,那就可确认该数字签名是披露的。通过数字签名技术能够实现对原始信息和关联方身份的鉴别,有一定的公正及较好地防范关联方和非关联方的道德风险。
(四)认证技术:所谓认证,就是通过认证中心对数字证书进行识别。认证分为实体认证和信息认证,这里的实体是指个人、客户程序或服务程序等参与通信的实体。实体认证是指对这些参与通信实体的身份认证。对用户身份的认证,密码是最常用的,但由于许多用户采用了很容易被破解的密码,使得该方法经常失效。信息认证是指对信息体进行认证,以决定该信息的合法性。信息认证发生在信息接收者收到信息后,使用相关技术对信息进行认证,以确认信息的发送者是谁,信息在传递过程中是否被篡改等。身份验证是对进入电子商务信息系统网络的用户进行身份合法性的整别,主要通过所掌握的特有信息对探访者进行验证。目前,数字签名和认证是网上比较成熟的安全手段,而我国大多数企业尚处于SSL协议应用阶段,在SET协议的应用试验刚刚成功,而要完全实现SET协议安全支付,则必须有一个CA认证中心。
(五)防火墙技术:在计算机领域,防火墙是指一种逻辑装置,用来保护内部的网络不受来自外界的侵害。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络地互联环境中,尤其以接人Internet网络最甚。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之问的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它主要用于实现网络路由的安全,这主要包括两个方面:①限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵害;②限制内部网的访问,主要是针对内部一些不健康信息及敏感信息的访问。目前防火墙的主要有网络层防火墙、应用层防火墙和双端主机防火墙等。网络层防火墙是一个屏蔽的路由器,经检查后最终决定是批准进入或拒绝请求,并将信包引导往内部的适当的接收点。这种防火墙成本较低但安全性亦相对来说亦比较差。应用层防火墙的主要构成由服务器端程序和客户端程序,它通过执行登录或对信息的认证使系统的访问与保密关系更加完善。更加设置了日志及审计方式以监控各方发送的登录和任何未经授权的活动,并将那些未授权的登录情况告诉网络管理者或安全小组。双端主机防火墙只设有两个防火墙出口,一端对互联网上的请求过滤,而另一端提供访问到某部门的局域网之安全信道。
论文摘要:电子商务安全问题已成为制约电子商务发展的重要问题,安全问题包括电子商务交易安全、计算机网络安全等显性的问题,还包括管理、法律和标准等方面的隐性问题。通过对电子商务安全体系的分析,研究电子商务安全策略,建立一个安全电子商务环境,将促进电子商务健康快速地发展。
电子商务是一个跨国界,跨地区,跨行业的多种技术综合集成与不同社会经济文化背景形成的各种习俗不断冲突,不断协调和不断统一的综合性社会系统工程。电子商务安全策略保障电子商务各个主体的切身利益。电子商务安全策略是以人为本,从各主体的角度思考,综合协调了各个市场主体的行为,从根本上保障了消费者、企业、电子商务网站等市场主体的切身利益,它为实现电子商务提供了统一的基础平台和安全屏障。
一、电子商务安全技术保障策略
安全技术保障技术是电子商务安全体系中的基本策略,目前相关的信息安全技术与专门的电子商务安全技术研究比较普遍和成熟。电子商务中常用到的安全技术有以下几种:
1.密码技术。密码技术包括加密技术和解密技术。加密是将信息经过加密密钥及加密函数转换,变成无意义的密文。而解密则是将密文经过解密函数、解密密钥处理还原成原文。密码技术是网络安全技术的基础。
2.身份验证技术。电子商务主体向系统证明自己身份,并由系统查核该主体的过程,是确认真实有效身份的重要环节,这个过程叫作身份验证。常用的验证技术有报文鉴别、身份鉴别和电子签名。
3.访问控制技术。访问控制是指对电子商务网络系统中各种资源访问时的权限确认,防止非法访问。它包括有关的策略、模型、机制的基础理论与实现方法。
4.防火墙技术。防火墙是用一组网络设备来加强一个网络与外界之间的访问控制。防火墙整体可以分为三大类:分组过滤、应用、电路网关。
二、企业电子商务安全运营管理制度保障策略
企业电子商务安全运营管理制度是用文字的形式对各项安全要求所做的规定,是保证企业取得电子商务成功的基础,是企业电子商务人员工作的规范和准则。这些制度主要包括人员管理制度,保密制度,跟踪审计制度,系统维护制度、数据备份制度等。
1.人员管理制度 人员管理制度主要从人员的选拔,工作责任的落实和安全运作必须遵循的基本原则制定相应的工作制度。
2.保密制度 电子商务系统涉及企业的市场、生产、财务、供应链等多方面的机密,这些方面都是需要很好地划分信息安全级别,并确定安全防范重点,提出相应的保密措施。
3.跟踪审计制度 跟踪制度就是要求企业建立网络交易的日志机制,来记录网络交易的全过程。而审计制度是对系统日志的经常检查、审核,及时发现对系统有安全隐患的记录,监控各种安全事故,维护和管理系统日志。
4.网络系统的日常维护制度 网络系统的日常维护包括硬件的日常维护和软件的日常维护,硬件维护主要是对网络设备服务器和客户机以及通信线路进行定期规范地巡查、检修;软件维护主要是规范地对支撑软件的定期清理和整理、监测、处理特殊情况以及对应用软件的升级等。
5.数据备份制度 数据备份主要是利用多种介质对信息系统数据进行存储,定期为重要信息备份、系统设备备份,并定期更新,以减少安全事故发生时造成的损失。
三、电子商务立法策略
电子商务安全得到法律保障,首先必须完善电子商务安全相关的法律。如何构建一个有针对性的健全的法律体系是摆在我们面前的迫切问题。可以从立法目的、立法原则、立法范围和立法途径上分析。
转贴于
1.立法目的 电子商务安全立法的目的主要是要消除电子商务发展的法律障碍;消除现有法律适用上的不确定性,保护合理的商业行为,保障电子交易安全;建立一个清晰的法律框架以统一调整电子商务的健康发展。
2.立法范围 电子商务安全方面需要的法律法规主要有:市场准入制度、合同有效认证办法、电子支付系统安全措施、信息保密防范办法,知识产权侵权处理规定、以及广告的管制、网络信息内容过滤等;电子商务调整的对象是电子商务中的各种社会关系。
3.立法途径 电子商务法律仍然是调整社会关系,所以应当继承传统立法的合理内核,尤其是基础价值观。具体的立法途径主要是两种:第一是制定新的法律规范。对于传统法律没有规定的,即由电子商务带来的新的社会关系,应尽快制定法律规范;第二是修改或重新解释既定的法律规范。对于传统法律的规定不明确,或与电子商务新型社会关系有冲突甚至存在缺欠的,可以修改或重新解释既定的法律规范。
四、政府监督管理策略
电子商务本质是一种市场运作模式,市场的正常健康有序地发展,必须有政府宏观上的监督与管理,以协调和规范各市场主体的行为,宏观监督与管理电子商务运行中的安全保障体系。
1.计算机信息系统安全管理 计算机信息系统,是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”计算机安全保护规范主要有计算机安全等级保护制度,计算机系统使用单位安全负责制度,计算机案件强行报告制度,计算机病毒及其有害数据的专管制度与计算机信息安全专用产品销售许可证制度。对计算机信息系统安全的保护,有利于保障国家的安全和社会安定,促进电子商务的安全交易过程,有利电子商务的健康发展。
2.网络广告和网络服务业管理 由于网络的开放性,自由性等特征决定了网络广告监管的难度,虚假广告、广告充斥着网络空间,网络广告已经发展成为一个社会问题。网络广告管理应该从三个方面入手:第一,网络广告组织的管理,必须对网站广告经营主体资格进行管制,第二,规范网络广告内容,确保广告内容的真实性、合法性和科学性。第三,需要有具体的广告审查管制、评估与监测部门。
国家针对网络服务业和网络用户管理已经颁布了《中华人民共和国计算机信息网络国际联网管理暂行规定》,其中提出了详细具体的限制条件。但是,网络飞速发展,面对网络中的新问题,还必须进一步深入全面地研究。
3.认证机构管理 认证机构是电子商务活动中专门从事颁发认证证书的机构,对电子商务交易活动顺利进行,电子商务活动中交易参与各方身份和信息认定,维护交易安全具有重要作用。对认证机构的管理主要是通过对设立的条件、撤消或者颁发许可证等营业资格而进行审批监督;同时,还要针对其资产和财务状况定期审查,以免发生财务危机,对其信息披露与保密情况、安全系统运行情况等方面进行不定期或定期监督检查。
4.加强社会信用道德建设,构建和谐安全电子商务 电子商务安全问题其中有很大部分是由电子商务用户或从业人员的信用道德问题引发的,在我国尤其严重,甚至大家感叹电子商务在我国“水土不服”。对于新型的商业运作模式,必然存在不少漏洞,这需要广大电子商务市场主体有良好的电子商务道德意识。除了从法律上采取措施,更重要的是政府要加强电子商务市场主体自身的道德建设,加强舆论监督和企业自律,充分利用网络新闻舆论监督,消费者舆论监督和行业协会的管理监督。
五、结束语
电子商务安全不仅涉及到电子商务公司、企业、消费者的利益,而且更加广泛地涉及经济、政治、国防、文化等诸多方面,关系到国家的安全、主权和社会的稳定。电子商务安全策略确保电子商务的快速、健康地发展。电子商务安全是目前电子商务发展的瓶颈,只有解决了电子商务安全,保障了市场主体的利益,才能得到网络用户的认可和参与,电子商务自身也才能得到快速、健康地发展。
参考文献
[1]林宁,吴志刚.我国信息安全技术标准化现状[J].中国标准化,2007(4)
[2]胡艳春.电子商务网站建设中的安全问题研究[J].商场现代化,2006,(10)
1电子商务安全涵盖的内容
1.1计算机网络安全计算机网络安全,其中主要包括计算机网络设备安全、计算机网络系统安全以及数据库安全等。关于网络安全方面的基本特征,具体表现在计算机网络技术层面。对计算机网络安全本身存在的安全问题,实施网络安全的增强方案,确保计算机网络自身的安全性并将其作为基本指标。威胁计算机网络安全的因素很多,其中分为自然因素和人为因素,其中人为因素是最主要的因素,主要是指不法之徒利用网络存在的漏洞盗非法获取重要的数据、篡改数据、破坏硬件设备、制造病毒等。
1.2电子商务交易安全电子商务交易安全围绕贸易双方在进行交易过程中存在的诸多安全因素。在计算机网络安全基础之上,确保电子商务交易过程的顺利开展,努力实现电子商务的保密性、完整性、不可否认性、不可抵赖性以及不可伪造性。
2电子商务安全面临的威胁
电子商务安全方面面临的威胁主要有:
2.1泄露信息电子商务在交易期间,黑客或外来入侵者运用各种技术手段获取销售信息或商业机密,这就会使系统资源失窃。在电子商务中经常发生的就是系统信息泄露,如2012年当当网账户集体被盗事件就是由于用户信息被非法泄露造成的。
2.2身份仿冒在电子商务中,第三方假冒合法身份与他人发生交易,进行信息欺诈和信息破坏,进而获取非法的利益。主要表现有:冒充卖家或买家,使卖家名誉受损或使买家财产受损。其中较为典型的案例有2014年有一小伙在微信上假冒他人推销名牌山寨手机,在十几天时间内就有6名受害人上当。
2.3木马威胁许多黑客工具可以进行远程控制、检查以及监控目标用户的信息,能够使目标设备与用户的合法设备一样,向网络方面发送信息,具有一定的欺骗性。黑客可以运用网络下载的木马程序,进行对电子商务当中的交易信息的窃取以及数据的修改等。木马工具能够通过电子邮件的方式,被安装到目标用户的电脑终端,修改电脑中涉及到的文件与数据等。这种程序在进行电子商务的开展中,严重地影响双方的正常交易,并且由于对该病毒的防治方面存在一定的欠缺,造成电子商务系统数据以及交易内容受到木马威胁。木马威胁中常见的威胁有假冒类木马、含木马短信、二维码病毒、恶意插件等。在手机客户端的安全中,恶意APP引发的资金账户风险是其中很大的安全问题。
2.4篡改信息电子商务中交易的信息在传输过程中,可能会被不法之人非法地进行修改、删除,造成信息失真、不完整。
2.5交易抵赖有些用户通过对自己发送的信息进行恶意否定,推卸责任。交易抵赖现象主要体现在以下状况中:者否定所发送的信息,接收者否认接受过的信息,购买者否认订过的订单,商家出于售出商品的质量问题而否认交易。
3电子商务安全技术
针对电子商务存在的安全威胁所采取的应对措施主要有:
3.1防火墙在网络安全中的一道屏障就是防火墙,因此在电子商务中必须要安装防火墙来保障交易中的安全。防火墙一般是在外部网络和内部网络之间放置的,可以防止未经授权的通讯进出能够得到保护,它是一种对边界进行控制进而使内部网络得到强化的政策。防火墙主要有五大功能:(1)对进出口网络的数据进行过滤。(2)对进出网络的访问行为进行管理。(3)对某些未授权的行为进行封堵。(4)将通过防火墙的信息内容和活动记录下来。(5)检测和警告所受到的网络攻击。防火墙对于外部的网络攻击可以进行有效的保护,但却毫无能力抵御来自内部网络的攻击。在电子商务安全中若只是运用防火墙技术来保障是远远不够的,还必须要运用其他技术和手段。
3.2计算机病毒技术在电子商务中进行的交易是十分广泛和开放的,这就导致在交易中易被病毒攻击。为了避免病毒攻击就要在电脑中安装病毒软件,并定期对电脑进行杀毒、更新软件。对硬件设备的管理与维护一般是在交易时安装网管软件,网管软件在对硬件进行维护时还能对日志或临时性的文件进行清理,并对服务器的活动和用户注册情况进行检验,以便于电子商务系统可以稳定。
3.3数据加密技术加密技术指使用代码或密码对重要的信息进行加密后再进行传送或存储,其他用户在使用时再进行解密,这就可以很好地保障数据信息的安全性。在电子商务中安全技术的基础就是信息加密技术。数据加密技术一般分为对称加密和非对称加密。对称加密,其做法是信息的发送方将信息加密,接收方收到信息后再对信息进行解密,这一方法的主要特点是加密和解密中的密匙是同一个,其中最为典型的代表案例就是美国国家安全局的DES。这种方法使用起来较为简单,加密和解密速度很快,主要针对大量信息进行加密。非对称加密。这种方法在使用中主要是使用不同的密匙对信息进行解密,通信双方都拥有两把密匙,即一把公匙和一把密匙。其中公匙是公开的,密匙则自己保管。信息用公匙加密后,要想解密只能使用密匙。这种方法中典型的案例是RSA算法,但是这种算法加密和解密都需要进行两次,处理和计算量较大,加密和解密速度较慢,因此只针对少量数据进行加密。
3.4安全认证技术安全认证技术主要是对信息进行认证,保证信息在通信中的真实性。主要包括安全认证技术和安全认证机构两方面。安全技术认证有数字摘要、数字信封、数字签名、数字证书等。能够承担网上安全交易认证服务的就是电子商务认证中心,在这个认证中心可以签发数字证书,能够确认用户的身份。
3.5安全认证协议在电子商务中应用最为广泛的安全认证协议主要有安全套接层SSL协议和安全电子交易SET协议。SSL协议主要是用于银行与企业或企业与企业间的电子商务,SET则是为持卡消费、网购等电子商务服务的。SET协议认证体系较为完善,可以进行多方认证,可以提供更为可靠的安全保障。使用SET协议期间,卖家是无法看到用户的账户信息的,而对于用户订购的具体内容银行也是不清楚的。
3.6不轻易打开网站链接不轻易打开网站链接主要是针对身份仿冒问题的。为了防范这种骗局,对于不信任的网站、别人发来的链接,我们都不要轻易去打开,以免被不法之徒利用从而发生账户信息泄露等问题。
4安全管理策略
除了运用上述技术来保证电子商务系统的安全外,电子商务平台还还必须要有严格的内部安全机制,以此杜绝2012年发生的一号店员工泄露用户信息类似事件。内部安全机制可以从以下几方面来建立:
4.1人员权限电子商务系统的所有人员,必须按照其职责范围对其权限进行设定,对于不属于自己职责范围的,没有权限进行访问。
4.2管理原则安装分级进行管理,对于电子商务中内部用户帐户和密码必须严格的管理,要进行严格的身份确认后才能进入系统。
4.3工作记录要建立网络安全的维护日志,对与安全相关的所有信息进行记录,以便发生突发状况时可以进行查询,并要对工作记录定期地检查,这样就可以及时发现存在的安全隐患。
4.4信息备份对重要的信息、数据进行备份,在备份后针对不同数据信息的重要程度,对此再进行加密处理。
5结论
1电子商务中信息安全的检验
电子商务的检验可以从以下四个方面进行比较:(1)完整性。交易的成交需要信息的完整,不能随意修改、重复发送信息。(2)保密性。电子商务中交易能够正常进行的基础就是信息一定要保密。(3)可用性。交易双方提供的信息必须为有效的可用信息。(4)可靠性。必须有一个安全的交易系统,并且保证交易双方提供信息的可靠性。只有信息安全了,电子商务才能真正的发挥它的作用
2电子商务的各种问题
2.1电子商务有可能存在损害消费者权益的虚假信息
在电子商务方面,如“天猫”和“淘宝”等就是最具代表性的网站。当今电子商务的第一人非马云莫属,他将各行各业的卖家都集中在“淘宝”上,由顾客对自己要买的产品进行对比,最后选择合适的商家进行交易,同时为了交易的方便进行,他增加了支付宝支付功能,极大地方便了消费者的购物流程。他将传统的交易方式变成了这种虚拟的电子商务。这种交易方式极大地方便了人们的经济生活,而且相比于实体店的商品,网上的更加便宜,给消费者带来了真正的实惠,但是由于消费者看不到网店的实际商品,只能通过图片或者文字来获取信息,很多黑心商家利用这点出售假冒商品,给消费者带来很大的经济损失。
2.2电子商务管理的不规范性
随着时代的发展,互联网成为人们生活中不可缺少的一部分,同时也推动了电子商务的发展,严重影响了以前的传统商业模式,造成了整个商业模式的变化,所以有越来越多的人在关注电子商务,但是对于电子商务的信息安全问题,却很少提及,国家也没有个统一标准,所以造成了交易过程中的各种不规范。同时由于我国没有在网络方面进行立法,人们在互联网上想干什么就干什么,造成的网络安全问题越来越多,严重的破坏了普通民众上网的网络环境。所以我国应该针对网络安全问题制定相关的法律,对电子商务进行宏观控制,完善电子商务的交易方式和操作模式,减少消费者的损失,维护人民的权益。
2.3信息存储安全性比较弱
我国的互联网发展起步较晚,虽然发展的比较迅速,但对与互联网的技术和水平掌握的比较少,所以容易受到攻击破坏。而对电子商务中信息的存储威胁最大的形式主要有两个,一个就是“非授权用户修改”,另一个是“查看信息”。当企业连接上互联网后,电子商务操作过程中如果一些环节出现问题,便会对企业造成很大的影响,使企业受到外部和内部的两重威胁。外部威胁指的是企业以外的人员(如黑客)等攻击了企业的网络,入侵了内部网络,在未经授权的情况下私自篡改了电子商务信息,窃取了企业和客户的信息,造成相当大的损失。内部威胁指的是企业内部的人员在没有获得授权的情况下私自修改了信息,比如最近新闻上热议的“各大银行客户的银行存款莫名其妙被转走”,经过调查,是由于内部人员私自篡改了信息,将用户储蓄的存款转移了。
3改进方法
3.1加强安全意识
无论是建立和完善相关的电子商务信息安全的法律还是加强网络基础设施的建设,或者是提高网络技术水平,都是从外部环境方面着手,只有提高用户的网络安全知识,加强用户对信息的保密意识下能从内部解决信息安全问题。外部环境的不断加强和完善使得网络环境固若金汤,使得不法分子很难入侵成功,所以他们只能转移目标,从使用的用户入手,从内部入侵,盗取个人账号,获得管理员的权限来窃取电子商务信息,给用户造成极大的损失。所以提高用户所掌握的安全知识,加强用户的保密意识也是相当重要的。
3.2提高并掌握高端技术
电子商务有利有弊,在推动社会进步,给大家带来更多方便的同时,同样的也存在着许多问题和隐患,对我国国家信息安全是个很大的考验,也增大了个人信息泄露的机会,但是不能因为有问题就不发展,那样永远不会进步,所以如何解决这些问题就是现在的重中之重。因此国家应该更加重视网络技术,增加对网络技术的支持,不断的引进国外的先进技术和设备,重点培养一些具有网络安全技术方面的人才。加强我国的网络安全建设要重点研究以下技术:(1)防火墙技术。可以阻止非法入侵,从源头删除掉一些不安全的协议领域。(2)数据加密技术。对文件、数据及口令等信息进行加密,使的这些信息不会被随便损坏。(3)身份识别技术。运用身份识别技术对双方进行严密的核实,确定所发信息是否完整。(4)防病毒技术。防止病毒进入信息安全系统,使内部安全系统遭到损坏,造成信息的泄露以及不必要的损失。而且我国电脑的系统软件的核心技术以及中央处理器等核心部件都是从国外进口的,信息的安全性没办法保证。因此我国的网络安全基础设施也是必须要加强的。只有从内部和外部两方面着手,才能从根本上解决我国电子商务信息安全方面的问题。
3.3对网络安全进行立法,提供法律依据
对网络安全以及电子商务安全进行立法,明确规定相关法律,对网络安全及电子商务安全提供法律依据,用法律来保护网络的安全。同时我国也要设立专门的行政部门对电子商务进行统计的管理和监督,行政部门和相关法律政策相结合,加强对商家的审核,严厉打击假冒伪劣产品,对商家进行严厉的批评和适当的罚款,并进行应有的法律教育,提高其遵纪守法的意识,加强职业操守,为当今社会的电子商务创造良好的环境,使电子商务能够有序的进行。对于构建社会主义和谐社会有很大的推动作用。
4结语
总而言之,随着经济和社会的不断发展和进步,互联网越来越成为人们生活中不可缺少的一部分,电子商务也必将取代传统商务模式,成为将来购物的主要形式。但是电子商务发展过程中也存在着很多问题和隐患,其中问题最严中的就是信息安全问题,通过对电子商务发展中的各种问题进行解析,并且找出相对应的解决办法,是做好电子商务信息安全的必要选择,也是做好网络安全的必要选择,同时也是做好国家信息安全的必要选择。
作者:邓志龙 单位:陕西青年职业学院
参考文献:
[1]马伟.新时期计算机电子商务的安全策略分析[J].中国商贸,2013(18).
[2]刘秀平,武守勇.浅析计算机信息安全策略的维度思考[J].无线互联科技,2013(04).
[关键词] 电子商务SSL浏览器客户端服务器数字证书CA
一、 引言
随着计算机网络技术的飞速发展,电子商务开始蓬勃发展起来,通过Internet进行的网上购物、在线交易、网上银行等业务虽然为人们的工作和生活提供了极大的便利。但是,由于Internet本身具有的开放性、灵活性、共享性等特点,也为信息安全带来了巨大威胁。所以,电子商务的安全问题是事关能否正常开展电子商务的首要问题。
目前,世界上提出了很多加强网上交易安全性的协议,如SSL、SET等。由于SET协议非常复杂,实现比较困难,而且执行效率比较低,所以目前大部分网上交易都是采用SSL协议来实现。当前,网上银行等大型电子商务交易系统一般都采用HTTP和SSL相结合的方式,即在服务器端采用支持SSL的WWW服务器,在客户端采用支持SSL的浏览器,双方共同协作来实现安全的网络通信。
二、SSL协议的介绍
安全套接层协议(Secure Sock Layer Protocol,简称SSL)是在电子商务发展初期发展起来的,最早由Netscape公司设计开发,它是在TCP/IP上实现的一种安全协议,其采用了不对称加密技术。它为C/S(客户端/服务器)通信安全提供面向连接的机制,建立安全通道,通过在安全通道上传输信用卡卡号的方式,可以构建电子商务支付系统。SSL安全通道能使客户端/服务器应用之间的通信不被第三者窃听,并且始终对服务器进行身份认证,还可选择对客户端进行认证。目前,大部分Web浏览器(Netscape Navigator和Microsoft IE)和Web服务器都已内置了SSL协议,SSL已成为在电子商务中应用最广泛的安全协议之一。
SSL协议要求建立在可靠的传输层协议(例如:TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如:HTTP,FTP,TELNET)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成了加密算法、通信密钥的协商以及服务器认证工作。应用层协议所传送的数据都会被加密,从而保证通信的机密性。
SSL协议主要由SSL记录协议和SSL握手协议两部分组成。
1.SSL记录协议。SSL记录协议位于SSL协议的底层,用于封装上层的协议。其规定了会话中传递的所有数据项的基本格式,提供压缩数据、生成数据的完整性校验值(MAC)、对数据进行加密、标示数据长度、填充、流水作业号,并支持不同的加解密和杂凑算法。
2.SSL握手协议。SSL握手协议使得服务器和客户端能够相互认证对方的身份、传送所需的数字证书、建立所需的会话密钥。SSL握手协议是较SSL记录协议更高层的协议,必须先执行握手协议后,才可能实现SSL记录协议中的加密和完整性校验。SSL协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的建立。SSL握手过程一般分为4个阶段:
(1)建立安全能力:该阶段是用来初始化逻辑连接,并建立与之相关的安全能力。交换在客户端发起,客户端发送Client_hello消息,并包含以下数据(SSL版本、初始随机参数、会话ID、密码组参数、压缩方法),在发送了Client_hello消息之后,客户端将等待包含与Client_hello消息参数一样的Server_hello消息。
(2)服务器身份认证和密码交换:服务器发送自己的数字证书给客户端,该证书带有证书授权中心(CA)的数字签名和服务器的公钥以及其数字签名,可以证明自己的合法性,然后开始密钥交换。如果服务器要求认证客户端,则要请求客户端数字证书。该阶段以Hello消息段结束,之后服务器等待客户端的响应。
(3)客户端认证和密钥交换:在这一阶段,客户端认证服务器数字证书的合法性。如果服务器要求客户端的数字证书,客户端应提供其数字证书,供服务器认证客户端的合法性。此外,还要发送交换密钥。
(4)完成:该阶段完成安全通道的建立,该消息并不被认为是握手协议的一部分,而是改变密码规格协议发送的。至此,客户端和服务器完成了握手协议,可以开始交换应用层的数据了。
三、SSL协议在服务器上的应用
实现SSL协议,首先要在服务器上加装SSL,其步骤为先在“Internet服务管理器”的“识别码管理器”上填入网站的相关信息,以它为内容产生一组公钥,识别码管理器还会将以上信息都写入文件,接下来就可以用这份数据向证书授权中心(Certification Authority)申请SSL服务器数字证书了。CA是一个公开而且公正的组织单位,其专门负责受理数字证书的核准,发放,注销等管理工作(例如:VeriSign)。不同的CA有不同的申请方法。当申请好数字证书后,选择识别码管理器下的安装识别码认证,输人密码和数字证书文件的位置,就把数字证书安装好了。然后就是指定哪些页面需要用到SSL功能,打开Internet服务管理器,单击所要设置的页面目录后按右键,单击“属性”,再选择“目录安全设定”下“安全通信”,按下编辑按键后在“当存取这个资源必须使用安全通道”选项上打上勾,表示当客户端存取这个目录时就会激活SSL功能。
服务器通过SSL服务器数字证书的两个必要功能来建立电子商务信任体系。SSL服务器数字证书的两个必要功能是:
1.SSL服务器认证:服务器数字证书允许用户确认Web服务器的身份。Web浏览器自动检查服务器数字证书和公共ID是有效的并已经被CA(如:VeriSign)所,包括在可信任的内嵌于浏览器中的CA列表。SSL服务器认证对安全的电子商务交易是至关重要的。例如,用户通过网络发送信用卡号并想校验接收服务器的身份。
2.SSL加密:SSL服务器数字证书建立了一个安全通道,在用户浏览器和Web服务器之间传送的所有信息由发送软件加密、接收软件解密,从而保护私有信息不被第三方所窃取。
四、SSL协议在客户端的应用
1.客户连接一个站点和访问一个安全的URL,即受服务器ID所保护的网页。
2.客户的浏览器自动向服务器发送浏览器的SSL版本号、密码设置、产生的随机数和服务器需要和客户用SSL通信的其他信息。
3.服务器做出反应,自动向浏览器发送站点的数字证书,包括服务器的SSL版本号、密码设置等等。
4.客户的浏览器检查包含在服务器数字证书中的信息并校验。
(1)服务器数字证书是否有效,日期是否有效。
(2)服务器数字证书的CA是否被可信任的CA所签名,可信任的CA证书已嵌入浏览器中。
(3)嵌入浏览器中的CA的公钥是否使者的数字签名有效。
(4)服务器数字证书所指定的域名与服务器的真实域名是否匹配。
如果服务器不能通过认证,那么用户就会接收到警告信息,从而不能建立SSL安全通道。
5.如果服务器通过认证,客户浏览器就会产生一个唯一的“会话密钥”来加密所有与服务器的通信内容。
6.客户的浏览器用服务器数字证书中的公钥加密“会话密钥”发送给服务器。这样就可以确保只有服务器才能读出“会话密钥”。
7.服务器用自己的私钥解密“会话密钥”。
8.浏览器向服务器发送信息,表明以后从客户端发送的信息都将用“会话密钥”加密。
9.服务器向浏览器发送信息,表明以后从服务器发送的信息也将用“会话密钥”加密。
10.这样,在客户端与服务器就建立了一个SSL安全通道。之后,所有通信内容就在SSL安全通道内用“会话密钥”来加密和解密信息。
11.一旦本次会话结束,“会话密钥”也就随之失效。
上述过程只要花费几秒钟的时间,且不需要客户的干涉。
另外,用户还可以通过以下情况来确认是否已经和正在访问的服务器建立了SSL安全通道:
> 在浏览器窗口的URL中以HTTPS://开头
> 在Netscape中,在窗口左下角的挂锁是关闭的,而不是打开的。
> 在IE中,挂锁出现在窗口状态条的右下角。
五、SSL在现实中的应用
以中国工商银行“个人网上银行”为例。首先访问工商银行首页(省略/)。单击“个人网上银行登录”图标。然后填入必要的信息,之后单击同意按钮就可以打开“个人网上银行”。
首次使用时,会弹出一个要求安装SSL数字证书的对话框,单击“是”按钮即可。在安装好SSL数字证书之后,在IE浏览器的右下方就会出现一把闭合的黄色小锁,其代表浏览器正在使用SSL加密传输的资料,从而避免敏感信息在传输的过程中被窃取或者篡改。用户可以通过双击这把小锁来查看服务器SSL数字证书的详细内容。
值得一提的是个别浏览器只支持40位以下的加密算法。这对于传输重要信息是远远不够的。在IE浏览器中,只要将鼠标指向浏览器右下方的黄色小锁,就可以看到SSL加密的位数。假如不是128位的话,可以通过单击浏览器“帮助”菜单下的“关于Internet Explorer”。如果显示的密钥长度小于128位,则可以单击“工具”菜单上的“Windows Update”,然后依据提示将浏览器更新为最新版本,使其支持128位的SSL加密算法。
六、SSL的功能及SSL的局限性
1.信息加密。SSL所采用的加密技术既有对称加密技术,如DES;也有不对称加密技术,如RSA。具体来说,客户端与服务器在进行数据交换之前,先交换SSL握手信息,在SSL握手信息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行认证。
2.信息完整。SSL提供了信息完整服务,以建立客户端与服务器之间的安全通道,使所有经过SSL协议处理的业务能全部准确无误地到达其目的地。
3.身份认证。客户端和服务器都有各自的识别号,这些识别号由公开密钥进行编号。为了验证用户是否合法,SSL协议要求在握手交换数据前进行认证,以此来确保用户的合法性。 SSL坚持对服务器进行身份认证,还可选择性的对客户端进行认证。
然而,SSL当初并不是为支持电子商务而设计的,所以其在电子商务系统的应用中还存在很多弊端。它只是简单地在双方之间建立了一条安全通道,在涉及多方的电子交易中,只能提供交易中客户端与服务器之间的双方认证。而电子商务往往是用户、网站、银行三方协作完成,SSL协议并不能协调各方之间的安全传输和信任关系;另外还有购物时用户要输入通信地址,这样将有可能使得用户收到大量的垃圾信件。 此外,SSL协议不能防止心术不正的商家的欺诈,因为该商家掌握了客户的信用卡号。商家欺诈是信用卡业发展所面临的最严重的问题之一。但是,SSL除了传输过程以外不能提供任何安全保证,它并不能使客户确信此公司接受信用卡支付是得到授权的。再者,SSL协议的最大不足之处在于,其不对应用层的消息进行数字签名,因此SSL不能提供交易的不可否认性。
关键词:电子商务 物流 信息安全 数据加密
中图分类号: TP309 文献标识码: A
当今世界网络,通信和信息技术飞速发展,Internet在全球迅速普及,使得商务空间发展到全球的规模,促进企业组织改革自己的思维观念、组织结构、战略方针和运行方式来适应全球性的发展变化。电子商务就是适应以全球为市场而出现和发展起来的一种新的商贸模式,通过网络技术快速而有效地进行各种商务行为,即在商务运作的整个过程中实现交易无纸化、直接化。电子商务可以使商家与供应商,在全球市场上销售产品;也可以让用户足不出户在全球范围内选择最佳商品,享受全过程的电子服务。
一、物流在电子商务流程中的作用
电子商务对象是整个交易过程,任何一笔交易都由信息流、商流、资金流和物流等四个基本部分组成。开展电子商务的最终目的是为了解决信息流和资金流处理上的延迟,从而提高对物流过程管理的现代化水平,进一步提高现代化物流速度。物流做为网上电子交易的最后一个过程,执行结果的好坏将对电子交易的成败起着十分重要的作用,是实现电子商务的重要环节和基本保证。电子商务必须有现代化的物流技术的支持,才能体现出其所具有的无可比拟的先进性和优越性,在最大限度上使交易双方得到便利,获得效益。
二、电子商务流程中物流的实现
在电子商务中,信息流、商流、资金流的处理可以通过计算机和网络通信设备实现。对于有形的商品和服务来说,物流仍然要由物理的方式进行传输;对于无形的商品及服务如各种电子出版物、信息咨询服务以及有价信息软件等,可以直接通过网络传输的方式进行电子化配送。电子商务环境下的物流,通过机械化和自动化工具的应用和准确、及时的物流信息对物流过程的监控,使物流的速度加快、准确率提高,能有效地减少库存,缩短生产周期。
三、电子商务中物流信息安全问题
物流正在向信息化、自动化、网络化和智能化的方向发展,越来越依赖于网络传输信息的安全性能。由于Internet具有开放性和匿名性,其安全问题变得越来越突出。物流信息在网络传输过程中,经常会遭到黑客的拦截、窃取、篡改、盗用、监听等恶意破坏,给商户带来重大损失。以各种非法手段企图入侵计算机网络的黑客,其恶意攻击构成电子商务系统中网络安全的最大威胁,已经成为物流信息安全的最大隐患。黑客攻击经常使用的手段有:
1、获取口令
有三种方法:一是精心伪造一个登录页面,并嵌入到相关网页上,当商户键入登录信息(用户名和密码等)后,将这些信息传送到黑客的主机,然后关闭页面给出“系统故障”等提示,要求商户重新登录,此后才出现真正的登录页面。二是通过网络监听得到商户口令,监听者往往能够获得其所在网段的所有用户账号和口令,对LAN威胁巨大。三是知道商户账号后利用一些专门软件强行破解商户口令。
2、邮件炸弹
用伪造的IP地址和电子邮件地址向商户信箱发送无数封内容相同的恶意邮件,挤满邮箱,把正常邮件冲掉。同时占用大量网络资源,导致网路阻塞,甚至使电子邮件服务器瘫痪。
3、特洛伊木马
在商户的电脑中隐藏一个会在系统启动时运行的程序,采用服务器/客户机的运行方式,在上网时控制商户电脑,窃取口令、浏览商户的驱动器、修改商户文件和登录注册表等。
4、诱敌深入
黑客编写“合法”程序,上传到FTP站点或提供给个人主页诱导客户。当客户下载该软件时,黑客的软件一并进入客户的计算机上,跟踪客户的操作,记录客户输入的每一个口令,发送到黑客指定的E-mail中。
5、寻找漏洞
寻找攻击目标的系统安全漏洞或安全弱点,以便获取攻击目标系统的非法访问权。
四、物流信息安全防护策略
合法商户进行网上查询、交易双方业务洽谈、买方下订单并得到卖方确认、商品配送、售后服务、技术支持等在线操作时对商务数据的安全需求比较高,同时希望私有信息(口令、账户数据等)保密。采用身份认证和数据加密技术能够保护商户私人信息及商务数据在公共网络上传输时不被窃听、篡改、顶替及非法使用。
1、身份验证
采用数字证书身份认证加上口令认证的双因子身份认证技术。每个企业用户应该申请一张数字证书,上网进行账户查询时,网上银行系统首先验证该用户数字证书是否合法,然后将查询请求和口令一起发送给业务前置机,对口令再次进行认证。当服务器获得用户证书后,还要检索该证书是否在废止证书列表之中。对于个人用户,可以采用对口令加密的方式进行身份验证,不需要申请证书,比较方便。
2、数据加密
物流信息在网络中传输时,通常不是以明文方式而是以密文的方式进行通信传输。因为以明文传输的信息数据,一旦被他人截获会轻而易举地被读懂、窃取盗用及篡改,很难保证物流配送活动的机密性、可靠性和安全性。下面利用C语言编程实现替换加密方法。
Caesar(恺撒)密码是一种最古老的技术,将明文中每个字母替换为字母表中其后面固定数目位置的字母。如要传输的明文是“I am a teacher!”,经过加密,密钥为5,对方接收到的密文是“N fr f yjfhmjw!”,对第三方来说,这是毫无意义的一串字符,避免了泄密。合法接收方进行解密,又会得到“I am a teacher!”字符串。加密算法代码如下:
#include "string.h"
main()
{ int i,ld, newasc;
char mingwen[20], miwen[20], c;
strcpy(mingwen,"I am a teacher!"); /*明文*/
ld = strlen(mingwen);
for (i=0; i
{ c =mingwen[i];
if (c>='A' && c
{ newasc = c + 5; /*密钥为5*/
if (newasc > 'Z')newasc = newasc - 26 ;
miwen[i] = newasc;}
else if (c>='a' && c
{ newasc = c + 5 ;
if (newasc >'z') newasc = newasc - 26;
miwen[i] = newasc ; }
else
miwen[i] =c;
}
for(i=0;i
}
数据加密后传输,一定程度上保证了信息的安全性,密钥的保密是很关键的。否则,网络攻击者掌握加密、解密算法,又得到密钥,对合法商户会造成致命的损失。因此加强对密钥的管理,要贯穿于密钥的整个生存期:密钥的生成、验证、传递、保管、使用和销毁。
电子商务作为网络时代的一种全新的交易模式,相对于传统商务是一场革命。电子商务的优势之一就是能大大简化业务流程,降低企业运作成本。而电子商务企业成本优势的建立和保持必须以可靠和高效的物流运作作为保证。所以,加大力度防护物流信息的安全,大力发展现代化物流,电子商务才能得到更好的发展。
作者单位:渤海大学
参考文献:
[1]曹淑艳.电子商务应用基础[M].北京:清华大学出版社,2005.9.