電子商務(wù)中的安全技術(shù).doc

電子商務(wù)中的安全技術(shù) 1.引言：對(duì)我國來說，電子商務(wù)尚是一個(gè)機(jī)遇和挑戰(zhàn)并存的新領(lǐng)域，這種挑戰(zhàn)在很大程度上對(duì)有關(guān)安全技術(shù)的信賴。在開放的網(wǎng)絡(luò)（如Inter）上處理交易，如何保證傳輸數(shù)據(jù)的安全成為電子商務(wù)能否普及最重要的因素之一。2電子商務(wù)對(duì)安全的要求及一般性對(duì)策歸納用戶對(duì)電子商務(wù)活動(dòng)安全性的需求，以及可使用的網(wǎng)絡(luò)安全措施主要包括如下幾個(gè)方面。如何確定通信中的貿(mào)易伙伴的真實(shí)性，常用的處理技術(shù)是身份認(rèn)證，依賴某個(gè)可信賴的機(jī)構(gòu)（認(rèn)證中心CA）發(fā)放證書，雙方交換信息之前通過CA獲取對(duì)方的證書，并以此識(shí)別對(duì)方。如何保證電子單證的秘密性，防范電子單證的內(nèi)容被第三方讀??；常用的處理技術(shù)是數(shù)據(jù)加密和解密。常見的加密技術(shù)包括對(duì)稱密鑰加密技術(shù)（典型的加密算法包括DES、TripleDES、IDEA、RC4和RC5）和非對(duì)稱密鑰加密技術(shù)（典型的加密算法為RSA、SEEK、PGP和EU等）。如何保證被傳輸?shù)臉I(yè)務(wù)單證不會(huì)丟失，或者發(fā)送方可以察覺所發(fā)單證的丟失；對(duì)于固定且具有頻繁貿(mào)易往來的伙伴，可以采用單證傳輸?shù)男蛄行詸z驗(yàn)（即為單證分配序列號(hào)，或者增加時(shí)間戳）；也可采用雙方約定的方法（即在規(guī)定的時(shí)間內(nèi)，通過某種方式進(jìn)行確認(rèn)。如何確定電子單證的內(nèi)容未被篡改；單證傳輸完整性主要采用散列技術(shù)來防止非法用戶對(duì)單證的篡改，通過散列算法對(duì)被傳輸?shù)膯巫C進(jìn)行處理，產(chǎn)生一個(gè)依賴于該單證的短小的散列值,并將該散列值附接在單證之后傳輸給接收方。以便接收方采用相同的散列算法對(duì)接收的單證進(jìn)行檢驗(yàn)。如何確定電子單證的真實(shí)性，即單證期望的發(fā)送方；鑒別單證真實(shí)性的主要手段是數(shù)字簽名技術(shù)，其基礎(chǔ)是數(shù)據(jù)加密中的公開密鑰加密技術(shù)，實(shí)用中常結(jié)合單證完整性一起考慮，利用發(fā)方的秘密密鑰對(duì)散列值進(jìn)行加密。如何解決或者仲裁收發(fā)雙方對(duì)交換的單證所產(chǎn)生的爭議，包括發(fā)方或者收方可能的否認(rèn)或抵賴。通常要求引入認(rèn)證中心進(jìn)行管理，由CA發(fā)放密鑰，傳輸?shù)膯巫C及其簽名的備份發(fā)至CA保存，作為可能爭議的仲裁依據(jù)。如何保證存儲(chǔ)信息的安全性。規(guī)范內(nèi)部管理，使用訪問控制權(quán)限和日志，以及敏感信息的加密存儲(chǔ)等。當(dāng)使用服務(wù)器支持電子商務(wù)活動(dòng)時(shí)，應(yīng)注意數(shù)據(jù)的備份和恢復(fù)，并采用防火墻技術(shù)（有些專家建議直接采用物理分割服務(wù)器和內(nèi)部網(wǎng)絡(luò)的連接）保護(hù)內(nèi)部網(wǎng)絡(luò)的安全性。. 1.引言：對(duì)我國來說，電子商務(wù)尚是一個(gè)機(jī)遇和挑戰(zhàn)并存的新領(lǐng)域，這種挑戰(zhàn)在很大程度上對(duì)有關(guān)安全技術(shù)的信賴。在開放的網(wǎng)絡(luò)（如Inter）上處理交易，如何保證傳輸數(shù)據(jù)的安全成為電子商務(wù)能否普及最重要的因素之一。2電子商務(wù)對(duì)安全的要求及一般性對(duì)策歸納用戶對(duì)電子商務(wù)活動(dòng)安全性的需求，以及可使用的網(wǎng)絡(luò)安全措施主要包括如下幾個(gè)方面。如何確定通信中的貿(mào)易伙伴的真實(shí)性，常用的處理技術(shù)是身份認(rèn)證，依賴某個(gè)可信賴的機(jī)構(gòu)（認(rèn)證中心CA）發(fā)放證書，雙方交換信息之前通過CA獲取對(duì)方的證書，并以此識(shí)別對(duì)方。如何保證電子單證的秘密性，防范電子單證的內(nèi)容被第三方讀取；常用的處理技術(shù)是數(shù)據(jù)加密和解密。常見的加密技術(shù)包括對(duì)稱密鑰加密技術(shù)（典型的加密算法包括DES、TripleDES、IDEA、RC4和RC5）和非對(duì)稱密鑰加密技術(shù)（典型的加密算法為RSA、SEEK、PGP和EU等）。如何保證被傳輸?shù)臉I(yè)務(wù)單證不會(huì)丟失，或者發(fā)送方可以察覺所發(fā)單證的丟失；對(duì)于固定且具有頻繁貿(mào)易往來的伙伴，可以采用單證傳輸?shù)男蛄行詸z驗(yàn)（即為單證分配序列號(hào)，或者增加時(shí)間戳）；也可采用雙方約定的方法（即在規(guī)定的時(shí)間內(nèi)，通過某種方式進(jìn)行確認(rèn)。如何確定電子單證的內(nèi)容未被篡改；單證傳輸完整性主要采用散列技術(shù)來防止非法用戶對(duì)單證的篡改，通過散列算法對(duì)被傳輸?shù)膯巫C進(jìn)行處理，產(chǎn)生一個(gè)依賴于該單證的短小的散列值,并將該散列值附接在單證之后傳輸給接收方。以便接收方采用相同的散列算法對(duì)接收的單證進(jìn)行檢驗(yàn)。如何確定電子單證的真實(shí)性，即單證期望的發(fā)送方；鑒別單證真實(shí)性的主要手段是數(shù)字簽名技術(shù)，其基礎(chǔ)是數(shù)據(jù)加密中的公開密鑰加密技術(shù)，實(shí)用中常結(jié)合單證完整性一起考慮，利用發(fā)方的秘密密鑰對(duì)散列值進(jìn)行加密。如何解決或者仲裁收發(fā)雙方對(duì)交換的單證所產(chǎn)生的爭議，包括發(fā)方或者收方可能的否認(rèn)或抵賴。通常要求引入認(rèn)證中心進(jìn)行管理，由CA發(fā)放密鑰，傳輸?shù)膯巫C及其簽名的備份發(fā)至CA保存，作為可能爭議的仲裁依據(jù)。如何保證存儲(chǔ)信息的安全性。規(guī)范內(nèi)部管理，使用訪問控制權(quán)限