電子商務(wù)信息安全技術(shù)淺論

1、電子商務(wù)信息安全技術(shù)淺論 論文關(guān)鍵詞電子/a商務(wù)；信息安全；加密技術(shù)；數(shù)字認(rèn)證 論文摘要：電子商務(wù)技術(shù)的廣泛應(yīng)用，給中小公司提供便利和商機(jī)。同時(shí)，由于Internel的開放性、共享性使電子商務(wù)信息安全面臨威脅。闡述了電子商務(wù)可采用加密技術(shù)、數(shù)字簽名和數(shù)字證書技術(shù)、防火墻技術(shù)等技術(shù)和SSL協(xié)議、SET協(xié)議，提高電子商務(wù)信息安全系數(shù)，并對(duì)今后電子商務(wù)信息技術(shù)發(fā)展提出了自己的見解。 引言：近年來，隨著通訊技術(shù)、網(wǎng)絡(luò)技術(shù)的迅速發(fā)展促使電子商務(wù)技術(shù)應(yīng)運(yùn)而生。電子商務(wù)具有高效率、低成本的特性，為中小型公司提供各種各樣的商機(jī)而迅速普及。電子商務(wù)主要依托Intemet平臺(tái)完成交易過程中雙方的身份、資金等信息的

2、傳輸。由于Imemet的開放性、共享性、無縫連通性，使得電子商務(wù)信息安全面臨著威脅：如1)截獲和竊取用戶機(jī)密的信息。2)篡改網(wǎng)絡(luò)傳輸途中的信息，破壞信息的完整性。3)假冒合法用戶或發(fā)送假冒信息來欺騙用戶。4)交易抵賴否認(rèn)交易行為等。因此，電子商務(wù)技術(shù)的推廣，很大程度依賴信息安全技術(shù)的完善和提高。 l電子商務(wù)安全技術(shù) 11加密技術(shù)。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識(shí)別的密文數(shù)據(jù)。通過使用不同的密鑰，可用同一加密算法，將同一明文加密成不同的密文。當(dāng)需要時(shí)可使用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)，稱為解密。數(shù)據(jù)加密被認(rèn)為是最可靠的安全保障形式，它可以從根本上滿足信息完整性的要求，是

3、一種主動(dòng)安全防范策略。 密鑰加密技術(shù)分為對(duì)稱密鑰加密和非對(duì)稱密鑰加密兩類。對(duì)稱加密技術(shù)是在加密與解密過程中使用相同的密鑰加以控制，它的保密度主要取決于對(duì)密鑰的保密。它的特點(diǎn)是數(shù)字運(yùn)算量小，加密速度快，弱點(diǎn)是密管理困難，一旦密鑰泄露，將直接影響到信息的安全。非對(duì)稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制，加密密鑰是公開的，解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對(duì)照推算解密密鑰在計(jì)算上的不可能性。算法的核心是運(yùn)用一種特殊的數(shù)學(xué)函數(shù)單向陷門函數(shù)。即從個(gè)方向求值是容易的，但其逆向計(jì)算卻很困難，從而在實(shí)際上成為不可能。 12數(shù)字簽名和數(shù)字證書。1)數(shù)字簽名。數(shù)字加密

4、是非對(duì)稱加密技術(shù)的一類應(yīng)用。數(shù)字簽名是用來保證文檔的真實(shí)性、有效性的一種措施如同出示手寫簽名一樣。將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。通過數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別與驗(yàn)證，保證報(bào)文的完整性、權(quán)威性和發(fā)送者對(duì)所發(fā)報(bào)文的不可抵賴性。數(shù)字簽名機(jī)制提供了一種鑒別方法，保證了網(wǎng)絡(luò)數(shù)據(jù)的完整性和真實(shí)性。2)數(shù)字證書。數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)直用中識(shí)別通訊各方的身份，其作用類似于現(xiàn)實(shí)生活中的身份證。數(shù)字證書由可信任的、公正的權(quán)威機(jī)構(gòu)CA中心頒發(fā)，以數(shù)字證書為楊的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字

5、簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，交易實(shí)體身份的真實(shí)性，簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。 13防火墻技術(shù)。防火墻主要功能是建立網(wǎng)絡(luò)之間的個(gè)安全屏障，從而起到內(nèi)部網(wǎng)絡(luò)與外部公網(wǎng)的隔離，加強(qiáng)網(wǎng)絡(luò)之間的訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手釃百：過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)。根據(jù)制定的策略對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)、分析審計(jì)，按照定的安全策略限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問，只有被允許通信才能通過防火墻，管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限，監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)并對(duì)各種攻擊提供有效的防范。 2電子商務(wù)安全交易協(xié)議 2l(SSL)安全套接層協(xié)議。主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)，保證任何安裝了安

6、全套接層的客戶和服務(wù)器之間事務(wù)安全的協(xié)議，該協(xié)議向基于TCPIP的客戶假務(wù)器應(yīng)用程序提供了客戶端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。 SSL安全協(xié)議主要提供三方面的服務(wù)。是用戶和服務(wù)器的嘗陛保證，使得用戶與服務(wù)器能夠確信渤據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上?？蛻魴C(jī)與服務(wù)器都有各自的識(shí)別號(hào)，由公開密鑰編排。為了驗(yàn)證用戶，安全套接層協(xié)議要求在握手交換數(shù)據(jù)中作數(shù)字認(rèn)證，以此來確保用戶的合法性；二是加密數(shù)據(jù)以隱藏被傳遞的數(shù)據(jù)。安全套接層協(xié)議采用的加密技術(shù)既有對(duì)稱密鑰，也有公開密鑰，在客戶機(jī)和服務(wù)器交換數(shù)據(jù)之前，先交換SSL初始握手信息。在SSL握手信息中采用了各種加密技術(shù)，以保證其機(jī)密性與

7、數(shù)據(jù)的完整性，并且經(jīng)數(shù)字證書鑒別：三是維護(hù)數(shù)據(jù)的完整性。安全垂接層協(xié)議采用Hash函數(shù)和機(jī)密共享的力怯來提供完整的信息服務(wù)，建立客戶機(jī)與服務(wù)器之間的安全通道，使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務(wù)能全部準(zhǔn)確無誤地到達(dá)月的地。 22(SET)安全電子交易公告。為在線交易設(shè)立的一個(gè)開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對(duì)客戶信用卡認(rèn)證的前提下，又增加了對(duì)商家身份的認(rèn)證。SET已成為全球網(wǎng)絡(luò)工業(yè)標(biāo)準(zhǔn)。 SET安全協(xié)議主要對(duì)象包括：消費(fèi)者(包括個(gè)人和團(tuán)體)，按照在線商店的要求填寫定貨單，用發(fā)銀行的信用卡付款；在線商店，提供商品或服務(wù)，具備使用相應(yīng)電子貨幣的條件；收單銀行，通過支付網(wǎng)關(guān)處理

8、消費(fèi)者與在線商店之間的交易付款；電子貨幣發(fā)行公司以及某些兼有電子貨幣發(fā)行的銀行。負(fù)責(zé)處理智能卡的審核和支付；認(rèn)證中心，負(fù)責(zé)確認(rèn)交易對(duì)方的身份和信譽(yù)度，以及對(duì)消費(fèi)者的支付手段認(rèn)證。SET協(xié)議規(guī)范技術(shù)范圍包括：加密算法的應(yīng)用，證書信息與對(duì)象格式，購買信息和對(duì)象格式，認(rèn)可信息與對(duì)象格式。SET協(xié)議要達(dá)到五個(gè)目標(biāo)：保證電子商務(wù)參與者信息的相應(yīng)隔離；保證信息在互聯(lián)網(wǎng)上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊??；解決多方認(rèn)證問題；保證網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過程都是在線的；效仿BD貿(mào)易的形式，規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性與交互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。

9、 3電子商務(wù)信息安全有待完善和提高 31提高網(wǎng)絡(luò)信息安全意識(shí)。以有效方式、途徑在社會(huì)普及網(wǎng)絡(luò)安全知識(shí)，提高公民的網(wǎng)絡(luò)安全意識(shí)與自覺陡，學(xué)會(huì)維護(hù)網(wǎng)絡(luò)安全的基本技能。并在思想上螢把信息資源共享與信息安全防護(hù)有機(jī)統(tǒng)一起來，樹立維護(hù)信息安全就是保生存、促發(fā)展的觀念。 32加強(qiáng)網(wǎng)絡(luò)安全管理。建立信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，有效統(tǒng)一、協(xié)調(diào)和研究未來趨勢，制定宏觀政策，實(shí)施重大決定。嚴(yán)格執(zhí)行中華人民共和計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例與計(jì)算機(jī)信息網(wǎng)絡(luò)安全保護(hù)管理辦法，明確責(zé)任、規(guī)范崗位職責(zé)、制定有效防范措施，并目嚴(yán)把用戶人網(wǎng)關(guān)、合理設(shè)置訪問權(quán)限等。 33加快網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)。加大對(duì)有良好基礎(chǔ)的科教育基地的支持和投入，

10、加強(qiáng)與國外的經(jīng)驗(yàn)技術(shù)交流，及時(shí)掌握國際上最先進(jìn)的安全防范手段和技術(shù)措施，確保在較高層次上處于主動(dòng)，加強(qiáng)對(duì)內(nèi)部人員的網(wǎng)絡(luò)安全培洲，防止堡壘從內(nèi)部攻破。使高素質(zhì)的人才在高水平的教研環(huán)境中迅速成長和提高。 34開展網(wǎng)絡(luò)安全立法和執(zhí)法。吸取和借鑒國外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn)，結(jié)合我國國情對(duì)現(xiàn)法律體系進(jìn)行修改與補(bǔ)充，使法律體系更加科學(xué)和完善；并建立有利于信息安全案件訴訟與公、檢、法機(jī)關(guān)辦案制度，提高執(zhí)法效率和質(zhì)量。對(duì)違犯國家法律法規(guī)，對(duì)計(jì)算機(jī)信息存儲(chǔ)系統(tǒng)、應(yīng)用程序或傳輸?shù)臄?shù)據(jù)進(jìn)行刪除、修改、增加、干擾的行為依法懲處。 35強(qiáng)化網(wǎng)絡(luò)技術(shù)創(chuàng)新。組織現(xiàn)有信息安全研究、應(yīng)用的人才，創(chuàng)造優(yōu)良環(huán)境，創(chuàng)新思想、超越約束，利用國內(nèi)外資源，建立具有中國特色的信息安全體系。特別要重點(diǎn)研究關(guān)鍵芯片與內(nèi)核