電子商務(wù)安全相關(guān)知識_第1頁
電子商務(wù)安全相關(guān)知識_第2頁
電子商務(wù)安全相關(guān)知識_第3頁
電子商務(wù)安全相關(guān)知識_第4頁
電子商務(wù)安全相關(guān)知識_第5頁
已閱讀5頁,還剩11頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、電子商務(wù)安全 【摘要】隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展,電子商務(wù)得到了越來越廣泛的應(yīng)用,越來越多的企業(yè)和個人用戶依賴于電子商務(wù)的快捷、高效。但電子商務(wù)是以計算機網(wǎng)絡(luò)為基礎(chǔ)載體的,大量重要的身份信息、會計信息、交易信息都需要在網(wǎng)上進行傳遞,在這樣的情況下,安全性問題成為首要問題。本文首先論述電子商務(wù)安全,介紹電子商務(wù)安全的現(xiàn)狀,分析電子商務(wù)安全存在的主要問題,然后從網(wǎng)絡(luò)安全技術(shù)、數(shù)據(jù)加密技術(shù)、用戶認證技術(shù)等方面介紹主要的電子安全技術(shù),從而更好的了解電子商務(wù)安全的現(xiàn)狀及未來的發(fā)展趨勢?!娟P(guān)鍵詞】電子子商務(wù)安全、安安全技術(shù)Abstraact wwith nnetworrk tecchnoloogy

2、annd thee rapiid devvelopmment oof infformattion ttechnoology, elecctroniic commmercee havee beenn appllied mmore aand moore, mmore aand moore ennterprrises and iindiviidual user depennds onn e-coommercce fasst andd effiicientt. Butt e-coommercce bassed onn compputer netwoork off carrrier, a lott of

3、 iimporttant iidentiity innformaation, accoountinng infformattion, transsactioon infformattion nneeds in thhe Intternett relaay, inn suchh a caase, aand thhe seccurityy, beccomes the mmain pprobleem. Thhis paaper ffirst discuusses e-commmercee secuurity, intrroducee e-coommercce seccurityy, thee sta

4、ttus quuo andd e-coommercce seccurityy, thee mainn probblems of thhen frrom neetworkk secuurity technnologyy, datta enccryptiion teechnollogy, user autheenticaation technnologyy intrroduceed maiin asppects of ellectroonic ssafetyy techhniquees, annd bettter uundersstandiing off e-coommercce seccurit

5、yy situuationn and futurre devvelopmment ttrend.Key woords e-commmercee secuurity, safeety teechnollogy引言 隨著Innterneet技術(shù)的迅迅速發(fā)展和深深入應(yīng)用,以以Interrnet作為為交易平臺的的電子商務(wù)正正逐步得到人人們的認同和和接受。而電電子商務(wù)是在在國際化、社社會化、開放放化和個性化化的Inteernet環(huán)環(huán)境中運作的的,它的應(yīng)用用可能會出現(xiàn)現(xiàn)金融欺詐,市市場/競爭價價格等秘密信信息的泄露,以以及缺乏可信信性而導(dǎo)致的的商機丟失等等諸如此類的的安全與信任任問題。電子商務(wù)安全概概述及

6、現(xiàn)狀 信息技術(shù)術(shù)日新月異的的發(fā)展,人類類正在進入以以網(wǎng)絡(luò)為主的的信息時代,越越來越多的人人通過Intternett進行商務(wù)活活動,電子商商務(wù)的前景十十分誘人,但但隨之而來的的安全問題也也變得越來越越突出。【案例】華碩官官方網(wǎng)站遭黑黑客攻擊 公公司被迫關(guān)閉閉服務(wù)器 2007747Exploitt Prevventioon Labbs的首席技技術(shù)官羅杰-湯姆森(RRoger Thomppson)透透露,該攻擊擊代碼隱藏在在網(wǎng)站主頁的的一個HTMML元素中,并并試圖從另一一臺服務(wù)器上上下載惡意代代碼。截止周周五下午,這這臺服務(wù)器已已經(jīng)停止工作作,雖然黑客客們還可轉(zhuǎn)移移攻擊目標,不不過此次攻擊擊的危險

7、性已已經(jīng)下降。4月6日據(jù)外電電報道 電腦腦零部件生產(chǎn)產(chǎn)商華碩的網(wǎng)網(wǎng)站遭到黑客客攻擊,黑客客利用本周才才修復(fù)的一個個Windoows系統(tǒng)中中的緊急漏洞洞,通過該網(wǎng)網(wǎng)站的服務(wù)器器發(fā)送惡意代代碼。Exploitt Prevventioon Labbs的首席技技術(shù)官羅杰-湯姆森(RRoger Thomppson)透透露,該攻擊擊代碼隱藏在在網(wǎng)站主頁的的一個HTMML元素中,并并試圖從另一一臺服務(wù)器上上下載惡意代代碼。截止周周五下午,這這臺服務(wù)器已已經(jīng)停止工作作,雖然黑客客們還可轉(zhuǎn)移移攻擊目標,不不過此次攻擊擊的危險性已已經(jīng)下降。華碩的營銷經(jīng)理理大衛(wèi)-雷(Davidd Ray)不能證實網(wǎng)網(wǎng)站是否被黑黑,

8、只稱公司司的網(wǎng)站看起起來沒有受到到威脅。 此此惡意代碼之之所以受到特特別關(guān)注,是是因為它利用用了本周才修修復(fù)的一個緊緊急的Winndows動動畫光標漏洞洞。瞄準該漏漏洞的惡意代代碼已經(jīng)出現(xiàn)現(xiàn)了一個多星星期,在安裝裝了補丁前如如果用戶訪問問了華碩網(wǎng)站站,可能會危危及電腦的安安全。Kasperssky Laab也證實了了華碩網(wǎng)站被被黑,同時證證實被黑客利利用的網(wǎng)站在在周五都已關(guān)關(guān)閉,黑客們們無法下載惡惡意代碼。湯湯姆森認為,華華碩網(wǎng)站的被被黑顯示出,即即使是人們信信賴的網(wǎng)站也也可能存在安安全隱患。他他表示,如果果像華碩這樣樣的大公司都都能被黑并感感染上病毒,其其他網(wǎng)站可想想而知。11 案例告訴訴我

9、們,網(wǎng)絡(luò)絡(luò)的普及也帶帶來了安全問問題的升級,而而電子商務(wù)將將在虛擬的網(wǎng)網(wǎng)絡(luò)環(huán)境下實實施,因此電電子商務(wù)活動動的安全與否否就成為影響響其發(fā)展的重重要因素。據(jù)權(quán)威調(diào)查表明明,目前果類類企業(yè)發(fā)展電電子商務(wù)的最最大顧慮也是是網(wǎng)上交易的的安全問題。Interneet之所以能能發(fā)展成為今今天的全球性性網(wǎng)絡(luò),主要要是依賴于它它的開放性。但但是,這種開開放式的信息息交換方式使使網(wǎng)絡(luò)安全具具有很大的脆脆弱性,要保保證電子商務(wù)務(wù)的正常運作作,就必須高高度重視安全全問題。安全全得不到保障障,即使使用用Interrnet再方方便,電子商商務(wù)也無法得得到廣大用戶戶的認可。因因此如何建立立一個安全,便便捷的電子商商務(wù)應(yīng)用

10、環(huán)境境,保證整個個商務(wù)過程中中的信息安全全性,使基于于Interrnet的電電子商務(wù)交易易方式與傳統(tǒng)統(tǒng)交易方式一一樣安全可靠靠,已經(jīng)成為為電子商務(wù)應(yīng)應(yīng)用中所關(guān)注注的重要技術(shù)術(shù)問題。22電子商務(wù)安全體體系和結(jié)構(gòu) (一) 電子子商務(wù)安全體體系 安全電子商務(wù)務(wù)系統(tǒng)通過IInternnet將商家家、客戶和銀銀行三方連接接起來,使用用安全代理服服務(wù)器和CAA認證系統(tǒng)等等實現(xiàn)電子商商務(wù)交易數(shù)據(jù)據(jù)的機密性、完完整性、不可可抵賴性等安安全功能。從從技術(shù)角度上上說,電子商商務(wù)系統(tǒng)的安安全就是保障障計算機信息息系統(tǒng)的安全全。主要由以以下三個部分分組成: 1、系統(tǒng)實實體安全 系統(tǒng)實體體安全是指保保護計算機設(shè)設(shè)備、設(shè)

11、施(含含網(wǎng)絡(luò))以及及其他媒體免免遭地震、水水災(zāi)、火災(zāi)等等環(huán)境事故的的破壞。具體體包括環(huán)境安安全、設(shè)備安安全、媒體安安全三個方面面。 其中環(huán)境安安全是指對電電子商務(wù)系統(tǒng)統(tǒng)所在的環(huán)境境進行保護,主主要包括受災(zāi)災(zāi)防護和特定定區(qū)域的防護護;設(shè)備安全全是指對電子子商務(wù)系統(tǒng)的的設(shè)備進行安安全保護,主主要包括防盜盜、防毀、防防止電磁信息息泄露、防止止線路截獲、炕炕電磁干擾和和電磁保護等等;媒體安全全是指對媒體體數(shù)據(jù)和媒體體本身實施保保護,包括防防止媒體被毀毀、防止媒體體數(shù)據(jù)被非法法復(fù)制、意外外事故破壞等等等可能使媒媒體數(shù)據(jù)丟失失的行為。 2、系統(tǒng)運運行安全 系統(tǒng)運行行的安全是指指保障電子商商務(wù)系統(tǒng)功能能的安

12、全實現(xiàn)現(xiàn),提供一套套安全措施保保護信息處理理過程的安全全。具體包括括風險分析、審審計跟蹤、備備份與恢復(fù)、應(yīng)應(yīng)急措施等。 3、信息安安全 信息安全全是指防止信信息財產(chǎn)被故故意或偶然地地非授權(quán)泄露露、更改、破破壞,或使信信息被非法的的系統(tǒng)辨識、控控制,即信息息安全就是要要確保信息的的完整性、保保密性、可用用性和可控性性。 信息安全全體系具體包包括操作系統(tǒng)統(tǒng)的安全、數(shù)數(shù)據(jù)庫的安全全、網(wǎng)絡(luò)問題題、病毒防護護安全、訪問問控制安全、加加密、鑒別等等。 (二)一個實實用的安全電電子商務(wù)系統(tǒng)統(tǒng)必須有機集集成現(xiàn)代計算算機密碼學、信信息安全技術(shù)術(shù)、網(wǎng)絡(luò)安全全技術(shù)和電子子商務(wù)安全支支付技術(shù)等。 電子商務(wù)安安全的體系

13、結(jié)結(jié)構(gòu)2 由上圖可可知基于健全全的計算機網(wǎng)網(wǎng)絡(luò)系統(tǒng)和如如上所述的數(shù)數(shù)據(jù)加密、認認證以及網(wǎng)絡(luò)絡(luò)安全技術(shù),在在安全的支付付機制和交易易協(xié)議支持下下,一個完整整、安全的電電子商務(wù)系統(tǒng)統(tǒng)就能夠建立立起來,并可可以安全地應(yīng)應(yīng)用和服務(wù)于于社會,造福福人類。電子商務(wù)安全技技術(shù) 電子商務(wù)務(wù)基本的安全全技術(shù)主要有有加密技術(shù)、認認證技術(shù)、安安全電子交易易協(xié)議、黑客客防范技術(shù)、虛虛擬專網(wǎng)技術(shù)術(shù)和反病毒技技術(shù)。加密技術(shù) 所謂“加密密”,簡單地說說就是,使用用數(shù)學的方法法將原始信息息(明文)重重新組織與變變換成只有授授權(quán)用戶才能能解讀的密碼碼形式(密文文),而“解密”就是將密文文重新恢復(fù)成成明文的過程程??梢哉f,加加密

14、技術(shù)是認認證技術(shù)及其其他許多安全全技術(shù)的基礎(chǔ)礎(chǔ),也是信息息安全的核心心技術(shù)。 信息加密技技術(shù)主要是對對傳輸中的信信息進行加密密,從而達到到隱藏信息內(nèi)內(nèi)容,使非法法用戶無法獲獲取真實信息息的一種技術(shù)術(shù)手段,其目目的是確保數(shù)數(shù)據(jù)的保密性性。 基于加密解解密所使用的的密鑰是否相相同,可分為為對稱加密和和非對稱加密密兩類。對稱加密 對稱加密的的加密密鑰和和解密密鑰相相同,即在發(fā)發(fā)送方和接收收方進行安全全通信前,商商定的一個密密鑰,用這個個密鑰對傳輸輸數(shù)據(jù)進行加加密和解密。對稱加密的突出出特點是加密密解密的速度度快,效率高高,適合對大大量數(shù)據(jù)進行行加密。缺點是密鑰的傳傳輸和交換面面臨安全問題題,并且若和

15、和大量用戶通通信時,難以以安全管理大大量密鑰。其中最常見的加加密算法有:DES、33DES、IIDEA、BBlowfiish等。下下面以DESS加密算法為為例,介紹其其原理。初始密碼(64位)明文(64位)初始密碼(64位)明文(64位)移位變換移位變換移位變換移位變換子密碼乘積變換子密碼乘積變換密文(64位)移位變換密文(64位)移位變換DES加密算算法圖解加解密過程如下下:(1)發(fā)送方用用自己的私密密密鑰加密要要發(fā)送的信息息。(2)加密后的的信息通過網(wǎng)網(wǎng)絡(luò)傳送給接接收方。(3)接收方用用發(fā)送方的加加密密鑰對收收到的加密信信息解密得到到信息明文。整個加密過程如如圖所示:密鑰(發(fā)送方)=密鑰(

16、接收方)密鑰(發(fā)送方)=密鑰(接收方)密鑰(接收方)密鑰(接收方)Internet明文密文密文明文Internet明文密文密文明文加密解密加密解密 發(fā)發(fā)送方 接收方方 對稱稱加解密系統(tǒng)統(tǒng)非對稱加密 為了解決決對稱密碼體體制的密鑰分分配問題,以以及滿足對數(shù)數(shù)字簽名的需需求,非對稱稱密碼應(yīng)運而而生,也叫公公鑰加密體系系。在這種密密碼體制下,人人們把加密過過程和解密過過程設(shè)計成不不同的途徑。 非對稱密密碼系統(tǒng)的出出現(xiàn)成功的解解決了對稱密密碼系統(tǒng)中的的密鑰管理問問題。通常都都是用郵箱模模型來解釋公公鑰密碼系統(tǒng)統(tǒng)的思想。郵郵箱代表公鑰鑰,每個人都都可以向其中中投放信件。而而只有郵箱的的主人才有郵郵箱的鑰

17、匙四要,用來來打開郵箱并并取出信件。 非對稱密密碼加密體制制有兩種模型型:一種是加加密墨香,即即采用接收方方公鑰加密數(shù)數(shù)據(jù),而用接接收方的私鑰鑰解密;另一一種是驗證模模型,即采用用發(fā)送方的私私鑰加密,而而用發(fā)送方的的公鑰解密。兩兩者原理相同同,但用途不不同。接收方公鑰加密密,接收方私私鑰解密的加加密模型如圖圖 這種以接接收方公鑰加加密原文,以以接收方私鑰鑰來解密的非非對稱密碼算算法,可以實實現(xiàn)多個用戶戶加密信息只只能由一個用用戶解讀,這這就實現(xiàn)了保保密通信。B的公鑰明文明文密文A加密 加密模型加密B解密B的私鑰B的公鑰明文明文密文A加密 加密模型加密B解密B的私鑰加密模型發(fā)送方私鑰加密密,發(fā)送

18、方解解密的驗證模模型如圖所示示。 這種以發(fā)發(fā)送方私鑰加加密原文,發(fā)發(fā)送方公鑰解解密的非對稱稱密碼算法,可可以實現(xiàn)由一一個用戶加密密的信息,而而由多個用戶戶解讀,這就就是數(shù)字簽名名的原理。A的私鑰明文明文密文A加密 加密模型加密B解密A的公鑰A的私鑰明文明文密文A加密 加密模型加密B解密A的公鑰 認認證模型認證技術(shù) 認證是防防止主動攻擊擊的重要技術(shù)術(shù),對于開放放環(huán)境中的各各種信息系統(tǒng)統(tǒng)的安全性有有重要的作用用。認證的主主要技術(shù)是:第一,驗證證信息的發(fā)送送者是真的,此此為實體認證證也稱身份認認證;第二,驗驗證信息的完完整性,此為為信息認證也也稱報文認證證。目前,在電子商商務(wù)中廣泛使使用的認證方方法

19、和手段主主要有數(shù)字簽簽名、數(shù)字摘摘要、數(shù)字證證書、CA安安全認證體系系,以及其他他一些身份認認證技術(shù)和報報文認證技術(shù)術(shù)。以下以數(shù)數(shù)字摘要和數(shù)數(shù)字簽名為重重點介紹。數(shù)字摘要 數(shù)字摘要要是采用單向向Hash函函數(shù)對文件中中若干重要元元素進行某種種變換運算得得到固定長度度的摘要碼。這這一串摘要碼碼亦稱為數(shù)字字指紋,有固固定的長度,不不同的消息其其摘要不同,相相同消息其摘摘要相同。4數(shù)字簽名 所謂數(shù)字簽簽名就是附加加在信息單元元上的一些數(shù)數(shù)據(jù),或是對對信息單元所所作的密碼變變換,這種數(shù)數(shù)據(jù)或密碼變變換允許接收收者確認消息息的來源和信信息單元的完完整性并保護護數(shù)據(jù)防止他他人偽造。 數(shù)字簽名名的實現(xiàn)方式式

20、是把信息摘摘要和公開密密鑰算法結(jié)合合起來。發(fā)送送方從報文文文本中生成數(shù)數(shù)字摘要,并并用自己的私私有密鑰對摘摘要進行加密密,形成發(fā)送送方的數(shù)字簽簽名,然后將將文字作為保保溫的福建和和報文一起發(fā)發(fā)送給接收方方;接收方首首相從接收到到的原始報文文中計算出數(shù)數(shù)字摘要,接接著再用發(fā)送送方的公開密密鑰來對報文文附加的數(shù)字字簽名進行解解密。若兩個個摘要相同,則則接收方能確確認該數(shù)字簽簽名是發(fā)送方方的。 數(shù)字簽名的的過程如下圖圖所示:Hash函數(shù)發(fā)送方數(shù)字簽名發(fā)送方私鑰加密A摘要Hash函數(shù)發(fā)送方數(shù)字簽名發(fā)送方私鑰加密A摘要消息消息消息消息通過QQ、郵件通過QQ、郵件 發(fā)送方 接收方方發(fā)送方數(shù)字簽名發(fā)送方公鑰

21、解密發(fā)送方數(shù)字簽名發(fā)送方公鑰解密A摘要A摘要Hash函數(shù)Hash函數(shù)B摘要消息B摘要消息信息認證相同信息認證相同信息改動不相同信息改動不相同安全電子交易協(xié)協(xié)議目前電子商務(wù)中中有多種安全全體制可以保保證電子商務(wù)務(wù)交易的安全全性,其中SSLL和SEET是電子商商務(wù)中兩個最最重要的協(xié)議議。相對而言言,SLL協(xié)協(xié)議使用比較較方便,SEET協(xié)議提供供了強大的驗驗證功能。兩兩者的功能不不盡相同,更更加全面的確確保電子交易易的安全?!景咐刻詫毦W(wǎng)網(wǎng)()是國內(nèi)內(nèi)首選購物網(wǎng)網(wǎng)站,亞洲最最大購物網(wǎng)站站,由全球最最佳B2B平平臺阿里巴巴巴公司投資445億創(chuàng)辦辦,致力于成成就全球首選選購物網(wǎng)站。淘淘寶是多用戶戶商城,

22、區(qū)別別于七美網(wǎng)hhttp:cn等。自22003年55月10日成成立以來,淘淘寶網(wǎng)基于誠誠信為本的準準則,從零做做起,在短短短的2年時間間內(nèi),迅速成成為國內(nèi)網(wǎng)絡(luò)絡(luò)購物市場的的第一名,占占據(jù)了中國網(wǎng)網(wǎng)絡(luò)購物700左右的市市場份額,創(chuàng)創(chuàng)造了互聯(lián)網(wǎng)網(wǎng)企業(yè)發(fā)展的的奇跡。截止止2006年年12月,淘淘寶網(wǎng)注冊會會員超30000萬人,22006年全全年成交額突突破169億億,遠超20005年中國國網(wǎng)購整體市市場總量。根根據(jù)Alexxa的評測,淘淘寶網(wǎng)為中國國訪問量最大大的電子商務(wù)務(wù)網(wǎng)站,居于于全世界網(wǎng)站站訪問量排名名第22位,中中國第7位。淘淘寶網(wǎng)倡導(dǎo)誠誠信、活潑、高高效的網(wǎng)絡(luò)交交易文化?!皩毧刹惶?,信信不

23、能棄?!碧詫毦W(wǎng)是CC2C(客戶戶對客戶)的的個人交易網(wǎng)網(wǎng)上平臺,是是國內(nèi)較大的的拍賣網(wǎng)站,由由阿里巴巴公公司投資創(chuàng)辦辦。淘寶的商商品數(shù)目在近近幾年內(nèi)有了了明顯的增加加,從汽車、電電腦到服飾、家家居用品,分分類齊全,更更設(shè)置了網(wǎng)絡(luò)絡(luò)游戲裝備交交易區(qū)。作為為拍賣網(wǎng)站,淘淘寶突出的一一點是,如果果商品的剩余余時間在1小小時以內(nèi),時時間的顯示是是動態(tài)的,并并且準確顯示示到了秒。與與易趣不同的的是,會員在在交易過程中中感覺到輕松松活潑的家庭庭式文化氛圍圍。會員注冊冊之后淘寶網(wǎng)網(wǎng)和淘寶旺旺旺的會員名將將通用,如果果用戶進入某某一店鋪,正正好店主也在在線的話,會會出現(xiàn)“掌柜在線”的圖標,可可與店主及時時地發(fā)送、接接收消息。淘淘寶網(wǎng)也注重重誠信安全方方面的建設(shè),引引入了實名認認證制,并區(qū)區(qū)分了個人用用戶與商家用用戶認證,兩兩種認證需要要提交的資料料不一樣,個個人用戶認證證只需提供身身份證明,商商家認證還需需提供營業(yè)執(zhí)執(zhí)照,而且一一個人不能同同時申請兩種種認證。這方方面可以看出出淘寶

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論