《关于电子商务安全问题及策略的论文.docx》由会员分享,可在线阅读,更多相关《关于电子商务安全问题及策略的论文.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、关于电子商务安全问题及策略的论文关于电子商务安全问题及策略的论文一、安全问题是施行电子商务的关键传统的交易是面对面的,比拟容易保证建立交易双方的信任关系和交易经过的安全性。而电子商务活动中的交易行为是通过网络进行的,买卖双方互不见面,因此缺乏传统交易中的信任感和安全感。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60的人由于电子商务的安全问题而不愿进行网上购物。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易,这样会导致商业机密信息或个人隐私的泄露,进而导致宏大的利益损失。根据中国互联网络信息中心(NIC)发布的“中国互联网络发展状况统计报告,在
2、电子商务方面,5226的用户最关心的是交易的安全可靠性。由此可见,电子商务中的网络安全和交易安全问题是实现电子商务的关键之所在。二、电子商务中的安全隐患和安全需求1、电子商务中的安全隐患有:(1)篡改。电子的交易信息在网络上传输的经过中,可能被别人非法的修改,删除或重放(指只能使用一次的信息被屡次使用),进而使信息失去了真实性和完好性。(2)信息毁坏。包括网络硬件和软件的问题而导致信息传递的丢失与错误;以及一些恶意程序的毁坏而导致电子商务信息遭到毁坏。(3)身份识别。假如不进行身份识别第三方就有可能假冒交易一方的身份,以毁坏交易败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等。而不进行身份识别
3、,交易的一方可不为本人的行为负责任,进行否认,互相欺诈。(4)信息泄密。主要包括两个方面,即交易双方进行交易的内容被第三方窃取或交易一方提供应另一方使用的文件被第三方非法使用。2、电子商务的安全性需求:电子商务的安全性需求能够分为两个方面,一方面是对计算机及网络系统安全性的要求,表现为对系统硬件和软件运行安全性和可靠性的要求、系统抵御非法用户入侵的要求等;另一方面是对电子商务信息安全的要求。(1)信息的保密性:指信息在存储、传输及处理经过中不被别人窃取。(2)信息的完好性:包括信息在存储中不被篡改和毁坏,以及在传输经过中收到的信息和原发送信息的一致性。(3)信息的不可否认性:指信息的发送方不可
4、否认已经发送的信息接收方也不可否认已经收到的信息。(4)交易者身份的真实性:指交易双方是确实存在的,不是假冒的。(5)系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性,能否会由于计算机故障或意外原因造成信息错误、失效或丢失。三、电子商务的安全技术根据电子商务的这些安全性需求通常采用的安全技术主要有:密钥加密技术、信息摘要技术、数字签名、数字证书及CA认证。1、密钥加密技术:密码加密技术有对称密钥加密技术和非对称密钥加密技术。(1)对称密钥加密技术:对称密钥加密技术使用DES(DataEn-cryptionStandard)算法,要求加密解密双方拥有一样的密钥,密钥的长度一般为64位或5
5、6位。这种加密方法能够解决信息的保密问题,但又带来了一些新的问题:一是在初次通信前,双方必须通过网络以外的途径传递统一的密钥:二是当通信对象增加时,需要相应数量的密钥,这就使密钥管理和使用的难度增大;三是对称加密是建立在共同保守机密的基础之上的,在管理和分发密钥经过中,任何一方的泄露都会造成密钥的失效,存在着潜在的危险和复杂的管理难度。(2)非对称密钥加密技术:为了克制对称密钥加密技术存在的密钥管理和分发上的问题,1976年Diffie和Hellman以及Merkle分别提出了公开密钥密码体制的思想:要求密钥成对出现,一个为加密密钥,另一个为解密密钥,且不可能从其中一个推导出另一个。根据这种思
6、想自1976年以来已经提出了多种公钥加密算法。公钥加密算法也称为非对称密钥算法,加密和解密的时候使用两把密钥,一把为公钥,另一把为私钥。私钥只要本人知道,严密保管,公钥和加密算法则能够通过网络等渠道发布出去。公钥加密算法主要有:RSA、Fertezza、ElGama等。非对称加密技术采用的是RSA算法,是由Rivest、Shanir和Adle-man三人发明的。算法如下:公钥n=pq(p,q分别为两个互异的大素数,必需要保密,n的长度大于512bit),选一个数e与(p1)(q1)互质,私钥d=e1(mod(p1)(q1),加密:c=me(modn)(其中m为明文,c为密文),解密:m=cd(
7、modn)。通信时,发送方用接收者的公钥对明文加密后发送,接收方用本人的私钥进行解密,这样既解决了信息保密问题,又克制了对称加密中密钥管理与分发传递的问题。2、信息摘要技术:密钥加密技术只能解决信息的保密性问题,对于信息的完好性则能够用信息摘要技术来保证。信息摘要(Messagedigest)又称Hash算法,是RonRivest发明的一种单向加密算法,指从原文中通过Hash算法而得到一个有固定长度(128位)的散列值,不同的原文所产生的信息摘要必不一样,一样原文产生的信息摘要必定一样,因而信息摘要类似于人类的“指纹,能够通过“指纹去鉴别原文的真伪。信息摘要的使用经过如下:1、对原文使用Has
8、h算法得到信息摘要;2、将信息摘要与原文一起发送;3、接收方对接收到的原文应用Hash算法产生一个摘要;4、用接收方产生的摘要与发送方发来的摘要进行比照,若两者一样则表明原文在传输经过中没有被修改,否则就讲明原文被修改正3、数字签名:数字签名(DigitalSignature)是密钥加密和信息摘要相结合的技术,能够保证信息的完好性和不可否认性。数字签名的经过如下:1、发送方用本人的私钥对信息摘要加密;2、发送方将加密后的信息摘要与原文一起发送;3、接收方用发送方的公钥对收到的加密摘要进行解密;4、接收方对收到的原文用Hash算法得到接收方的信息摘要;5、将解密后的摘要与接收方的信息摘要比照,一
9、样讲明信息完好且发送方身份是真实的,否则讲明信息被修改或不是该发送者发送由于私钥是本人保管的别人无法仿冒,同时发送方也不能否认用本人的私钥加密发送的信息,所以数字签名解决了信息的完好性和不可否认性问题。数字签名加密和密钥加密技术不同,密钥加密是发送方用接收方的公钥加密,接收方在用本人的私钥解密,是多对一的关系;而数字签名中的加密是发送方用本人的私钥对摘要进行加密,接收方用发送方的公钥对数字签名解密,是一对多的关系,表明公司的任何一个贸易伙伴都能够验证数字签名的真伪性。4、数字证书与CA认证:非对称加密技术和数字签名技术都用到了公钥,当交易的一方通过公开渠道得到了另一方的公钥后,存在着这样的问题
10、:这个公钥到底是不是真正属于对方的,能否会有其别人假冒对方发布的公钥。那么怎样确定网上交易双方真实身份确实认,要用到由认证中心CA颁发的数字证书。(1)数字证书:数字证书类似于现实生活中的身份证,它是标志网络用户身份信息的一系列数据,用来在网络应用中识别通讯各方的身份。数字证书采用公钥体制即用一对相互匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所把握的私钥,用它进行解密和数字签名;同时拥有一把公钥并能够对外公开,用于信息加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据进行加密,而接收方则使用本人的私钥解密,这样信息就能够安全无误的到达目的地了。用户能够采用本人的私钥对信
11、息加以处理,由于私钥仅为本人所有,所以能生成别人无法伪造的文件,也就构成了数字签名。同时,由于数字签名与信息的内容相关,因而经过签名的文件如有改动,就会导致数字签名的验证经过失败,这样就能够保证文件的完好性。 (2)数字证书的内容:主要包括下面内容:1、证书拥有者的姓名;2、证书拥有者的公钥;3、公钥的有限期;4、颁发数字证书的单位;5、颁发数字证书单位的数字签名;6、数字证书的序列号等。(3)认证中心CA(CertificateAuthority):认证中心是颁发数字证书的第三方权威机构。在电子交易中,商家、客户、银行的身份都要由认证中心来认证。因而认证中心主要有下面的功能:1、核发证书:核实申请人的各项资料能否真实,根据核实情况决定能否颁发数字证书。2、管理证书:检查证书、废除证书、更新证书。3、搜索证书:查找或下载个人(单位)的数字证书。4、验证证书:能够帮助确定数字证书能否已被持有人废除电子商务的前途是光明的,但道路仍然曲折,安全问题是阻碍电子商务广泛应用的最大问题,改良数字签名在内的安全技术措施、确定CA认证权的归属问题特别关键。