|
职称论文发表 | 职称论文发表 专业提供:发表论文、论文发表、毕业论文、职称论... | |
住在汉口网 | 住在汉口网是一个专业提供汉口房产信息、车辆服务、生活服务、招... | |
职称论文网 | 职称论文网提供:发表论文、论文发表、毕业论文、职称论等服务。 | |
|
随着通信网络技术的飞速发展,特别是Internet的不断普及,现代人们的消费观念和整个商务系统也发生了巨大的变化,人们更希望通过网络的便利性来进行网络采购和交易,从而导致电子商务(Electronic Commerce)的出现,并在世界范围内掀起了电子商务的热潮。但是Internet为电子商务提供有效通信方式的同时,由于其缺少必要的监管和完整的网络安全体制,使电子商务在安全上面临一定的威胁,影响了电子商务以更快的速度发展。如何保证电子商务活动的安全一直是电子商务的核心研究领域。
一、 电子商务的安全需求
电子商务安全主要体现在信息安全上,具体的有以下几方面:
⒈信息的有效性
电子商务信息的有效性是开展电子商务活动的前提。
电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业、国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误以及计算机病毒所可能产生的潜在威胁加以控制和防范,以保证贸易数据在确定的时刻、确定的地点是有效的。
⒉信息的完整性
保持贸易各方信息的完整性是电子商务应用的基础。
电子商务简化了贸易过程、减少了人为的干预,同时也带来了维护贸易各方商业信息的完整、统一问题。其原因有二个方面,其一,由于数据输入时的意外差错或欺诈行为可能导致贸易各方信息的差异;其二,数据传输过程中信息的丢失、信息重复、信息传送的次序差异将会导致贸易各方信息的不同。因此,贸易各方信息的完整性将影响到贸易各方的交易和经营策略。
⒊信息的保密性
维护商业信息的保密性是推广和应用电子商务的重要保证。
电子商务作为一种贸易手段,其信息直接表征着个人、企业、国家的商业机密。因此要预防非法的信息存取和信息在传输过程中被非法窃取,保证信息不会泄露给非授予权的人或实体。
⒋信息的不可抵赖性
信息的不可抵赖性是保证电子商务顺利进行的关键。
在传统的贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上签名或印章来鉴别贸易伙伴、确定合同契约单据的可靠性,从而预防抵赖行为的发生。在电子商务方式下,通过手写签名或印章进行贸易方的鉴别是不可能的,因此,要在交易信息的传输过程中为参与交易的双方提供可靠的标识。
二、保证电子商务安全的技术
为保证电子商务安全进行,不仅要加强信息法规和安全管理机制建设,更重要的是采取一些安全技术,以确保电子商务的安全。
⒈防火墙技术
防火墙(fire wall)通常是私有网络与公共网络之间的界面上构造的一个保护层,它有选择地过滤或阻塞网络间的流量。
最简单和最常用的防火墙是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。安装防火墙时,网络管理员需要对防火墙进行设置,以确定接受或拒绝某种类型数据的传输。设置通常在如下方面进行:源和目标的IP地址、源和目标的端口、TCP协议、UDP协议、CMP协议、包的状态等。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避免对其进行的有意或无意的攻击,从而保证了私有网络的安全。
将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效的策略。代理服务器位于公共网络(如Internet)和私有网络之间,通过运行一个代理服务应用程序来实现私有网络提出的服务请求,其作用是通过筛选进出的数据来防止外部世界发现私有网络的地址。所以,使用代理服务器后私有网络的地址对其外部世界来说是透明的,是看不到的,因此对私有网络起到了保护作用。
防火墙技术和代理服务技术已成为实现网络安全的有效策略,现已被广泛应用。
⒉数据加密技术
数据加密技术可实现数据的保密性。数据加密是指采用某种算法把原始数据进行再组织,然后在网络的公共信道上进行传输,非法接收者因不掌握正确的密钥,无法通过解密得到原始数据,而合法的接收者因掌握正确的密钥,可以通过解密得到原始数据。由于加密的数据只有数据的发送者和掌握正确密钥的接收者才能真正理解这些数据,所以通过加密可实现数据的保密性。显然,防止非法接收者掌握正确的密钥是保证这种保密性的关键。
非法接收者获取正确的密钥有三种途径:泄漏、窃取、主动破译。为防止密钥的泄漏和窃取,需要建立严密的密钥管理机制和提高工作人员的素质;为防止较容易的破译,可采取加长密钥数位长度的方法,密钥数位越长,相对越安全。但是,密钥数位越长,加密和解密用的时间越长,数据传输效率越低。所以应根据电子商务对安全要求的不同级别来选择不同的密钥长度。
目前,可将加密体制分成两大类:私钥(单钥或对称)加密体制、公钥(双钥或非对称)加密体制。私钥加密体制是对信息的加密和解密使用相同的密码,也就是一把钥匙开一把锁。 公钥加密体制是将密钥分解为一对密钥即公开密钥(加密密钥)和专用密钥(解密密钥)。其中公开密钥用于加密,专用密钥用于对加密信息的解密。由于公钥加密体制是一种双密钥加密体制,所以接收方对加密的数据不能进行篡改或伪造,从而保证了数据的保密性、完整性等。DES是IBM公司研制的一种私钥体制,RSA是美国三位科学家提出的著名的公钥加密体制。
⒊数字签名(Digital Signature)
数字签名是指发送方以电子形式签名一个消息或文件,签名后的消息或文件能在计算机网络中发送,并表示签名人对该消息或文件的内容负有责任。数字签名可以保证接受者能够核实发送者对报文的签名,发送者事后不能抵赖对报文的签名,接受者不能篡改报文内容和伪造对报文的签名。
数字签名的主要方式是报文的发送方从报文文本中生成一个128位的散列值。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就确认该数字签名是发送方的。数字签名可以保证信息完整和验证发送者身份。
⒋数字时间戳(Digital time--stamp)
交易文件中,时间是十分重要的信息。在书面合同中,文件的签署日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中,同样需要对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。
数字时间戳服务是网上安全服务项目,由专门的机构----认证中心(CA)提供。时间戳是一个经加密后形成的凭证文档,它包括三个部分:一是需加时间戳的文件的摘要;二是数字时间戳服务机构(DTS)收到文件的日期和时间;三是数字时间戳服务机构的数字签名。
⒌认证中心和数字证书
在电子交易中,无论是数字时间戳服务,还是数字凭证的发放,都不是靠交易双方自己能完成的,而需要一个具有权威性和公证性的第三方来完成。认证中心(CA:Certificate Authority)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构,它向个人、商家、银行等涉及交易的实体颁发数字证书。交易各方在交易中通过出示自己的有效证书来证明自己的身份。
⒍虚拟私有网技术(VPN)
虚拟私有网是使用开放的公共信道,通过附加的协议处理,向用户提供的虚拟私有网络。VPN的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。安全隧道技术(Secure Tunneling Technology)是指对用户应用数据进行加密处理后封装到网络传输协议的PDU(Protocol Data Unit)中,然后通过外部协议的传输机制将内部的应用数据传递到对等实体,经过解封装处理后提交上层应用的技术。STT使用了加密与封装相结合的技术对用户数据进行安全保护,是实现VPN的核心技术。
三、结论
⒈解决电子商务的安全问题是一个系统工程
虽然可采取一些安全技术来有效地保证电子商务的安全,但我们必须清醒地认识到解决电子商务的安全问题是一个系统工程,它既涉及技术问题,也涉及信息法律法规建设、管理机制的完善、工作人员的素质的提高等社会问题。只有树立全方位的安全意识,设计并实现全方位的安全体系结构,才能解决安全问题。
⒉电子商务的安全是有层次的
不同企业的电子商务对安全要求的级别是不同的,所以在设计安全体系结构时,要充分考虑到这一点,尽力做到安全、经济、高效和可扩展的最佳结合。
⒊安全问题是一个长期的问题
互联网及其它技术是电子商务存在与发展的基础,确保电子商务的安全与对电子商务的攻击是矛盾的两个方面。为保证电子商务的安全,新的安全技术将不断出现,而为了对电子商务攻击成功,攻击者也将采取新的攻击方法、手段和技术,它们之间的斗争将长期存在下去。电子商务将在攻击与反攻击斗争中不断发展。
⒋安全问题的关键是开发和研制具有自主知识产权的电子商务安全产品
研究和分析电子商务的安全性问题,特别是针对我国自己的国情,充分借鉴外国的先进技术和经验,开发和研究出具有自主知识产权的电子商务安全产品是电子商务安全的关键问题。(作者单位:河北经贸大学计算机中心)
职称论文发表网http://www.issncn.com
职称论文发表网http://www.issncn.com
|
|
|
|