電子商務網(wǎng)上支付安全問題探討-論文.doc

探析電子商務的安全問題及其防范摘要：通過分析電子商務安全問題產生原因及電子商務對安全環(huán)境的要求，提出電子商務的安全防范策略，并對當前解決電子商務安全的主要技術進行了進一步的闡述和分析，為建立健全電子商務安全系統(tǒng)提供技術性參考。關鍵詞：電子商務安全技術安全協(xié)議電子商務的發(fā)展已將全球的商務企業(yè)都推進到一場真的商業(yè)革命大潮中，潮起潮落，安全問題是關鍵。電子商務系統(tǒng)是活動在Internet平臺上的一個涉及信息、資金和物資交易的綜合交易系統(tǒng)，其安全對象是一個開放的、人在其中頻繁活動的、與社會系統(tǒng)緊密耦合的復雜系統(tǒng)，它是由商業(yè)組織本身(包括營銷系統(tǒng)、支付系統(tǒng)、配送系統(tǒng)等)與信息技術系統(tǒng)復合構成的。系統(tǒng)的安全目標與安全策略，是由組織的性質與需求所決定的。一、電子商務的安全問題1.電子商務安全問題的產生。(1)在線交易主體虛擬化帶來的安全問題：在電子商務環(huán)境下，任何人不經(jīng)登記就可以借助計算機網(wǎng)絡發(fā)出或接受網(wǎng)絡信息，并通過一定程序與其他人達成交易。虛擬主體的存在使電子商務交易安全受到嚴重威脅。(2)虛假信息的發(fā)布帶來的安全問題：當用戶以合法身份進入系統(tǒng)后，買賣雙方都可能在網(wǎng)絡上發(fā)布虛假的供求信息，或以過期的信息冒充現(xiàn)在的信息，以騙取對方的錢款或貨物。(3)過低的信用度帶來的安全問題：低信用度的買方帶來的安全問題：低信用度的買方，可能存惡意透支或使用偽造的信用卡騙取賣方貨物或存在拖延貨款行為，賣方需要為此承擔風險。低信用度的買方帶來的安全問題：賣方不能按質、按量、按時寄送消費者購買的貨物，或者不能完全履行與集團購買者簽訂的合同，造成買方的風險。低信用度的買賣雙方都存在抵賴的情況。(4)網(wǎng)絡欺詐的存在帶來的安全問題：在電子交易活動中頻繁欺詐用戶這是網(wǎng)絡騙子們常用的騙術，利用電子商務進行欺詐已經(jīng)成為一種新型犯罪活動，目前這種網(wǎng)上欺詐也已經(jīng)成為國際性的難題。(5)電子合同取代書面合同過程中帶來的安全問題：在在線交易情形下，交易雙方的所有信息都是以電子化的形式存儲于計算機硬盤或其他電子介質中，這些記錄不僅容易被涂擦、刪改、復制、遺失，而且不能脫離其記錄工具(計算機)而作為證據(jù)獨立存在。由此而引發(fā)諸多方面的安全問題(6)網(wǎng)上電子支付過程帶來的安全問題：完電子商務的網(wǎng)上支付通過信用卡支付和虛擬銀行的電子資金劃撥來完成。而實現(xiàn)這一過程涉及網(wǎng)絡銀行與網(wǎng)絡交易客戶之間的協(xié)議、網(wǎng)絡銀行與網(wǎng)站之間的合作協(xié)議以及安全保障問題。(7)產品交付過程帶來的安全問題：有形貨物的在線交易中物流配送環(huán)節(jié)引發(fā)的一些特殊問題及無形的信息產品在交付中對于其權利的移轉、退貨、交付的完成等帶來的安全問題。(8)網(wǎng)絡消費者維權時引發(fā)的安全問題：在線市場的虛擬性和開放性以及網(wǎng)上購物的便捷性都使消費者保護成為突出的問題。比如質量問題，退賠、修理困難問題等。(9)網(wǎng)絡惡意攻擊者的破壞活動帶來的安全問題：包括系統(tǒng)穿透、違反授權原則、植入、通信監(jiān)聽、通信干擾、中斷、拒絕服務、否認等。2.電子商務對安全環(huán)境的要求。(1)確保信息的安全要求包括有效性、機密性、完整性、可*性/不可抵賴性/鑒別等；(2)確保授權合法性；(3)確保交易者身份的確定性；(4)確保內部網(wǎng)的嚴密性。二、電子商務的安全防范策略經(jīng)過數(shù)十年的探索，電子商務安全防范策略從最初的商務信息保密性發(fā)展到商務信息的完整性、可用性、可控性和不可否認性，進而又發(fā)展為“攻、防、測、控、管、評”等多方面的基礎理論和實施技術。目前，電子商務安全領域已經(jīng)形成了9大核心技術，它們是：密碼技術、身份驗證技術、訪問控制技術、防火墻技術、安全內核技術、網(wǎng)絡反病毒技術、信息泄露防治技術、網(wǎng)絡安全漏洞掃描技術、入侵檢測技術。1.電子商務的主要安全技術。(1)加密技術。加密技術解決了傳送信息的保密問題，可分對稱加密和非對稱加密。對稱加密是一種傳統(tǒng)的信息認證方法,通過信息交換的雙方共同約定一個口令或一組密碼，建立一個通信雙方共享的密鑰。通信的甲方將要發(fā)送的信息用私鑰加密后傳給乙方，乙方用相同的私鑰解密后獲得甲方傳遞的信息。對稱加密采用的主要加密算法有DES數(shù)據(jù)加密標準、三重DES,IDEA,和AES（高級加密算法）等。其最大優(yōu)勢是加/解密速度快,適合于對大數(shù)據(jù)量進行加密,但密鑰管理困難。非對稱加密又稱公開密鑰加密，它使用一把公開發(fā)布的公開密鑰和一把只能由生成密鑰對的貿易方掌握的私用密鑰來分別完成加密和解密操作。如貿易的甲方生成一對密鑰并將其中的一把作為公開密鑰向其他貿易方公開；得到該公開密鑰的貿易的方乙使用該密鑰對信息進行加密后發(fā)送給甲方；甲方再用自己保存的另一把私用密鑰對加密信息進行解密。公鑰密碼技術是密碼技術核心，主要采用的算法有RSA算法、DSS/DSA算法和ECC算法。優(yōu)點是機制靈活，但加密和解密速度慢。(2)數(shù)字簽名。數(shù)字簽名解決了而防止他人對傳輸?shù)奈募M行破壞，以及如何確定發(fā)信人的身份的問題。數(shù)字簽名與書面文件簽名有相同功效，它代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽字的值也將發(fā)生變化，不同的文件將得到不同的數(shù)字簽字。數(shù)字簽名是采用雙重加密的方法，通過流程：A、被發(fā)送文件用SHA編碼加密產生128bit的數(shù)字摘要；B、發(fā)送方用自己的私用密鑰對摘要再加密，形成數(shù)字簽名；C、將原文和加密的摘要同時傳給對