關(guān)于電子商務(wù)安全問題及策略的論文

關(guān)于電子商務(wù)安全問題及策略的論文關(guān)于電子商務(wù)安全問題及策略的論文一、安全問題是施行電子商務(wù)的關(guān)鍵傳統(tǒng)的交易是面對面的，比擬容易保證建立交易雙方的信任關(guān)系和交易經(jīng)過的安全性。而電子商務(wù)活動中的交易行為是通過網(wǎng)絡(luò)進(jìn)行的，買賣雙方互不見面，因此缺乏傳統(tǒng)交易中的信任感和安全感。美國密執(zhí)安大學(xué)一個調(diào)查機(jī)構(gòu)通過對23000名因特網(wǎng)用戶的調(diào)查顯示，超過60％的人由于電子商務(wù)的安全問題而不愿進(jìn)行網(wǎng)上購物。任何個人、企業(yè)或商業(yè)機(jī)構(gòu)以及銀行都不會通過一個不安全的網(wǎng)絡(luò)進(jìn)行商務(wù)交易，這樣會導(dǎo)致商業(yè)機(jī)密信息或個人隱私的泄露，進(jìn)而導(dǎo)致宏大的利益損失。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(NIC)發(fā)布的“中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告〞，在電子商務(wù)方面，52．26％的用戶最關(guān)心的是交易的安全可靠性。由此可見，電子商務(wù)中的網(wǎng)絡(luò)安全和交易安全問題是實現(xiàn)電子商務(wù)的關(guān)鍵之所在。二、電子商務(wù)中的安全隱患和安全需求1、電子商務(wù)中的安全隱患有：(1)篡改。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)慕?jīng)過中，可能被別人非法的修改，刪除或重放(指只能使用一次的信息被屢次使用)，進(jìn)而使信息失去了真實性和完好性。(2)信息毀壞。包括網(wǎng)絡(luò)硬件和軟件的問題而導(dǎo)致信息傳遞的丟失與錯誤；以及一些惡意程序的毀壞而導(dǎo)致電子商務(wù)信息遭到毀壞。(3)身份識別。假如不進(jìn)行身份識別．第三方就有可能假冒交易一方的身份，以毀壞交易．?dāng)谋患倜耙环降穆曌u(yù)或盜竊被假冒一方的交易成果等。而不進(jìn)行身份識別，交易的一方可不為本人的行為負(fù)責(zé)任，進(jìn)行否認(rèn)，互相欺詐。(4)信息泄密。主要包括兩個方面，即交易雙方進(jìn)行交易的內(nèi)容被第三方竊取或交易一方提供應(yīng)另一方使用的文件被第三方非法使用。2、電子商務(wù)的安全性需求：電子商務(wù)的安全性需求能夠分為兩個方面，一方面是對計算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全性的要求，表現(xiàn)為對系統(tǒng)硬件和軟件運行安全性和可靠性的要求、系統(tǒng)抵御非法用戶入侵的要求等；另一方面是對電子商務(wù)信息安全的要求。(1)信息的保密性：指信息在存儲、傳輸及處理經(jīng)過中不被別人竊取。(2)信息的完好性：包括信息在存儲中不被篡改和毀壞，以及在傳輸經(jīng)過中收到的信息和原發(fā)送信息的一致性。(3)信息的不可否認(rèn)性：指信息的發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息．接收方也不可否認(rèn)已經(jīng)收到的信息。(4)交易者身份的真實性：指交易雙方是確實存在的，不是假冒的。(5)系統(tǒng)的可靠性：指計算機(jī)及網(wǎng)絡(luò)系統(tǒng)的硬件和軟件工作的可靠性，能否會由于計算機(jī)故障或意外原因造成信息錯誤、失效或丟失。三、電子商務(wù)的安全技術(shù)根據(jù)電子商務(wù)的這些安全性需求通常采用的安全技術(shù)主要有：密鑰加密技術(shù)、信息摘要技術(shù)、數(shù)字簽名、數(shù)字證書及CA認(rèn)證。1、密鑰加密技術(shù)：密碼加密技術(shù)有對稱密鑰加密技術(shù)和非對稱密鑰加密技術(shù)。(1)對稱密鑰加密技術(shù)：對稱密鑰加密技術(shù)使用DES(DataEn-cryptionStandard)算法，要求加密解密雙方擁有一樣的密鑰，密鑰的長度一般為64位或56位。這種加密方法能夠解決信息的保密問題，但又帶來了一些新的問題：一是在初次通信前，雙方必須通過網(wǎng)絡(luò)以外的途徑傳遞統(tǒng)一的密鑰：二是當(dāng)通信對象增加時，需要相應(yīng)數(shù)量的密鑰，這就使密鑰管理和使用的難度增大；三是對稱加密是建立在共同保守機(jī)密的基礎(chǔ)之上的，在管理和分發(fā)密鑰經(jīng)過中，任何一方的泄露都會造成密鑰的失效，存在著潛在的危險和復(fù)雜的管理難度。(2)非對稱密鑰加密技術(shù)：為了克制對稱密鑰加密技術(shù)存在的密鑰管理和分發(fā)上的問題，1976年Diffie和Hellman以及Merkle分別提出了公開密鑰密碼體制的思想：要求密鑰成對出現(xiàn)，一個為加密密鑰，另一個為解密密鑰，且不可能從其中一個推導(dǎo)出另一個。根據(jù)這種思想自1976年以來已經(jīng)提出了多種公鑰加密算法。公鑰加密算法也稱為非對稱密鑰算法，加密和解密的時候使用兩把密鑰，一把為公鑰，另一把為私鑰。私鑰只要本人知道，嚴(yán)密保管，公鑰和加密算法則能夠通過網(wǎng)絡(luò)等渠道發(fā)布出去。公鑰加密算法主要有：RSA、Fertezza、ElGama等。非對稱加密技術(shù)采用的是RSA算法，是由Rivest、Shanir和Adle-man三人發(fā)明的。算法如下：公鑰n=pq(p，q分別為兩個互異的大素數(shù)，必需要保密，n的長度大于512bit)，選一個數(shù)e與(p－1)(q－1)互質(zhì)，私鑰d=e－1(mod(p－1)(q－1))，加密：c=me(modn)(其中m為明文，c為密文)，解密：m=cd(modn)。通信時，發(fā)送方用接收者的公鑰對明文加密后發(fā)送，接收方用本人的私鑰進(jìn)行解密，這樣既解決了信息保密問題，又克制了對稱加密中密鑰管理與分發(fā)傳遞的問題。2、信息摘要技術(shù)：密鑰加密技術(shù)只能解決信息的保密性問題，對于信息的完好性則能夠用信息摘要技術(shù)來保證。信息摘要(Messagedigest)又稱Hash算法，是RonRivest發(fā)明的一種單向加密算法，指從原文中通過Hash算法而得到一個有固定長度(128位)的散列值，不同的原文所產(chǎn)生的信息摘要必不一樣，一樣原文產(chǎn)生的信息摘要必定一樣，因而信息摘要類似于人類的“指紋〞，能夠通過“指紋〞去鑒別原文的真?zhèn)?。信息摘要的使用?jīng)過如下：1、對原文使用Hash算法得到信息摘要；2、將信息摘要與原文一起發(fā)送；3、接收方對接收到的原文應(yīng)用Hash算法產(chǎn)生一個摘要；4、用接收方產(chǎn)生的摘要與發(fā)送方發(fā)來的摘要進(jìn)行比照，若兩者一樣則表明原文在傳輸經(jīng)過中沒有被修改，否則就講明原文被修改正3、數(shù)字簽名：數(shù)字簽名(DigitalSignature)是密鑰加密和信息摘要相結(jié)合的技術(shù)，能夠保證信息的完好性和不可否認(rèn)性。數(shù)字簽名的經(jīng)過如下：1、發(fā)送方用本人的私鑰對信息摘要加密；2、發(fā)送方將加密后的信息摘要與原文一起發(fā)送；3、接收方用發(fā)送方的公鑰對收到的加密摘要進(jìn)行解密；4、接收方對收到的原文用Hash算法得到接收方的信息摘要；5、將解密后的摘要與接收方的信息摘要比照，一樣講明信息完好且發(fā)送方身份是真實的，否則講明信息被修改或不是該發(fā)送者發(fā)送由于私鑰是本人保管的別人無法仿冒，同時發(fā)送方也不能否認(rèn)用本人的私鑰加密發(fā)送的信息，所以數(shù)字簽名解決了信息的完好性和不可否認(rèn)性問題。數(shù)字簽名加密和密鑰加密技術(shù)不同，密鑰加密是發(fā)送方用接收方的公鑰加密，接收方在用本人的私鑰解密，是多對一的關(guān)系；而數(shù)字簽名中的加密是發(fā)送方用本人的私鑰對摘要進(jìn)行加密，接收方用發(fā)送方的公鑰對數(shù)字簽名解密，是一對多的關(guān)系，表明公司的任何一個貿(mào)易伙伴都能夠驗證數(shù)字簽名的真?zhèn)涡浴?、數(shù)字證書與CA認(rèn)證：非對稱加密技術(shù)和數(shù)字簽名技術(shù)都用到了公鑰，當(dāng)交易的一方通過公開渠道得到了另一方的公鑰后，存在著這樣的問題：這個公鑰到底是不是真正屬于對方的，能否會有其別人假冒對方發(fā)布的公鑰。那么怎樣確定網(wǎng)上交易雙方真實身份確實認(rèn)，要用到由認(rèn)證中心CA頒發(fā)的數(shù)字證書。(1)數(shù)字證書：數(shù)字證書類似于現(xiàn)實生活中的身份證，它是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)應(yīng)用中識別通訊各方的身份。數(shù)字證書采用公鑰體制．即用一對相互匹配的密鑰進(jìn)行加密、解密。每個用戶擁有一把僅為本人所把握的私鑰，用它進(jìn)行解密和數(shù)字簽名；同時擁有一把公鑰并能夠?qū)ν夤_，用于信息加密和驗證簽名。當(dāng)發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)進(jìn)行加密，而接收方則使用本人的私鑰解密，這樣信息就能夠安全無誤的到達(dá)目的地了。用戶能夠采用本人的私鑰對信息加以處理，由于私鑰僅為本人所有，所以能生成別人無法偽造的文件，也就構(gòu)成了數(shù)字簽名。同時，由于數(shù)字簽名與信息的內(nèi)容相關(guān)，因而經(jīng)過簽名的文件如有改動，就會導(dǎo)致數(shù)字簽名的驗證經(jīng)過失敗，這樣就能夠保證文件的完好性。(2)數(shù)字證書的內(nèi)容：主要包括下面內(nèi)容：1、證書擁有者的姓名；2、證書擁有者的公鑰；3、公鑰的有限期；4、頒發(fā)數(shù)字證書的單位；5、頒發(fā)數(shù)字證書單位的數(shù)字簽名；6、數(shù)字證書的序列號等。(3)認(rèn)證中心CA(CertificateAuthority)：認(rèn)證中心是頒發(fā)數(shù)字證書的第三方權(quán)威機(jī)構(gòu)。在電子交易中，商家、客戶、銀行的身份都要由認(rèn)證中心來認(rèn)證。因而認(rèn)證中心主要有下面的功能：1、核發(fā)證書：核實申請