電子商務安全論文
隨著電子商務的發展,電子商務的安全性問題越來越受到人們的關注。下文是小編為大家蒐集整理的關於的內容,歡迎大家閱讀參考!
篇1
淺談電子商務安全缺陷及策略
1引言
近年來隨著計算機技術和網路通訊技術的不斷進步,特別是得益於網際網路***Internet***的飛速發展,使得全球電子商務的發展呈現出持續高速增長的趨勢。電子商務這種新的商務模式,從深層次上改變了全球的經濟結構和環境。根據美國研究機構For-resterResearch報告顯示,全球電子商務交易額逐年攀升。截至2009年年底,全球電子商務交易額則達到161357億美元,同比增長25%,2010年,全球電子商務交易額達到194697億美元,同比增長20.7%。2009年,世界B2B電子商務交易額佔電子商務總額的90%以上,B2C和C2C電子商務交易額共佔到總交易額的10%以內。另據我國電子商務協會發布的報告稱,2011年全球電子商務市場規模將達到40.6萬億美元。我國的電子商務隨著政策的大力支援和資金的不斷投入,得到了迅猛的發展。
中國電子商務研究中心最新資料顯示,截止到2010年12月,中國電子商務市場交易額已逾4.5萬億,同比增長22%。其中,B2B電子商務交易額達到3.8萬億,同比增長15.8%,網上零售市場交易規模達5131億元,同比增長97.3%,較2009年近翻一番,約佔全年社會商品零售總額的3%。電子商務把網際網路和零售業很好地融合起來,未來的發展前景十分廣闊。據波士頓諮詢集團的最新報告顯示,中國電子商務市場規模到2015年有望達到2萬億元人民幣***約合3150億美元***。就在我們看到電子商務不斷髮展的後,又不得不著重考慮挑戰其安全性的諸多問題,尤其是電子商務的資料處於公共網際網路之上,網際網路固有的開放性和系統的安全漏洞及安全體系建設的滯後等不利因素也對其構成了嚴重的威脅。因此,資訊保安和網路安全就成為電子商務大力發展的關鍵所在,也是必須考慮的核心問題。
2電子商務的安全問題
從電子商務交易的計算機終端到伺服器的整個資料鏈路上,時時刻刻都存在著各種安全威脅,主要表現在以下幾個方面:
***1***使用者終端的系統漏洞及計算機病毒等惡意程式的攻擊使用者終端的計算機沒有及時安裝系統和軟體的漏洞、補丁,就可能存在著極大的安全隱患,攻擊者就可以利用這些已知和未知的缺陷發動攻擊,加上木馬、蠕蟲等計算機病毒和惡意程式的攻擊,以及使用者缺乏計算機和網路安全知識,使得計算機終端使用者的安全性處於最薄弱的環節。
***2***惡意破壞網路裝置和伺服器攻擊者對提供交易服務的伺服器發動攻擊,如DDOS攻擊就很難防範,致使交易停止,長時間難以正常執行。或者利用伺服器的漏洞和軟體程式的缺陷進行攻擊,獲取伺服器的口令,盜取使用者的機密資料,使使用者蒙受損失。攻擊者對整個電子交易資料的網路硬體和軟體進行惡意非法攻擊,導致服務中斷、停止,使使用者不能正常交易。
***3***網路資料在傳輸過程中被竊取攻擊者通過各種非正常手段***竊聽、重放、流量分析等***,在網際網路上截獲使用者的機密資訊,加以分析得到有用資料資訊,導致使用者產生不可估量的損失,也破壞了網路資料的保密安全性。
***4***惡意篡改合法使用者的網路資料攻擊者截獲到使用者的有用資訊以後,會對資料進行惡意篡改,惡意破壞資訊資料的完整性。
***5***盜用合法使用者身份進行非法交易攻擊者仿冒合法使用者的身份後,與第三方進行正常交易,使合法使用者產生損失。這種利用假冒身份認證的非法手段,直接導致電子商務的不可靠性。
***6***電子商務的法律和道德問題使用者一旦進行了交易後,就應該具有法律保障效應,即具不可否認性,但也存在著非法假冒和惡意否認身份的問題,缺乏誠信導致商業欺詐的行為。
3電子商務交易的技術和安全性分析
3.1電子商務中使用的關鍵安全技術
***1***資料加密資料加密技術是電子商務領域所採用的關鍵安全技術,也是主要的安全防禦技術。
資料加密技術原理是採用加密***數學***演算法對原始資訊***明文***進行再整合,使得攻擊者接收到加密資料***密文***以後變成無意義的內容,從而在整體資料傳輸鏈上,保證了資料的高保密性和完整性。完整的一條資訊傳遞過程如圖1所示。圖1資料加、解密傳遞過程按照加密金鑰和解密金鑰是否相同,可將資料加密技術分為兩種:對稱加密和非對稱加密。對稱加密對稱加密又稱為專用金鑰加密,就是雙方協商使用相同的金鑰***Key***來完成加密、解密過程,並且金鑰是保密的。在這種加密演算法中,所採用的加密演算法等於解密演算法,因此金鑰的安全管理就顯得特別重要,成為安全與否的核心因素。對稱加密的特點是具有高保密性,加、解密速度快,效率高,因此適用於資料量比較大的加密操作。
常見的對稱加密演算法主要有DES[1]、3DES、IDEA、RC4、RC5和Blowfish等。對稱加密主要有如下安全問題:①在網路中建立通道傳輸資料過程中,可能導致金鑰洩露,讓攻擊者有機可趁。②電子商務交易存在著多個交易對,每確立一對交易對關係,就要維護一個專用金鑰,給金鑰的安全管理和維護帶來極大的難度。③難以對交易雙方的身份進行準確識別,因此缺乏數字實名驗證的可行性。非對稱加密非對稱加密又稱為公開金鑰加密。在這種加密演算法中金鑰被分成一對,即一把公鑰和一把私鑰,公鑰不需要保密可以公開,私鑰必須嚴格保密,且加密金鑰和解密金鑰並不相同。這種加密演算法順利地解決了金鑰的管理和維護及數字實名驗證的問題,安全性大大優於對稱加密,是現在普遍採用的加密技術。非對稱加密的特點是高安全性和保密性,金鑰安全管理和維護量小,可以實現數字實名驗證。問題是這種加密演算法過於複雜,計算量太大,導致加、解密的速度不是很理想。普遍採用的非對稱加密演算法主要有RSA、ELGamma、橢圓曲線加密演算法等。
***2***數字簽名數字簽名技術[2]是基於非對稱加密技術而產生的,具有數字認證、身份核查的功能。
數字簽名技術具有以下的特點。①傳送方事後不可抵賴傳送的包含自己簽名的報文。②接收方能對傳送方簽名的身份予以核查。③接收方不能篡改傳送方的報文。④接收方不能偽造傳送方的數字簽名。數字簽名技術的實現過程為:傳送方從報文文字中生成一個128位的雜湊值***或報文摘要***,並用自己的私鑰對這個雜湊值進行加密,形成傳送方的數字簽名;然後,這個數字簽名將作為報文的附件和報文一起傳送給報文的接收方;報文接收方首先從接收到的原始報文中計算出128位的雜湊值***或報文摘要***,接著再用傳送方的公開金鑰來對報文附加的數字簽名進行解密。如果兩個雜湊值相同,那麼接收方就能確認該數字簽名是傳送方的[3]。
***3***數字證書數字證書是由認證中心***CA,CertificateAuthori-ty***[4]簽發的,用以確認使用者身份資訊並獲取訪問網路資源的許可權。數字證書是現在電子商務交易普遍採用的技術之一,普遍遵守X.509國際通用標準,一般含有證書持有人的名稱、公鑰資訊、數字簽名、CA機構的名稱、數字簽名、證書的序列號和有效期、版本資訊等。CA是發放和管理數字證書的第三方可信任機構,具有權威性。交易雙方使用數字證書來進行商務活動。
***4***數字時間戳數字時間戳[5]是系統自動生成的,用來確認電子商務交易發生的日期和時間,防止惡意篡改交易資料的一種有效的手段。它由專業的第三方認證機構形成,採用加密形式的檔案。數字時間戳服務***DTS,DigitalTimeStampService***是一種專門提供電子交易檔案的日期和時間服務。具體過程為:需要數字時間戳的申請者向DTS傳送請求***含加戳資料的雜湊值***,DTS收到檔案後從自己的時間源中獲取一個時間值,把時間值加入到含資料雜湊值的檔案中,並對資料檔案進行加密***用時間的私鑰進行數字簽名***,最後傳送給申請者。
3.2電子商務的安全層次結構
電子商務的安全層次結構如圖2所示。各層次之間並非相互獨立,而是由層次安全構成了電子商務的整體高安全性。
***1***電子商務的安全認證在電子商務交易中,認證是交易安全中很重要的步驟,即實現對使用者身份唯一性和資料報文完整性的雙重認證。在公鑰基礎設施***PKI,PublicKeyInfrastructure***中,由CA驗證申請者的身份及發放可證明申請者身份的數字證書,建立使用者和商家的信任關係,並驗證交易資料報文的完整性,從而安全完成電子商務交易。
***2***電子商務的安全協議目前,典型的電子商務安全協議有SSL和SET[6]。
安全套接層***SSL,SecuritySocketLayer***協議是美國網景公司開發,用於提供網際網路安全通訊服務的協議,使得傳輸的資料報文保密性更強。SSL協議存在著一些安全問題***客戶和商家的資料安全性不高,缺乏可信任的第三方身份認證機構,證書不能自動及時更新等***。相對SSL來說,SET***Se-curityElectronicTransaction,安全電子交易系統***更安全、更可靠、更可信。SET協議由Visa和Master-Card等公司聯合開發的,在網際網路上實現安全電子交易的國際標準和協議。SET協議解決了在公共網際網路上信用卡支付的安全性問題,滿足持卡人、商家、銀行、認證機構等多方電子支付安全需求。
筆者重點分析了SET協議的安全性,SET協議的安全性有以下幾點:
①資料報文和個人資訊的保密性由於電子交易的資料都在公共網際網路上傳輸,所以SET協議對傳輸的資料進行了加密***如DES***處理,防止交易資料和個人資訊被竊取或篡改,造成經濟損失。
②資料報文的完整性SET協議採用數字簽名技術來確保資料報文的完整性。使用安全Hash***SHA-1***演算法實現數字簽名演算法,SHA-1可將一個任意長度***最大264bits***的訊息,生成一個160位的訊息摘要。由此得知,發生訊息摘要相同的概率相當低。現在還採用雙重簽名技術來保護資料報文的真實性和完整性,使用者一次簽名同時生成兩個數字簽名訊息,達到雙重簽名的效果。一個雙重簽名是通過計算兩個訊息的訊息摘要產生的,並將兩個摘要連線在一起形成一個總摘要,並用使用者的私鑰加密摘要。每個訊息的接收者取出自己的訊息,重新生成訊息摘要來驗證訊息。
③採用數字信封技術保證資料不被竊取為保證電子商務交易資料傳輸的高安全性,金鑰應定期及時更換,SET協議使用數字信封技術來及時更換金鑰。經常更換金鑰的機制保證電子交易資料不會被竊取。
④持卡人和商家的相互身份驗證在SET協議中採用PKI體系,CA負責管理和發放證書。SET協議中,CA起著非常重要的作用,SET協議通過數字證書來鑑別交易雙方的真實身份,並建立起可信任關係,為順利完成電子交易打下基礎。SET體系中使用者擁有一對簽名金鑰***持卡人保管***和一對加密金鑰***CA託管***,它們都擁有自己的數字證書。SET協議採用資料加密、數字簽名、數字信封等安全技術,而且支援對交易雙方的相互身份驗證,從而能夠保證網路交易資料的真實性、保密性、完整性、不可抵賴性。另外還對交易雙方的私人資訊進行保密,使得SET協議具有高安全性。
4電子商務的安全對策研究
***1***加強網路安全建設,構建高安全的電子交易環境在電子商務交易的整個過程中,都離不開網路安全,特別是內部網路的安全。採用防火牆隔離內、外網,構築起安全的屏障;採用代理技術來形成緩衝,採用前置伺服器來承擔交易風險;採用訪問控制技術來限制非法使用者的訪問,並設定不同使用者的訪問許可權;採用[7]、IPSEC體系等安全虛擬專用網路進行電子交易;採用EDI、電子支付和XML等相關技術提高安全性;採用入侵檢測技術並通過安全策略來防範外網威脅;改進並完善網路拓撲結構和網路協議,提高抗攻擊的能力。
***2***採用高安全加密演算法和新安全體系結構採用橢圓曲線、混合加密等高安全加密演算法,發揮不同加密演算法的長處,進一步提高資料在網際網路上傳輸的安全性,保證交易資料報文和個人資訊不被洩密。安全體系結構決定了電子商務交易的安全性,在現有的安全體系結構基礎上進行改進和完善,或者設計新安全體系架構,能夠應對電子交易的新安全威脅。
***3***加強安全制度管理,用法律手段來保障電子交易的安全通過制訂和實施安全管理制度,加強從業人員的安全防範和風險意識,避免不必要的經濟損失。健全和完善電子商務交易的法律體系,目前各部、委、辦頒佈並實施了相應的法律法規,約束和規範電子交易的行為,構建起一個健康、安全的電子交易環境。
5結束語
通過上面的分析,筆者意識到以下幾點:
***1***電子商務交易安全架構是一個複雜的系統性工程,並非僅靠技術和協議的簡單組合就能完成的,而是一個由技術系統***網路和通訊技術、加密技術、認證技術和協議等***、法律法規體系、管理制度、從業人員的安全防範和風險意識等因素構成,所以必須站在整個系統安全的高度去思考和分析安全問題,全方位地構築起電子交易的安全屏障,切實防範安全風險和威脅。
***2***通過對電子商務交易的層次化分析,使我們深入瞭解電子交易的安全性,所以我們在分析電子商務的安全問題時,應該把安全問題分層化處理,有針對性解決安全問題。
***3***電子商務安全新問題會不斷出現,新安全技術體系也處於發展之中,這對矛盾關係永遠沒有盡頭,處於長期對立的狀態。特別是當前電子商務交易呈現繁榮景象,安全問題更值得深入探討與研究。
>>>下頁帶來更多的