時間:2023-03-28 15:05:03
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇電子商務安全論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
關鍵詞:電子商務;身份認證;防火墻
1引言
電子商務可以增加銷售額并降低成本的優勢,使得政府與企業都十分重視并推動電子商務的建設和發展。電子商務發展到今天,主要問題在于時空的分離導致了安全問題的出現,信息的安全性是當前發展電子商務最迫切需要解決的問題之一。研究和分析電子商務的安全性問題,特別是針對企業自身情況,充分借鑒以往電子商務系統開發的先進技術和經驗,開發出符合企業特殊的電子商務系統,已經成為目前發展電子商務的關鍵,而安全體系的構建顯得尤為重要。
2電子商務的主要安全要素
目前電子商務工程正在全國迅速發展。實現電子商務的關鍵是要保證商務活動過程中系統的安全性,即應保證在基于Internet的電子交易轉變的過程中與傳統交易的方式一樣安全可靠。從安全和信任的角度來看,傳統的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網絡來聯系,由于距離的限制,因而建立交易雙方的安全和信任關系相當困難。時空的分離導致了安全問題的出現,電子商務交易雙方(銷售者和消費者)都面臨安全威脅,電子商務的安全要素主要體現在以下幾個方面:
2.1信息真實性、有效性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
2.2信息機密性
電子商務作為貿易的一種手段,其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
3.3信息完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
3.4信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在1nternet上每個人都是匿名的,電子商務系統應充分保證原發方在發送數據后不能抵賴;接收方在接收數據后也不能抵賴。
3電子商務安全系統
網絡安全是電子商務的基礎。為了保證電子商務交易能順利進行,要求電子商務平臺要穩定可靠,能不中斷地提供服務。任何系統的中斷,如硬件、軟件錯誤,網絡故障、病毒等都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
所以就整個電子商務安全系統而言,安全性可以劃分為四個層次,
1)網絡節點的安全
2)通訊的安全性
3)應用程序的安全性
4)用戶的認證管理
其中2、3、4是通過操作系統和Web服務器軟件實現,而網絡節點的安全性依靠防火墻保證,我們應該首先保證網絡節點的安全性。
3.1網絡節點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指局域網或城域網)隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供個相對更安全的平臺。
防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統,而沒有全面的安全策略,那么防火墻就形同虛設。
3.2通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
3.3應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
3.4用戶的認證管理
1)身份認證
電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現的。CA證書用來認證服務器的身份,IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
2)CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時進行)。
3)安全套接層SSL協議
安全套接層SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。
SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構(CA,CertificateAuthority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如Http、Ftp、Telnet等)以保證應用層數據傳輸的安全性。
SSL協議握手流程由兩個階段組成:服務器認證和用戶認證。
①服務器認證
客戶端向服務器發送一個“Hello”信息,以便開始一個新的會話連接;服務器根據客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;客戶根據收到的服務器響應信息,產生一個主密鑰,并用服務器的公開密鑰加密后傳給服務器;服務器恢復該主密鑰,并返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數據進行加密來認證服務器,從而建立安全的通信通道。
②用戶認證
經認證的服務器發送一個提問給客戶,客戶則返回數字簽名后的提問和其公開密鑰,從而向服務器提供認證。SSL協議支持各種加密算法,實現簡單,獨立于應用層協議,且被大部分瀏覽器和Web服務器內置,便于在電子交易中應用。但SSL是一個面向連接的協議,起初并不是為了支持電子商務而設計的,只能提供交易中客戶與服務器間的雙方認證,在涉及多方的電子交易中,SSL協議不能協調各方面的安全傳輸和信任關系。為此,開發出了在網絡應用層中專為電子商務而設計的SET協議。
4安全管理
為了確保系統的安全性,除了采用上述技術手段外,還必須建立嚴格的內部安全機制。對于所有接觸系統的人員,按其職責設定其訪問系統的最小權限。按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。
建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。定期檢查日志,以便及時發現潛在的安全威脅。
對于重要數據要及時進行備份,且對數據庫中存放的數據,數據庫系統應視其重要性提供不同級別的數據加密。
5結束語
安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。
參考文獻:
[1]吳洋.電子商務安全方法研究[D].天津大學,2006.
[2]李艷.電子商務信息安全策略研究[J].甘肅科技,2005,(06)
[3]成衛青,龔儉.網絡安全評估[J].計算機工程,2003,(02).
隨著網絡的不斷普及和電子商務的迅猛發展,電子商務這種商務活動新模式已經逐漸改變了人們的經濟活動方式、工作方式和生活本論文由整理提供方式,越來越多的人們開始接受并喜愛網上購物,可是,電子商務發展的瓶頸——安全問題依然是制約人們進行電子商務交易的最大問題,因此,安全問題是電子商務的核心問題,是實現和保證電子商務順利進行的關鍵所在。校園電子商務是電子商務在校園環境下的具體應用與實現,其安全性也同樣是其發展所不容忽視的關鍵問題,因此應當著重研究。
1校園電子商務概述
1.1校園電子商務的概念。
校園電子商務是電子商務在校園這個特定環境下的具體應用,它是指在校園范圍內利用校園網絡基礎、計算機硬件、軟件和安全通信手段構建的滿足于校本論文由整理提供園內單位、企業和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統。
1.2校園電子商務的特點。
相對于一般電子商務,校園電子商務具有客戶群本論文由整理提供穩定、網絡環境優良、物流配送方便、信用機制良好、服務性大于盈利性等特點,這些特點也是校園開展電子商務的優勢所在。與傳統校園商務活動相比,校園電子商務的特點有:交易不受時間空間限制、快捷方便、交易成本較低。
2校園電子商務的安全問題
2.1校園電子商務安全的內容。
校園電子商務安全內容從整體上可分為兩大部分:校園網絡安全和校園支付交易安全。校園網絡安全內容主要包括:計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。校園支付交易安全的內容涉及傳統校園商務活動在校園網應用時所產生的各種安全問題,如網上交易信息、網上支付以及配送服務等。
2.2校園電子商務安全威脅。
校園電子商務安全威脅同樣來自網絡安全威脅與交易安全威脅。然而,網絡安全與交易安全并不是孤立的,而是密不可分且相輔相成的,網絡安全是基礎,是交易安全的保障。校園網也是一個開放性的網絡,它也面臨許許多多的安全威脅,比如:身份竊取、非本論文由整理提供授權訪問、冒充合法用戶、數據竊取、破壞數據的完整性、拒絕服務、交易否認、數據流分析、旁路控制、干擾系統正常運行、病毒與惡意攻擊、內部人員的不規范使用和惡意破壞等。校園網的開放性也使得基于它的交易活動的安全性受到嚴重的威脅,網上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術手段盜取或截獲交易信息致使信息的機密性遭到破壞;篡改信息是非法用戶對交易信息插入、刪除或修改,破壞信息的完整性;假冒是非法用戶冒充合法交易者以偽造交易信息;交易抵賴是交易雙方一方或否認交易行為,交易抵賴也是校園電子商務安全面臨的主要威脅之一。
2.3校園電子商務安全的基本安全需求。
通過對校園電子商務安全威脅的分析,可以本論文由整理提供看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統的整體規劃可以提高其安全需求。
3校園電子商務安全解決方案
3.1校園電子商務安全體系結構。
校園電子商務安全是一個復雜的系統工程,因此要從系統的角度對其進行整體的規劃。根據校園電子商務的安全需求,通過對校園人文環境、網絡環境、應用系統及管理等各方面的統籌考慮和規劃,再結合的電子商務的安全技術,總結校園電子商務安全體系本論文由整理提供結構,如圖所示:
上述安全體系結構中,人文環境層包括現有的電子商務法律法規以及校園電子商務特有的校園信息文化,它們綜合構成了校園電子商務建設的大環境;基礎設施層包括校園網、虛擬專網VPN和認證中心;邏輯實體層包括校園一卡通、支付網關、認證服務器和本論文由整理提供交易服務器;安全機制層包括加密技術、認證技術以及安全協議等電子商務安全機制;應用系統層即校園電子商務平臺,包括網上交易、支付和配送服務等。
針對上述安全體系結構,具體的方案有:
(1)營造良好校園人文環境。加強大學生本論文由整理提供的道德教育,培養校園電子商務參與者們的信息文化知識與素養、增強高校師生的法律意識和道德觀念,共
同營造良好的校園電子商務人文環境,防止人為惡意攻擊和破壞。
(2)建立良好網上支付環境。目前我國高校大都建立了校園一卡通工程,校園電子商務系統可以采用一卡通或校園電子帳戶作為網上支付的載體而不需要與銀行等金融系統互聯,由學校結算中心專門處理與金融機構的業務,可以大大提高校園網上支付的安全性。
(3)建立統一身份認證系統。建立校園統一身份認證系統可以為校園電子商務系統提供安全認證的功能。
(4)組織物流配送團隊。校園師生居住地點相對集中,一般來說就在學校內部或校園附近,只需要很少的人員就可以解決物流配送問題,而本論文由整理提供不需要委托第三方物流公司,在校園內建立一個物流配送團隊就可以準確及時的完成配送服務。
3.2校園網絡安全對策。
保障校園網絡安全的主要措施有:
(1)防火墻技術。利用防火墻技術來實現校園局域網的安全性,以解決訪問控制問題,使只有授權的校園合法用戶才能對校園網的資源進行訪問本論文由整理提供,防止來自外部互聯網對內部網絡的破壞。
(2)病毒防治技術。在任何網絡環境下,計算機病毒都具有不可估量的威脅性和破壞力,校園網雖然是局域網,可是免不了計算機病毒的威脅,因此,加強病毒防治是保障校園網絡安全的重要環節。
(3)VPN技術。目前,我國高校大都已經建立了校園一卡通工程,如果能利用VPN技術建立校園一卡通專網就能大大提高校園信息安全、保證數據的本論文由整理提供安全傳輸。有效保證了網絡的安全性和穩定性且易于維護和改進。
3.3交易信息安全對策。
針對校園電子商務中交易信息安全問題,可以用電子商務的安全機制來解決,例如數據加密技術、認證技術和安全協議技術等。通過數據加密,可以保證信息的機密性;通過采用數字摘要、數字簽名、數字信封、數字時間戳和數字證書等安全機制來解本論文由整理提供決信息的完整性和不可否認性的問題;通過安全協議方法,建立安全信息傳輸通道來保證電子商務交易過程和數據的安全。
(1)數據加密技術。加密技術是電子商務中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數據的機密,主要有對稱加密和非對稱加密。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開。
(2)認證技術。認證技術是保證電子商務交易安全的一項重要技術,它是網上交易支付的前提,負責對交易各方的身份進行確認。在校園電子商務本論文由整理提供中,網上交易認證可以通過校園統一身份認證系統(例如校園一卡通系統)來進行對交易各方的身份認證。
(3)安全協議技術。目前,電子商務發展較成熟和實用的安全協議是SET和SSL協議。通過對SSL與SET兩種協議的比較和校園電子商務的需求分析,校園電子商務更適合采用SSL協議。SSL位于傳輸層與應用層之間,能夠更好地封裝應用層數據,不用改變位于應用層的應用程序,對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道,保證傳輸數據的安全。
3.4基于一卡通的校園電子商務。
目前,我國高校校園網建設和校園一卡通工程建設逐步完善,使用校園一卡通進行校園電子商務的網上支付可以增強校園電子商務的支付安全,可以避免或降低了使用銀行卡支付所出現的卡號被盜的風險等。同時,使用校園一卡通作為校園電子支付載體的安全保障有:
(1)校園網是一個內部網絡,它自身已經屏蔽了絕大多數來自公網的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設施,來自外部網絡人員的破壞可能性很小。同時,校園一卡通中心有著良好的安全機制,使得使用校園一卡通在校內進行網上支付被盜取賬號密碼等信息的可能性微乎其微。超級秘書網
(2)校園一卡通具有統一身份認證系統,能夠對參與交易的各方進行身份認證,各方的交易活動受到統一的審計和監控,統一身份認證能夠保證網上工作環境的安全可靠。校園網絡管理中對不同角色的用戶享有不同級別的授權,使其網上活動受到其身份的限制,有效防止一些惡意事情的發生。同時,由于校內人員身份單一,多為學生,交易中一旦發生糾紛,身份容易確認,糾紛就容易解決。
4結束語
開展校園電子商務是推進校園信息化建設的重要內容,隨著我國校園信息化建設的不斷深入,目前已有許多高校開展了校園電子商務,它極大的方便了校園內師生員工的工作、學習、生活。可是與此同時,安全問題成為制約校園電子商務發展的障礙。因此,如何建立一個安全、便捷的校園電子商務應用環境,讓師生能夠方便可靠的進行校園在線交易和網上支本論文由整理提供付,是當前校園電子商務發展要著重研究的關鍵問題。
論文摘要:電子商務安全問題已成為制約電子商務發展的重要問題,安全問題包括電子商務交易安全、計算機網絡安全等顯性的問題,還包括管理、法律和標準等方面的隱性問題。通過對電子商務安全體系的分析,研究電子商務安全策略,建立一個安全電子商務環境,將促進電子商務健康快速地發展。
電子商務是一個跨國界,跨地區,跨行業的多種技術綜合集成與不同社會經濟文化背景形成的各種習俗不斷沖突,不斷協調和不斷統一的綜合性社會系統工程。電子商務安全策略保障電子商務各個主體的切身利益。電子商務安全策略是以人為本,從各主體的角度思考,綜合協調了各個市場主體的行為,從根本上保障了消費者、企業、電子商務網站等市場主體的切身利益,它為實現電子商務提供了統一的基礎平臺和安全屏障。
一、電子商務安全技術保障策略
安全技術保障技術是電子商務安全體系中的基本策略,目前相關的信息安全技術與專門的電子商務安全技術研究比較普遍和成熟。電子商務中常用到的安全技術有以下幾種:
1.密碼技術。密碼技術包括加密技術和解密技術。加密是將信息經過加密密鑰及加密函數轉換,變成無意義的密文。而解密則是將密文經過解密函數、解密密鑰處理還原成原文。密碼技術是網絡安全技術的基礎。
2.身份驗證技術。電子商務主體向系統證明自己身份,并由系統查核該主體的過程,是確認真實有效身份的重要環節,這個過程叫作身份驗證。常用的驗證技術有報文鑒別、身份鑒別和電子簽名。
3.訪問控制技術。訪問控制是指對電子商務網絡系統中各種資源訪問時的權限確認,防止非法訪問。它包括有關的策略、模型、機制的基礎理論與實現方法。
4.防火墻技術。防火墻是用一組網絡設備來加強一個網絡與外界之間的訪問控制。防火墻整體可以分為三大類:分組過濾、應用、電路網關。
二、企業電子商務安全運營管理制度保障策略
企業電子商務安全運營管理制度是用文字的形式對各項安全要求所做的規定,是保證企業取得電子商務成功的基礎,是企業電子商務人員工作的規范和準則。這些制度主要包括人員管理制度,保密制度,跟蹤審計制度,系統維護制度、數據備份制度等。
1.人員管理制度人員管理制度主要從人員的選拔,工作責任的落實和安全運作必須遵循的基本原則制定相應的工作制度。
2.保密制度電子商務系統涉及企業的市場、生產、財務、供應鏈等多方面的機密,這些方面都是需要很好地劃分信息安全級別,并確定安全防范重點,提出相應的保密措施。
3.跟蹤審計制度跟蹤制度就是要求企業建立網絡交易的日志機制,來記錄網絡交易的全過程。而審計制度是對系統日志的經常檢查、審核,及時發現對系統有安全隱患的記錄,監控各種安全事故,維護和管理系統日志。
4.網絡系統的日常維護制度網絡系統的日常維護包括硬件的日常維護和軟件的日常維護,硬件維護主要是對網絡設備服務器和客戶機以及通信線路進行定期規范地巡查、檢修;軟件維護主要是規范地對支撐軟件的定期清理和整理、監測、處理特殊情況以及對應用軟件的升級等。
5.數據備份制度數據備份主要是利用多種介質對信息系統數據進行存儲,定期為重要信息備份、系統設備備份,并定期更新,以減少安全事故發生時造成的損失。
三、電子商務立法策略
電子商務安全得到法律保障,首先必須完善電子商務安全相關的法律。如何構建一個有針對性的健全的法律體系是擺在我們面前的迫切問題。可以從立法目的、立法原則、立法范圍和立法途徑上分析。
1.立法目的電子商務安全立法的目的主要是要消除電子商務發展的法律障礙;消除現有法律適用上的不確定性,保護合理的商業行為,保障電子交易安全;建立一個清晰的法律框架以統一調整電子商務的健康發展。
2.立法范圍電子商務安全方面需要的法律法規主要有:市場準入制度、合同有效認證辦法、電子支付系統安全措施、信息保密防范辦法,知識產權侵權處理規定、以及廣告的管制、網絡信息內容過濾等;電子商務調整的對象是電子商務中的各種社會關系。
3.立法途徑電子商務法律仍然是調整社會關系,所以應當繼承傳統立法的合理內核,尤其是基礎價值觀。具體的立法途徑主要是兩種:第一是制定新的法律規范。對于傳統法律沒有規定的,即由電子商務帶來的新的社會關系,應盡快制定法律規范;第二是修改或重新解釋既定的法律規范。對于傳統法律的規定不明確,或與電子商務新型社會關系有沖突甚至存在缺欠的,可以修改或重新解釋既定的法律規范。
四、政府監督管理策略
電子商務本質是一種市場運作模式,市場的正常健康有序地發展,必須有政府宏觀上的監督與管理,以協調和規范各市場主體的行為,宏觀監督與管理電子商務運行中的安全保障體系。
1.計算機信息系統安全管理計算機信息系統,是指“由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。”計算機安全保護規范主要有計算機安全等級保護制度,計算機系統使用單位安全負責制度,計算機案件強行報告制度,計算機病毒及其有害數據的專管制度與計算機信息安全專用產品銷售許可證制度。對計算機信息系統安全的保護,有利于保障國家的安全和社會安定,促進電子商務的安全交易過程,有利電子商務的健康發展。
2.網絡廣告和網絡服務業管理由于網絡的開放性,自由性等特征決定了網絡廣告監管的難度,虛假廣告、廣告充斥著網絡空間,網絡廣告已經發展成為一個社會問題。網絡廣告管理應該從三個方面入手:第一,網絡廣告組織的管理,必須對網站廣告經營主體資格進行管制,第二,規范網絡廣告內容,確保廣告內容的真實性、合法性和科學性。第三,需要有具體的廣告審查管制、評估與監測部門。
國家針對網絡服務業和網絡用戶管理已經頒布了《中華人民共和國計算機信息網絡國際聯網管理暫行規定》,其中提出了詳細具體的限制條件。但是,網絡飛速發展,面對網絡中的新問題,還必須進一步深入全面地研究。
3.認證機構管理認證機構是電子商務活動中專門從事頒發認證證書的機構,對電子商務交易活動順利進行,電子商務活動中交易參與各方身份和信息認定,維護交易安全具有重要作用。對認證機構的管理主要是通過對設立的條件、撤消或者頒發許可證等營業資格而進行審批監督;同時,還要針對其資產和財務狀況定期審查,以免發生財務危機,對其信息披露與保密情況、安全系統運行情況等方面進行不定期或定期監督檢查。
4.加強社會信用道德建設,構建和諧安全電子商務電子商務安全問題其中有很大部分是由電子商務用戶或從業人員的信用道德問題引發的,在我國尤其嚴重,甚至大家感嘆電子商務在我國“水土不服”。對于新型的商業運作模式,必然存在不少漏洞,這需要廣大電子商務市場主體有良好的電子商務道德意識。除了從法律上采取措施,更重要的是政府要加強電子商務市場主體自身的道德建設,加強輿論監督和企業自律,充分利用網絡新聞輿論監督,消費者輿論監督和行業協會的管理監督。
五、結束語
電子商務安全不僅涉及到電子商務公司、企業、消費者的利益,而且更加廣泛地涉及經濟、政治、國防、文化等諸多方面,關系到國家的安全、和社會的穩定。電子商務安全策略確保電子商務的快速、健康地發展。電子商務安全是目前電子商務發展的瓶頸,只有解決了電子商務安全,保障了市場主體的利益,才能得到網絡用戶的認可和參與,電子商務自身也才能得到快速、健康地發展。
參考文獻
[1]林寧,吳志剛.我國信息安全技術標準化現狀[J].中國標準化,2007(4)
[2]胡艷春.電子商務網站建設中的安全問題研究[J].商場現代化,2006,(10)
[論文摘要]在如何對待信用卡套現的問題上,國內領先的第三方支付平臺如PAYPAL(貝寶)、支付寶、快錢等目前都采用了多種安全措施。
在電子商務中,網上交易的支付問題的安全性問題越來越突出,為確保顧客在購買東西的時候不會錢財兩空,一種新的支付方式——第三方支付出現了,第三方支付平臺的出現解決了電子商務的瓶頸——網上支付信用與安全問題,充當商家與消費者之間的信用紐帶,作為交易各方與銀行的接口,消除消費者對商家的疑慮,提供方便快捷簡易的支付方式,在很大程度上推動了電子商務的發展。
那么,第三方支付具體指的是什么呢?所謂第三方支付,是指為了保障電子商務的支付安全,支付通過買賣雙方之間完全中立的一家企業來完成。用E-mail來進行網上支付;打個電話報上信用卡號就能預訂機票;用手機上網交水費電費游戲費……在中國人還沒有完全適應從紙制貨幣進化到“塑膠貨幣”(信用卡)的今天,網絡銀行、手機錢包等第三方支付工具已經迫不及待地登場了。
近日,有媒體報道,有網民利用三方支付工具從信用卡套現。就此,該文進而對第三方支付的安全性問題提出質疑,認為電子支付有可能被金融犯罪分子所利用,充當其洗錢的工具。且不管該文提到的套現現象是否屬于依然在可控范圍內的小概率事件,也不提所謂的套現行為是否緣于第三方支付的安全漏洞,單就所謂洗錢的擔心而論,可以說,該文是嚴重低估了央行以及各商業銀行的風險控制能力,也大大低估了各大第三方支付公司的風險把控能力。
實際情況是,早在1996年4月1日,中國人民銀行就頒布并實施了《信用卡業務管理辦法》,其中明確規定,持卡人不允許利用信用卡套取現金以及惡意透支。對于信用卡套現這個問題,不光招商銀行等商業銀行關注有加,第三方支付公司支付寶、貝寶等亦是小心翼翼,如履薄冰,先后出臺了多項嚴格的風險控制系統,協助銀行解決問題。
在如何對待信用卡套現的問題上,國內領先的第三方支付平臺如PAYPAL(貝寶)、支付寶、快錢等目前都采用了多種安全措施。
例如,PAYPAL(貝寶)在防止盜號、提供密碼加密以及減少信用卡套現等方面,已經配合銀行做了大量工作;快錢除了從技術手段上防范盜卡之外,還在安全方面加設了用戶的認證系統等六道功能,試圖將安全隱患壓低到最小程度。
作為國內最大的第三方支付平臺,支付寶的做法就更為完備。早在2006年7月,支付寶就推出“支付寶認證”服務,對所有使用支付寶的賣家進行雙重身份認證,即身份證認證和銀行卡認證。除了與公安部全國公民身份證號碼查詢服務中心合作校驗身份證的真偽,支付寶還與各大商業銀行進行合作,利用銀行賬戶實名制信息來校驗用戶填寫的姓名和銀行賬戶號碼是否準確,摒棄了某些購物網站僅憑一個手機號碼或者身份證號碼進行簡單認證的模式。支付寶公司還在國內率先推出了“全額賠付”制度和交易安全基金,網絡欺詐發生率僅為萬分之二。
為了保證支付寶的安全性,支付寶技術團隊還自發研制了數字證書,其安全性能得到各銀行認同。相對于目前國內所有第三方認證公司采用的認證形式,支付寶的數字證書從技術上擺脫了普通6位密碼驗證,改以1024位加密的數字簽名技術,因而更為安全。而數字密碼的惟一性,也更有助于客戶身份的識別。
央行的《電子支付指引》規定,銀行通過互聯網為個人客戶辦理電子支付業務,除采用數字證書、電子簽名等安全認證方式外,單筆金額不應超過1000元人民幣,每日累計金額不應超過5000元人民幣,并規定信用卡的網上支付不得超過提現額度。國內目前沒有一家銀行和任何一家網上支付公司允許網上“單日支付額度由信用卡額度決定”。在這方面,支付寶也早已主動和和很多發卡銀行聯手,針對套現現象做了信用卡網上支付單筆限額的規定,例如,招商銀行的信用卡支付限制的是單筆最高限額499元。為了保證支付寶的安全性,支付寶還有CTU風險控制系統來隨時掃描和監控交易的進行,防范可能存在的盜卡及套現行為。
實際上,從2006年5月開始,支付寶就已委托中國工商銀行對支付寶公司開立在各家銀行的客戶交易保證金賬戶的余額進行核查,工行并定期出具《支付寶客戶交易保證金托管報告》。這是中國銀行界第一次為第三方支付平臺做資金托管的審核報告,也是當前唯一銀行愿意托管的第三方支付平臺。2006年12月8日,從工行對11月1日~11月30日期間所有發生的支付寶公司的客戶提現及余額支付進行的抽查情況看,支付寶存放在各家銀行的客戶交易保證金余額總和等于支付寶客戶存放在貴公司的資金余額與待處理款、未達款余額之和,報告期間內未發現支付寶客戶交易保證金被挪用情況。
值得一提的是,截至目前工行、農行都已經開始把以支付寶為主的阿里巴巴中小企業信用體系作為他們給中小企業貸款的一個衡量指標;而浦東發展銀行等也看到了里面的巨大商機紛紛加入。
關鍵詞:電子商務信息安全安全技術
伴隨經濟的迅猛發展,電子商務成為當今世界商務活動的新模式。要在國際競爭中贏得優勢,必須保證電子商務中信息交流的安全。
一、電子商務的信息安全問題
電子商務信息安全問題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠,攻擊者通過互聯網、公共電話網在電磁波輻射范圍內安裝截獲裝置或在數據包通過網關和路由器上截獲數據,獲取機密信息或通過對信息流量、流向、通信頻度和長度分析,推測出有用信息。2.信息的篡改:當攻擊者熟悉網絡信息格式后,通過技術手段對網絡傳輸信息中途修改并發往目的地,破壞信息完整性。3.信息假冒:當攻擊者掌握網絡信息數據規律或解密商務信息后,假冒合法用戶或發送假冒信息欺騙其他用戶。4.交易抵賴:交易抵賴包括多方面,如發信者事后否認曾發送信息、收信者事后否認曾收到消息、購買者做了定貨單不承認等。
二、信息安全要求
電子商務的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護。信息安全包括以下幾方面:
1.信息保密性:維護商業機密是電子商務推廣應用的重要保障。由于建立在開放網絡環境中,要預防非法信息存取和信息傳輸中被竊現象發生。2.信息完整性:貿易各方信息的完整性是電子商務應用的基礎,影響到交易和經營策略。要保證網絡上傳輸的信息不被篡改,預防對信息隨意生成、修改和刪除,防止數據傳送中信息的失和重復并保證信息傳送次序的統一。3.信息有效性:保證信息有效性是開展電子商務前提,關系到企業或國家的經濟利益。對網絡故障、應用程序錯誤、硬件故障及計算機病毒的潛在威脅控制和預防,以保證貿易數據在確定時刻和地點有效。4.信息可靠性:確定要交易的貿易方是期望的貿易方是保證電子商務順利進行的關鍵。為防止計算機失效、程序錯誤、系統軟件錯誤等威脅,通過控制與預防確保系統安全可靠。
三、信息安全技術
1.防火墻技術。防火墻在網絡間建立安全屏障,根據指定策略對數據過濾、分析和審計,并對各種攻擊提供防范。安全策略有兩條:一是“凡是未被準許就是禁止”。防火墻先封閉所有信息流,再審查要求通過信息,符合條件就通過;二是“凡是未被禁止就是允許”。防火墻先轉發所有信息,然后逐項剔除有害內容。
防火墻技術主要有:(1)包過濾技術:在網絡層根據系統設定的安全策略決定是否讓數據包通過,核心是安全策略即過濾算法設計。(2)服務技術:提供應用層服務控制,起到外部網絡向內部網絡申請服務時中間轉接作用。服務還用于實施較強數據流監控、過濾、記錄等功能。(3)狀態監控技術:在網絡層完成所有必要的包過濾與網絡服務防火墻功能。(4)復合型技術:把過濾和服務兩種方法結合形成新防火墻,所用主機稱為堡壘主機,提供服務。(5)審計技術:通過對網絡上發生的訪問進程記錄和產生日志,對日志統計分析,對資源使用情況分析,對異常現象跟蹤監視。(6)路由器加密技術:加密路由器對通過路由器的信息流加密和壓縮,再通過外部網絡傳輸到目的端解壓縮和解密。2.加密技術。為保證數據和交易安全,確認交易雙方的真實身份,電子商務采用加密技術。數據加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應用的加密技術有:(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿易方甲生成一對密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿易方乙對信息加密后再發給貿易方甲:貿易方甲用另一把專用密鑰對加密信息解密。具有數字憑證身份人員的公共密鑰在網上查到或請對方發信息將公共密鑰傳給對方,保證傳輸信息的保密和安全。(2)數字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數字指紋,有固定長度且不同明文摘要成密文結果不同,而同樣明文摘要必定一致。這串摘要成為驗證明文是否真身的“指紋”。(3)數字簽名:將數字摘要、公用密鑰算法兩種加密方法結合。在書面文件上簽名是確認文件的手段。簽名作用有兩點:一是因為自己簽名難以否認,從而確認文件已簽署;二是因為簽名不易仿冒,從而確定文件為真。(4)數字時間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內容,數字時間戳服務能提供電子文件發表時間的安全保護。
3.認證技術。安全認證的作用是進行信息認證。信息認證是確認信息發送者的身份,驗證信息完整性,確認信息在傳送或存儲過程中未被篡改。(1)數字證書:也叫數字憑證、數字標識,用電子手段證實用戶身份及對網絡資源的訪問權限,可控制被查看的數據庫,提高總體保密性。交易支付過程中,參與各方必須利用認證中心簽發的數字證書證明身份。(2)安全認證機構:電子商務授權機構也稱電子商務認證中心。無論是數字時間戳服務還是數字證書發放,都需要有權威性和公正性的第三方完成。CA是承擔網上安全交易認證服務、簽發數字證書并確認用戶身份的企業機構,受理數字證書的申請、簽發及對數字證書管理。
4.防病毒技術。(1)預防病毒技術,通過自身常駐系統內存,優先獲取系統控制權,監視系統中是否有病毒,阻止計算機病毒進入計算機系統和對系統破壞。(2)檢測病毒技術,通過對計算機病毒特征進行判斷的偵測技術,如自身校驗、關鍵字、文件長度變化。(3)消除病毒技術,通過對計算機病毒分析,開發出具有殺除病毒程序并恢復原文件的軟件。另外要認真執行病毒定期清理制度,可以清除處于潛伏期的病毒,防止病毒突然爆發,使計算機始終處于良好工作狀態。
四、結語
信息安全是電子商務的核心。要不斷改進電子商務中的信息安全技術,提高電子商務系統的安全性和可靠性。但電子商務的安全運行,僅從技術角度防范遠遠不夠,還必須完善電子商務立法,以規范存在的各類問題,引導和促進我國電子商務快速健康發展。
參考文獻:
[1]譚衛:電子商務中安全技術的研究.哈爾濱工業大學,2006
密碼是一個人的私有信息,通過設置密碼可以在一定程度上保證信息的安全性。在電子商務中會涉及到的銀行賬號的安全、交易信息的安全,都可以通過設置不同類型的密碼來保護。在設置密碼時可以設置不同的密碼,增加所設密碼的難度,定期修改密碼,以及登陸密碼和手機綁定密碼等多種途徑來保護賬號的安全。有很大一部分人喜歡用同樣的密碼,這是一種不好的習慣。可能有人會說:“如果不設置相同的密碼就記不住。”在這種情況下可以采取多種加密形式來保證賬戶安全。現在為了解決安全問題,不同的機構,包括電子商務公司、各大銀行都推出許多加密設備,我們可以選用。
二、數字簽名
在網絡環境中,網絡安全的最基本要求就是通信信息的真實和不可否認性,它要求通信雙方能互相證實,以防止第三者假冒通信的一方竊取、偽造信息。在網絡中實現通信真實性的方法是數字簽名(DigitalSignature)。我們在教學過程中讓學生能掌握的是正確使用自己的數字簽名,學生走上社會做的不是科學研究,是應用型電子商務,主要包括銀行賬號的安全、交易賬號的安全,可以使用不同的認證方法保證信息安全,數字簽名就是一種很好的方法。例如,作為商業機構可以選擇一家公信度較強、通過國際認證的CA認證中心,CA認證中心會對于你每次交易中數字簽名進行處理,證明交易中的身份,保證簽名的不可否認性,加快交易速度,節省交易時間。
三、不輕易打開網站鏈接
在日常店鋪管理中,交易身份的假冒和網站的假冒時有發生,為了防范這種騙局,我們要做的就是不打開不信任的網站,不打開別人發來的鏈接。現在有一些騙子不僅是把自己偽裝成購物網站去騙買家,從而盜取買家的賬號、密碼。也有一些騙子專門去搜索一些新開的網店去欺騙賣家,一是因為新賣家經驗不足防騙知識薄弱,二是新賣家急于讓店鋪發生買賣,因此在交易時當這些不法分子告訴賣家自己進行的交易出現問題而發送鏈接時,賣家沒有仔細查看確認交易就貿然打開了鏈接,給店鋪造成了損失。
四、防火墻設置
近年來,作為保護計算機系統網絡安全的重要措施,防火墻技術正日趨成熟。對于一些與防火墻相沖突的軟件,需要關閉防火墻,有時網絡安全有問題時,又需要啟用防火墻。我們作為專業電子商務人員,要會對自己的電腦進行防火墻設置,設置時可以通過電腦的“控制面板”找到“防火墻”,打開“防火墻”自行設置。防火墻應該一直都處于打開的狀態。
五、計算機病毒防范
電子商務強調企業與商家通過網絡進行實時交流,安全防護的一點疏漏就可能使計算機病毒擴散到整個企業的網絡,可能感染客戶的計算機。因此應對計算機病毒進行防范。要想安全、可靠地防殺病毒,至少應該進行如下的工作:選擇好的防殺病毒軟件保護工作站、服務器;定期進行文件備份工作;定期對網絡進行病毒掃描,異常檢測;盡量多用無盤工作站;對遠程工作站的登陸權限實施嚴格控制,盡量少用超級用戶登錄;定期更新病毒庫;對網絡設備的安全隔離。
六、結語
關鍵詞:電子商務;身份認證;防火墻
一、有關電子商務的安全性要求
1.對電子商務活動安全性的要求:
(1)服務的有效性要求。電子商務系統應能防止服務失敗情況的發生,預防由于網絡故障和病毒發作等因素產生的系統停止服務等情況,保證交易數據能準確快速的傳送。
(2)交易信息的保密性要求。電子商務系統應對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。
(3)數據完整性要求。數字完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業利益。
(4)身份認證的要求。電子商務系統應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發生交易糾紛時提供法律依據。
2.電子商務的主要安全要素
(1)信息真實性、有效性。電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
(2)信息機密性。電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
(3)信息完整性。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
(4)信息可靠性、可鑒別性和不可抵賴性。可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在internet上每個人都是匿名的,電子商務系統應充分保證原發方在發送數據后不能抵賴;接收方在接收數據后也不能抵賴。
二、電子商務采用的主要安全技術
1.網絡節點的安全
防火墻是一種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指局域網或城域網)隔開的屏障。防火墻的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供一個相對更安全的平臺。
防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監視網絡的通信信息,并記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。應給予特別注意的是,防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源,這種安全策略應包括:規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統,而沒有全面的安全策略,那么防火墻就形同虛設。
2.通訊的安全
在客戶端瀏覽器和電子商務WEB服務器之間采用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務器證書通過后利用該證書對稱加密算法(RSA)與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。[論/文/網LunWenNet/Com]
3.應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為,才能發現像這些問題一樣的錯誤。
4.用戶的認證管理
(1)身份認證。電子商務企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現。CA證書用來認證服務器的身份,IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
(2)CA證書。要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書。
(3)安全套接層SSL協議。安全套接層SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。
SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構(CA,CertificateAuthority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如Ht2tp、Ftp、Telnet等)以保證應用層數據傳輸的安全性。SSL協議握手流程由兩個階段組成:服務器認證和用戶認證。
三、電子商務安全需要進一步完善的配套措施
電子商務要真正成為一種主導的商務模式,尤其對發展中的中國來說,發展電子商務,就必須從以下幾個方面來完善配套措施:
(1)突破關鍵技術受制于人的瓶頸。
(2)我國應盡快對電子商務的有關細則進行立法。
(3)大力開發大型商務網站,發展與之相配套的物流公司。
(4)為了確保系統的安全性,除了采用技術手段外,還必須建立嚴格的內部安全機制。
(5)建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。
(6)對于重要數據要及時進行備份,且對數據庫中存放的數據,數據庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的。安全只是相對的,而不是絕對的。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。[論\文\網LunWenNet\Com]
參考文獻:
[1]吳洋.電子商務安全方法研究[D].天津:天津大學,2006.
[2]李艷.電子商務信息安全策略研究[J].甘肅科技,2005(6).
[3]成衛青,龔儉.網絡安全評估[J].計算機工程,2003(2).
[4]甘悅.淺議電子商務信息安全體系的構建[J].西北成人教育學報,2007(2).
[5]周明,黃元江,李建設.電子商務中的安全技術研究[J].株洲工學院學報,2005(1).
[6]張娟.電子商務網絡安全技術探究[J].甘肅科技縱橫,2005(4).
[7]趙乃真.電子商務技術與應用[M].北京:中國鐵道出版社,2003.
通過對影響電子商務交易的網絡信息安全要素進行分析和研究,能夠對電子商務的網絡信息安全問題進行有效解決和保障。下文對網絡信息安全的幾方面要素進行分析。
1.1電子商務交易系統的可靠性
確保電子商務系統的可靠性主要是為了通過一定的控制及預防措施對其系統安全性進行保證,以防出現計算機癱瘓、硬件故障、軟件失效及信息傳輸錯誤等現象的發生。電子商務系統的可靠性及安全性對其傳輸、存儲的信息數據有著十分重要的保證作用,同時對系統的完整性也能夠起到監測作用,利用網絡安全技術能夠有效提高電子商務系統的可靠性。
1.2電子商務交易中的信息真實性
在電子商務交易過程中,交易雙方的身份信息安全性及真實性必須得到保證,即交易雙方必須是實際存在的。由于電子商務交易模式的特殊性,使得交易雙方能夠不同時出現在同地點就能夠通過網絡進行交易,因此在交易前必須先確定雙方建立起信任的關系,并對身份可靠性進行確認。在電子商務交易過程中供應商在履行約定后是否能準時收到貨款,而采購方在交付貨款后收到的貨物質量等問題是否與約定的內容相符,這兩方面的問題對電子商務交易中的信息真實性提出了很高的要求。
1.3電子商務交易中的數據安全性
在電子商務交易過程中所傳輸的數據信息,其安全性必須得到保證。信息若被泄露給未授權方會直接導致經濟等方面的損失。電子商務這種新型的交易方式,其交易信息能夠直接反映出個人、公司或機構等的商業機密。因此,保證傳輸數據不被非法竊取是其交易過程中的關鍵問題之一。
1.4電子商務交易中信息的完整性
在交易過程中通過網絡產生的數據信息完成性須得到保證,并且不能被隨意篡改。相較于傳統的交易方式,電子商務的交易過程具有較大的簡便性,相對簡化的交易程序對人為干擾因素進行了有效避免。但是,在其交易信息的傳輸過程中常常存在數據丟失、交易方欺詐行為等現象,導致最終交易雙方確認的信息不一致。因此,保證資料信息的完整性作為電子商務交易的基礎必須進行提高。
1.5電子商務交易的不可否認性
相較于傳統交易方式通過實際簽字或蓋章的形式對交易信息進行確認,在電子商務交易過程中,交易雙方需要以一種特定的形式對信息進行確認,并且承認信息的發送或者接受,不能隨意抵賴。這就要求電子商務交易中對交易雙方的信息交換通過利用無法復制、具有特點的信息對交易進行確認和保證。
2網絡信息安全對電子商務交易產生影響的主要問題
隨著計算機信息技術的廣泛使用,電子商務通過對其技術進行應用使得自身發展得到促進,同時其便捷性得到了人們的高度認可。電子商務的未來發展空間十分可觀。同時,其交易信息的安全性引起了人們的重視。在網絡信息安全技術的基礎上,電子商務通過利用互聯網信息的開放性特點,實現了不同地域的線上交易形式及其他商業活動的交易全部過程。電子商務這一新型交易模式成為了新時期全球的經濟熱點。由于其交易過程的開放性特征,以及其交易的全球性、共享性及發展動態性的特點,使得電子商務發展中的安全問題受到了社會各界的關注,同時對其自身發展也有一定的制約性。因此,對網絡信息安全對電子商務交易產生影響的主要問題進行研究十分必要。
2.1電子商務系統在運行過程中其網絡信息常常會遭到外界的攻擊,其中有服務性攻擊與非服務性攻擊兩種
非服務性攻擊是指指攻擊者通過利用各種非法手段對網絡的路由器等通信設名進行篡改,導致網絡通信設備無法正常使用或網絡無法正常工作;服務性攻擊即攻擊者通過利用服務器提供某類服務從而使網絡無法運行。拒絕服務是最典型的攻擊行為,通過使電子商務系統的網絡服務器充斥大量待回復的消息致使系統負荷超載、網絡癱瘓。
2.2計算機軟件、硬件的各方面情況對電子商務交易中的網絡信息系統會直接產生影響
計算機硬件主要有交換機、服務器及客戶端等;計算機軟件主要包括應用軟件、網絡操作系統及數據庫系統等。軟件漏洞是其網絡信息系統中最為典型的問題之一,緩沖區溢出現象時常發生并且會造成很嚴重的影響,使得系統程序運行失敗、計算機死機及系統重啟等。因此,必須通過有效措施對計算機網絡的硬件及軟件工作情況進行保證,以確保電子商務系統的正常操作。
2.3在電子商務交易中對信息的存儲和傳輸安全性要進行有效保證
信息的存儲安全性即對聯網狀態中的計算機存儲的信息安全進行保證,以實現未經授權的網絡用戶無法獲得存儲信息。未授權用戶通常會對用戶密碼進行猜測或者竊取,通過各種手段繞過網絡系統的安全認證,并對未授權信息進行非法修改、查看或者刪除;信息的傳輸安全性即對網絡傳輸中的信息數據的安全性進行保證,使其免遭攻擊或者泄露。
2.4電子商務的網絡系統有時也會受到內部的授權用戶的破壞
部分授權的合法用戶在運行電子商務網絡系統時,警惕性較低,將系統的安全密碼等機密信息無意泄露出去,從而導致安全性降低或者網絡受到攻擊。由于系統內部授權用戶自身的專業計算機知識缺乏,錯刪系統文件等行為都會直接對電子商務網絡信息系統的安全性造成破壞。
3提高電子商務中網絡信息安全性的對策
在電子商務交易平臺中,網絡信息的安全問題會出現各種需要解決的情況,為了保證電子商務交易能夠順利進行,對其網絡信息安全必須采取相應措施進行保證,當前主要有以下幾種解決對策:
3.1防火墻
防火墻的由來是中世紀的城堡防御技術,想要進入城堡的人必須通過吊橋并且接受士兵的檢查。從而引申出網絡防火墻技術的概念,即電子商務系統需要以一定的防護措施對用戶的授權等進行把關。
3.2黑客
隨著科學技術水平的提升,很多電腦愛好者的計算機水平也逐漸提高。目前已出現部分計算機水平較高的黑客設法繞過防火墻技術的控制,對電子商務網路系統進行干擾和入侵。因此,應利用相關入侵檢測技術即時地對外界產生的入侵或攻擊進行主動防御,以彌補防火墻技術的漏洞。通過在應用中采取監控措施、在電腦主機上進行監控措施及對網絡信息系統進行監控等辦法能夠有效抵御外界攻擊。
3.3病毒防御軟件
網絡病毒的數量及多樣性對計算機系統及信息等多方面都造成了嚴重的影響。網絡病毒對電子商務系統的運行也造成了惡劣影響。為保證電子商務網絡信息系統的安全運行應利用網絡病毒防御軟件進行保護,并保證交易信息的安全可靠性及速度。
3.4加密和秘鑰
為保證電子商務信息的安全性,應通過使用加密算法對其進行加密,將信息含義隱藏起來,以防外界入侵者的攻擊行為。同時利用密鑰管理技術作為加密信息的解密手段,只有授權合法的使用者能夠操作。
3.5數字信封
在公共網絡上使用傳統的信息加密技術及密鑰管理技術進行信息傳輸十分容易遭到外界的攻擊,可以通過數字信封技術來解決這一問題,能夠對信息在傳輸過程中的安全性進行保證。同時,為保證電子商務交易中的交易雙方能有有效辨識身份信息,通過數字簽名技術能夠實現這一目的,并且對交易信息的可靠性、安全性進行保障,最大程度地提高電子商務交易的效率及質量。
4通過建立電子商務安全機制保證其交易過程
信息及結算信息。同時商務主機需要向相關交易認證機構對客戶的訂單信息進行確認和反饋。因此,保證信息的安全性及完整性十分重要,以避免信息在傳輸的中途被篡改或者竊取,這對交易雙方來說極為重要。確保交易信息的完整性、有效性需要考慮的因素有很多,例如安全管理問題、物理安全問題、介質安全等各種問題,同時在技術上還需保證高要求。應采取相應措施對電子商務系統的訪問權限進行設置并建立安全防務機制。采取驗證身份信息等手段以杜絕信息竊取等危險的發生。通過對數據信息文件進行加密并提升防護安全的級別也可以對信息進行有效保護。在保障信息完整性時即通過建立安全機制確保數據信息不會被篡改或者盜取。安全機制包括訪問限制機制、信息完整性機制及交換鑒別機制等。
4.1無權限訪問控制機制
訪問控制指的是根據已確定好的過濾規則來判定決定訪問者是否擁有對于服務器的訪問權限。訪問控制可確保未無授權權限的訪問者或以未經授權的方式對數據、服務器以及通信系統等資源進行非法的修改、破壞與運行惡意代碼。
4.2數據單元的完整性機制
數據的完整性指的是數據單元的完整性與其序列的完整性。為確保數據的完整性,通常使用如下方式:發送者會在某個數據單元中加上一個經過加密的類似分組校驗、密碼校驗函數等數據自身函數的標記。接收者擁有對應的加密標記,在受到數據后可將對應的加密標記跟接收數據中的標記進行比對,便可以保證數據在傳輸時的完整性。數據單元的序列完整性指的是確定數據的時間標記的正確性與數據的編號連續性,這樣可確保無權限者不會對數據進行創建、刪除、修改等非法操作。如果發生這類對數據的非法修改等惡意操作,會對經濟產生巨大的沖擊。
4.3信息交換鑒別機制
交換鑒別指的是通過進行信息交換的方法來確保實體身份有效合法的機制。進行信息交換鑒別時,通常用到的技術有以下幾種:①口令:發送方設置口令,然后由接收方進行校驗。②數據加密:對將要進行交換的數據進行加密處理,只有擁有權限的用戶方可進行解密,從而得到正確的明文數據。通常實際中,數據加密往往與以下兩種技術混合使用:雙方、三方“握手”或是時間標記。③經公證機構認可的數字簽名:數字簽名指的是通過實體的法律所有權與生理特征進行實體身份的鑒別,實際中一般使用指紋識別與身份信息卡等。
4.4隨機數據發送機制
隨機數據發送指的是保密裝置會網絡中無信息傳輸的任務時,無目的性的發出隨機的數據序列。這樣可以迷惑非法的監聽者,使其無法得知監聽到的數據序列中是否存在有用信息。此種方式一般用來阻止非法的監聽者在傳輸時對數據序列進行監聽、流量流向分析等。
4.5路由器選擇機制
實際中的大型網絡中往往從源節點到目標節點之間會存在很多線路,這其中就存在各條線路安全與否的問題。路由器選擇機制可以為發送方提供選擇安全路由的選項,為數據的安全提供保障。
5結束語
關鍵詞:移動電子商務IEEE802.11WAPWPKI
隨著無線通信技術的發展,移動電子商務已經成為電子商務研究熱點。移動電子商務是將現代信息科學技術和傳統商務活動相結合,隨時隨地為用戶提供各種個性化的、定制的在線動態商務服務。
但在無線世界里,人們對于進行商務活動安全性的考慮比在有線環境中要多。只有當所有的用戶確信,通過無線方式所進行的交易不會發生欺詐或篡改、進行的交易受到法律的承認和隱私信息被適當的保護時,移動電子商務才有可能蓬勃開展。
移動電子商務通信安全的現狀
由于無線通訊接入方式非常靈活,所以其對安全的要求更高。實際上,主要的無線通信技術都有各自的措施、協議和方法來保證各自體制下的通信安全。這里我們將從無線網絡和電子商務應用兩個方面作簡要討論。
無線局域網
無線局域網絡是以無線連接至局域網絡的通訊方式。它采用的是IEEE802.11系列標準。在該標準中,無線局域網的安全機制采用的是WEP協議(有線對等安全協議)。在數據鏈路用WEP加密數據,保證了信道上傳送數據的安全。另外,無線局域網的網絡管理員分配給每個授權用戶一個基于WEP算法的密鑰,這樣就有效阻止了非授權用戶的訪問。
WAP(無線應用協議)技術
WAP由一系列協議組成,用來標準化無線通信設備,例如:移動電話、移動終端;它負責將Internet和移動通信網連接到一起,客觀上已成為移動終端上網的標準。WAP協議可以廣泛地運用于GSM、CDMA、TDMA、3G等多種網絡。
WAP的安全機制是通過WTLS(無線傳輸層安全)協議來實現的。WTLS協議類似于互聯網傳輸層安全協議。在無線技術的有限的發送功率、存儲容量及帶寬的條件下,WTLS能夠實現鑒定,保證數據的完整性和提供保密服務的目標。
數字認證技術
對諸如移動電子商務和有重要使命的合作通信等活動,其安全性的一個關鍵方面是能否對信息發送者的身份進行論證,通常都要利用有線安全的公開密鑰基本構架(PKI)。
PKI提供與加密和數字證書有關的一系列技術。但在無線通信環境中,PKI是很難實現的。在只有有限計算能力和低數據流通率的設備上實現PKI中的服務一直是一個有挑戰性的難題。同時在PKI的基礎上,要將無線設備與有線設備之間進行互通也是有難度的。因此無線PKI(WPKI)協議是要將標準的PKI進行修正和簡化,使其在無線通信的環境下達到最優。
移動電子商務安全分析
IEEE802.11的安全
IEEE802.11標準規定了MAC層的存取控制規范,也定義了加密機制,即上述的WEP。WEP的目的是通過對信息流加密并利用WEP認證節點,使無線通信傳輸像有線網絡一樣安全。
WEP加密使用共享密鑰和RC4加密算法。訪問點(AP)和連接到該訪問點的所有工作站必須使用同樣的共享密鑰。對于往任一方向發送的數據包,傳輸程序都將數據包的內容與數據包的檢驗組合在一起。然后,WEP標準要求傳輸程序創建一個特定于數據包的初始化向量(IV),后者與密鑰k相組合在一起,用于對數據包進行加密。接收器生成自己的匹配數據包密鑰并用之對數據包進行解密。在理論上,這種方法優于單獨使用共享私鑰的顯式策略,應該使對方更難于破解。
但是,IEEE802.11中用于安全的WEP算法只是提供相當于有線局域網基本安全的安全級別,根本不是一種全面的安全方案。越來越多的安全專家和研究人員發現IEEE802.11存在安全漏洞,有經驗的黑客會利用這些漏洞進行攻擊。其缺陷主要有:RC4算法本身就有一個小缺陷。WEP標準允許IV重復使用(平均大約每5小時重復一次)。WEP標準不提供自動修改密鑰的方法。
最早的WEP實施只提供40位加密,這使得它抗暴力攻擊能力差。現代的系統提供128位的WEP,128位的密鑰長度減去24位的IV后,實際上有效的密鑰長度為104位。盡管如此,128位的WEP版本也不能保證絕對安全。最好的解決辦法是把無線網絡放在機構防火墻之外,這種防范措施會強制要求將無線連接當作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。
所以,WEP應該與其他安全機制一起應用才能提供較強的安全。
WAP的安全
WAP規范的安全特性包括幾個部分:WTLS協議、用于存儲用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。
WTLS協議:WTLS基于IETF小組的SSL/TLS協議,提供了實體鑒別、數據加密和保護數據完整性的功能,所以可以確保在WAP裝置和WAP網關之間的安全通信。有三種不同級別的WTLS:
1級:執行未經證實的Diffie-Hellman密鑰交換以建立會話密鑰。
2級:使用與SSL/TLS協議相類似的公開密鑰證書機制進行服務器端鑒別。
3級:客戶端和服務器端采用X.509格式證書相互進行鑒別。
早期WAP裝置僅僅采用了第1級別的WTLS,這種級別的安全不夠,所以不能用于電子商務。目前,支持第2和第3級別WTLS的移動裝置從市場上可以得到,它們可以確保網上銀行交易和購物等應用的機密性。
WIM:為了便于客戶端的鑒別,新一代的WAP電話提供了WIM。WIM包含了WTLS3級的功能,并嵌入了對公開密鑰加密技術的支持(RSA是強制的,而ECC是可選的)。生產廠家為WIM配備了兩套公私密鑰對(一套用于簽名,另一套用于鑒別)和兩個廠商的證書。用配置在WIM上的公匙把廠商的證書和廠商名字捆綁在一起。這樣,通過WIM和WAP網關建立的所有WTLS會話都將使用相同的公匙用作初始會話。每一個會話都將包括與此密鑰對應的一個不同的證書。WIM的基本要求是它們要具有抗篡改的能力。
SignText功能:這個功能為WAP用戶提供了數字簽名。同電子簽名功能一樣,這個功能可以被應用于其他無線設備,或者是手持設備,或者是內嵌SIM卡。
WAP的安全分析:由WAP提供的最好的安全是WTLS3級,多數情況下WTLS已足以確保WAP的安全。但是,由于WAP網關在WAP設備和Web服務器之間起著翻譯的作用,相應的帶來了安全問題:WTLS安全會話建立在手機與WAP網關之間,而與終端服務器無關。這意味著數據只在WAP手機與網關之間加密,網關將數據解密后,利用其他方法將數據再次加密,然后經過TLS連接發送給終端服務器。由于WAP網關可以看見所有的數據明文,而該WAP網關可能并不為服務器所有者所擁有,這樣,潛在的第三方可能獲得所有的傳輸數據。
目前,針對上述安全性問題,可以采用這樣的措施來提高WAP的安全性:盡力確保WAP網關的安全。如果WAP網關位于WAP服務供應商范圍之內,可以通過諸如在內存中對加密和解密過程進行最優化以減少數據明文存在的時間、在釋放前覆蓋加密解密進程使用的內存以確保數據的安全性。對于安全要求較高的公司可以擁有自己的WAP網關,從而保障數據端到端的安全性。通過WIM實現數據安全性。
WPKI技術
在有線通信中,電子商務交易的一個重要安全保障是PKI。PKI的系統概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務交易的安全問題,但在應用PKI的同時要考慮到移動通信環境的特點,并據此對PKI技術進行改進。
WPKI技術滿足移動電子商務安全的要求:即保密性、完整性、真實性、不可抵賴性,消除了用戶在交易中的風險。WPKI技術主要包含以下幾個方面:
認證機構(CA)CA系統是PKI的信任基礎,負責分發和驗證數字證書,規定證書的有效期,證書廢除列表。
注冊機構(RA)RA提供用戶和CA之間的一個接口。作為認證機構的校驗者,在數字證書分發給請求者之前對證書進行驗證。
智能卡智能卡將具有存儲、加密及數據處理能力的集成電路芯片鑲嵌于塑料基片中,具有體積小、難于破解等特點,在生產過程、訪問控制方面有很強的安全保障。很多種需要客戶端認證的應用都可以使用智能卡來實現。并且智能卡也是存儲移動電子商務密鑰及相關數字證書的最佳選擇。
加密算法加密算法越復雜,密鑰越長則安全性越高,但執行運算所需的時間也越長(或需要計算能力更強的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有協處理器的芯片。而ECC使用較短的密鑰就可以達到和RSA算法相同的加密強度。由于智能卡受CPU處理能力和RAM大小的限制,因而采用一種運算量小同時能提供高加密強度的公鑰密碼體制對在智能卡上實現數字簽名應用是至關重要的,ECC在這方面具有很大的優勢。
綜上所述,在WPKI機制下,數字證書非常重要,但是由于無線信道和移動終端的限制,如何安全、便捷地交換用戶的數字證書是WPKI所必須解決的問題。可以采用以下2種辦法解決:WTLS證書,WTLS證書的功能與X.509證書相同,但更小、更簡化,利于在資源受限的手持終端中處理。但所有證書必須含有與密鑰交換算法相一致的密鑰,除非特別指定,簽名算法必須與證書中密鑰的算法相同:移動證書標識,將標準的一個X.509證書與移動證書標識唯一對應,并且在移動終端中嵌入移動證書標識,用戶每次只需要將自己的移動證書標識與簽名數據一起提交給對方,對方再根據移動證書標識檢索相應的數字證書即可。
目前,大多數移動電子商務采用的安全方式是非PKI的方式,這種方式主要采用對稱加密算法和單向散列函數來提供安全服務,其密鑰的管理是由移動運營商建立一套主密鑰管理系統,為不同的服務提供商分配不同的密鑰,每次交易過程中,服務提供商與用戶協商產生會話加密密鑰。顯然,采用這種方式構建的系統的安全性主要取決于主密鑰的安全。
盡管非PKI方式對于無線終端有限的處理能力來說尤其適合,而且通過黑名單管理等方法可以使系統的安全得到較好的保障,但是從長遠來說,移動電子商務有必要逐步過渡到PKI方式。
移動電子商務隨著移動互聯網技術的成熟發展迅速,其獨特的應用領域使得其安全問題倍受關注。從技術角度上看,一方面無線通信的安全處在不斷地發展和完善之中,其應用到移動電子商務中時要與其它的安全機制相結合才能滿足實際應用的需要;另一方面有線電子商務的安全技術不能解決移動電子商務的安全問題,所以WPKI技術是一個現實的選擇。因此,將這兩方面進行改進并進行有機整合,才能營造一個安全的移動電子商務環境。
參考文獻:
1.儲節旺,郭春俠.移動電子商務研究[J].現代情報,2002,3(3)
2.姜志,聶志鋒.移動電子商務及其關鍵技術[J].湖北郵電技術,2002,9(3)
