电子商务安全技术研究
电子商务安全中的网站加密与交易验证技术应用研究
电子商务安全中的网站加密与交易验证技术应用研究随着互联网的普及和发展,电子商务成为人们购物的主要方式。
然而,随之而来的安全问题也引起了广泛的关注。
为了确保电子商务的安全性,网站加密和交易验证技术被广泛应用。
本文将探讨电子商务中网站加密和交易验证技术的应用研究。
一、网站加密技术的应用网站加密是保护用户和网站信息免受黑客和其他恶意攻击的重要措施之一。
下面是几种常见的网站加密技术的应用:1. HTTPS协议HTTPS(HyperText Transfer Protocol Secure)是HTTP协议的安全版本。
通过使用SSL/TLS协议对HTTP进行加密和身份验证,HTTPS使数据传输更加安全可靠。
网站可以通过使用X.509证书来验证其身份,并通过HTTPS协议对数据进行加密传输,从而保护用户的隐私和安全。
2. SSL/TLS证书SSL(Secure Sockets Layer)和TLS(Transport Layer Security)证书是网站加密的基础。
通过使用公钥加密和私钥解密的方式,SSL/TLS证书确保了网站与用户之间的安全通信。
网站可以申请和使用SSL/TLS证书来证明其身份和确保通信的安全性。
3. 数据加密算法在网站加密过程中,数据加密算法起到了至关重要的作用。
常见的数据加密算法包括对称加密算法和非对称加密算法。
对称加密算法使用相同的密钥进行加密和解密,而非对称加密算法使用公钥和私钥进行加密和解密。
网站可以使用这些算法来保护用户的敏感信息,如个人信息和支付信息。
二、交易验证技术的应用交易验证是确保电子商务交易的真实性和安全性的关键环节之一。
下面是几种常见的交易验证技术的应用:1. 双因素认证双因素认证是一种使用两种或多种不同的身份验证要素来确认用户身份的技术。
常见的身份验证要素包括密码、刷卡、生物识别等。
在电子商务中,网站可以引入双因素认证来提高交易的安全性。
例如,在用户登录或进行支付操作时,网站可以要求用户输入密码和通过手机短信验证码进行验证,以确保用户身份的真实性。
电子商务平台的安全技术
电子商务平台的安全技术随着互联网的普及和发展,电子商务平台在人们的生活中发挥着越来越重要的作用。
然而,随着电子商务平台的兴起,网络安全问题也随之而来。
本文将探讨电子商务平台的安全技术,以保障消费者和商家的信息安全。
一、数据加密技术数据加密技术是保障电子商务平台安全的重要手段之一。
通过采用对称密钥加密算法或非对称密钥加密算法,对数据进行加密处理,可以防止不法分子通过网络窃取用户的敏感信息,保护用户隐私。
同时,在数据传输过程中,还可以使用SSL/TLS等协议进行加密,确保数据在传输过程中不被篡改。
二、身份认证技术为了防止用户身份被冒用,电子商务平台需要引入身份认证技术。
例如,可以通过用户名和密码的方式进行身份验证,也可以采用手机短信验证、指纹识别等多种方式,提高身份的安全性。
同时,引入多因素身份认证,例如结合手机号、邮箱和银行卡等多个因素的认证,可大大增加用户身份的可信度。
三、防御措施为了保护电子商务平台免受黑客攻击和恶意软件入侵,需要采取一系列防御措施。
例如,采用防火墙技术,对网络流量进行监控和过滤,阻止恶意攻击的入侵。
同时,建立入侵检测系统(IDS)和入侵防御系统(IPS),对异常流量和攻击行为进行监测和防范。
此外,定期对系统进行漏洞扫描和修复补丁,及时发现并解决潜在的安全漏洞。
四、支付安全技术支付安全是电子商务平台保障消费者利益的重要环节。
为了保护用户的支付信息安全,电子商务平台需要采用安全的支付技术。
例如,采用数字证书对支付信息进行加密和签名,以确保支付过程的安全性。
同时,引入第三方支付平台,通过中立的第三方机构进行支付,增加支付过程的可信度和安全性。
五、安全监控技术为了及时发现和应对安全事件,电子商务平台需要配备安全监控技术。
通过安全日志管理、异常行为监测等手段,实时监控系统安全状态,及时发现并响应安全事件。
同时,建立应急响应机制,确保在安全事件发生时能够迅速应对和解决问题。
六、教育培训除了技术手段,教育培训也是电子商务平台安全的重要环节。
电子商务安全技术分析与研究
石 磊
摘 妻:伴 随着网络技术 的飞速发展 与不断的更新换代 ,电子 商务技 术 已经逐 步 占 据 了传统 商务模 式的 市场份 额 。成 为新 型商务模 式 的新宠儿。无论是传 统的商务模式还是 电子 商务模 式,交易的双方关注的重点 不外乎企 业信 息的安全性 以及 交易流程 的稳 定性 等等需 求。 如何建立一个安 全、稳 定的电子 商务 平台一 直以来作 为电子 商务人 士的首要研 究课题 ,本文就这一问题从 不同层 面深度剖析 了这一 问题 。 关键 词:电子商务 ;信 息安全 :信息过滤防火墙 、代理防火墙以及双穴主机防火墙。
3 . 2加 密 技 术
1 .1电子商务 安全概 况 电子商务的定 义是政府 或者企业个人依托计算机 网络以及相关 通信
技术 ,分辨扮演交 易 主体 的角 色 .通 过 电子银行 网络 系 统进行 结算 手 段 ,以电子信号作 为载体 的全新 商务模式 。由于计算机 网络技术其 自身 的特性 :开放性 ,多面性 和不稳定性 。依 托于计算机 网络技术 的电子商 务平台需要 面多多种 多样 的信息安 全技术 的选择 。电子商务 的安全 性一 直受到人们质疑的关键就在于此 ,为了避免电子商务遇到信息 安全技术 瓶颈而导致其 自身发展的流产或破坏 ,电子商务平台的开发人 员和企业 电子商务的负责人们都在寻找一种有效的解决途径。
2 .2电子 商 务 安 全 性 要 求
上文 中剖析 了电子商务安全 的不 同层面 ,这里就要对其 进行一个关 系到电子商务安全性要求 的总结 。电子商务对 于信息 安全技术 的要求 : 首先 是网络 服务 的有效性要求 ,其 中既包括 网络信息流通 的实效性 同样 也包括数字信息的准确性 。计算机 网络建立在无数 的计算 机和服务 器终 端之上 ,没有人 能够保 障其不 间断的网络通 畅 , 务必确保 电子商务 网络 在遇到网络拥塞或者中断等问题 时,数字交易信息 能够得 到最好 的保 护 和传递。其次是信息的保 密性 , 交易信 息必须不能够被非 法第 三方 获取 或者保证不能够被第三方 破译 。这就要充分发挥加密 技术 的特长 。第三 点是信息的完整性要求 ,交易数据在发送端 和接 收端要 达到完全一 致的
电子商务平台交易安全技术研究
电子商务平台交易安全技术研究近年来,随着电子商务的发展,网络交易已经成为人们日常消费的重要方式。
然而,网络上不断发生的交易安全问题也对消费者造成了许多的困扰。
为了保证电子商务的交易安全,电子商务平台开发了许多的安全技术。
本文将阐述电子商务平台交易安全技术研究的相关情况。
一、电子商务平台交易安全技术的研究背景电子商务平台交易安全技术的研究是在信息安全领域中的一个重要研究方向。
在电子商务平台上进行的交易中,存在许多风险,如虚假交易、安全漏洞以及信息泄漏等,这些问题的产生和不断发展,也为电子商务交易安全保障提出了新的要求和挑战。
因此,研究如何保障电子商务平台交易的安全性和可靠性,已成为当前许多信息安全领域的研究热点。
二、电子商务平台交易安全技术的发展历程保障电子商务平台交易安全的技术主要包括密码技术、数字签名、加密技术、认证技术等。
在电子商务平台交易的发展历程中,这些技术也经历了不同的发展过程。
1、密码技术及DES加密算法早期的电子商务平台通过使用一些简单的安全技术,如密码技术等来进行交易保护。
密码技术是指将明文转化为密文以达到保护机密的目的。
在密码技术中,对称密钥加密算法被广泛应用,并且主要算法是DES加密算法,这种安全技术应用已经能够抵御一些较为简单的攻击。
2、公钥基础设施PKI然而,由于密码技术存在密钥分配难的问题,因此在密码技术的基础上,公钥基础设施(PKI)new加密技术技术被提出。
公钥技术通过将一个虚拟身份与公钥相关联,来提供更高的安全性。
PKI技术建立在公钥密码学体系上,使用非对称加密算法,由此在保护交易信息方面,比密码技术有更好的效果。
3、电子签名技术为了避免虚假交易,电子签名技术也被广泛应用于电子商务平台交易中,电子签名技术可通过数字信息的加密、解密以及身份验证等方式,保护交易信息并保障交易的真实性。
三、电子商务平台交易安全技术的研究与应用随着电子商务平台交易安全技术的发展,越来越多的新型技术被应用于电子商务交易中,以保证交易的安全。
电子商务中的在线支付安全技术研究与防范措施
电子商务中的在线支付安全技术研究与防范措施随着互联网技术的发展和普及,电子商务正成为全球经济发展中不可忽视的一部分。
在线支付作为电子商务中的核心环节之一,安全问题一直是网上交易的焦点和关注点。
本文将针对电子商务中的在线支付安全技术进行研究,并探讨相关的防范措施。
一、在线支付安全技术概述1.1 加密技术在在线支付中,加密技术是最基本且最重要的安全技术之一。
通过使用加密算法,将用户的敏感信息(如信用卡号、密码等)转换为密文,以防止中间人窃取或篡改数据。
目前常见的加密算法有对称加密算法和非对称加密算法两种。
对称加密算法使用相同的密钥进行加密和解密,效率高但密钥分发问题较为复杂。
而非对称加密算法使用一对密钥,其中一个用于加密数据,另一个用于解密数据,相对较为安全。
1.2 数字证书技术数字证书技术用于验证在线支付中的通信双方的身份。
每个用户都持有一个数字证书,其中包含用户的身份信息和公钥。
通过使用数字证书,可以确保通信双方的身份真实可信,并防止中间人攻击。
数字证书技术的实现依赖于公钥基础设施(PKI),PKI为证书颁发机构(CA)和证书持有人建立了一个可信任的桥梁。
1.3 风险评估与检测技术风险评估与检测技术可用于预测和识别在线支付中存在的潜在安全风险。
通过收集用户行为数据、交易行为数据和设备信息等,可以建立用户的行为模型,并根据该模型进行风险评估和检测。
例如,如果系统检测到某次交易的金额异常或交易地点异常,可能会触发风险提示或进行额外的身份验证。
二、在线支付安全风险与防范措施2.1 支付页面的安全设计在线支付过程中,支付页面是用户最直接接触到的环节,因此其安全设计至关重要。
支付页面应该采用HTTPS协议传输数据,以确保数据的加密传输。
同时,支付页面应该尽可能减少用户输入的敏感信息,避免收集过多的个人信息并加强个人信息的保护。
2.2 多因素身份验证多因素身份验证是提高支付安全性的重要手段。
在用户进行支付时,除了输入用户名和密码外,还可以通过手机验证码、指纹识别、人脸识别等方式进行额外验证。
电子商务安全调研报告
电子商务安全调研报告一、引言电子商务的迅速发展为人们的生活带来了巨大便利,然而,随之而来的安全风险也逐渐增加。
为了全面了解电子商务的安全现状,本次调研报告将对电子商务的安全问题进行深入研究,为相关企业和用户提供有益的参考。
二、电子商务安全现状分析1. 数据泄露与信息安全电子商务平台上存储了大量用户的个人信息和交易数据。
然而,由于网络攻击和不当管理,数据泄露事件屡屡发生,给用户的信息安全带来了巨大威胁。
2. 支付安全电子商务中的支付环节是安全问题最为突出的部分。
虚假网站、支付信息被盗用等情况时有发生,用户的财产安全受到严重威胁。
3. 电商平台信任问题由于电子商务平台众多,质量良莠不齐,消费者对平台的信任度参差不齐。
虚假宣传、售假等问题广受诟病,给消费者购物体验带来了负面影响。
三、影响电子商务安全的主要因素1. 技术问题电子商务平台的技术水平直接关系到安全情况。
缺乏安全性的网站易被黑客攻击,技术不成熟的支付系统容易出现问题。
2. 管理问题电子商务平台的管理问题也是导致安全事故的重要因素。
不完善的管理制度、不严格的权限控制、不及时的系统更新皆会造成潜在威胁。
3. 用户教育问题用户在使用电子商务平台时缺乏相关安全知识,容易受到网络诈骗的影响。
用户的安全意识和行为习惯对电子商务的安全有着重要影响。
四、电子商务安全保障措施1. 技术措施利用先进的加密技术对用户信息进行保护,确保数据安全性。
建立防火墙、入侵检测系统等技术设施,提升系统的安全性。
2. 管理措施建立健全的安全管理制度,规范员工权限和数据访问权限。
加强内部人员的安全教育培训,提高员工的安全意识。
3. 用户教育通过宣传推广活动,提高用户对电子商务安全的认知。
定期发布安全提示,教育用户养成良好的网络安全习惯。
五、电子商务安全发展趋势1. 多因素身份认证传统的密码认证方式逐渐被多因素身份认证取代,如指纹识别、面部识别等,提升了支付的安全性。
2. 区块链技术应用区块链技术的发展可以为电子商务提供更为安全可靠的交易环境,增加交易的透明度与可信度。
电子商务安全策略原则技术研究
22 . 灵 活 性 原 则
这 个 网络 攻 防 此 消 彼 长 的 时 代 , 应 该 根 据 安 全 问 题 的 不 更 安 全 策 略 要 能 随 着 网 络 性 能 及 安 全 威 胁 的 变 化 而 变 断 出 现 来 检 查 , 估 和 调 整 相 应 的 安 全 策 略 , 用 适 合 当 化 , 及 时 的 适 应 系 统 和 修 改 。 评 采 要 前 的 技 术 手 段 , 达 到 提 升 整 体 安 全 的 目 的 。 电 子 商 务 所 2 3 风 险 与 代 价 相 互 平 衡 的 分 析 原 则 来 . 带 来 的 巨 大 商 机 背 后 同 样 隐 藏 着 日益 严 重 的 电 子 商 务 安 任 何 一 个 网 络 , 难 达 到 绝 对 没 有 安 全 威 胁 。 对 一 个 很 全 问 题 , 仅 为 企 业 机 构 带 来 了 巨 大 的 经 济 损 失 , 使 社 网 络 要 进 行 实 际 分 析 , 且 对 网 络 面 临 的 威 胁 以 及 可 能 遇 不 更 并 会经 济的安全 受到威 胁 。 到 的风险 要 进行 定 量 与 定 性 的 综 合 分 析 , 制定 规 范 的措
购买者 因签订 了订单却 事后 否认 。
包 过 滤 型 防火 墙 、 用 级 网 关 型 防 火 墙 、 理 服 务 型 防 火 应 代 墙 等 几 类 。防 火 墙 具 有 5种 基 本 功 能 : () 挡 外部攻 击 ; 1抵 () 止 信息泄 露 ; 2防 () 制 管理 网络存取 和访 问 ; 3控 () N虚 拟专用 网功能 ; 4 VP
() 5 自身 抗 攻 击 能 力 。 防火墙 的安全策 略有 两种情形 :
电子商务的安全需求及技术
电子商务的安全需求及技术引言随着互联网的普及和发展,电子商务在全球范围内得到了迅猛的发展。
然而,随着电子商务的不断扩大,相关的安全威胁也逐渐增加。
保护用户的个人信息和交易安全已经成为电子商务发展的重要问题。
本文将详细探讨电子商务的安全需求,并介绍一些常用的安全技术来应对这些需求。
安全需求1. 保护用户的个人信息在电子商务中,用户必须提供一些个人信息,如姓名、地址、电话号码、信用卡号等。
这些个人信息对于用户来说是非常敏感的,必须得到有效的保护,以防止被黑客窃取或滥用。
因此,电子商务系统必须具备以下安全需求:•用户个人信息加密:在传输过程中使用加密算法对用户个人信息进行加密,以防止第三方窃听。
•安全存储用户信息:用户个人信息应该存储在安全的数据库中,并采取有效的访问控制措施,只有经过授权的人员才能访问这些敏感数据。
2. 保护交易安全电子商务的核心是在线支付和交易。
用户在进行交易时,必须确保支付过程的安全和可靠性。
为了实现这一点,电子商务系统需要具备以下安全需求:•安全的支付网关:使用安全的支付网关来确保支付过程的安全。
支付网关应该具备防御网络攻击的能力,如使用防火墙和入侵检测系统等。
•支付信息加密:在交易过程中,用户的支付信息应该得到加密保护,以防止黑客窃取。
•交易完整性保护:交易过程中,系统应该对数据完整性进行验证,以防止数据篡改和欺诈行为。
安全技术1. SSL/TLSSSL(Secure Socket Layer)和 TLS(Transport Layer Security)是一种常用的加密协议,用于确保数据在网络上的安全传输。
它通过为通信双方提供身份验证和数据加密来保护用户的个人信息和交易安全。
对于电子商务系统来说,使用SSL/TLS证书是一种标准做法,它可以确保用户与网站之间的通信是加密的,防止第三方窃听和数据篡改。
2. 双因素认证双因素认证是一种提高用户账户安全性的方法。
传统的用户名和密码认证容易受到黑客的攻击,因此,电子商务系统可以采用双因素认证来提高对用户身份的验证。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子商务安全技术研究董永东葛晓滨(1. 科大恒星电子商务技术有限公司,安徽合肥230088;2. 安徽财贸职业学院,安徽合肥230601)摘要电子商务的实施,其关键是要保证整个商务过程中系统的安全性。
本文从电子商务系统面临的安全隐患分析入手,系统地剖析了电子商务安全问题,并针对这些问题详细研讨了为保障电子商务安全应采取的安全措施和安全技术。
关键词电子商务;安全;技术1 引言电子商务运作过程中,大量的商务活动是通过Internet、Extranet或Intranet网络实现的,商务活动中的支付信息、订货信息、谈判信息、机密的商务往来文件等商务信息在计算机系统中存放,并通过网络传输和处理。
与此同时,计算机####、计算机病毒等造成的商务信息被窃、篡改和破坏以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重危害着电子商务系统的安全。
尤其是基于因特网之上的电子商务活动,对安全通信提出了前所未有的要求。
因此,安全性是影响电子商务健康发展的关键和电子商务运作中最核心的问题,也是电子商务得以顺利进行的保障。
电子商务安全包括有效保障通信网络、信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。
本文对此进行了探索和研究。
2 电子商务面对的安全问题及其对策电子商务安全研究的主要内容涉及到安全电子商务的体系结构、现代密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。
我们先对电子商务面对安全隐患分析如下。
2.1 电子商务中的安全隐患电子商务是在开放的网络上进行的,保证商务信息的安全是进行电子商务的前提。
电子商务的安全隐患主要来源于以下几个方面:(1)信息的窃取。
如果没有采取加密措施或加密强度不够,攻击者在数据包经过的网关或路由器上可以截获传送的信息。
通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
(2)信息的篡改。
当攻击者掌握了网络信息格式和规律以后,通过各种技术方法和手段对网络传输的信息在中途修改,然后发往目的地,从而破坏信息的完整性。
这种破坏手段包括篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个消息或消息的某些部分等。
(3)信息的假冒。
当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以冒充合法用户发送假冒的信息或主动窃取信息。
比如伪造电子邮件,虚开收订货单,窃取商家的商品信息和用户信用后冒用,冒充领导发布命令、调阅密件,冒充他人消费、栽赃,接管合法用户,欺骗系统,占用合法用户的资源等。
(4)交易的抵赖。
交易抵赖包括多个方面,如发送方事后否认曾经发送过某条信息或内容;接收方事后否认曾经收到过某条消息或内容;购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。
2.2 电子商务面对的安全问题2.2.1 计算机安全问题计算机是电子商务活动中所使用的重要工具,因此计算机的安全对于电子商务安全具有很重要的影响,保证计算机的安全也就成为电子商务安全中所要重点关注的问题。
安全专家通常把计算机安全分成三类:保密、完整和即需。
保密是指防止未经授权的数据暴露并确保数据源的可靠性;完整是防止未经授权的数据修改;即需是防止延迟或拒绝服务。
计算机安全中最知名的领域是保密,新闻媒体上每个月都会有非法进入政府计算机或用偷来的信用卡号订购商品的报道。
相对来说完整所受的安全威胁较少,因此大众对这个领域比较陌生。
如果一封电子邮件的内容被篡改成完全相反的意思,这就是对完整性的破坏。
对即需性破坏的案例很多,而且频繁发生。
延迟一个消息或消除它有时会带来灾难性的后果。
2.2.2 网络安全问题开放性和资源共享是Internet最大的特点,也是其优点,但开放性所带来的隐患确实不容忽视。
同时Internet采用TCP/IP传输协议,这种协议本身并没有采取任何措施来保护传输内容不被窃取,而TCP/IP协议本身没有考虑安全传输,很多应用程序,如Telnet、FTP 等,甚至使用明文来传输非常敏感的口令数据。
这些都带来网络安全问题,网络安全所遭受到的攻击可以分为四类:(1)中断。
指系统的部分组件遭到破坏或使其不能发挥作用,例如切断系统主机对外的网络连线使其无法使用,这是对系统的可用性做攻击。
(2)介入。
指未经授权者授权取得系统的资源,其中的未经授权者可以是一台计算机、一个人,或是一组程序,例如,利用软件窃取网络上传送的机密数据,就是对数据机密性的攻击。
(3)篡改。
指系统资源被未经授权的人所取得、乃至篡改内容,例如在网络上传送的订单遭到任意改变,是对数据的正确性的攻击。
(4)假造。
指未经授权者授权将假造数据放入系统中,这是对数据的真实性的攻击,如在网络上假造身份证明文件以假冒他人。
2.3 电子商务安全措施针对电子商务面对的安全隐患和安全问题,结合电子商务用户对电子商务活动安全性的需求,我们在电子商务安全措施上可以重点关注以下几种举措:(1)贸易伙伴的真实性确认。
常用的处理技术是身份认证,依赖某个可信赖的机构(认证中心CA)发放证书,双方交换信息之前通过CA获取对方的证书,并以此识别对方。
(2)保证电子单证的秘密性,防范电子单证的内容被第三方读取。
常用的处理技术是数据加密和解密。
加密技术包括对称密钥加密技术(典型算法有DES、Triple DES、IDEA、RC4和RC5)和非对称密钥加密技术(典型算法有RSA、SEEK、PGP和EU等)。
单证传输的安全性依赖于使用的算法和密钥的长度。
(3)确保业务单证传输的不会丢失(或者发送方可以察觉所发单证的丢失)。
对于固定且具有频繁贸易往来的伙伴,可以采用单证传输的序列性检验,即为单证分配序列号或者增加时间戳;也可采用双方约定的方法,即在规定的时间内,通过某种方式进行确认,包括采用特定的确认报文(如:订单确认报文或者电子邮件确认和电话确认等)。
(4)电子单证的内容完整性。
为确保电子单证未被篡改主要采用散列技术来实现,通过散列算法对被传输的单证进行处理,产生一个依赖于该单证的短小的散列值(通常在100-200比特之间),并将该散列值附接在单证之后传输给接收方。
以便接收方采用相同的散列算法对接收的单证进行检验。
典型的散列算法有SHA-1、MD2和MD5等。
(5)电子单证的真实性的保障。
鉴别单证真实性的主要手段是数字签名技术,其基础是数据加密中的公开密钥加密技术,实践中常结合单证完整性一起考虑,利用发方的秘密密钥对散列值进行加密。
目前可用的数字签名算法很多,如:RSA数字签名、ELGamal数字签名等。
(6)防止电子商务交易的抵赖。
解决或者仲裁收发双方对交换的单证所产生的争议,包括发方或者收方可能的否认或抵赖。
通常要求引入认证中心进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保存,作为争议的仲裁依据。
(7)保证存储信息的安全性。
通过强化并建立规范的内部管理,使用访问控制权限和日志,以及敏感信息的加密存储等手段。
当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术、内/外网隔离技术等保护内部网络的安全性。
(8)安全的约定。
为了达到商务活动的要求,电子商务需要有规定顾客、商家和各金融机构之间的责权关系的政策,给出参与各方的数据存储和通信过程以及数据流动的支付协议。
并在这些协议中,要充分考虑到对安全性的要求。
2.4 电子商务安全的技术手段通过对电子商务安全措施的讨论,我们可以探知电子商务运行过程中的安全技术手段主要体现在加密技术、认证技术和安全认证协议这三个方面。
下面我们对此再进行更深层次的讨论。
2.4.1加密技术加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。
它们的主要区别在于所使用的加密和解密的密码是否相同。
一般的数据加密模型如图1所示,它是采用数学方法对原始信息(明文)进行再组织,使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(密文),而对于合法的接收者,因为掌握正确的密钥,可以通过解密过程得到原始数据。
在图1中,E为加密算法,ke为加密密钥,D为解密算法,Kd为解密密钥。
如果按照收发双方密钥是否相同来分类,可以将加密技术分为对称密钥加密技术和非对称密钥加密技术,两种技术最有名的代表分别为DES和RSA。
图1 数据加密的一般模型1)对称密钥加密体制对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。
它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
使用对称加密技术将简化加密的处理,每个参与方都不必彼此研究和交换专用设备的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。
如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过使用对称加密方法对机密信息进行加密以及通过随报文一起发送报文摘要或报文散列值来实现。
2)非对称密钥加密体制非对称密钥加密系统,又称公钥密钥加密。
它需要使用一对密钥来分别完成加密和解密操作,一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥。
信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。
公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。
在非对称加密体系中,密钥被分解为一对。
这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为私用密钥(解密密钥)加以保存。
私用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布。
该方案实现信息交换的过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密信息进行解密。
2.4.2 认证技术信息认证的目的主要是:1)确认信息发送者的身份;2)验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。
下面从安全认证技术和安全认证机构两个方面来做介绍。
2.4.2.1常用的安全认证技术安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。
1)数字摘要数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码,并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。