电子商务安全技术分析
电子商务安全技术分析与研究
石 磊
摘 妻:伴 随着网络技术 的飞速发展 与不断的更新换代 ,电子 商务技 术 已经逐 步 占 据 了传统 商务模 式的 市场份 额 。成 为新 型商务模 式 的新宠儿。无论是传 统的商务模式还是 电子 商务模 式,交易的双方关注的重点 不外乎企 业信 息的安全性 以及 交易流程 的稳 定性 等等需 求。 如何建立一个安 全、稳 定的电子 商务 平台一 直以来作 为电子 商务人 士的首要研 究课题 ,本文就这一问题从 不同层 面深度剖析 了这一 问题 。 关键 词:电子商务 ;信 息安全 :信息过滤防火墙 、代理防火墙以及双穴主机防火墙。
3 . 2加 密 技 术
1 .1电子商务 安全概 况 电子商务的定 义是政府 或者企业个人依托计算机 网络以及相关 通信
技术 ,分辨扮演交 易 主体 的角 色 .通 过 电子银行 网络 系 统进行 结算 手 段 ,以电子信号作 为载体 的全新 商务模式 。由于计算机 网络技术其 自身 的特性 :开放性 ,多面性 和不稳定性 。依 托于计算机 网络技术 的电子商 务平台需要 面多多种 多样 的信息安 全技术 的选择 。电子商务 的安全 性一 直受到人们质疑的关键就在于此 ,为了避免电子商务遇到信息 安全技术 瓶颈而导致其 自身发展的流产或破坏 ,电子商务平台的开发人 员和企业 电子商务的负责人们都在寻找一种有效的解决途径。
2 .2电子 商 务 安 全 性 要 求
上文 中剖析 了电子商务安全 的不 同层面 ,这里就要对其 进行一个关 系到电子商务安全性要求 的总结 。电子商务对 于信息 安全技术 的要求 : 首先 是网络 服务 的有效性要求 ,其 中既包括 网络信息流通 的实效性 同样 也包括数字信息的准确性 。计算机 网络建立在无数 的计算 机和服务 器终 端之上 ,没有人 能够保 障其不 间断的网络通 畅 , 务必确保 电子商务 网络 在遇到网络拥塞或者中断等问题 时,数字交易信息 能够得 到最好 的保 护 和传递。其次是信息的保 密性 , 交易信 息必须不能够被非 法第 三方 获取 或者保证不能够被第三方 破译 。这就要充分发挥加密 技术 的特长 。第三 点是信息的完整性要求 ,交易数据在发送端 和接 收端要 达到完全一 致的
电子商务安全技术发展现状及未来趋势分析
电子商务安全技术发展现状及未来趋势分析随着互联网技术的不断发展和普及,电子商务已经成为当今社会不可缺少的一部分。
而随着网络购物的普及,电子商务产业规模也在不断扩大。
然而,随之而来的也是一系列的安全问题,如网络诈骗、信息泄露等。
因此,电子商务安全技术的研究和应用已经成为了现代社会发展的必要条件。
一、电子商务安全技术的现状1.1 电子商务安全技术的定义电子商务安全技术是指利用各种技术手段,对电子商务过程中产生的信息进行保护和管理的一种技术,包括数据加密、数字签名、访问控制、身份认证、防病毒等技术手段。
1.2 电子商务安全技术存在的问题随着电子商务的发展,电子商务安全技术也面临一系列的挑战。
其中,最主要的问题是网络诈骗、信息泄露、数据安全等问题。
这些问题的出现不仅会对企业的信誉造成影响,也会对个人造成经济损失和精神困扰。
1.3 电子商务安全技术的应用为了解决电子商务安全问题,各国政府和企业采用了各种技术手段。
(1)交易安全技术:包括数据加密技术、数字证书技术等,在交易中确保信息的安全性和可靠性。
(2)隐私保护技术:通过身份认证、访问控制等技术手段,确保用户个人信息不被泄露。
(3)身份认证技术:通过身份认证技术,可以对用户的身份进行验证,降低网络诈骗的风险。
(4)反欺诈技术:通过人工或自动检测技术,可以识别并防范网络欺诈行为,减少用户的经济损失。
1.4 电子商务安全技术的挑战随着新技术的不断发展,电子商务安全技术也面临着诸多的挑战:(1)大数据技术:大数据技术的不断发展,给电子商务安全技术带来了许多新的挑战。
因为大数据技术的应用,使得电子商务信息管理更加复杂。
(2)人工智能技术:人工智能技术的不断提升,导致网络攻击的手段也更为高级和多样化,从而增加了电子商务安全的挑战。
(3)区块链技术:随着区块链技术的不断发展,透明度和安全性也随之提高,区块链技术的应用也会对电子商务安全提出新的要求。
二、电子商务安全技术未来趋势2.1 区块链技术在电子商务中的应用及前景随着区块链技术的不断成熟,已经开始在电子商务中得到应用。
电子商务安全分析报告网络购物支付风险与交易安全措施
电子商务安全分析报告网络购物支付风险与交易安全措施电子商务安全分析报告网络购物支付风险与交易安全措施随着互联网的迅猛发展,电子商务成为了越来越多人选择购物的主要途径。
然而,网络购物支付的风险也逐渐凸显出来。
本报告旨在分析网络购物支付的风险,并提出一些有效的交易安全措施。
一、网络购物支付的风险分析1. 虚假商家和欺诈行为网络上存在大量的虚假商家和欺诈行为。
有些商家冒充知名品牌,以低价出售假冒伪劣商品,甚至通过非法手段获取用户的个人信息。
此外,还有一些欺诈行为,如虚假销售、冒名顶替等。
2. 支付平台的信息泄露网络购物支付过程中,用户的个人信息和银行账户等敏感信息都需要与支付平台进行交互,这就增加了信息泄露的风险。
一旦支付平台的系统存在漏洞或遭受黑客攻击,用户的信息将面临泄露的风险。
3. 网络支付环境不安全由于网络支付不像实体店交易那样可以直接查看商品和支付过程,用户只能通过网络进行交互。
如果网络支付环境不安全,黑客可能通过技术手段截取或篡改用户的支付信息,导致用户资金损失。
二、交易安全措施1. 选择信誉良好的电商平台用户在进行网络购物时,要选择信誉良好的电商平台进行购买。
可以查看平台的信用评级、用户评价等信息,以此来判断该平台的可信度。
此外,用户还可以参考其他消费者的购物经验,找到值得信赖的商家。
2. 谨慎选择支付方式在选择支付方式时,用户应该谨慎选择。
一般来说,第三方支付平台比直接使用银行卡支付更安全,因为第三方支付平台会承担一定的风险,同时也有更严格的安全措施。
用户可以选择使用支付宝、微信支付等知名的第三方支付平台。
3. 注意个人信息保护在进行网络购物时,用户应该注意个人信息的保护。
不轻易泄露个人的身份证号、银行卡号等敏感信息,尽量使用虚拟账号或手机支付等方式,最大限度地减少个人信息的泄露风险。
4. 定期更新安全软件为了保障交易安全,用户应定期更新电脑、手机等设备上的安全软件。
及时安装最新的杀毒软件、防火墙等安全工具,以防止恶意程序和病毒对设备和个人信息的损害。
电子商务平台安全性分析与优化
电子商务平台安全性分析与优化随着互联网的迅猛发展和电子商务行业的蓬勃发展,越来越多的企业开始关注并依赖于电子商务平台。
然而,随之而来的是网络安全问题的日益突出。
本文将对电子商务平台的安全性问题进行分析,并提出相应的优化方案。
一、电子商务平台的安全问题1. 数据泄露:电子商务平台上存储着大量的用户个人信息、商业机密以及交易数据,一旦遭到黑客攻击、员工不当操作或者系统漏洞,这些敏感信息有可能被泄露,给企业和用户带来巨大的损失。
2. 支付安全问题:电子商务平台上进行的交易常常涉及到用户的银行卡信息或者第三方支付账号信息,安全性问题一旦出现,不仅会造成用户财产损失,还会严重影响用户对平台的信任度。
3. 网络攻击:电商平台经常成为黑客攻击的目标,例如DDoS(分布式拒绝服务攻击)、SQL注入、跨站脚本攻击等,这些攻击不仅会导致平台服务中断,还会给用户带来损失。
4. 数据篡改:在电子商务平台上,黑客攻击者有可能篡改价格信息、订单信息甚至是产品信息,从而获利或者给用户造成财产损失,破坏了电子商务平台正常运行的秩序和信誉度。
二、电子商务平台的安全优化方案1. 建立完善的访问控制机制:通过建立权限管理体系,对不同角色和权限的用户进行访问控制,有效减少内部人员的不当操作以及黑客对系统的攻击。
2. 强化数据加密技术:通过使用HTTPS等安全协议保障用户数据在传输过程中的安全性,同时对于存储的敏感数据进行加密,提高数据的安全性。
3. 实施强密码策略:要求用户在注册账号时使用强密码,并定期提示用户更改密码,减少用户因密码泄露而导致的损失。
4. 加强网络安全监控与防护:通过网络入侵检测系统(IDS)、入侵防御系统(IPS)和防火墙等工具,实时监测和防护网络攻击,降低黑客攻击的风险。
5. 安全审计与漏洞扫描:定期对电子商务平台进行安全审计,发现并修复系统存在的漏洞,以及时解决潜在的安全隐患。
6. 加强员工安全意识培训:通过定期的网络安全教育培训,提高员工对于网络安全的认识和警惕性,减少员工的不当操作和引起安全漏洞的风险。
移动电子商务的安全与隐私问题分析
移动电子商务的安全与隐私问题分析移动电子商务(Mobile E-commerce)已经成为了现代人购物的主要方式之一。
然而,在移动电子商务领域,安全与隐私问题一直是用户和商家最为关注的焦点。
本文将对移动电子商务中的安全与隐私问题进行分析,并提供相应的解决方案。
一、安全问题分析1. 网络攻击:移动设备的开放性和全球化特性使其成为黑客攻击的主要目标。
黑客可以通过网络攻击窃取用户的个人信息、支付信息以及交易记录。
因此,移动电子商务平台需要加强网络安全措施,采用防火墙、加密技术、身份验证等手段,保护用户隐私和交易安全。
2. 信息泄露:移动电子商务平台可能存在数据泄露的风险。
用户在进行购物时,需要提供个人信息和支付信息,一旦这些信息泄露,用户可能遭受财产损失或身份盗窃。
因此,移动电子商务平台应该加强数据加密技术,确保用户数据不被非法获取。
3. 恶意软件:移动应用程序市场存在大量的恶意软件,这些软件可能通过盗取用户信息和操纵支付流程等手段,对用户进行欺诈和侵害。
移动电子商务平台应该加强对移动应用的审核和监管,减少用户下载和使用恶意软件的风险。
4. 假冒网站:移动电子商务平台经常遭受假冒网站的困扰。
黑客通过仿冒合法平台的方式,引诱用户泄露个人信息或进行虚假交易。
为了减少用户受骗的风险,移动电子商务平台应该加强对网站的验证机制,提供用户安全检测工具,警告用户避免访问假冒网站。
二、隐私问题分析1. 个人信息收集:移动电子商务平台为了提供个性化的服务,通常会收集用户的个人信息。
然而,一些平台可能会滥用个人信息,如将其出售给第三方广告商或用于其他商业目的。
为了保护用户隐私,移动电子商务平台应该建立严格的隐私保护政策,明确告知用户个人信息的收集、使用和保护方式,并提供用户选择是否提供个人信息的机制。
2. 交易记录保留:移动电子商务平台通常会保留用户的交易记录,以便用户查询和商家核实。
然而,长期保存这些交易记录可能存在泄露用户隐私的风险。
电子商务移动支付安全性技术分析
电子商务移动支付安全性技术分析随着电子商务的快速发展,移动支付已经成为人们日常生活中不可或缺的一部分。
随之而来的移动支付安全问题也引起了广泛的关注。
本文将对电子商务移动支付安全性技术进行分析,探讨当前移动支付存在的安全隐患和解决方案。
1. 移动支付的安全性问题移动支付作为电子商务的重要组成部分,因其便捷、快速、高效的特点受到了广大用户的欢迎。
随着其流行度的增加,移动支付所面临的安全隐患也不容忽视。
移动支付涉及账号信息、交易信息等敏感数据,一旦泄露或被恶意利用,将给用户带来不可估量的损失。
移动支付平台存在着数据传输过程中的安全风险,如中间人攻击、数据篡改等。
移动支付面临着诸多支付风险,如远程支付风险、设备丢失或盗用风险等。
移动支付的安全性问题是当前亟待解决的一大难题。
2. 解决移动支付安全问题的技术手段为了解决移动支付的安全问题,各类安全技术应运而生。
以下是一些常见的移动支付安全技术手段:(1)双因素认证双因素认证是一种常见的用户认证技术,它要求用户在登录或支付时除了输入账号和密码外,还需通过第二种验证方式进行身份认证,如短信验证码、指纹识别、人脸识别等。
这种技术大大提高了用户的安全性,降低了账号的被盗风险。
(2)加密技术加密技术是保障移动支付安全性的关键手段之一。
通过数据加密技术,可以有效保护用户的敏感信息在传输过程中不被窃取或篡改。
目前,主流的加密算法有AES、RSA等,它们能够有效保护用户账号、密码、交易信息等重要数据的安全性。
(3)安全芯片技术安全芯片技术是一种硬件层面的安全技术,它可以保护移动设备中存储的用户数据和密钥不被非法获取。
安全芯片可以存储和处理加密数据,并提供安全的隔离环境,有效防范针对移动设备的攻击和病毒威胁。
(4)风险评估与监控技术风险评估与监控技术是移动支付安全的重要保障之一。
通过实时监控用户的交易行为和设备信息,系统可以及时发现异常情况并采取相应的安全措施,如实时风险评估、用户行为分析、异常交易检测等。
电子商务安全案例分析关于电子商务安全的探讨
电子商务安全案例分析关于电子商务安全的探讨电子商务安全案例分析:关于电子商务安全的探讨随着互联网的普及和技术的快速发展,电子商务在全球范围内迅速兴起。
然而,与其相伴而来的是电子商务安全问题的日益突出。
本文将通过分析几个电子商务安全相关案例,探讨电子商务安全的重要性、现状以及相应解决方案。
案例一:用户个人信息被泄露的事件在电子商务平台上购物,用户通常需要提供大量的个人信息,如姓名、手机号码、银行账户等。
然而,假如这些信息被第三方恶意获得,将会引发严重的后果。
例如,2014年,全球最大的电子商务公司之一eBay遭遇黑客入侵,导致1.45亿用户的个人信息被窃取。
这个事件引起了广泛的关注,使人们开始关注电子商务平台的安全性。
针对这种情况,电子商务平台应加强用户个人信息的保护措施。
具体措施包括加密用户数据、采用多重身份认证、定期更新安全补丁以及加强内部员工的安全意识培训等。
同时,用户也应保持警惕,避免在不安全的网络环境下操作,谨慎对待个人信息的分享和提供。
案例二:虚假商品交易的问题在电子商务平台上,存在一些商家发布虚假商品信息、进行欺诈交易的情况。
这给消费者带来巨大的损失,也对电子商务平台的信誉造成严重影响。
鉴于此,电子商务平台应加强对商家的审核和监管,建立信用评价体系,严厉打击虚假广告和欺诈行为。
同时,消费者也应保持理性消费的意识,选择可信的商家和正规的交易平台,注意防范虚假宣传和夸大营销。
案例三:支付安全问题电子商务平台上的支付环节是用户最为关注的一个环节,支付安全问题直接影响到用户购物的信任度和便捷性。
近年来,数字支付技术的不断发展,诸如支付宝、微信支付等移动支付手段的出现,提高了支付的便利性,但也给用户资金安全带来了新的风险。
为了确保支付安全,电子商务平台应采用先进的支付安全技术和措施,比如使用加密技术保护用户的支付信息,建立安全的支付网关等。
同时,用户也应主动保护自己的账户和支付密码,不要随便泄露个人信息和支付凭证。
电子商务安全风险分析及防范措施
电子商务安全风险分析及防范措施电子商务的迅速发展为商业活动提供了更广阔的平台,但与此同时,也带来了一系列的安全风险。
在这篇文章中,我们将对电子商务安全风险进行分析,并提出相应的防范措施。
一、安全风险分析1.1 数据泄露风险电子商务平台大量储存着用户的个人信息,包括姓名、地址、电话号码等。
这些信息如果泄露给非法分子,可能导致用户个人隐私被侵犯,以及可能发生的身份盗窃、钓鱼网站等问题。
1.2 支付风险在线支付成为电子商务的核心环节,而支付风险也成为电子商务安全的重要问题。
诸如信用卡盗刷、支付密码泄露、支付信息被篡改等问题可能对用户造成经济损失。
1.3 交易欺诈风险电子商务交易的匿名性使得欺诈分子有机会进行虚假交易、虚假评价、货品替代等欺骗行为,给用户及平台带来经济和信誉上的损失。
1.4 网络攻击风险电子商务平台成为黑客攻击的目标之一,网络攻击可能导致用户信息泄露、网站瘫痪等严重后果,对平台的声誉和用户信任造成重大影响。
二、防范措施2.1 加强数据安全保护电子商务平台应采取一系列措施,确保用户数据的安全。
包括加密用户个人信息,采用安全的存储和传输方式,以及建立完善的数据备份和恢复系统等,以防止数据泄露风险。
2.2 完善支付安全机制平台应建立起严格的支付安全机制,包括使用双重认证、支付密码加密存储、实时交易监测等方式来防范支付风险。
同时,加强与银行等合作机构的合作,及时调整支付策略和审核机制。
2.3 强化交易防欺诈措施电子商务平台应建立起完善的交易评估和风控系统,通过多维度的交易评估,警惕虚假交易、评价刷单等欺诈行为。
同时,建立投诉处理机制,迅速响应用户反馈,保护用户权益。
2.4 建设安全防护体系加强系统和网络安全防护,建设安全防火墙、入侵检测和防范系统,及时监测和应对网络攻击。
定期进行安全漏洞扫描和安全评估,及时修复漏洞并升级系统。
2.5 安全教育和培训加强用户和员工的安全意识教育,提升大众对电子商务安全风险的了解和防范能力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子商务安全技术分析摘要:本文主要针对现在电子商务行业中存在的问题,从安全问题、安全要素、病毒与黑客防范技术、安全技术、安全电子交易等几个方面全面的阐述了电子商务的安全问题,重点分析了安全电子交易规范(SET),并对电子商务安全的未来进行了分析。
一、引言电子商务为全球客户提供丰富商务信息、快捷的交易服务和低廉交易成本的同时,也给电子商务参与的主体带来了许多安全问题。
电子商务所依赖的Internet具有虚拟性、动态性、高度开放性等特点,使电子商务面临众多的威胁与安全隐患,严重制约其进一步发展和应用。
目前,电子商务的安全问题已经是制约电子商务广泛应用的主要瓶颈之一,所以电子商务安全技术也成为各界关注、研究的热点。
二、电子商务安全问题由于电子商务师以计算机网络为基础的,因此它不可避免面临着一系列的安全问题。
一般会遇到以下的五种安全问题。
2.1、信息泄露在电子商务中表现为商业机密的泄露,也就是说电子商务的数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。
即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。
2.2、信息篡改在电子商务中表现为商业信息的真实性和完整性的问题。
攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。
2.3、身份识别问题如果不进行身份的识别,第三方就有可能假冒用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。
进行识别后就可防止“相互猜忌”的情况。
2.4、病毒病毒问世二十几年来,各种新型病毒及其变种迅速增加,特别是互联网的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。
2.5、黑客问题随着各种应用工具的传播,黑客已经大众化了,不想过去那样费计算机的高手不能成为黑客,现在只需要下载几个攻击软件并学会怎么使用,就可以互联网上大干一场,所以黑客问题也严重威胁着电子商务的发展。
三、电子商务的安全要素3.1、有效性电子商务以电子形式取代了纸张,那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。
电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。
因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
3.2、机密性电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。
传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。
电子商务是建立在一个开放的网络环境(如Internet)上的,维护商业机密是电子商务全面推广应用的重要保障。
因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
3.3、完整性电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。
由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。
此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。
贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。
因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
3.4、可靠性电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题则是保证电子商务顺利进行的关键。
在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
这也就是人们常说的“白纸黑字”。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已不可能,因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
为了满足电子商务的安全要求,电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务,主要包括:鉴别服务、访问控制服务、机密性服务、不可否认服务等。
鉴别服务是对贸易方的身份进行鉴别,为身份的真实性提供保证;访问控制服务通过授权对使用资源的方式进行控制,防止非授权使用资源或控制资源,有助于贸易信息的机密性、完整性和可控性;机密性服务的目标为电子商务参与者信息在存储、处理和传输过程中提供机密性保证,防止信息被泄露给非授权信息获得者;不可否认服务针对合法用户的威胁,为交易的双方提供不可否认的证据,来解决因否认而产生的争议提供支持。
四、构建安全电子商务4.1、防火墙技术要想构建安全的电子商务,必须构建防火墙。
防火墙成为近年来新兴的保护计算机网络安全技术性措施。
它是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。
作为Internet网的安全性保护软件,防火墙已经得到广泛的应用。
通常企业为了维护内部的信息系统安全,在企业网和Internet间设立防火墙软件。
企业信息系统对于来自Internet 的访问,采取有选择的接收方式。
它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。
如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用防火墙过滤掉从该主机发出的包。
如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在防火墙上设置使得只有这两类应用的数据包可以通过。
这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。
防火墙一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。
4.2、加密技术数据加密技术作为一项基本技术,是电子商务的基石,是电子商务最基本的信息安全防范措施。
其实质是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获取真实信息的一种技术手段,确保数据的保密性。
基于加/解密所使用的密钥是否相同可分为对称加密和非对称加密两类。
对称加密的加密密钥和解密密钥相同,即在发送方和接收方进行安全通信之前,商定一个密钥,用这个密钥对传输数据进行加密、解密。
对称加密的突出特点是加解密速度快,效率高,适合对大量数据加密;缺点是密钥的传输与交换面临安全问题,且若和大量用户通信时,难以安全管理大量密钥。
目前常用的对称加密算法有DES、3DES、IDEA、Blowfish等。
非对称加密的最大特点是采用两个密钥将加密和解密能力分开。
一个公开作为加密密钥;一个为用户专用,作为解密密钥,通信双方无需事先交换密钥就可进行保密通信。
而要从公开的公钥或密文分析出明文或密钥,在计算上是不可行的。
若以公开钥作为加密密钥,以用户专用钥作为解密密钥,则可实现多个用户加密的信息只能由一个用户解读;反之,以用户专用钥作为加密密钥而以公开钥作为解密密钥,则可实现由一个用户加密的消息而使多个用户解读,前者可用于保密通信,后者可用于数字签字。
非对称加密体制的出现是密码学史上划时代的事件,为解决计算机信息网中的安全提供了新的理论技术基础。
其优点是很好地解决了对称加密中密钥数量过多难以管理的不足,且保密性能优于对称加密算法;缺点是算法复杂,加密速度不是很理想。
4.3、数字认证技术数字认证是防止主动攻击的重要技术,对于开放环境中的各种信息系统的安全性有重要作用。
认证的主要技术是:第一,验证信息的发送者是真的,而不是冒充的,此为实体认证;第二,验证信息的完整性,此为信息认证。
数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码,这一串摘要码亦称为数字指纹(Finger Print),有固定的长度,不同消息其摘要不同,相同消息其摘要相同。
因此,摘要成为消息的“指纹”以验证消息是否“真身”,消息摘要解决了信息的完整性问题。
数字签名是实现认证的重要工具。
所谓数字签名就是附加在信息单元上的一些数据,或是对信息单元所作的密码变换,这种数据或密码变换允许信息接收者确认消息的来源和信息单元的完整性并保护数据防止被人伪造。
其实现方式是把信息摘要和公开密钥算法结合起来。
发送方从报文文本中生成数字摘要并用自己的私有密钥对摘要进行加密,形成发送方的数字签名,然后将数字签名作为报文的附件和报文一起发送给接收方;接收方首先从接收到的原始报文中计算出数字摘要,接着再用发送方的公开密钥来对报文附加的数字签名进行解密。
若两个摘要相同,则接收方能确认该数字签名是发送方的。
通过数字签名能实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。
数字证书与CA。
数字签名中最麻烦的问题是接收方往往无法确认自己得到的公钥确实是发送方的,因此必须将公钥与拥有者做紧密结合才可防止假冒与欺骗发生,数字证书系统是使用最广泛的解决方法。
数字证书是由CA(Certificate Authority)发放的,利用电子手段来证实一个用户的身份及用户对网络资源的访问权限。
包括用户的姓名、公共密钥、公共密钥的有限期、颁发数字证书的CA、数字证书的序列号以及用户本人的数字签名。
它是电子商务交易双方身份确定的惟一安全工具。
认证中心CA是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。
认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。
4.4、安全套接层(SSL)协议目前电子商务中有多种安全体制可以保证电子商务交易的安全性,其中SSL 是电子商务安全中两个最重要的协议之一。
SSL(S电子商务ure Sockets Layer)安全协议最初由Netscape Communication公司设计开发,又称“安全套接层协议”,是指通信双方在通信前约定使用的一种协议方法,该方法能够在双方计算机之间建立一个秘密信道,凡是一些不希望被他人知道的机密数据都可以通过公开的通路传输,不用担心数据会被别人偷窃。
SSL安全协议能够对TCP/IP以上的网络应用协议数据流加密。
SSL协议只负责端到端的安全连接,只保证信息传输过程中不被窃取、篡改,但不提供其他安全保证,因而SSL实质上仅仅提供对浏览器和服务器的鉴别,不能细化到对商家和客户的身份认证,这个缺陷会导致交易的假冒欺诈行为出现,又由于SSL协议早已嵌入Web浏览器和服务器,使用方便,因此对进行电子商务交易的广大用户而言,SSL使用非常方便,这是其优点。