㈠ 論文」電子商務安全」應從哪幾個方面寫
(1)電子商務模來式
(自2)電子商務發展的關鍵環節:良好的網路環境、公共電子商品導購平台、企業級電子商務體系、安全認證體系、安全支付結算體系、協同作業體系、法律政策環境
(3)電子商務面臨的安全問題:信息泄漏、竄改、身份識別、電腦病毒問題、黑客問題
(4)電子商務的安全要素:有效性、機密性、完整性、可靠性/不可抵賴性/鑒別、即需性、身份認證、審查能力
(5)電子商務採用的主要安全技術及其標准規范:防火牆技術、機密技術、密鑰管理技術、認證技術、Internet電子郵件的安全協議、Internet主要的安全協議
(6)對電子商務安全的展望
㈡ 求:電子商務安全問題論文,完整的!
在網路上有個
㈢ 畢業論文電子商務的風險及其安全管理全文
摘 要
電子商務不僅給企業帶來新的機遇,同樣也帶來了新的風險。本文將主要分析三種類型版的權電子商務的風險:商業風險,技術風險和法律風險。企業只有在充分了解了電子商務風險,才能更好的安全管理。在新千年初,許多商務網站就受到了黑客們不同層次的攻擊,這些網站包括eBay,eTrade,Yahoo等著名的公司。不斷出現的"梅莉莎""愛蟲"等病毒的瘋狂肆虐使得全球成千上萬台電腦癱瘓,嚴重地影響了企業的業務運作,直接導致幾十億美元的損傷。電子商務的風險很大。電子商務業務運作模式的開放性和全球化使得安全的含義更為廣泛,安全性方面的管理要求更高,所受到重視的程度更高。電子商務系統硬體安全、電子商務系統軟體安全、電子商務系統運行安全、信息的保密性、交易文件的完整性、信息的不可否認性、交易者身份的真實性、加密、解密、通用密鑰密碼體制、公開密鑰密碼體制、數字摘要、數字證書、認證中心、SSL協議、SET 協議等安全管理。
㈣ 求電子商務安全分析的論文
隨著互聯網的全面普及,基於互聯網的電子商務也應運而生,並在近年來獲得了巨大的發展,成為一種全新的商務模式,被許多經濟專家認為是新的經濟增長點。
作為一種全新的商務模式,它有很大的發展前途,同時,這種電子商務模式對管理水平、信息傳遞技術都提出了更高的要求,其中安全體系的構建又顯得尤為重要。如何建立一個安全、便捷的電於商務應用環境,對信息提供足夠的保護,是商家和用戶都十分關注的話題。安全問題己成為電子商務的核心問題。本文將對電子商務安全問題作一個基本的探討。
1 電子商務模式
現代電子商務技術已經集中於網路商店的建立和運作。網路商店和真實商店在部門結構和功能上沒有區別,不同點在於其實現這些功能和結構的方法以及商務運作的方式。
網路商店從前台看是一種特殊的WEB伺服器。現代WEB網站的多媒體支持和良好的交互性功能成為建立這種虛擬商店的基礎,使得顧客可以像在真實的超級市場一樣推著購物車挑選商品,並最後在付款台結賬。這也就構成網上商店軟體的三大支柱:商品目錄、顧客購物車和付款台。好的商品目錄可以使顧客通過最簡單的方式找到其需要的商品,並可以通過文字說明、圖像顯示、客戶評論等充分了解產品各種信息;商品購物車則銜接商店和個人,客戶既可以把他喜歡的商品一個個放到購物車里,也可以從購物車中取出,直到最後付款;付款台是網路交易的最終環節,也是最關鍵的環節。顧客運用某種電子貨幣和商店進行交易必須對顧客和商店都是安全可靠的。
在美國,網上商店收取信用卡必須具備三個條件:
1) 需要在美國的某個商業銀行中建立一個商業賬戶。這個賬戶使你可以進行接收信用卡支付和處理信用卡業務,最終獲得資金。
2) 必須為直接商品購買者提供一個符合SSL規范的加密站點用於他們安全地提交自己的信用卡資料,在保證他們提交的信息准確可靠的同時,還必須保證這些資料不被第三方竊取。美中通聯通過和美國最大的CA中心Verisign合作建立這種用戶可以高度信任的加密站點為客戶服務。
3) 購買者提供的信用卡資料將直接被送到專門提供信用卡服務的專業公司(支付網關)進行處理,他們將進行信用卡的驗證,轉賬,最終將資金轉入商業賬戶。美中通聯的合作夥伴Cybercash也是美國最為著名的網路支付提供商。不但可以提供VISA,萬事達信用卡服務業務,同時也提供American Express, Discover等信用卡的支付以及Digital Cash, Digital Coins, Smart Card等電子貨幣的結算方式。
而在網路商店的背後,企業首先要具備商品的存儲倉庫和管理機構;其次要將網路上銷售的產品通過郵政或其他渠道投遞到顧客手裡;第三,企業同樣要負責產品的售後服務,這種服務可能是通過網路的,也可能不是。
網路交易通常是一種先交錢後拿貨的購物方式。對客戶而言,其方便處在於購得的商品會直接投遞到自己家裡,而難以放心的是在商品到達手中之前並不能確認到自己手中的究竟是什麼。因此網路商店的信譽和服務質量實際上是電子商務成功與否的關鍵。
網路商店必備條件:
商店名稱:它就像是注冊商標,在網路上稱為域名,整個網路世界它是唯一的。一個與您公司名稱相關的網路名稱可以使顧客更容易記住您的商店。
商店地點:也就是開設您的商店的網路伺服器地址,高速的網路連接,就像是把商店開設鬧市黃金地段,可以使顧客快速容易地抵達,這對客戶的影響是十分關鍵的。
商店裝修:網站的設計對用戶來講自然非常重要,動人的網頁就像一流裝修的商場,不但吸引顧客,而且增加顧客的信心。
貨物擺放:在網上商店中,其反映在如何建立商品的目錄結構,提供何種網站導航和搜索功能,以使得用戶可以快速、便利地尋找到他需要的商品和相關信息。
購物車:方便靈巧的購物車可以使顧客感覺到受到良好的服務,增加顧客的信心。它是連接商品和付款台的關鍵環節。
貨幣結算:支付系統是網路交易的重要環節。在美國和歐洲,信用卡已經成為最普遍的電子交易方式。通過提供必要的個人信用卡資料,商店就可以通過銀行計算機網路與顧客進行結算。這也是建立網路商店的必要條件。而且貨幣結算的安全可靠,不但關繫到顧客的切身利益,同時直接關繫到您商業經營的安全可靠。
商品盤點更新:對網路商店的日常維護,例如去除銷售完的商品,擺上新貨等等,是必須經常進行的業務。
庫存商品管理:後勤保證是任何商務運作的基礎。無論網路商店還是真實商店,貨物和貨幣都是一樣真實的,對庫存貨物的存儲和管理也是一樣真實的。
商品最終送達用戶:網上購物實際上是郵購。最後一個步驟自然是通過郵政或其他系統將貨物快速可靠地送達最終用戶手中。
售後服務:不言而喻,這同樣是現代商品銷售的重要環節。而網路技術可以為用戶提供24小時不間斷的服務,這也是網路商店的優勢之一。通常網路商店還要提供30天的退/換貨承諾。
因此一個企業在進入電子商務領域時必須考慮如下的問題:
如何申請一個自己的域名?如何設立一個電子商務伺服器?伺服器如何和Internet連接?如何設計這個網上商店,實現各種功能?誰來設計?誰來維護這個網站?如何實現在線交易?如何安全可靠地進行網路電子貨幣結算?網上商店和商品庫存之間如何協調?如何快速便利地將商品投遞到用戶手中?售後服務如何進行?
2 電子商務發展的關鍵環節
2.1 良好的網路環境
電子商務是在電信網路上發展起來的。因此,先進的計算機網路基礎設施和寬松的電信政策就成為發展電子商務的前提。目前,電信服務價格過高,帶寬有限,服務不及時或不可靠等因素已經成為發展電子商務的制約因素。加快電信基礎設施建設,打破電信市場的壟斷,引進競爭機制,保證電信業務公平競爭,促進網路互聯,確保為用戶提供廉價,高速,可靠的通信服務是良好網路環境的建設目標,也是世界各國面臨的共同課題。
我國電信業務長期受到計劃經濟的影響,獨家壟斷的局面尚未打破。近年來網際網路迅猛發展,電信政策不適應形勢的矛盾日益突出。主要表現在:
網路供應商(ISP)租用線路的價格過高,使他們無利可圖。一批前期進入這一領域的ISP由於虧損,已經退出。
ISP與電信網路互聯,遇到了來自電信部門的阻力,互聯費用過高,以各種借口的刁難。
由於電信部門壟斷了接入業務,用戶接入費用過高,一般都難以承受。也無法選擇有良好服務的接入服務商。
為了促進電信市場的開放和協調世界各國的電信政策,世界貿易組織在1997年成功地締結了基礎通信協定。該協定將保證全球電信市場的競爭,加強國家之間的合作。
2.2 公共電子商品導購平台
公共電子商品導購平台,是保證網上電子商務活動順利完成的物理保證。它主要涉及網路平台建設和企業信息庫建設兩方面的問題。人們發送到網路上的交易信息,必須准確、迅速地在供應商、流通商、管理部門、銀行、交通運輸等部門之間傳送,這需要各國家、各部門統一信息存儲、通訊、處理的標准和協議,具有一個協調一致的導購平台。同時,各企業的商品信息庫建設是平台的基礎,企業沒有與平台標准一致的商品信息庫,電子商務就失去了生存的基礎。我國的企業信息化程度不高,目前只有少數企業主要是信息技術企業建立了企業商品信息庫,這就減緩了我國公共電子商品導購平台的建設。
2.3 企業級電子商務體系
企業級電子商務是電子商務體系的基礎。在科技高速發展、經濟形勢快速變化的今天,人們不再是先生產而後去尋找市場,而是先獲取市場信息再組織生產。隨著知識經濟時代的來臨,信息已成為主導全球經濟的基礎。企業內部信息網路:Intranet,是一種新的企業內部信息管理和交換的基礎設施,在網路、事務處理以及資料庫上繼承了以往的MIS(管理信息系統)成果,而在軟體上則引入網際網路的通信標准和WWW內容的標准。Intranet的興起,將封閉的、單項系統的MIS改造為一個開放、易用、高效及內容和形式豐富多彩的企業信息網路,實現企業的全面信息化。企業信息網路應包含生產、產品開發、銷售和市場、決策支持、客戶服務和支持及辦公事務管理等方面。對於大型企業,同時要注意建設企業內部科技信息資料庫,如對技術革新、新產品開發、科技檔案、科技圖書、科技論文、科技成果、能源消耗、原輔材料等各種資料庫的建設。當然還要選擇一些專業網路和地方網路入網。
2.4 安全認證體系
開展電子商務最突出的問題是要解決網上購物、交易和結算中的安全問題,其中包括建立電子商務各主體之間的信任問題,即建立安全認證體系(CA)問題;選擇安全標准(如SET、SSL、PKI等)問題;採用加、解密方法和加密強度問題。其中建立安全認證體系是關鍵。
網上交易與傳統的面對面或書面的交易方式不同,它是通過網路傳輸商務信息和進行貿易活動的。網上交易的安全問題意味著:
有效性:保證網上交易合同的有效性,防止系統故障、計算機病毒、黑客攻擊。
保密性:對交易的內容、交易雙方賬號、密碼不被他人識別和盜取。
完整性:防止單方面對交易信息的生成和修改。
所以,電子商務的安全體系應包括:安全可靠的通信網路,保證數據傳輸的可靠完整,防止病毒、黑客入侵;電子簽名和其他身份認證系統;完備的數據加密系統等等。
2.5 安全支付結算體系
銀行業務的電子化,使得電子貨幣正在逐步取代傳統紙幣,發揮越來越重要的作用。1996年英國小城斯溫登宣布用電子貨幣取代紙幣,信用卡成為一種新的貨幣形式。隨著網上交易的增多,網路銀行、數字貨幣等全新的概念也應運而生。1994年比爾蓋茨曾經嘲笑傳統的銀行是跟不上時代的恐龍。實際上,網際網路確實對傳統的金融業務提出了挑戰。全球大約1000家銀行中的500家已經加入互聯網,1996年有190萬人使用在線銀行服務,預計到2000年將有1300萬人使用在線銀行。無論是完全依賴於網路的銀行,還是傳統銀行利用網路開展銀行業務,安全問題都是十分重要的。我國的電子商務的普及,首先要解決網路的安全問題。在金融專網和網際網路之間設置支付網關,作為支付結算的安全屏障
2.6 協同作業體系
在電子商務中,所謂協同作業,包括工商、稅務、銀行、運輸、商檢、海關、外匯、保險、電信、認證等部門,以及商城、商戶、企業、客戶等單位按一定規范與程序相互配合,相互銜接,協同工作,共同完成有關電子商務活動。所謂協同作業體系包括:
①有關協同作業部門(不含廣大客戶)通過專線或IP隧道與電子商城互連;②共同協商制定統一高效的作業規范與程序;③共同制定降低電子商務運行成本的資費政策;④推行實施協同工作(CSCW)。
2.7 法律政策環境
建立一套法律政策體系,保證電子交易雙方能按照共同的規則進行交易,對起動、發展電子商務是完全必要的,十分急需的。電子商務是世界性的經濟活動,其法律框架也不應局限在一國范圍內,而應適用於國際間的貿易往來,聯合國國際貿易法委員會(UNCRTRAL)已經完成了一個法律範本,以支持電子商務在國際貿易中的應用。其內容應包括:
電子合同的有效性;
有效的電子文件的規范;
電子簽名的合法性和其他身份辨認程序;
知識產權的保護;
商標權和域名的保護;
企業和個人隱私的保護
目前在我國,統一合同法(技術合同、經濟合同、對外經濟合同統一)即將由全國人大通過後出台,在統一合同法中已承認電子合同與書面合同一樣具有合法性,意即可證明買賣成立,但不能解決合同糾紛問題,要解決此問題有兩條出路:(1)到法院起訴(無法律依據);(2)通過仲裁解決(要制定協議)。
建立電子商務活動的技術標准也是至關重要的。在電子商務試點階段,實行稅費優惠政策也有利於電子商務的推廣。
3 電子商務面臨的安全問題
由於電子商務是以計算機網路為基礎的,因此它不可避免面臨著一系列的安全問題。
(1)信息泄漏
在電子商務中表現為商業機密的泄漏,主要包括兩個方面:交易雙方進行交易的內容被第三方竊取;交易一方提供給另一方使用的文件被第三方非法使用。
(2)竄改
在電子商務中表現為商業信息的真實性和完整性的問題。電子的交易信息在網路上傳輸的過程中,可能被他人非法修改、刪除或重改,這樣就使信息失去了真實性和完整性。
(3)身份識別
如果不進行身份識別,第三方就有可能假冒交易一方的身份,以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等,進行身份識別後,交易雙方就可防止相互猜疑的情況。
(4)電腦病毒問題
電腦病毒問世十幾年來,各種新型病毒及其變種迅速增加,互聯網的出現又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網路作為自己的傳播途徑,還有眾多病毒藉助干網路傳播得更快,動輒造成數百億美元的經濟損失。
(5) 黑客問題
隨著各種應用工具的傳播,黑客己經大眾化了,不像過去那樣非電腦高手不能成為黑客。曾經大鬧雅虎網站的黑手黨男孩就沒有受過什麼專門訓練,只是向網友下載了幾個攻擊軟體並學會了如何使用,就在互聯網上大幹了一場。
4 電子商務安全因素與安全技術
安全問題是企業應用電子商務最擔心的問題,而如何保障電子商務活動的安全,將一直是電子商務的核心研究領域。作為一個安全的電子商務系統,首先必須具有一個安全、可靠的通信網路,以保證交易信息安全、迅速地傳遞;其次必須保證資料庫伺服器絕對安全,防止黑客闖入網路盜取信息。
4.1電子商務的安全要素
(1)有效性
EC以電子形式取代了紙張,那麼如何保證這種電子形式的貿易信息的有效性則是開展E的前提。EC作為貿易的一種形式,其信息的有效性將直接關繫到個人、企業或國家的經濟利益和聲譽。因此,要對網路故障、操作錯誤、應用程序錯誤、硬體故障、系統軟體錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。
(2)機密性
EC作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。EC是建立在一個較為開放的網路環境上的(尤其Internet是更為開放的網路),維護商業機密是EC全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。
(3)完整性
EC簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。由於數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是EC應用的基礎。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復並保證信息傳送次序的統一。
(4)可靠性/不可抵賴性/鑒別
EC可能直接關繫到貿易雙方的商業交易,如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證EC順利進行的關鍵。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易夥伴,確定合同、契約、單據的可靠性並預防抵賴行為的發生。這也就是人們常說的白紙黑字。在無紙化的EC方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。
(5)即需性
即需性是防止延遲或拒絕服務,即需安全威脅的目的就在於破壞正常的計算機處理或完全拒絕服務。在電子商務中,延遲一個消息或消除它會帶來災難性的後果。例如,你在上午10點向在線的股票交易公司發一個電子郵件委託購買1000股IBM公司的股票,假如這個郵件被延遲了,股票經濟商在下午2點半才收到這封郵件,這時股票已經漲了15%,這個消息的延遲就使你損失了交易額的 15%。
(6)身份認證
指交易雙方可以相互確認彼此的真實身份,確認對方就是本次交易中所稱的真正交易方。認證是證實一個聲稱的身份或者角色,如用戶、機器、節點等是否真實的過程。這一過程為授權和審計所必需,也是實現授權、審計的訪問控制過程運行的前提,是計算機網路安全系統不可缺少的組成部分。
(7)審查能力
根據機密性和完整性的要求,應對數據審查的結果進行記錄。審查能力是指每個經授權的用戶的活動的唯一標識和監控的,以便對其所使用的操作內容進行審計和跟蹤。當貿易一方發現交易行對自己不利時否認電子商務行為。例如,某股民以每股12元購買了1000股後,行情發生了變化,每股價格降到了10元,於是該股民否認以前的購買行為。因此,要求系統要有審查能力,使交易的任何一方都不能抵賴已經發生的交易行為。
4.2 電子商務採用的主要安全技術及其標准規范
考慮到安全服務各方面要求的技術方案已經研究出來了,安全服務可在網路上任何一處加以實施。但是,在兩個貿易夥伴間進行的EC,安全服務通常是以端到端形式實施的(即不考慮通信網路及其節點上所實施的安全措施)。所實施安全的等級則是在均衡了潛在的安全危機、採取安全措施的代價及要保護信息的價值等因素後確定的。這里將介紹EC應用過程中主要採用的幾種安全技術及其相關標准規范。
4.2.1 防火牆技術
(1)防火牆定義
防火牆是在內部網與外部網之間實施安全防範的系統,可被認為是一種訪問控制機制,用於確定哪些內部服務允許外部訪問,以及允許哪些外部服務訪問內部服務。實現防火牆技術的主要途徑有:數據包過濾、應用網關和代理服務。
(2)包過濾技術
包過濾技術是在網路層中對數據包實施有選擇的通過,依據系統內事先設定的過濾邏輯,檢查數據流中每個數據包後,根據數據包的源地址、目的地址、所用的 TCP/ UDP埠與 TCP鏈路狀態等因素來確定是否允許數據包通過。包過濾的核心是安全策略,即過濾演算法的設計。包過濾技術速度快、實現方便,但審計功能差。過濾規則的設計存在矛盾關系,過濾規則簡單時安全性差,過濾規則復雜則管理困難。
(3)應用網關技術
應用網關技術是建立在網路應用層上的協議過濾,它針對特別的網路應用服務協議,即數據過濾協議,能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控制所有輸入輸出的通訊環境給予嚴格的控制,以防有價值的程序和數據被竊取。
(4)代理服務技術
代理服務作用在應用層,用來提供應用層服務的控制。這種代理服務准許網路管理員允諾或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過的,一旦判斷條件滿足,防火牆內部網路的結構和運行狀態便暴露在外來用戶面前,從而引入了代理服務的概念。這一技術使防火牆內外計算機系統應用層的鏈接由兩個終止干代理服務的鏈接未實現。這就成功地實現了防火牆內外計算機系統的隔離。同時,代理服務還具有實施較強的數據流監控、過濾、記錄和報告等功能。代理的CACHE功能可以加速訪問,但對干每一種應用服務都必須為其設計一個代理軟體模塊未進行安全控制,而每一種網路應用服務的安全問題各不相同,分析困難,實現也困難。
(5)防火牆技術的發展
結合上述幾種防火牆技術的優點,可以產生通用、高效和安全的防火牆。目前,除了基於以上三種技術的防火牆以外,又出現了許多新技術。如:動態包過濾技術,網路地址翻譯技術,加密路由器技術等。防火牆技術將不斷向著高度安全性、高度透明化的方向發展。
4.2.2 加密技術
加密技術是EC採取的主要安全措施,貿易方可根據需要在信息交換的階段使用。目前,加密技術分為兩類,即對稱加密和非對稱加密。
(1) 對稱加密/對稱密鑰加密/專用密鑰加密
在對稱加密方法中,對信息的加密和解密都使用相同的密鑰。也就是說,一把鑰匙開一把鎖。使用對稱加密方法將簡化加密的處理,每個貿易方都不必彼此研究和交換專用的加密演算法,而是採用相同的加密演算法並只交換共享的專用密鑰。如果進行通信的貿易方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麼機密性和報文完整性就可以通過對稱加密方法加密機密信息和通過隨報文一起發送報文摘要或報文散列值來實現。對稱加密技術存在著在通信的貿易方之間確保密鑰安全交換的問題。此外,當某一貿易方有n個貿易關系,那麼他就要維護n個專用密鑰(即每把密鑰對應一貿易方)。對稱加密方式存在的另一個問題是無法鑒別貿易發起方或貿易最終方。因為貿易雙方共享同一把專用密鑰,貿易雙方的任何信息都是通過這把密鑰加密後傳送給對方的。
數據加密標准(DES)由美國國家標准局提出,是目前廣泛採用的對稱加密方式之一,主要應用於銀行業中的電子資金轉賬(EFT)領域。DES的密鑰長度為56位。三重DES是DES的一種變形。這種方法使用兩個獨立的56位密鑰對交換的信息(如EDI數據)進行3次加密,從而使其有效密鑰長度達到112位。RC2和RC4方法是RSA數據安全公司的對稱加密專利演算法。RC2和RC4不同於DES,它們採用可變密鑰長度的演算法。通過規定不同的密鑰長度,RC2和RC4能夠提高或降低安全的程度。一些電子郵件產品(如Lotus Notes和Apple的Open Collaboration Environment)已採用了這些演算法。
(2) 非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用於對機密性的加密,專用密鑰則用於對加密信息的解密。專用密鑰只能由生成密鑰對的貿易方掌握,公開密鑰可廣泛發布,但它只對應於生成該密鑰的貿易方。貿易方利用該方案實現機密信息交換的基本過程是:貿易方甲生成一對密鑰並將其中的一把作為公開密鑰向其他貿易方公開;得到該公開密鑰的貿易方乙使用該密鑰對機密信息進行加密後再發送給貿易方甲;貿易方甲再用自己保存的另一把專用密鑰對加密後的信息進行解密。貿易方甲只能用其專用密鑰解密由其公開密鑰加密後的任何信息。
RSA演算法是非對稱加密領域內最為著名的演算法,但是它存在的主要問題是演算法的運算速度較慢。因此,在實際的應用中通常不採用這一演算法對信息量大的信息(如大的EDI交易)進行加密。對於加密量大的應用,公開密鑰加密演算法通常用於對稱加密方法密鑰的加密。
4.2.3 密鑰管理技術
(1) 對稱密鑰管理
對稱加密是基於共同保守秘密來實現的。採用對稱加密技術的貿易雙方必須要保證採用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時還要設定防止密鑰泄密和更改密鑰的程序。這樣,對稱密鑰的管理和分發工作將變成一件潛在危險的和繁瑣的過程。通過公開密鑰加密技術實現對稱密鑰的管理使相應的管理變得簡單和更加安全,同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。
貿易方可以為每次交換的信息(如每次的EDI交換)生成唯一一把對稱密鑰並用公開密鑰對該密鑰進行加密,然後再將加密後的密鑰和用該密鑰加密的信息(如EDI交換)一起發送給相應的貿易方。由於對每次信息交換都對應生成了唯一一把密鑰,因此各貿易方就不再需要對密鑰進行維護和擔心密鑰的泄露或過期。這種方式的另一優點是即使泄露了一把密鑰也只將影響一筆交易,而不會影響到貿易雙方之間所有的交易關系。這種方式還提供了貿易夥伴間發布對稱密鑰的一種安全途徑。
(2) 公開密鑰管理/數字證書
貿易夥伴間可以使用數字證書(公開密鑰證書)來交換公開密鑰。國際電信聯盟(ITU)制定的標准X.509(即信息技術--開放系統互連--目錄:鑒別框架)對數字證書進行了定義該標准等同於國際標准化組織(ISO)與國際電工委員會(IEC)聯合發布的ISO/IEC
9594-8:195標准。數字證書通常包含有唯一標識證書所有者(即貿易方)的名稱、唯一標識證書發布者的名稱、證書所有者的公開密鑰、證書發布者的數字簽名、證書的有效期及證書的序列號等。證書發布者一般稱為證書管理機構(CA),它是貿易各方都信賴的機構。數字證書能夠起到標識貿易方的作用,是目前EC廣泛採用的技術之一。微軟公司的Internet Explorer 5.0和網景公司的Navigator 6.0都提供了數字證書的功能來作為身份鑒別的手段。
(3)密鑰管理相關的標准規范
目前國際有關的標准化機構都著手制定關於密鑰管理的技術標准規范。ISO與IEC下屬的信息技術委員會(JTC1)已起草了關於密鑰管理的國際標准規范。該規范主要由3部分組成:第1部分是密鑰管理框架;第2部分是採用對稱技術的機制;第3部分是採用非對稱技術的機制。該規范現已進入到國際標准草案表決階段,並將很快成為正式的國際標准。
4.2.4認證技術
(1)數字簽名
數字簽名是公開密鑰加密技術的另一類應用。它的主要方式是:報文的發送方從報文文本中生成一個128位的散列值(或報文摘要)。發送方用自己的專用密鑰對這個散列值進行加密來形成發送方的數字簽名。然後,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。
ISO/IEC JTC1已在起草有關的國際標准規范。該標準的初步題目是信息技術安全技術帶附件的數字簽名方案,它由概述和基於身份的機制兩部分構成。
普通的密鑰系統可能存在以下問題:
假冒:第三方C有可能假冒A給B發消息
㈤ 電子商務安全技術畢業論文
鍵盤論文網很多這方面的畢業論文
我之前也是找鍵盤論文的指導老師幫忙的,非常專業
㈥ (電子商務安全機制的構建分析)畢業論文大綱怎麼寫
電子商務安全機制的構建分析
摘要:
關鍵詞:電子商務 安全 安全機制
第一章 緒論
1.1 研究的背景和意義
1.2 研究思路和技術方法
第二章 電子商務安全概述
2.1電子商務基本概念
2.1.1 電子商務系統結構
2.1.2 電子商務應用系統
2.2 電子商務安全的現狀與趨勢
2.3 電子商務的安全需求
2.3.1 網頁的安全維護
2.3.2 電子商務中的安全支付
2.3.3 電子商務中知識產權的保護
2.4 電子商務的安全要素
2.4.1 可靠性
2.4.2 真實性
2.4.3 機密性
2.4.4 完整性
2.4.5 有效性
2.4.6 不可抵賴性
2.4.7 內部網的嚴密性
2.5 電子商務的安全體系
第三章 電子商務安全協議
3.1 安全協議概述
3.1.1 仲裁協議
3.1.2 裁決協議
3.1.3 自動執行協議
3.2 電子商務安全協議分類
3.3 電子商務基本密碼協議
3.3.1 密鑰安全協議
3.3.2 認證安全協議
3.3.3 認證的密鑰安全協議
3.4 國際通用電子商務安全協議
第四章 電子商務安全技術
4.1 加密技術
4.1.1 加密方法簡述
4.1.2 對稱密鑰加密與非對稱密鑰加密方法
4.1.3 公開密鑰加密方法
4.2 數字簽名技術
4.2.1 數字簽名的基本概念
4.2.2 數字簽名的實現方法
4.3 認證技術
4.3.1 認證中心(CA)
4.3.2 CP和CPS文件
4.3.3 數字證書
4.3.4 證書的發放
4.3.5 證書的撤消
第五章 電子商務安全認證體系
5.1 數字證書及證書授權(CA)中心
5.2 PKI安全體系
5.2.1 PKI概述
5.2.2 PKI的組成部分
5.2.3 PKI的功能
5.3 SET安全體系
5.3.1 SET概述
5.3.2 SET的組成部分
5.3.3 SET CA體系
5.3.4 SET的證書管理
結論:
㈦ 關於電子商務論文《電子商務的安全與管理》
電子商務的安全策略
摘要:
關鍵詞:
電子商務在功能上要求實現實時帳戶信息查詢。這就使電子商務系統必須在物理上與生產系統要有連接,這對於電子商務系統的安全性提出了更高的要求,必須保證外部網路(internet)用戶不能對生產系統構成威脅。為此,需要全方位地制定系統的安全策略。
就整個系統而言,安全性可以分為四個層次,如圖1所示
1.網路節點的安全
2.通訊的安全性
3.應用程序的安全性
4.用戶的認證管理
圖1:安全性四個層次結構
其中2、3、4層是通過操作系統和web伺服器軟體實現,網路節點的安全性依靠防火牆保證,我們應該首先保證網路節點的安全性。
一、網路節點的安全
1.防火牆
防火牆是在連接internet和intranet保證安全最為有效的方法,防火牆能夠有效地監視網路的通信信息,並記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的intranet系統。
2.防火牆安全策略
應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
3.安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網,則防火牆失效。所以,要保證防火牆發揮作用,必須保證操作系統的安全。只有在安全操作系統的基礎上,才能充分發揮防火牆的功能。在條件許可的情況下,應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1.數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全,一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於:
(1)客戶瀏覽器端與電子商務web伺服器端的通訊;
(2)電子商務web伺服器與電子商務資料庫伺服器的通訊;
(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。
2.安全鏈路
在客戶端瀏覽器和電子商務web伺服器之間採用ssl協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前採用的是瀏覽器預設的4o位加密強度,也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制,ssl首先要求伺服器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(ca中心)簽發。瀏覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(pki)。建立ssl鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立ssl鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(rsa)與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運 行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些問題。只有通過監視系統並尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1.身份認證
電子商務企業用戶身份認證可以通過伺服器ca證書與ic卡相結合實現的。ca證書用來認證伺服器的身份,ic卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用id號和密碼口令的身份確認機制。
2.ca證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是ca證書,它由認證授權中心(ca中心)發行。ca中心一般是社會公認的可靠組織,它對個人、組織進行審核後,為其發放數字證書,證書分為伺服器證書和個人證書。建立ssl安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立ssl鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。
五、安全管理
為了確保系統的安全性,除了採用上述技術手段外,還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員,按其職責設定其訪問系統的最小許可權。
按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法佔用、冒用合法用戶帳號和密碼。
建立網路安全維護日誌,記錄與安全性相關的信息及事件,有情況出現時便於跟蹤查詢。定期檢查日誌,以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份,且對資料庫中存放的數據,資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1oo%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。
㈧ 電子商務安全畢業論文
你可以去論文服務聯盟看看,我跟我同學就是在這里寫的,感覺還挺不錯的額,所以推薦你去看看,應該能幫你的!
㈨ 電子商務安全問題探討的論文
電子商務安全技術的分析與研究
[摘 要] 本文首先介紹了電子商務安全的現狀,分析了存在的主要問題,然後從網路安全技術、數據加密技術、用戶認證技術等方面介紹了主要的電子安全技術,並提出了一個合理的電子商務安全體系架構。
[關鍵詞] 電子商務電子支付 安全技術
一、引言
隨著網路技術和信息技術的飛速發展,電子商務得到了越來越廣泛的應用,越來越多的企業和個人用戶依賴於電子商務的快捷、高效。它的出現不僅為Internet的發展壯大提供了一個新的契機,也給商業界注入了巨大的能量。但電子商務是以計算機網路為基礎載體的,大量重要的身份信息、會計信息、交易信息都需要在網上進行傳遞,在這樣的情況下,安全性問題成為首要問題。
二、目前電子商務存在的安全性問題
1.網路協議安全性問題:目前,TCP/IP協議是應用最廣泛的網路協議,但由於TCP/IP本身的開放性特點,企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的,惡意攻擊者很容易對某個電子商務網站展開數據包攔截,甚至對數據包進行修改和假冒。
2.用戶信息安全性問題:目前最主要的電子商務形式是基於B/S(Browser/Server)結構的電子商務網站,用戶使用瀏覽器登錄網路進行交易,由於用戶在登錄時使用的可能是公共計算機,如網吧、辦公室的計算機等情況,那麼如果這些計算機中有惡意木馬程序或病毒,這些用戶的登錄信息如用戶名、口令可能會有丟失的危險。
3.電子商務網站的安全性問題:有些企業建立的電子商務網站本身在設計製作時就會有一些安全隱患,伺服器操作系統本身也會有漏洞,不法攻擊者如果進入電子商務網站,大量用戶信息及交易信息將被竊取,給企業和用戶造成難以估量的損失。
三、電子商務安全性要求
1.服務的有效性要求:電子商務系統應能防止服務失敗情況的發生,預防由於網路故障和病毒發作等因素產生的系統停止服務等情況,保證交易數據能准確快速的傳送。
2.交易信息的保密性要求:電子商務系統應對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。
3.數據完整性要求:數字完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業利益。
4.身份認證的要求:電子商務系統應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發生交易糾紛時提供法律依據。
四、電子商務安全技術措施
1.數據加密技術。對數據進行加密是電子商務系統最基本的信息安全防範措施.其原理是利用加密演算法將信息明文轉換成按一定加密規則生成的密文後進行傳輸,從而保證數據的保密性。使用數據加密技術可以解決信息本身的保密性要求。數據加密技術可分為對稱密鑰加密和非對稱密鑰加密。
(1)對稱密鑰加密(SecretKeyEncryption)。對稱密鑰加密也叫秘密/專用密鑰加密,即發送和接收數據的雙方必須使用相同的密鑰對明文進行加密和解密運算。它的優點是加密、解密速度快,適合於對大量數據進行加密,能夠保證數據的機密性和完整性;缺點是當用戶數量大時,分配和管理密鑰就相當困難。
(2)非對稱密鑰加密(PublicKeyEncryption)。非對稱密鑰加密也叫公開密鑰加密,它主要指每個人都有一對惟一對應的密鑰:公開密鑰(簡稱公鑰)和私人密鑰(簡稱私鑰)公鑰對外公開,私鑰由個人秘密保存,用其中一把密鑰來加密,就只能用另一把密鑰來解密。非對稱密鑰加密演算法的優點是易於分配和管理,缺點是演算法復雜,加密速度慢。
(3)復雜加密技術。由於上述兩種加密技術各有長短,目前比較普遍的做法是將兩種技術進行集成。例如信息發送方使用對稱密鑰對信息進行加密,生成的密文後再用接收方的公鑰加密對稱密鑰生成數字信封,然後將密文和數字信封同時發送給接收方,接收方按相反方向解密後得到明文。
2.數字簽名技術。數字簽名是通過特定密碼運算生成一系列符號及代碼組成電子密碼進行簽名,來代替書寫簽名或印章,對於這種電子式的簽名還可進行技術驗證,其驗證的准確度是一般手工簽名和圖章的驗證所無法比擬的。數字簽名技術可以保證信息傳送的完整性和不可抵賴性。
3.認證機構和數字證書。由於電子商務中的交易一般不會有使用者面對面進行,所以對交易雙方身份的認定是保障電子商務交易安全的前提。認證機構是一個公立可信的第三方,用以證實交易雙方的身份,數字證書是由認證機構簽名的包括公開密鑰擁有者身份信息以及公開密鑰的文件。在交易支付過程中,參與方必須利用認證中心簽發的數字證書來證明自己的身份。
4.使用安全電子交易協議(SET:Secure Electronic Transactions)。是由VISA 和MasterCard兩大信用卡組織指定的標准。SET用於劃分與界定電子商務活動中各方的權利義務關系,給定交易信息傳送流程標准。SET協議保證了電子商務系統的保密性、完整性、不可否認性和身份的合法性。
五、結束語
電子商務是國民經濟和社會信息化的重要組成部分,而安全性則是關系電子商務能否迅速發展的重要因素。電子商務的安全是一個復雜系統工程,僅從技術角度防範是遠遠不夠的,還必須完善電子商務方面的立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進電子商務又好又快地發展。
參考文獻:
[1]覃 征 李順東:電子商務概論[M].北京:高等教育出版社,2002.06.
[2]余小兵:淺談電子商務中的安全問題[J].科技咨詢導報,2007.02
[3]曾鳳生:電子商務安全需求及防護策略[J].資料庫及信息管理,2007.06
僅供參考,請自借鑒。
希望對您有幫助。