電子商務(wù)安全論文

　　隨著電子商務(wù)的發(fā)展，電子商務(wù)的安全性問(wèn)題越來(lái)越受到人們的關(guān)注。下文是學(xué)習(xí)啦小編為大家搜集整理的關(guān)于電子商務(wù)安全論文的內(nèi)容，歡迎大家閱讀參考!

　　電子商務(wù)安全論文篇1

　　淺談電子商務(wù)安全缺陷及策略

　　1引言

　　近年來(lái)隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)的不斷進(jìn)步，特別是得益于互聯(lián)網(wǎng)(Internet)的飛速發(fā)展，使得全球電子商務(wù)的發(fā)展呈現(xiàn)出持續(xù)高速增長(zhǎng)的趨勢(shì)。電子商務(wù)這種新的商務(wù)模式，從深層次上改變了全球的經(jīng)濟(jì)結(jié)構(gòu)和環(huán)境。根據(jù)美國(guó)研究機(jī)構(gòu)For-resterResearch報(bào)告顯示，全球電子商務(wù)交易額逐年攀升。截至2009年年底，全球電子商務(wù)交易額則達(dá)到161357億美元，同比增長(zhǎng)25%，2010年，全球電子商務(wù)交易額達(dá)到194697億美元，同比增長(zhǎng)20.7%。2009年，世界B2B電子商務(wù)交易額占電子商務(wù)總額的90%以上，B2C和C2C電子商務(wù)交易額共占到總交易額的10%以內(nèi)。另?yè)?jù)我國(guó)電子商務(wù)協(xié)會(huì)發(fā)布的報(bào)告稱，2011年全球電子商務(wù)市場(chǎng)規(guī)模將達(dá)到40.6萬(wàn)億美元。我國(guó)的電子商務(wù)隨著政策的大力支持和資金的不斷投入，得到了迅猛的發(fā)展。

　　中國(guó)電子商務(wù)研究中心最新數(shù)據(jù)顯示，截止到2010年12月，中國(guó)電子商務(wù)市場(chǎng)交易額已逾4.5萬(wàn)億，同比增長(zhǎng)22%。其中，B2B電子商務(wù)交易額達(dá)到3.8萬(wàn)億，同比增長(zhǎng)15.8%，網(wǎng)上零售市場(chǎng)交易規(guī)模達(dá)5131億元，同比增長(zhǎng)97.3%，較2009年近翻一番，約占全年社會(huì)商品零售總額的3%。電子商務(wù)把互聯(lián)網(wǎng)和零售業(yè)很好地融合起來(lái)，未來(lái)的發(fā)展前景十分廣闊。據(jù)波士頓咨詢集團(tuán)的最新報(bào)告顯示，中國(guó)電子商務(wù)市場(chǎng)規(guī)模到2015年有望達(dá)到2萬(wàn)億元人民幣(約合3150億美元)。就在我們看到電子商務(wù)不斷發(fā)展的后，又不得不著重考慮挑戰(zhàn)其安全性的諸多問(wèn)題，尤其是電子商務(wù)的數(shù)據(jù)處于公共互聯(lián)網(wǎng)之上，互聯(lián)網(wǎng)固有的開放性和系統(tǒng)的安全漏洞及安全體系建設(shè)的滯后等不利因素也對(duì)其構(gòu)成了嚴(yán)重的威脅。因此，信息安全和網(wǎng)絡(luò)安全就成為電子商務(wù)大力發(fā)展的關(guān)鍵所在，也是必須考慮的核心問(wèn)題。

　　2電子商務(wù)的安全問(wèn)題

　　從電子商務(wù)交易的計(jì)算機(jī)終端到服務(wù)器的整個(gè)數(shù)據(jù)鏈路上，時(shí)時(shí)刻刻都存在著各種安全威脅，主要表現(xiàn)在以下幾個(gè)方面:

　　(1)用戶終端的系統(tǒng)漏洞及計(jì)算機(jī)病毒等惡意程序的攻擊用戶終端的計(jì)算機(jī)沒有及時(shí)安裝系統(tǒng)和軟件的漏洞、補(bǔ)丁，就可能存在著極大的安全隱患，攻擊者就可以利用這些已知和未知的缺陷發(fā)動(dòng)攻擊，加上木馬、蠕蟲等計(jì)算機(jī)病毒和惡意程序的攻擊，以及用戶缺乏計(jì)算機(jī)和網(wǎng)絡(luò)安全知識(shí)，使得計(jì)算機(jī)終端用戶的安全性處于最薄弱的環(huán)節(jié)。

　　(2)惡意破壞網(wǎng)絡(luò)設(shè)備和服務(wù)器攻擊者對(duì)提供交易服務(wù)的服務(wù)器發(fā)動(dòng)攻擊，如DDOS攻擊就很難防范，致使交易停止，長(zhǎng)時(shí)間難以正常運(yùn)行?；蛘呃梅?wù)器的漏洞和軟件程序的缺陷進(jìn)行攻擊，獲取服務(wù)器的口令，盜取用戶的機(jī)密資料，使用戶蒙受損失。攻擊者對(duì)整個(gè)電子交易數(shù)據(jù)的網(wǎng)絡(luò)硬件和軟件進(jìn)行惡意非法攻擊，導(dǎo)致服務(wù)中斷、停止，使用戶不能正常交易。

　　(3)網(wǎng)絡(luò)數(shù)據(jù)在傳輸過(guò)程中被竊取攻擊者通過(guò)各種非正常手段(竊聽、重放、流量分析等)，在互聯(lián)網(wǎng)上截獲用戶的機(jī)密信息，加以分析得到有用數(shù)據(jù)信息，導(dǎo)致用戶產(chǎn)生不可估量的損失，也破壞了網(wǎng)絡(luò)數(shù)據(jù)的保密安全性。

　　(4)惡意篡改合法用戶的網(wǎng)絡(luò)數(shù)據(jù)攻擊者截獲到用戶的有用信息以后，會(huì)對(duì)數(shù)據(jù)進(jìn)行惡意篡改，惡意破壞信息數(shù)據(jù)的完整性。

　　(5)盜用合法用戶身份進(jìn)行非法交易攻擊者仿冒合法用戶的身份后，與第三方進(jìn)行正常交易，使合法用戶產(chǎn)生損失。這種利用假冒身份認(rèn)證的非法手段，直接導(dǎo)致電子商務(wù)的不可靠性。

　　(6)電子商務(wù)的法律和道德問(wèn)題用戶一旦進(jìn)行了交易后，就應(yīng)該具有法律保障效應(yīng)，即具不可否認(rèn)性，但也存在著非法假冒和惡意否認(rèn)身份的問(wèn)題，缺乏誠(chéng)信導(dǎo)致商業(yè)欺詐的行為。

　　3電子商務(wù)交易的技術(shù)和安全性分析

　　3.1電子商務(wù)中使用的關(guān)鍵安全技術(shù)

　　(1)數(shù)據(jù)加密數(shù)據(jù)加密技術(shù)是電子商務(wù)領(lǐng)域所采用的關(guān)鍵安全技術(shù)，也是主要的安全防御技術(shù)。

　　數(shù)據(jù)加密技術(shù)原理是采用加密(數(shù)學(xué))算法對(duì)原始信息(明文)進(jìn)行再整合，使得攻擊者接收到加密數(shù)據(jù)(密文)以后變成無(wú)意義的內(nèi)容，從而在整體數(shù)據(jù)傳輸鏈上，保證了數(shù)據(jù)的高保密性和完整性。完整的一條信息傳遞過(guò)程如圖1所示。圖1數(shù)據(jù)加、解密傳遞過(guò)程按照加密密鑰和解密密鑰是否相同，可將數(shù)據(jù)加密技術(shù)分為兩種:對(duì)稱加密和非對(duì)稱加密。對(duì)稱加密對(duì)稱加密又稱為專用密鑰加密，就是雙方協(xié)商使用相同的密鑰(Key)來(lái)完成加密、解密過(guò)程，并且密鑰是保密的。在這種加密算法中，所采用的加密算法等于解密算法，因此密鑰的安全管理就顯得特別重要，成為安全與否的核心因素。對(duì)稱加密的特點(diǎn)是具有高保密性，加、解密速度快，效率高，因此適用于數(shù)據(jù)量比較大的加密操作。

　　常見的對(duì)稱加密算法主要有DES[1]、3DES、IDEA、RC4、RC5和Blowfish等。對(duì)稱加密主要有如下安全問(wèn)題:①在網(wǎng)絡(luò)中建立通道傳輸數(shù)據(jù)過(guò)程中，可能導(dǎo)致密鑰泄露，讓攻擊者有機(jī)可趁。②電子商務(wù)交易存在著多個(gè)交易對(duì)，每確立一對(duì)交易對(duì)關(guān)系，就要維護(hù)一個(gè)專用密鑰，給密鑰的安全管理和維護(hù)帶來(lái)極大的難度。③難以對(duì)交易雙方的身份進(jìn)行準(zhǔn)確識(shí)別，因此缺乏數(shù)字實(shí)名驗(yàn)證的可行性。非對(duì)稱加密非對(duì)稱加密又稱為公開密鑰加密。在這種加密算法中密鑰被分成一對(duì)，即一把公鑰和一把私鑰，公鑰不需要保密可以公開，私鑰必須嚴(yán)格保密，且加密密鑰和解密密鑰并不相同。這種加密算法順利地解決了密鑰的管理和維護(hù)及數(shù)字實(shí)名驗(yàn)證的問(wèn)題，安全性大大優(yōu)于對(duì)稱加密，是現(xiàn)在普遍采用的加密技術(shù)。非對(duì)稱加密的特點(diǎn)是高安全性和保密性，密鑰安全管理和維護(hù)量小，可以實(shí)現(xiàn)數(shù)字實(shí)名驗(yàn)證。問(wèn)題是這種加密算法過(guò)于復(fù)雜，計(jì)算量太大，導(dǎo)致加、解密的速度不是很理想。普遍采用的非對(duì)稱加密算法主要有RSA、ELGamma、橢圓曲線加密算法等。

　　(2)數(shù)字簽名數(shù)字簽名技術(shù)[2]是基于非對(duì)稱加密技術(shù)而產(chǎn)生的，具有數(shù)字認(rèn)證、身份核查的功能。

　　數(shù)字簽名技術(shù)具有以下的特點(diǎn)。①發(fā)送方事后不可抵賴發(fā)送的包含自己簽名的報(bào)文。②接收方能對(duì)發(fā)送方簽名的身份予以核查。③接收方不能篡改發(fā)送方的報(bào)文。④接收方不能偽造發(fā)送方的數(shù)字簽名。數(shù)字簽名技術(shù)的實(shí)現(xiàn)過(guò)程為:發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要)，并用自己的私鑰對(duì)這個(gè)散列值進(jìn)行加密，形成發(fā)送方的數(shù)字簽名;然后，這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方;報(bào)文接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值(或報(bào)文摘要)，接著再用發(fā)送方的公開密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的[3]。

　　(3)數(shù)字證書數(shù)字證書是由認(rèn)證中心(CA，CertificateAuthori-ty)[4]簽發(fā)的，用以確認(rèn)用戶身份信息并獲取訪問(wèn)網(wǎng)絡(luò)資源的權(quán)限。數(shù)字證書是現(xiàn)在電子商務(wù)交易普遍采用的技術(shù)之一，普遍遵守X.509國(guó)際通用標(biāo)準(zhǔn)，一般含有證書持有人的名稱、公鑰信息、數(shù)字簽名、CA機(jī)構(gòu)的名稱、數(shù)字簽名、證書的序列號(hào)和有效期、版本信息等。CA是發(fā)放和管理數(shù)字證書的第三方可信任機(jī)構(gòu)，具有權(quán)威性。交易雙方使用數(shù)字證書來(lái)進(jìn)行商務(wù)活動(dòng)。

　　(4)數(shù)字時(shí)間戳數(shù)字時(shí)間戳[5]是系統(tǒng)自動(dòng)生成的，用來(lái)確認(rèn)電子商務(wù)交易發(fā)生的日期和時(shí)間，防止惡意篡改交易數(shù)據(jù)的一種有效的手段。它由專業(yè)的第三方認(rèn)證機(jī)構(gòu)形成，采用加密形式的文件。數(shù)字時(shí)間戳服務(wù)(DTS，DigitalTimeStampService)是一種專門提供電子交易文件的日期和時(shí)間服務(wù)。具體過(guò)程為:需要數(shù)字時(shí)間戳的申請(qǐng)者向DTS發(fā)送請(qǐng)求(含加戳數(shù)據(jù)的散列值)，DTS收到文件后從自己的時(shí)間源中獲取一個(gè)時(shí)間值，把時(shí)間值加入到含數(shù)據(jù)散列值的文件中，并對(duì)數(shù)據(jù)文件進(jìn)行加密(用時(shí)間的私鑰進(jìn)行數(shù)字簽名)，最后發(fā)送給申請(qǐng)者。

　　3.2電子商務(wù)的安全層次結(jié)構(gòu)

　　電子商務(wù)的安全層次結(jié)構(gòu)如圖2所示。各層次之間并非相互獨(dú)立，而是由層次安全構(gòu)成了電子商務(wù)的整體高安全性。

　　(1)電子商務(wù)的安全認(rèn)證在電子商務(wù)交易中，認(rèn)證是交易安全中很重要的步驟，即實(shí)現(xiàn)對(duì)用戶身份唯一性和數(shù)據(jù)報(bào)文完整性的雙重認(rèn)證。在公鑰基礎(chǔ)設(shè)施(PKI，PublicKeyInfrastructure)中，由CA驗(yàn)證申請(qǐng)者的身份及發(fā)放可證明申請(qǐng)者身份的數(shù)字證書，建立用戶和商家的信任關(guān)系，并驗(yàn)證交易數(shù)據(jù)報(bào)文的完整性，從而安全完成電子商務(wù)交易。

　　(2)電子商務(wù)的安全協(xié)議目前，典型的電子商務(wù)安全協(xié)議有SSL和SET[6]。

　　安全套接層(SSL，SecuritySocketLayer)協(xié)議是美國(guó)網(wǎng)景公司開發(fā)，用于提供互聯(lián)網(wǎng)安全通信服務(wù)的協(xié)議，使得傳輸?shù)臄?shù)據(jù)報(bào)文保密性更強(qiáng)。SSL協(xié)議存在著一些安全問(wèn)題(客戶和商家的資料安全性不高，缺乏可信任的第三方身份認(rèn)證機(jī)構(gòu)，證書不能自動(dòng)及時(shí)更新等)。相對(duì)SSL來(lái)說(shuō)，SET(Se-curityElectronicTransaction，安全電子交易系統(tǒng))更安全、更可靠、更可信。SET協(xié)議由Visa和Master-Card等公司聯(lián)合開發(fā)的，在互聯(lián)網(wǎng)上實(shí)現(xiàn)安全電子交易的國(guó)際標(biāo)準(zhǔn)和協(xié)議。SET協(xié)議解決了在公共互聯(lián)網(wǎng)上信用卡支付的安全性問(wèn)題，滿足持卡人、商家、銀行、認(rèn)證機(jī)構(gòu)等多方電子支付安全需求。

　　筆者重點(diǎn)分析了SET協(xié)議的安全性，SET協(xié)議的安全性有以下幾點(diǎn):

　?、贁?shù)據(jù)報(bào)文和個(gè)人信息的保密性由于電子交易的數(shù)據(jù)都在公共互聯(lián)網(wǎng)上傳輸，所以SET協(xié)議對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行了加密(如DES)處理，防止交易數(shù)據(jù)和個(gè)人信息被竊取或篡改，造成經(jīng)濟(jì)損失。

　?、跀?shù)據(jù)報(bào)文的完整性SET協(xié)議采用數(shù)字簽名技術(shù)來(lái)確保數(shù)據(jù)報(bào)文的完整性。使用安全Hash(SHA-1)算法實(shí)現(xiàn)數(shù)字簽名算法，SHA-1可將一個(gè)任意長(zhǎng)度(最大264bits)的消息，生成一個(gè)160位的消息摘要。由此得知，發(fā)生消息摘要相同的概率相當(dāng)?shù)汀，F(xiàn)在還采用雙重簽名技術(shù)來(lái)保護(hù)數(shù)據(jù)報(bào)文的真實(shí)性和完整性，用戶一次簽名同時(shí)生成兩個(gè)數(shù)字簽名消息，達(dá)到雙重簽名的效果。一個(gè)雙重簽名是通過(guò)計(jì)算兩個(gè)消息的消息摘要產(chǎn)生的，并將兩個(gè)摘要連接在一起形成一個(gè)總摘要，并用用戶的私鑰加密摘要。每個(gè)消息的接收者取出自己的消息，重新生成消息摘要來(lái)驗(yàn)證消息。

　　③采用數(shù)字信封技術(shù)保證數(shù)據(jù)不被竊取為保證電子商務(wù)交易數(shù)據(jù)傳輸?shù)母甙踩?，密鑰應(yīng)定期及時(shí)更換，SET協(xié)議使用數(shù)字信封技術(shù)來(lái)及時(shí)更換密鑰。經(jīng)常更換密鑰的機(jī)制保證電子交易數(shù)據(jù)不會(huì)被竊取。

　?、艹挚ㄈ撕蜕碳业南嗷ド矸蒡?yàn)證在SET協(xié)議中采用PKI體系，CA負(fù)責(zé)管理和發(fā)放證書。SET協(xié)議中，CA起著非常重要的作用，SET協(xié)議通過(guò)數(shù)字證書來(lái)鑒別交易雙方的真實(shí)身份，并建立起可信任關(guān)系，為順利完成電子交易打下基礎(chǔ)。SET體系中用戶擁有一對(duì)簽名密鑰(持卡人保管)和一對(duì)加密密鑰(CA托管)，它們都擁有自己的數(shù)字證書。SET協(xié)議采用數(shù)據(jù)加密、數(shù)字簽名、數(shù)字信封等安全技術(shù)，而且支持對(duì)交易雙方的相互身份驗(yàn)證，從而能夠保證網(wǎng)絡(luò)交易數(shù)據(jù)的真實(shí)性、保密性、完整性、不可抵賴性。另外還對(duì)交易雙方的私人信息進(jìn)行保密，使得SET協(xié)議具有高安全性。

　　4電子商務(wù)的安全對(duì)策研究

　　(1)加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，構(gòu)建高安全的電子交易環(huán)境在電子商務(wù)交易的整個(gè)過(guò)程中，都離不開網(wǎng)絡(luò)安全，特別是內(nèi)部網(wǎng)絡(luò)的安全。采用防火墻隔離內(nèi)、外網(wǎng)，構(gòu)筑起安全的屏障;采用代理技術(shù)來(lái)形成緩沖，采用前置服務(wù)器來(lái)承擔(dān)交易風(fēng)險(xiǎn);采用訪問(wèn)控制技術(shù)來(lái)限制非法用戶的訪問(wèn)，并設(shè)置不同用戶的訪問(wèn)權(quán)限;采用[7]、IPSEC體系等安全虛擬專用網(wǎng)絡(luò)進(jìn)行電子交易;采用EDI、電子支付和XML等相關(guān)技術(shù)提高安全性;采用入侵檢測(cè)技術(shù)并通過(guò)安全策略來(lái)防范外網(wǎng)威脅;改進(jìn)并完善網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)協(xié)議，提高抗攻擊的能力。

　　(2)采用高安全加密算法和新安全體系結(jié)構(gòu)采用橢圓曲線、混合加密等高安全加密算法，發(fā)揮不同加密算法的長(zhǎng)處，進(jìn)一步提高數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸?shù)陌踩裕ＷC交易數(shù)據(jù)報(bào)文和個(gè)人信息不被泄密。安全體系結(jié)構(gòu)決定了電子商務(wù)交易的安全性，在現(xiàn)有的安全體系結(jié)構(gòu)基礎(chǔ)上進(jìn)行改進(jìn)和完善，或者設(shè)計(jì)新安全體系架構(gòu)，能夠應(yīng)對(duì)電子交易的新安全威脅。

　　(3)加強(qiáng)安全制度管理，用法律手段來(lái)保障電子交易的安全通過(guò)制訂和實(shí)施安全管理制度，加強(qiáng)從業(yè)人員的安全防范和風(fēng)險(xiǎn)意識(shí)，避免不必要的經(jīng)濟(jì)損失。健全和完善電子商務(wù)交易的法律體系，目前各部、委、辦頒布并實(shí)施了相應(yīng)的法律法規(guī)，約束和規(guī)范電子交易的行為，構(gòu)建起一個(gè)健康、安全的電子交易環(huán)境。

　　5結(jié)束語(yǔ)

　　通過(guò)上面的分析，筆者意識(shí)到以下幾點(diǎn):

　　(1)電子商務(wù)交易安全架構(gòu)是一個(gè)復(fù)雜的系統(tǒng)性工程，并非僅靠技術(shù)和協(xié)議的簡(jiǎn)單組合就能完成的，而是一個(gè)由技術(shù)系統(tǒng)(網(wǎng)絡(luò)和通信技術(shù)、加密技術(shù)、認(rèn)證技術(shù)和協(xié)議等)、法律法規(guī)體系、管理制度、從業(yè)人員的安全防范和風(fēng)險(xiǎn)意識(shí)等因素構(gòu)成，所以必須站在整個(gè)系統(tǒng)安全的高度去思考和分析安全問(wèn)題，全方位地構(gòu)筑起電子交易的安全屏障，切實(shí)防范安全風(fēng)險(xiǎn)和威脅。

　　(2)通過(guò)對(duì)電子商務(wù)交易的層次化分析，使我們深入了解電子交易的安全性，所以我們?cè)诜治鲭娮由虅?wù)的安全問(wèn)題時(shí)，應(yīng)該把安全問(wèn)題分層化處理，有針對(duì)性解決安全問(wèn)題。

　　(3)電子商務(wù)安全新問(wèn)題會(huì)不斷出現(xiàn)，新安全技術(shù)體系也處于發(fā)展之中，這對(duì)矛盾關(guān)系永遠(yuǎn)沒有盡頭，處于長(zhǎng)期對(duì)立的狀態(tài)。特別是當(dāng)前電子商務(wù)交易呈現(xiàn)繁榮景象，安全問(wèn)題更值得深入探討與研究。

　　>>>下頁(yè)帶來(lái)更多的電子商務(wù)安全論文