电子商务的安全体系结构及安全技术研究
电子商务安全61871
![电子商务安全61871](https://img.taocdn.com/s3/m/a21233d1c8d376eeaeaa3151.png)
随着社会信息化步伐的加快,利用计算机技术、网络通信技术和英特网实现商务活动的国际化、信息化和无纸化,已成为全球商务发展的趋势。
电子商务以英特网为基础,可以提供跨国、多种语言、多种货币的在线服务(包括银行、保险、旅游、购物),还可以提供包括产品寻求、讨价还价、作出决定、支付、送货及解决纠纷等全面的商业交易服务。
特别是信息产品还可以直接在线递送,从而大大降低了交易费用。
成本低、及时性和互通性好,以及在拓展市场等方面的优势,使得电子商务受到全球的广泛关注。
据统计,1997年美国企业间通过电子商务的交易额已达80亿美元,估计到2000年在英特网上,公司对公司的交易额将增长到1340亿美元,消费者购物将增长到100亿美元,到2001年电子商务的交易额将达到3270亿美元,其增长速度惊人地高达4000%。
在我国,电子商务的发展速度也较快,深圳CHINAEDI是统一规划和建设的庞大的公用电子商务系统,在北京、上海、天津、广州、深圳、青岛、沈阳、南京、杭州、西安、武汉、海口、郑州13个城市也都建了CHINAEDI的节点,系统服务覆盖全国各地,并且与国际EDI网络相连接。
网上银行也正在开通之中。
电子商务不仅提供了进行商务活动的新方式,而且从更深的层面来看,由于通过它形成了与地域、空间无关的一体化市场,因而正在改变着全球的经济环境。
但是,当今电子商务在全球贸易额中仍是极小的一部分。
比如,1997年美国的整个贸易交易额为25200亿美元,所以80亿美元的电子商务显得微不足道,即使是2001年的电子商务估计贸易额3270亿美元也不到1997年美国两个月的贸易交易额。
这是什么原因呢?也许人们会将这一事实归因于全球网络化水平较低,但这只是部分原因。
从网络化水平相当高的美国来看,事实上仍有大多数网络化水平很高的公司并未使用电子商务这种新的商业方式。
人们不禁要问,是什么因素阻碍了电子商务更广泛的普及呢?为此,不少调查机构进行了广泛的调查。
电子商务安全技术
![电子商务安全技术](https://img.taocdn.com/s3/m/2214c7b665ce05087632136a.png)
甲方
乙方
数字签名
采用数字签名,应该确定以下两点:
保证信息是由签名者自己签名发送的,签名者 不能否认或难以否认。 保证信息自签发后到收到止未作任何改动,签 发的文件是真实文件。
数字签名:是通过电子设备, 数字签名:是通过电子设备 , 利用用密 码算法对数据进行加、 码算法对数据进行加 、 解密交换实现认 证的方法。 证的方法。 数字签名的实现:
客户证书,商家证书,网关证书及CA系统证书
认证中心( 认证中心(Certificate Authority)
密钥的管理及传递,认证权威 认证中心(CA)的相关问题 认证中心(CA)的相关问题
– – – – 证书请求及发放过程 证书验证过程 证书的撤销及更新 层次认证,信任链
身份认证
功能: 可信性 完整性 不可抵赖性 访问控制
交易安全技术 安全应用协议SET、SSL 安全认证技术 数字签名CA体系 基本加密算法 安 全 管 理 体 系 网络安全技术 网络设备 病毒防范 身份识别技术 防火墙
安全法律法规
电子商务安全技术— 电子商务安全技术—数据加密技术
数据加密技术从技术上的实现分为在软件和 硬件两方面。按作用不同, 硬件两方面。按作用不同,数据加密技术主要分 为数据传输、数据存储、 为数据传输、数据存储、数据完整性的鉴别以及 密钥管理技术这四种。 密钥管理技术这四种。 在网络应用中一般采取两种加密形式: 在网络应用中一般采取两种加密形式:对称 密钥和公开密钥, 密钥和公开密钥,采用何处加密算法则要结合具 体应用环境和系统, 体应用环境和系统,而不能简单地根据其加密强 度来作出判断。 度来作出判断。
电子商务安全技术-电子商务安全技术--安全需求
8.网络和数据的安全性:电子商务系统应 网络和数据的安全性: 网络和数据的安全性 能提供网络和数据的安全, 能提供网络和数据的安全 , 保护硬件资 源不被非法占有, 源不被非法占有 , 软件资源免受病毒的 侵害。 侵害。
电子商务安全体系结构
![电子商务安全体系结构](https://img.taocdn.com/s3/m/3a0881393968011ca3009140.png)
电子商务安全体系结构浅析摘要:科技进步,网络的不断发展,为了适应人们快节奏的生活,电子商务越来越流行,随之而来的安全问题越来越突出。
该文对电子商务体系结构中各层的安全进行了分析,并对电子商务的发展谈了自己的看法。
关键词:电子商务;安全;加密技术;加密算法中图分类号:tp391 文献标识码:a 文章编号:1009-3044(2013)07-1715-03随着信息化的不断加深,曾经只是假想的互联网时代真的到来了。
越来越多的年轻人将购物、聊天等一系列的活动在网上进行,这就使得一个新兴产业诞生了——电子商务。
到目前为止对于电子商务仍不能做一个统一化的定义。
概念没有明确但相关的问题很明确,即如何保证安全的使用。
为使电子商务更好的为人类服务,安全则是先决条件。
加强对安全问题的研究与分析,对电子商务的不断发展具有极其重大的意义。
1 电子商务安全性分析开放的网络为电子商务的发展提供了平台,使得交易双方不需要见面,而是在网上完成相关活动。
因此交易双方都要面临一些来自外界的威胁。
存在的安全隐患大致有这么几种:硬件安全、系统安全、交易通信安全、信息传输安全等。
为了尽可能减小安全带来的破坏,电子商务采用如图所示的安全体系结构,尽可能保证交易双方的买卖利益。
如今电子商务体系结构[4]大致如图1所示:2 各层的安全技术与传统的交易模式相比,作为一种新兴的交易模式,要准确无误的在网上完成一系列的活动必须有可靠的安全技术加以保障,那么下面对各层使用的安全手段进行简要分析。
2.1 网络层首先我们来看最基本的网络层,无法见面的交易双方要达成各自的目的,他们就只能依靠网络,网络层采用的tcp/ip协议本身没有考虑安全问题。
目前,网络安全技术主要有:防火墙技术、vpn 技术、实时反病毒技术、入侵检测系统等。
2.1.1 防火墙技术internet的目的就是资源共享,用户在上网时得到资源的同时,不可避免的存在安全问题,用户在使用计算机是无意中会泄漏一些个人隐私,而非法用户想利用网络截取个人隐私,防火墙就是用来阻止类似的截取行为。
电子商务安全体系结构
![电子商务安全体系结构](https://img.taocdn.com/s3/m/5979bb782af90242a895e5c8.png)
安全体系结构(一)安全体系结构图如图3所示,电子商务安全体系由四层组成,由下至上分别是:安全协议层、安全认证层、加密技术层、网络安全层。
图3 电子商务网站安全体系结构(二)安全体系分层整个电子商务网站安全体系由下至上分为四层:安全协议层、安全认证层、加密技术层、网络安全层。
这四个安全层包含了从安全交易协议到入侵攻击预防的整个防御及安全策略体系。
下面就来看一下每一层分别有哪些作用。
(1)网络安全层网络安全层包含了防御攻击的VPN技术、漏洞扫描技术、入侵检测技术、反病毒技术、防火墙技术、安全审计技术等,通过一系列的技术防御保证网络被访问时的安全,防止漏洞被攻击、网络被入侵。
(2)加密技术层加密技术主要保障信息在传输过程中的安全性,防止信息在传输过程中被窃取或篡改。
加密技术一般分为对称加密技术与非对称加密技术。
(3)安全认证层安全认证层涉及到数字签名、数字时间、数字信封、信息摘要、数字凭证、认证机构等。
安全认证层可以验证交易双方数据的完整性、真实性及有效性。
(4)安全协议层安全协议层置于电子商务安全体系的最下层,也是电子交易中非常关键的一个部分,通过协议层完成交易。
一般电子商务中使用的安全协议有SSL协议和SET协议。
访问控制技术访问控制是指对网络中的某些资源的访问要进行控制,只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和非法访问。
常用的访问控制技术有:入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等。
数字认证技术数字认证也称数字签名,即用电子方式来证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。
数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。
这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用HASH函数将一段长的报文通过函数变换,转换为一段定长的报文。
电子商务平台的安全体系研究
![电子商务平台的安全体系研究](https://img.taocdn.com/s3/m/ed630024453610661ed9f449.png)
3 12非对 称加 密 ..
然而 笔者 认为 ,要 构建 一 个安全 的 电
施层 是构 建 安全 商务 平 台的底 层 技术 , 全 问题 ( 系统 漏 洞 等 ) 数据 库 系 如 子商 务 系统是 一个 系统 、复杂 的工程 , 包括 操 作 系统和 数据 库 系统 的本 身安 统 的设 计 是 否 安 全 ( 据 的 安 全性 数
Ab ta t Th pp r rsns h tre a es euiy rht cue f l to i o mec p to m n dsuss h man a ey e hoo is o sr c : i a e pe et te he -ly r scrt ac i tr o ee r nc m re l f r a d i se te s e c c a c i s ft tc nlge f r
图 1 电子 商 务安 全体 系 的三 层 结 构
该体系结构总体上分为基础设施、 2基础设施层
安全 技 术和 法规 管理 3大 层 。其 中各 2
.
1 基础层
该层 应考 虑 到操 作 系统本 身 的安
、
采用 各种 技术 来保 障 以上 的安全 因素 。 层 又 细 分 为 2 3小 层 。 底 层 基 础 设 -
e c ly r ah a e.
Ke wors: lcrnc o e c ; E cy to tcnq e ; Dgt l in t r y d Ee toi c mm re n r pin eh i s u ii s a ue a g
电子 商务 是指 交 易当 事人 或参 与 人 利用 计算 机和 网络 技 术 ( 要 是互 主
|
;
.
_ 。~ _ l :
当前电子商务安全技术的研究及发展趋势
![当前电子商务安全技术的研究及发展趋势](https://img.taocdn.com/s3/m/d27d5bbce518964bce847c95.png)
当前电子商务安全技术的研究及发展趋势所谓电子商务具体指的是以商务为核心,以电子以及电子技术为主要手段,将以往传统的购物渠道、销售渠道转移至互联网,切实的打破地区和国家无形或者有形的壁垒。
以此使生产企业实现一体化、全球化、个性化、网络化。
与过去的商务活动方式相比,电子商务具备着透明化、成本低以及效率高等诸多优势,因而受到了很多商务人士的认可及青睐。
然而,电子商务安全问题则对电子商务的有序发展带来了极大制约。
本文简要研究了电子商务安全技术,并且分析了电子商务安全技术的发展趋势。
标签:电子商务安全技术发展趋势近些年以来,由于电子商务行业的迅猛发展和普及,使得电子商务安全问题逐渐显现出来。
事实上,电子商务师在相对开放的互联网平台上建立起来的,对于大陆的机密信息,例如:报价、支付以及方案等均在网络中传输、存储及处理,这便对电子商务的安全性有了越来越高的要求。
所以,电子商务安全性已是确保电子商务可持续发展的一个关键问题。
所以,我们需要进一步强化对电子商务安全技术的深入分析,希望可以对未来电子商务发展产生一些积极影响。
一、目前电子商务发生出现的诸多安全问题1.用户信息安全性问题。
现阶段,基于B/S结构的电子商务站是电子商务最主要的形式,用户通过浏览器登录网络加以交易。
因用户在登录的过程当中,有可能使用的是公共计算机,而这些计算机中如果有病毒亦或是恶意木马程序存在,那么口令、用户名等用户登录信息就会面临丢失的危险。
2.网络协议安全性问题。
应用最为广泛的一种网络协议就是TCP/IP,但是因为TCP/IP自身就具备着相对较强的开放性,而用户及企业在进行电子交易中的数据往往是采用数据包的方式予以发送的,这便极易使得恶意攻击展开数据包拦截对某个电子商务网站,甚至假冒或者修改数据包。
3.电子商务网站的安全性问题。
对于一些企业自行构建的电子商务网站,在制作及设计的过程中便会有一些安全隐患存在,并且服务器操作系统自身也存在漏洞,如果不法攻击者侵入电子商务网站,就会使得相当一部分的交易信息与用户信息被窃取。
电子商务及安全性研究
![电子商务及安全性研究](https://img.taocdn.com/s3/m/413cd3dd33d4b14e852468c6.png)
电子商务及安全性研究摘要:当前电子商务发展空前繁荣,互联网进行交易己成潮流。
它很大程度地改变了商务模式,推动了经济结构的变革。
计算机网络的信息交换是通过这个庞大的市场是来实现交易的,大量的经济信息和资金在网上传送,划拨流动,那么就要求网上信息具有绝对的保密性和高度的可靠性,因此,成功发展电子商务的一个关键性因素就是要有足够高的信息安全性。
关键词:电子商务安全性研究1 电子商务网络安全现状电子商务的安全控制体系结构是确保电子商务中数据安全的一个完整的逻辑结构。
网络服务层、加密技术层、安全认证层、女全协议层、应用系统组成了电子商务安全体系。
网络层是最底层,应用系统是最高层。
其中下层是上层的基础,并且为上层提供技术支持;而上层是下层的递进与扩展。
各层次之间互相依赖、互相关联构成统一整体。
各层之间通过控制技术的递进,来实现电子商务系统的安全。
2 加密技术电子商务的最基本安全是措施加密技术。
在当前技术条件下,加密技术分为对称加密和非对称加密两类。
2.1 对称密钥加密(Private Key)对称密钥加密算法是采用相同的加密算法,交换共享的专用密钥(加密和解密都使用相同的密钥)。
对进行通信的交易各方要保证专用密钥在密钥交换阶段不发生泄露,那么就可以通过对称加密方法加密机密信息,把随报文发送报文摘要和报文散列值,以确保报文的机密性和完整性。
关系到对称加密有效性的核心环节是密钥安全交换。
2.2 非对称密钥加密(Public Key)非对称加密的密钥被由公开密钥和私有密钥组成。
密钥生成以后,公开密钥对外以非保密方式公开而对于生成该密钥的发布者一,私有密钥需要保存在密钥发布者手里。
3 安全认证技术现在只有加密技术不能保证电子商务中的交易安全,保证电子商务安全的又一重要技术手段是身份认证。
认证的实现包括数字签名技术、智能卡技术、和数字证书技术等。
现在数字凭证有软件凭证、个人凭证、企业凭证,其中后面两类比较常用。
除前面提到的各种安全控制技术之外,运行电子商务还需要一套完整的安全协议。
电子商务及安全性研究
![电子商务及安全性研究](https://img.taocdn.com/s3/m/83cc8c087cd184254b3535e7.png)
2加密技术
电 子 商 务 的 最 基 本 安 全 是 措 施 加 密技 术 。 当 前 技术 条件 下 , 密 技 术 分 为对 称 在 加 加密和 非对称加密两类 。 2 1 称密 钥加密 (r ae K y .对 Pi t e ) v 对称 密 钥 加 密 算 法 是 采 用 相 同 的加 密 算法 , 交换 共享 的专用 密 钥( 加密 和解 密都 使 用相 同的密 钥)对 进行 通信 的交 易各 方 要保 。 证 专 用密 钥 在密 钥交 换 阶 段不 发生 泄 露 , 那 么 就可 以 通过 对称 加 密 方 法加 密机 密 信 息 , 把随 报 文 发送 报 文摘 要 和报 文 散列 值 , 以确 保 报 文的 机 密性 和完 整 性 。 系 到对 称加 密 关 有 效 性的 核 心 环节 是 密 钥安 全 交 换 。 2 2 对称 密钥 加密 (ul K y .非 Pbc e) i 非对称 加 密的密 钥被 由 公开 密钥和 私 有 密钥 组成 。 钥生成 以后 , 密 公开 密钥对 外 以非 保 密 方 式 公 开 而 对 于生 成 该 密钥 的 发 布 者 私 有 密 钥需 要 保存 在 密钥 发 布者 手 里 。
正常进行 。
7完善 的保障措 施
7 1建 全法 律 制 度 . 目前 电子 商 务还 没 有 完 善 的 法 律 制 度 来 保 障 , 几 天 在 淘 宝 买 东 西 , 果 没 收 前 结 到 , 款 的 前 提 是 要 求 跟 卖 家 商 , 使 我 退 即 把 他 的 东 西 原 样 退 还 , 家 坚 持 不 同 意 退 卖 款 , 样 我 得 不 到 全 部 的 退 款 , 因 是 卖 家 这 原 不 同意 , 而 法 律 保 证 也 是 投 诉 无 门 。 以 然 所 应 该 建 全 法 律 制 度 来 保 障 电子 商 务 的顺 利 进行 。 7 2建 立 实 名 登 记 制 度 . 建 立 电 子 商 务 系 统 中 的 卖 方 实 名 登 记 , 方 可 以 在 自愿 的 基础 上 建 立 实 名制 , 买 对 于 买 方 来 说 购 买 的 东 西 有 些 可 能 不 愿 意 让 别 人 知 道 。 在 现 实 的购 物 中 , 家就 需 而 商 要 提 供 工 商 管 理 许 可 证 , 个 许 可 证 上 必 这 须 有 商 家 法 人 代 表 的 真 实 信 息 , 是 消 费 可 者 就 不 用 向商 家 提 供 实 名信 息 , 果 商 家 如 要 强 制 实 行 实 名 登 记 , 会 使 商 家 失 去 一 就 部分消费者 , 因此 电 子 商 务 交 易 不能 完成 , 这 样 阻 碍 电 子 商 务 的发 展 。 7 3建 立 信 用 制 度 . 我 们 建 议 在 全 国范 围 内 实 行 信 用 制 , 把 消费者和商 家的诚信 信息得定 期公布 , 这 让 就 可 以使 交 易双 方都 能 看 到对 方 的诚 信 数据。 74可 引 入 信 息告 知 制 度 . 目前 的通 信 技 术 已经 很 成熟 , 信 手 段 通 也非 常发达 , 以完 全采用 信 息告 知制度 , 可 就 是 当某 个 电子商 务 网站在 注册 用 户的账 号 有 交 易记 录或 者 交 易金 额 达 到 设 置限 制范 围 时, 发短信 或者 以其 它方 式通知 用 户 , 果 用 如 户 的账 号有 异 常 的交 易 时 , 们 要通 过 关 联 我 的手 机 或其 它 联 系方 式 告知 用 户 , 来避 免 用 户账 号 被 盗 用时 造成 的 损 失 。 7 5建 立 更 好 的 交 易 方 法 . 网络 交 易通 常都 是 先 付款 , 后发 货 , 这 对 利 于 买房 。 家 付 了款 , 没 有 办 法 得 到 买 却 质 量 的 保 证 , 因是 很 多 东 西 在 网 络 上 是 原 看 不 到 质量 的 , 也 导 致 电子 商 务 发 展 缓 这 慢 的 原 因之 一 , 因此 应 该 增 加 更 多 交 易 方 式 , 不 满 意 退 货 等 制 度 、 到 付 款 , 如 如 货 例 当当网就有是 货到付款制度 。
电子商务的安全体系结构及技术研究
![电子商务的安全体系结构及技术研究](https://img.taocdn.com/s3/m/52d1600f0740be1e650e9ad8.png)
一
2 电子商 务 中常用 的几种 安全 技术 首先 , 加 密 技术 。这 是 一种 电子 商务 中采 用 最为 广 泛 的方 法 , 其 主要 的 目的是 为 了能 够保 证 秘密 数 据不 被 外 泄 , 以及 有 效 的提高电子商务系统数据的安全性和 保 密性 。 通 常可 以将 加密 技术 分 为对 称加 密 和 不对 称 加 密两 类 : ( 1 ) 对 称加 密 : 指 的 是 对 信 息 的加 密 以及 解 密 过 程 都 使 用 相 同 的密钥 , 也 被 称 为密 钥 加 密 。在交 易的 过 程 中双 方采 用 相 同 的算 法 , 并 只交 换 专 用 的密钥 。在 此 前 提下 , 密 钥 的 安全 交 换 是 对称 加 密有 效 进行 的关 键 环节 。 目前 , 最 为常用 的对称 加密 算法包 括 D E S ( D a t a E n c r y p t i o n S t a n d a r d是使 用 最为 广 泛 的) AD E A、 3 D E S 、 R C 4等 。( 2 )非 对 称 加 密: 每一个 通讯 实体拥有一对密钥 , 通常 使用其 中一个进行加 密 ,另 一个进 行解 密 。目前 , R S A ( R i v e s t S h a mi r A d l e m a n ) 算 法 是 一种 最为 常用 的非 对称 加 密算 法 。 其次, 安全 认 证 技术 。这是 一 种 有效 的防 止 信 息 被篡 改 、 删除 、 重 放 和伪 造 的 方 法 ,它 可 以对 已发 送 的 消息 进 行 验证 , 以便 接受 者 能够 辨别 信 息 的真假 。 而 认证 的 实 现 过程 主要 包 括 数 字 摘 要 、数 字信 封、 数字签名 、 数 字 时 间戳 和认 证 中 心等 技术 。 ( 1 ) 数 字摘要 : 通 常使 用 S H A算法 , 将 需 要 加 密 的数 据 “ 摘要” 成 一 定 长 度 的 密文 。 需要 注 意 的是 该 密文 和 明文具 有相 同 的摘 要 。所 以 , 利用 数 字 摘要 可 以保证 数据 的有 效性 以及 完 整性 。 ( 2 ) 数 字 信封 : 该技 术 主要 的 是体 现 的是 保 密 性 , 其 工作 原理是使用 H A S H函数将对称密钥进行 加密 ,在 此 基 础上 对 密钥 进 行 公 钥加 密 , 将 其 和 加 密数 据 一起 发 送 给 接受 者 。 ( 3 ) 数 字 签名 : 主 要 应 用 于 身 份认 证 、 数 据 完 整性等方面。 是对非对称加密和数字摘要 技术的综合应用。( 4 ) 数字时间戳 : 在电子 商务过程 中, 需要对交易的文件和时间信 息进 行适 当的 安全 加 密措 施 , 而数字时间 戳服务( D T S )  ̄ U 是 专 门用 于 对 电 子文 件 发 表时间进行安全保护的。( 5 ) 数字凭证: 目 前常用的数字凭证包括个人凭证 、 企业凭
电子商务安全体系结构
![电子商务安全体系结构](https://img.taocdn.com/s3/m/5979bb782af90242a895e5c8.png)
安全体系结构(一)安全体系结构图如图3所示,电子商务安全体系由四层组成,由下至上分别是:安全协议层、安全认证层、加密技术层、网络安全层。
图3 电子商务网站安全体系结构(二)安全体系分层整个电子商务网站安全体系由下至上分为四层:安全协议层、安全认证层、加密技术层、网络安全层。
这四个安全层包含了从安全交易协议到入侵攻击预防的整个防御及安全策略体系。
下面就来看一下每一层分别有哪些作用。
(1)网络安全层网络安全层包含了防御攻击的VPN技术、漏洞扫描技术、入侵检测技术、反病毒技术、防火墙技术、安全审计技术等,通过一系列的技术防御保证网络被访问时的安全,防止漏洞被攻击、网络被入侵。
(2)加密技术层加密技术主要保障信息在传输过程中的安全性,防止信息在传输过程中被窃取或篡改。
加密技术一般分为对称加密技术与非对称加密技术。
(3)安全认证层安全认证层涉及到数字签名、数字时间、数字信封、信息摘要、数字凭证、认证机构等。
安全认证层可以验证交易双方数据的完整性、真实性及有效性。
(4)安全协议层安全协议层置于电子商务安全体系的最下层,也是电子交易中非常关键的一个部分,通过协议层完成交易。
一般电子商务中使用的安全协议有SSL协议和SET协议。
访问控制技术访问控制是指对网络中的某些资源的访问要进行控制,只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和非法访问。
常用的访问控制技术有:入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等。
数字认证技术数字认证也称数字签名,即用电子方式来证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。
数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。
这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用HASH函数将一段长的报文通过函数变换,转换为一段定长的报文。
浅谈构建电子商务中的安全体系
![浅谈构建电子商务中的安全体系](https://img.taocdn.com/s3/m/db36c2df28ea81c758f578b9.png)
电子商务以 其全球化、 低成本 、 交易标准化等 优 成为当今不可缺少的商业运营形式 ,但是基 于网络和电子信息技术的电子商务面却面临着安 全问 题的困扰。 从电子商务平台的体系 结构出发, 分析商务平台安全所涉及到诸多方面,并提出可 行的解决方法 , 进而形成整体安全体系。 1电子商务平台体系结构 个电子商务平台涵盖以下几个主要层面: 网络环境 、 服务器硬件环境 、 系统环境、 数据 库、 b服务器、 We 交易行为。网络环境、 服务器硬件 环境、 系统环境、 数据库、 b We 服务器搭建起了电子 商务的基础平台, 它的安全问题在整个系统中占据 了极大的比重, 同时也是电子商务平台的基础和前 提。 交易行为是根据电子商务的需要而设计的特定 的 We b应用程序 ,其与基础平台在安全防御的角 度是不同的箍畴, 现将二者进行分开拐 讨。 2电子商务基础平台安全 电子商务基础平台涉及 网络、 服务器、 系统多 个层面。在安全问题 中, 它们互为依托, 对任意环 节的忽视, 都将给安全问题留下严重隐患。
一
己知道。 迄今为止的所有公钥密码体系中。S 系 lA I 统是最著名、 使用最广泛的—种。
()e ( lpi uvsCy t rp y椭 圆 3E e El t C re r o a h , i c pg
,
衄线密码编码学) 其实 F e e 仍然是公钥算法的一 种, 之所以将其单独介绍 , 是因为 E C C 算法加密 是 目前比较新型的加密技术。F e e 加密不是说用 EC C 加密技术来替换现有的 R A加密技术 , S 而是 同时使用这两种加密技术。与 R A不同,e 加 S El 2 的公钥较小,这样在保 证安全处理 J络事务时 , 习 就可以在进行更 快速的 运算时降低对系统处理能力的要求。 3 信息篡改破坏。 . 2 信息在传输过程中被非法 修改 、 重放或者删除 , 或者是网络设备 、 软件 、 黑 客、 病毒等因素导致的网络传输故障, 使得信息的 准确性和完整性遭到破坏。 3 3身份识别。 信用问题一直是困扰和阻碍电 子商务发展 的问题之一。身份识别是保证交易的 真实性和不可抵赖性的保障 , 有效防 止 冒和抵 假 赖的发生。J 外, 比 身份识别技术还必须具有“ 证据 性”保证交 易双方对自己的行为负责 , , 不能够加 以抵赖 , 防止欺诈。认证技术电子商务交易中, 由 于区别于传统的面对面交易,因而对于交易双方 的基础。认证技术能 够帮助确认信息发送者的身份 , 验证信息的完整 性。常用 ^ 证技术包括数字简要、 数字签名、 数 字证书、 数字时间戳等。 () 1数字摘要技术 , 可以验证传输的明文是否 被篡改 , 保证数据的完整性和有效 眭。() 2数字签 名技术 ,能够实现对原始报文的鉴别和不可否认 性, 防止伪造签名, 保证交易的安全性, 降低信用 风脸 。( )数字证书,主要数字证书是由权威机 3 梅— — A证书授权( etiaeA toi ) ̄ c C rf t uh ry q心发 ie t 行的, 能提供在 Itme 进行身份验证。 ne tE 结束语 :电子商务作为伴随互联网应运而生 的新型商业模式,目 前针对于电子商务存在的安 全问题提出来许多的技术解决方案,但是 距离真 正的电子商务安全还有一段距离。为了 保证电子 商务的健康发展,除了进一步加强安全技术的发 展之外 , 信用制度 、 法律、 道德、 管理方面的因素也 是支持电子商务发展的重要因素。随着社会的进 步和网络安全技术的发展。网络支付会越来越安 全, 电子商务的发展也会越来越迅速。
电子商务安全技术
![电子商务安全技术](https://img.taocdn.com/s3/m/18b5382cc77da26924c5b003.png)
由于参与电子商务中的各方在物理上是互不谋面的,因 此整个电子商务过程并不是物理世界商务活动的翻版, 网上银行、在线电子支付等条件和数据加密、电子签名 等技术在电子商务中发挥着重要的不可或缺的作用,交 易活动存在很大的风险。
但是, 电子商务在发展的过程中还存在不 少问题, 其中安全问题就是影响电子商务 健康发展的重要因素之一。
因此,基于网络环境的电子商务安全问题 研究, 显得非常迫切而意义重大。
3
1.1 电子商务安全问题
什么是电子商务
电子商务源于英文ELECTRONIC COMMERCE,简写为EC。其内容包含两个方 面,一是电子方式,二是商贸活动。
20
1.4 常用攻击手段 拒绝服务型攻击
死亡之ping 泪滴(IP分片) UDP洪水 邮件炸弹
21
1.5 电子商务安全技术
加密技术
对称密码技术
❖ 采用相同的加密算法并只交换共享的专用密钥 (加密和解密共同使用的密钥)
非对称密码技术
❖ 有2个密钥,即公钥和私钥。公钥(加密密钥) 通过非保密方式向所有人公开,私有密钥(解密 密钥)由使用者保存。
数字签名 非对称加密技术的一类应用 能够实现对原始报文的鉴别和不可否认性
防火墙
防火墙是保护企业保密数据和保护网络设施免遭破坏的 主要手段之一,可用于防止未授权的用户访问企业内部网, 也可用于防止企业内部的保密数据未经授权而发出。即使企 业内部网络与因特网相连,也可用防火墙管理用户对内部网 中某些部分的访问,保护敏感信息或保密信息。
事实表明,安全是电子商务的关键问题和核心问题, 安全得不到保障, 即使使用互联网再方便, 电子商务 也无法得到广大用户的认可。
电子商务的安全体系结构及关键技术研究
![电子商务的安全体系结构及关键技术研究](https://img.taocdn.com/s3/m/a0a80af9941ea76e58fa0457.png)
第18卷第1期 武汉科技学院学报V ol.18 No.1 2005年01月 JOURNAL OF WUHAN UNIVERSITY OF SCIENCE AND ENGINEERING Jan. 2005 电子商务的安全体系结构及关键技术研究孙宝林,王丽(武汉科技学院数理系,湖北武汉 430073)摘要:随着电子商务的飞速发展,交易安全成为制约其发展的关键。
从电子商务系统对计算机网络安全、商务交易安全性出发,论述了电子商务安全技术体系结构,分析了各安全技术间的层次关系,从全局上把握了电子商务安全机制,并重点介绍了其中的关键技术。
关键词:电子商务;安全性;加密技术;体系结构分类号:TP393 文献标识码:A 文章编号:1009-5160(2005)-0041-04随着Internet迅速发展,电子商务将带来一场交易的革命,它将传统的市场变得高效化、全球化和一体化,电子商务将是全球商务的发展趋势[1-3,6-10]。
相对于传统商务模式,电子商务具有便捷、高效的特点与优点。
电子商务是一个复杂的系统工程,它的实现依赖于众多从社会问题到技术问题的逐步解决与完善。
电子商务安全是制约电子商务发展的一个核心和关键问题。
电子商务安全技术也成为各界关注和研究的热点。
电子商务的安全性主要反映在:信息的保密性;访问的可控性;数据的完整性;不可抵赖性等方面。
电子商务的安全性是由其安全体系结构和协议的安全性所决定,协议的安全性是建立在安全体系结构之上的,而协议的安全性又是由协议的关键技术所决定[3-10]。
本文从系统工程的基本观点和原理出发,从安全技术角度,根据电子商务自身运行特点,给出了电子商务安全技术体系结构,揭示了各种安全机制间的层次关系,从全局上把握了电子商务的安全体系,并重点介绍了其中的核心技术。
图1 电子商务安全体系结构1 电子商务的安全体系结构电子商务的安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构[3-6],由5个部分组成,具体如图1所示。
电子商务安全体系结构
![电子商务安全体系结构](https://img.taocdn.com/s3/m/33a1b959941ea76e58fa04fc.png)
安全体系结构(一)安全体系结构图如图3所示,电子商务安全体系由四层组成,由下至上分别是:安全协议层、安全认证层、加密技术层、网络安全层。
图3 电子商务网站安全体系结构(二)安全体系分层整个电子商务网站安全体系由下至上分为四层:安全协议层、安全认证层、加密技术层、网络安全层。
这四个安全层包含了从安全交易协议到入侵攻击预防的整个防御及安全策略体系。
下面就来看一下每一层分别有哪些作用。
(1)网络安全层网络安全层包含了防御攻击的VPN 技术、漏洞扫描技术、入侵检测技术、反网络安全层加密技术层 VPN 技术 反病毒技术安全审计技术 入侵检测技术 漏洞扫描技术 防火墙技术对称加密技术 非对称加密技术安全认证层 数字签名数字信封信息摘要数字时间戳 数字凭证 认证机构(CA) 安全协议层SSL 协议 SET 协议电子商务网站安全体系结构病毒技术、防火墙技术、安全审计技术等,通过一系列的技术防御保证网络被访问时的安全,防止漏洞被攻击、网络被入侵。
(2)加密技术层加密技术主要保障信息在传输过程中的安全性,防止信息在传输过程中被窃取或篡改。
加密技术一般分为对称加密技术与非对称加密技术。
(3)安全认证层安全认证层涉及到数字签名、数字时间、数字信封、信息摘要、数字凭证、认证机构等。
安全认证层可以验证交易双方数据的完整性、真实性及有效性。
(4)安全协议层安全协议层置于电子商务安全体系的最下层,也是电子交易中非常关键的一个部分,通过协议层完成交易。
一般电子商务中使用的安全协议有SSL协议和SET协议。
访问控制技术访问控制是指对网络中的某些资源的访问要进行控制,只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和非法访问。
常用的访问控制技术有:入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等。
数字认证技术数字认证也称数字签名,即用电子方式来证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。
对电子商务安全技术体系结构的研究
![对电子商务安全技术体系结构的研究](https://img.taocdn.com/s3/m/7359b5cdaa00b52acfc7caa5.png)
学术 . 技术
对 电子商 务安全技术体 系结构 的研 究
王 卓
( 南昌大学 软件学院 ,江西 ,南昌 3 04 ) 3 0 7
摘 要 :如何更好地保障 交易的安 全性 ,一直是 电子商 务领 域研 究的热点。该 文通过对 传统电子商务安 全技 术及其体 系结构的
来 实现其 安 全策 略 ,以保证 商业 交 易的 安全 。此安 全框架 的底层 是网 络服 务层 ,它提 供信 息传 送 的载体 和用 户接入 的手段 ,通过 入侵 检 测 、安 全扫 描 、防火墙 等技 术保 证 网 络 层 的安 全 。而 加密 技 术 层、 安全 认 证层 和 安全 协 议 层 ,
全体 系 。
使 用 相 同的密 钥 ,交易双 方 采用 相同 的加 密算法 ,并 只交 换 共 享的专 用 密钥 。加 密机 密信 息 ,随 报文 一起 发送报 文
摘 要 或报文 散列 值 ,从而 保证报 文 的机 密性 和完 整性 。 目
前 常 用的对 称加 密算法 有 DE 、I A、3 S S DE DE 、RC 4等 , 其 中数 据加 密标 准 ( S DE ,Da a n r p in t n a d t E c y to S a d r )
2 电子商务安全技术及架构
电子商 务的 安全 技术体 系结构 是ia d g s )技 术 ,利用数 字摘 要技 术就 可 以验证 Di t l i e t 通 过 网络 传 输 收 到 的 明 文 是 否初 始 的 、未 被 篡 改 过 ,从
安全 的一 个 完整 的逻辑 结构 ( 1。电子 商务 安全 体 系结 图 ) 构从 下至上 由网络服 务层 、加 密技 术层 、安 全认证 层 、安
WAN Z u G ho (  ̄ a Cl eo aCag Uir t,Nnhn, J o 4 ,P 危 C/) Y t m o g YNnhn nes ow l e v i y ac g J o 7 . ha a  ̄
电子商务的安全体系结构及技术
![电子商务的安全体系结构及技术](https://img.taocdn.com/s3/m/aec179292b160b4e777fcf06.png)
Information Security •信息安全Electronic Technology & Software Engineering 电子技术与软件工程• 203【关键词】电子商务 安全性 安全技术可以说我们国家在最近20年中网络技术和计算技术可以说获得了大跨越的发展,人们开始在网络中从事各种商业活动,而这些活动也被叫做是电子商务。
广义上我们所提到的电子商务其核心就是在网络通信和计算机等电子工具进行使用的基础上去进行商业活动的。
狭义上我们提到的电子商务则就是Web 针对Web 所完成的一种商业活动的媒介。
1 电子商务的安全体系结构电子商务系统其属于一个中央系统,把服务提供商以及客户还有银行实现有效的联系,使其能够对于特定的操作给予实现。
因此不难看出电子商务其本身的安全体系结构有着十分主要的作用。
以上我们所提到的使用这都是目前安全系统运行过程中不能够缺少的一部分,其自身都需要具备一个安全的代理服务器。
并且,为了能够使得每一个组件彼此保持有效的安全性,一般安全系统中还会被安装一个CA 的认证系统。
CA 认证系统和相同的协议是一致的,其本身出了可以协调工作之外,还可以令电子商务在完成交易的过程中保持数据的完整性和机密性。
除了CA 认证需要进行认真的系统,在安全机制上对于用户交易也会起到一定过得保护作用,因此只有用户出具了相关的身份认证并且认证成功之后这一操作协议才算是完成。
同时有一些时候也会因为使用的数据比较私密而需要对其进行加密的认证。
2 电子商务中经常会使用到的几种安全技术2.1 加密技术可以说在进行电子商务活动中必须使用到的一种方式就是加密技术。
进行电子商务活动其主要目的就是希望能够使得机密数据不出现泄漏的同时还能够使得电子商务活动所依赖电子商务的安全体系结构及技术文/郭明璐的数据库自身具备一定的安全性与机密性。
通常来说,加密技术其自身也被分为了两种不同的加密形式主要是对称和非对称。
电子商务成功的基础—构筑合理的安全体系结构
![电子商务成功的基础—构筑合理的安全体系结构](https://img.taocdn.com/s3/m/e5b286345727a5e9846a610f.png)
评价 安 全 j
当 理 解 到 如1
事 业 中不 可 缺 少 的关 键 因素 。而 与 电子 商 务 能 够 带 来 的 网络 应 用 ,可 预 见 的 成
本 节 省 和 客 户 服 务 利 益 不 同 , 它 恰 恰 是 电 子 商 务 中 最 容 易 被 忽 略 的 方 面 。 电 子
安 全 被认 为仍 然 存 在 着许 多风 险 ,而 任
何 一 种 在 线 服 务 如 果 不 被 强 有 力 的 电 子
・安全地 授 予用户 网络 应用接 入 从而
使 商业 活 动得 到保 证 :
・页 面单 一 厍
・委 托 管 理 :
安 全 设施 支 持 则将 给 公 司带 来 巨大 的 损
时 , 还 能 否 坚 持 以 上 几 条 要 求 呢 ? 这 不
・可 操 作 性 安全鉴定和摆 鉴 定 是通 过 到 识 别 和 确 认 的 通过用户 的 I D
个灵 活 的解 决 方 ;
有 保 障 的接 入 许 可 。 这些 用户 包 括 公 司
的 客 户 , 员 工 , 销 售 商 和 其 他 的 商 业 伙 伴 。 更 复 杂 的 情 况 则 是 每 一 种 用 户 类 型
要 向 大 范 围 内的 潜 在 用户 提 供 安全 而 又
・ 定 合理 的安全 策 略 : 制 ・ 效 的规 划 网络 应用 : 高 此 外 ,在 充 分 的认 识 到 效率 在 公 司 商 业 活 动 中 的 重要 , 以及 削 减 成 本 和会 遇 到 的 各 种 各 样 的 政 府 规 章 制 度 的 同
维普资讯
电 子 商 务 成 功 的 基 础
— —
构 筑 合 理 的 安 全 体 系 结 构
电子商务面临的安全问题
![电子商务面临的安全问题](https://img.taocdn.com/s3/m/f6542b2f482fb4daa58d4b1f.png)
目录
电子商务安全简介
4. 数据容灾制度 按容灾能力的高低,容灾系统可以分为多个层次。 企业应该根据自身情况,对不同安全级别的数据制定不同 的数据容灾制度。
目录
电子商务安全简介
5. 病毒防范制度
3 2
设置控制权限可以将网络系统中 易感染病毒的文件的属性、权限 加以限制
1
认真执行病毒定期清理制度
给自己的计算机安装防病毒软件
用户使用最多的Windows系统有以下几种常见漏洞
IIS服务器
1 3
5
注册表访问
Windows网络共享
2
4
Windows密码
匿名登录
目录
电子商务安全简介
目录
电子商务安全简介
二、 电子商务安全的要求
电子商务安全的具体要求如下 抗抵赖性 可用性 完整性
机密性 及时性
可认证性
目录
电子商务安全简介
三、 电子商务安全的体系结构
目录
电子商务安全简介
3. 跟踪、审计、稽核制度 稽核制度是指工商管理、银行、税务人员利用计算机及网 络系统,借助稽核业务,应用软件调阅、查询、审核、判断 辖区内电子商务参与单位业务经营活动的合理性、安全性, 堵塞漏洞,保证电子商务交易安全,发出相应的警示或作出 处理处罚的有关决定的一系列步骤及措施。
目录
电子商务安全简介
常见的黑客攻击方法主要有 网络监听 端口扫描 拒绝服务攻击
口令破解 木马攻击
缓冲区溢出攻击
目录
电子商务安全简介
(三) 系统安全漏洞
系统安全漏洞也叫系统脆弱性,简称漏洞,是计算机系统 在硬件、软件、协议的设计与实现过程中或系统安全策略上 存在的缺陷和不足。