电子商务论文.docx
《电子商务论文.docx》由会员分享,可在线阅读,更多相关《电子商务论文.docx(9页珍藏版)》请在冰豆网上搜索。
电子商务论文
目录
外文摘要与关键词…………………………………………………………………1
中文摘要与关键词……………………………………………………………………2
一、电子商务的安全性需求…………………………………………………………2
(一)数据传输的安全性……………………………………………………………2
(二)数据的完整性………………………………………………………………2
(三)身份验证……………………………………………………………………2
(四)交易的不可抵赖………………………………………………………………2
二、电子商务的安全控制框架体系…………………………………………………3
三、电子商务的安全控制技术………………………………………………………3
(一)病毒防范技术………………………………………………………………4
(二)防火墙技术……………………………………………………………………4
(三)加密技术………………………………………………………………………4
(四)安全认证技术…………………………………………………………………4
1、数字摘要(Digitaldigest)…………………………………………………4
2、数字签名(DigitalSignature)…………………………………………………4
3、盲数字签名(BlindDigitalSignature)…………………………………………5
4、群数字签名(GroupDigitalSignature)……………………………………5
5、数字时间戳(Digitaltime-stamp)…………………………………………5
6、数字凭证(DigitalID)…………………………………………………………6
7、CA认证(CertificateAuthority)……………………………………………6
8、智能卡(SmardCard)………………………………………………………………6
(五)安全认证协议…………………………………………………………………7
1、安全套接层(SSL)协议…………………………………………………………7
2、安全电子交易(SET)协议………………………………………………………7
四、电子商务安全亟待解决的难题…………………………………………………8
五.总结………………………………………………………………………………9
参考文献:
……………………………………………………………………………9
外文摘要
E-commercesecuritycontroltechnologyresearch
Abstract:
Networktothewholecommunityofgreatchangeandbecometheimpetusdrivingthedevelopmentofallindustries.OpenenvironmentintheInternete-commerceisanewtypeofcommercialoperationofthemodelisthenewdirectionofthenetworktechnologyapplications.E-commercesecurityisakeyfactoraffectingtheirsuccess.Inthisfirste-commercesecuritytechnologyanditsproblemstobeanalysed,andthentothefuturedevelopmentofChina'se-commercemadeanumberofrecommendationstoenablemorepeopleconcernedaboute-commercetechnology,andquicklysolvetheexistingproblemsandpromotethedevelopmentofelectroniccommerce.
Thedetaileddiscussionofthesecurityneedsofe-commerce,e-commercesecuritytechnologylevelstructuremade,andhighlightsthecoretechnologiesofe-commercesecuritycontrol,security,e-commercetransactionsandagreementshaveyettobesettled.
Keyword:
e-commerce;Securitycontrol;Securityagreement;Transactionagreement
中文摘要
电子商务安全控制技术的研究
摘要:
网络给整个社会带来了巨大的变革,成为驱动所有产业发展的动力。
电子商务是在Internet开放环境下的一种新型的商业运营模式,是网络技术应用的全新发展方向。
电子商务的安全性是影响其成败的一个关键因素。
在此首先对电子商务中存在的问题及其安全性技术加以分析,然后对中国电子商务未来的发展提出了一些建议,以使更多的人士关注电子商务技术,尽快解决现存的问题,推动电子商务的发展。
本文详尽讨论了电子商务的安全性需求,提出了电子商务安全技术层次结构,并重点介绍电子商务安全控制的核心技术、交易协议及电子商务安全中亟待解决的问题。
关键词:
电子商务;安全控制;安全协议;交易协议
电子商务安全控制技术的研究
引言:
计算机网络与通信技术的迅猛发展,电子商务正以人们难以预料的速度向前发展,在世界范围内日渐得到普及与应用。
相对于传统商务模式,电子商务具有便捷、高效的特点与优点。
尽管如此,当今全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的一小部分。
究其原因,电子商务是一个复杂的系统工程,它的实现还依赖于众多从社会问题到技术问题的逐步解决与完善。
其中,电子商务安全是制约电子商务发展的一个核心和关键问题。
电子商务安全技术也成为各界关注和研究的热点。
一、电子商务的安全性需求
电子商务安全需求包括四个方面:
(一)数据传输的安全性
对数据传输的安全性需求即是保证在公网上传送的数据不被第三方窃取。
对数据的安全性保护是通过采用数据加密(包括对称密钥加密和非对称密钥加密)来实现的,数字信封技术是结合对称密钥加密和非对称密钥加密技术实现的保证数据安全性的技术。
(二)数据的完整性
对数据的完整性需求是指数据在传输过程中不被篡改。
数据的完整性是通过采用安全的Hash函数和数字签名技术来实现的。
双重数字签名可以用于保证多方通信时数据的完整性。
(三)身份验证
参与安全通信的双方在进行安全通信前,必须互相鉴别对方的身份。
身份认证是采用口令技术、公开密钥技术或数字签名技术和数字证书技术来实现的。
(四)交易的不可抵赖
网上交易的各方在进行数据传输时,必须带有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证。
这是通过数字签名技术和数字证书技术来实现的。
基于对称密钥加密、公开密钥加密以及安全的Hash函数等基本安全技术和算法,电子商务采用以下几种安全技术来解决电子商务应用中遇到的各种问题:
1、采用数字信封保证数据的传输安全。
2、采用数字签名和双重数字签名技术进行身份认证并同时保证数据的完整性。
3、采用口令字技术或公开密钥技术进行身份认证。
4、结合数字信封和数字签名就可以满足电子商务安全中对数据的安全性、数据的完整性和交易的不可抵赖性的要求,同时可以使用数字证书来进行交易双方身份的认证。
二、电子商务的安全控制框架体系
电子商务的安全控制体系结构是保证电子商务中数据安全的一个完整的逻辑结构。
由五部分组成。
具体如图1所示。
图一逻辑图
由图1,电子商务安全体系由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层组成。
从图中的层次结构可以看出,下层是上层的基础,为上层提供技术支持;上层是下层的扩展与递进。
各层次之间相互依赖、相互关联构成统一整体。
各层通过控制技术的递进,实现电子商务系统的安全。
电子商务系统是依赖网络实现的商务系统,需要利用Internet基础设施和标准,所以构成电子商务安全框架的底层是网络服务层,它提供信息传送的载体和用户接入的手段,是各种电子商务应用系统的基础,为电子商务系统提供了基本、灵活的网络服务。
为确保电子商务系统全面安全,必须建立完善的加密技术和认证机制。
在图1所示的电子商务安全框架体系中,加密技术层、安全认证层、安全协议层,即为电子交易数据的安全而构筑。
其中,安全协议层是加密技术层和安全认证层的安全控制技术的综合运用和完善。
电子商务安全是一个普遍关注的系统问题,用于保护电子商务的安全控制技术很多,并非是把这些技术简单的组合就可以得到安全。
但是通过合理应用安全控制技术,并进行有机结合,就可从技术上实现系统、有效的电子商务安全。
三、电子商务的安全控制技术
(一)病毒防范技术
病毒是一种恶意的计算机程序,它可分为引导区病毒、可执行病毒、宏病毒和邮件病毒等,不同的病毒的危害性也不一样。
为了防范病毒,可以采用以下的措施:
1、安装防病毒软件,加强内部网的整体防病毒措施;
2、加强数据备份和恢复措施;
3、对敏感的设备和数据要建立必要的物理或逻辑隔离措施等。
(二)防火墙技术
防火墙是一种将内部网和公众网如Internet分开的方法,它能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。
防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
它是电子商务的最常用的设备。
(三)加密技术
加密技术是电子商务安全的一项基本技术,它是认证技术的基础。
采用加密技术对信息进行加密,是最常见的安全手段。
加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
目前,在电子商务中,获得广泛应用的两种加密技术是对称密钥加密体制(私钥加密体制)和非对称密钥加密体制(公钥加密体制)。
它们的主要区别在于所使用的加密和解密的密码是否相同。
(四)安全认证技术
目前,仅有加密技术不足以保证电子商务中的交易安全,身份认证技术是保证电子商务安全的又一重要技术手段。
认证的实现包括智能卡技术、数字签名技术和数字证书技术等。
1、数字摘要(Digitaldigest)
通过使用单向散列函数(Hash)将需要加密的明文“摘要”成一个固定长度(128bit)的密文。
该密文同明文是一一对应的,不同的明文加密成不同的密文;相同的明文其摘要必然一样。
因此,利用数字摘要就可以验证通过网络传输收到的明文是否初始的、未被篡改过,从而保证数据的完整性和有效性。
2、数字签名(DigitalSignature)
数字签名是非对称机密技术中的一种技术。
其主要方式为:
报文发送方从报文文本中生成一个128位的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。
如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别和不可否认性。
3、盲数字签名(BlindDigitalSignature)
是一种特殊的数字签名,它与通常的数字签名的不同之处在于,签名者并不知道他所要签发文件的具体内容。
盲数字签名在签名时,接收者首先将被签的消息进行盲变换,把变换后的消息发送给签名者,签名者对盲消息进行签名并把消息送还给接收者,接收者对签名再做逆盲变换,得出的消息即为原消息的盲签名。
这个过程如图:
图2盲数字签名方案的签名过程
4、群数字签名(GroupDigitalSignature)
(1)允许群中的名个成员以群的名义匿名地签发消息。
群数字签名是具有下列三个特性的一种数字签名:
只有群的成员才能代表那个群签发消息;
(2)签名的接收者能验证它是那个群的一个合法签名,但不能揭示它是群中的哪一个成员产生的;
(3)在后发生争端的情况下,借助于群成员或一个可信的机构能识别出那个签名者。
5、数字时间戳(Digitaltime-stamp)
同传统商务一样,日期和时间是商务文件中的重要内容之一,需要加以确认与保护。
同样,在电子商务中,也需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTSservice)专用于提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)由专门机构提供。
所谓的时间戳是一个经加密后形成的凭证文档,共包括三个部分:
需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。
DTS加盖时间戳的过程如图2所示。
图3DTS加盖时间戳的过程
6、数字凭证(DigitalID)
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源访问的权限。
在网上的电子交易中,如果双方出示了各自的数字凭证,并用它来进行交易操作。
数字凭证的内部格式是由CCITTX.509国际标准所规定的,包含以下内容:
凭证拥有者的姓名、凭证拥有者的公共密钥、公共密钥的有效期、颁发数字凭证的单位、数字凭证的序列号[5]。
数字证书的使用涉及到数字认证中心CA(CertificateAuthority)。
目前,数字凭证有个人凭证、企业凭证、软件凭证,其中前两类较为常用。
个人凭证(PersonalDigitalID):
仅仅为某单个用户提供凭证,用以帮助其个人在网上进行安全交易操作。
企业凭证(ServerID):
通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的互联网站点(WebSite)来进行安全电子交易。
7、CA认证(CertificateAuthority)
在电子商务系统中无论是数字时间戳服务(DTS),还是数字凭证(DigitalID)的发放都需要有一个具有权威性和公正性的第三方认证机构来承担。
CA正是这样的一个受信任的第三方。
CA用来为用户签发证书,提供身份认证服务,是整个系统的安全核心。
在非对称秘密密钥认证系统中,用户的签名密钥和加密密钥通常是分开的,而CA只知道用户的签名公钥,这样就降低了CA受到攻击的危害程度,避免了可信第三方被攻击整个系统即陷入瘫痪的严重问题。
此外,在认证系统中CA只负责审核用户的真实身份并对此提供证明,而不介入具体的认证过程,从而缓解了可信第三方的系统瓶颈问题,而且CA只需管理每个用户的一个公开密钥,大大降低了密钥管理的复杂性。
这些优点使得非对称密钥认证系统可用于用户众多的大规模网络系统。
8、智能卡(SmardCard)
智能卡(SmartCard)是一种智能集成电路卡,包括CPU、E2PROM、RAM、ROM和COS(ChipOperatingSystem)。
它不但提供读写数据和存储数据的能力,而且还具有对数据进行处理的能力,可以实现对数据的加密和解密,能进行数字签名和验证数字签名,其存储器部分具有外部不可读特性。
智能卡在电子商务系统中有无法比拟的优势。
首先,私人密钥和电子证书是保存于智能卡中不允许外读的存储单元中的,因此比起将它们保存于PC机上,其安全性大大提高了。
而且可对智能卡的使用设置个人密码,从而鉴别持卡人是否为该卡的合法使用者。
同时,可以承担对信息的加密解密、签名及对签名的验证等事务,减轻了客户端系统的负担。
当需要对加密解密算法进行改动或替换时,只需要对智能卡进行相应的改动而无须对客户端系统进行升级。
采用智能卡,使身份识别更有效、安全。
智能卡技术将成为用户接入和用户身份认证的首选技术。
但智能卡仅仅为身份识别提供一个硬件基础,如果要使身份认证更安全,还需要与安全协议的配合。
(五)安全认证协议
目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL(SecureSocketsLayer)协议和安全电子交易SET(SecureElectronicTransaction)协议。
1、安全套接层(SSL)协议
安全套接层协议是由Netscape公司1994年设计开发的安全协议,主要用于提高应用程序之间的数据的安全系数。
SSL协议的整个概念可以被概括为:
它是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。
目的是为用户提供Internet和企业内联网的安全通信服务。
在传统的邮购活动中,客户首先寻找商品信息,然后汇款给商家,商家再把商品寄给客户。
这里,商家是可以信赖的,所以客户需先汇款给商家。
在电子商务的开始阶段,商家也担心客户购买后不付款,或是使用过期作废的信用卡。
因而希望银行予以认证。
SSL安全协议正是在这种背景下应用于电子商务的。
SSL采用了公开密钥和专有密钥两种加密:
在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。
加密的类型和强度则在两端之间建立连接的过程中判断决定。
它保证了客户和服务器间事务的安全性。
2、安全电子交易(SET)协议
安全电子交易是一个通过开放网络(包括Internet)进行安全资金支付的技术标准,由VISA和MasterCard组织共同制定,1997年5月联合推出。
由于它得到了IBM、HP、Microsoft、Netscape、VeriFone、GTE、Terisa和VeriSign等很多大公司的支持,已成为事实上的工业标准,目前已获得IETF标准的认可。
这是一个在Internet上进行在线交易而设立的一个开放的、以电子货币为基础的电子付款规范。
SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。
SET将建立一种能在Internet上安全使用银行卡进行购物的标准。
安全电子交易规范是一种为基于信用卡而进行的电子交易提供安全措施的规则,是一种能广泛应用于Internet上的安全电子付款协议,它能够将普遍应用的信用卡的使用场所从目前的商店扩展到消费者家里,扩展到消费者个人计算机中。
SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。
SET主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。
SET规范涉及的范围:
加密算法的应用;证书信息和对象格式;购买信息和对象格式;确认信息和对象格式;划账信息和对象格式;对话实体之间消息的传输协议。
为了解决电子商务安全机制的四个问题,SET协议定义了四种数字加密与安全认证技术:
1)将交易数据分割为若干个64位的数据块,再用DES算法生成56位的对称密钥加密数据块。
对称密钥是由交易发起方设备随机生成的,每次交易的对称密钥均不相同。
2)对称密钥再由接收方设备用RSA算法生成的1024位非对称公共交换密钥加密。
这相当于用一个数字信封将对称密钥包装之后,再传送至接受方。
3)交易数据经过SHA-1单向函数处理之后,变成了与之唯一对应的数字手印,并由发送方由RSA算法生成的1024位非对称私人签名密钥加密。
数字手印供接收方检验接受数据的完整性时使用,而数字签名则保障了交易的不可抵赖性。
4)每个交易方必须向证书授权机构申请数字证书方能参加网上交易。
各级数字证书是由上一级CA采用RSA算法生成的私人签名密钥签名后生成。
根CA的签名密钥为2048位,其它CA的签名密钥为1024位。
这是交易方身份认证的主要工具。
据专家测算,攻破512位密钥RSA算法大约需要8个月时间;而一个768位密钥RSA算法在2004年之前无法攻破。
现在,在技术上还无法预测攻破具有2048位密钥的RSA加密算法需要多少时间。
美国LOTUS公司悬赏1亿美元,奖励能破译其DOMINO产品中1024位密钥的RSA算法的人。
从这个意义上说,遵照SET协议开发的电子商务系统是绝对安全的。
四、电子商务安全亟待解决的难题
电子商务安全还需要解决的问题安全电子商务在如下几个方面还没有满意的结果:
1、没有一种电子商务安全的完整解决方案和完整模型与体系结构。
2、尽管一些系统正逐渐成为标准,但仅有很少几个标准的API。
从开放市场的角度来看,协议间的通用API和网关是绝对需要的。
3、大多数电子商务系统都是封闭式的,即它们使用独有的技术,仅支持一些特定的协议和机制。
它们常常需要一个中央服务器来作为所有参与者的可信第三方。
有时它们还要求使用特定的服务器或浏览器。
4、尽管大多数方案都使用了公钥密码,但多方安全受到的关注远远不够。
没有建立一种解决争议的决策程序。
5、客户的匿名性和隐私尚未得到充分的考虑。
6、大多数系统都将销售商的服务器和消费者的浏览器间的关系假设为主从关系,这种非对称关系限制了在这些系统中执行复杂的协议,而且不允许用户间进行直接交易。
7、大多数系统都限制为两方,因此难于集成一个安全连接到第三方。
8、所有方案和产品都仅考虑了在线销售,但很少考虑多方交易问题(如拍卖),公文交换问题(如签合同,可证实电子邮件)。
为了国家的安全,电子商务系统中所涉及到的一些关键技术特别是安全理论和技术只能靠自主开发,不能靠引进。
由此可见,在我国研究电子商务中的安全性问题不仅具有特别重要的理论价值和实用价值,而且具有重要的现实意义。
五.总结
总的来说,通过网络安全技术的不断发展,我们完全可以创造出一个相对安全的电子商务活动的环境。
但是如果只从技术的角度去尝试解决电子商务安全问题将永远难以得到满意的解答。
我们在探讨电子商务安全问题的时候不应该只限于技术层面,我们还应该从更高的经济学角度探讨这个问题。
当然要实现电子商务更高级别的安全彻底打消商家、消费者在网上进行交易的顾虑,不仅需要技术上的巨大突破还有待于企业界、金融界、保险界的共同努力和SET体系在我国的早日推行。
随着我国已经加入WTO,我们与世界经济已经融为一体,电子商务这种交易模式在未来的国内外经济交流中必将扮演着越来越重要的角色。
参考文献:
1、唐礼勇,陈钟.电子商务技术及其安全问题.计算机工程与应用
2、杨义先,钮心忻,杨放春,论电子商务的安全性。
世界科技研究与发展
3、王少锋,王克宏.电子商务技术的发展与研究.计算机工程与应用
4、赵菁,胡运发,李丽燕.电子商务中网上购物的安全协议——SSL与SET.计算机工程
升级会员 