电子商务信息安全论文投稿
电子商务信息安全论文投稿
信息安全是计算机网络技术发展和应用中的关键问题之一 ,在基于 Internet的电子商务系统中 ,该问题更加突出。下文是学习啦小编为大家搜集整理的关于电子商务信息安全论文投稿的内容,欢迎大家阅读参考!
电子商务信息安全论文投稿篇1
浅论电子商务中的信息安全技术
摘要:安全问题是电子商务的主要问题,本文钟对电子商务活动中存在的信息安全隐患问题,主要介绍了实施保障电子商务信息安全的防火墙技术、数据加密技术、身份验证技术等技术性措施。
关键词:电子商务 信息安全
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。针对计算机网络的安全,常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术等。交易信息的安全是可以用数据加密、数字签名、数字证书、ssl、set安全协议等技术来保护。下面就防火墙技术、数字加密技术、身份验证技术等进行介绍。
1,防火墙技术
目前的防火墙主要有两种类型。其一是包过滤型防火墙。它一般由路由器实现,故也被称为包过滤路由器。其二是应用级防火墙。大多数的应用级防火墙产品使用的是应用代理机制,内置了代理应用程序,可用代理服务器作内部网和Internet之间的的转换。
防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强Intranet《内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:(1)过滤进、出网络的数据:(2)管理进、出网络的访问行为:(3)封堵某些禁止行为:(4)记录通过防火墙的信息内容和活动:(5J对网络攻击进行检测和告警。
防火墙虽然能对外部网络的功击实施有效的防护,但对来自内部网络的功击却无能为力。网络安全单靠防火墙是不够的,还需考虑其它技术和非技术的因素。
2,反病毒技术
反病毒技术包括与防病毒、检测病毒和消毒三个环节,反病毒必须做到“以预防为主“,正所谓”防患于未然”,等病毒出现了再去清除,可能已经给用户造成了巨大的损失。
3,数据加密技术
加密技术是保证电子商务中采用的主要安全措施,交易双方可根据需要在信息交换阶段使用。加密技术的主要问题是加密方式及实现加密的网络协议层和密钥的分配及管理。在一个加密过程中有两个基本元素:算法和密钥。加密过程就是根据一定的算法,将可理解的数据(明文}与一串数字(密钥)相结合,从而产生不可理解的密文的过程,主要加密技术是:
(1)常规密钥密码加密。所谓常规密钥密码加密,即加密密钥与解密密钥是相同的。在早期的常规密钥密码体制中,典型的有代替密码,其原理可以用一个例子来说明:字母A,B,C,D,…,W,X,Y,Z的自然顺序保持不变,但使之与D,E,F,G,…,Z,A,B,C分别对应(即相差3个字符)。若明文为WELL则对应的密文为ZH00(此时密钥为3)。但存在几个问题:第一,不能保证也无法知道密钥在传输中的安全。若密钥泄漏,黑客可用它解密信息,也可假冒一方做坏事。第二,假设每对交易方用不同的密钥,N对交易方需要N’(N一1),2个密钥,难于管理。第三,不能鉴别数据的完整性。
(2)对称密文加密。对称密钥加密又称为秘密密钥加密,即收发双方采用相同的密钥来进行加密和解密。对称密钥加密的最大优点是加解密速度快,适合于进行大量数据加密,但也存在密钥管理、发布困难以及无法进行身份鉴别的缺点。
(3)非对称密钥加密。非对称密钥加密也称为公开密钥加密,每个用户有一对密钥:一个用于加密,一个用于解密,两把密钥实际上是两个很大的质数。其中,加密密钥(公钥)可以在网络服务器、报刊等场合公开,而解密密钥(私钥)则属用户的私有密钥,由公开的加密密钥导出私有的解密密钥在技术上是不可实现的。与对称密钥加密相比,采用非对称密钥加密方式密钥管理较方便,且保密性比较强,但加解密实现速度比较慢,不适用于通信负荷较重的应用。
具体加密传输过程如下:
a发送方甲用接收方乙的公钥加密自己的私钥。
b发送方家用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方。
c接收方乙用自己的私钥解密,得到甲的私钥。
d接收方乙用甲的公钥解密,得到明文。
在密钥的加密过程中,由于发送方甲用乙的公钥加密了自己的私钥,如果文件被窃取,由于只有乙保管自己的私钥,黑客无法解密。这就保证了信息的机密性。另外,发送方甲用自己的私钥加密信息,因为信息是用甲的私钥加密,只有甲保管它,可以认定信息是甲发出的,而且没有甲的私钥不能修改数据。
4,身份验证技术
仅有加密技术不足以保证电子商务中的交易安全,身份认证技术是保证电子商务安全不可缺少的又一重要技术手段。
(1)认证系统。网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做Certificate Authority,通常简称为CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的CA,否则,一切网上的交易都没有安全保障。
(2)SSL协议。SSL协议{Secure Socket Layer,安全套接层)主要目的是解决TCP/IP协议不能确认用户身份的问题,在Socket上使用非对称的加密技术,以保证网络通信服务的安全性。SSL协议易于实现。SSL协议还是最值得信赖的协议。但是由于SSL协议当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。
(3)SET协议。SET(Secure EIectronic Transaction)安全电子交易协议是用于Internet上的以信用卡为基础的电子支付系统协议。主要应用于B/C模式中保障支付信息的安全性。SET协议提供对消费者、商户和银行的认证,协议本身比较复杂,设计比较严格,安全性高,确保电子交易的机密性、数据完整性、身份的合法性和抗否认性,特别是保证了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
5,电子商务系统的安全管理制度
电子商务系统的安全管理制度尤为重要,它是用文字形式对各项安全要求所作的规定,它是保证网络营销取得成功的重要基础工作,是网络交易人员应该而且必须遵守的规范和准则。任何电子商务系统都要制定一套完整、适用于自身的安全管理制度,这些制度应该包括人员管理制度、保密制度、系统维护制度、数据备份制度、应急措施和病毒防治制度等。
6,结束语
随着Internet逐渐发展成为电子商务的最佳载体,互联网具有充分开放,不设防护的特点使加强电子商务的安全问题日益紧迫,只有充分信任的安全保障制度,确保信息的真实性、可靠性和保密性,才能够打消人们的顾虑,放心的参与电子商务。否则,电子商务的发展将失去其支撑点。
电子商务信息安全论文投稿篇2
试谈移动电子商务的信息安全
移动电子商务(M-Commerce),是通过手机、PDA(个人数字助理)、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务:PIM(个人信息服务)、银行业务、交易、购物、基于位置的服务、娱乐等。
移动电子商务因其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间,真正解决做生意的问题。
但是对于任何通过无线网路(如:GSM网路)进行 金融 交易的用户,安全和隐私问题无疑是其关注的焦点。由于移动电子商务的特殊性,移动电子商务的安全问题尤其显得重要。尤其对于有线电子商务用户来说,通常认为物理线缆能带来更好的安全性,从而排斥使用移动电子商务。移动电子商务是一个系统工程,本文从技术、安全、隐私和法制等方面讨论了移动商务的展所面临的种种问题,并指出这些问题的有效解决是建设健康、安全的移动电子商务的重要保证。
一、移动通信新技术的驱动
1.无线应用协议(WAP)
无线应用协议WAP是无线通信和互联网技术发展的产物,它不仅为无线设备提供丰富的互联网资源,也提供了开发各种无线网路应用的途径。1998年,WAP论坛公布了WAP1.0版本,制定了一套专门为移动互联网而设计的应用协议,具有良好的开放性和互通性。随着移动通信网传输速率的显著提高,WAP论坛于2001年颁布了WAP2.0版本,该版本增加了对HTTP、TLS和TCP等互联网协议的支持,WAP代理的工作大大简化。WAP2.0模式有利于实现电子商务所需的端到端安全性,可以提供TLS隧道。
2.移动IP技术
移动IP技术,是指移动用户可在跨网络随意移动和漫游中,使用基于TCP/IP协议的网络时,不用修改 计算 机原来的IP地址,同时,也不必中断正在进行的通信。移动IP通过电子商务信息安全论文投稿(Authentication, Authorization, Accounting)机制,实现网络全方位的安全移动或者漫游功能。移动IP在一定程度上能够很好地支持移动商务的应用。
3.第三代(3G)移动通信系统
第三代移动通信系统,简称3G,是指将无线通信与互联网等多媒体通信结合的移动通信系统。它能够处理图像、话音、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务。与2G相比,3G产品可提供数据速率高达2Mbps的多媒体业务。在我国,以TD-SCDMA技术为基础的3G基础设施和产品的建设和研制发展迅速,我国发展3G的条件已经基本具备。由于3G带来的高速率、移动性和高安全性等特点,必然会给移动电子商务的应用带来巨大商机。
4.无线局域网(WLAN)技术
美国电子电器工程师协会IEEE在1991年就启动了WLAN标准工作组,称为IEEE802.11,并在1997年产生了WLAN标准-IEEE802.11,后来又相继推出了IEEE 802.11a, IEEE 802.11b和IEEE802.11g等一系列新的标准。802.11WLAN标准自公布之日起,安全问题一直是其被关注的焦点问题。802.11b采用了基于RC4算法的有线对等保密(WEP)机制,为网络业务流提供安全保障,但其加密和认证机制都存在安全漏洞。802.11i是2004年6月批准的WLAN标准,其目的是解决802.11标准中存在的安全问题。802.11i应用TKIP(Temporal key integrity protocol)加密算法和基于AES高级加密标准的CBC-MAC Protocol(CCMP)。其中TKIP仍然采用RC4作为其加密算法,可以向后兼容802.11a/b/g等硬件设备。 中国 宽带无线IP标准工作组制订了WLAN国家标准GB15629.11,定义了无线局域网鉴别与保密基础结构WAPI,大大减少了WLAN中的安全隐患。
二、移动电子商务面临的安全威胁
尽管移动电子商务给工作效率的提高带来了诸多优势(如:减少了服务时间,降低了成本和增加了收入),但安全问题仍是移动商务推广应用的瓶颈。有线网络安全的技术手段不完全适用于无线设备,由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序。例如: 目前 还没有有效抵制手机病毒的防护软件。
1. 网络 本身的威胁
无线通信网络可以不像有线网络那样受地理环境和通信电缆的限制就可以实现开放性的通信。无线信道是一个开放性的信道,它给无线用户带来通信自由和灵活性的同时,也带来了诸多不安全因素:如通信 内容 容易被窃听、通信双方的身份容易被假冒,以及通信内容容易被篡改等。在无线通信过程中,所有通信内容(如:通话信息,身份信息,数据信息等)都是通过无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取无线信道上传输的内容。这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。
2.无线ad hoc 应用 的威胁
除了互联网在线应用带来的威胁外,无线装置给其移动性和通信媒体带来了新的安全 问题 。考虑无线装置可以组成ad hoc网路。Ad hoc网络和传统的移动网络有着许多不同,其中一个主要的区别就是Ad Hoc网络不依赖于任何固定的网络设施,而是通过移动节点间的相互协作来进行网络互联。由于其网络的结构特点,使得Ad Hoc网络的安全问题尤为突出。Ad hoc网路的一个重要特点是网络决策是分散的,网络协议依赖于所有参与者之间的协作。敌手可以基于该种假设的信任关系入侵协作的节点。
3.网路漫游的威胁
无线网路中的攻击者不需要寻找攻击目标,攻击目标会漫游到攻击者所在的小区。在终端用户不知情的情况下,信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险,没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立,使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书。攻击者可以利用该漏洞来获利。
4.物理安全
无线设备另一个特有的威胁就是容易丢失和被窃。因为没有建筑、门锁和看管保证的物理边界安全和其小的体积,无线设备很容易丢失和被盗窃。对个人来说,移动设备的丢失意味着别人将会看到电话上的数字证书,以及其他一些重要数据。利用存储的数据,拿到无线设备的人就可以访问 企业 内部网络,包括Email服务器和文件系统。 目前 手持移动设备最大的问题就是缺少对特定用户的实体认证机制。
三、移动商务面临的隐私和 法律 问题
1.垃圾短信息
在移动通信给人们带来便利和效率的同时,也带来了很多烦恼,遍地而来的垃圾短信广告打扰着我们的生活。在移动用户进行商业交易时,会把手机号码留给对方。通过街头的 社会 调查时,也往往需要被调查者填入手机号码。甚至有的用户把手机号码公布在网上。这些都是公司获取手机号码的渠道。垃圾短信使得人们对移动商务充满恐惧,而不敢在网络上使用自己的移动设备从事商务活动。目前,还没有相关的法律法规来规范短信广告,运营商还只是在技术层面来限制垃圾短信的群发。目前,信息产业部正在起草手机短信的规章制度,相信不久的将来会还手机短信一片绿色的空间。
2.定位新业务的隐私威胁
定位是移动业务的新应用,其技术包括:全球定位系统,该种技术利用24颗GPS卫星来精确(误差在几米之内)定位地面上的人和车辆;基于手机的定位技术TOA,该技术根据从GPS返回响应信号的时间信息定位手机所处的位置。定位在受到欢迎的同时,也暴露了其不利的一面——隐私问题。移动酒吧就是一个典型的例子,当你在路上时,这种服务可以在你的PDA上列出离你最近的5个酒吧的位置和其特色。或者当你途经一个商店时,会自动向你的手机发送广告信息。定位服务在给我们带来便利的同时,也 影响 到了个人隐私。利用这种技术,执法部门和政府可以监听信道上的数据,并能够跟踪一个人的物理位置。
3.移动商务的法律保障
电子 商务的迅猛 发展 推动了相关的立法工作。2005年4月1日, 中国 首部真正意义上的信息化法律《电子签名法》正式实施,电子签名与传统的手写签名和盖章将具有同等的法律效力,标志着我国电子商务向诚信发展迈出了第一步。《电子签名法》立法的重要目的是为了促进电子商务和电子政务的发展,增强交易的安全性。
参考 文献 :
[1]A.F. Salam L.Lyer:P. Palvia et al. Trust in e-commerce. Communication of The ACM, 48(2), 2005,73-77
[2]戴方虎等:Internet的移动访问技术 研究 . 计算 机 科学 ,2000(3)
[3]Y.G Zhang W. Lee:Intrusion Detection in Wireless Ad-Hoc Networks. MOBICOM 2000, ACM, 275-283