浅议电子商务中信息安全问题

本论文在其他论文栏目，由论文格式网整理,转载请注明来源www.lwgsw.com,更多论文,请点论文格式范文查看浅议电子商务中的信息安全问题
［摘要］Internet的出现是人类历史中一次重大的变革，它改变了我们生活和工作的传统模式，打破了时间、地域的限制，使人类社会进入了信息时代电子商务对人类社会经济产生了重大影响，在创造巨大经济效益的同时，也从根本上改变了整个社会商务活动发展进程。在我国电子商务在曲折进程中，已有很大程度的发展,同时也存在诸多问题,本文针对电子商务中安全问题进行了以下分析。［关键词］电子商务安全需求安全技术
一、电子商务的安全需求
　　1.信息有效性、真实性
　　电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
　　2.信息机密性
　　电子商务作为贸易的一种手段，其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，商业防泄密是电子商务全面推广应用的重要保障。
　　3.信息完整性
　　电子商务简化了贸易过程，减少了人为的干预，同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各信息的差异。因此，电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
　　4.信息可靠性、不可抵赖性和可鉴别性
　　可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝；不可抵赖性要求即是能建立有效的责任机制，防止实体否认其行为；可鉴别性要求即是能控制使用资源的人或实体的使用方式。
　　5.系统的可靠性
电子商务系统是计算机系统，其可靠性是防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。
　二、电子商务的信息安全技术
　　1.数据加密技术
　　加密技术用于网络安全通常有二种形式，面向网络或面向应用服务。1 .面向网络的加密技术通常工作在网络层或传输层，使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息，从而保证网络的连通性和可用性不受损害。2. 面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法，它优点在于实现相对较为简单，不需要对电子信息所经过的网络的安全性能提出特殊要求，对电子邮件数据实现了端到端的安全保障。
　1）电子商务领域常用的加密技术数字摘要(digital digest)
　　这一加密方法亦称安全Hash 编码法，由RonRivest 设计。该编码法采用单向Hash 函数将需加密的明文“ 摘要”成一串128bit 的密文，这一串密文亦称为数字指纹(Finger Print)，它有固定的长度，且不同的明文摘要成密文，结果是不同的，而同样的明文其摘要一样。便可成为验证明文是否是“ 真身”的“ 指纹”了。
　　数字签名(digital signature)数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。主要方式是报文的发送方从报文文本中生成一个128 位的散列值(或报文摘要)，用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128 位的散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密，如果两个散列值相同，那么接收方就能确认该数字签名是发送方的，通过数字签名能够实现对原始报文的鉴别。签名的作用有两点，一是因为自己的签名难以否认，确认了文件签署这一事实；二是因为签名不易仿冒确定了文件真实性。
　　数字时间戳(digital time-stamp)交易文件中，时间是十分重要的信息。电子交易中，需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。时间戳(time-stamp) 是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要(digest)；DTS 收到文件的日期和时间；DTS的数字签名。
　　数字证书(digital certificate,digital ID)数字证书又称为数字凭证，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书，证书作为网上交易参与各方的身份识别。认证中心作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任，是一个负责发放和管理数定证书的权威机构。因而网络中所有用户可以将自己的公钥交给这个中心，提供自己的身份证明信息，证明自己是相应公钥的拥有者，在网上进行交易的双方来说，数字证书对他们之间建立信任很重要。数字凭证有三种类型：个人凭证、企业（服务器）凭证、软件（开发者）凭证；大部分认证中心提供前两类凭
　　2.身份认证技术
　　为解决Internet 的安全问题，初步形成了一套完整的Internet 安全解决方案，即被广泛采用的公钥基础设施（ PKI）体系结构。在Internet 网上验证用户的身份，PKI 体系结构把公钥密码和对称密码结合起来，在Internet 网上实现密钥的自动管理，保证网上数据的机密性、完整性。
　　1 ）认证系统的基本原理
　　利用RSA 公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性，可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA，CA 为用户发放电子证书，用户之间利用证书来保证信息安全性和双方身份的合法性。
　　2 ）认证系统结构
　　整个系统是一个大的网络环境，系统从功能上基本可以划分为CA、RA 和Web Publisher。
　　核心系统跟CA 放在一个单独的封闭空间中，为了保证运行的绝对安全，其人员及制度都有严格的规定，并且系统设计为一离线网络。CA 的功能是在收到来自RA 的证书请求时，颁发证书。
　　证书的登记机构Register Authority，简称RA，分散在各个网上银行的地区中心。RA 与网银中心有机结合，接受客户申请，并审批申请，把证书正式请求通过建设银行企业内部网发送给CA 中心。
　　证书的公布系统Web Publisher，简称WP，置于Internet 网上，是普通用户和CA 直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA 颁发之后，CA 用E－mail 通知用户，然后用户须用浏览器从这里下载证书。
3.网上支付平台及支付网关
　　网上支付平台分为CTEC 支付体系（基于CTCA/GDCS）和SET 支付体系（基于CTCA/SET）。网上支付平台支付型电子商务业务提供各种支付手段，包括基于SET 标准的信用卡支付方式、以及符合CTEC 标准的各种支付手段。
　　支付网关位于公网和传统的银行网络之间，其主要功能为：将公网传来的数据包解密，并按照银行系统内部的通信协议将数据重新打包；接收银行系统内部的传回来的响应消息，将数据转换为公网传送的数据格式。对其进行加密。另外，支付网关还具有密钥保护和证书管理等其它功能。
结束语
本文分析了目前电子商务的安全需求，使用的安全技术及仍存在的问题，并指出了与电子商务安全有关的协议技术使用范围及其优缺点。因此要完善电子商务立法，加大对信息安全的教育与重视。从而促使电子商务飞快而健康的发展
参考文献]
陈海滨，企业电子营销发展对策浅析，湖南大学学报，2001 年
黄京华，《电子商务教程》，清华大学出版社，2006 年。
《中国电子商务年鉴》2003 卷。