第一篇:电子商务安全技术论文
加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。明文变为密文的过程称为加密,由密文还原为明文的过程称为解密,加密和解密的规则称为密码算法。在加密和解密的过程中,由加密者和解密者使用的加解密可变参数叫做密钥。
目前,获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。它们的主要区别在于所使用的加密和解密的密码是否相同。
1.对称密钥加密体制
对称密钥加密,又称私钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
使用对称加密技术将简化加密的处理,每个参与方都不必彼此研究和交换专用设备的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过使用对称加密方法对机密信息进行加密以及通过随报文一起发送报文摘要或报文散列值来实现。
2.非对称密钥加密体制
非对称密钥加密系统,又称公钥密钥加密。它需要使用一对密钥来分别完成加密和解密操作,一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。
在非对称加密体系中,密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为私用密钥(解密密钥)加以保存。私用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布。
该方案实现信息交换的过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密信息进行解密。
认证技术
安全认证的主要作用是进行信息认证。信息认证的目的为:(1)确认信息发送者的身份;2)验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。下面从安全认证技术和安全认证机构两个方面来做介绍。
1.常用的安全认证技
安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。
(1)数字摘要
数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码,并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。
(2)数字信封
数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。这种技术的安全性相当高。
(3)数字签名
日常生活中,通常用对某一文档进行签名来保证文档的真实有效性,防止其抵赖。在网络环境中,可以用电子数字签名作为模拟。
把Hash函数和公钥算法结合起来,可以在提供数据完整性的同时保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的Hash,而不是由其他人假冒。而把这两种机制结合起来就可以产生数字签名。
(4)数字时间戳
在书面合同中,文件签署的日期和签名一样均是防止文件被伪造和篡改的关键性内容。而在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。
(5)数字证书
在交易支付过程中,参与各方必须利用认证中心签发的数字证书来证明各自的身份。所谓数字证书,就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。
数字证书是用来惟一确认安全电子商务交易双方身份的工具。由于它由证书管理中心做了数字签名,因此任何第三方都无法修改证书的内容。任何信用卡持有人只有申请到相应的数字证书,才能参加安全电子商务的网上交易。数字证书一般有四种类型:客户证书、商家证书、网关证书及CA系统证书。
2.安全认证机构
电子商务授权机构(CA)也称为电子商务认证中心(Certificate Authority)。在电子交易中,无论是数字时间戳服务还是数字证书的发放,都不是靠交易双方自己能完成的,而需要有一个具有权威性和公正性的第三方来完成。
认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。
安全认证协议
目前电子商务中有两种安全认证协议被广泛使用,即安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议。
1.安全套接层(SSL)协议
安全套接层协议是由Netscape公司1994年设计开发的安全协议,主要用于提高应用程序之间的数据的安全系数。SSL协议的概念可以被概括为:它是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议,该协议向基于TCp/Ip的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。目的是为用户提供Internet和企业内联网的安全通信服务。
SSL采用了公开密钥和专有密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。
2.安全电子交易(SET)协议
安全电子交易是一个通过开放网络进行安全资金支付的技术标准,由VISA和MasterCard组织共同制定,于1997年联合推出。由于它得到了IBM、Hp、Microsoft等很多大公司的支持,已成为事实上的工业标准,目前已获得IETF标准的认可。这是一个为Internet上进行在线交易而设立的一个开放的、以电子货币为基础的电子付款规范。
SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。SET将建立一种能在Internet上安全使用银行卡购物的标准。安全电子交易规范是一种为基于信用卡而进行的电子交易提供安全措施的规则,是一种能广泛应用于Internet上的安全电子付款协议,它能够将普遍应用的信用卡的使用场所从目前的商店扩展到消费者家里,扩展到消费者个人计算机中。
第二篇:论文《电子商务的安全技术》
电子商务的安全技术
杨 昆
(兴安职业技术学院
内蒙古乌兰浩特
137400)
摘要:随着信息技术在贸易和商业领域的广泛应用,利用计算机技术、网络通信技术和因特网实现商务活动的国际化、信息化和无纸化,已成为各国商务发展的一大趋势。电子商务正是为了适应这种以全球为市场的的变化而出现的和发展起来的,它是当今社会发展最快的领域之一。电子商务的发展正在改变着传统的贸易方式,缩减交易程序,提高办事效率。然而,随着Internet逐渐发展成为电子商务的最佳载体,互联网具有充分开放,不设防护的特点使加强电子商务的安全的问题日益紧迫,要加强电子商务的安全,需要有科学的、先进的安全技术。
关键字:电子商务 网络平台 防火墙 数据加密 中途分类号:TP393.07 文献标识码 A
在电子商务的交易中,经济信息、资金都要通过网络传输,交易双方的身份也需要认证,因此,电子商务的安全性主要是网络平台的安全和交易信息的安全。而网络平台的安全是指网络操作系统对抗网络攻击、病毒,使网络系统连续稳定的运行。常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术。交易信息的安全是指保护交易双方的不被破坏、不泄密,和交易双方身份的确认。可以用数据加密、数字签名、数字证书、ssl、set安全协议等技术来保护。下面重点阐述防火墙技术和数据加密技术。
一、防火墙技术
防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强Intranet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙一般运用了以下技术:
1、透明的访问方式
防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。
2、灵活的代理系统
代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。采用两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。
3、多级过滤技术
为保证系统的安全性和防护水平,防火墙采用了三级过滤措施,并辅以鉴别 1
手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,对服务的通行实行严格控制。
4、网络地址转换技术
防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
5、Internet网关技术
由于是直接串联在网络之中,防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。在域名服务方面,防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
6、安全服务器网络(SSN)为了适应越来越多的用户向Internet上提供服务时对服务器的需要,防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。
7、用户鉴别与加密
防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
8、用户定制服务
为了满足特定用户的特定需求,防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。
9、审计和告警
防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
防火墙技术从其功能上来分,还可以分为FTP防火墙、Telnet防火墙、Email 防火墙、病毒防火墙等等。通常几种防火墙技术被一起使用,以弥补各自的缺陷和增加系统的安全性能。
二、数据加密技术
在电子商务中,信息加密技术是其它安全技术的基础,加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式(即加密),在线路上传送或在数据库中存储,其他用户再将密文还原成明文(即解密),从而保障信息数据的安全性。数据加密的方法很多,常用的有两大类。一种是对称加密。一种是非对称密钥加密。
1、对称加密
对称加密也叫秘密密钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。这种方法使用简单,加密解密速度快,适合于大量信息的加密。但存在几个问题:第一,不能保证也无法知道密钥在传输中的安全。若密钥泄漏,黑客可用它解密信息,也可假冒一方做坏事。第二,假设每对交易方用不同的密钥,N对交易方需要N*(N-1)/2个密钥,难于管理。第三,不能鉴别数据的完整性。
2、非对称密钥加密
非对称密钥加密也叫公开密钥加密。公钥加密法是在对数据加解密时,使用不同的密钥,在通信双方各具有两把密钥,一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密,同样地,用私钥解密的数据只能用对应的公钥解密。具体加密传输过程如下:(1)发送方甲用接收方乙的公钥加密自己的私钥。
(2)发送方家用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方。
(3)接收方乙用自己的私钥解密,得到甲的私钥。(4)接收方乙用甲的公钥解密,得到明文。
这个过程包含了两个加密解密过程:密钥的加解密和文件本身的加解密。在密钥的加密过程中,由于发送方甲用乙的公钥加密了自己的私钥,如果文件被窃取,由于只有乙保管自己的私钥,黑客无法解密。这就保证了信息的机密性。另外,发送方甲用自己的私钥加密信息,因为信息是用甲的私钥加密,只有甲保管它,可以认定信息是甲发出的,而且没有甲的私钥不能修改数据。可以保证信息的不可抵赖性。公开密钥加密典型的代表是RSA算法,但是RSA的加密解密要两次,处理和计算量都比较大,速度慢,所以只适合于少量数据的加密。因此,在当前的加密应用中,经常使用对称密钥来对文本加密和解密,用非对称RSA加密体系对私钥加密和解密。发送方把密文和加密后的私钥一起发送给接收方。使用这种联合加密法,不仅可以确保数据的保密性,而且还可以实现一种名为数字签名的认证机制。发送者私钥加密的数据可以提供对发送者身份的认证,接收者私钥加密的数据可以提供对接收者身份的认证。
结论
随着电子商务的飞快发展,加强电子商务安全的问题日益紧迫,要加强电子商务的安全,需要有科学的、先进的安全技术。只有不断提高防火墙技术、数据加密技术等电子商务安全技术,才能为电子商务提供安全有效的技术保障。
参考文献:
1.隋红建,吴璇.计算机网络与通信[M].北京市:北京大学出版社,2001.155-164 2.马华东.多媒体计算机技术原理[M].北京市:清华大学出版社,1999.200-206 3.宋文官,徐继红.电子商务概论[M].大连市:东北财经大学出版社,2007.67-70 4.王忠诚.电子商务安全[M].北京市:机械工业出版社,2009.59-67
5.冯文辉,刘烔艳.电子商务案例分析[M].重庆市:重庆大学出版社,2002.43-54
第三篇:电子商务安全与技术,电子商务安全论文,电子商务加密技术论文
电子商务安全保密技术及应用论文
题目:电子商务存在隐患及防治措施
系部:信息工程系
专业:电子商务
班级:120502
学号:12050214
姓名:乔彪 成绩:
日期:2014年11月6日
随着电子商务不断的扩大影响,势必将成为一种新型的交易模式走入人们日常生活,计算机技术与其是密不可分,相辅相成的。电子商务的发展将带动计算机技术应用的更加广泛,计算机技术的进步将推动电子商务的蓬勃发展。而其在发展的过程中安全问题也变得越来越突出,可以说,没有安全就没有电子商务。
一、电子商务网络的安全隐患
1.窃取信息。交易双方进行交易的 内容 被第三方窃取。(2)交易一方提供给另一方使用的文件被第三方非法使用。
2.篡改信息。电子的交易信息在网络传输的过程中,可能被他人非法的修改、删除这样就使信息失去了真实性和完整性。
3.假冒。第三方可以冒充合法用户发送假冒的信息或者主动获取信息,有可能假冒一方的信誊或盗取被假冒一方的交易成果等。
4.恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,破坏网络的硬件或软件而导致交易信息传递丢失与谬误。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏。
二、电子商务的安全要求
1.交易者身份的可认证性。
在传统的交易中,交易双方往往是面对面进行活动的,这样很容易确认对方的身份。即使开始不熟悉,不能确信对方,也可以通过对方的签名、印章、证书等一系列有形的身份凭证来鉴别身份。然而,在进行网上交易时,情况就大不一样了,因为网上交易的双方可能素昧平生,相隔千里,并且在整个交易过程中都可能不见一面。要使交易成功,首先要能验证对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
2.信息的机密性。
由于电子商务是建立在一个开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。当交易双方通过Internet交换信息时,如果不采取适当的保密措施,就可能将通信内容泄密;另外,在网络上的文件信息如果不加密的话,也有可能被黑客窃取。上述种种情况都有可能造成敏感商业信息的泄漏,导致商业上的巨大损失。因此,电子商务一个重要的安全需求就是信息的保密性。这意味着,一定要对敏感信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,以使商业机密信息难以被泄漏。
3.信息的真实完整性。
信息输入时的意外差错或欺诈行为、传输过程中信息的丢失、重复或传送次序差异都会导致贸易各方信息的不同。交易的文件是不可被修改的,应该保证接受方收到的信息确实是发送方发送的,中途没有被非法用户篡改过。电子交易文件必须做到不可修改,以保障交易的严肃和公正。
三、电子商务交易中的一些网络安全技术
针对以上问题现在广泛采用了身份识别技术、数据加密技术、数字签名技术和放火墙技术、PKI技术。
1.身份识别技术。
通过电子网络开展电子商务,身份识别问题是一个必须解决的问题。一方面,只有合法用户才可以使用网络资源,所以网络资源管理要求识别用户的身份;另一方面,传统的交易方式,交易双方可以面对面地谈判交涉,很容易识别对方的身份。通过电子网络交易方式,交易双方不见面,并且通过普通的电子传输信息很难确认对方的身份。因此,电子商务中的身份识别问题显得尤为突出。
2.数据加密技术。
与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。
(1)对称加密技术
对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。
(2)非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。
3.智能化防火墙技术。
智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能 方法 来对数据进行识别,并达到访问控制的目的。新的方法,消除了匹配检查所需要的海量 计算,高效发现 网络 行为的特征值,直接进行访问控制。智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的 问题、病毒传播问题和高级 应用 入侵问题,代表着防火墙的主流 发展 方向。新型智能防火墙自身的安全性较传统的防火墙有很大的提高,在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面,与传统防火墙相比较有质的飞跃。
4.PKI技术。
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。
(1)认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职
责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。
(2)注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
(3)密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
(4)证书管理与撤消系统
证书是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,这就需要进行证书撤消。证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
四、总结
电子商务安全对计算机网络安全与商务安全提出了双重要求,其复杂程度比大多数计算机网络都高。在电子商务的建设过程中涉及到许多安全技术问题,制定安全技术规则和实施安全技术手段不仅可以推动安全技术的发展,同时也促进安全的电子商务体系的形成。当然,任何一个安全技术都不会提供永远和绝对的安全,因为网络在变化,应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的安全保障。
第四篇:论文-电子商务安全技术的发展和应用
交通信息工程毕业论文
题 目:电子商务安全技术的发展和应用
电子商务安全技术的发展和应用
摘要:文章认为随着Internet的热潮席卷全球,电子商务日益成为国民经济的亮点。然而,随着Internet逐渐发展成为电子商务的最佳载体,互联网具有充分开放,不设防护的特点使加强电子商务的安全问题日益紧迫,为确保信息的真实性、可靠性和保密性,才能够打消人们的顾虑,放心的参与电子商务。因此,必须建立安全电子商务的技术机制,即防火墙技术、加解密技术等。
关键字:安全技术 防火墙 数据加密
引言:在电子商务的交易中,经济信息、资金都要通过网络传输,交易双方的身份也需要认证,因此,电子商务的安全性主要是网络平台的安全和交易信息的安全。而网络平台的安全是指网络操作系统对抗网络攻击、病毒,使网络系统连续稳定的运行。防火墙技术、数据加解密技术、数字签名、身份认证和安全电子商务的国际规范等。在这里我想重点谈谈防火墙技术和数据加密技术。
一、防火墙技术。
防火墙是一种用来加强网络之间访问控制的特殊网络互联设备,如路由器、网关等。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络,另一方则称为外部网络或公用网络,它能有效地控制内部网络与外部网络之间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。所有来自Internet的传输信息或你发电子商务资料库的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:(1)过滤进、出网络的数据;(2)管理进、出网络的访问行为;(3)封堵某些禁止行为;(4)记录通过防火墙的信息内容和活动;(5)对网络攻击进行检测和告警。
国际标准化组织(ISO)的计算机专业委员会(ISO/IEC JTCI/SC21)根据网络开放系统互连7层模型(OSI/RM)制定了一个网络安全体系结构,用来解决网络系统中的信息安全问题,如表1所示
防火墙的基本准则:
未被允许的就是禁止的。基于该准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。这是一种非常实用的方法,可以造成一种相当安全的环境,因为只有经过仔细挑选的服务才被允许使用。其弊端是,安全性高于用户使用的方便性,用户所能使用的范围大大受到限制。
未被禁止的就是允许的。基于该准则,防火墙应转发所有信息流,然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务。其弊病是,在日益增多的网络服务面前,网管人员将疲于奔命,特别是受保护的网络范围增大时,很难提供可靠的安全防护。
防火墙是实现安全访问控制的,因此按照OSI/RM,防火墙可以在OSI/RM7层中的5层设置,如图1所示:
目前,从概念上来讲,防火墙技术主要分为9种:(1)包过滤(Packet filter)防火墙技术,又称筛选路由器(Screening router)或网络层防火墙(Network level firewall),它是对进出内部网络的所有信息进行分析,并按照一定的安全策略——信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础,比如IP数据包源地址、IP数据包目的地址、封装协议类型(TCP、UDP、ICMP等)、TCP/IP源端口号、TCP/IP目的端口号、ICMP报文类型等,当一个数据包满足过滤规则,则允许此数据包通过,否则拒绝此包通过,相当于此数据包所要到达的网络物理上被断开,起到了保护内部网络的作用。采用这种技术的防火墙优点在于速度快、实现方便,但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。
(2)应用层网关级(Application level gatewav)防火墙技术,又称代理(Proxy),它由两部分组成:代理服务器和筛选路由器。这种防火墙技术是目前最通用的一种,它是把筛选路由器技术和软件代理技术结合在一起,由筛选路由器负责网络的互联,进行严格的数据选择,应用代理则提供应用层服务的控制,如图3所示,代理服务器起到了外部网络向内部网络申请服务时中间转接作用。内部网络只接受代理服务器提出的服务请求,拒绝外部网络其它节点的直接请求,代理服务器其实是外部网络和内部网络交互信息的交换点,当外部网络向内部网络的某个节叔申请某种服务时,比如FTP、Telnet、WWW、Gopher、WAIS等,先由代理服务器接受,然后代理服务器根据其服务类型、服务内容、被服务的对象及其它因素,例如服务申请者的域名范围、时间等,决定是否接受此项服务,如果接受,就由代理服务器内部网络转发这项请求,并把结果反馈结申请者,否则就拒绝。根据其处理协议的功能可分为FTP网关型防火墙、Telnet网关型防火墙、WWW网关型防火墙、WAIS网关型防火墙等,它的优点在于既能进行安全控制又可以加速访问,安全性好,但是寥实现比较困难,对于每一种服务协议必须为其设计一个代理软件模块来进行安全控制。
(3)双宿主机(Dual-homed host)技术防火墙技术,又称堡垒主机(Bastion host),它的结构如图4所示,采用主机取代路由器执行安全控制功能,故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机,它可以用来在内部网络和外部网络之间进行寻径,如果在一台双宿主机中寻径功能被禁止了,则这个主机可以隔离与它相连的内部网络与外部网络之间的通信,而与它相连的内部网络和外部网络仍可以执行由它所提供的网络应用,如果这个应用允许的话,它们就可以共享数据,这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息,但内部网络与外部网络之间却不能传递信息,从而达到保护内部网络的作用。
(4)网络地址转换技术。
防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
(5)Internet网关技术。
由于是直接串联在网络之中,防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。
典型的Internet/Intranet防火墙配置如图5所示。
在域名服务方面,新一代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
(6)安全服务器网络(SSN)。
为了适应越来越多的用户向Internet上提供服务时对服务器的需要,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。
(7)用户鉴别与加密。
为了降低防火墙产品在Ielnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。新一代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
(8)用户定制服务。
为了满足特定用户的特定需求,新一代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。
(9)审计和告警。
新一代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。此外,防火墙还在网络诊断、数据备份保全等方面具有特色。
根据以上9种技术,在次我根据包过滤(Packet filter)防火墙技术和应用层网关级(Application level gatewav)防火墙技术再重点介绍其两主要防火墙的构造。
其一是包过滤型防火墙。
它一般由路由器实现,故也被称为包过滤路由器。如图6所示:
它在网络层对进入和出去内部网络的所有信息进行分析,一般检查数据包的IP源地址、IP目标地址、TCP端口号、ICMP消息类型,并按照信息过滤规则进行筛选,若符合规则,则允许该数据包通过防火墙进入内部网,否则进行报警或通知管理员,并且丢弃该包。这样一来,路由器能根据特定的刿则允许或拒绝流动的数据,如:Telnet服务器在TCP的23号端口监听远程连接,若管理员想阻塞所有进入的Telnet连接,过滤规则只需设为丢弃所有的TCP端口号为23的数据包。采用这种技术的防火墙速度快,实现方便,但由于它是通过IP地址来判断数据包是否允许通过,没有基于用户的认证,而IP地址可以伪造成可信任的外部主机地址,另外它不能提供日志,这样一来就无法发现黑客的攻击纪录。
其二是应用级防火墙。
大多数的应用级防火墙产品使用的是应用代理机制,内置了代理应用程序,可用代理服务器作内部网和Internet之间的的转换。若外部网的用户要访问内部网,它只能到达代理服务器,若符合条件,代理服务器会到内部网取出所需的信息,转发出去。同样道理,内部网要访问Internet,也要通过代理服务器的转接,这样能监控内部用户访问Internet.这类防火墙能详细记录所有的访问纪录,但它不允许内部用户直接访问外部,会使速度变慢。且需要对每一个特定的Internet服务安装相应的代理服务器软件,用户无法使用未被服务器支持的服务。
如图7所示:
防火墙技术从其功能上来分,又可分为FTP防火墙、Telnet防火墙、Email防火墙、病毒防火墙等各种专用防火墙。通常几种防火墙技术被一起使用来弥补各自的缺陷,增加系统的安全性能。
防火墙虽然能对外部网络的功击实施有效的防护,但对来自内部网络的功击却无能为力。网络安全单靠防火墙是不够的,还需考虑其它技术和非技术的因素,如信息加密技术、制订法规、提高网络管理使用人员的安全意识等。就防火墙本身来看,包过滤技术和代理访问模式等都有一定的局限性,因此人们正在寻找更有效的防火墙,如加密路由器、“身份证”、安全内核等。但实践证明,防火墙仍然是网络安全中最成熟的一种技术。
二、数据加密技术 在电子商务中,信息加密技术是其它安全技术的基础。加密的主要目的是防止信息的非授权泄露。加密可用于传输信息和存储信息。从谱分析的角度看,加密吧声音变成噪声,把图像变成雪花,把计算机数据变成一堆无规律的、杂乱无章的字符。攻击者即使得到经过加密的信息即密文,也无法辨认原文。因此,加密可以有效的对抗截收、非法访问数据库窃取信息等威胁。
加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。明文变为密文的过程称为加密,由密文还原为明文的过程称为解密,加密和解密的规则称为密码算法。在加密和解密的过程中,由加密者和解密者使用的加解密可变参数叫做密钥。据加密的方法很多,常用的有两大类。一种是对称加密。一种是非对称密钥加密。
对称加密也叫秘密密钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。
如图6所示
:
如果一个加密系统的加密密钥和解密密钥相同,或者虽然不相同,但是由其中任意一个可以很容易的推导出另一个,所采用的就是对称密码算法。对称密码算法的密钥必须妥善保管,因为任何人拥有了它就可以解开加密信息。对称密码算法的优点是计算开销小,加密速度快,是目前用于信息加密的主要算法。但是,对称加密技术存在着通信的贸易方之间确保密钥安全交换的问题。此外,当某一贸易方有N个贸易关系,那么他就要拥有并维护N个专用密钥(即每把密钥对应一个贸易方)。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的,也不能保证信息传送的完整性
非对称密钥加密也叫公开密钥加密。如图7所示:
公钥加密法是在对数据加解密时,使用不同的密钥,在通信双方各具有两把密钥,一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密,同样地,用私钥解密的数据只能用对应的公钥解密。电子商务的安全加密系统,倾向于组合应用对称密码算法和非对称密码算法。对称密码算法用于信息加密,非对称密码算法用于密码分发、数字签名及身份鉴别等。对文件加密传输的实际过程包括四步:
第一步,文件发送方产生一个对称密钥,并将此密钥用文件接收方的公钥加密后,通过网络传送给接收方。
第二步,文件发送方用对称密钥将需要传输的文件加密后,再通过网络传送给接收方。第三步,接收方用自己的私钥将收到的经过加密的对称密钥进行解密,得到发送方的对称密钥。
第四步,接收方用得到的对称密钥讲解收到的经过加密的文件进行解密,从而得到文件的原文。
这个过程包含了两个加密解密过程:密钥的加解密和文件本身的加解密。在密钥的加密过程中,由于发送方甲用乙的公钥加密了自己的私钥,如果文件被窃取,由于只有乙保管自己的私钥,黑客无法解密。这就保证了信息的机密性。另外,发送方甲用自己的私钥加密信息,因为信息是用甲的私钥加密,只有甲保管它,可以认定信息是甲发出的,而且没有甲的私钥不能修改数据。可以保证信息的不可抵赖性。
公开密钥加密典型的代表是RSA算法,它是由Rivest、Shamir、Adleman三人于1977年提出的一个公钥加密算法。但是RSA的加密解密要两次,处理和计算量都比较大,速度慢,所以只适合于少量数据的加密。因此,在当前的加密应用中,经常使用对称密钥来对文本加密和解密,用非对称RSA加密体系对私钥加密和解密。发送方把密文和加密后的私钥一起发送给接收方。使用这种联合加密法,不仅可以确保数据的保密性,而且还可以实现一种名为数字签名的认证机制。发送者私钥加密的数据可以提供对发送者身份的认证,接收者私钥加密的数据可以提供对接收者身份的认证。
结论:
防火墙技术和数据加密是网络安全的手段,是用来拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源,如果使用得当,可以在很大程度上提高网络安全性能,但是并不能百分之百解决网络上的信息安全问题,安防病毒的软件并定期执行检测,使用数字签名技术和数字证书等等,都是加强电子商务安全的重要技术措施。当然,任何一个安全产品或技术都不会提供永远和绝对的安全,因为网络在变化,应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的出路。
参考文献: 谢琳.防火墙策略与VPN配置,2007,16(4):110-114 2 凌捷.计算机安全技术及应用,2004(5):210-235 3 毛薇,李涛等.计算机网络防火墙技术.信息与管理工程版,2007,24(4):43-45 4 刘沙.数据加密技术的安全策略,2007,16(4):15-17 5 陈姝,电子商务安全技术.2007,38(13):20-23 6 王明伟.电子商务安全技术的发展.,2004(6):97-100 7 王水,余光莉等.计算机与网络,2007(13):51-52 8 韩松.网络与信息,2007,16(4):17-19
第五篇:电子商务网站管理及技术论文
电子商务网站管理及技术
现代社会已是计算机技术的信息时代社会,先进的科技技术让我们发挥优势来探究整个世界的奥秘。在这过程中,它带给我们无穷的惊喜,让我们感叹着这个世界的神秘感!但同时,它也改变着我们的生活方式及生活习惯。
在如今的21世纪,互联网已经遍布世界的各个角落,并得到迅速发展。随着计算机技术的发展,Internet改变了许多人的生活习惯、交流方式和思想观念,同时也改变了商业企业的经营行为,改写了商业企业的竞争规则,其中主要形式便是电子商务。
随着网络技术及相关的电子技术的迅速发展,电子商务企业不断增多,在网上开展商务及进行网络营销活动已成为时尚,也是现代企业参与国际竞争的最重要的手段之一。要进行电子商务活动就必须要有自己的网站,电子商务网站是树立企业形象和实现现代化办公的标志,是与用户交流及沟通的窗口;是买方和卖方信息交汇与传递的渠道;是企业或商家展 示其产品与服务的舞台。企业通过建立自己的网站可以更好地树立企业形象发布信息、提供服务、接受用户反馈信息,从而使企业获得更大的效益。其中,网站的规划是网站设计与管理的重要内容,它的好坏,直接影响着企业商务网站实施的成败。
为了实现网站商务功能最大化的目标,给受众群众提供方便、实用的信息服务,在规划设计时,必须遵守以下几个原则。
(1)先进性、可靠性和安全性的原则
电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。
1.信息保密的安全
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2.交易者身份的安全
3.还有一些其他的安全问题。比如,在网上进行商务活动时,也很有可能受到黑客的袭击,病毒的侵袭等。而安全也不仅仅是一个技术问题,还涉及到管理、法律、法规等问题。所以确保信息流通的系统安全是很有必要的,并以此来为业务提供一个安全的环境。先进性指以最先进的观点和设计思路来为用户设计出最先进的网站系统。
可靠性指为客户提供高度可靠的稳定运行保障。
(2)可扩展性、标准性和开放性的原则
(3)服务性、便捷性和交互性的原则
(4)美观性、实用性和宣传性的原则
在网站的设计中,我们也要注意网页布局设计和色彩搭配。不同的色彩代表不同的意义,从而给人的感觉也不一样。比如:红色是一种激奋的色彩,刺激强烈,能使人产生冲动、愤怒、热情、活力。白色是一种给人以洁白、明快、纯真的感觉。所以,我们要很注重网页色彩的应用,对布局也要慎重。
要建立好网站,网站的开发技术是很重要的,而它所涉及的领域也是很广泛的。例如,应用服务器、电子商务的认证中心、电子商务交易与制服等等。电子商务网站开发的软件技术包括:流媒体技术、网页开发技术等,下面我们就着重介绍一下邮件列表技术。
邮件列表也叫Mailing List,,是Internet上的一项比较常见的服务内容,用于各种群体之间的信息交流和信息发布。即同时可以向许多拥有电子邮件地址的人发送预备好的邮件,邮件内可以携带需要发布的各种信息。
邮件列表的表现形式可以有很多种,如新闻邮件、电子刊物、网站更新通知等。它既是建立顾客关系的有效工具,又是网络营销的最重要手段,同时也被认为是最有前途的网络广告形式之一。
邮件列表的类型可以分为公开、封闭、管制三种。
(1)公开类型指的是任何人都可以在列表里发表信件,如公开的讨论组、论坛。可是,虽然讨论组和邮件列表都是在一组人之间对某一话题通过电子邮件共享信息,但二者之间有一个根本的区别,讨论组中的每个成员都可以向其他成员同时发送邮件,而对于现在通常的邮件列表来说,是由管理者发送信息,一般用户只能接收信息。
(2)封闭类型指的是只有邮件列表的人才可以发表信件。
(3)管制类型指的是只有经过邮件列表管理员批准才可以发表信件。
对于电子商务来说,邮件列表是一个不可忽视的力量。它在电子商务中的主要作用有:促销工具的作用、相互交流的作用、邮购业务的作用、出售广告空间或提供收费信息服务的作用等等。邮件列表也可以为消费者提供方便,因为人们不可能每天都花费大量时间来搜集自己想要的相关信息,那么只要通过加入自己有关的邮件列表,只要检查自己的邮箱就可以了解各类信息了,所以,很方便消费者。
一般开展电子邮件列表需要解决三个基本问题:向哪些用户发送电子邮件、发送什么内容的电子邮件,以及如何发送这些邮件。这里将这三个基本问题进一步归纳为电子邮件列表的三大基础,即:(1)电子邮件列表的技术基础:从技术上保证用户加入、退出邮件列表,并实现对用户资料的管理,以及邮件发送和效果跟踪等功能;(2)用户的Email地址资源:在用户志愿加入邮件列表的前提下,获得足够多的用户Email地址资源,是电子邮件营销发挥作用的必要条件;(3)电子邮件列表的内容:列表信息是通过电子邮件向用户发送的,邮件的内容对用户有价值才能引起用户的关注,有效的内容设计是电子邮件列表发挥作用的基本前提。
建立并经营好一个邮件列表并不是一件简单的事情,涉及到多方面的问题。首先,邮件列表的建立通常要与网站的其他功能相结合,并不是一个人或者一个部门可以独立完成的工作,将涉及到技术开发、网页设计、内容编辑等内容,也可能涉及到市场、销售、技术等部门的职责,如果是外包服务,还需要与专业服务商进行功能需求沟通。其次,就如上面所述,邮件列表必须是用户志愿加入的,其内容也必须对用户是有价值的。第三,邮件列表的用户数量需要较长时期的积累,为了获得更多的用户,还需要对邮件列表本身进行必要的推广,同样需要投入相当的营销资源。
在开展邮件列表时也要注意一些问题,比如,其中的一些法律问题,还要防止垃圾邮件现象,还有一些关于部分邮件被屏蔽的现象和一些邮件无法正常投递的问题,我们还要时刻关注客户的投诉等等。这些问题将是影响邮件列表无法正常进行的重要因素,所以我们要对其重视。
一个高质量的邮件列表对于企业网络营销的重要性已经得到众多企业实践经验的证实,并且成为企业增强竞争优势的重要手段之一,因此建立一个属于自己的邮件列表是非常有必要的。利用电子邮件巧妙的组合进行销售、服务,乃是电子商务中取得长期成功的基本因素。所以,邮件列表是电子商务必不可少的工具。
总结上述,通过这学期的学习,在电子商务这门课中,我学到了很多知识。从不知道什么是电子商务到熟悉里面的术语、含义,再到掌握里面的一些技术,让我获益匪浅。现在的社会是高科技的信息时代,我们要跟的上时代的步伐,为以后的生活打好基础,并为社会贡献自己的一份力量!
点击咨询 