商務安全論文范例6篇

前言：中文期刊網精心挑選了商務安全論文范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

商務安全論文范文1

隨著信息技術在貿易和商業領域的廣泛應用，利用計算機技術、網絡通信技術和因特網實現商務活動的國際化、信息化和無紙化，已成為各國商務發展的一大趨勢。電子商務正是為了適應這種以全球為市場的的變化而出現的和發展起來的，它是當今社會發展最快的領域之一，同時也為全球的經濟發展帶來新的增長點。電子商務正在改變著人們的生活以及整個社會的發展進程，貿易網絡將引起人們對管理模式、工作和生活方式，乃至經營管理思維方式等等的綜合革新。對貿易和商業領域來說，電子商務的發展正在改變著傳統的貿易方式，縮減交易程序，提高辦事效率。現在，許多網站都提供有“商城”，供網民在網上購物?？梢哉f，電子商務應用將越來越普及。然而，隨著Internet逐漸發展成為電子商務的最佳載體，互聯網具有充分開放，不設防護的特點使加強電子商務的安全問題日益緊迫，只有在全球范圍建立一套人們能充分信任的安全保障制度，確保信息的真實性、可靠性和保密性，才能夠打消人們的顧慮，放心的參與電子商務。否則，電子商務的發展將失去其支撐點。

要加強電子商務的安全，需要企業本身采取更為嚴格的管理措施，需要國家建立健全法律制度，更需要有科學的先進的安全技術。

在電子商務的交易中，經濟信息、資金都要通過網絡傳輸，交易雙方的身份也需要認證，因此，電子商務的安全性主要是網絡平臺的安全和交易信息的安全。而網絡平臺的安全是指網絡操作系統對抗網絡攻擊、病毒，使網絡系統連續穩定的運行。常用的保護措施有防火墻技術、網絡入侵檢測技術、網絡防毒技術。交易信息的安全是指保護交易雙方的不被破壞、不泄密，和交易雙方身份的確認?？梢杂脭祿用堋底趾灻?、數字證書、ssl、set安全協議等技術來保護。

在這里我想重點談談防火墻技術和數據加密技術。

一、防火墻技術。

防火墻就是在網絡邊界上建立相應的網絡通信監控系統,用來保障計算機網絡的安全,它是一種控制技術,既可以是一種軟件產品,又可以制作或嵌入到某種硬件產品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強Intranet(內部網)之間安全防御的一個或一組系統,它由一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自Internet的傳輸信息或你發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。從總體上看,防火墻應該具有以下五大基本功能:(1)過濾進、出網絡的數據;(2)管理進、出網絡的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內容和活動;(5)對網絡攻擊進行檢測和告警。

新一代的防火墻產品一般運用了以下技術：

(1)透明的訪問方式。

以前的防火墻在訪問方式上要么要求用戶做系統登錄,要么需要通過SOCKS等庫路徑修改客戶機的應用。而現在的防火墻利用了透明的系統技術,從而降低了系統登錄固有的安全風險和出錯概率。

(2)靈活的系統。

系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊。采用兩種機制:一種用于從內部網絡到外部網絡的連接;另一種用于從外部網絡到內部網絡的連接。前者采用網絡地址轉接(NIT)技術來解決,后者采用非保密的用戶定制或保密的系統技術來解決。

(3)多級過濾技術。

為保證系統的安全性和防護水平,防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關一級,實現內部主機與外部站點的透膽連接,并對服務的通行實行嚴格控制。

(4)網絡地址轉換技術。

防火墻利用NAT技術能透明地對所有內部地址做轉換,使得外部網絡無法了解內部網絡的內部結構,同時允許內部網絡使用自己編的IP源地址和專用網絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。

(5)Internet網關技術。

由于是直接串聯在網絡之中,防火墻必須支持用戶在Internet互聯的所有服務,同時還要防止與Internet服務有關的安全漏洞,故它要能夠以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。為確保服務器的安全性,對所有的文件和命令均要利用“改變根系統調用(chroot)”做物理上的隔離。在域名服務方面,新一代防火墻采用兩種獨立的域名服務器:一種是內部DNS服務器,主要處理內部網絡和DNS信息;另一種是外部DNS服務器,專門用于處理機構內部向Internet提供的部分DNS信息。在匿名FTP方面,服務器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務器中,只支持靜態的網頁,而不允許圖形或CGI代碼等在防火墻內運行。在Finger服務器中,對外部訪問,防火墻只提供可由內部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件做處理,并利用郵件映射與標頭剝除的方法隱除內部的郵件環境。Ident服務器對用戶連接的識別做專門處理,網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。

(6)安全服務器網絡(SSN)。

為了適應越來越多的用戶向Internet上提供服務時對服務器的需要,新一代防火墻采用分別保護的策略對用戶上網的對外服務器實施保護,它利用一張網卡將對外服務器作為一個獨立網絡處理,對外服務器既是內部網絡的一部分,又與內部網關完全隔離,這就是安全服務器網絡(SSN)技術。而對SSN上的主機既可單獨管理,也可設置成通過FTP、Telnet等方式從內部網上管理。SSN方法提供的安全性要比傳統的“隔離區(DMZ)”方法好得多,因為SSN與外部網之間有防火墻保護,SSN與內部網之間也有防火墻的保護,而DMZ只是一種在內、外部網絡網關之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內部網絡仍會處于防火墻的保護之下,而一旦DMZ受到破壞,內部網絡便暴露于攻擊之下。

(7)用戶鑒別與加密。

為了降低防火墻產品在Ielnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統來作為用戶的鑒別手段,并實現了對郵件的加密。

(8)用戶定制服務。

為了滿足特定用戶的特定需求,新一代防火墻在提供眾多服務的同時,還為用戶定制提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數據庫的,便可以利用這些支持,方便設置。

(9)審計和告警。

新一代防火墻產品采用的審計和告警功能十分健全,日志文件包括:一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站、FTP、出站、郵件服務器、域名服務器等。告警功能會守住每一個TCP或UDP探尋,并能以發出郵件、聲響等多種方式報警。此外,防火墻還在網絡診斷、數據備份保全等方面具有特色。

目前的防火墻主要有兩種類型。其一是包過濾型防火墻。它一般由路由器實現，故也被稱為包過濾路由器。它在網絡層對進入和出去內部網絡的所有信息進行分析，一般檢查數據包的IP源地址、IP目標地址、TCP端口號、ICMP消息類型，并按照信息過濾規則進行篩選，若符合規則，則允許該數據包通過防火墻進入內部網，否則進行報警或通知管理員，并且丟棄該包。這樣一來，路由器能根據特定的劌則允許或拒絕流動的數據，如：Telnet服務器在TCP的23號端口監聽遠程連接，若管理員想阻塞所有進入的Telnet連接，過濾規則只需設為丟棄所有的TCP端口號為23的數據包。采用這種技術的防火墻速度快，實現方便，但由于它是通過IP地址來判斷數據包是否允許通過，沒有基于用戶的認證，而IP地址可以偽造成可信任的外部主機地址，另外它不能提供日志，這樣一來就無法發現黑客的攻擊紀錄。

其二是應用級防火墻。大多數的應用級防火墻產品使用的是應用機制，內置了應用程序，可用服務器作內部網和Internet之間的的轉換。若外部網的用戶要訪問內部網，它只能到達服務器，若符合條件，服務器會到內部網取出所需的信息，轉發出去。同樣道理，內部網要訪問Internet,也要通過服務器的轉接，這樣能監控內部用戶訪問Internet.這類防火墻能詳細記錄所有的訪問紀錄，但它不允許內部用戶直接訪問外部，會使速度變慢。且需要對每一個特定的Internet服務安裝相應的服務器軟件，用戶無法使用未被服務器支持的服務。

防火墻技術從其功能上來分，還可以分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等等。通常幾種防火墻技術被一起使用，以彌補各自的缺陷和增加系統的安全性能。

防火墻雖然能對外部網絡的功擊實施有效的防護，但對來自內部網絡的功擊卻無能為力。網絡安全單靠防火墻是不夠的，還需考慮其它技術和非技術的因素，如信息加密技術、制訂法規、提高網絡管理使用人員的安全意識等。就防火墻本身來看，包過濾技術和訪問模式等都有一定的局限性，因此人們正在尋找更有效的防火墻，如加密路由器、“身份證”、安全內核等。但實踐證明，防火墻仍然是網絡安全中最成熟的一種技術。

二、數據加密技術

在電子商務中，信息加密技術是其它安全技術的基礎，加密技術是指通過使用代碼或密碼將某些重要信息和數據從一個可以理解的明文形式變換成一種復雜錯亂的、不可理解的密文形式（即加密），在線路上傳送或在數據庫中存儲，其他用戶再將密文還原成明文（即解密），從而保障信息數據的安全性。

數據加密的方法很多，常用的有兩大類。一種是對稱加密。一種是非對稱密鑰加密。對稱加密也叫秘密密鑰加密。發送方用密鑰加密明文，傳送給接收方，接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。典型的代表是美國國家安全局的DES。它是IBM于1971年開始研制，1977年美國標準局正式頒布其為加密標準，這種方法使用簡單，加密解密速度快，適合于大量信息的加密。但存在幾個問題：第一，不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏，黑客可用它解密信息，也可假冒一方做壞事。第二，假設每對交易方用不同的密鑰，N對交易方需要N*(N-1)/2個密鑰，難于管理。第三，不能鑒別數據的完整性。

非對稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對數據加解密時，使用不同的密鑰，在通信雙方各具有兩把密鑰，一把公鑰和一把密鑰。公鑰對外界公開，私鑰自己保管，用公鑰加密的信息，只能用對應的私鑰解密，同樣地，用私鑰解密的數據只能用對應的公鑰解密。具體加密傳輸過程如下：

（1）發送方甲用接收方乙的公鑰加密自己的私鑰。

（2）發送方家用自己的私鑰加密文件，然后將加密后的私鑰和文件傳輸給接收方。

（3）接收方乙用自己的私鑰解密，得到甲的私鑰。

（4）接收方乙用甲的公鑰解密，得到明文。

這個過程包含了兩個加密解密過程：密鑰的加解密和文件本身的加解密。在密鑰的加密過程中，由于發送方甲用乙的公鑰加密了自己的私鑰，如果文件被竊取，由于只有乙保管自己的私鑰，黑客無法解密。這就保證了信息的機密性。另外，發送方甲用自己的私鑰加密信息，因為信息是用甲的私鑰加密，只有甲保管它，可以認定信息是甲發出的，而且沒有甲的私鑰不能修改數據?？梢员ＷC信息的不可抵賴性。

商務安全論文范文2

密碼是一個人的私有信息，通過設置密碼可以在一定程度上保證信息的安全性。在電子商務中會涉及到的銀行賬號的安全、交易信息的安全，都可以通過設置不同類型的密碼來保護。在設置密碼時可以設置不同的密碼，增加所設密碼的難度，定期修改密碼，以及登陸密碼和手機綁定密碼等多種途徑來保護賬號的安全。有很大一部分人喜歡用同樣的密碼，這是一種不好的習慣?？赡苡腥藭f：“如果不設置相同的密碼就記不住?！痹谶@種情況下可以采取多種加密形式來保證賬戶安全?，F在為了解決安全問題，不同的機構，包括電子商務公司、各大銀行都推出許多加密設備，我們可以選用。

二、數字簽名

在網絡環境中，網絡安全的最基本要求就是通信信息的真實和不可否認性，它要求通信雙方能互相證實，以防止第三者假冒通信的一方竊取、偽造信息。在網絡中實現通信真實性的方法是數字簽名（DigitalSignature)。我們在教學過程中讓學生能掌握的是正確使用自己的數字簽名，學生走上社會做的不是科學研究，是應用型電子商務，主要包括銀行賬號的安全、交易賬號的安全，可以使用不同的認證方法保證信息安全，數字簽名就是一種很好的方法。例如，作為商業機構可以選擇一家公信度較強、通過國際認證的CA認證中心，CA認證中心會對于你每次交易中數字簽名進行處理，證明交易中的身份，保證簽名的不可否認性，加快交易速度，節省交易時間。

三、不輕易打開網站鏈接

在日常店鋪管理中，交易身份的假冒和網站的假冒時有發生，為了防范這種騙局，我們要做的就是不打開不信任的網站，不打開別人發來的鏈接?，F在有一些騙子不僅是把自己偽裝成購物網站去騙買家，從而盜取買家的賬號、密碼。也有一些騙子專門去搜索一些新開的網店去欺騙賣家，一是因為新賣家經驗不足防騙知識薄弱，二是新賣家急于讓店鋪發生買賣，因此在交易時當這些不法分子告訴賣家自己進行的交易出現問題而發送鏈接時，賣家沒有仔細查看確認交易就貿然打開了鏈接，給店鋪造成了損失。

四、防火墻設置

近年來，作為保護計算機系統網絡安全的重要措施，防火墻技術正日趨成熟。對于一些與防火墻相沖突的軟件，需要關閉防火墻，有時網絡安全有問題時，又需要啟用防火墻。我們作為專業電子商務人員，要會對自己的電腦進行防火墻設置，設置時可以通過電腦的“控制面板”找到“防火墻”，打開“防火墻”自行設置。防火墻應該一直都處于打開的狀態。

五、計算機病毒防范

電子商務強調企業與商家通過網絡進行實時交流，安全防護的一點疏漏就可能使計算機病毒擴散到整個企業的網絡，可能感染客戶的計算機。因此應對計算機病毒進行防范。要想安全、可靠地防殺病毒，至少應該進行如下的工作：選擇好的防殺病毒軟件保護工作站、服務器；定期進行文件備份工作；定期對網絡進行病毒掃描，異常檢測；盡量多用無盤工作站；對遠程工作站的登陸權限實施嚴格控制，盡量少用超級用戶登錄；定期更新病毒庫；對網絡設備的安全隔離。

六、結語

商務安全論文范文3

通過對影響電子商務交易的網絡信息安全要素進行分析和研究，能夠對電子商務的網絡信息安全問題進行有效解決和保障。下文對網絡信息安全的幾方面要素進行分析。

1.1電子商務交易系統的可靠性

確保電子商務系統的可靠性主要是為了通過一定的控制及預防措施對其系統安全性進行保證，以防出現計算機癱瘓、硬件故障、軟件失效及信息傳輸錯誤等現象的發生。電子商務系統的可靠性及安全性對其傳輸、存儲的信息數據有著十分重要的保證作用，同時對系統的完整性也能夠起到監測作用，利用網絡安全技術能夠有效提高電子商務系統的可靠性。

1.2電子商務交易中的信息真實性

在電子商務交易過程中，交易雙方的身份信息安全性及真實性必須得到保證，即交易雙方必須是實際存在的。由于電子商務交易模式的特殊性，使得交易雙方能夠不同時出現在同地點就能夠通過網絡進行交易，因此在交易前必須先確定雙方建立起信任的關系，并對身份可靠性進行確認。在電子商務交易過程中供應商在履行約定后是否能準時收到貨款，而采購方在交付貨款后收到的貨物質量等問題是否與約定的內容相符，這兩方面的問題對電子商務交易中的信息真實性提出了很高的要求。

1.3電子商務交易中的數據安全性

在電子商務交易過程中所傳輸的數據信息，其安全性必須得到保證。信息若被泄露給未授權方會直接導致經濟等方面的損失。電子商務這種新型的交易方式，其交易信息能夠直接反映出個人、公司或機構等的商業機密。因此，保證傳輸數據不被非法竊取是其交易過程中的關鍵問題之一。

1.4電子商務交易中信息的完整性

在交易過程中通過網絡產生的數據信息完成性須得到保證，并且不能被隨意篡改。相較于傳統的交易方式，電子商務的交易過程具有較大的簡便性，相對簡化的交易程序對人為干擾因素進行了有效避免。但是，在其交易信息的傳輸過程中常常存在數據丟失、交易方欺詐行為等現象，導致最終交易雙方確認的信息不一致。因此，保證資料信息的完整性作為電子商務交易的基礎必須進行提高。

1.5電子商務交易的不可否認性

相較于傳統交易方式通過實際簽字或蓋章的形式對交易信息進行確認，在電子商務交易過程中，交易雙方需要以一種特定的形式對信息進行確認，并且承認信息的發送或者接受，不能隨意抵賴。這就要求電子商務交易中對交易雙方的信息交換通過利用無法復制、具有特點的信息對交易進行確認和保證。

2網絡信息安全對電子商務交易產生影響的主要問題

隨著計算機信息技術的廣泛使用，電子商務通過對其技術進行應用使得自身發展得到促進，同時其便捷性得到了人們的高度認可。電子商務的未來發展空間十分可觀。同時，其交易信息的安全性引起了人們的重視。在網絡信息安全技術的基礎上，電子商務通過利用互聯網信息的開放性特點，實現了不同地域的線上交易形式及其他商業活動的交易全部過程。電子商務這一新型交易模式成為了新時期全球的經濟熱點。由于其交易過程的開放性特征，以及其交易的全球性、共享性及發展動態性的特點，使得電子商務發展中的安全問題受到了社會各界的關注，同時對其自身發展也有一定的制約性。因此，對網絡信息安全對電子商務交易產生影響的主要問題進行研究十分必要。

2.1電子商務系統在運行過程中其網絡信息常常會遭到外界的攻擊，其中有服務性攻擊與非服務性攻擊兩種

非服務性攻擊是指指攻擊者通過利用各種非法手段對網絡的路由器等通信設名進行篡改，導致網絡通信設備無法正常使用或網絡無法正常工作；服務性攻擊即攻擊者通過利用服務器提供某類服務從而使網絡無法運行。拒絕服務是最典型的攻擊行為，通過使電子商務系統的網絡服務器充斥大量待回復的消息致使系統負荷超載、網絡癱瘓。

2.2計算機軟件、硬件的各方面情況對電子商務交易中的網絡信息系統會直接產生影響

計算機硬件主要有交換機、服務器及客戶端等；計算機軟件主要包括應用軟件、網絡操作系統及數據庫系統等。軟件漏洞是其網絡信息系統中最為典型的問題之一，緩沖區溢出現象時常發生并且會造成很嚴重的影響，使得系統程序運行失敗、計算機死機及系統重啟等。因此，必須通過有效措施對計算機網絡的硬件及軟件工作情況進行保證，以確保電子商務系統的正常操作。

2.3在電子商務交易中對信息的存儲和傳輸安全性要進行有效保證

信息的存儲安全性即對聯網狀態中的計算機存儲的信息安全進行保證，以實現未經授權的網絡用戶無法獲得存儲信息。未授權用戶通常會對用戶密碼進行猜測或者竊取，通過各種手段繞過網絡系統的安全認證，并對未授權信息進行非法修改、查看或者刪除；信息的傳輸安全性即對網絡傳輸中的信息數據的安全性進行保證，使其免遭攻擊或者泄露。

2.4電子商務的網絡系統有時也會受到內部的授權用戶的破壞

部分授權的合法用戶在運行電子商務網絡系統時，警惕性較低，將系統的安全密碼等機密信息無意泄露出去，從而導致安全性降低或者網絡受到攻擊。由于系統內部授權用戶自身的專業計算機知識缺乏，錯刪系統文件等行為都會直接對電子商務網絡信息系統的安全性造成破壞。

3提高電子商務中網絡信息安全性的對策

在電子商務交易平臺中，網絡信息的安全問題會出現各種需要解決的情況，為了保證電子商務交易能夠順利進行，對其網絡信息安全必須采取相應措施進行保證，當前主要有以下幾種解決對策：

3.1防火墻

防火墻的由來是中世紀的城堡防御技術，想要進入城堡的人必須通過吊橋并且接受士兵的檢查。從而引申出網絡防火墻技術的概念，即電子商務系統需要以一定的防護措施對用戶的授權等進行把關。

3.2黑客

隨著科學技術水平的提升，很多電腦愛好者的計算機水平也逐漸提高。目前已出現部分計算機水平較高的黑客設法繞過防火墻技術的控制，對電子商務網路系統進行干擾和入侵。因此，應利用相關入侵檢測技術即時地對外界產生的入侵或攻擊進行主動防御，以彌補防火墻技術的漏洞。通過在應用中采取監控措施、在電腦主機上進行監控措施及對網絡信息系統進行監控等辦法能夠有效抵御外界攻擊。

3.3病毒防御軟件

網絡病毒的數量及多樣性對計算機系統及信息等多方面都造成了嚴重的影響。網絡病毒對電子商務系統的運行也造成了惡劣影響。為保證電子商務網絡信息系統的安全運行應利用網絡病毒防御軟件進行保護，并保證交易信息的安全可靠性及速度。

3.4加密和秘鑰

為保證電子商務信息的安全性，應通過使用加密算法對其進行加密，將信息含義隱藏起來，以防外界入侵者的攻擊行為。同時利用密鑰管理技術作為加密信息的解密手段，只有授權合法的使用者能夠操作。

3.5數字信封

在公共網絡上使用傳統的信息加密技術及密鑰管理技術進行信息傳輸十分容易遭到外界的攻擊，可以通過數字信封技術來解決這一問題，能夠對信息在傳輸過程中的安全性進行保證。同時，為保證電子商務交易中的交易雙方能有有效辨識身份信息，通過數字簽名技術能夠實現這一目的，并且對交易信息的可靠性、安全性進行保障，最大程度地提高電子商務交易的效率及質量。

4通過建立電子商務安全機制保證其交易過程

信息及結算信息。同時商務主機需要向相關交易認證機構對客戶的訂單信息進行確認和反饋。因此，保證信息的安全性及完整性十分重要，以避免信息在傳輸的中途被篡改或者竊取，這對交易雙方來說極為重要。確保交易信息的完整性、有效性需要考慮的因素有很多，例如安全管理問題、物理安全問題、介質安全等各種問題，同時在技術上還需保證高要求。應采取相應措施對電子商務系統的訪問權限進行設置并建立安全防務機制。采取驗證身份信息等手段以杜絕信息竊取等危險的發生。通過對數據信息文件進行加密并提升防護安全的級別也可以對信息進行有效保護。在保障信息完整性時即通過建立安全機制確保數據信息不會被篡改或者盜取。安全機制包括訪問限制機制、信息完整性機制及交換鑒別機制等。

4.1無權限訪問控制機制

訪問控制指的是根據已確定好的過濾規則來判定決定訪問者是否擁有對于服務器的訪問權限。訪問控制可確保未無授權權限的訪問者或以未經授權的方式對數據、服務器以及通信系統等資源進行非法的修改、破壞與運行惡意代碼。

4.2數據單元的完整性機制

數據的完整性指的是數據單元的完整性與其序列的完整性。為確保數據的完整性，通常使用如下方式：發送者會在某個數據單元中加上一個經過加密的類似分組校驗、密碼校驗函數等數據自身函數的標記。接收者擁有對應的加密標記，在受到數據后可將對應的加密標記跟接收數據中的標記進行比對，便可以保證數據在傳輸時的完整性。數據單元的序列完整性指的是確定數據的時間標記的正確性與數據的編號連續性，這樣可確保無權限者不會對數據進行創建、刪除、修改等非法操作。如果發生這類對數據的非法修改等惡意操作，會對經濟產生巨大的沖擊。

4.3信息交換鑒別機制

交換鑒別指的是通過進行信息交換的方法來確保實體身份有效合法的機制。進行信息交換鑒別時，通常用到的技術有以下幾種：①口令：發送方設置口令，然后由接收方進行校驗。②數據加密：對將要進行交換的數據進行加密處理，只有擁有權限的用戶方可進行解密，從而得到正確的明文數據。通常實際中，數據加密往往與以下兩種技術混合使用：雙方、三方“握手”或是時間標記。③經公證機構認可的數字簽名：數字簽名指的是通過實體的法律所有權與生理特征進行實體身份的鑒別，實際中一般使用指紋識別與身份信息卡等。

4.4隨機數據發送機制

隨機數據發送指的是保密裝置會網絡中無信息傳輸的任務時，無目的性的發出隨機的數據序列。這樣可以迷惑非法的監聽者，使其無法得知監聽到的數據序列中是否存在有用信息。此種方式一般用來阻止非法的監聽者在傳輸時對數據序列進行監聽、流量流向分析等。

4.5路由器選擇機制

實際中的大型網絡中往往從源節點到目標節點之間會存在很多線路，這其中就存在各條線路安全與否的問題。路由器選擇機制可以為發送方提供選擇安全路由的選項，為數據的安全提供保障。

5結束語

商務安全論文范文4

[關鍵詞]電子商務反向網站資源安全DNS

一、引言

電子商務是利用先進的電子技術進行商務活動的總稱。它通過網絡、使用先進的信息處理工具，利用計算機這種載體，將買賣雙方的商務信息、產品信息、銷售信息、服務信息，以及電子支付等活動，用相互認同的交易標準來實現。進行電子商務活動的最基礎平臺是電子商務網站，電子商務網站在企業的電子商務體系中有著重要的作用，其安全直接關系企業實施電子商務能否成功。

目前，對電子商務網站的保護，采用最多的方法是使用防火墻技術，只允許用戶訪問網站的WEB服務，過濾掉對網站服務器其他服務的訪問。這種方法有一個問題：網站的WEB服務對外來說是完全暴露的，用戶可以直接和網站服務器通信。

二、反向技術

通常的一般稱為正向，只用于內部網絡對外部網絡的連接請求，不支持外部網絡對內部網絡的訪問請求（因為內部網絡對外部網絡來說是不可見的）。當一個服務器能夠外部網絡上的主機訪問內部網絡時，這種的方式稱為反向。

反向就是通常所說的WEB服務器加速，它是一種通過在繁忙的WEB服務器和外部網絡之間增加一個高速的WEB緩沖服務器來降低實際的WEB服務器的負載的一種技術。反向是針對WEB服務器提供加速功能的，作為緩存，它并不是針對瀏覽器用戶，而針對一臺或多臺特定WEB服務器，它可以外部網絡對內部網絡的訪問請求。

反向服務器會強制將外部網絡對要的服務器的訪問經過它，這樣反向服務器負責接收客戶端的請求，然后到源服務器上獲取內容，把內容返回給用戶并把內容保存到本地，以便日后再收到同樣的信息請求時，它會把本地緩存里的內容直接發給用戶，以減少后端WEB服務器的壓力，提高響應速度，的服務器對外部網絡來說是不可見的。

反向服務器的工作流程歸納如下：

1.用戶通過域名發出訪問WEB服務器的請求，該域名被DNS服務器解析為反向服務器的IP地址，因此用戶的請求被重定向到反向服務器。

2.反向服務器接受用戶的請求。

3.反向服務器在本地緩存中查找請求的內容，找到后直接把內容發送給用戶。

4.如果本地緩存里沒有用戶所請求的信息內容，反向服務器會代替用戶向源WEB服務器請求同樣的信息內容，并把信息內容轉發給用戶，如果信息內容是可緩存的還會把它保存到緩存中。

實施反向，只要將反向服務器放置在要的WEB服務器前端并在DNS系統中將要的服務器域名解析為反向服務器IP地址（達到強制將外部網絡對要服務器的訪問經過反向服務器的目的）即可，如圖1所示：

在企業的電子商務網站建設中采用反向技術后，解決了網站服務器對外可見的問題，還有如下幾個突出優點：

1.節約了有限的IP地址資源。企業內所有的網站共享一個在Internet中注冊的IP地址，這些服務器分配私有地址，采用虛擬主機的方式對外提供服務。

2.保護了真實的WEB服務器。企業內所有網站服務器對外都不可見，外網只能看到反向服務器，而反向服務器上并沒有存放實際的資源，因此，可以保證真實WEB服務器上資源的安全。

3.加快了對網站的訪問速度，減輕WEB服務器的負擔。反向服務器具有緩存網頁的功能，如果用戶需要的內容在緩存中，則可以直接從服務器中取得，減輕了WEB服務器的負荷，同時也加快了用戶的訪問速度。

三、反向服務器的部署

目前，能夠實現反向的軟件有很多，但用的最多還是由美國政府大力助的Squid開源免費軟件，該軟件可運行在任何平臺上，本文選擇Linux操作系統來部署Squid，因為Linux系統也是開源免費的。

1.Squid軟件的獲取?？梢詮膕quid-網站下載squid軟件的最新版本，本文下載的是squid-2.6.STABLE13.tar.gz。2.Squid軟件的安裝。

(1)將獲取的文件squid-2.6.STABLE13.tar.gz拷貝到/tmp目錄；

(2)解壓該文件，運行tarxvzfsquid-2.6.STABLE13.tar.gz命令，在/tmp目錄中生成名為squid-2.6.STABLE13的目錄；

(3)進入該目錄，執行./configure，系統缺省將軟件安裝在/usr/local/Squid目錄，用戶也可以用--prefix=目錄，指定安裝目錄；

(4)運行make；

(5)運行makeinstall；

(6)如沒有錯誤，安裝結束，Squid的可執行文件在安裝目錄的bin子目錄下，配置文件在ctc子目錄下。

3.Squid軟件的配置。通過squid配置反向主要就是配置“squid.conf”這個配置文件，Squid2.6中和反向配置相關的主要包含以下三項（詳細配置可參考squid-）：

(1)http_port配置反向服務器的IP地址（和外網相連地址）和監聽端口http_port202.115.144.30:80vhostvport。

(2)cache_peer配置內部的WEB服務資源，該資源可以是真實WEB服務器的IP地址，也可以是的域名（內部可見的域名），一般都采用IP地址,需要反向幾個WEB服務器就要有幾個對應。的配置cache_peer192.168.1.254parent800no-queryoriginserver

(3)cache_peer_domain指定對外部的資源（外網可見的域名）與真實資源的對應關系，同樣，需要反向幾個WEB服務器就要有幾個對應的配置。

4.DNS系統的配置。在DNS服務器中將所有需要的真實WEB服務器的域名對應于反向服務器的IP地址INA202.115.144.30，經過這樣對Squid配置和DNS的修改后，對的訪問都會由反向服務器202.115.144.30定向到192.168.1.254這臺真實的WEB服務器。

四、反向服務器的安全

Squid本身不具有認證程序，但是可以通過外部認證程序來實現用戶認證，最常用的是采用NCSA認證，因為NCSA認證是Squid源代碼包自帶的一個外部認證程序。操作方法如下：

1.cd/tmp/squid-2.6.STABLE13/auth-modules/NCSA。

2.make；makeinstall。

3.編譯成功后，會生成ncsa-auth的可執行文件，拷貝生成的執行文件ncsa-auth到/usr/local/squid/bin目錄cpncsa_auth/usr/local/squid/bin。

4.修改squid．conf中的相關選項如下所示：

Authenticate_program/usr/local/squid/bin/ncsa_auth/usr/local/squid/etc/passwd。

5.定義相關的用戶類aclauth_userproxy_authREQUIRED。

注意，REQUIRED關鍵字指明了接收所有合法用戶的訪問。

6.設置http_access。

http_accessallowauth_user。

7.利用apache攜帶的工具軟件htpasswd在/usr/local/squid/etc下生成密碼文件并添加相應的用戶信息，該密碼文件每行包含一個用戶的用戶信息，即用戶名和密碼；htpasswd-c/usr/local/squid/etc/passwdtesttest。這樣就在密碼文件passwd中添加用戶和密碼都是test的用戶。然后重新啟動Squid，密碼認證就生效了，訪問服務器就需要輸入賬號和密碼。

五、結束語

反向方式不單是一種WEB服務器加速器，而且使也一種對外提供WEB時使用的有效的防火墻技術，使用它不但能節約緊缺的IP地址資源，加速WEB服務器的訪問速度，而且能夠保護WEB服務器，因此能夠適應多種應用場合,特別是應用在電子商務這種對安全要求特別高的場合。

參考文獻:

商務安全論文范文5

關鍵詞:移動電子商務IEEE802.11WAPWPKI

隨著無線通信技術的發展,移動電子商務已經成為電子商務研究熱點。移動電子商務是將現代信息科學技術和傳統商務活動相結合,隨時隨地為用戶提供各種個性化的、定制的在線動態商務服務。

但在無線世界里,人們對于進行商務活動安全性的考慮比在有線環境中要多。只有當所有的用戶確信,通過無線方式所進行的交易不會發生欺詐或篡改、進行的交易受到法律的承認和隱私信息被適當的保護時,移動電子商務才有可能蓬勃開展。

移動電子商務通信安全的現狀

由于無線通訊接入方式非常靈活,所以其對安全的要求更高。實際上,主要的無線通信技術都有各自的措施、協議和方法來保證各自體制下的通信安全。這里我們將從無線網絡和電子商務應用兩個方面作簡要討論。

無線局域網

無線局域網絡是以無線連接至局域網絡的通訊方式。它采用的是IEEE802.11系列標準。在該標準中,無線局域網的安全機制采用的是WEP協議(有線對等安全協議)。在數據鏈路用WEP加密數據,保證了信道上傳送數據的安全。另外,無線局域網的網絡管理員分配給每個授權用戶一個基于WEP算法的密鑰,這樣就有效阻止了非授權用戶的訪問。

WAP(無線應用協議)技術

WAP由一系列協議組成,用來標準化無線通信設備,例如:移動電話、移動終端;它負責將Internet和移動通信網連接到一起,客觀上已成為移動終端上網的標準。WAP協議可以廣泛地運用于GSM、CDMA、TDMA、3G等多種網絡。

WAP的安全機制是通過WTLS(無線傳輸層安全)協議來實現的。WTLS協議類似于互聯網傳輸層安全協議。在無線技術的有限的發送功率、存儲容量及帶寬的條件下,WTLS能夠實現鑒定,保證數據的完整性和提供保密服務的目標。

數字認證技術

對諸如移動電子商務和有重要使命的合作通信等活動,其安全性的一個關鍵方面是能否對信息發送者的身份進行論證,通常都要利用有線安全的公開密鑰基本構架(PKI)。

PKI提供與加密和數字證書有關的一系列技術。但在無線通信環境中,PKI是很難實現的。在只有有限計算能力和低數據流通率的設備上實現PKI中的服務一直是一個有挑戰性的難題。同時在PKI的基礎上,要將無線設備與有線設備之間進行互通也是有難度的。因此無線PKI(WPKI)協議是要將標準的PKI進行修正和簡化,使其在無線通信的環境下達到最優。

移動電子商務安全分析

IEEE802.11的安全

IEEE802.11標準規定了MAC層的存取控制規范,也定義了加密機制,即上述的WEP。WEP的目的是通過對信息流加密并利用WEP認證節點,使無線通信傳輸像有線網絡一樣安全。

WEP加密使用共享密鑰和RC4加密算法。訪問點(AP)和連接到該訪問點的所有工作站必須使用同樣的共享密鑰。對于往任一方向發送的數據包,傳輸程序都將數據包的內容與數據包的檢驗組合在一起。然后,WEP標準要求傳輸程序創建一個特定于數據包的初始化向量(IV),后者與密鑰k相組合在一起,用于對數據包進行加密。接收器生成自己的匹配數據包密鑰并用之對數據包進行解密。在理論上,這種方法優于單獨使用共享私鑰的顯式策略,應該使對方更難于破解。

但是,IEEE802.11中用于安全的WEP算法只是提供相當于有線局域網基本安全的安全級別,根本不是一種全面的安全方案。越來越多的安全專家和研究人員發現IEEE802.11存在安全漏洞,有經驗的黑客會利用這些漏洞進行攻擊。其缺陷主要有:RC4算法本身就有一個小缺陷。WEP標準允許IV重復使用(平均大約每5小時重復一次)。WEP標準不提供自動修改密鑰的方法。

最早的WEP實施只提供40位加密,這使得它抗暴力攻擊能力差?，F代的系統提供128位的WEP,128位的密鑰長度減去24位的IV后,實際上有效的密鑰長度為104位。盡管如此,128位的WEP版本也不能保證絕對安全。最好的解決辦法是把無線網絡放在機構防火墻之外,這種防范措施會強制要求將無線連接當作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。

所以,WEP應該與其他安全機制一起應用才能提供較強的安全。

WAP的安全

WAP規范的安全特性包括幾個部分:WTLS協議、用于存儲用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。

WTLS協議:WTLS基于IETF小組的SSL/TLS協議,提供了實體鑒別、數據加密和保護數據完整性的功能,所以可以確保在WAP裝置和WAP網關之間的安全通信。有三種不同級別的WTLS:

1級:執行未經證實的Diffie-Hellman密鑰交換以建立會話密鑰。

2級:使用與SSL/TLS協議相類似的公開密鑰證書機制進行服務器端鑒別。

3級:客戶端和服務器端采用X.509格式證書相互進行鑒別。

早期WAP裝置僅僅采用了第1級別的WTLS,這種級別的安全不夠,所以不能用于電子商務。目前,支持第2和第3級別WTLS的移動裝置從市場上可以得到,它們可以確保網上銀行交易和購物等應用的機密性。

WIM:為了便于客戶端的鑒別,新一代的WAP電話提供了WIM。WIM包含了WTLS3級的功能,并嵌入了對公開密鑰加密技術的支持(RSA是強制的,而ECC是可選的)。生產廠家為WIM配備了兩套公私密鑰對(一套用于簽名,另一套用于鑒別)和兩個廠商的證書。用配置在WIM上的公匙把廠商的證書和廠商名字捆綁在一起。這樣,通過WIM和WAP網關建立的所有WTLS會話都將使用相同的公匙用作初始會話。每一個會話都將包括與此密鑰對應的一個不同的證書。WIM的基本要求是它們要具有抗篡改的能力。

SignText功能:這個功能為WAP用戶提供了數字簽名。同電子簽名功能一樣,這個功能可以被應用于其他無線設備,或者是手持設備,或者是內嵌SIM卡。

WAP的安全分析:由WAP提供的最好的安全是WTLS3級,多數情況下WTLS已足以確保WAP的安全。但是,由于WAP網關在WAP設備和Web服務器之間起著翻譯的作用,相應的帶來了安全問題:WTLS安全會話建立在手機與WAP網關之間,而與終端服務器無關。這意味著數據只在WAP手機與網關之間加密,網關將數據解密后,利用其他方法將數據再次加密,然后經過TLS連接發送給終端服務器。由于WAP網關可以看見所有的數據明文,而該WAP網關可能并不為服務器所有者所擁有,這樣,潛在的第三方可能獲得所有的傳輸數據。

目前,針對上述安全性問題,可以采用這樣的措施來提高WAP的安全性:盡力確保WAP網關的安全。如果WAP網關位于WAP服務供應商范圍之內,可以通過諸如在內存中對加密和解密過程進行最優化以減少數據明文存在的時間、在釋放前覆蓋加密解密進程使用的內存以確保數據的安全性。對于安全要求較高的公司可以擁有自己的WAP網關,從而保障數據端到端的安全性。通過WIM實現數據安全性。

WPKI技術

在有線通信中,電子商務交易的一個重要安全保障是PKI。PKI的系統概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務交易的安全問題,但在應用PKI的同時要考慮到移動通信環境的特點,并據此對PKI技術進行改進。

WPKI技術滿足移動電子商務安全的要求:即保密性、完整性、真實性、不可抵賴性,消除了用戶在交易中的風險。WPKI技術主要包含以下幾個方面:

認證機構(CA)CA系統是PKI的信任基礎,負責分發和驗證數字證書,規定證書的有效期,證書廢除列表。

注冊機構(RA)RA提供用戶和CA之間的一個接口。作為認證機構的校驗者,在數字證書分發給請求者之前對證書進行驗證。

智能卡智能卡將具有存儲、加密及數據處理能力的集成電路芯片鑲嵌于塑料基片中,具有體積小、難于破解等特點,在生產過程、訪問控制方面有很強的安全保障。很多種需要客戶端認證的應用都可以使用智能卡來實現。并且智能卡也是存儲移動電子商務密鑰及相關數字證書的最佳選擇。

加密算法加密算法越復雜,密鑰越長則安全性越高,但執行運算所需的時間也越長(或需要計算能力更強的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有協處理器的芯片。而ECC使用較短的密鑰就可以達到和RSA算法相同的加密強度。由于智能卡受CPU處理能力和RAM大小的限制,因而采用一種運算量小同時能提供高加密強度的公鑰密碼體制對在智能卡上實現數字簽名應用是至關重要的,ECC在這方面具有很大的優勢。

綜上所述,在WPKI機制下,數字證書非常重要,但是由于無線信道和移動終端的限制,如何安全、便捷地交換用戶的數字證書是WPKI所必須解決的問題。可以采用以下2種辦法解決:WTLS證書,WTLS證書的功能與X.509證書相同,但更小、更簡化,利于在資源受限的手持終端中處理。但所有證書必須含有與密鑰交換算法相一致的密鑰,除非特別指定,簽名算法必須與證書中密鑰的算法相同:移動證書標識,將標準的一個X.509證書與移動證書標識唯一對應,并且在移動終端中嵌入移動證書標識,用戶每次只需要將自己的移動證書標識與簽名數據一起提交給對方,對方再根據移動證書標識檢索相應的數字證書即可。

目前,大多數移動電子商務采用的安全方式是非PKI的方式,這種方式主要采用對稱加密算法和單向散列函數來提供安全服務,其密鑰的管理是由移動運營商建立一套主密鑰管理系統,為不同的服務提供商分配不同的密鑰,每次交易過程中,服務提供商與用戶協商產生會話加密密鑰。顯然,采用這種方式構建的系統的安全性主要取決于主密鑰的安全。

盡管非PKI方式對于無線終端有限的處理能力來說尤其適合,而且通過黑名單管理等方法可以使系統的安全得到較好的保障,但是從長遠來說,移動電子商務有必要逐步過渡到PKI方式。

移動電子商務隨著移動互聯網技術的成熟發展迅速,其獨特的應用領域使得其安全問題倍受關注。從技術角度上看,一方面無線通信的安全處在不斷地發展和完善之中,其應用到移動電子商務中時要與其它的安全機制相結合才能滿足實際應用的需要;另一方面有線電子商務的安全技術不能解決移動電子商務的安全問題,所以WPKI技術是一個現實的選擇。因此,將這兩方面進行改進并進行有機整合,才能營造一個安全的移動電子商務環境。

參考文獻:

1.儲節旺,郭春俠.移動電子商務研究[J].現代情報,2002,3(3)

2.姜志,聶志鋒.移動電子商務及其關鍵技術[J].湖北郵電技術,2002,9(3)

商務安全論文范文6

關鍵詞:電子商務;網絡銀行;私有密鑰加密法;公開密鑰加密法

對數據進行有效加密與解密,稱為密碼技術,即數據機密性技術。其目的是為了隱蔽數據信息,將明文偽裝成密文,使機密性數據在網絡上安全地傳遞而不被非法用戶截取和破譯。偽裝明文的操作稱為加密,合法接收者將密文恢復出原明文的過程稱為解密,非法接收者將密文恢復出原明文的過程稱為破譯。密碼是明文和加密密鑰相結合,然后經過加密算法運算的結果。加密包括兩個元素,加密算法和密鑰。加密時所使用的信息變換規則稱為加密算法,是用來加密的數學函數,一個加密算法是將普通的文本(或者可以理解的信息)與一串字符串即密鑰結合運算,產生不可理解的密文的步驟。密鑰是借助一種數學算法生成的,它通常是由數字、字母或特殊符號組成的一組隨機字符串,是控制明文和密文變換的唯一關鍵參數。對于相同的加密算法,密鑰的位數越多,破譯的難度就越大,安全性就越好。目前,電子商務通信中常用的有私有(對稱)密鑰加密法和公開(非對稱)密鑰加密法。

一、私有密鑰加密法

(一)定義

私有密鑰加密,指在計算機網絡上甲、乙兩用戶之間進行通信時,發送方甲為了保護要傳輸的明文信息不被第三方竊取,采用密鑰A對信息進行加密而形成密文M并發送給接收方乙,接收方乙用同樣的一把密鑰A對收到的密文M進行解密,得到明文信息,從而完成密文通信目的的方法。這種信息加密傳輸方式,就稱為私有密鑰加密法。上述加密法的一個最大特點是,信息發送方與信息接收方均需采用同樣的密鑰,具有對稱性,所以私有密鑰加密又稱為對稱密鑰加密。

(二)使用過程

具體到電子商務,很多環節要用到私有密鑰加密法。例如,在兩個商務實體或兩個銀行之間進行資金的支付結算時,涉及大量的資金流信息的傳輸與交換。這里以發送方甲銀行與接收方乙銀行的一次資金信息傳輸為例,來描述應用私有密鑰加密法的過程:銀行甲借助專業私有密鑰加密算法生成私有密鑰A,并且復制一份密鑰A借助一個安全可靠通道(如采用數字信封)秘密傳遞給銀行乙;銀行甲在本地利用密鑰A把信息明文加密成信息密文;銀行甲把信息密文借助網絡通道傳輸給銀行乙;銀行乙接受信息密文;銀行乙在本地利用一樣的密鑰A把信息密文解密成信息明文。這樣銀行乙就知道銀行甲的資金轉賬通知單的內容,結束通信。

(三)常用算法

世界上一些專業組織機構研發了許多種私有密鑰加密算法,比較著名的有DES算法及其各種變形、國際數據加密算法IDEA等。DES算法由美國國家標準局提出,1977年公布實施,是目前廣泛采用的私有密鑰加密算法之一,主要應用于銀行業中的電子資金轉賬、軍事定點通信等領域,比如電子支票的加密傳送。經過20多年的使用,已經發現DES很多不足之處,隨著計算機技術進步,對DES的破解方法也日趨有效,所以更安全的高級加密標準AES將會替代DES成為新一代加密標準。

(四)優缺點

私有密鑰加密法的主要優點是運算量小,加解密速度快,由于加解密應用同一把密鑰而應用簡單。在專用網絡中由于通信各方相對固定、所以應用效果較好。但是,私有密鑰加密技術也存在著以下一些問題:一是分發不易。由于算法公開,其安全性完全依賴于對私有密鑰的保護。因此,密鑰使用一段時間后就要更換,而且必須使用與傳遞加密文件不同的途徑來傳遞密鑰,即需要一個傳遞私有密鑰的安全秘密渠道,這樣秘密渠道的安全性是相對的,通過電話通知、郵寄軟盤、專門派人傳送等方式均存在一些問題。二是管理復雜,代價高昂。私有密鑰密碼體制用于公眾通信網時,每對通信對象的密鑰不同,必須由不被第三者知道的方式,事先通知對方。隨著通信對象的增加,公眾通信網上的密碼使用者必須保存所有通信對象的大量的密鑰。這種大量密鑰的分配和保存,是私有密鑰密碼體制存在的最大問題。三是難以進行用戶身份的認定。采用私有密鑰加密法實現信息傳輸,只是解決了數據的機密性問題,并不能認證信息發送者的身份。若密鑰被泄露,如被非法獲取者猜出,則加密信息就可能被破譯,攻擊者還可用非法截取到的密鑰,以合法身份發送偽造信息。在電子商務中,有可能存在欺騙,別有用心者可能冒用別人的名義發送資金轉賬指令。因此,必須經常更換密鑰,以確保系統安全。四是采用私有密鑰加密法的系統比較脆弱,較易遭到不同密碼分析的攻擊。五是它僅能用于對數據進行加解密處理,提供數據的機密性,不能用于數字簽名。

二、公開密鑰加密法

(一)定義與應

用原理

公開密鑰加密法是針對私有密鑰加密法的缺陷而提出來的。是電子商務應用的核心密碼技術。所謂公開密鑰加密,就是指在計算機網絡上甲、乙兩用戶之間進行通信時,發送方甲為了保護要傳輸的明文信息不被第三方竊取,采用密鑰A對信息進行加密而形成密文M并發送給接收方乙,接收方乙用另一把密鑰B對收到的密文M進行解密,得到明文信息完密文通信目的的方法。由于密鑰A、密鑰B這兩把密鑰中其中一把為用戶私有,另一把對網絡上的大眾用戶是公開的,所以這種信息加密傳輸方式,就稱為公開密鑰加密法。與私有(對稱)密鑰加密法的加密和解密用同一把密鑰的原理不同,公開密鑰加密法的加密與解密所用密鑰是不同的,不對稱,所以公開私有密鑰加密法又稱為非對稱密鑰加密法。

公開密鑰加密法的應用原理是:借助密鑰生成程序生產密鑰A與密鑰B,這兩把密鑰在數學上相關,對稱作密鑰對。用密鑰對其中任何一個密鑰加密時,可以用另一個密鑰解密,而且只能用此密鑰對其中的另一個密鑰解密。在實際應用中,某商家可以把生成的密鑰A與密鑰B做一個約定,將其中一把密鑰如密鑰A保存好,只有商家自己知道并使用,不與別人共享,叫作私人密鑰;將另一把密鑰即密鑰B則通過網絡公開散發出去,誰都可以獲取一把并能應用,屬于公開的共享密鑰,叫做公開密鑰。如果一個人選擇并公布了他的公鑰,其他任何人都可以用這一公鑰來加密傳送給那個人的消息。私鑰是秘密保存的,只有私鑰的所有者才能利用私鑰對密文進行解密,而且非法用戶幾乎不可能從公鑰推導出私鑰。存在下面兩種應用情況:一是任何一個收到商家密鑰B的客戶,都可以用此密鑰B加密信息,發送給這個商家,那么這些加密信息就只能被這個商家的私人密鑰A解密。實現保密性。二是商家利用自己的私人密鑰A對要發送的信息進行加密進成密文信息,發送給商業合作伙伴,那么這個加密信息就只能被公開密鑰B解密。這樣,由于只能應用公開密鑰B解密,根據數學相關關系可以斷定密文的形成一定是運用了私人密鑰A進行加密的結果,而私人密鑰A只有商家擁有,由此可以斷定網上收到的密文一定是擁有私人密鑰A的商家發送的。

(二)使用過程

具體到電子商務,很多環節要用到公開密鑰加密法,例如在網絡銀行客戶與銀行進行資金的支付結算操作時,就涉及大量的資金流信息的安全傳輸與交換。以客戶甲與乙網絡銀行的資金信息傳輸為例,來描述應用公開密鑰加密法在兩種情況下的使用過程。首先,網絡銀行乙通過公開密鑰加密法的密鑰生成程序,生成自己的私人密鑰A與公開密鑰B并數學相關,私人密鑰A由網絡銀行乙自己獨自保存,而公開密鑰B已經通過網絡某種應用形式(如數字證書)分發給網絡銀行的眾多客戶,當然客戶甲也擁有一把網絡銀行乙的公開密鑰B。

1、客戶甲傳送一“支付通知”給網絡銀行乙,要求“支付通知”在傳送中是密文,并且只能由網絡銀行乙解密知曉,從而實現了定點保密通信?？蛻艏桌毛@得的公開密鑰B在本地對“支付通知”明文進行加密,形成“支付通知”密文,通過網絡將密文傳輸給網絡銀行乙。網絡銀行乙收到“支付通知”密文后,發現只能用自己的私人密鑰A進行解密形成“支付通知”明文,斷定只有自己知曉“支付通知”的內容,的確是發給自己的。

2、網絡銀行乙在按照收到的“支付通知”指令完成支付轉賬服務后,必須回送客戶甲“支付確認”,客戶甲在收到“支付確認”后,斷定只能是網絡銀行乙發來的,而不是別人假冒的,將來可作支付憑證,從而實現對網絡銀行業務行為的認證,網絡銀行不能隨意否認或抵賴。網絡用戶乙在按照客戶甲的要求完成相關資金轉賬后,準備一個“支付確認”明文,在本地利用自己的私人密鑰A對“支付確認”明文進行加密,形成“支付確認”密文,通過網絡將密文傳輸給客戶甲。客戶甲收到“支付確認”密文后,雖然自己有許多密鑰,有自己的,也有別人的,卻發現只能用獲得的網絡銀行乙的公開密鑰B進行解密,形成“支付確認”明文,由于公開密鑰B只能解密由私人密鑰A加密的密文,而私人密鑰A只有網絡銀行乙所有,因此客戶甲斷定這個“支付確認”只能是網絡銀行乙發來的,不是別人假冒的,可作支付完成的憑證。

(三)算法

當前最著名、應用最廣泛的公開密鑰系統是RSA(取自三個創始人的名字的第一個字母)算法。目前電子商務中大多數使用公開密鑰加密法進行加解密和數字簽名的產品和標準使用的都是RSA算法。RSA算法是基于大數的因子分解,而大數的因子分解是數學上的一個難題,其難度隨數的位數加多而提高。

(四)優缺點

優點是可以在不安全的媒體上通信雙方交換信息,不需共享通用密鑰,用于解密的私鑰不需發往任何地方,公鑰在傳遞與過程中即使被截獲,由

于沒有與公鑰相匹配的私鑰,截獲公鑰也沒有意義。

能夠解決信息的否認與抵賴問題,身份認證較為方便。密鑰分配簡單,公開密鑰可以像電話號碼一樣,告訴每一個網絡成員,商業伙伴需要好好保管的只是一個私人密鑰。而且密鑰的保存量比起私人密鑰加密少得多,管理較為方便。最大的缺陷就在于它的加解密速度。

三、兩種加密法的比較

通過DES算法和RSA算法的比較說明公開密鑰加密法和私有密鑰加密法的區別:在加密、解密的處理效率方面,DES算法明顯優于RSA算法,即DES算法快得多;在密鑰的分發與管理方面,RSA算法比DES算法更加優越;在安全性方面,只要密鑰夠長,如112b密鑰的DES算法和1024b的RSA算法的安全性就很好,目前還沒找到在可預見的時間內破譯它們的有效方法;在簽名和認證方面,DES算法從原理上不可能實現數字簽名和身份認證,但RSA算法能夠方便容易的進行數字簽名和身份認證。

基于以上比較的結果可以看出,私有密鑰加密法與公開密鑰加密法各有長短,公開密鑰加密在簽名認證方面功能強大,而私有密鑰加密在加/解密速度方面具有很大優勢。為了充分發揮對稱加密法和非對稱加密法各自的優點,在實際應用中通常將這兩種加密法結合在一起使用,比如:利用DES來加密信息,而采用RSA來傳遞對稱加密體制中的密鑰。這樣不僅數據信息的加解密速度快,同時保障了密鑰傳遞的安全性。數據加密技術是信息安全的基本技術,在網絡中使用的越來越廣泛。針對不同的業務要求可以設計或采取不同的加密技術及實現方式。另外還要注意的是,數據加密技術所討論的安全性只是暫時的,因此還要投入對密碼技術新機制、新理論的研究才能滿足不斷增長的信息安全需求。

參考文獻:

[1]丁學君.電子商務中的信息安全問題及其對策[J].計算機安全,2009,(2).

[2]余紹軍,彭銀香.電子商務安全與數據加密技術淺析[J].中國管理信息化(綜合版),2007,(04).

[3]王俊杰.電子商務安全問題及其應對策略[J].特區經濟,2007,(07).

[4]秦昌友.淺析電子商務的安全技術[J].蘇南科技開發,2007,(08).