求一篇关于电子商务网上交易安全的短文,急需!!!
[关键词]电子商务安全技术交易安全
一.导言
电子商务是在互联网开放的网络环境下,实现消费者网上购物、企业间网上交易和网上电子支付的一种新型交易模式。由于电子商务具有低成本、高效率和全球性的特点,因此迅速在全球范围内普及开来。电子商务已经成为世界经济最具活力的增长点,它的应用将给社会经济发展带来巨大变化。但目前全球电子商务完成的贸易额只占同期全球贸易额的很小一部分。究其原因,电子商务是一项复杂的系统工程,其应用有赖于相应的社会和技术问题的逐步解决和完善。其中,电子商务的安全是制约电子商务发展的最关键问题。
二,电子商务交易的安全威胁和安全要求
1.安全威胁。在电子商务交易中,更容易受到以下安全威胁,这些威胁往往会给电子商务带来非常严重的后果:一是交易信息的窃取和篡改,即网上交易中明文传输的数据被非法入侵者截获、解码后,被非法篡改、删除或插入,破坏了信息的完整性。二是信息造假,即非法网络攻击者通过冒充合法用户或模拟虚假信息实施诈骗。
2.安全要求。电子商务交易过程有以下安全要求,即信息的机密性、完整性和不可否认性。电子商务信息的保密性是指信息不会泄露给未经授权的用户、实体或过程或被其使用的特性。电子商务信息的完整性是指数据未经授权不得更改的特性。也就是说,信息在存储或传输过程中保持不变,不被破坏和丢失。电子商务信息的不可否认性是指避免交易中的某一方在进行了某种交易行为后否认自己进行了该商务行为;或者一方否认收到过另一方发送的交易信息。
三、电子商务交易的主要安全技术
1.加密技术是电子商务最基本的安全技术。在目前的技术条件下,加密技术通常分为对称加密和非对称加密。
(1)对称密钥加密:采用相同的加密算法,加密和解密使用相同的密钥。如果通信双方能够确保私钥在密钥交换阶段没有被泄露,就可以使用对称加密方法对机密信息进行加密,并将消息摘要和消息哈希值随消息一起发送,以保证消息的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。目前常用的对称加密算法有DES、PCR、IDEA、3DES等。其中,DES是国际标准化组织最常用和采用的数据加密标准。
(2)非对称密钥加密:非对称加密不同于对称加密,其密钥对分为公钥和私钥。生成密钥对后,公钥就公开了,而私钥则保存在密钥发行人手中。任何得到公钥的用户都可以用该密钥对信息进行加密,并发送给公钥的发布者,发布者会用公钥对应的私钥对加密后的信息进行解密。目前常用的非对称加密算法是RSA算法。该算法已经被国际标准化组织的数据加密技术小组委员会推荐为非对称密钥数据加密标准。在对称和非对称加密方法中,对称加密具有加密速度快(通常比非对称加密快10倍)、效率高的优点,广泛应用于大量数据的加密。但这种方式的致命缺点是密钥的传输和交换也面临安全问题,密钥容易被截获。而且,如果与大量用户通信,很难安全地管理大量的密钥对,因此对称加密的广泛应用存在一定的问题。而非对称密钥的优势在于解决了对称加密中密钥数量太大难以管理、成本高的问题,并且无需担心私钥在传输中泄露,因此安全性能优于对称加密技术。但不对称的缺点是加密算法复杂,加密速度不理想。目前电子商务的实际应用往往是两者的结合。
2.身份认证技术。目前,仅有加密技术不足以保证电子商务交易的安全,身份认证技术是保证电子商务安全的又一重要技术手段。身份认证的实现包括数字签名技术、数字证书技术等。
(1)数字签名技术
加密信息只是解决了信息传输过程中的保密性问题,还需要其他手段防止他人篡改或破坏传输的信息,保证信息的完整性,保证信息发送者的不可抵赖性。这意味着是数字签名。数字签名技术是身份认证技术。数字化文档上的数字签名类似于纸上的手写签名,无法伪造。接收者可以验证文档确实来自签名者,并且文档在签名后没有被修改,从而保证信息的真实性和完整性。
目前的数字签名是基于公钥体制的,是公钥加密技术的另一种应用。数字签名和书面文档签名有相似之处。使用数字签名,可以确认以下两点:信息是由签名者发送的;该信息自发布之日起至收到之日止未被修改。目前,主要有三种数字签名方法,即:RSA签名、DSS签名和Hash签名。这三种算法可以单独使用,也可以一起使用。
(2)数字证书技术
在公钥-私钥系统中,私钥只有信息的发送方知道,匹配的公钥是公开的,可以保证传输信息的机密性,但没有解决公钥的分发方法。数字签名保证信息是由签名者发送的,并且信息从发出到被接收没有被修改过,但是它不能保证签名者身份的真实性。因此,需要一种措施来管理公钥的分发,并确保公钥和与公钥相关的实体身份信息的真实性。这个措施就是数字证书。数字证书一般由权威、可信、任性的第三方机构颁发,即CA。数字证书是公钥系统中的密钥管理介质,它将公钥与实体身份信息绑定在一起,包含认证机构的数字签名。数字证书用于电子商务中公钥的分发和传输,证明电子商务实体的身份与公钥相匹配。
第四,总结
加密技术和身份认证技术是电子商务交易安全的基础技术。加密技术用于对信息进行加密,保证信息的机密性。数字签名和数字信封技术应用了基于公钥系统的加密技术。数字签名技术对信息进行数字签名,以确保信息的完整性和不可否认性。数字证书技术是一种支持加密技术和数字签名的技术。用于管理公钥的分发,保证公钥的真实性以及与公钥相关的实体身份信息。因此,电子证书必须由权威的第三方认证中心出具。
参考资料:
[1]赵书瑞,岳薇。基于SET的电子商务交易安全模型分析[J].购物中心现代化,2006,(06)。
[2]王茜,杨德利。电子商务的安全体系与技术研究[J].计算机工程,2003,(01)。
[3]戈尔韦。电子商务的安全问题与安全技术[J].内蒙古科技与经济,2005,(13)。
[4]郭晶晶,李腊元。基于SET协议的电子商务支付系统研究[J].计算机应用,2002,(03)。