電子商務(wù)中的安全機制探討

時間:2022-03-20 04:20:00

導(dǎo)語:電子商務(wù)中的安全機制探討一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

電子商務(wù)中的安全機制探討

摘要主要針對電子商務(wù)中交易雙方所面臨的各種風(fēng)險,從技術(shù)角度探討了電子商務(wù)所涉及的安全機制以及值得關(guān)注的幾個安全問題。

關(guān)鍵詞計算機安全安全機制安全策略

1電子商務(wù)安全概述

網(wǎng)絡(luò)安全通常分成三類,即保密、完整和即需。保密是指防止未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性;完整是防止未經(jīng)授權(quán)的數(shù)據(jù)修改;即需則意味著防止延遲或拒絕服務(wù)。目前,電子商務(wù)在經(jīng)濟發(fā)展中起著不可替代的作用,所以網(wǎng)絡(luò)安全的這三類問題成為研究的焦點。

由于Internet的全球性、開放性、無縫連通性、共享性、動態(tài)性的發(fā)展,使得任何人都可以自由地進入Internet進行商務(wù)活動,這其中也可能有惡意者(如黑客)混跡其中。作為建立在網(wǎng)絡(luò)之上的電子商務(wù)系統(tǒng),要面對的就是網(wǎng)絡(luò)固有的攻擊。網(wǎng)絡(luò)的安全危害會來源于以下幾個方面:對客戶機安全的威脅;對通信信道安全的威脅;對服務(wù)器安全的威脅。

2電子商務(wù)的安全機制

由于電子商務(wù)最終要涉及客戶機向商務(wù)服務(wù)器發(fā)出訂單信息和結(jié)算信息,而商務(wù)服務(wù)器則要向認證機構(gòu)認證并向客戶機返回訂單確認信息。

如果信息中途被任何人改變,將會給買賣雙方帶來災(zāi)難性的后果,因此保證交易的完整性是極為重要的。要保證交易的完整性,除了考慮物理安全、人員安全、安全管理、介質(zhì)安全等因素之外,還必須解決好技術(shù)上的安全問題?,F(xiàn)在就如何建立電子商務(wù)的安全機制進行探討

在電子商務(wù)的防護機制中,應(yīng)當(dāng)有相應(yīng)的權(quán)限設(shè)置。通過身份驗證等方式來防止別人隨意地盜取信息。也可以通過數(shù)據(jù)文件的雙重加密提高防護的安全等級。在數(shù)據(jù)的完整性方面,就是要保證數(shù)據(jù)不被修改或盜取。安全機制在這里可以分為加密機制、數(shù)字鑒別機制、訪問控制機制、認證交換機制、信息流認證機制、路由控制機制等。

2.1加密機制

加密是提供數(shù)據(jù)保密的最常用方法。應(yīng)用各種加密和信息隱匿技術(shù),保護信息不被泄露或披露給未經(jīng)授權(quán)的人或組織。按密鑰類型劃分,加密算法可分為對稱密鑰加密算法和非對稱密鑰兩種;按密碼體制分,可分為序列密碼和分組密碼算法兩種。用加密的方法與其他技術(shù)相結(jié)合,可以提供數(shù)據(jù)的保密性和完整性。除了對話層不提供加密保護外,加密可在其他各層上進行。與加密機制伴隨而來的是密鑰管理機制。

2.2數(shù)字簽名機制

數(shù)字簽名是解決網(wǎng)絡(luò)通信中特有的安全問題的有效方法??梢员WC身份的精確性,分辨參與者所聲稱身份的真?zhèn)?,防止偽裝攻擊。特別是避免通信雙方發(fā)生如下安全問題:

否認:發(fā)送者事后不承認自己發(fā)送過某份文件。

偽造:接收者偽造一份文件,聲稱該文件發(fā)自原發(fā)送者。

冒充:網(wǎng)上的某個用戶冒充另一個用戶接收或發(fā)送信息。

篡改:接收者對收到的信息進行部分篡改。

2.3訪問控制機制

訪問控制是按事先確定的規(guī)則決定主體對客體的訪問是否合法??梢员Wo系統(tǒng)資源(信息、計算機和通信資源)不被未經(jīng)授權(quán)人或以未授權(quán)方式接入、使用、修改、毀壞和發(fā)出指令等。訪問控制是對認證的強化。

當(dāng)一個主體試圖非法使用一個未經(jīng)授權(quán)使用的客體時,該機制將拒絕這一企圖,并附帶向?qū)徲嫺櫹到y(tǒng)報告這一事件。審計跟蹤系統(tǒng)將產(chǎn)生報警信號或形成部分追蹤審計信息。

2.4數(shù)據(jù)完整性機制

數(shù)據(jù)完整性包括兩種形式,一種是數(shù)據(jù)單元的完整性,另一種是數(shù)據(jù)單元序列的完整性。數(shù)據(jù)單元完整性包括兩個過程,一個過程發(fā)生在發(fā)送實體,另一個過程發(fā)生在接收實體。保證數(shù)據(jù)完整性的一般方法是:發(fā)送實體在一個數(shù)據(jù)單元上加一個標(biāo)記,這個標(biāo)記是數(shù)據(jù)本身的函數(shù),如一個分組校驗,或密碼校驗函數(shù),它本身是經(jīng)過加密的。接收實體是一個對應(yīng)的標(biāo)記,并將所產(chǎn)生的標(biāo)記與接收的標(biāo)記相比較,以確定在傳輸過程中數(shù)據(jù)是否被修改過。

數(shù)據(jù)單元序列的完整性是要求數(shù)據(jù)編號的連續(xù)性和時間標(biāo)記的正確性,以保護數(shù)據(jù)不被未授權(quán)者建立、嵌入、刪除、篡改、重放。如果數(shù)據(jù)被破壞將會給經(jīng)濟帶來毀滅性的打擊。

2.5交換鑒別機制

交換鑒別是以交換信息的方式來確認實體身份的機制。用于交換鑒別的技術(shù)有:

口令:由發(fā)送方實體提供,接收方實體檢測。

密碼技術(shù):將交換的數(shù)據(jù)加密,只有合法用戶才能解密,得出有意義的明文。在許多情況下,這種技術(shù)與下列技術(shù)一起使用:時間標(biāo)記和同步時鐘;雙方或三方“握手”;數(shù)字簽名和公證機構(gòu)。

利用實體的特征或所有權(quán),常采用的技術(shù)是指紋識別和身份卡等。

2.6業(yè)務(wù)流量填充機制

這種機制主要是對抗非法者在線路中監(jiān)聽數(shù)據(jù)并對其進行流量和流向分析。采用的方法一般由保密裝置在無信息傳輸時,連續(xù)發(fā)出偽隨機序列,使得非法者不知哪些是有用信息、哪些是無用信息。

2.7路由控制機制

在一個大型網(wǎng)絡(luò)中,從源節(jié)點到目的節(jié)點可能有多條線路,有些線路可能是安全的,而另一些線路是不安全的。路由控制機制可使信息發(fā)送者選擇特殊的路由,以保證數(shù)據(jù)安全。

2.8公證機制

在一個大型網(wǎng)絡(luò)中,有許多節(jié)點或端節(jié)點。在使用這個網(wǎng)絡(luò)時,并不是所有用戶都是誠實的、可信的,同時也可能由于系統(tǒng)故障等原因使信息丟失、遲到等,這很可能引起責(zé)任問題。為了解決這個問題,就需要有一個各方都信任的實體,也就是公證機構(gòu),如同一個國家設(shè)立的公證機構(gòu)一樣,提供公證服務(wù),仲裁出現(xiàn)的問題。

一旦引入公證機制,通信雙方進行數(shù)據(jù)通信時必須經(jīng)過這個機構(gòu)來轉(zhuǎn)換,以確保公證機構(gòu)能得到必要的信息,供以后仲裁。

除上述安全機制外,目前比較流行的技術(shù)XML(extensibleMarkupLan?鄄guage,可擴展標(biāo)記語言)在世界范圍內(nèi)正受到廣泛關(guān)注,它在很大程度上是因為能解決電子商務(wù)的技術(shù)問題。但如何在XML中注入安全機制,使之更加有效地服務(wù)于電子商務(wù),也正在引起人們的重視。

3電子商務(wù)中值得關(guān)注的問題

為使電子商務(wù)順利實施,除了需要建立一個完整的安全保障體系外,還有幾個認識上的問題值得注意。

首先,對于任何一個系統(tǒng)來說,安全都是相對的,而不是絕對的,我們不能追求一個永遠也攻不破的安全技術(shù)。如果要使以后的網(wǎng)站永遠不受攻擊,不出安全問題是很難的,所以作為網(wǎng)站的管理者要始終保持清醒的頭腦,針對出現(xiàn)的隱患和問題不斷研究新的安全措施。

其次,安全問題不僅僅是個技術(shù)性的問題,更重要的還有管理,而且它還與社會道德、行業(yè)管理以及人們的行為模式都緊密地聯(lián)系在一起。根據(jù)FBI在2001年所做的一份統(tǒng)計報告顯示,來自企業(yè)內(nèi)部的信息安全事件的比例驚人,高達70%,其中主要的問題有:員工濫用Internet、來自內(nèi)部的未授權(quán)存取資料、專利信息被竊取、內(nèi)部人員的財務(wù)欺騙和資料或網(wǎng)絡(luò)被破壞等。因此要保證電子商務(wù)的安全,就要加強企業(yè)內(nèi)部管理,制定相應(yīng)的規(guī)章制度。

總之,用經(jīng)濟學(xué)的觀點來看網(wǎng)絡(luò)安全問題,安全是發(fā)展的、動態(tài)的,今天安全明天就不一定很安全。因為網(wǎng)絡(luò)的攻防是此消彼長,道高一尺、魔高一丈的事情,尤其是安全技術(shù),它的敏感性、競爭性以及對抗性都是很強的,這就需要不斷地檢查、評估和調(diào)整相應(yīng)的安全策略。沒有一勞永逸的安全,也沒有一蹴而就的安全,要在實踐中不斷研究探索、逐步完善電子商務(wù)的各種安全機制。隨著我國經(jīng)濟在世界經(jīng)濟發(fā)展中地位的不斷提高,保證電子商務(wù)正常、健康地發(fā)展,是網(wǎng)絡(luò)工作者的責(zé)任和義務(wù)。保證電子商務(wù)的安全性,保證經(jīng)濟信息安全、快捷的傳送,一定能加快我國經(jīng)濟的發(fā)展,進而提高我國經(jīng)濟的科學(xué)技術(shù)水平。

參考文獻

1瞿裕忠.電子商務(wù)應(yīng)用開發(fā)技術(shù)[M].北京:高等教育出版社,2000

2龔儉.計算機網(wǎng)絡(luò)安全導(dǎo)論[M].南京:東南大學(xué)出版社,2000

3李旭華.計算機病毒機制與防范技術(shù)[M].重慶:重慶大學(xué)出版社,2002

4王茜,楊德禮.電子商務(wù)的安全體系結(jié)構(gòu)及技術(shù)研究[J].計算機工程,2003(1)