序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的數(shù)字貿(mào)易存在的問題樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)�����,請(qǐng)盡情閱讀�。
第1篇
[關(guān)鍵詞]電子商務(wù)安全技術(shù)密鑰數(shù)字簽名
一、引言
電子商務(wù)是以電子信息技術(shù)為基礎(chǔ)的商務(wù)運(yùn)作�,是信息技術(shù)的發(fā)展對(duì)社會(huì)經(jīng)濟(jì)生活產(chǎn)生巨大影響的一個(gè)實(shí)例,也是網(wǎng)絡(luò)新經(jīng)濟(jì)迅猛發(fā)展的代表�����。電子商務(wù)的核心內(nèi)容是網(wǎng)上交易�����,尤其是通過公共的因特網(wǎng)將眾多的社會(huì)經(jīng)濟(jì)成員聯(lián)系起來的網(wǎng)上交易更是成為發(fā)展的熱點(diǎn)�����,
電子商務(wù)所具有的廣闊發(fā)展前景�,越來越為世人所矚目。但在Internet給人們帶來巨大便利的同時(shí)���,也把人們引進(jìn)了安全陷阱����。目前,阻礙電子商務(wù)廣泛應(yīng)用的首要也是最大的問題就是安全問題�。電子商務(wù)中的安全問題如得不到妥善解決,電子商務(wù)應(yīng)用就只能是紙上談兵�����。從事電子商務(wù)活動(dòng)的主體都已普遍認(rèn)識(shí)到電子商務(wù)的交易安全是電子商務(wù)成功實(shí)施的基礎(chǔ)����,是企業(yè)制訂電子商務(wù)策略時(shí)必須首先要考慮的問題。對(duì)于實(shí)施電子商務(wù)戰(zhàn)略的企業(yè)來說�����,保證電子商務(wù)的安全已成為當(dāng)務(wù)之急�����。
二�、電子商務(wù)過程中面臨的主要安全問題
從交易角度出發(fā)����,電子商務(wù)面臨的安全問題綜合起來包括以下幾個(gè)方面:
1.有效性
電子商務(wù)以電子形式取代了紙張�����,那么保證信息的有效性就成為開展電子商務(wù)的前提����。因此�,要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤�、應(yīng)用程序錯(cuò)誤、硬件故障����、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻���、確定的地點(diǎn)是有效的�����。
2.真實(shí)性
由于在電子商務(wù)過程中�,買賣雙方的所有交易活動(dòng)都通過網(wǎng)絡(luò)聯(lián)系���,交易雙方可能素昧平生����,相隔萬里。要使交易成功�����,首先要確認(rèn)對(duì)方的身份�。對(duì)于商家而言,要考慮客戶端不能是騙子���,而客戶端也會(huì)擔(dān)心網(wǎng)上商店是否是一個(gè)玩弄欺詐的黑店����,因此��,電子商務(wù)的開展要求能夠?qū)灰字黧w的真實(shí)身份進(jìn)行鑒別����。
3.機(jī)密性
電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人�����、企業(yè)或國家的商業(yè)機(jī)密。如信用卡的賬號(hào)和用戶名被人知悉���,就可能被盜用而蒙受經(jīng)濟(jì)損失;訂貨和付款信息被競(jìng)爭(zhēng)對(duì)手獲悉�,就可能喪失商機(jī)。因此建立在開放的網(wǎng)絡(luò)環(huán)境電子商務(wù)活動(dòng)���,必須預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取�����。
三�����、電子商務(wù)安全中的幾種技術(shù)手段
由于電子商務(wù)系統(tǒng)把服務(wù)商�����、客戶和銀行三方通過互聯(lián)網(wǎng)連接起來�,并實(shí)現(xiàn)了具體的業(yè)務(wù)操作�����。因此,電子商務(wù)安全系統(tǒng)可以由三個(gè)安全服務(wù)器及CA認(rèn)證系統(tǒng)構(gòu)成����,它們遵循共同的協(xié)議,協(xié)調(diào)工作���,實(shí)現(xiàn)電子商務(wù)交易信息的完整性��、保密性和不可抵賴性等要求��。其中采用的安全技術(shù)主要有以下幾種:
1.防火墻(FireWall)技術(shù)
防火墻是一種隔離控制技術(shù)�����,在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障���,阻止對(duì)信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出�。
2.加密技術(shù)
數(shù)據(jù)加密技術(shù)是電子商務(wù)中采取的主要安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用�。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式:對(duì)稱加密和非對(duì)稱加密,采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng)�����,而不能簡(jiǎn)單地根據(jù)其加密強(qiáng)度來做出判斷。
(1)對(duì)稱加密
在對(duì)稱加密方法中��,對(duì)信息的加密和解密都使用相同的密鑰����。也就是說�����,一把鑰匙開一把鎖�����。這種加密算法可簡(jiǎn)化加密處理過程����,貿(mào)易雙方都不必彼此研究和交換專用的加密算法,如果進(jìn)行通信的貿(mào)易方能夠確保私有密鑰在交換階段未曾泄露����,那么機(jī)密性和報(bào)文完整性就可以得到保證。不過���,對(duì)稱加密技術(shù)也存在一些不足��,如果某一貿(mào)易方有n個(gè)貿(mào)易關(guān)系�,那么他就要維護(hù)n個(gè)私有密鑰。對(duì)稱加密方式存在的另一個(gè)問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方�����。因?yàn)橘Q(mào)易雙方共享一把私有密鑰��。目前廣泛采用的對(duì)稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)�����,它主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域�。DES對(duì)64位二進(jìn)制數(shù)據(jù)加密,產(chǎn)生64位密文數(shù)據(jù)�。使用的密鑰為64位,實(shí)際密鑰長(zhǎng)度為56位(8位用于奇偶校驗(yàn))�����。解密時(shí)的過程和加密時(shí)相似���,但密鑰的順序正好相反���。
(2)非對(duì)稱加密/公開密鑰加密
在Internet中使用更多的是公鑰系統(tǒng)�,即公開密鑰加密����。在該體系中,密鑰被分解為一對(duì):公開密鑰PK和私有密鑰SK�����。這對(duì)密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開��,而另一把則作為私有密鑰(解密密鑰)加以保存����。公開密鑰用于加密�,私有密鑰用于解密,私有密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握�����,公開密鑰可廣泛�����,但它只對(duì)應(yīng)于生成該密鑰的貿(mào)易方。在公開密鑰體系中����,加密算法E和解密算法D也都是公開的。雖然SK與PK成對(duì)出現(xiàn)��,但卻不能根據(jù)PK計(jì)算出SK�����。
公開密鑰算法的特點(diǎn)如下:
用加密密鑰PK對(duì)明文X加密后�,再用解密密鑰SK解密,即可恢復(fù)出明文�,或?qū)憺椋篋SK(EPK(X))=X。
加密密鑰不能用來解密��,即DPK(EPK(X))≠X
在計(jì)算機(jī)上可以容易地產(chǎn)生成對(duì)的PK和SK���。
從已知的PK實(shí)際上不可能推導(dǎo)出SK�。
加密和解密的運(yùn)算可以對(duì)調(diào)�����,即:EPK(DSK(X))=X
常用的公鑰加密算法是RSA算法���,加密強(qiáng)度很高���。具體做法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來�。發(fā)送方在發(fā)送數(shù)據(jù)時(shí)必須加上數(shù)字簽名����,做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名,然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密�����。這些密文被接收方收到后�,接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名,然后用方公布的公鑰對(duì)數(shù)字簽名進(jìn)行解密��,如果成功��,則確定是由發(fā)送方發(fā)出的����。由于加密強(qiáng)度高���,而且不要求通信雙方事先建立某種信任關(guān)系或共享某種秘密��,因此十分適合Internet網(wǎng)上使用�。
3.數(shù)字簽名
數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全核心技術(shù)之一,它實(shí)現(xiàn)的基礎(chǔ)就是加密技術(shù)�。以往的書信或文件是根據(jù)親筆簽名或印章來證明其真實(shí)性的。但在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的報(bào)文又如何蓋章呢�?這就是數(shù)字簽名所要解決的問題。數(shù)字簽名必須保證以下幾點(diǎn):接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名�;送者事后不能抵賴對(duì)報(bào)文的簽名;接收者不能偽造對(duì)報(bào)文的簽名?�,F(xiàn)在己有多種實(shí)現(xiàn)數(shù)字簽名的方法�,采用較多的就是公開密鑰算法。
4.數(shù)字證書
(1)認(rèn)證中心
在電子交易中���,數(shù)字證書的發(fā)放不是靠交易雙方來完成的����,而是由具有權(quán)威性和公正性的第三方來完成的�。認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)�����。
(2)數(shù)字證書
數(shù)字證書是用電子手段來證實(shí)一個(gè)用戶的身份及他對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限���。在網(wǎng)上的電子交易中���,如雙方出示了各自的數(shù)字證書����,并用它來進(jìn)行交易操作�����,那么交易雙方都可不必為對(duì)方身份的真?zhèn)螕?dān)心�。
5.消息摘要(MessageDigest)
消息摘要方法也稱為Hash編碼法或MDS編碼法。它是由RonRivest所發(fā)明的�����。消息摘要是一個(gè)惟一對(duì)應(yīng)一個(gè)消息的值��。它由單向Hash加密算法對(duì)所需加密的明文直接作用��,生成一串128bit的密文��,這一串密文又被稱為“數(shù)字指紋”(FingerPrint)��。所謂單向是指不能被解密�,不同的明文摘要成密文,其結(jié)果是絕不會(huì)相同的���,而同樣的明文其摘要必定是一致的���,因此,這串摘要成為了驗(yàn)證明文是否是“真身”的數(shù)字“指紋”了���。
四��、小結(jié)
本文詳細(xì)探討了電子商務(wù)安全體系所面臨的問題�����,并提出了安全防護(hù)的幾種技術(shù)手段�����,相信隨著時(shí)間的推移和技術(shù)的發(fā)展����,電子商務(wù)安全體系將越來越完善�,足不出戶而通過Internet電子商務(wù)系統(tǒng)實(shí)現(xiàn)購物、交易和做生意將成為人們生活的新時(shí)尚�����。
參考文獻(xiàn):
[1]徐海來:電子商務(wù)的運(yùn)作與安全[J].中國信息導(dǎo)報(bào),2000.6:126
[2]劉進(jìn):電子商務(wù)網(wǎng)上交易系統(tǒng)[M].第一版,北京:機(jī)械工業(yè)出版社,2003:157
第2篇
關(guān)鍵詞:安全技術(shù)����;電子商務(wù);英特網(wǎng)
電子商務(wù)是利用電子數(shù)據(jù)交換����、電子郵件、電子資金轉(zhuǎn)賬及Internet技術(shù)在買方與賣方之間進(jìn)行無紙化的業(yè)務(wù)信息的交換����。制約電子商務(wù)的發(fā)展關(guān)鍵技術(shù)是信息加密技術(shù),要保證傳輸數(shù)據(jù)的安全和交易雙方的身份確認(rèn)����,當(dāng)前常用的主要信息加密技術(shù)包括:加密技術(shù)、數(shù)字簽名�����、電子證書����、電子信封和雙重簽名,安全協(xié)議等���。
一����、加密技術(shù)
加密技術(shù)是基本安全技術(shù)���,交易雙方根據(jù)需要在信息交換的階段使用�����。加密技術(shù)分為對(duì)稱加密和非對(duì)稱加密�����。對(duì)稱加密用相同的加密算法加密和解密都使用相同的密鑰�。如果進(jìn)行通信的貿(mào)易方能夠確保專用密鑰任密鑰交換階段未曾池露��,那么機(jī)密性和報(bào)文完整性就可以通過這種加密方法加密機(jī)密信息和通過隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來實(shí)現(xiàn)�����。因此�����,對(duì)稱加密技術(shù)存在著在通信的貿(mào)易方之間確保密鑰安全交換的問題。數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)由美國國家標(biāo)準(zhǔn)局提出�,是目前廣泛采用的對(duì)稱加密算法,主要應(yīng)用于銀行業(yè)中的EFT領(lǐng)域�����。DES的密鑰長(zhǎng)度為56位�����。
非對(duì)稱加密將密鑰分為公鑰和私鑰����,公鑰(加密密鑰)通過非保密方式向他人公開,而私鑰(解密密鑰)自己保存用來打開加密的文件�����。公鑰用于對(duì)機(jī)密性的加密�����,私鑰則用于對(duì)加密信息的解密。貿(mào)易甲方生成一對(duì)密鑰�,公鑰公開發(fā)送給公眾,貿(mào)易乙方得到該公鑰�,使用公鑰對(duì)機(jī)密信息進(jìn)行加密�,然后發(fā)送給貿(mào)易甲方;甲方再用自己保存的私鑰對(duì)加密的信息進(jìn)行解密����。其他人無法進(jìn)行解密。RSA算法是非對(duì)稱加密領(lǐng)域內(nèi)最為著名的算法��。
二����、密鑰管理技術(shù)
(一)對(duì)稱密鑰管理
對(duì)稱加密是基于共同保守秘密來實(shí)現(xiàn)的。采用對(duì)稱加密技術(shù)的貿(mào)易雙方必須要保證采用的是相同的密鑰��,要保證彼此密鑰的交換是安全可靠的�,同時(shí)還要設(shè)定防止密鑰泄密和更改密鑰的程序,這樣�����,對(duì)稱密鑰的管理和分發(fā)工作將變成一件潛在危險(xiǎn)的和繁瑣的過程�����。通過公鑰加密技術(shù)實(shí)現(xiàn)對(duì)稱密鑰的管理使相應(yīng)的管理變得簡(jiǎn)單和更加安全,同時(shí)還解決了純對(duì)稱密鑰模式中存在的可靠性問題和鑒別問題�����。
(二)公開密鑰管理
貿(mào)易伙伴間可以使用數(shù)字證書(公開密鑰證書)來交換公開密鑰��。國際電信聯(lián)盟制定的標(biāo)準(zhǔn)X.509對(duì)數(shù)字證書進(jìn)行了定義�,該標(biāo)準(zhǔn)等同于國際標(biāo)準(zhǔn)化組織與國際電工委員會(huì)聯(lián)合的IS0/IEC9594-8:195標(biāo)準(zhǔn)。由專門的機(jī)構(gòu)提供安全服務(wù)�,是未來電子商務(wù)安全的發(fā)展趨勢(shì)。
三��、數(shù)字簽名
數(shù)字簽名是非對(duì)稱加密技術(shù)的一類應(yīng)用�����。它的主要方式是:報(bào)文發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要)����,并用自己的專用密鑰對(duì)這個(gè)散列值進(jìn)行加密,形成發(fā)送方的數(shù)字簽名�;然后,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方�����;報(bào)交接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值(或報(bào)文摘要),接著再用發(fā)送方的公開密鑰來對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密�。如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的�����。通過數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可否認(rèn)性�。
ISO/IEC JTCl已經(jīng)起草有關(guān)的國際標(biāo)準(zhǔn)規(guī)范�。該標(biāo)準(zhǔn)的題目是“信息技術(shù)安全技術(shù)帶附件的數(shù)字簽名方案”,它由概述和基于身份的機(jī)制兩部分構(gòu)成���。
四���、電子證書
數(shù)字簽名是基于非對(duì)稱加密技術(shù)的,目的是在于解決電子商務(wù)中存在兩個(gè)明顯的問題:第一�,如何保證公開密鑰的持有者是真實(shí)的;第二�,大規(guī)模網(wǎng)絡(luò)環(huán)境下公開密鑰的產(chǎn)生、分發(fā)和管理�����。由此,證書簽發(fā)機(jī)構(gòu)(CA����,Certificate Authority)應(yīng)運(yùn)而生,它足提供身份驗(yàn)證的第三方機(jī)構(gòu)�����,由一個(gè)或多個(gè)用戶信任的組織實(shí)體構(gòu)成����。CA核實(shí)某個(gè)用戶的真實(shí)身份以后,簽發(fā)一份報(bào)文給該用戶�����,以此作為網(wǎng)上身份證明�����。這個(gè)報(bào)文稱為電子證書�����,包括:惟一標(biāo)識(shí)證書所有者(CO貿(mào)易方)的名稱�����、惟一標(biāo)識(shí)證書簽發(fā)者的名稱、證書所有者的公開密鑰�、證書簽發(fā)者的數(shù)字簽名、證書的有效期及證書的序列號(hào)等��。電子證書能夠起到標(biāo)識(shí)貿(mào)易方的作用�����,是目前EC廣泛采用的技術(shù)之一��。常用的證書有:持卡人證書�����、商家證書�、支付網(wǎng)關(guān)證書���、銀行證書和發(fā)卡機(jī)構(gòu)證書等�。
五���、電子信封
電子信封是為了解決傳送更換密鑰問題而產(chǎn)生的技術(shù)�����,它結(jié)合了對(duì)稱加密和非對(duì)稱加密技術(shù)的各自優(yōu)點(diǎn)�����。發(fā)送者使用隨機(jī)產(chǎn)生的對(duì)稱密鑰加密數(shù)據(jù)�����,然后將生成的密文和密鑰本身一起用接收者的公開密鑰加密(稱為電子信封)并發(fā)送�����;接收者先用自己的專用密鑰解密電了信封�,得到對(duì)稱密鑰,然后使用對(duì)稱密鑰解密數(shù)據(jù)����。這樣,保證每次傳送數(shù)據(jù)部可由發(fā)送方選定不同的對(duì)稱密鑰�����。
六���、雙重簽名
在實(shí)際商務(wù)活動(dòng)中經(jīng)常出現(xiàn)這種情形�����,即持卡人給商家發(fā)送訂購信息和自己的付款賬戶信息��,但不愿讓商家看到自己的付款賬戶信息�����,也不愿讓處理商家付款信息的第三方看到定貨信息�����。在EC中要能做到這點(diǎn)�,需使用雙重簽名技術(shù)���。持卡人將發(fā)給商家的信息(報(bào)文1)和發(fā)給第三方的信息(報(bào)文2)分別生成報(bào)文摘要1和報(bào)文摘要2��,合在一起生成報(bào)文摘要3�,并簽名�,然后,將報(bào)史l��、報(bào)文摘要2和報(bào)文摘要3發(fā)送給商家,將報(bào)文2���、報(bào)文摘要l和報(bào)文摘要3發(fā)送給第一三方�;接收者根據(jù)收到的報(bào)文生成報(bào)文摘要�����,再與收到的報(bào)文摘要合在一起�����,比較結(jié)合后的報(bào)文摘要和收到的報(bào)文摘要3�,確定持卡人的身份和信息是否被修改過�����。雙重簽名解決了三方參加電子貿(mào)易過程中的安全通信問題。
參考文獻(xiàn):
第3篇
關(guān)鍵詞:電子商務(wù)����;安全措施;探討
1引言
電子商務(wù)是通過電子方式處理和傳遞數(shù)據(jù)���,它涉及許多方面的活動(dòng)�����,包括貨物電子貿(mào)易和服務(wù)�����、在線數(shù)據(jù)傳遞�����、電子資金劃拔���、電子證券交易���、商業(yè)拍賣、合作設(shè)計(jì)和工程���、在線資料���、公共產(chǎn)品獲得等內(nèi)容�。電子商務(wù)的發(fā)展勢(shì)頭非常驚人,但它的產(chǎn)值在全球生產(chǎn)總值中卻只占極小的份額�����,其原因就在于電子商務(wù)的安全問題,根據(jù)美國一個(gè)調(diào)查機(jī)構(gòu)對(duì)近30000名因特網(wǎng)用戶的調(diào)查顯示�����,由于擔(dān)心電子商務(wù)的安全性問題�����,超過60%的網(wǎng)民不愿意進(jìn)行網(wǎng)上交易���,因此��,如何建立一個(gè)安全����、便捷的電子商務(wù)應(yīng)用環(huán)境����,對(duì)信息提供足夠的保護(hù),已經(jīng)成為影響到電子商務(wù)健康發(fā)展的關(guān)鍵性課題�����。
2電子商務(wù)對(duì)安全的要求
對(duì)電子商務(wù)活動(dòng)安全性的需求以及可使用的網(wǎng)絡(luò)安全措施,主要包含如下幾方面����。
(1)如何確定通信中的貿(mào)易伙伴的真實(shí)性?常用的處理技術(shù)是身份認(rèn)證���,依賴某個(gè)可信賴的機(jī)構(gòu)發(fā)放證書�����,雙方交換信息之前通過CA獲取對(duì)方的證書�,并以此識(shí)別對(duì)方���。
(2)如何保證電子單證的秘密性��,防范電子單證的內(nèi)容被第三方讀取?常用的處理技術(shù)是數(shù)據(jù)加密和解密�����。
(3)如何保證被傳輸?shù)臉I(yè)務(wù)單證不會(huì)丟失�,或者發(fā)送方可以察覺所發(fā)單證的丟失?對(duì)于固定且具有頻繁貿(mào)易往來的伙伴��,可以采用單證傳輸?shù)男蛄行詸z驗(yàn)�����;也可采用雙方約定的方法(即在規(guī)定的時(shí)間內(nèi)�����,通過某種方式進(jìn)行確認(rèn))����。
(4)如何確定電子單證的內(nèi)容未被篡改;單證傳輸完整性主要采用散列技術(shù)來防止非法用戶對(duì)單證的篡改�,通過散列算法對(duì)被傳輸?shù)膯巫C進(jìn)行處理,產(chǎn)生一個(gè)依賴于該單證的短小的散列值���,并將該散列值附接在單證之后傳輸給接收方�����。以便接收方采用相同的散列算法對(duì)接收的單證進(jìn)行檢驗(yàn)�����。
(5)如何確定電子單證的真實(shí)性���?鑒別單證真實(shí)性的主要手段是數(shù)字簽名技術(shù)�,其基礎(chǔ)是數(shù)據(jù)加密中的公開密鑰加密技術(shù)���,實(shí)用中常結(jié)合單證完整性一起考慮���,利用發(fā)送方的密鑰對(duì)散列值進(jìn)行加密。
(6)如何解決或者仲裁收發(fā)雙方對(duì)交換的單證所產(chǎn)生的爭(zhēng)議��,包括發(fā)方或收方可能的否認(rèn)或抵賴?通常要求引入認(rèn)證中心進(jìn)行管理�����,由CA發(fā)放密鑰�����,傳輸?shù)膯巫C及其簽名的備份發(fā)至CA保存��,作為可能爭(zhēng)議的仲裁依據(jù)�。
(7)如何保證存儲(chǔ)信息的安全性?如何規(guī)范內(nèi)部管理?如何使用訪問控制權(quán)限和日志以及敏感信息加密存儲(chǔ)?當(dāng)使用WWW服務(wù)器支持電子商務(wù)活動(dòng)時(shí)�����,應(yīng)注意數(shù)據(jù)的備份和恢復(fù),并采用防火墻技術(shù)來保護(hù)內(nèi)部網(wǎng)絡(luò)的安全性���。
3電子商務(wù)采用的主要安全技術(shù)
為了確保電子商務(wù)在交易過程中信息有效��、真實(shí)、可靠且保密�����,目前主要采用的安全技術(shù)有加密技術(shù)�、身份認(rèn)證技術(shù)和交易的安全認(rèn)證協(xié)議。安全認(rèn)證協(xié)議用來保證電子商務(wù)中交易的安全性���,如set�����、ssl�����、s/mime�����、s-http等��。下面我們主要來介紹這些技術(shù)��。
3.1加密技術(shù)
加密技術(shù)是電子商務(wù)系統(tǒng)所采取的最基本的安全措施�,加密的主要目的是防止信息的非授權(quán)泄漏。密碼算法是一些數(shù)學(xué)公式���、法則或程序�����,算法中的可變參數(shù)是密鑰���。根據(jù)密碼算法所使用的加密密鑰和解密密鑰是否相同,能否由加密密鑰推導(dǎo)出解密密鑰��,可以將密碼算法分為對(duì)稱密碼算法和非對(duì)稱密碼算法��。一般來說���,在一個(gè)加密系統(tǒng)中�,信息使用加密密鑰加密后��,接收方使用解密密鑰對(duì)密文解密得到原文。
3.1.1對(duì)稱加密/對(duì)稱密鑰加密
在對(duì)稱加密方法中����,對(duì)信息的加密和解密都使用相同的密鑰,即一把鑰匙開一把鎖���。這樣可以簡(jiǎn)化加密的處理�,每個(gè)交易方都不必彼此研究和交換專用的加密算法�。如果進(jìn)行通信的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄漏�����,那么機(jī)密性和報(bào)文完整性就可以得以保證�。這樣密鑰安全交換是關(guān)系到對(duì)稱加密有效的核心環(huán)節(jié)。而對(duì)稱加密技術(shù)存在著在通信的交易各方之間確保密鑰安全交換的問題�����。對(duì)稱加密方式存在的另一個(gè)問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方�����。因?yàn)橘Q(mào)易雙方共享同一把專用密鑰��,貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對(duì)方的。目前常用的對(duì)稱加密算法有DES�、PCR、IDEA等��。其中DES使用最普遍�,被采用為數(shù)據(jù)加密的標(biāo)準(zhǔn)。
3.1.2非對(duì)稱加密/公開密鑰加密
在非對(duì)稱加密體系中,密鑰被分解為一對(duì)(即一把公開密鑰或加密密鑰和一把私有密鑰或解密密鑰)����。密鑰對(duì)生成后,公開密鑰以非保密方式對(duì)外公開���,只對(duì)應(yīng)于生成該密鑰的者�����;私有密鑰則保存在密鑰方手中�����。任何得到公開密鑰的用戶都可使用該密鑰加密信息發(fā)送給該公開密鑰的者�,而者得到加密信息后�,使用與公開密鑰相應(yīng)對(duì)的私有密鑰進(jìn)行解密。由此可知,公開密鑰用于對(duì)機(jī)密性的加密����,私有密鑰則用于對(duì)加密信息的解密。目前常用的非對(duì)稱加密算法是RSA算法�。它是非對(duì)稱加密領(lǐng)域內(nèi)最為著名的算法,但是它存在的主要問題是算法的運(yùn)算速度較慢���,并且也難以做到一次一密�����。因此�,在實(shí)際的應(yīng)用中通常不采用這一算法對(duì)信息量大的信息進(jìn)行加密����。對(duì)于加密量大的應(yīng)用��,公開密鑰加密算法通常用于對(duì)稱加密方法密鑰的加密���。
3.2身份認(rèn)證技術(shù)
身份認(rèn)證技術(shù)保證電子商務(wù)安全不可缺少的又一重要技術(shù)手段���。常見的安全認(rèn)證技術(shù)有數(shù)字摘要、數(shù)字信封�、數(shù)字簽名���、數(shù)字時(shí)間戳、數(shù)字證書等技術(shù)���。
3.2.1數(shù)字摘要
數(shù)字摘要是一種防止數(shù)據(jù)被改動(dòng)的方法��,它采用單向HASH函數(shù)將需要加密的文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度的摘要碼���,并在傳輸信息時(shí)將之加入文件一同送給接收方,接收方收到文件后���,用相同的方法進(jìn)行變換運(yùn)算�����,若得到的結(jié)果與發(fā)送來的摘要碼相同�����,則可斷定文件未被篡改�,反之亦然�����。在數(shù)字摘要中HASH函數(shù)的輸入可以是任意大小的文件消息,而輸出是一個(gè)固定長(zhǎng)度的摘要�����。且摘要有這樣一個(gè)性質(zhì)�����,如果改變了輸入消息中的任何東西�����,甚至只有一位���,輸出的摘要將會(huì)發(fā)生不可預(yù)測(cè)的改變�,故而常用數(shù)字摘要來判定信息是否被篡改的一項(xiàng)重要技術(shù)�����。
3.2.2數(shù)字信封
在大批數(shù)據(jù)加密中所使用的對(duì)稱密碼是隨機(jī)產(chǎn)生的�,而接收方也需要此密碼才能對(duì)消息進(jìn)行正確的解密�����。對(duì)稱密鑰的傳遞需要加密進(jìn)行,即發(fā)送方用接收方的公鑰加密此對(duì)稱密鑰�。這樣只有接收方用自己的私鑰才能正確地解密此對(duì)稱密鑰,從而正確地解密消息����。這種加密傳送密鑰的方法稱為數(shù)字信封。數(shù)字信封技術(shù)可以保證接收方的唯一性����。即使信息在傳送途中被監(jiān)聽或截獲,由干第三方并沒有接收方的密鑰����,也不能對(duì)信息進(jìn)行正確的解密。
3.2.3數(shù)字簽名
數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別與驗(yàn)證�,保證報(bào)文的完整性、權(quán)威性和發(fā)送者對(duì)所發(fā)報(bào)文的不可抵賴性�。在實(shí)際生活中,簽名通常采用書面形式��,由甲乙雙方完成�,在網(wǎng)絡(luò)環(huán)境下,可以用電子簽名作為模擬�����。
數(shù)字簽名是將數(shù)字摘要和公鑰算法兩種加密方法結(jié)合起來使用,其可以在提供數(shù)據(jù)完整性的同時(shí)保證數(shù)據(jù)的真實(shí)性�。完整性保證傳輸?shù)臄?shù)據(jù)未被篡改,真屬性則保證傳輸過來的數(shù)據(jù)是由合法者產(chǎn)生的�����,而不是由其他人假冒���。如假設(shè)用戶A要寄信給用戶B�����,他們互相知道對(duì)方的公鑰�����,A用自己的私鑰將簽名內(nèi)容加密���,附加在郵件中,再用B的公鑰將整個(gè)郵件加密(注意這里的次序����,如果先加密再簽名的話,別人可以將簽名去掉后簽上自己的簽名�����,從而篡改了簽名)�����。這樣這份密文被B收到后���,B用自己的私鑰將郵件解密�,得到A的原文和數(shù)字簽名�,然后用A的公鑰解密簽名,這樣一來就保兩方面的安全了�����。
3.2.4數(shù)字時(shí)間戳
在電子商務(wù)的交易文件中����,時(shí)間是一條重要的信息,文件的簽署日期和簽名一樣均是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容����。為了防止在電子交易中���,文件簽署的時(shí)間信息被修改,數(shù)字時(shí)間戳提供了相應(yīng)的安全保護(hù)�����。數(shù)字時(shí)間戳服務(wù)(DTS)是由專門的機(jī)構(gòu)提供的�。數(shù)字時(shí)間戳是一個(gè)經(jīng)加密處理后形成的憑證文檔,它包括三個(gè)部分:需加時(shí)間戳的文件摘要���;DTS機(jī)構(gòu)收到文件的日期和時(shí)間�;DTS機(jī)構(gòu)的數(shù)字簽名�����。
3.2.5數(shù)字證書
數(shù)字證書是由證書授權(quán)中心CA管理和發(fā)放的�。CA是數(shù)字證書的最高管理機(jī)構(gòu),是安全電子交易的核心環(huán)節(jié)�。它作為電子商務(wù)交易中中立的、受信任的�����、可仲裁的第三方�����,也是為了解決電子商務(wù)中���,交易雙方的信息和身份驗(yàn)證問題�����,從根本上保障電子商務(wù)交易活動(dòng)順利進(jìn)行而設(shè)立的�����。在交易支付的過程中�,參與各方為了證實(shí)自己的身份�,需到第三方即認(rèn)證中心(CA)去認(rèn)證。數(shù)字證書就是認(rèn)證中心為交易各方頒發(fā)的身份憑證��。它是一個(gè)經(jīng)CA數(shù)字簽名的�、包含證書申請(qǐng)者(公開密鑰擁有者)個(gè)人信息及其公開密鑰的文件。任何交易雙方只有申請(qǐng)到相應(yīng)的數(shù)字證書�,才能參加安全電子商務(wù)的網(wǎng)上交易。
3.3安全認(rèn)證協(xié)議
目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用��,即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議�����。
3.3.1SSL協(xié)議
SSL安全協(xié)議的中文全稱是“加密套接字協(xié)議層”,最初由Netscape公司推出的一種基于RSA和保密密鑰的安全通信協(xié)議�,是目前使用最廣泛的電子商務(wù)協(xié)議。該協(xié)議位于HTTP協(xié)議層和TCP協(xié)議層之間��,向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序����,提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施�����。該協(xié)議在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前���,通過交換SSL初始握手信息來實(shí)現(xiàn)有關(guān)安全特性的審查��。SSL協(xié)議可內(nèi)置于用戶瀏覽器和商家的服務(wù)器中���,能方便而低開銷地進(jìn)行信息加密,多用于WEB信用卡的傳送�。這樣利用它能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)。
SSL協(xié)議運(yùn)行的基點(diǎn)是商家對(duì)客戶信息保密的承諾?�?蛻舻男畔⑼紫葌鞯缴碳?�,商家閱讀后再傳到銀行���;這樣,客戶資料的安全性便受到威脅���。另外����,整個(gè)過程只有商家對(duì)客戶的認(rèn)證����,缺少客戶對(duì)商家的認(rèn)證,不能防止商家利用獲取的信用卡號(hào)進(jìn)行欺詐����。隨著電子商務(wù)與廠商的迅速增加,對(duì)廠商的認(rèn)證問題越來越突出�,SSL協(xié)議的缺點(diǎn)則越加明顯。SSL協(xié)議逐漸被新的SET協(xié)議所取代�。
3.3.2SET協(xié)議
SET協(xié)議的中文全稱“安全電子交易協(xié)議”,它向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實(shí)現(xiàn)安全措施的規(guī)則。它是由Vsia國際組織和Mastercard組織聯(lián)合國際上多家科技機(jī)構(gòu)�����,共同制定的應(yīng)用于INTERNET上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全技術(shù)標(biāo)準(zhǔn)���。它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)�����,主要應(yīng)用于保障網(wǎng)上購物信息的安全性�����。SET主要由3個(gè)文件組成,分別是SET業(yè)務(wù)描述�、SET程序員指南和SET協(xié)議描述�����。SET協(xié)議在保留對(duì)客戶信用卡認(rèn)證的前提下���,又增加了對(duì)商家身份的認(rèn)證�。它可以對(duì)交易各方進(jìn)行認(rèn)證���,可防止商家身份的欺詐�。為了進(jìn)一步加強(qiáng)安全性,使用兩組密鑰對(duì)分別用于加密和簽名�,通過雙簽名機(jī)制將訂購信息同賬戶信息鏈在一起簽名。由于設(shè)計(jì)較為合理��,得到了諸如微軟公司��、IBM公司��、Netscape公司等大公司的支持����,已成為實(shí)際上工業(yè)技術(shù)標(biāo)準(zhǔn)�。
SET協(xié)議的不足之處在于協(xié)議復(fù)雜,且只適用于用戶安裝了“電子錢包”的場(chǎng)合�����。根據(jù)統(tǒng)計(jì)�,在一個(gè)典型的SET交易過程中,需驗(yàn)證數(shù)字證書9次�����,驗(yàn)證數(shù)字簽名6次;需傳送證書7次�����,進(jìn)行5次簽名�����、4次對(duì)稱加密和4次非對(duì)稱加密�;整個(gè)交易過程可能會(huì)花費(fèi)1.5~2分鐘。
4電子商務(wù)安全需要進(jìn)一步完善的配套措施
電子商務(wù)要真正成為一種主導(dǎo)的商務(wù)模式��,尤其對(duì)發(fā)展中的中國來說��,發(fā)展電子商務(wù)�,就必須從以下幾個(gè)方面來完善配套措施:
(1)突破關(guān)鍵技術(shù)受制于人的瓶頸。當(dāng)前不僅國內(nèi)幾乎所有的主機(jī)�、交換機(jī)、路由器���、網(wǎng)絡(luò)操作系統(tǒng)都來自國外�,而且美國對(duì)出口別國的產(chǎn)品實(shí)行密鑰信前控制和長(zhǎng)密鑰限制�����,因此我們必須依靠自身的力量研制自己的加密算法,以保證中國電子商務(wù)的正常發(fā)展����。
(2)我國應(yīng)盡快對(duì)電子商務(wù)的有關(guān)細(xì)則進(jìn)行立法。當(dāng)前大多數(shù)人信息安全意識(shí)淡薄�����,以銀行和金融界來看��,大家對(duì)安全方面的重視還不夠�����,由于有關(guān)電子商務(wù)的立法和管理剛剛開始��,有人開玩笑說“電子商務(wù)目前是個(gè)‘三無’行業(yè):無法可依�、無安全可言�����、無規(guī)可循”�����,當(dāng)然這種說法欠妥,但目前我國關(guān)于網(wǎng)絡(luò)安全的法律的確還有待完善���。
(3)大力開發(fā)大型商務(wù)網(wǎng)站�、發(fā)展與之相配套的物流公司�。目前我國的電子商務(wù)沒有真正深入商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域,這必將影響我國電子商務(wù)進(jìn)一步的發(fā)展�����。
參考文獻(xiàn):
[1]周明,黃元江,李建設(shè).株洲工學(xué)院學(xué)報(bào)[J].電子商務(wù)中的安全技術(shù)研究,2005.1.
[2]張娟.甘肅科技縱橫[M].電子商務(wù)網(wǎng)絡(luò)安全技術(shù)探究,2005.4.
[3]趙乃真.電子商務(wù)技術(shù)與應(yīng)用[M].中國鐵道出版社,2003.
第4篇
[論文摘要]隨著Internet的發(fā)展與成熟,電子商務(wù)交易愈加頻繁,如何保障電子商務(wù)交易的絕對(duì)安全是電子商務(wù)能否健康穩(wěn)定發(fā)展的關(guān)鍵����。
電子商務(wù)(Electronic Commerce)是指是在全球各地廣泛的商業(yè)貿(mào)易活動(dòng)中,在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器/服務(wù)器應(yīng)用方式,買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng),實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動(dòng)��、交易活動(dòng)���、金融活動(dòng)和相關(guān)的綜合服務(wù)活動(dòng)的一種新型的商業(yè)運(yùn)營(yíng)模式�����。電子商務(wù)的重要技術(shù)特征是利用網(wǎng)絡(luò)來傳輸和處理商業(yè)信息,因此該模式的安全主要包括兩個(gè)方面:網(wǎng)絡(luò)安全和交易安全����。計(jì)算機(jī)網(wǎng)絡(luò)安全主要是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題,實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案,以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo);交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問題,在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上,如何保障電子商務(wù)過程的順利進(jìn)行。計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)交易安全實(shí)際上是密不可分的,兩者相輔相成,缺一不可,然而商務(wù)交易是電子商務(wù)的核心,是運(yùn)營(yíng)價(jià)值鏈的根本,因此交易安全對(duì)于電子商務(wù)來講具有舉足輕重的重要意義�����。
一�����、電子商務(wù)交易存在的安全問題
當(dāng)許多傳統(tǒng)的商務(wù)方式應(yīng)用在Internet上時(shí),便會(huì)帶來許多源于安全方面的問題,如傳統(tǒng)的貸款和借款卡支付/保證方案及數(shù)據(jù)保護(hù)方法�����、電子數(shù)據(jù)交換系統(tǒng)��、對(duì)日常信息安全的管理等����。電子商務(wù)的大規(guī)模使用雖然只有幾年時(shí)間,但不少公司都已經(jīng)推出了相應(yīng)的軟、硬件產(chǎn)品����。由于電子商務(wù)的形式多種多樣,涉及的安全問題各不相同,但在Internet上的電子商務(wù)交易過程中,最核心和最關(guān)鍵的問題就是交易的安全性�����。一般來說商務(wù)交易安全中普遍存在著以下的安全隱患:
(一)竊取和篡改信息。由于未采用加密措施,數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送,入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息��。通過多次竊取和分析,可以找到信息的規(guī)律和格式,進(jìn)而得到傳輸信息的內(nèi)容,造成網(wǎng)上傳輸信息泄密�。當(dāng)入侵者掌握了信息的格式和規(guī)律后,通過各種技術(shù)手段和方法,將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改,然后再發(fā)向目的地。這種方法并不新鮮,在路由器或網(wǎng)關(guān)上都可以做此類工作��。
(二)假冒和惡意破壞��。由于掌握了數(shù)據(jù)的格式,并可以篡改通過的信息,攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息,而遠(yuǎn)端用戶通常很難分辨�����。由于攻擊者可以接入網(wǎng)絡(luò),則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改,掌握網(wǎng)上的機(jī)要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部,其后果是非常嚴(yán)重的���。
二�、電子商務(wù)的交易安全要求
(一)信息的保密性�����。交易中的商務(wù)信息都需要遵循一定的保密規(guī)則�����。因?yàn)槠湫畔⑼碇鴩?、企業(yè)和個(gè)人的商業(yè)機(jī)密�。而電子商務(wù)是建立在一個(gè)較為開放的互聯(lián)網(wǎng)絡(luò)環(huán)境上的,它所依托的網(wǎng)絡(luò)本身也就是由于開放式互聯(lián)形成的市場(chǎng),才贏得了電子商務(wù),因此在這一新的支撐環(huán)境下,勢(shì)必要用相應(yīng)的技術(shù)和手段來延續(xù)和改進(jìn)信息的保密性�����。
(二)信息的完整性�����。不可否認(rèn)電子商務(wù)的出現(xiàn)以計(jì)算機(jī)代替了人們大多數(shù)復(fù)雜的勞動(dòng),也以信息系統(tǒng)的形式整合化簡(jiǎn)了企業(yè)貿(mào)易中的各個(gè)環(huán)節(jié),但網(wǎng)絡(luò)的開放和信息的處理自動(dòng)化也使如何維護(hù)貿(mào)易各方商業(yè)信息的完整���、統(tǒng)一出現(xiàn)了問題�����。而貿(mào)易各方各類信息的完整性勢(shì)必影響到貿(mào)易過程中交易和經(jīng)營(yíng)策略�。因此保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用必備的基礎(chǔ)�����。
(三)信息的不可抵賴性�����。在交易中會(huì)出現(xiàn)交易抵賴的現(xiàn)象,如信息發(fā)送方在發(fā)送操作完成后否認(rèn)曾經(jīng)發(fā)送過該信息,或與之相反,接受方收到信息后并不承認(rèn)曾經(jīng)收到過該條消息��。因此如何確定交易中的任何一方在交易過程中所收到的交易信息正是自己的合作對(duì)象發(fā)出的,而對(duì)方本身也沒有被假冒,是電子商務(wù)活動(dòng)和諧順利進(jìn)行的保證�。
當(dāng)然,在電子商務(wù)活動(dòng)中還有許多要求,比如交易信息的時(shí)效界定問題,交易一旦達(dá)成后有無撤消和修改的可能等。相信在電子商務(wù)的發(fā)展中必將涌現(xiàn)各種技術(shù)和各項(xiàng)法律法規(guī),規(guī)范人們的需求并幫助其實(shí)現(xiàn),以保證電子商務(wù)交易的嚴(yán)肅性和公正性�����。
三����、電子商務(wù)交易安全防護(hù)技術(shù)
(一)加密技術(shù)。保證電子商務(wù)安全的最重要的一點(diǎn)就是使用加密技術(shù)對(duì)敏感的信息進(jìn)行加密?,F(xiàn)在,一些專用密鑰加密(如3DES、IDEA���、RC4和RC5)和公鑰加密(如RSA����、SEEK��、PGP和EU)可用來保證電子商務(wù)的保密性�、完整性、真實(shí)性和非否認(rèn)服務(wù)����。然而,這些技術(shù)的廣泛使用卻不是一件容易的事情�。加密技術(shù)本身都很優(yōu)秀,但是它們實(shí)現(xiàn)起來卻往往很不理想?,F(xiàn)在雖然有多種加密標(biāo)準(zhǔn),但人們真正需要的是針對(duì)企業(yè)環(huán)境開發(fā)的標(biāo)準(zhǔn)加密系統(tǒng)。在電子商務(wù)領(lǐng)域應(yīng)用較為廣泛的加密技術(shù)有數(shù)字摘要����、數(shù)字簽名、數(shù)字時(shí)間戳以及數(shù)字證書技術(shù)��。加密技術(shù)的多樣化為人們提供了更多的選擇余地,但也同時(shí)帶來了一個(gè)兼容性問題,不同的商家可能會(huì)采用不同的標(biāo)準(zhǔn)�����。
(二)身份認(rèn)證技術(shù)���。在網(wǎng)絡(luò)上通過一個(gè)具有權(quán)威性和公正性的第三方機(jī)構(gòu)認(rèn)證中心,將申請(qǐng)用戶的標(biāo)識(shí)信息(如姓名����、身份證號(hào)等)與他的公鑰捆綁在一起,用于在網(wǎng)絡(luò)上驗(yàn)證確定其用戶身份�����。前面所提到的數(shù)字時(shí)間戳服務(wù)和數(shù)字證書的發(fā)放,也都是由這個(gè)認(rèn)證中心來完成的���。
(三)支付網(wǎng)關(guān)技術(shù)�。支付網(wǎng)關(guān),通常位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間(或者終端和收費(fèi)系統(tǒng)之間),其主要功能為:將公網(wǎng)傳來的數(shù)據(jù)包解密,并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包;接收銀行系統(tǒng)內(nèi)部傳回來的響應(yīng)消息,將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式,并對(duì)其進(jìn)行加密。支付網(wǎng)關(guān)技術(shù)主要完成通信�����、協(xié)議轉(zhuǎn)換和數(shù)據(jù)加解密功能,并且可以保護(hù)銀行內(nèi)部網(wǎng)絡(luò)����。此外,支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書管理等其它功能(有些內(nèi)部使用網(wǎng)關(guān)還支持存儲(chǔ)和打印數(shù)據(jù)等擴(kuò)展功能)�。
交易安全是電子商務(wù)正常健康運(yùn)營(yíng)的關(guān)鍵所在,不同性質(zhì)的企業(yè)應(yīng)根據(jù)自身的特點(diǎn)選擇最為安全和行之有效的防護(hù)技術(shù),對(duì)于加密、身份認(rèn)證以及支付網(wǎng)關(guān)技術(shù)不斷的加強(qiáng)測(cè)試,加強(qiáng)優(yōu)化為安全運(yùn)營(yíng)構(gòu)筑強(qiáng)有力的屏障����。
電子商務(wù)是因特網(wǎng)爆炸式發(fā)展的直接產(chǎn)物,是網(wǎng)絡(luò)技術(shù)應(yīng)用的全新發(fā)展方向。以互聯(lián)網(wǎng)為依托的“電子”技術(shù)平臺(tái)為傳統(tǒng)商務(wù)活動(dòng)提供了一個(gè)無比寬闊的發(fā)展空間,其突出的優(yōu)越性是傳統(tǒng)媒介手段根本無法比擬的��。然而交易安全問題仍然是影響電子商務(wù)發(fā)展的主要因素��。有一部分人或企業(yè)因擔(dān)心安全問題而不愿使用電子商務(wù),安全成為電子商務(wù)發(fā)展中最大的障礙,因此,在探索電子商務(wù)交易安全的道路上理論界和企業(yè)界要不斷的尋求突破和創(chuàng)新�����。
參考文獻(xiàn):
[1]康曉東等,電子商務(wù)及應(yīng)用[M].北京:電子工業(yè)出版社,2004.3.183~218.
第5篇
關(guān)鍵詞: 商務(wù)英語口譯 數(shù)字翻譯 表達(dá)體系 模糊性
21世紀(jì)的中國在政治�����、經(jīng)濟(jì)、文化���、貿(mào)易等方面的對(duì)外交往更加頻繁����,口譯作為國際政治�、經(jīng)濟(jì)及文化交流的橋梁和紐帶作用愈顯重要。隨著中國市場(chǎng)經(jīng)濟(jì)發(fā)展的不斷成熟����,國際技術(shù)貿(mào)易和項(xiàng)目拓展愈來愈需要更多的國際商務(wù)英語人才及商務(wù)英語口譯人才。加之目前國內(nèi)在培養(yǎng)口譯人才時(shí)常常把語言培養(yǎng)和技能培養(yǎng)分而治之����,商務(wù)英語口譯人員在工作時(shí)會(huì)面臨更大的挑戰(zhàn)。其中�����,數(shù)字翻譯亦是一項(xiàng)難題�����。從事商業(yè)或者相關(guān)工作,在詢盤��、報(bào)盤�����、訂單��、支付�、談判�、仲裁等商務(wù)活動(dòng)過程中,必然會(huì)用到很多數(shù)字���。如果譯員譯錯(cuò)����,甚至是不準(zhǔn)確�����,都會(huì)為客戶帶來重大經(jīng)濟(jì)損失�����。
一、明確漢英數(shù)字表達(dá)體系差異
由于中西方文化的差異���,思維方式的差異形成了數(shù)字表達(dá)的差異�����,這使譯者在口譯中感到束手無策���。而衡量翻譯的兩條基本標(biāo)準(zhǔn)就是:“準(zhǔn)確、流利”(梅德明����,2006)?���?谧g更要重視“準(zhǔn)確與流利的有機(jī)統(tǒng)一”(陳,2006)�����。在商務(wù)活動(dòng)中��,數(shù)字翻譯一定要做到準(zhǔn)確���。所以��,數(shù)字翻譯是口譯教學(xué)的重點(diǎn)����,也是難點(diǎn)。漢英數(shù)字互譯時(shí)涉及數(shù)字單位的換算問題�����,譯員的反應(yīng)和換算速度會(huì)決定翻譯的準(zhǔn)確性和流利度��。
英文數(shù)字是三位數(shù)為一個(gè)單位��,而中文是四位數(shù)為一個(gè)單位���。
Tr:trillion; M:million�; Th:thousand; H:hundred
中文四位一進(jìn)和英文三位一進(jìn)的差異決定了數(shù)字翻譯不僅僅是語言翻譯問題��,還有單位換算問題�����。因此,在時(shí)間緊迫的環(huán)境下�,口譯員要準(zhǔn)確無誤地翻譯出大數(shù)字就需要熟練掌握漢英表達(dá)體系,快速換算出目的語表達(dá)體系�。
例如:
(1)six hundred eighty-five million,nine hundred fifty-five thousand�����,one hundred and twenty-nine tons
六億八千五百九十五萬伍仟一百二十九噸
首先在聽英語時(shí)�,按照英語三位數(shù)字體系記錄下阿拉伯?dāng)?shù)字:685,955�����,129�����,從右往左分別是“千”����、“百萬”、“億”�����。在用中文表達(dá)時(shí),譯員需要把該數(shù)據(jù)重新劃分:6�����,8595�����,5129����,從右往左分別是“萬”、“億”�����。
(2)十三億八千六百二十四萬五百七十二人
one billion�����,three hundred and eighty-six million�����,two hundred and twenty-four thousand���,five hundred and seventy two people
要把這個(gè)長(zhǎng)長(zhǎng)的數(shù)字翻譯成英語����,處理起來時(shí)比較復(fù)雜的���。首先�,譯員要按照漢語四位數(shù)字體系記錄下阿拉伯?dāng)?shù)字:13�����,8624���,0572�����。在譯成英文時(shí)�����,用斜杠或其他符號(hào)重新用三位數(shù)字體系劃分1/386/240/572�����。這樣���,數(shù)字中的“0”還不會(huì)被忽略�。
除此之外�����,譯員在學(xué)習(xí)或練習(xí)過程中還要注意英美兩國的數(shù)字表達(dá)體系也有差異����。美國英語中數(shù)字的基本單位是:十、百(hundred)����、千(thousand)、百萬(million)�����、十億(billion)�����、萬億(trillion)�;英國英語中數(shù)字的基本單位原則是:十、百(hundred)��、千(thousand)�、百萬(million)、萬億(billion)�����。
在英國英語數(shù)字表達(dá)體系中是沒有“十億”單位的�,所以,譯員在工作中要十分警惕這種現(xiàn)象��。
例如:
漢英及英國英語和美國英語數(shù)字表達(dá)體系的差異使得譯員在商務(wù)口譯活動(dòng)中要極其謹(jǐn)慎�,要根據(jù)不同的數(shù)字表達(dá)體系、不同的國家進(jìn)行相應(yīng)的單位轉(zhuǎn)換���。
二�、正確的模糊
商務(wù)英語涉及財(cái)經(jīng)����、貿(mào)易、金融等相關(guān)的經(jīng)濟(jì)活動(dòng)�����。經(jīng)濟(jì)貿(mào)易中所用語言的明確性是經(jīng)濟(jì)活動(dòng)中的一項(xiàng)基本要求。所以�,在翻譯經(jīng)貿(mào)問題時(shí)自然也要求語言明確,任何小小的錯(cuò)誤都可能給經(jīng)濟(jì)或商務(wù)業(yè)務(wù)帶來災(zāi)難���。在商務(wù)活動(dòng)中���,商務(wù)信函、商務(wù)合同中���,還有在有關(guān)價(jià)格�、裝運(yùn)�、保險(xiǎn)、支付��、談判����、仲裁中出現(xiàn)的數(shù)字,譯員務(wù)必要保證數(shù)字翻譯的準(zhǔn)確性和精確性�����。
但是�,精確和準(zhǔn)確與模糊并不沖突。精確是指非常準(zhǔn)確����、非常精確(《現(xiàn)代漢語詞典》,1998:667)���。模糊是指不分明�����、不清楚(同上:893)�,是指人們對(duì)客觀事物的一種朦朦朧朧的感覺�。所以,在商務(wù)或經(jīng)貿(mào)活動(dòng)中�,說話者為了達(dá)到目的會(huì)使用一些非肯定性語言或者數(shù)字。這種非肯定的數(shù)字就含有模糊意義����,是指表達(dá)本身的意思多于一種的含義,而且這些含義在語義上又都是相關(guān)的��。因此�,譯員在翻譯這些數(shù)字時(shí)�,既要準(zhǔn)確地譯出數(shù)字�,還要譯出模糊的含義。
例如:“幾個(gè)”�、“十幾個(gè)”、“幾十個(gè)”���、“more than”��、“a little over thirty”�����、“l(fā)ess than”�,等等���。
在處理商務(wù)活動(dòng)中的模糊數(shù)字時(shí)���,譯員亦需要注意說話者所使用的修飾語。一般來說���,在沒有完全弄懂說話者的目的時(shí)�����,人們常習(xí)慣于用“大約”�、“about”這樣的詞來修飾數(shù)字。但是���,在很多情況下,“大約”和“about”不能真正地表達(dá)出說話者的語義�。這時(shí),由于譯員的“習(xí)慣”�����,聽者很可能會(huì)誤解說話者的意思����,從而讓雙方都失去了合作的機(jī)會(huì)。
例如:
(1)我們的機(jī)器承載量只有500公斤�。
Our machine weighs only but 500 kilograms.
(2)今年的糧食產(chǎn)量大約是去年的5倍。
The grain output of this year is about five times as great as that of last year.
(3)該市的輕工業(yè)總產(chǎn)值比去年增長(zhǎng)了近兩倍����。
The total output of the city’s light industry has increased nearly three times over that of last year.
(4)In less than forty years,China has grown to be one of the most powerful nations in the world arena.
在不到四十年的時(shí)間里���,中國在國際舞臺(tái)上已經(jīng)成為最有實(shí)力的國家之一���。
由此可見����,數(shù)字模糊翻譯不是隨意的模糊�����,而是準(zhǔn)確的模糊��,是根據(jù)說話人的具體語義和意圖進(jìn)行恰當(dāng)?shù)姆g����。
另外,在非談判�、報(bào)價(jià)、詢盤等之類的場(chǎng)合下�,譯員如果沒能記下小數(shù)點(diǎn)后面的數(shù)據(jù),可以根據(jù)情況適當(dāng)?shù)剡x擇模糊翻譯方式�����。例如�,同傳。這是一個(gè)特殊的場(chǎng)合,聽眾只是把聽到的內(nèi)容或數(shù)字作為參考�,并不是把它們作為交易的最后數(shù)據(jù)或談判數(shù)據(jù)。
例如:
(5)我園區(qū)在2006年的國內(nèi)生產(chǎn)總值為63.928億元��,2010年達(dá)到235.439億元���。
In 2006���,the GDP of the Industrial Park amounted to more than 6.39 billion Yuan�����,but in 2010����,the figure reached over 23.5 billion Yuan.
(6)自從政府采取減貧措施的實(shí)施以來,貧困人口由原來的356��,248��,531人減少到了現(xiàn)在的128�����,000,720.
Since the government carried out the policy of poverty reduction�����,the number of the poor population of poor people has decreased from much more than 356 million to about 128 million.
在緊張的情況下�,譯員采取適當(dāng)?shù)哪:g既可以減輕自己的壓力,又可以減輕聽眾把每個(gè)數(shù)字都記下來的壓力�。這樣模糊翻譯是有必要的。它既不影響翻譯的效果����,又可以達(dá)到交流的目的。
因此�,商務(wù)英語口譯中的精確翻譯是相對(duì)的,而不是絕對(duì)的�����。相對(duì)的精確翻譯涉及說話雙方�����、交談內(nèi)容�����、目的、方式及其他客觀條件�,同時(shí)還不影響商務(wù)英語口譯的客觀結(jié)果。
三�����、結(jié)語
本文著重探討了漢語數(shù)字表達(dá)體系����、英國英語表達(dá)體系和美國英語表達(dá)體系,以及如何在精確地翻譯商務(wù)英語中的數(shù)字時(shí)體現(xiàn)出其中所蘊(yùn)含的模糊語義�。在商務(wù)英語口譯活動(dòng)中,既要把握好漢英數(shù)字表達(dá)體系的不同�,又要重視在準(zhǔn)確�����、精確地翻譯數(shù)字時(shí)體現(xiàn)出語義中的模糊以達(dá)到良好的溝通交流目的�。
參考文獻(xiàn):
[1]陳,陳建平.商務(wù)英語口譯[M].北京:高等教育出版社����,2006,(1).
[2]梅德明.英語口譯教程[M].北京:高等教育出版社�,2006.
[3]中國社會(huì)科學(xué)院語言研究所詞典編輯室.現(xiàn)代漢語詞典[Z].北京:商務(wù)印書館,1998.
第6篇
[關(guān)鍵詞]網(wǎng)上銀行;網(wǎng)絡(luò)支付����;安全性問題
隨著電子商務(wù)技術(shù)的發(fā)展,網(wǎng)上銀行的使用也越來越廣泛,但是網(wǎng)上銀行還存在很大的安全問題,必須引起廣大網(wǎng)民群眾的重視。
一�����、我國網(wǎng)上銀行存在的安全性問題
1.網(wǎng)上銀行網(wǎng)站存在的安全性問題
在網(wǎng)絡(luò)銀行中,企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法,即便登錄失敗,網(wǎng)站也不會(huì)將密碼視為無效����。除了用軟件竊取密碼這樣的隱憂以外,“冒充站點(diǎn)”也是網(wǎng)上銀行使用中一個(gè)非常重要的安全隱患?���?蛻粼诓涣私馇闆r時(shí)就會(huì)向虛假站點(diǎn)發(fā)送ID和密碼?���?蛻舭l(fā)送完畢后,如果顯示出一個(gè)“服務(wù)馬上就要停止”的畫面,或者把客戶訪問重新引導(dǎo)到正規(guī)站點(diǎn)上,客戶當(dāng)時(shí)是很難察覺的。這樣一來,就存在有人進(jìn)行非法資金轉(zhuǎn)移的可能性���。
2.交易信息在商家與銀行之間傳遞的安全性問題
因?yàn)榛ヂ?lián)網(wǎng)的虛擬性,交易雙方無法確保對(duì)方身份的真實(shí)性,尤其在當(dāng)事人僅僅通過互聯(lián)網(wǎng)交流時(shí),在這種情況下,要建立交易雙方的信用機(jī)制和安全感是非常困難的���。資金在網(wǎng)上劃撥,安全性是最大問題,發(fā)展網(wǎng)上銀行業(yè)務(wù),大量經(jīng)濟(jì)信息在網(wǎng)上傳遞���。而在以網(wǎng)上支付為核心的網(wǎng)上銀行,電子商務(wù)最核心的部分包括CA認(rèn)證在內(nèi)的電子支付流程。就是說國內(nèi)目前的網(wǎng)上銀行還不能算真正的網(wǎng)上銀行,只有真正建立起國家金融權(quán)威認(rèn)證中心(CA)系統(tǒng),才能為網(wǎng)上支付提供法律保障�。
3.交易信息在消費(fèi)者與銀行之間傳遞的安全性問題
目前,我國銀行卡持有人安全意識(shí)普遍較弱,不注意密碼保密,或?qū)⒚艽a設(shè)為生日等易被猜測(cè)的數(shù)字。一旦卡號(hào)和密碼被他人竊取或猜出,用戶賬號(hào)就可能在網(wǎng)上被盜用,例如進(jìn)行購物消費(fèi)等,從而造成損失,而銀行技術(shù)手段對(duì)此卻無能為力�����。因此一些銀行規(guī)定:客戶必須持合法證件到銀行柜臺(tái)簽約才能使用“網(wǎng)上銀行”進(jìn)行轉(zhuǎn)賬支付,以此保障客戶的資金安全�。另一種情況是,客戶在公用的計(jì)算機(jī)上使用網(wǎng)上銀行,可能會(huì)使數(shù)字證書等機(jī)密資料落入他人之手,從而直接使網(wǎng)上身份識(shí)別系統(tǒng)被攻破,網(wǎng)上賬戶被盜用。用戶和銀行之間通過互聯(lián)網(wǎng)傳遞的信息是實(shí)現(xiàn)交易的基礎(chǔ)條件,如何確保不被第三方知道,是網(wǎng)上業(yè)務(wù)安全進(jìn)行的一個(gè)重要前提����。
綜上所述,其根本原因都是由于登錄密碼或支付密碼泄露造成的。①密碼管理問題����。②網(wǎng)絡(luò)病毒、木馬問題���。③釣魚平臺(tái)。另外還有網(wǎng)上支付的信用問題����、網(wǎng)上支付的法律問題和網(wǎng)上安全認(rèn)證機(jī)構(gòu)(CA)建設(shè)混亂等問題���。
二、網(wǎng)上銀行安全性問題解決的對(duì)策
1.做好自身電腦的日常安全維護(hù)
一是經(jīng)常給電腦系統(tǒng)升級(jí)�����。二是安裝殺毒軟件�����、防火墻,經(jīng)常升級(jí)和殺毒��。三在平時(shí)上網(wǎng)是盡量不上一些小型網(wǎng)站,選大型網(wǎng)站,知名度比較高的網(wǎng)站,避免網(wǎng)站掛有病毒���、木馬造成中毒����。四盡量不要在公共電腦上使用自己的有關(guān)資金的賬戶和密碼�。五有條件的情況下,在初裝系統(tǒng)后確認(rèn)電腦安全的后,給自己的電腦做上備份,在使用資金賬戶前做一次系統(tǒng)恢復(fù)。
2.設(shè)立防火墻,隔離相關(guān)網(wǎng)絡(luò)
所謂防火墻指的是位與不同網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組合,作為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道,并根據(jù)用戶的有關(guān)策略控制進(jìn)出不同網(wǎng)絡(luò)安全域的訪問?����,F(xiàn)實(shí)生活中一般采用多重防火墻方案,分隔互聯(lián)網(wǎng)與交易服務(wù)器,防止互聯(lián)網(wǎng)用戶的非法入侵;還用于交易服務(wù)器與銀行內(nèi)部網(wǎng)的分隔,有效保護(hù)銀行內(nèi)部網(wǎng),同時(shí)防止內(nèi)部網(wǎng)對(duì)交易服務(wù)器的入侵�����。
3.設(shè)置高安全級(jí)的web應(yīng)用服務(wù)器
高安全級(jí)的web服務(wù)器使用可信的專用操作系統(tǒng),憑借其獨(dú)特的體系結(jié)構(gòu)和安全檢查,保證只有合法用戶的交易請(qǐng)求能通過特定的程序送至應(yīng)用服務(wù)器進(jìn)行后續(xù)處理。
4.建立完善的身份認(rèn)證和CA認(rèn)證系統(tǒng)
在網(wǎng)上銀行系統(tǒng)中,用戶的身份認(rèn)證依靠基于“RSA公鑰密碼體制”的加密機(jī)制��、數(shù)字簽名機(jī)制和用戶登錄密碼的多重保證�����。銀行對(duì)用戶的數(shù)字簽名和登錄密碼進(jìn)行檢驗(yàn),全部通過后才能確認(rèn)該用戶的身份����。用戶的惟一身份標(biāo)識(shí)就是銀行簽發(fā)的“數(shù)字證書”。用戶的登錄密碼以密文的方式進(jìn)行傳輸,確保了身份認(rèn)證的安全可靠性��。數(shù)字證書的引入,同時(shí)實(shí)現(xiàn)了用戶對(duì)銀行交易網(wǎng)站的身份認(rèn)證,以保證訪問的是真實(shí)的銀行網(wǎng)站,另外還確保了客戶提交的交易指令的不可否認(rèn)性��。由于數(shù)字證書的惟一性和重要性,各家銀行為開展網(wǎng)上業(yè)務(wù)都成立了CA認(rèn)證機(jī)構(gòu),專門負(fù)責(zé)簽發(fā)和管理數(shù)字證書,并進(jìn)行網(wǎng)上身份審核�。2000年6月,由中國人民銀行牽頭,12家商業(yè)銀行聯(lián)合共建的中國金融認(rèn)證中心(CFCA)正式掛牌運(yùn)營(yíng)。這標(biāo)志著中國電子商務(wù)進(jìn)入了銀行安全支付的新階段�。中國金融認(rèn)證中心作為一個(gè)權(quán)威的、可信賴的����、公正的第三方信任機(jī)構(gòu),為今后實(shí)現(xiàn)跨行交易提供了身份認(rèn)證基礎(chǔ)��。
5.加強(qiáng)客戶的安全意識(shí)和網(wǎng)絡(luò)通訊的安全性
銀行卡持有人的安全意識(shí)是影響網(wǎng)上銀行安全性的不可忽視的重要因素。一些銀行規(guī)定:客戶必須持合法證件到銀行柜臺(tái)簽約才能使用“網(wǎng)上銀行”進(jìn)行轉(zhuǎn)賬支付,以此保障客戶的資金安全�。另一種情況是,客戶在公用的計(jì)算機(jī)上使用網(wǎng)上銀行,可能會(huì)使數(shù)字證書等機(jī)密資料落入他人之手,從而直接使網(wǎng)上身份識(shí)別系統(tǒng)被攻破,網(wǎng)上賬戶被盜用。新晨
安全性作為網(wǎng)絡(luò)銀行賴以生存和得以發(fā)展的核心及基礎(chǔ),從一開始就受到各家銀行的極大重視,都采取了有效的技術(shù)和業(yè)務(wù)手段來確保網(wǎng)上銀行安全��。但安全性和方便性又是互相矛盾的,越安全就意味著申請(qǐng)手續(xù)越煩瑣,使用操作越復(fù)雜,影響了方便性,使客戶使用起來感到困難��。因此,必須在安全性和方便性上進(jìn)行權(quán)衡���。
互聯(lián)網(wǎng)是一個(gè)開放的網(wǎng)絡(luò),客戶在網(wǎng)上傳輸?shù)拿舾行畔⒃谕ㄓ嵾^程中存在被截獲����、被破譯�、被篡改的可能。為了防止此種情況發(fā)生,網(wǎng)上銀行系統(tǒng)一般都采用加密傳輸交易信息的措施,使用最廣泛的是SSL數(shù)據(jù)加密協(xié)議�。
參考文獻(xiàn):
[1]孫強(qiáng).互聯(lián)網(wǎng)商務(wù)應(yīng)用[M].北京:對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)出版社,2000.
[2]關(guān)翔.中國電子商務(wù)與實(shí)踐[M].北京:清華大學(xué)出版社,2000.
第7篇
關(guān)鍵詞:電子商務(wù)信息安全安全技術(shù)
伴隨經(jīng)濟(jì)的迅猛發(fā)展,電子商務(wù)成為當(dāng)今世界商務(wù)活動(dòng)的新模式�����。要在國際競(jìng)爭(zhēng)中贏得優(yōu)勢(shì)���,必須保證電子商務(wù)中信息交流的安全�����。
一�����、電子商務(wù)的信息安全問題
電子商務(wù)信息安全問題主要有:
1.信息的截獲和竊?��。喝绻捎眉用艽胧┎粔?����,攻擊者通過互聯(lián)網(wǎng)�����、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)�,獲取機(jī)密信息或通過對(duì)信息流量�����、流向�����、通信頻度和長(zhǎng)度分析,推測(cè)出有用信息��。2.信息的篡改:當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后�����,通過技術(shù)手段對(duì)網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地��,破壞信息完整性�����。3.信息假冒:當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后�,假冒合法用戶或發(fā)送假冒信息欺騙其他用戶��。4.交易抵賴:交易抵賴包括多方面�,如發(fā)信者事后否認(rèn)曾發(fā)送信息、收信者事后否認(rèn)曾收到消息�����、購買者做了定貨單不承認(rèn)等�����。
二、信息安全要求
電子商務(wù)的安全是對(duì)交易中涉及的各種信息的可靠性���、完整性和可用性保護(hù)���。信息安全包括以下幾方面:
1.信息保密性:維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣應(yīng)用的重要保障。由于建立在開放網(wǎng)絡(luò)環(huán)境中�,要預(yù)防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生。2.信息完整性:貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)����,影響到交易和經(jīng)營(yíng)策略。要保證網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐淮鄹?�,預(yù)防對(duì)信息隨意生成��、修改和刪除�����,防止數(shù)據(jù)傳送中信息的失和重復(fù)并保證信息傳送次序的統(tǒng)一����。3.信息有效性:保證信息有效性是開展電子商務(wù)前提,關(guān)系到企業(yè)或國家的經(jīng)濟(jì)利益��。對(duì)網(wǎng)絡(luò)故障、應(yīng)用程序錯(cuò)誤�����、硬件故障及計(jì)算機(jī)病毒的潛在威脅控制和預(yù)防�����,以保證貿(mào)易數(shù)據(jù)在確定時(shí)刻和地點(diǎn)有效�。4.信息可靠性:確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵���。為防止計(jì)算機(jī)失效�、程序錯(cuò)誤�、系統(tǒng)軟件錯(cuò)誤等威脅,通過控制與預(yù)防確保系統(tǒng)安全可靠�����。
三���、信息安全技術(shù)
1.防火墻技術(shù)����。防火墻在網(wǎng)絡(luò)間建立安全屏障,根據(jù)指定策略對(duì)數(shù)據(jù)過濾����、分析和審計(jì),并對(duì)各種攻擊提供防范�。安全策略有兩條:一是“凡是未被準(zhǔn)許就是禁止”。防火墻先封閉所有信息流�����,再審查要求通過信息����,符合條件就通過;二是“凡是未被禁止就是允許”�����。防火墻先轉(zhuǎn)發(fā)所有信息����,然后逐項(xiàng)剔除有害內(nèi)容。
防火墻技術(shù)主要有:(1)包過濾技術(shù):在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過��,核心是安全策略即過濾算法設(shè)計(jì)�。(2)服務(wù)技術(shù):提供應(yīng)用層服務(wù)控制�,起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用���。服務(wù)還用于實(shí)施較強(qiáng)數(shù)據(jù)流監(jiān)控�����、過濾�、記錄等功能�。(3)狀態(tài)監(jiān)控技術(shù):在網(wǎng)絡(luò)層完成所有必要的包過濾與網(wǎng)絡(luò)服務(wù)防火墻功能。(4)復(fù)合型技術(shù):把過濾和服務(wù)兩種方法結(jié)合形成新防火墻����,所用主機(jī)稱為堡壘主機(jī)����,提供服務(wù)。(5)審計(jì)技術(shù):通過對(duì)網(wǎng)絡(luò)上發(fā)生的訪問進(jìn)程記錄和產(chǎn)生日志���,對(duì)日志統(tǒng)計(jì)分析��,對(duì)資源使用情況分析�,對(duì)異?�,F(xiàn)象跟蹤監(jiān)視。(6)路由器加密技術(shù):加密路由器對(duì)通過路由器的信息流加密和壓縮�����,再通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密�����。2.加密技術(shù)�����。為保證數(shù)據(jù)和交易安全�����,確認(rèn)交易雙方的真實(shí)身份���,電子商務(wù)采用加密技術(shù)����。數(shù)據(jù)加密是最可靠的安全保障形式和主動(dòng)安全防范的策略���。目前廣泛應(yīng)用的加密技術(shù)有:(1)公共密鑰和私用密鑰:也稱RSA編碼法��。信息交換的過程是貿(mào)易方甲生成一對(duì)密鑰并將其中一把作為公開密鑰公開�;得到公開密鑰的貿(mào)易方乙對(duì)信息加密后再發(fā)給貿(mào)易方甲:貿(mào)易方甲用另一把專用密鑰對(duì)加密信息解密。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請(qǐng)對(duì)方發(fā)信息將公共密鑰傳給對(duì)方�����,保證傳輸信息的保密和安全��。(2)數(shù)字摘要:也稱安全Hash編碼法�。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋,有固定長(zhǎng)度且不同明文摘要成密文結(jié)果不同�,而同樣明文摘要必定一致。這串摘要成為驗(yàn)證明文是否真身的“指紋”�����。(3)數(shù)字簽名:將數(shù)字摘要���、公用密鑰算法兩種加密方法結(jié)合。在書面文件上簽名是確認(rèn)文件的手段�����。簽名作用有兩點(diǎn):一是因?yàn)樽约汉灻y以否認(rèn)���,從而確認(rèn)文件已簽署�;二是因?yàn)楹灻灰追旅埃瑥亩_定文件為真����。(4)數(shù)字時(shí)間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容,數(shù)字時(shí)間戳服務(wù)能提供電子文件發(fā)表時(shí)間的安全保護(hù)�����。
3.認(rèn)證技術(shù)�����。安全認(rèn)證的作用是進(jìn)行信息認(rèn)證���。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份���,驗(yàn)證信息完整性,確認(rèn)信息在傳送或存儲(chǔ)過程中未被篡改�����。(1)數(shù)字證書:也叫數(shù)字憑證�、數(shù)字標(biāo)識(shí)��,用電子手段證實(shí)用戶身份及對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限�,可控制被查看的數(shù)據(jù)庫���,提高總體保密性����。交易支付過程中�����,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書證明身份�。(2)安全認(rèn)證機(jī)構(gòu):電子商務(wù)授權(quán)機(jī)構(gòu)也稱電子商務(wù)認(rèn)證中心。無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書發(fā)放�,都需要有權(quán)威性和公正性的第三方完成。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)�、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的企業(yè)機(jī)構(gòu),受理數(shù)字證書的申請(qǐng)�����、簽發(fā)及對(duì)數(shù)字證書管理�。
4.防病毒技術(shù)����。(1)預(yù)防病毒技術(shù)��,通過自身常駐系統(tǒng)內(nèi)存��,優(yōu)先獲取系統(tǒng)控制權(quán)�����,監(jiān)視系統(tǒng)中是否有病毒�,阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)破壞�。(2)檢測(cè)病毒技術(shù),通過對(duì)計(jì)算機(jī)病毒特征進(jìn)行判斷的偵測(cè)技術(shù)����,如自身校驗(yàn)、關(guān)鍵字�、文件長(zhǎng)度變化。(3)消除病毒技術(shù)��,通過對(duì)計(jì)算機(jī)病毒分析�,開發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件。另外要認(rèn)真執(zhí)行病毒定期清理制度��,可以清除處于潛伏期的病毒,防止病毒突然爆發(fā)�����,使計(jì)算機(jī)始終處于良好工作狀態(tài)���。
四�、結(jié)語
信息安全是電子商務(wù)的核心��。要不斷改進(jìn)電子商務(wù)中的信息安全技術(shù)�,提高電子商務(wù)系統(tǒng)的安全性和可靠性。但電子商務(wù)的安全運(yùn)行��,僅從技術(shù)角度防范遠(yuǎn)遠(yuǎn)不夠��,還必須完善電子商務(wù)立法���,以規(guī)范存在的各類問題�,引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展�。
參考文獻(xiàn):
[1]譚衛(wèi):電子商務(wù)中安全技術(shù)的研究.哈爾濱工業(yè)大學(xué),2006
第8篇
一、電子商務(wù)(O2O模式)的信息安全問題
電子商務(wù)信息安全問題主要有:
1.信息的截獲和竊?�。喝绻捎眉用艽胧┎粔?����,攻擊者通過互聯(lián)網(wǎng)�、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過網(wǎng)關(guān)和路由器上截獲數(shù)據(jù),獲取機(jī)密信息或通過對(duì)信息流量����、流向、通信頻度和長(zhǎng)度分析�����,推測(cè)出有用信息��。
2.信息的篡改:當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后����,通過技術(shù)手段對(duì)網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地,破壞信息完整性�。
3.信息假冒:當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后,假冒合法用戶或發(fā)送假冒信息欺騙其他用戶�。
4.交易抵賴:交易抵賴包括多方面,如發(fā)信者事后否認(rèn)曾發(fā)送信息�����、收信者事后否認(rèn)曾收到消息、購買者做了定貨單不承認(rèn)等��。
二�����、信息安全要求
電子商務(wù)(O2O網(wǎng)站)的安全是對(duì)交易中涉及的各種信息的可靠性�、完整性和可用性保護(hù)。信息安全包括以下幾方面:
1.信息保密性:維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣應(yīng)用的重要保障�����。由于建立在開放網(wǎng)絡(luò)環(huán)境中��,要預(yù)防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生���。
2.信息完整性:貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)�����,影響到交易和經(jīng)營(yíng)策略���。要保證網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐淮鄹模A(yù)防對(duì)信息隨意生成�、修改和刪除�,防止數(shù)據(jù)傳送中信息的失和重復(fù)并保證信息傳送次序的統(tǒng)一�。
3.信息有效性:保證信息有效性是開展電子商務(wù)前提,關(guān)系到企業(yè)或國家的經(jīng)濟(jì)利益�。對(duì)網(wǎng)絡(luò)故障�����、應(yīng)用程序錯(cuò)誤�����、硬件故障及計(jì)算機(jī)病毒的潛在威脅控制和預(yù)防���,以保證貿(mào)易數(shù)據(jù)在確定時(shí)刻和地點(diǎn)有效�����。
4.信息可靠性:確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵����。為防止計(jì)算機(jī)失效�����、程序錯(cuò)誤、系統(tǒng)軟件錯(cuò)誤等威脅�����,通過控制與預(yù)防確保系統(tǒng)安全可靠�����。
三���、信息安全技術(shù)(O2O)
1.防火墻技術(shù)����。防火墻在網(wǎng)絡(luò)間建立安全屏障�����,根據(jù)指定策略對(duì)數(shù)據(jù)過濾��、分析和審計(jì)�����,并對(duì)各種攻擊提供防范���。安全策略有兩條:一是“凡是未被準(zhǔn)許就是禁止”����。防火墻先封閉所有信息流,再審查要求通過信息�,符合條件就通過;二是“凡是未被禁止就是允許”��。防火墻先轉(zhuǎn)發(fā)所有信息����,然后逐項(xiàng)剔除有害內(nèi)容����。
防火墻技術(shù)主要有:(1)包過濾技術(shù):在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過,核心是安全策略即過濾算法設(shè)計(jì)�。(2)服務(wù)技術(shù):提供應(yīng)用層服務(wù)控制,起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用�����。服務(wù)還用于實(shí)施較強(qiáng)數(shù)據(jù)流監(jiān)控����、過濾����、記錄等功能����。(3)狀態(tài)監(jiān)控技術(shù):在網(wǎng)絡(luò)層完成所有必要的包過濾與網(wǎng)絡(luò)服務(wù)防火墻功能。(4)復(fù)合型技術(shù):把過濾和服務(wù)兩種方法結(jié)合形成新防火墻�����,所用主機(jī)稱為堡壘主機(jī)���,提供服務(wù)�。(5)審計(jì)技術(shù):通過對(duì)網(wǎng)絡(luò)上發(fā)生的訪問進(jìn)程記錄和產(chǎn)生日志�,對(duì)日志統(tǒng)計(jì)分析,對(duì)資源使用情況分析�����,對(duì)異?����,F(xiàn)象跟蹤監(jiān)視。(6)路由器加密技術(shù):加密路由器對(duì)通過路由器的信息流加密和壓縮�����,再通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密�����。
2.加密技術(shù)�。為保證數(shù)據(jù)和交易安全,確認(rèn)交易雙方的真實(shí)身份�����,電子商務(wù)采用加密技術(shù)���。數(shù)據(jù)加密是最可靠的安全保障形式和主動(dòng)安全防范的策略。目前廣泛應(yīng)用的加密技術(shù)有:(1)公共密鑰和私用密鑰:也稱RSA編碼法����。信息交換的過程是貿(mào)易方甲生成一對(duì)密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿(mào)易方乙對(duì)信息加密后再發(fā)給貿(mào)易方甲:貿(mào)易方甲用另一把專用密鑰對(duì)加密信息解密�。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請(qǐng)對(duì)方發(fā)信息將公共密鑰傳給對(duì)方,保證傳輸信息的保密和安全���。(2)數(shù)字摘要:也稱安全Hash編碼法�。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋,有固定長(zhǎng)度且不同明文摘要成密文結(jié)果不同�����,而同樣明文摘要必定一致����。這串摘要成為驗(yàn)證明文是否真身的“指紋”。(3)數(shù)字簽名:將數(shù)字摘要���、公用密鑰算法兩種加密方法結(jié)合����。在書面文件上簽名是確認(rèn)文件的手段�����。簽名作用有兩點(diǎn):一是因?yàn)樽约汉灻y以否認(rèn)�����,從而確認(rèn)文件已簽署����;二是因?yàn)楹灻灰追旅?���,從而確定文件為真�。(4)數(shù)字時(shí)間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容,數(shù)字時(shí)間戳服務(wù)能提供電子文件發(fā)表時(shí)間的安全保護(hù)�。
3.認(rèn)證技術(shù)。(C2B)安全認(rèn)證的作用是進(jìn)行信息認(rèn)證�。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份,驗(yàn)證信息完整性���,確認(rèn)信息在傳送或存儲(chǔ)過程中未被篡改�。(1)數(shù)字證書:也叫數(shù)字憑證���、數(shù)字標(biāo)識(shí),用電子手段證實(shí)用戶身份及對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限�,可控制被查看的數(shù)據(jù)庫,提高總體保密性�����。交易支付過程中�����,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書證明身份。(2)安全認(rèn)證機(jī)構(gòu):電子商務(wù)授權(quán)機(jī)構(gòu)也稱電子商務(wù)認(rèn)證中心����。無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書發(fā)放,都需要有權(quán)威性和公正性的第三方完成�����。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)��、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的企業(yè)機(jī)構(gòu)�����,受理數(shù)字證書的申請(qǐng)�、簽發(fā)及對(duì)數(shù)字證書管理。
4.防病毒技術(shù)�。(1)預(yù)防病毒技術(shù),通過自身常駐系統(tǒng)內(nèi)存���,優(yōu)先獲取系統(tǒng)控制權(quán)��,監(jiān)視系統(tǒng)中是否有病毒�,阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)破壞。(2)檢測(cè)病毒技術(shù)����,通過對(duì)計(jì)算機(jī)病毒特征進(jìn)行判斷的偵測(cè)技術(shù),如自身校驗(yàn)��、關(guān)鍵字�����、文件長(zhǎng)度變化���。(3)消除病毒技術(shù)����,通過對(duì)計(jì)算機(jī)病毒分析��,開發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件�。另外要認(rèn)真執(zhí)行病毒定期清理制度,可以清除處于潛伏期的病毒�����,防止病毒突然爆發(fā)���,使計(jì)算機(jī)始終處于良好工作狀態(tài)�。
