學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 網(wǎng)絡(luò)安全知識(shí) > 關(guān)于網(wǎng)絡(luò)交易安全的問(wèn)題

關(guān)于網(wǎng)絡(luò)交易安全的問(wèn)題

時(shí)間: 曉斌668 分享

關(guān)于網(wǎng)絡(luò)交易安全的問(wèn)題

  最近有網(wǎng)友想了解下網(wǎng)絡(luò)交易安全不安全的相關(guān)知識(shí),所以學(xué)習(xí)啦小編就整理了相關(guān)資料分享給大家,具體內(nèi)容如下.希望大家參考參考!!!

  網(wǎng)絡(luò)交易安全嗎?

  一、隨著信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展,基于Internet的電子商務(wù)也隨之而生,并在近年來(lái)獲得了巨大的發(fā)展。電子商務(wù)作為一種全新的商業(yè)應(yīng)用形式,改變了傳統(tǒng)商務(wù)的運(yùn)作模式,極大地提高了商務(wù)效率,降低了交易的成本。然而,由于互聯(lián)網(wǎng)開(kāi)放性的特點(diǎn),安全問(wèn)題也自始至終制約著電子商務(wù)的發(fā)展。因此,建立一個(gè)安全可靠的電子商務(wù)應(yīng)用環(huán)境,已經(jīng)成為影響到電子商務(wù)發(fā)展的關(guān)鍵性課題。

  二、電子商務(wù)面臨的安全問(wèn)題

  1.信息泄漏:在電子商務(wù)中主要表現(xiàn)為商業(yè)機(jī)密的泄露,包括兩個(gè)方面:一是交易雙方進(jìn)行交易的內(nèi)容被第三方竊取;二是交易一方提供給另一方使用的文件被第三方非法使用。

  2.信息被篡改:電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^(guò)程中,可能被他人非法修改、刪除或被多次使用,這樣就使信息失去了真實(shí)性和完整性。

  3.身份識(shí)別:身份識(shí)別在電子商務(wù)中涉及兩個(gè)方面的問(wèn)題:一是如果不進(jìn)行身份識(shí)別,第三方就有可能假冒交易一方的身份,破壞交易、敗壞被假冒一方的信譽(yù)或盜取交易成果;二是不可抵賴性,交易雙方對(duì)自己的行為應(yīng)負(fù)有一定的責(zé)任,信息發(fā)送者和接受者都不能對(duì)此予以否認(rèn)。進(jìn)行身份識(shí)別就是防止電子商務(wù)活動(dòng)中的假冒行為和交易被否認(rèn)的行為。4.信息破壞。一是網(wǎng)絡(luò)傳輸?shù)目煽啃?,網(wǎng)絡(luò)的硬件或軟件可能會(huì)出現(xiàn)問(wèn)題而導(dǎo)致交易信息丟失與謬誤;二是惡意破壞,計(jì)算機(jī)網(wǎng)絡(luò)本身遭到一些惡意程序的破壞,例如病毒破壞、黑客入侵等。

  三、電子商務(wù)的安全要素

  1.有效性:電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。因此,要對(duì)一切潛在的威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)是有效的。

  2.機(jī)密性:電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。解決數(shù)據(jù)機(jī)密性的一般方法是采用加密手段。

  3.完整性:由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方的差異。此外,數(shù)據(jù)傳輸過(guò)程中的丟失、重復(fù)或傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方的不同。因此,要預(yù)防對(duì)隨意生成、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過(guò)程中的丟失和重復(fù)并保證傳送次序的統(tǒng)一。

  4.不可抵賴性:電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方這一問(wèn)題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在交易進(jìn)行時(shí),交易各方必須附帶含有自身特征、無(wú)法由別人復(fù)制的信息,以保證交易后發(fā)生糾紛時(shí)有所對(duì)證。

  四、電子商務(wù)采用的主要安全技術(shù)手段

  1.防火墻技術(shù):防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來(lái)保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。所有來(lái)自Internet的傳輸信息或發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。實(shí)現(xiàn)防火墻技術(shù)的主要途徑有:分組過(guò)濾和代理服務(wù)。分組過(guò)濾:這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器中按網(wǎng)絡(luò)安全策略設(shè)置一張?jiān)L問(wèn)表或黑名單,即借助數(shù)據(jù)分組中的IP地址確定什么類型的信息允許通過(guò)防火墻,什么類型的信息不允許通過(guò)。防火墻的職責(zé)就是根據(jù)訪問(wèn)表(或黑名單)對(duì)進(jìn)出路由器的分組進(jìn)行檢查和過(guò)濾。這種防火墻簡(jiǎn)單易行,但不能完全有效地防范非法攻擊。目前,80%的防火墻都是采用這種技術(shù)。代理服務(wù):是一種基于代理服務(wù)的防火墻,它的安全性高,增加了身份認(rèn)證與審計(jì)跟蹤功能,但速度較慢。所謂審計(jì)跟蹤是對(duì)網(wǎng)絡(luò)系統(tǒng)資源的使用情況提供一個(gè)完備的記錄,以便對(duì)網(wǎng)絡(luò)進(jìn)行完全監(jiān)督和控制。通過(guò)不斷收集與積累有關(guān)出入網(wǎng)絡(luò)的完全事件記錄,并有選擇地對(duì)其中的一些進(jìn)行審計(jì)跟蹤,發(fā)現(xiàn)可能的非法行為并提供有力的證據(jù),然后以秘密的方式向網(wǎng)上的防火墻發(fā)出有關(guān)信息如黑名單等。防火墻雖然能對(duì)外部網(wǎng)絡(luò)的功擊實(shí)施有效的防護(hù),但對(duì)網(wǎng)絡(luò)內(nèi)部信息傳輸?shù)陌踩珔s無(wú)能為力,實(shí)現(xiàn)電子商務(wù)的安全還需要一些保障動(dòng)態(tài)安全的技術(shù)。

  2.數(shù)據(jù)加密技術(shù):在電子商務(wù)中,數(shù)據(jù)加密技術(shù)是其他安全技術(shù)的基礎(chǔ),也是最主要的安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前,加密技術(shù)分為兩類,即對(duì)稱加密和非對(duì)稱加密。

  (1)對(duì)稱加密:對(duì)稱加密又稱為私鑰加密。發(fā)送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點(diǎn)是加密和解密使用的是同一個(gè)密鑰。使用對(duì)稱加密方法將簡(jiǎn)化加密的處理,每個(gè)貿(mào)易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。比較著名的對(duì)稱加密算法是:美國(guó)國(guó)家標(biāo)準(zhǔn)局提出的DES(DataEncryptionStandard,數(shù)據(jù)加密標(biāo)準(zhǔn))。對(duì)稱加密方式存在的一個(gè)問(wèn)題是無(wú)法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因?yàn)橘Q(mào)易雙方共享同一把專用密鑰,貿(mào)易雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的。

  (2)非對(duì)稱加密:非對(duì)稱加密又稱為公鑰加密。公鑰加密法是在對(duì)數(shù)據(jù)加解密時(shí),使用不同的密鑰,通信雙方各具有兩把密鑰,即一把公鑰和一把密鑰。公鑰對(duì)外界公開(kāi),私鑰自己保管,用公鑰加密的信息,只能用對(duì)應(yīng)的私鑰解密。同樣地,用私鑰加密的數(shù)據(jù)只能用對(duì)應(yīng)的公鑰解密。RSA(即Rivest,ShamirAdleman)算法是非對(duì)稱加密領(lǐng)域內(nèi)最為著名的算法。貿(mào)易方利用該方案實(shí)現(xiàn)機(jī)密信息交換的基本過(guò)程是:貿(mào)易方甲生成一對(duì)密鑰并將其中的一把作為公開(kāi)密鑰向其他貿(mào)易方公開(kāi),得到該公開(kāi)密鑰的貿(mào)易方乙使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把私有密鑰對(duì)加密后的信息進(jìn)行解密。貿(mào)易方甲只能用其私有密鑰解密由其公開(kāi)密鑰加密后的任何信息。為了充分發(fā)揮對(duì)稱和非對(duì)稱加密體制各自的優(yōu)點(diǎn),在實(shí)際應(yīng)用中通常將這兩種加密體制結(jié)合在一起使用,比如:利用DES來(lái)加密信息,而采用RSA來(lái)傳遞對(duì)稱加密體制中的密鑰。

  3.數(shù)字簽名技術(shù):僅有加密技術(shù)還不足以保證商務(wù)信息傳遞的安全,在確保信息完整性方面,數(shù)字簽名技術(shù)占據(jù)著不可替代的位置。目前數(shù)字簽名的應(yīng)用主要有數(shù)字摘要、數(shù)字簽名和數(shù)字時(shí)間戳技術(shù)。

  (1)數(shù)字摘要:數(shù)字摘要是對(duì)一條原始信息進(jìn)行單向哈希(Hash)函數(shù)變換運(yùn)算得到的一個(gè)長(zhǎng)度一定的摘要信息。該摘要與原始信息一一對(duì)應(yīng),即不同的原始信息必然得到一個(gè)不同的摘要。若信息的完整性遭到破壞,信息就無(wú)法通過(guò)原始摘要信息的驗(yàn)證,成為無(wú)效信息,信息接收者便可以選擇不再信任該信息。

  (2)數(shù)字簽名:數(shù)字簽名實(shí)際上是運(yùn)用公私鑰加密技術(shù)使信息具有不可抵賴性,其具體過(guò)程為:文件的發(fā)送方從文件中生成一個(gè)數(shù)字摘要,用自己的私鑰對(duì)這個(gè)數(shù)字摘要進(jìn)行加密,從而形成數(shù)字簽名。這個(gè)被加密的數(shù)字簽名文件作為附件和原始文件一起發(fā)送給接收者。接收方收到信息后就用發(fā)送方的公開(kāi)密鑰對(duì)摘要進(jìn)行解密,如果解出了正確的摘要,即該摘要可以確認(rèn)原始文件沒(méi)有被更改過(guò)。那么說(shuō)明這個(gè)信息確實(shí)為發(fā)送者發(fā)出的。于是實(shí)現(xiàn)了對(duì)原始文件的鑒別和不可抵賴性。

  (3)數(shù)字時(shí)間戳:數(shù)字時(shí)間戳技術(shù)或DTS是對(duì)數(shù)字文件或交易信息進(jìn)行日期簽署的一項(xiàng)第三方服務(wù)。本質(zhì)上數(shù)字時(shí)間戳技術(shù)與數(shù)字簽名技術(shù)如出一轍。加蓋數(shù)字時(shí)間戳后的信息不能進(jìn)行偽造、篡改和抵賴,并為信息提供了可靠的時(shí)間信息以備查用。

  五、小結(jié)本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù):防火墻技術(shù),數(shù)據(jù)加密技術(shù),數(shù)字簽名技術(shù),以及安全協(xié)議,指出了它們使用范圍及其優(yōu)缺點(diǎn)。但必須強(qiáng)調(diào)說(shuō)明的是,電子商務(wù)的安全運(yùn)行,僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問(wèn)題,從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。

372855