电子商务安全作业
学习电子商务安全与管理心得体会
随着经济的发展,电子商务也越来越普及,越来越多的公司、个人在网上来交易,电子商务在人们的心中越来越不可缺少。但是,随着网络的普及,各种木马病毒、网上欺骗事件越来越多,阻碍了电子商务的发展。所以,电子商务安全与合理的管理是电子商务发展的保障。
一、安全交易标准的制定
近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有:
1、安全超文本传输协议:依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
2、安全套接层协议:是由网景公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。
3、安全交易技术协议:由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。
4、安全电子交易协议:SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
二、目前安全电子交易的手段
1、密码技术
采用密码技术息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种:
(1)公共密钥和私用密钥
这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
(2)数字摘要
这一加密方法亦称安全Hash编码法或MD5,由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。
上述两种方法可结合起来使用,数字签名就是上述两法结合使用的实例。
2、数字签名
在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点: a.信息是由签名者发送的。 b.信息在传输过程中未曾作过任何修改。 这样数字签名就可用来防止电子信息因被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。 数字签名采用了双重加密的方法来实现防伪、防赖。
3、数字时间戳
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。 数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要,2)DTS收到文件的日期和时间,3)DTS的数字签名。
4、数字凭证
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。 数字凭证有三种类型:
(1) 个人凭证:它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件来进行交易操作。
(2) 企业(服务器)凭证:它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的万维网站点来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
(3) 软件(开发者)凭证:它通常为Internet中被下载的软件提供凭证,该凭证用于和微软公司Authenticode技术结合的软件,以使用户在下载软件时能获得所需的信息。
5、认证中心
在电子交易中,无论是数字时间戳服务(DTS)还是数字凭证的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定来实施服务操作。
上述五个方面介绍了安全电子交易的常用手段,各种手段常常是结合在一起使用的,从而构成比较全面的安全电子交易体系。
