电子商务中的安全技术.doc

电子商务中的安全技术 1.引言：对我国来说，电子商务尚是一个机遇和挑战并存的新领域，这种挑战在很大程度上对有关安全技术的信赖。在开放的网络（如Inter）上处理交易，如何保证传输数据的安全成为电子商务能否普及最重要的因素之一。2电子商务对安全的要求及一般性对策归纳用户对电子商务活动安全性的需求，以及可使用的网络安全措施主要包括如下几个方面。如何确定通信中的贸易伙伴的真实性，常用的处理技术是身份认证，依赖某个可信赖的机构（认证中心CA）发放证书，双方交换信息之前通过CA获取对方的证书，并以此识别对方。如何保证电子单证的秘密性，防范电子单证的内容被第三方读取；常用的处理技术是数据加密和解密。常见的加密技术包括对称密钥加密技术（典型的加密算法包括DES、TripleDES、IDEA、RC4和RC5）和非对称密钥加密技术（典型的加密算法为RSA、SEEK、PGP和EU等）。如何保证被传输的业务单证不会丢失，或者发送方可以察觉所发单证的丢失；对于固定且具有频繁贸易往来的伙伴，可以采用单证传输的序列性检验（即为单证分配序列号，或者增加时间戳）；也可采用双方约定的方法（即在规定的时间内，通过某种方式进行确认。如何确定电子单证的内容未被篡改；单证传输完整性主要采用散列技术来防止非法用户对单证的篡改，通过散列算法对被传输的单证进行处理，产生一个依赖于该单证的短小的散列值,并将该散列值附接在单证之后传输给接收方。以便接收方采用相同的散列算法对接收的单证进行检验。如何确定电子单证的真实性，即单证期望的发送方；鉴别单证真实性的主要手段是数字签名技术，其基础是数据加密中的公开密钥加密技术，实用中常结合单证完整性一起考虑，利用发方的秘密密钥对散列值进行加密。如何解决或者仲裁收发双方对交换的单证所产生的争议，包括发方或者收方可能的否认或抵赖。通常要求引入认证中心进行管理，由CA发放密钥，传输的单证及其签名的备份发至CA保存，作为可能争议的仲裁依据。如何保证存储信息的安全性。规范内部管理，使用访问控制权限和日志，以及敏感信息的加密存储等。当使用服务器支持电子商务活动时，应注意数据的备份和恢复，并采用防火墙技术（有些专家建议直接采用物理分割服务器和内部网络的连接）保护内部网络的安全性。. 1.引言：对我国来说，电子商务尚是一个机遇和挑战并存的新领域，这种挑战在很大程度上对有关安全技术的信赖。在开放的网络（如Inter）上处理交易，如何保证传输数据的安全成为电子商务能否普及最重要的因素之一。2电子商务对安全的要求及一般性对策归纳用户对电子商务活动安全性的需求，以及可使用的网络安全措施主要包括如下几个方面。如何确定通信中的贸易伙伴的真实性，常用的处理技术是身份认证，依赖某个可信赖的机构（认证中心CA）发放证书，双方交换信息之前通过CA获取对方的证书，并以此识别对方。如何保证电子单证的秘密性，防范电子单证的内容被第三方读取；常用的处理技术是数据加密和解密。常见的加密技术包括对称密钥加密技术（典型的加密算法包括DES、TripleDES、IDEA、RC4和RC5）和非对称密钥加密技术（典型的加密算法为RSA、SEEK、PGP和EU等）。如何保证被传输的业务单证不会丢失，或者发送方可以察觉所发单证的丢失；对于固定且具有频繁贸易往来的伙伴，可以采用单证传输的序列性检验（即为单证分配序列号，或者增加时间戳）；也可采用双方约定的方法（即在规定的时间内，通过某种方式进行确认。如何确定电子单证的内容未被篡改；单证传输完整性主要采用散列技术来防止非法用户对单证的篡改，通过散列算法对被传输的单证进行处理，产生一个依赖于该单证的短小的散列值,并将该散列值附接在单证之后传输给接收方。以便接收方采用相同的散列算法对接收的单证进行检验。如何确定电子单证的真实性，即单证期望的发送方；鉴别单证真实性的主要手段是数字签名技术，其基础是数据加密中的公开密钥加密技术，实用中常结合单证完整性一起考虑，利用发方的秘密密钥对散列值进行加密。如何解决或者仲裁收发双方对交换的单证所产生的争议，包括发方或者收方可能的否认或抵赖。通常要求引入认证中心进行管理，由CA发放密钥，传输的单证及其签名的备份发至CA保存，作为可能争议的仲裁依据。如何保证存储信息的安全性。规范内部管理，使用访问控制权限