随着INTERNET的发展.doc

电子商务中数据安全性问题的研究随着INTERNET的发展，电子商务已经逐渐成为人们进行商务活动的新模式给整个社会带来了巨大的变革，成为驱动所有产业发展的动力。越来越多的人通过INTERNET进行商务活动。电子商务是在Internet开放环境下的一种新型的商业运营模式，是网络技术应用的全新发展方向。发展前景十分诱人，而其安全问题也变得越来越突出，如何建立一个安全，便捷的电子商务应用环境，对信息提供足够的保护，已经成为商家和用户都十分关注的话题，在此首先对电子商务中存在的问题及其安全性技术加以分析，然后对中国电子商务未来的发展提出了一些建议，以使更多的人士关注电子商务技术，尽快解决现存的问题，推动电子商务的发展。 首先让我们先了解以下什么是电子商务，通俗的说，所谓电子商务，就是在网上开展商务活动当企业将它的主要业务通过企业内部网（Intranet）、外部网（Extranet）以及Internet与企业的职员、客户供销商以及合作伙伴直接相连时，其中发生的各种活动就是电子商务。电子商务是基于Internet/Intranet或局域网、广域网、包括了从销售、市场到商业信息管理的全过程。 目前，电子商务只是在对通用方针和平台意见一致的参与者间的封闭组织内进行。例如，电子数据交换（EDI）被用来在一个机构的多个分支之间，或者在建立了契约联系的机构之间安全地传输数据。而在这些早期阶段，电子商务系统只处理某几个方面的完全商务事务。 当客户可以通过他们的Web浏览器来使用的第一批基于web的商店出现时，建立了电子商务的一个更全面的概念作为Internet上传递货物和价格的方式。现在，大多数电子商务系统是基于web的，并且允许客户通过他们的web浏览器购买货物并用信用卡结帐。然而，基于web的应用程序的局限功能使得很难向客户提供全范围的服务。 电子商务中的安全一般有以下几个方面：电子商务中数据安全性问题， 而息安全的核心就是数据库的安全，也就是说数据库加密是信息安全的核心问题。数据库数据的安全问题越来越受到重视，数据库加密技术的应用极大的解决了数据库中数据的安全电子商务交易协议对安全性的影响，当许多传统的商务方式应用在Internet上时，便会带来许多源于安全方面的问题，如传统的贷款和借款卡支付、保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。电子商务的大规模使用虽然只有几年的时间，但不少公司都已经推出了相应的软、硬件产品。由于电子商务的形式多种多样，涉及安全问题各不相同，但在Internet上的电子商务交易过程中，最核心、最关键的问题就是交易的安全性。一别般来说商务安全中普遍存在着一些安全隐患。部分告知是指在网上交易中将最关键的数据如信用卡号码及成叫数额等略去，然后再用电话告之，以防泄密；另行确定是指当在网上传输交易信息后再用电子邮件对交易做确认，才认为有效。这些方法有一定的局限性，操作复杂，贝宁实现真正的安全可靠性。进年来，针对电子交易安全的要求，IT业界与金融行业一起。推出不少有效的安全交易标准和技术。主要协议分为几种：SET协议、SSL协议。而电子商务应用的核心和关键问题是交易的安全性.由于因特网本身的开放性,使得网上交易面临着各种危险,由此提出了相应的安全控制要求.最近几年,信息技术行业与金融行业联合制定了几种安全交易标准,它们主要包括SET标准和SSL标准等.SSL提供网上购物安全的协议安全套接层(Secure Sockets Layer,SSL)是一种传输层技术,由Netscape开发,可以实现兼容浏览器和服务器(通常是Web服务器)之间的安全通信.SSL协议是目前网上购物网站中常使用的一种安全协议.使用它在于确保信息在网际网络上流通的安全性,让浏览器和Web服务器能够安全地进行沟通.简单地说,所谓SSL就是在和另一方通信前先讲好的一套方法,这个方法能够在它们之间建立一个电子商务的安全性秘密信道,确保电子商务的安全性,凡是不希望被别人看到的机密数据,都可通过这个秘密信道传送给对方,即使通过公共线路传输,也不必担心别人的偷窥.SSL为快速架设商业网站提供了比较可靠的安全保障,并且成本低廉,容易架设.Microsoft和Netscape的浏览器都支持SSL,很多Web服务器也支持SSL.SSL使用的是RSA数字签名算法,可以支持X.509证书和多种保密密钥加密算法,比如DES和TripleDES.SSL标准主要提供了3种服务:数据加密服务,认证服务与数据完整性服务.首先,SSL标准要提供数据加密服务.SSL标准采用的是对称加密技术与公开密钥加密技术.SSL客户机与服务器进行数据交换之前,首先需要交换SSL初始握手信息,在SSL握手时采用加密技术进行加密,以保证数据在传输过程中不被截获与篡改.其次,SSL标准要提供用户身份认证服务.SSL客户机与服务器都有各自的识别号,这些识别号使用公开密钥进行加密.在客户机与服务器进行数据交换时, SSL握手需要交换各自的识别号,以保证数据被发送到正确的客户机或服务器上.最后,SSL标准要提供数据完整性服务.它采用哈希函数和机密共享的方法提供完整信息性的服务,在客户机与服务器之间建立安全通道,以保证数据在传输中完整地到达目的地.SET提供安全的电子商务数据交换在开放的因特网上进行电子商务,如何保证交易双方传输数据的安全成为电子商务能否普及的最重要的问题.在电子商务的交易过程中,首先是交流信息和需求,进行磋商;接着是交换单证;最后是电子支付.特别是电子支付涉及到资金,账户,信用卡,银行等一系列对货币最敏感的部门,因此对安全有非常高的要求.SSL安全协议有缺点,不足以担此重任.1996年提出了有重大实用价值和深远影响的安全电子交易 (Secure Electronic Transaction,SET).SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是事关重大的.由于设计合理,SET协议得到了IBM,Microsoft等许多大公司的支持,已成为事实上的工业标准.SET是一种以信用卡为基础的,在因特网上交易的付款协议书,是授权业务信息传输安全的标准,它采用RSA密码算法,利用公钥体系对通信双方进行认证,用DES等标准加密算法对信息加密传输,并用散列函数来鉴别信息的完整性.电子商务中存在的安全威胁而它主要表现在以下方面1、对知识产权的安全威胁。互联网广泛应用后，对知识产权的安全威胁比以前严重多了，甚至有很多人在做出侵权的行为后并不知道自己已经构成了威胁。这主要有两个原因：首先，网络信息非常容易复制，无论是否受到版权保护；其次，很多人不了解保护知识产权方面的版权规定。如前段时间，百度受到香港几家唱片公司的诉讼，原因是百度提供了其旗下若干歌手MP3的下载链接。域名抢注、域名变异和域名窃取是与知识产权保护有关的三个问题。（1）域名抢注。是指用别人公司的商标来注册一个域名，以期商标所有者付巨资赎回域名。（2）域名变异。是指某人注册著名域名的错误拼写的域名来骗走不知情的顾客。顾客一个小的错误拼写就会进入其他网站。（3）域名窃取。是指非域名所有者变更了某个域名的所有权就属于域名窃取。通常这种情况的发生均是人为的。这种欺骗客户的手段大胆而拙劣。2、对客户机的安全威胁。对客户机的威胁主要来自活动内容，是指在页面上嵌入的对用户透明的程序，它可完成一些动作。由于活动内容是可以在客户机上运行的程序，它就有可能破坏客户机。因此活动内容给客户机带来了严重的安全威胁。活动内容有多种形式，最知名的活动内容形式包括cookies、Java小应用程序、JavaScript、VBScript和ActiveX控件，另外还有图片、浏览器插件和电子邮件附件。（1）cookie是web站点用来存储用户相关信息的一种工具。当访问者进入一个web站点时，该站点向访问者的计算机发送一个小型的文本文件（cookie），以便当下次再访问该站点时，以前存储的信息能够被快速载入。正是通过一个特点可以潜入的有恶意的程序可使通常存在cookie里的信用卡号、用户名和口令等信息泄密。有恶意的活动内容利用cookie可将客户机端的文件泄密，甚至破坏存储在客户机上的文件。（2）Java小应用程序随页面下载下来，只要浏览器兼容Java，它就可在客户机上运行，这就意味着非常可能发生破坏安全的问题。（3）ActiveX控件是一些软件组件和对象，可以将其插入到web网页或其他应用程序中。当浏览器下载了嵌有ActiveX控件的页面时，它就可在客户机上运行了。Shockwave是用于动画和娱乐控制的浏览器插件程序。ActiveX控件的安全威胁是：一旦下载后，它就能像计算机上的其他程序一样执行，能访问包括操作系统代码在内的所有系统资源，这就会对客户机的安全构成威胁。3、对通信信道的安全威胁。互联网是客户机连到服务器上的传输信道，互联网最初建立的主要目的不是为了安全传输，而是提供冗余传输，既防止一个或多个通信线路被切断。在互联网上传输的信息，从起始节点到目标节点之间的路径是随机选择的，到达之前会通过很多中间节点，根本就无法保证信息传输时的安全。（1）对完整性的安全威胁。也叫主动搭线窃听，当未经授权方改变了信息流时就构成了对完整性的威胁。破坏他人网站就是破坏完整性的例子（2）对即需性的安全威胁。也叫拒绝服务安全威胁，其目的是破坏正常的计算机处理或完全拒绝处理。例如：将网站访问速度大大降低，就会影响访问该网站人群的数量，对于一些即时性交易，会产生毁灭性的打击。（3）对保密性的安全威胁。看到了不应看到的信息。在通信信道截取保密信息加以破解。4、对服务器的安全威胁。客户机、互联网和服务器的电子商务链上第三个环节是服务器。对企图破坏或非法获取信息的人来说，服务器就有很多弱点可以被利用，如数据库和数据库服务器。（1）对WWW服务器的安全威胁。因为WWW服务器软件支持服务器的方便使用，非常复杂，所以也有很多的安全漏洞。如果WWW服务器提供在高权限下运行，破坏者就可利用高权限进行破坏和攻击。（2）对数据库的安全威胁。在电子商务中数据库除了存储产品信息外，还可能保存有价值的信息或隐私信息，如果被破坏或泄漏，就会造成重大的损失。（3）对WWW服务器的物理威胁。即作为关键的物理资源，受到物理的破坏。许多公司都通过CSP托管网站。 5由于电子商务是以计算机网络为基础的，因此它不可避免面临着一系列的安全问题。1)信息泄漏在电子商务中表现为商业机密的泄漏，主要包括两个方面：交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。(2)窜改在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或重改，这样就使信息失去了真实性和完整性。（3)身份识别如果不进行身份识别，第三方就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等，进行身份识别后，交易双方就可防止相互猜疑的情况。(4)电脑病毒问题电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径，还有众多病毒借助干网络传播得更快，动辄造成数百亿美元的经济损失(5) 黑客问题随着各种应用工具的传播，黑客己经大众化了,不像过去那样非电脑高手不能成为黑客。曾经大闹雅虎网站的黑手党男孩就没有受过什么专门训练，只是向网友下载了几个攻击软件并学会了如何使用，就在互联网上大干了一场。 对以上电子商务中安全威胁的防范措施一般如下：安全问题是企业应用电子商务最担心的问题，而如何保障电子商务活动的安全，将一直是电子商务的核心研究领域。作为一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递；其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。防火墙 防火墙是在内部网与外部网之间实施安全防范的系统，可被认为是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。实现防火墙技术的主要途径有：数据包过滤、应用网关和代理服务。加密技术 加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。 .为呢保护数据就需要加密，加密，是一种限制对网络上传输数据的访问权的技术。原始数据（也称为明文，plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文（ciphertext）。将密文还原为原始明文的过程称为解密，它是加密的反向处理，但解密者必须利用相同类型的加密设备和密钥对密文进行解密数据加密技术可以分为3类，即对称型加密、不对称型加密和不可以逆加密。对称加密也叫做常规加密、保密密钥或单密钥加密，它是20世纪70年代之前使用的唯一一种加密机制。它现在仍是最常使用的俩种加密类型之一，另一种是公开密钥加密机制。下面介绍对称加密技术和一些常用的对称加密算法，如DES、TDEA、RC5和IDEA。DES加密算法 DES ( data encryption Standard) 是一种世界标准的加密形式， 已经15 年历史了，虽然有些老， 可还算是比较可靠的算法。在七十的初期, 随着计算机之间的通信发展， 需要有一种标准密码算法为了限制不同算法的激增使它们之间不能互相对话。为解决这个问题, 美国国家安全局(N.S.A ) 进行招标。 I.B.M 公司开发了一种算法， 称为：Lucifer。 经过几年的研讨和修改, 这种算法, 成为了今天的D.E.S，1976 年11月23 日， 终于被美国国家安全局采用。D.E.S 是分块加密的，将明文分割成 64 BITS 的块, 然后它们一个个接起来 。它使用56位密钥对64位的数据块进行加密，并对64bits的数据块进行16轮编码。与每轮编码时，一个48bits的“每轮”密钥值由56bits的完整密钥得出来。DES用软件进行解码需要用很长时间，而用硬件解码速度非常快，1977年，人们估计要耗资两千万美元才能建成一个专门计算机用于DES的解密，而且需要12个小时的破解才能得到结果。所以，当时DES被认为是一种十分强壮的加密方法。但今天， 只需 二十万美圆就可以制造一台破译DES的特殊的计算机，所以现在 DES 对要求“强壮”加密的场合已经不再适用了。 DES 的变种：- 3DES ( 三重DES)DES的唯一密码学缺点，就是密钥长度相对比较短，人们并没有放弃使用DES，而是想出了一个解决其长度问题的方法，即采用三重DES。加密成为三步， 而不是一步，每一步的密钥都不一样， 这样爆破就比较复杂了，这样要找三个密钥， 而不是一个， 每个密钥有56 BITS， 那样我们就有56 乘以三， 等于168 Bits。- 两个密钥的DES。加密也有三步， 但是， 只有两个密钥， 第一步是一号钥，第二步是二号钥， 然后第三步再回来一号钥，这样我们有56 乘以二， 等于112 BITS。IDEA加密算法 IDEA数据加密算法是由中国学者来学嘉博士和著名的密码专家 James L. Massey 于1990年联合提出的。它的明文和密文都是64比特，但密钥长为128比特。IDEA 是作为迭代的分组密码实现的，使用 128 位的密钥和 8 个循环。这比 DES 提供了更多的 安全性，但是在选择用于 IDEA 的密钥时，应该排除那些称为“弱密钥”的密钥。DES 只有四个弱密钥和 12 个次弱密钥，而 IDEA 中的弱密钥数相当可观，有 2 的 51 次方个。但是，如果密钥的总数非常大，达到 2 的 128 次方个，那么仍有 2 的 77 次方个密钥可供选择。IDEA 被认为是极为安全的。使用 128 位的密钥，蛮力攻击中需要进行的测试次数与 DES 相比会明显增大，甚至允许对弱密钥测试。而且，它本身 也显示了它尤其能抵抗专业形式的分析性攻击。总结加密以某种特殊的算法改变原有的信息数据，使得未授权的用户即使获得了已加密的信号，但因不知道解密的方法，仍然无法了解信息的内容。加密建立在对信息进行数学编码和解码的基础上。 我们使用的加密类型分为两种密钥 - 一种是公共密钥，一种是私人密钥。 您发送信息给我们时，使用公共密钥加密信息。 一旦我们收到您的加密信息，我们则使用私人密钥破译信息密码。 同一密钥不能既是加密信息又是解密信息。 因此，使用私人密钥加密的信息只能使用公共密钥解密，反之亦然，以确保您的信息安全。 在未来 我国应尽快对电子商务的有关细则进行立法，否则就会使该电子商务行业变得混乱，