电子商务安全论文.doc

电子商务安全论文电子商务安全中认证技术的教学方法初探 摘要认证技术是电子商务安全中的一个难点，如何寓学于用地让学生掌握好这个知识点，是每个教电子商务老师值得思考的问题。本文结合案例教学、模拟教学、比拟教学等多种方法来研究认证技术的各个知识点，在现实教学中取得了非常好的效果。 关键词认证技术 加密技术 数字签名 随着电子商务的飞速发展，安全问题就摆到了人们面前，目前电子商务安全已经成为制约电子商务快速发展的障碍，如何有效地解决安全问题，已经成为电子商务工作人员的必备知识。为此，现在很多高校管理专业都开设了电子商务安全课程，如何针对该课程的特点，理论结合实际地让学生掌握好必备的安全知识，是每个教电子商务课程老师应该思考的问题，在现实教学中，老师只需要抓住该课程中最重要的一节内容“认证技术”，并将其讲透，这样就能把整个课程脉络理清，并贯穿始终地传授好这门课程。 一、认证技术的内容案例教学法 总的来说，电子商务安全要素主要是针对五个方面，分别是有效性、保密性、完整性、不可抵赖性、认证性。因此主要包含有五种技术：加密技术、数字信封技术、数字时间戳、数字签名技术、数字证书，每一种技术都可以解决不同的安全隐患，这五种技术功能具体如图1所示： 图1 认证技术功能结构 在讲到这一章的时间，我们应该是首先从宏观的角度去把握，因为这节的内容距离现实生活较远，学生很难去深切体验其中的优劣，所以我们可以先举几个现实生活中的网络犯罪的案例给学生听，调动学生的兴趣，然后再提出问题：如何来有效地阻止这些犯罪的发生呢？从而引出以下我们要讲解的内容。 二、加密技术模拟教学法 数据加密作为一项基本技术，是电子商务安全的基石，因此在电子商务安全教学中必须把数据加密技术作为教学的重点和难点向学生讲深讲透。 加密技术主要包含两种，一种称为对称密钥加密体制，另一种称为公开密钥加密体制。对称密钥加密体制中加密与解密使用同样的密钥，加密方和解密方都要掌握密钥才能完成加密、解密过程。这种加密算法简单、高效，但是不够安全，存在密钥泄密的风险。在众多的常规密码中影响最大的还是DES密码。 公开密钥算法体制又称为非对称密钥加密体制，是指对信息的加密、解密是采用一对密钥来实现的，在使用中通常将一把密钥对社会公开(称为公钥)，另一把密钥严格保密(称为私钥)。公钥、私钥要配对使用，信息用公钥加密后只能用私钥解开；反之，用私钥加密后只能用公钥解开。最有影响的非对称密码算法是RSA，它能抵抗目前已知的所有密码攻击。非对称密码可以适应网络的开放性要求，且密钥管理相对于对称加密要简单得多，尤其可以方便地实现数字签名和验证。但非对称密码的算法相对复杂，加密数据的速率较低。 加密技术的原理其实非常简单，但是学生第一次接触的时候总是摸不着头脑，而且容易将两种加密体制混淆。所以在讲到这一节的时候，我们可以先把原理讲透，甚至可以适当地阐述一下DES算法与RSA算法的实现过程，然后可以以现场模拟的方式，分别叫三个同学上台来，一个作为发送方，一个作为接收方，另一位同学成为信息的传递者，通过用道具、形体说明等方式把这两种加密算法模拟出来，这样让同学们能真实地感受到两种加密算法的不同，加深学生的印象。 三、数字信封技术比拟教学法 数字信封技术是指，信息发送方首先使用随机产生的对称密钥，对要发送的信息进行加密。然后，使用公开加密算法和接收方的公钥对该对称密钥进行加密，最后将其和要发送的信息一起传送给接收方。接收方先用自己的私钥解密数字信封，得到对称密钥，再使用对称密钥解密信息。 数字信封实际上是结合了对称加密与非对称加密两种算法机制，并克服了对称密钥加密技术中密钥分发困难和公开密钥加密技术中加密算法运行时间长的不足。主要目的是用来保证数据在传输过程中的安全，同时解决了对称密钥加密体制中将密钥传输给交易方的问题。 数字信封技术实际上是对两种加密体制的一种深入，所以我们在讲到这一节的时候，先结合图形把原理讲清楚，因为数字信封技术实际上是实现了两次加密和两次解密，学生很可能会弄糊涂，所以不妨以比拟的方式将这种技术与现实生活对应起来。例如，我们可以打比方，把原信息看作是一份重要的文件，发送方为了确保它的安全性，先将它锁在办公室抽屉里，相当于是第一次加密；然后再把抽屉的钥匙锁到保险柜抽屉中，相当于第二次加密。当接收方想要取这份文件时，先要利用保险柜的钥匙打开保险柜，取得抽屉钥匙，相当于第一次解密；然后再用抽屉钥匙打开抽屉，取出文件，相当于第二次解密。这样一来，因为用非常形象的比拟来对应，所以很容易就理解了这种认证技术。 四、数字时间戳技术理论强调法 数字时间戳是用来证明信息的收发时间的，它是一个经过加密后形成的凭证文档。在电子商务交易文件中，时间和签名一样是十分重要的证明文件有效性的内容。数字时间戳能保证：信息文件加上去的时间戳与存储信息的物理媒介无关；对已加上数字时间戳的信息文件不能作任何改动和伪造； 要想在某个信息文件中加上与当前日期和时间不同的时间戳是不可能的。 数字时间戳强调的是对时间的有效性保障，原理比较简单，这个小节我们只需强调时间戳的组成，以及产生时间戳的单位是第三方DTS就可以了。 五、数字签名技术对比教学法 数字签名是电子商务中认证技术的一个重要方面，它对信息安全中的身份认证、密钥分配、信息的完整性、交易信息的不可不论性和交易信息安全传输等方面具有非常重要的作用。 数字签名实现的过程是：信息发送方对要发送的信息或信息摘要用自己的私钥加密，然后传送给接收者。接收者收到信息后，只有用发送者的公钥才能对被加密的信息或信息摘要解密。因为加密的内容只有发送方的公钥才能解密，所以，一方面证实了信息确实来自发送方，另一方面也证明发送者不能否认自己发送的信息。通常情况下，数字签名有两种方式，一种是对整个信息的签名，另一种是对信息摘要进行签名。 这部分是认证技术的一个难点，也是应用最为广泛的一种技术，所以在讲解的时候，我们不仅要把两种签名机制给学生深入阐述，还要解释一下它的底层算法，这样学生才能融会贯通。另外，我们可以采用对比的教学方法将数字签名与现实生活中的手写签名来作个比较，从而突出数字签名的优势。 六、数字证书实践教学法 数字证书也叫数字标识，是用电子手段来证实一个用户身份和对网络资源的访问权限。它含有证书持有者的有关信息，以标识他们的身份，其作用类似于现实生活中的身份证。其核心机构是电子商务认证中心（CA），由认证中心颁发的数字证书，也是电子商务安全体系中的一个非常重要的方面。可以说，CA与数字证书对电子商务大规模发展起到了根本的保证作用。 这部分我们可以适当介绍一下CA认证机构，让学生了解一个数字证书的产生过程，并打开一个证书让学生知道里面的内容，最好的方式就是在课堂在演示一次如何下载和安装一个安全的电子邮件证书，并利用该证书来收发加密邮件，这样学生既感到新颖，也会受益匪浅。 总之，理论源于实践，又服务于实践，所以我们在讲到认证技术这一章节的时候，不仅要将各种技术的原理讲深讲透，而且要时刻与现实生活相结合，并结合现实生活的具体问题来讲解。这样一来，学生不仅容易理解各