电子商务安全论文精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的电子商务安全论文主题范文，仅供参考，欢迎阅读并收藏。

第1篇：电子商务安全论文范文

摘要：本文从行业诚信和安全技术两个角度，分析了我们电子商务发展所面临的问题，提出了提高全民诚信素质教育，加快相关法律法规建设，建立完善的信用体系，以及采用先进的安全技术，促进我国电子商务的健康发展。 关键词：电子商务，行业诚信 ，安全技术 1引言 诚信问题和安全问题成为影响我国电子商务发展的瓶颈。首先，在电子商务领域企业、消费者、银行等任何一方诚信缺失，交易就不能顺利实施。电子商务的行业诚信需要政府、企业、社会等各界共同努力。再次，针对电子商务的各种安全要素，采用相应的安全技术，将用力的保障电子商务的交易各方的安全。

2电子商务诚信缺失的原因与表现

2.1 我国诚信基础薄弱，电子商务交易社会信任度低

电子商务参与者的诚信观念、规则意识不强。电子商务作为不见面的交易模式，难以得到消费者的认同，而“无商不奸”的观念在人们的思想中根深蒂固，这是电子商务发展的心理障碍。

2.2 社会信用体制尚未完全建立，电子商务难于运营

电子商务贸易内的信用评级还完全属于行业和个人行为，还没有得到政府的支持和认可，所以评级中介机构、评级依据都未得到法律认同，从而评级也就没有法律效力。

2.3 商业秘密和客户隐私得不到保护

网络具有公开性，商家和消费者的个体信息在未征得同意时不得公开，否则将构成对隐私权的侵犯。而目前很多商业性网站并不注重对客户信息的保护，商业秘密和隐私随时可能受到侵犯，且难以获得有效的法律救济。

另外，还有网络诈骗、商品质量低劣、不履行服务承诺等一系列诚信缺失的表现。

3电子商务的诚信建设

3.1 加大诚信建设和教育，提高全民诚信素质

倡导诚信观念，提高社会公德和全民诚信素质，形成诚实守信的社会环境，促进电子商务的发展。

3.2 健全相关法律、法规和制度的建设

法律、法规作为诚信的最后一道保障，不仅能打击违法行为，维护消费者的合法权益，也能营造良好的社会诚信环境，促进电子商务的繁荣发展。根据电子商务的环境和交易特点，建立电子交易法律和制度、电子支付制度、信用卡制度等。

3.3 完善信用体系建设

(1)建立电子商务信用模式。电子商务的信用模式主要是指电子商务企业(网站)通过制定和实施确定交易规则，为电子商务交易的当事人建立一个公平、公正的平台，以确保电子商务交易的安全可靠。其基础性设施主要体现在资格认证和信用认证。

(2)加强行业自律。电子商务行业应当反对采用一切不正当手段进行行业内竞争，自觉维护用户的合法权益，保守用户信息秘密。

(3)建立在线信用信息数据库。政府有关部门要尽早建立跨区域的在线信用信息数据库，通过提供信用查询、公示企业守信或诚信信息、受理信用的投诉、受理信用的异议等服务，来营造电子商务信用环境。

另外，还要增强政府引导与管理能力，促进中国电子商务诚信联盟的发展。可以营造良好的电子商务诚信环境。

4 电子商务的安全要素与安全技术

实现电子商务的关键是要保证商务活动过程中系统的安全性，从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系，由于距离的限制，电子商务交易双方都面临安全威胁。这些安全因素包含：信息有效性、真实性;信息机密性;信息完整性;信息可靠性、不可抵赖性和可鉴别性。;

4.1 电子商务的安全技术

(1)数据加密技术

加密技术用于网络安全通常有二种形式，即面向网络或面向应用服务，可分为：对称密钥密码算法、不对称型加密算法、不可逆加密算法三种。电子商务领域常用的加密技术有数字摘要、数字签名、数字时间戳、数字证书等。

(2)与电子商务安全有关的协议技术

SSL协议(安全套接层协议)，主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输。从目前实际使用的情况来看，SSL还是人们最信赖的协议，但是SSL并不能协调各方间的安全传输和信任关系;还有，购货时用户要输入通信地址，这样将可能使得用户收到大量垃圾信件。

SET协议(安全电子交易)，由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构，共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准，它采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性，是目前公认的信用卡/借记卡的网上交易的国际安全标准。

(3)身份认证技术

在电子交易中，无论是数字时间戳服务还是数字证书的发放，都不是靠交易的自己能完成的，而需要有一个具有权威性和公正性的第三方来完成。认证中心就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。

4.2网上支付平台及支付网关

网上支付平台分为CTEC支付体系和SET支付体系。网上支付平台支付型电子商务业务提供各种支付手段，包括基于SET标准的信用卡支付方式、以及符合CTEC标准的各种支付手段。支付网关位于公网和传统的银行网络之间，主要完成通信、协议转换和数据加解密功能，并且可以保护银行内部网络。此外，支付网关还具有密钥保护和证书管理等其它功能。

5小结

本文分析了目前电子商务领域所面临的诚信危机与安全威胁，指出要将行业诚信、政府监管、国家立法、安全技术等多方面相结合，从而保障电子商务的安全运行，引导和促进我国电子商务快速健康发展。

[3]梁露，电子商务网站建设与实践[M]，北京：人民邮电出版社，2008:180-182

[4]方真，电子商务必须完善诚信机制[J]，中国电子商务，2004年02期

第2篇：电子商务安全论文范文

1.1对供应商的影响

降低成本，提高效率一直是航空公司经理们所要考虑的问题。在传统情况下，当公司需要进行采购的时候组织采购部门会填写请购单，这个请购单会交付给供应商。表格交付后，确认产品信息确认后付款。采购过程非常耗时。在网络没有出现的年代，寻找要购买的商品通常需要一个半天的时间，而电子采购只需要20分钟。(Chaffey，2002)可以说企业机构从电子采购中获益很多。

1.2对分销商的影响

对航空业来讲，分销是指航空公司如何把机票分配给消费者。在网络没有盛行的年代，旅行社是重要的购买机票的渠道。而现在购买机票方式的变化是显而易见的。许多航空公司设立了官方网站来吸引消费者购票。Law和Leung（2000）认为网络能够在不通过旅行社和电脑预订系统（ComputerReservationSystems，CRS）直接与消费者沟通，从而降低了机票的分销费用。EasyJet航空公司就是通过各种方式来降低不必要成本的典型，比如通过网络售票。2001年9月75%的人上网买票，这可以看作是一种脱媒方式。随着网络的普及，几乎所有的航空公司都建立自己的网站，同时网络订机票的中介也应运而生，这就意味着航空公司之间的竞争越发激烈，尤其对那些以价格为导向的消费者来说，他们更倾向于价格更便宜的机票。以2012年4月22日从伦敦到巴塞罗那的机票为例，大英航空的最低票价为196英镑，而Easyjet的票价只有62.99英镑，可见Easyjet在降低成本上所做的努力。可以看出，网络在降低了航空业分销渠道成本的同时，也加大了行业内部之间的竞争。

1.3对客户关系的影响

如上所述，航空业属于服务业范畴，因而公司与消费者的关系是至关重要的。Chaffey(2002)认为客户关系主要有两个部分，即客户获取（customeracquisition）和客户维系(customerretention)，其中获取一个客户要比维系一个客户成本更高。因而公司希望与已获得的客户保持长期而良好的关系，而网络让维持这种关系变得更加容易。荷兰皇家航空公司（KLM）的网络客户关系管理团队（CRMteam）会根据客户在网上订票后所留下的cookies（小型文本本件）来判定客户的消费习惯，从而为客户提供更加个性化的信息，比如给他们发送专门为他们定制的邮件。他们也为常旅客（frequentflyers）提供专属的服务，并称之为常旅客计划会员（frequentflyerprogrammem-bership）。其次，对消费者来说，网络的产生让消费者能够随时随地查询相关信息，比如网上值机系统（onlinecheck-insystem）能够节省消费者的时间同时也能降低公司人力成本。航空公司通过电子商务（网络，手机等）可以更好与消费者维持良好的关系。廉价航空公司EasyJet通过使用RightNow公司的客户关系管理软件使该公司运行成本降低了75万英镑。

2电子商务在未来发展中的隐患

2.1网络安全问题

对消费者来说网络安全是他们进行网上购物的顾虑之一，这种顾虑不仅仅存在于航空业之中，其中就包括网上转账安全。2011年美国社交网络脸书（Facebook）的大规模用户信息泄露事件让网络安全问题处在了风口浪尖上。网络诈骗及其他网络问题的出现让消费者们对网上转账产生了疑虑。据统计，仅2008年美国航空业损失费用达到14亿美元，占了当年世界航空业总产值的百分之1.3。Cunningham等（2004）认为“对于基于网络和传统的航空预订服务来说，对风险的感知是系统的模式”这就意味着尽管航空公司不断强调他们采用多么现实的网络安全技术，消费者始终会对网上支付有一定的顾虑。其次，消费者也担心在网上注册账号会导致更多的个人信息被泄露。美国廉价航空公司捷蓝（JetBlue）航空在顾客信息保护上面下了很大功夫，公司信息技术副总裁ToddThompson认为“网络能够提升他们为顾客提供优质服务的能力，但不幸的是，电子通信总是会被转发、打印或复制，因此完全的保密是几乎不可能完成的”。捷蓝航空计划为WindowsServerTM2003和微软办公系统使用微软公司的权限管理服务MicrosoftRWindowsRRightsManagementSer-vices(RMS)，这种信息保护技术是建立在文件级别上了，内部信息的交流会降低信息被他人误读，从而提高了消费者信息的安全性。但根据Krishnamurthy(P.5)的研究，通过旅行网站所泄露的个人信息占据所有网站之首，旅行网站的直接泄露指数（directleakageindex）为9，而像购物网站和新闻网站分别只有3和5。由此可以看出，航空业在未来发展电子商务方面还存在着潜在的风险。而且提高升级网络系统容易，但是改变人们对网络隐患的担忧却不是那么容易。

2.2硬件问题

Phaladsingh(2006)认为“个人电脑的普及率”是影响电子商务发展的阻碍之一，这就意味着不管网络技术有多发达，如果人们买不起电脑和其他数码设备，电子商务就很难发挥其作用。对于航空业来说同样是如此，网上值机、网上购票等服务只有在有电脑设备的时候才会体现出其优越性。显而易见，发达国家更容易接触到电子产品也更容易享受到电子产品带来的便捷体验。2004年在美国每1000人中有763个人拥有电脑，而在一些欠发达国家每1000人中平均只有1到2个人拥有电脑，非洲国家尼日尔每1000人中只有0.1716人使用电脑，这个数量在增加，但不可否认的是在发展中国家尤其是一些欠发达国家电子商务并不能产生很好的效果。

3结论

第3篇：电子商务安全论文范文

关键词：电子商务；信息安全技术

一、电子商务发展存在的风险

第三方的电子交易平台在网络上对于信息进行储存、记录、处理、和传递，以此来协助一次网络消费行为的完成。一般情况下，这些信息都具有真实性和保密性，属于大众的隐私。但是，现在的网络环境比较恶劣，有很多网络陷阱以及刻意挖掘用户信息的“黑客”，从而导致基本信息出现失真、泄露和删除的危机，不利于正常电子商务交易的完成。对于电子商务信息大致上可以分为以下几类：第一，信息的真实性；第二，信息的实时性；第三，信息的安全性。首先，是信息的真实性。电子商务上的基本信息是卖家和买家进行认识对方和分辨商品真实性可靠性的唯一途径，应该绝对真实。一旦出现虚假信息，则属于欺骗消费者，是危害消费者权益的不法行为。其次，是信息的实时性。信息的实时性主要是指信息的保质期。因为很多信息只在一段时间内有效，具有时效性，一旦错过这段关键时期，那么该信息则失去自身的价值，变得一文不值。最后，就是信息的安全性，这也是消费者最为关心的问题。电子商务出现的安全性问题主要表现为客户的信息被删除、篡改从而失真，同时也表现为用户的信息被窃取从而达成其他目的，使得用户的隐私被侵犯，正常的生活受到打扰。

二、电子商务的信息安全技术的内容

2.1 备份技术。相信备份技术对于大众来说不是很陌生。但是很多人却错误的将备份理解为拷贝，从而片面的看待这个问题。电子商务对于网络环境有很大的依赖性，网络环境自身却存在极大的不稳定性，这就导致电子商务的发展存在不可避免的风险，如果没有一个数据库对于基本信息进行存储，那么一旦出现系统故障或者误删的情况则信息永远消失，这对于商家来说是极其可怕的，因此，电子商务的第三方有一个信息储存库，旨在在必要的时刻段时间内将客户的信息及时恢复。这种恢复不是简单的、传统意义上的恢复，而是通过备份介质得以完成的。这样的话，在系统故障或者其他原因导致信息在短时间内无法正常恢复时，可以借助储存在备份介质中的信息将信息还原到原来的备份状态。2.2 认证技术。所谓认证技术其实一个专业术语，道理实际上很简单，就是我们常说的登录口令。认证技术的目的主要在于阻止不具有系统授权的用户进行非法的破坏计算机机密数据，是数据库系统为减少和避免各种破坏电子商务安全的重要策略。登陆口令是我们正常用户进行电子商务平台登录的方式，是大众在网络环境下的身份证。我们每一个用户在使用某一个电子商务平台之前都被要求进行注册，从而决定或者获得自己的登陆口令即用户名和密码。这些登录口令都是都是独一无二的，是我们进行网上交易的身份认证和识别。因为电子商务平台往往具有开放性，一旦没有身份认证后果将不堪设想。人们的信息安全更是没有任何保障。2.3 访问控制技术。访问控制技术也可以理解为访问等级制度，电子商务的系统会根据用户的不同等级对于用户对于系统数据的访问进行一定的控制。等级较低时，则用户的访问权限有限，一些重要的关键的信息则被系统禁止访问，只要当等级较高时才能获得相关权限，这就保证了一些重要信息不会被窃取。关于用户的访问权限也有两层含义，首先是用户能够获得数据库中的信息种类和数量，另一层含义则是指用户对于获取的数据库信息进行怎样的操作。

第4篇：电子商务安全论文范文

1.电子商务与移动电子商务概念

电子商务（ElectronicCommerce，简称E-commerce）是在因特网开放的网络环境下，基于浏览器或服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付，以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。

移动电子商务(M-Commerce)，它由电子商务(E-Commerce)的概念衍生出来，是通过手机、PDA（个人数字助理）、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务：PIM（个人信息服务）、银行业务、交易、购物、基于位置的服务、娱乐等。移动电子商务因其快捷方便、无所不在的特点，已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间，真正解决做生意的问题。

截至2008年4月，中国移动电话用户合计5.84亿，移动电话用户数与固定电话用户数的差距拉大到2.24亿户，移动电话用户在电话用户总数中所占的比重达到61.9%。移动电话普及率已达41.6%。

移动电子商务与传统的主要通过桌面电脑网络平台而运行和开展的电子商务相比，拥有更为广泛的潜在用户基础。当前，中国互联网用户虽然已经超过2亿，但同时手机用户却相比多了3亿多用户，此外根据资料还有数量庞大的PDA用户群，因此，移动电子商务具有比非移动电子商务更为广阔的市场前景。

2.移动电子商务信息系统安全概念

移动电子商务信息系统安全问题是动态发展的，如防范病毒的措施，往往不可能一次成功更不可能一劳永逸。由于移动电子商务信息系统是以移动通信网络与计算机网络共同构建的平台为商务活动平台，因此它不可避免面临着一系列的由移动通讯网络和计算机网络相关的安全问题。移动电子商务给商务活动带来了诸多便利，如缩短了商务活动时间、降低了商务成本、提高了响应市场的效率等等。计算机网络为主体的有线网络安全的技术手段并不能完全适用于无线的移动网络环境，由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序，因此，有效抵制手机病毒的防护软件目前还不是很成熟。

3.移动电子商务信息系统安全类型

移动电子商务信息系统安全威胁种类繁多，可以有多种可能的潜在面，既有蓄意违法而致的威胁；也有无意疏忽造成的安全漏洞。另外还有如：非法使用移动终端、移动通讯公司工作人员不慎泄露客户信息而致、窃听等均有可能导致不同程度和后果的移动电子商务安全威胁。大体我们可以分为以下几个情况：

第一，移动通讯网络本身导致重要商务信息外泄：移动无线信道是一个开放性的信道，它给移动无线用户带来通讯的自由和灵活性的同时，同时也伴随着很多不安全因素：如通讯双方商务内容容易被窃听、通讯双方的身份容易被假冒，以及通讯内容容易被篡改等。在移动无线通讯过程中，所有通讯内容（如：通话信息，身份信息，数据信息等）都是通过移动无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取移动无线信道上传输的内容。这对于移动无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。在移动电子商务信息系统中商业机密的泄漏表现，主要有两个方面：商务活动双方进行商务活动的核心机密内容被第三方意外获得或窃取;交易一方提供给另一方使用的商务文件被第三方非正常使用。

第二，移动通讯设备传播的病毒的侵犯：病毒是目前威胁移动电子商务用户的主要因素之一，随着移动网络应用的深入扩展，移动电子商务的规模愈趋增大，移动电子商务用户也越来越多地面临着各类病毒黑客攻击风险。与病毒齐名的是黑客侵扰和攻击，由于各种网络黑客应用软件工具的传播，黑客与黑客行为己经大众化了，他们利用操作系统和网络的漏洞、缺陷，从网络的外部非法侵入，进行侵扰和不法行为，对移动电子商务安全造成很大隐患。

第三，移动通讯网路漫游而致的威胁：无线网路中的危害安全者不需要寻找攻击对象，攻击对象在某种条件下会漫游到攻击者所在的小区。在终端用户不知情的情况下，信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险，没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立，使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书,攻击者可以利用该漏洞来获利。

第四，垃圾信息（或称垃圾短信）：在移动通讯系统及设备带给广大人们便利和效率的同时，也带来了很多烦恼，其中尤其难以控制的就是铺天盖地而来的垃圾短信广告打扰着我们的生活、工作和学习。在移动用户进行商业交易时，会把手机号码留给对方。有的移动用户喜欢把手机号码公布在网上。这些都是其他公司获取大量手机用户号码的渠道所在。垃圾短信使得人们对移动电子商务充满不信任和反感，而不敢在网络上使用自己的移动设备从事商务活动。

二、提升移动电子商务信息系统安全的趋势与必然性

1.移动商务是电子商务发展的必然趋势

在未来几年中，伴随着无线网络的日益普及，移动计算设备将变得很普及。计算机技术和无线技术的结合将成为最终趋势，电子商务也将向移动商务过渡。中国在电子商务的发展方面要落后于发达国家，但随着观念的改变和技术的进步，中国越来越多地参与到世界经济发展的各个环节。中国要想在商务模式变革的过程中取得成功，关键是要准确分析市场趋势并把握市场先机。移动商务中关键的一点以用户为中心，如果能成功把握住移动个性化方面的市场先机，则完全有可能成为移动商务的规则制订者，从而摆脱以往的模仿。

2.我国高速发展的移动通讯网络要求提升移动电子商务信息系统安全性

2007年，全国电话用户新增8389.1万户，总数突破9亿户，达到91273.4万户。移

动电话用户在电话用户总数中所占的比重达到60.0%，移动电话用户与固定电话用户的差距拉大到18183.8万户。

2007年12月中国互联网络信息中心（CNNIC）《第21次中国互联网络发展状况统计报告》。报告显示，截至2007年底，我国网民人数达到了2.1亿，占中国人口总数的16%。调查反映出基于网络的商务安全问题，调查网民对互联网最反感的方面是：网络病毒29.8%，网络入侵或攻击（有木马）17.3%等。可以说我国2亿多网民在网络上，信息安全问题是比较普遍的，因此，我国高速发展的互联网络客观上也要求提升商务信息系统安全。

美国安全软件公司McAfee2008年公布的最新调查结果显示，虽然手机病毒和攻击现在还不普遍，但随着越来越多的用户通过手机访问互联网和下载文件，手机病毒出现的概率将越来越大。McAfee公司公布的调查结果显示，只有2.1%的被调查者曾经自己遭遇手机病毒，而听说过其他手机用户遭遇病毒的被调查者也只有11.6%。McAfee在英国、美国和日本共调查了2000名手机用户，结果发现86.3%的用户对于手机病毒没有任何概念。

当前我国移动用户数保持世界第一，网民数为世界第二，我国高速发展的移动通讯网络要求提升移动电子商务信息系统安全性。

3.利用加密函数技术加强和完善高效高安全性的移动电子商务信息系统

在这个网络互联技术、移动通讯技术告诉前行的时代，信息安全尤其是电子商务信息的保密工作变得越来越至关重要，这无疑给密码学的研究带来了巨大推动。为提高移动通讯网络与互联网为平台的移动电子商务服务质量，维护移动电子商务信息提供者的权益，信息安全越来越得到人们的关注。笔者认为，研究布尔函数各种性质，特别是研究对抵抗相关攻击的相关免疫函数类、抗线性分析的Hent函数与Hash函数，无疑是具有很强的现实意义的。

(1)Hash函数加密技术概述及应用

Hash函数加密技术主要用于信息安全领域中加密算法，它能把一些不同长度的信息转化成杂乱的128位的编码里，叫做HASH值。Hash就是为了找到一种数据内容和数据存放地址之间的映射关系密码学上的Hash函数是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。Hash函数可用于数字签名、消息的完整性检测、消息的起源认证检测等。安全的Hash函数的存在性依赖于单项函数的存在性。Hash算法被普遍应用于数字安全的几乎所有方面，如登录办公室局域网、进入个人邮箱和安全页面都要用它来保护用户的密码；电子签名系统利用它来认证客户及其发来的信息。

(2)bent函数加密技术概述及应用

在密码学中，为了抵抗最佳线性逼近，人们引人了Bent函数的概念，bent函数具有最高非线性度，在密码、编码理论等方面理论中有着重要应用，因而成为当前密码学界研究信息安全保密技术的热点。对Bent函数的构造可以分为间接构造和直接构造。直接构造方法主要有2种：一种是MM类；另一种是PS类，这两种属于直接构造方法。bent函数具有最高的非线性度，但它的相关免疫阶为0，为了使bent具有更好的密码学性质和实际应用价值，学者们提出了bent函数的变种，如Hyper-bent，Semi-bent等。

总之，移动电子商务信息系统安全是个多角度、多因素、多学科的问题，它不单要求从保密安全技术方面，同时也要求我们从技术之外的社会等因素考虑解决。

参考文献：

[1]赵永刚:解析“三角经营商法”[J].商场现代化,2004(15)

[2]姬志刚:计算机、网络与信息社会.科技咨询导报[J].2006(20)

[3]邱显杰:关于Bent函数的研究.湘潭大学[D],2002

[4]戴方虎等:Internet的移动访问技术研究.计算机科学，2000（3）

[5]肖皇培张国基:基于Hash函数的报文鉴别方法[J].计算机工程,2007,(06)

[6]苏桂平刘争春吕述望:Hash函数在信息安全中随机序列发生器中的应用[J].计算机工程与应用,2005,(11)

第5篇：电子商务安全论文范文

关键词:移动电子商务IEEE802.11WAPWPKI

随着无线通信技术的发展,移动电子商务已经成为电子商务研究热点。移动电子商务是将现代信息科学技术和传统商务活动相结合,随时随地为用户提供各种个性化的、定制的在线动态商务服务。

但在无线世界里,人们对于进行商务活动安全性的考虑比在有线环境中要多。只有当所有的用户确信,通过无线方式所进行的交易不会发生欺诈或篡改、进行的交易受到法律的承认和隐私信息被适当的保护时,移动电子商务才有可能蓬勃开展。

移动电子商务通信安全的现状

由于无线通讯接入方式非常灵活,所以其对安全的要求更高。实际上,主要的无线通信技术都有各自的措施、协议和方法来保证各自体制下的通信安全。这里我们将从无线网络和电子商务应用两个方面作简要讨论。

无线局域网

无线局域网络是以无线连接至局域网络的通讯方式。它采用的是IEEE802.11系列标准。在该标准中,无线局域网的安全机制采用的是WEP协议(有线对等安全协议)。在数据链路用WEP加密数据,保证了信道上传送数据的安全。另外,无线局域网的网络管理员分配给每个授权用户一个基于WEP算法的密钥,这样就有效阻止了非授权用户的访问。

WAP(无线应用协议)技术

WAP由一系列协议组成,用来标准化无线通信设备,例如:移动电话、移动终端;它负责将Internet和移动通信网连接到一起,客观上已成为移动终端上网的标准。WAP协议可以广泛地运用于GSM、CDMA、TDMA、3G等多种网络。

WAP的安全机制是通过WTLS(无线传输层安全)协议来实现的。WTLS协议类似于互联网传输层安全协议。在无线技术的有限的发送功率、存储容量及带宽的条件下,WTLS能够实现鉴定,保证数据的完整性和提供保密服务的目标。

数字认证技术

对诸如移动电子商务和有重要使命的合作通信等活动,其安全性的一个关键方面是能否对信息发送者的身份进行论证,通常都要利用有线安全的公开密钥基本构架(PKI)。

PKI提供与加密和数字证书有关的一系列技术。但在无线通信环境中,PKI是很难实现的。在只有有限计算能力和低数据流通率的设备上实现PKI中的服务一直是一个有挑战性的难题。同时在PKI的基础上,要将无线设备与有线设备之间进行互通也是有难度的。因此无线PKI(WPKI)协议是要将标准的PKI进行修正和简化,使其在无线通信的环境下达到最优。

移动电子商务安全分析

IEEE802.11的安全

IEEE802.11标准规定了MAC层的存取控制规范,也定义了加密机制,即上述的WEP。WEP的目的是通过对信息流加密并利用WEP认证节点,使无线通信传输像有线网络一样安全。

WEP加密使用共享密钥和RC4加密算法。访问点(AP)和连接到该访问点的所有工作站必须使用同样的共享密钥。对于往任一方向发送的数据包,传输程序都将数据包的内容与数据包的检验组合在一起。然后,WEP标准要求传输程序创建一个特定于数据包的初始化向量(IV),后者与密钥k相组合在一起,用于对数据包进行加密。接收器生成自己的匹配数据包密钥并用之对数据包进行解密。在理论上,这种方法优于单独使用共享私钥的显式策略,应该使对方更难于破解。

但是,IEEE802.11中用于安全的WEP算法只是提供相当于有线局域网基本安全的安全级别,根本不是一种全面的安全方案。越来越多的安全专家和研究人员发现IEEE802.11存在安全漏洞,有经验的黑客会利用这些漏洞进行攻击。其缺陷主要有:RC4算法本身就有一个小缺陷。WEP标准允许IV重复使用(平均大约每5小时重复一次)。WEP标准不提供自动修改密钥的方法。

最早的WEP实施只提供40位加密,这使得它抗暴力攻击能力差。现代的系统提供128位的WEP,128位的密钥长度减去24位的IV后,实际上有效的密钥长度为104位。尽管如此,128位的WEP版本也不能保证绝对安全。最好的解决办法是把无线网络放在机构防火墙之外,这种防范措施会强制要求将无线连接当作不受信任的连接来看待,就像看待其他任何来自Internet的连接一样。

所以,WEP应该与其他安全机制一起应用才能提供较强的安全。

WAP的安全

WAP规范的安全特性包括几个部分:WTLS协议、用于存储用户证书的WAP身份模块(WIM)和允许WAP交易签名的SignText功能。

WTLS协议:WTLS基于IETF小组的SSL/TLS协议,提供了实体鉴别、数据加密和保护数据完整性的功能,所以可以确保在WAP装置和WAP网关之间的安全通信。有三种不同级别的WTLS:

1级:执行未经证实的Diffie-Hellman密钥交换以建立会话密钥。

2级:使用与SSL/TLS协议相类似的公开密钥证书机制进行服务器端鉴别。

3级:客户端和服务器端采用X.509格式证书相互进行鉴别。

早期WAP装置仅仅采用了第1级别的WTLS,这种级别的安全不够,所以不能用于电子商务。目前,支持第2和第3级别WTLS的移动装置从市场上可以得到,它们可以确保网上银行交易和购物等应用的机密性。

WIM:为了便于客户端的鉴别,新一代的WAP电话提供了WIM。WIM包含了WTLS3级的功能,并嵌入了对公开密钥加密技术的支持(RSA是强制的,而ECC是可选的)。生产厂家为WIM配备了两套公私密钥对(一套用于签名,另一套用于鉴别)和两个厂商的证书。用配置在WIM上的公匙把厂商的证书和厂商名字捆绑在一起。这样,通过WIM和WAP网关建立的所有WTLS会话都将使用相同的公匙用作初始会话。每一个会话都将包括与此密钥对应的一个不同的证书。WIM的基本要求是它们要具有抗篡改的能力。

SignText功能:这个功能为WAP用户提供了数字签名。同电子签名功能一样,这个功能可以被应用于其他无线设备,或者是手持设备,或者是内嵌SIM卡。

WAP的安全分析:由WAP提供的最好的安全是WTLS3级,多数情况下WTLS已足以确保WAP的安全。但是,由于WAP网关在WAP设备和Web服务器之间起着翻译的作用,相应的带来了安全问题:WTLS安全会话建立在手机与WAP网关之间,而与终端服务器无关。这意味着数据只在WAP手机与网关之间加密,网关将数据解密后,利用其他方法将数据再次加密,然后经过TLS连接发送给终端服务器。由于WAP网关可以看见所有的数据明文,而该WAP网关可能并不为服务器所有者所拥有,这样,潜在的第三方可能获得所有的传输数据。

目前,针对上述安全性问题,可以采用这样的措施来提高WAP的安全性:尽力确保WAP网关的安全。如果WAP网关位于WAP服务供应商范围之内,可以通过诸如在内存中对加密和解密过程进行最优化以减少数据明文存在的时间、在释放前覆盖加密解密进程使用的内存以确保数据的安全性。对于安全要求较高的公司可以拥有自己的WAP网关,从而保障数据端到端的安全性。通过WIM实现数据安全性。

WPKI技术

在有线通信中,电子商务交易的一个重要安全保障是PKI。PKI的系统概念、安全操作流程、密钥、证书等同样也适用于解决移动电子商务交易的安全问题,但在应用PKI的同时要考虑到移动通信环境的特点,并据此对PKI技术进行改进。

WPKI技术满足移动电子商务安全的要求:即保密性、完整性、真实性、不可抵赖性,消除了用户在交易中的风险。WPKI技术主要包含以下几个方面:

认证机构(CA)CA系统是PKI的信任基础,负责分发和验证数字证书,规定证书的有效期,证书废除列表。

注册机构(RA)RA提供用户和CA之间的一个接口。作为认证机构的校验者,在数字证书分发给请求者之前对证书进行验证。

智能卡智能卡将具有存储、加密及数据处理能力的集成电路芯片镶嵌于塑料基片中,具有体积小、难于破解等特点,在生产过程、访问控制方面有很强的安全保障。很多种需要客户端认证的应用都可以使用智能卡来实现。并且智能卡也是存储移动电子商务密钥及相关数字证书的最佳选择。

加密算法加密算法越复杂,密钥越长则安全性越高,但执行运算所需的时间也越长(或需要计算能力更强的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有协处理器的芯片。而ECC使用较短的密钥就可以达到和RSA算法相同的加密强度。由于智能卡受CPU处理能力和RAM大小的限制,因而采用一种运算量小同时能提供高加密强度的公钥密码体制对在智能卡上实现数字签名应用是至关重要的,ECC在这方面具有很大的优势。

综上所述,在WPKI机制下,数字证书非常重要,但是由于无线信道和移动终端的限制,如何安全、便捷地交换用户的数字证书是WPKI所必须解决的问题。可以采用以下2种办法解决:WTLS证书,WTLS证书的功能与X.509证书相同,但更小、更简化,利于在资源受限的手持终端中处理。但所有证书必须含有与密钥交换算法相一致的密钥,除非特别指定,签名算法必须与证书中密钥的算法相同:移动证书标识,将标准的一个X.509证书与移动证书标识唯一对应,并且在移动终端中嵌入移动证书标识,用户每次只需要将自己的移动证书标识与签名数据一起提交给对方,对方再根据移动证书标识检索相应的数字证书即可。

目前,大多数移动电子商务采用的安全方式是非PKI的方式,这种方式主要采用对称加密算法和单向散列函数来提供安全服务,其密钥的管理是由移动运营商建立一套主密钥管理系统,为不同的服务提供商分配不同的密钥,每次交易过程中,服务提供商与用户协商产生会话加密密钥。显然,采用这种方式构建的系统的安全性主要取决于主密钥的安全。

尽管非PKI方式对于无线终端有限的处理能力来说尤其适合,而且通过黑名单管理等方法可以使系统的安全得到较好的保障,但是从长远来说,移动电子商务有必要逐步过渡到PKI方式。

移动电子商务随着移动互联网技术的成熟发展迅速,其独特的应用领域使得其安全问题倍受关注。从技术角度上看,一方面无线通信的安全处在不断地发展和完善之中,其应用到移动电子商务中时要与其它的安全机制相结合才能满足实际应用的需要;另一方面有线电子商务的安全技术不能解决移动电子商务的安全问题,所以WPKI技术是一个现实的选择。因此,将这两方面进行改进并进行有机整合,才能营造一个安全的移动电子商务环境。

参考文献:

1.储节旺,郭春侠.移动电子商务研究[J].现代情报,2002,3(3)

2.姜志,聂志锋.移动电子商务及其关键技术[J].湖北邮电技术,2002,9(3)

第6篇：电子商务安全论文范文

关键词:电子商务;网络银行;私有密钥加密法;公开密钥加密法

对数据进行有效加密与解密,称为密码技术,即数据机密性技术。其目的是为了隐蔽数据信息,将明文伪装成密文,使机密性数据在网络上安全地传递而不被非法用户截取和破译。伪装明文的操作称为加密,合法接收者将密文恢复出原明文的过程称为解密,非法接收者将密文恢复出原明文的过程称为破译。密码是明文和加密密钥相结合,然后经过加密算法运算的结果。加密包括两个元素,加密算法和密钥。加密时所使用的信息变换规则称为加密算法,是用来加密的数学函数,一个加密算法是将普通的文本(或者可以理解的信息)与一串字符串即密钥结合运算,产生不可理解的密文的步骤。密钥是借助一种数学算法生成的,它通常是由数字、字母或特殊符号组成的一组随机字符串,是控制明文和密文变换的唯一关键参数。对于相同的加密算法,密钥的位数越多,破译的难度就越大,安全性就越好。目前,电子商务通信中常用的有私有(对称)密钥加密法和公开(非对称)密钥加密法。

一、私有密钥加密法

(一)定义

私有密钥加密,指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用同样的一把密钥A对收到的密文M进行解密,得到明文信息,从而完成密文通信目的的方法。这种信息加密传输方式,就称为私有密钥加密法。上述加密法的一个最大特点是,信息发送方与信息接收方均需采用同样的密钥,具有对称性,所以私有密钥加密又称为对称密钥加密。

(二)使用过程

具体到电子商务,很多环节要用到私有密钥加密法。例如,在两个商务实体或两个银行之间进行资金的支付结算时,涉及大量的资金流信息的传输与交换。这里以发送方甲银行与接收方乙银行的一次资金信息传输为例,来描述应用私有密钥加密法的过程:银行甲借助专业私有密钥加密算法生成私有密钥A,并且复制一份密钥A借助一个安全可靠通道(如采用数字信封)秘密传递给银行乙;银行甲在本地利用密钥A把信息明文加密成信息密文;银行甲把信息密文借助网络通道传输给银行乙;银行乙接受信息密文;银行乙在本地利用一样的密钥A把信息密文解密成信息明文。这样银行乙就知道银行甲的资金转账通知单的内容,结束通信。

(三)常用算法

世界上一些专业组织机构研发了许多种私有密钥加密算法,比较著名的有DES算法及其各种变形、国际数据加密算法IDEA等。DES算法由美国国家标准局提出,1977年公布实施,是目前广泛采用的私有密钥加密算法之一,主要应用于银行业中的电子资金转账、军事定点通信等领域,比如电子支票的加密传送。经过20多年的使用,已经发现DES很多不足之处,随着计算机技术进步,对DES的破解方法也日趋有效,所以更安全的高级加密标准AES将会替代DES成为新一代加密标准。

(四)优缺点

私有密钥加密法的主要优点是运算量小,加解密速度快,由于加解密应用同一把密钥而应用简单。在专用网络中由于通信各方相对固定、所以应用效果较好。但是,私有密钥加密技术也存在着以下一些问题:一是分发不易。由于算法公开,其安全性完全依赖于对私有密钥的保护。因此,密钥使用一段时间后就要更换,而且必须使用与传递加密文件不同的途径来传递密钥,即需要一个传递私有密钥的安全秘密渠道,这样秘密渠道的安全性是相对的,通过电话通知、邮寄软盘、专门派人传送等方式均存在一些问题。二是管理复杂,代价高昂。私有密钥密码体制用于公众通信网时,每对通信对象的密钥不同,必须由不被第三者知道的方式,事先通知对方。随着通信对象的增加,公众通信网上的密码使用者必须保存所有通信对象的大量的密钥。这种大量密钥的分配和保存,是私有密钥密码体制存在的最大问题。三是难以进行用户身份的认定。采用私有密钥加密法实现信息传输,只是解决了数据的机密性问题,并不能认证信息发送者的身份。若密钥被泄露,如被非法获取者猜出,则加密信息就可能被破译,攻击者还可用非法截取到的密钥,以合法身份发送伪造信息。在电子商务中,有可能存在欺骗,别有用心者可能冒用别人的名义发送资金转账指令。因此,必须经常更换密钥,以确保系统安全。四是采用私有密钥加密法的系统比较脆弱,较易遭到不同密码分析的攻击。五是它仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。

二、公开密钥加密法

(一)定义与应用原理

公开密钥加密法是针对私有密钥加密法的缺陷而提出来的。是电子商务应用的核心密码技术。所谓公开密钥加密,就是指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用另一把密钥B对收到的密文M进行解密,得到明文信息完密文通信目的的方法。由于密钥A、密钥B这两把密钥中其中一把为用户私有,另一把对网络上的大众用户是公开的,所以这种信息加密传输方式,就称为公开密钥加密法。与私有(对称)密钥加密法的加密和解密用同一把密钥的原理不同,公开密钥加密法的加密与解密所用密钥是不同的,不对称,所以公开私有密钥加密法又称为非对称密钥加密法。

公开密钥加密法的应用原理是:借助密钥生成程序生产密钥A与密钥B,这两把密钥在数学上相关,对称作密钥对。用密钥对其中任何一个密钥加密时,可以用另一个密钥解密,而且只能用此密钥对其中的另一个密钥解密。在实际应用中,某商家可以把生成的密钥A与密钥B做一个约定,将其中一把密钥如密钥A保存好,只有商家自己知道并使用,不与别人共享,叫作私人密钥;将另一把密钥即密钥B则通过网络公开散发出去,谁都可以获取一把并能应用,属于公开的共享密钥,叫做公开密钥。如果一个人选择并公布了他的公钥,其他任何人都可以用这一公钥来加密传送给那个人的消息。私钥是秘密保存的,只有私钥的所有者才能利用私钥对密文进行解密,而且非法用户几乎不可能从公钥推导出私钥。存在下面两种应用情况:一是任何一个收到商家密钥B的客户,都可以用此密钥B加密信息,发送给这个商家,那么这些加密信息就只能被这个商家的私人密钥A解密。实现保密性。二是商家利用自己的私人密钥A对要发送的信息进行加密进成密文信息,发送给商业合作伙伴,那么这个加密信息就只能被公开密钥B解密。这样,由于只能应用公开密钥B解密,根据数学相关关系可以断定密文的形成一定是运用了私人密钥A进行加密的结果,而私人密钥A只有商家拥有,由此可以断定网上收到的密文一定是拥有私人密钥A的商家发送的。

(二)使用过程

具体到电子商务,很多环节要用到公开密钥加密法,例如在网络银行客户与银行进行资金的支付结算操作时,就涉及大量的资金流信息的安全传输与交换。以客户甲与乙网络银行的资金信息传输为例,来描述应用公开密钥加密法在两种情况下的使用过程。首先,网络银行乙通过公开密钥加密法的密钥生成程序,生成自己的私人密钥A与公开密钥B并数学相关,私人密钥A由网络银行乙自己独自保存,而公开密钥B已经通过网络某种应用形式(如数字证书)分发给网络银行的众多客户,当然客户甲也拥有一把网络银行乙的公开密钥B。

1、客户甲传送一“支付通知”给网络银行乙,要求“支付通知”在传送中是密文,并且只能由网络银行乙解密知晓,从而实现了定点保密通信。客户甲利用获得的公开密钥B在本地对“支付通知”明文进行加密,形成“支付通知”密文,通过网络将密文传输给网络银行乙。网络银行乙收到“支付通知”密文后,发现只能用自己的私人密钥A进行解密形成“支付通知”明文,断定只有自己知晓“支付通知”的内容,的确是发给自己的。

2、网络银行乙在按照收到的“支付通知”指令完成支付转账服务后,必须回送客户甲“支付确认”,客户甲在收到“支付确认”后,断定只能是网络银行乙发来的,而不是别人假冒的,将来可作支付凭证,从而实现对网络银行业务行为的认证,网络银行不能随意否认或抵赖。网络用户乙在按照客户甲的要求完成相关资金转账后,准备一个“支付确认”明文,在本地利用自己的私人密钥A对“支付确认”明文进行加密,形成“支付确认”密文,通过网络将密文传输给客户甲。客户甲收到“支付确认”密文后,虽然自己有许多密钥,有自己的,也有别人的,却发现只能用获得的网络银行乙的公开密钥B进行解密,形成“支付确认”明文,由于公开密钥B只能解密由私人密钥A加密的密文,而私人密钥A只有网络银行乙所有,因此客户甲断定这个“支付确认”只能是网络银行乙发来的,不是别人假冒的,可作支付完成的凭证。

(三)算法

当前最著名、应用最广泛的公开密钥系统是RSA(取自三个创始人的名字的第一个字母)算法。目前电子商务中大多数使用公开密钥加密法进行加解密和数字签名的产品和标准使用的都是RSA算法。RSA算法是基于大数的因子分解,而大数的因子分解是数学上的一个难题,其难度随数的位数加多而提高。

(四)优缺点

优点是可以在不安全的媒体上通信双方交换信息,不需共享通用密钥,用于解密的私钥不需发往任何地方,公钥在传递与过程中即使被截获,由于没有与公钥相匹配的私钥,截获公钥也没有意义。

能够解决信息的否认与抵赖问题,身份认证较为方便。密钥分配简单,公开密钥可以像电话号码一样,告诉每一个网络成员,商业伙伴需要好好保管的只是一个私人密钥。而且密钥的保存量比起私人密钥加密少得多,管理较为方便。最大的缺陷就在于它的加解密速度。

三、两种加密法的比较

通过DES算法和RSA算法的比较说明公开密钥加密法和私有密钥加密法的区别:在加密、解密的处理效率方面,DES算法明显优于RSA算法,即DES算法快得多;在密钥的分发与管理方面,RSA算法比DES算法更加优越;在安全性方面,只要密钥够长,如112b密钥的DES算法和1024b的RSA算法的安全性就很好,目前还没找到在可预见的时间内破译它们的有效方法;在签名和认证方面,DES算法从原理上不可能实现数字签名和身份认证,但RSA算法能够方便容易的进行数字签名和身份认证。

基于以上比较的结果可以看出,私有密钥加密法与公开密钥加密法各有长短,公开密钥加密在签名认证方面功能强大,而私有密钥加密在加/解密速度方面具有很大优势。为了充分发挥对称加密法和非对称加密法各自的优点,在实际应用中通常将这两种加密法结合在一起使用,比如:利用DES来加密信息,而采用RSA来传递对称加密体制中的密钥。这样不仅数据信息的加解密速度快,同时保障了密钥传递的安全性。数据加密技术是信息安全的基本技术,在网络中使用的越来越广泛。针对不同的业务要求可以设计或采取不同的加密技术及实现方式。另外还要注意的是,数据加密技术所讨论的安全性只是暂时的,因此还要投入对密码技术新机制、新理论的研究才能满足不断增长的信息安全需求。

参考文献:

[1]丁学君.电子商务中的信息安全问题及其对策[J].计算机安全,2009,(2).

[2]余绍军,彭银香.电子商务安全与数据加密技术浅析[J].中国管理信息化(综合版),2007,(04).

[3]王俊杰.电子商务安全问题及其应对策略[J].特区经济,2007,(07).

[4]秦昌友.浅析电子商务的安全技术[J].苏南科技开发,2007,(08).

第7篇：电子商务安全论文范文

关键词：电子商务信息安全数据加密数字签名

一、引言

随着信息技术和计算机网络的迅猛发展，基于Internet的电子商务也随之而生，并在近年来获得了巨大的发展。电子商务作为一种全新的商业应用形式，改变了传统商务的运作模式，极大地提高了商务效率，降低了交易的成本。然而，由于互联网开放性的特点，安全问题也自始至终制约着电子商务的发展。因此，建立一个安全可靠的电子商务应用环境，已经成为影响到电子商务发展的关键性课题。

二、电子商务面临的安全问题

1.信息泄漏。在电子商务中主要表现为商业机密的泄露，包括两个方面:一是交易双方进行交易的内容被第三方窃取；二是交易一方提供给另一方使用的文件被第三方非法使用。

2.信息被篡改。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或被多次使用，这样就使信息失去了真实性和完整性。

3.身份识别。身份识别在电子商务中涉及两个方面的问题：一是如果不进行身份识别，第三方就有可能假冒交易一方的身份，破坏交易、败坏被假冒一方的信誉或盗取交易成果；二是不可抵赖性，交易双方对自己的行为应负有一定的责任，信息发送者和接受者都不能对此予以否认。进行身份识别就是防止电子商务活动中的假冒行为和交易被否认的行为。

4.信息破坏。一是网络传输的可靠性，网络的硬件或软件可能会出现问题而导致交易信息丢失与谬误；二是恶意破坏，计算机网络本身遭到一些恶意程序的破坏，例如病毒破坏、黑客入侵等。

三、电子商务的安全要素

1.有效性。电子商务作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对一切潜在的威胁加以控制和预防，以保证贸易数据在确定的时刻和地点是有效的。

2.机密性。电子商务是建立在一个较为开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。解决数据机密性的一般方法是采用加密手段。

3.完整性。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方的差异。此外，数据传输过程中的丢失、重复或传送的次序差异也会导致贸易各方的不同。因此，要预防对随意生成、修改和删除，同时要防止数据传送过程中的丢失和重复并保证传送次序的统一。

4.不可抵赖性。电子商务可能直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证电子商务顺利进行的关键。在交易进行时，交易各方必须附带含有自身特征、无法由别人复制的信息，以保证交易后发生纠纷时有所对证。

四、电子商务采用的主要安全技术手段

1.防火墙技术。防火墙就是在网络边界上建立相应的网络通信监控系统，用来保障计算机网络的安全，它是一种控制技术，既可以是一种软件产品，又可以制作或嵌入到某种硬件产品中。所有来自Internet的传输信息或发出的信息都必须经过防火墙。这样，防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。实现防火墙技术的主要途径有：分组过滤和服务。分组过滤：这是一种基于路由器的防火墙。它是在网间的路由器中按网络安全策略设置一张访问表或黑名单，即借助数据分组中的IP地址确定什么类型的信息允许通过防火墙，什么类型的信息不允许通过。防火墙的职责就是根据访问表（或黑名单）对进出路由器的分组进行检查和过滤。这种防火墙简单易行，但不能完全有效地防范非法攻击。目前，80%的防火墙都是采用这种技术。服务：是一种基于服务的防火墙，它的安全性高，增加了身份认证与审计跟踪功能，但速度较慢。所谓审计跟踪是对网络系统资源的使用情况提供一个完备的记录，以便对网络进行完全监督和控制。通过不断收集与积累有关出入网络的完全事件记录，并有选择地对其中的一些进行审计跟踪，发现可能的非法行为并提供有力的证据，然后以秘密的方式向网上的防火墙发出有关信息如黑名单等。防火墙虽然能对外部网络的功击实施有效的防护，但对网络内部信息传输的安全却无能为力，实现电子商务的安全还需要一些保障动态安全的技术。

2.数据加密技术。在电子商务中，数据加密技术是其他安全技术的基础，也是最主要的安全措施，贸易方可根据需要在信息交换的阶段使用。目前，加密技术分为两类，即对称加密和非对称加密。

(1)对称加密。对称加密又称为私钥加密。发送方用密钥加密明文，传送给接收方，接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。使用对称加密方法将简化加密的处理，每个贸易方都不必彼此研究和交换专用的加密算法，而是采用相同的加密算法并只交换共享的专用密钥。比较著名的对称加密算法是：美国国家标准局提出的DES(DataEncryptionStandard，数据加密标准)。对称加密方式存在的一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥，贸易双方的任何信息都是通过这把密钥加密后传送给对方的。

(2)非对称加密。非对称加密又称为公钥加密。公钥加密法是在对数据加解密时，使用不同的密钥，通信双方各具有两把密钥，即一把公钥和一把密钥。公钥对外界公开，私钥自己保管，用公钥加密的信息，只能用对应的私钥解密。同样地，用私钥加密的数据只能用对应的公钥解密。RSA(即Rivest，ShamirAdleman)算法是非对称加密领域内最为著名的算法。贸易方利用该方案实现机密信息交换的基本过程是：贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开，得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲；贸易方甲再用自己保存的另一把私有密钥对加密后的信息进行解密。贸易方甲只能用其私有密钥解密由其公开密钥加密后的任何信息。为了充分发挥对称和非对称加密体制各自的优点，在实际应用中通常将这两种加密体制结合在一起使用，比如：利用DES来加密信息，而采用RSA来传递对称加密体制中的密钥。

3.数字签名技术。仅有加密技术还不足以保证商务信息传递的安全，在确保信息完整性方面，数字签名技术占据着不可替代的位置。目前数字签名的应用主要有数字摘要、数字签名和数字时间戳技术。

(1)数字摘要。数字摘要是对一条原始信息进行单向哈希（Hash）函数变换运算得到的一个长度一定的摘要信息。该摘要与原始信息一一对应，即不同的原始信息必然得到一个不同的摘要。若信息的完整性遭到破坏，信息就无法通过原始摘要信息的验证，成为无效信息，信息接收者便可以选择不再信任该信息。

(2)数字签名。数字签名实际上是运用公私钥加密技术使信息具有不可抵赖性，其具体过程为：文件的发送方从文件中生成一个数字摘要，用自己的私钥对这个数字摘要进行加密，从而形成数字签名。这个被加密的数字签名文件作为附件和原始文件一起发送给接收者。接收方收到信息后就用发送方的公开密钥对摘要进行解密，如果解出了正确的摘要，即该摘要可以确认原始文件没有被更改过。那么说明这个信息确实为发送者发出的。于是实现了对原始文件的鉴别和不可抵赖性。

(3)数字时间戳。数字时间戳技术或DTS是对数字文件或交易信息进行日期签署的一项第三方服务。本质上数字时间戳技术与数字签名技术如出一辙。加盖数字时间戳后的信息不能进行伪造、篡改和抵赖，并为信息提供了可靠的时间信息以备查用。

五、小结

本文分析了目前电子商务领域所使用的安全技术：防火墙技术，数据加密技术，数字签名技术，以及安全协议，指出了它们使用范围及其优缺点。但必须强调说明的是，电子商务的安全运行，仅从技术角度防范是远远不够的，还必须完善电子商务立法，以规范飞速发展的电子商务现实中存在的各类问题，从而引导和促进我国电子商务快速健康发展。

参考文献:

[1]谢红燕:电子商务的安全问题及对策研究[J]．哈尔滨商业大学学报(自然科学版),2007,(3):350-358

[2]彭禹皓兰波晓玲:电子商务的安全性探讨[J]．集团经济研究,2007,(232):216-217

第8篇：电子商务安全论文范文

[摘要]Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础，而开放性本身又会使网上交易面临种种危险。安全问题始终是电子商务的核心和关键问题。

[关键词]电子商务安全网络安全商务安全

2003年对中国来说是个多事之秋，先是SARS肆虐后接高温威胁。但对电子商务来说，却未必不是好事：更多的企业、个人及其他各种组织，甚至包括政府都在积极地推动电子商务的发展，越来越多的人投入到电子商务中去。电子商务是指发生在开放网络上的商务活动，现在主要是指在Internet上完成的电子商务。

Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础，而开放性本身又会使网上交易面临种种危险。一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面，而应该是利用Web技术使Web站点与公司的后端数据库系统相连接，向客户提供有关产品的库存、发货情况以及账款状况的实时信息，从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与Internet连接，使小到本企业的商业机密、商务活动的正常运转，大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此，安全性始终是电子商务的核心和关键问题。

电子商务的安全问题，总的来说分为二部分：一是网络安全，二是商务安全。计算机网络安全的内容包括：计算机网络设备安全，计算机网络系统安全，数据库安全，工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性，完整性，可鉴别性，不可伪造性和不可依赖性。

一、网络安全问题

一般来说，计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面，计算机系统硬件和通信设施极易遭受自然环境的影响（如温度、湿度、电磁场等）以及自然灾害和人为（包括故意破坏和非故意破坏）的物理破坏；另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击；同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作，造成计算机网络系统内信息的损坏、丢失和安全事故。

二、计算机网络安全体系

一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术，在攻击者和受保护的资源间建立多道严密的安全防线，极大地增加了恶意攻击的难度，并增加了审核信息的数量，利用这些审核信息可以跟踪入侵者。

在实施网络安全防范措施时，首先要加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞；其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在的安全隐患，并及时加以修补；从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证；利用RAID5等数据存储技术加强数据备份和恢复措施。

对敏感的设备和数据要建立必要的物理或逻辑隔离措施；对在公共网络上传输的敏感信息要进行强度的数据加密；安装防病毒软件，加强内部网的整体防病毒措施；建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

网络安全技术是伴随着网络的诞生而出现的，但直到80年代末才引起关注，90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视，计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础，支持不同类型的安全硬件产品，屏蔽安全硬件以变化对上层应用的影响，实现多种网络安全协议，并在此之上提供各种安全的计算机网络应用。

互联网已经日渐融入到人类社会的各个方面中，网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中，但围绕电子商务安全的防护技术将在未来的几年中成为重点，如身份认证，授权检查，数据安全，通信安全等将对电子商务安全产生决定性影响。

三、商务安全要求

作为一个成功的电子商务系统，首先要消除客户对交易过程中安全问题的担心才能够吸引用户通过WEB购买产品和服务。使用者担心在网络上传输的信用卡及个人资料被截取，或者是不幸遇到“黑店”，信用卡资料被不正当运用；而特约商店也担心收到的是被盗用的信用卡号码，或是交易不认账，还有可能因网络不稳定或是应用软件设计不良导致被黑客侵入所引发的损失。由于在消费者、特约商店甚至与金融单位之间，权责关系还未彻底理清，以及每一家电子商场或商店的支付系统所使用的安全控管都不尽相同，于是造成使用者有无所适从的感觉，因担忧而犹豫不前。因些，电子商务顺利开展的核心和关键问题是保证交易的安全性，这是网上交易的基础，也是电子商务技术的难点。

用户对于安全的需求主要包括以下几下方面：

1.信息的保密性。交易中的商务信息均有保密的要求。如信用卡的账号和用户被人知悉，就可能被盗用；定货和付款信息被竞争对手获悉，就可能丧失商机。因此在电子商务中的信息一般都有加密的要求。

2.交易者身份的确定性。网上交易的双方很可能素昧平生，相隔千里。因此，要使交易能够成功，首先要想办法确认对方的身份。对商家而言，要考虑客户端是否是骗子，而客户也会担心网上的商店是否是黑店。因此，能方便而可靠地确认对方身份是交易的前提。

3.交易的不可否认性。交易一旦达成，是不能被否认的，否则必然会损害一方的利益。因此电子交易过程中通信的各个环节都必须是不可否认的。主要包括：源点不可否认：信息发送者事后无法否认其发送了信息。接收不可否认：信息接收方无法否认其收到了信息。回执不可否认：发送责任回执的各个环节均无法推脱其应负的责任。

4.交易内容的完整性。交易的文件是不可以被修改的，否则必然会损害交易的严肃性和公平性。

5.访问控制。不同访问用户在一个交易系统中的身份和职能是不同的，任何合法用户只能访问系统中授权和指定的资源，非法用户将拒绝访问系统资源。

四、电子商务安全交易标准

近年来，针对电子交易安全的要求，IT业界与金融行业一起，推出不少有效的安全交易标准和技术。主要的协议标准有：

1.安全超文本传输协议（S—HTTP）：依靠对密钥的加密，保障Web站点间的交易信息传输的安全性。

2.安全套接层协议（SSL）：由Netscape公司提出的安全交易协议，提供加密、认证服务和报文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE浏览器，以完成需要的安全交易操作。

3.安全交易技术协议（STT，SecureTransactionTechnology）：由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft在InternetExplorer中采用这一技术。

4.安全电子交易协议（SET，SecureElectronicTransaction）:1996年6月，由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET公告，并于1997年5月底了SETSpecificationVersion1.0，它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET2.0预计今年，它增加了一些附加的交易要求。这个版本是向后兼容的，符合SET1.0的软件并不必要跟着升级，除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全，确定应用之互通性，并使全球市场接受。

所有这些安全交易标准中，SET标准以推广利用信用卡支付网上交易，而广受各界瞩目，它将成为网上交易安全通信协议的工业标准，有望进一步推动Internet电子商务市场。

五、商务安全的关键CA认证

怎样解决电子商务安全问题呢？国际通行的做法是采用CA安全认证系统。CA是CertificateAuthority的缩写，是证书授权的意思。在电子商务系统中，所有实体的证书都是由证书授权中心即CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA机构应包括两大部门：一是审核授权部门，它负责对证书申请者进行资格审查，决定是否同意给该申请者发放证书，并承担因审核错误引起的一切后果，因此它应由能够承担这些责任的机构担任；另一个是证书操作部门，负责为已授权的申请者制作、发放和管理证书，并承担因操作运营所产生的一切后果，包括失密和为没有获得授权者发放证书等，它可以由审核授权部门自己担任，也可委托给第三方担任。

CA体系主要解决几大问题：1.解决网络身份证的认证以保证交易各方身份是真实的；2.解决数据传输的安全性以保证在网络中流动的数据没有受到破坏或篡改；3.解决交易的不可抵赖性以保证对方在网上说的话是真实的。

需要注意的是，CA认证中心并不是安全机构，而是一个发放”身份证”的机构，相当于身份的”公证处”。因此，企业开展电子商务不仅要依托于CA认证机构，还需要一个专业机构作为外援来解决配置什么安全产品、怎样设置安全策略等问题。外援的最合适人选当然非那些提供信息安全软硬件产品的厂商莫属了。好的IT厂商，会让用户在部署安全策略时少走许多弯路。在选择外援时，用户为了节省成本，避免损失，应该把握几个基本原则：1.要知道自己究竟需要什么;2.要了解厂商的信誉;3.要了解厂商推荐的安全产品;4.用户要有一双”火眼金睛”，对项目的实施效果能够正确加以评估。有了这些基本的安全思路，用户可以少走许多弯路。

六、相应法律法规

电子商务要健康有序地发展，就像传统商务一样，也必须有相应的法律法规作后盾。商务过程中不可避免地会产生一些矛盾，电子商务也一样。在电子商务中，合同的意义和作用没有发生改变，但其形式却发生了极大的变化，1.订立合同的双方或多方是互不见面的。所有的买方和卖方在虚拟市场上运作，其信用依靠密码的辨认或认证机构的认证。2.传统合同的口头形式在贸易上常常表现为店堂交易，并将商家所开具的发票作为合同的依据。而在电子商务中标的额较小、关系简单的交易没有具体的合同形式，表现为直接通过网络订购、付款，例如利用网络直接购买软件。3.表示合同生效的传统签字盖章方式被数字签名所代替。

电子商务合同形式的变化，对于世界各国都带来了一系列法律新问题。电子商务作为一种新的贸易形式，与现存的合同法发生矛盾是非常容易理解的事情。但对于法律法规来说，就有一个怎样修改并发展现存合同法，以适应新的贸易形式的问题。

七、小结

在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上，应该还具备以下特点：强大的加密保证；使用者和数据的识别和鉴别；存储和加密数据的保密；连网交易和支付的可靠；方便的密钥管理；数据的完整、防止抵赖。电子商务对计算机网络安全与商务安全的双重要求，使电子商务安全的复杂程度比大多数计算机网络更高，因此电子商务安全应作为安全工程，而不是解决方案来实施。

参考文献：

[1]《电子商务基础》尚建成主编高等教育出版社出版2000.9

第9篇：电子商务安全论文范文

模拟试题

一、判断题(每题2分)

1.信息安全保护能力技术要求分类中，业务信息安全类记为A。

错误

2.OSI安全体系结构标准不是一个实现的标准，而是描述如何设计标准的标准。正确

3.只靠技术就能够实现安全。

错误

4.灾难恢复和容灾是同一个意思。

正确

5.VPN与防火墙的部署关系通常分为串联和并联两种模式。

正确

6.美国的布什切尼政府把信息高速公路，互联网的发展推动起来了。

错误

7.两种经济形态并存的局面将成为未来世界竞争的主要格局。

正确

8.电子商务是成长潜力大，综合效益好的产业。

正确

9.电子商务促进了企业基础架构的变革和变化。

正确

10.在企业推进信息化的过程中应认真防范风险。

正确

11.科研课题/项目是科学研究的主要内容，也是科学研究的主要实践形式，更是科研方法的应有实践范畴，是科研管理的主要抓手。

正确

12.科研方法注重的是研究方法的指导意义和学术价值。

错误

13.西方的“方法”一词来源于英文。

错误

14.科学观察可以分为直接观察和间接观察。

正确

15.统计推论目的是对整理出的数据进行加工概括，从多种角度显现大量资料所包含的数量特征和数量关系。

错误

16.学术论文是学位申请者为申请学位而提交的具有一定学术价值的论文。

错误

17.期刊论文从投稿到发表需要有一个编辑评价的标准，但是它更需要有一个质量的监控体系、监控体制。

正确

18.科研成果是衡量科学研究任务完成与否、质量优劣以及科研人员贡献大小的重要标志。正确

19.一稿多投产生纠纷的责任一般情况由作者承担。

正确

20.知识产权保护的工程和科技创新的工程是一个系统的工程，不是由某一个方法单独努力就能做到的，需要国家、单位和科研工作者共同努力。

正确

二、单项选择(每题2分)

21.信息安全的安全目标不包括（C）。

A、保密性

B、完整性

D、可用性

22.《计算机信息系统安全保护条例》规定，（B）主管全国计算机信息安全保护工作。

A、国家安全部

B、公安部

C、国家保密局

D、教育部

23.《计算机信息系统安全保护条例》第14条规定：“对计算机信息中发生案件，有关使用单位应当在24小时内向当地（B）人民政府公安机关报告。”

A、区级以上

B、县级以上

C、市级以上

D、省级以上

24.根据SHARE 78标准，在（D）级情况下，备份中心处于活动状态，网络实时传送数据、流水日志、系统处于工作状态，数据丢失与恢复时间一般是小时级的。

A、本地冗余设备级

B、应用冷备级

C、数据零丢失级

D、应用系统温备级

25.（A）是密码学发展史上唯一一次真正的革命。

A、公钥密码体制

B、对称密码体制

C、非对称密码体制

D、加密密码体制

26.以下（C）不属于计算机病毒特征。

A、潜伏性

B、传染性

C、免疫性

D、破坏性

27.在进行网络部署时，（B）在网络层上实现加密和认证。

A、防火墙

B、VPN

C、IPSec

D、入侵检测

28.美国（A）政府提出来网络空间的安全战略

A、布什切尼

B、克林顿格尔

C、奥巴马克林顿

D、肯尼迪

29.对于电子商务发展存在的问题，下列说法中错误的是（C）

A、推进电子商务发展的体制机制有待健全

B、电子商务发展的制度环境不完善

C、电子商务的商业模式成熟

D、电子商务对促进传统生产经营模

30.下列选项中，不属于电子商务规划框架的是（C）

A、应用

B、服务

C、物流

D、环境

31.（D）是创新的基础。

A、技术

C、人才

D、知识

32.两大科研方法中的假设演绎法以（B）为代表。

A、达尔文的《进化论》

B、笛卡尔的《论方法》

C、马克思的《资本论》

D、弗兰西斯?培根的《新工具》

33.以下不属于理论创新的特征的是（D）

A、继承性

B、斗争性

C、时代性

D、减速性

34.（A）主要是应用已有的理论来解决设计、技术、工艺、设备、材料等具体技术问题而取得的。

A、科技论文

B、学术论文

C、会议论文

D、学位论文

35.（B）是通过查阅相关的纸质或电子文献资料或者通过其他途径获得的行业内部资料或信息等。

A、直接材料

B、间接材料

C、加工整理的材料c

D、实验材料

36.（C）是整个文章的整体设计，不仅能指导和完善文章的具体写作，还能使文章所表达的内容条理化、系统化、周密化。

A、摘要

B、引言

C、写作提纲

D、结论

37.期刊论文的发表载体是（C）。

A、娱乐杂志

B、生活杂志

C、学术期刊

D、新闻报纸

38.（B）是指科研课题的执行人在科研过程中要向科研主管部门或课题委托方汇报研究工作的进度情况以及提交阶段性成果的书面材料。

A、开题报告

B、中期报告

C、结项报告

D、课题报告

39.我国于（A）年实施了《专利法》。

A、1985

B、1986

C、1987

D、1988

40.知识产权具有专有性，不包括以下哪项（D）。

A、排他性

B、独占性

C、可售性

三、多项选择(每题2分)

41.我国信息安全管理政策主要包括（ACD）。

A、法律体系

B、行政体系

C、政策体系

D、强制性技术标准

E、道德体系

42.信息系统安全的总体要求是（ABCD）的总和。

A、物理安全

B、系统安全

C、网络安全

D、应用安全

E、基础安全

43.网络隔离技术发展经历了五个阶段：（ABCDE）。

A、完全的物理隔离阶段

B、硬件的隔离阶段

C、数据转播隔离阶段

D、空气开关隔离阶段

E、完全通道隔离阶段

44.以下属于我国电子政务安全工作取得的新进展的有（ABCDE）

A、重新成立了国家网络信息安全协调小组

B、成立新一届的国家信息化专家咨询委员会

C、信息安全统一协作的职能得到加强

D、协调办公室保密工作的管理得到加强

E、信息内容的管理或网络治理力度得到了加强

45.下列说法正确的是（ABCDE）

A、电子商务产业是以重大技术突破和重大发展需求为基础的新兴产业

B、电子商务对经济社会全局和长远发展具有重大引领带动作用

C、电子商务是知识技术密集的产业

D、电子商务是物质资源消耗少的产业

E、应把优先发展电子商务服务业放到重要位置

46.科研论文按发表形式分，可以分为（ABE）

A、期刊论文

B、学术论文

C、实验论文

D、应用论文

E、会议论文

47.学术期刊的文章类型有（ABC）。

A、综述性的文章

B、专栏性的文章

C、报道性的文章

D、文言文

E、以上都正确

48.期刊发表的周期有（BCDE）。

A、日刊

B、周刊

C、半月刊

D、月刊

E、旬刊

49.知识产权的三大特征是（ABC）。

B、时间性

C、地域性

D、大众性

E、以上都不正确

50.从个人层面来讲，知识产权保护的措施有（ABC）。

A、在日常的科研行为中一定要有相应的行动策略

B、在科研转化的过程中，要注意保护自己的著作权

C、作品发表后或者出版后，还要对后续的收益给予持续的关注和有效的维护