一、什么是電子商務(wù)?

電子商務(wù)（Electronic Commerce）的定義：以電子及電子技術(shù)為手段，以商務(wù)為核心，把原來(lái)傳統(tǒng)的銷(xiāo)售、購(gòu)物渠道移到互聯(lián)網(wǎng)上來(lái)，打破國(guó)家與地區(qū)有形無(wú)形的壁壘，使生產(chǎn)企業(yè)達(dá)到全球化，網(wǎng)絡(luò)化，無(wú)形化，個(gè)性化、一體化。

電子商務(wù)是以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)。以電子化方式為手段，以商務(wù)活動(dòng)為主體，在法律許可范圍內(nèi)所進(jìn)行的商務(wù)活動(dòng)過(guò)程。

電子商務(wù)是運(yùn)用數(shù)字信息技術(shù)，對(duì)企業(yè)的各項(xiàng)活動(dòng)進(jìn)行持續(xù)優(yōu)化的過(guò)程。電子商務(wù)涵蓋 的范圍很廣，一般可分為企業(yè)對(duì)企業(yè)(Business-to-Business)，或企業(yè)對(duì)消費(fèi)者(Business-to-Consumer)兩種

二、電子商務(wù)交易中的不安全因素

當(dāng)許多傳統(tǒng)的商務(wù)方式應(yīng)用在Intemet上時(shí)，便會(huì)帶來(lái)許多源于安全方面的問(wèn)題。由于Intemet的開(kāi)放性，使網(wǎng)上交易存在許多危險(xiǎn)， 在Intemet上的電子商務(wù)交易過(guò)程中，最核心和最關(guān)鍵的問(wèn)題就是交易的安全性。一般來(lái)說(shuō)商務(wù)安全中普遍存在著以下幾種安全隱患： 竊取信息。如果沒(méi)有采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，人侵者在數(shù)據(jù)包經(jīng)過(guò)的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過(guò)多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

篡改信息。電子的交易信息在網(wǎng)上傳輸?shù)倪^(guò)程中，可能被他人非法地修改、刪除或重放，這樣就使信息失去了真實(shí)性和完整性。

假冒。由于掌握了數(shù)據(jù)的格式，通過(guò)篡改信息，攻擊者可以冒充合法用戶(hù)發(fā)送假冒的信息或者主動(dòng)獲取信息，而遠(yuǎn)端用戶(hù)很難分辨。另外，第三方有可能假冒交易一方的身份，以破壞交易、敗壞被假冒一方的信譽(yù)或盜取被假冒一方的交易成果等。

計(jì)算機(jī)網(wǎng)絡(luò)本身容易遭到一些惡意程序的破壞，而使電子商務(wù)信息遭到破壞。由于攻擊者甚至可以接人網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，或者潛入網(wǎng)絡(luò)內(nèi)部、其后果則更為嚴(yán)重。

三 加密技術(shù)的分析

1 、 加密技術(shù)概述

加密是以某種特殊的算法改變?cè)械男畔?shù)據(jù)，使得未授權(quán)的用戶(hù)即使獲得了已加密的信息，但因不知解密的方法，仍然無(wú)法了解信息的內(nèi)容。

加密之所以安全，絕非因不知道加密解密算法方法，而是加密的密鑰是絕對(duì)的隱藏，現(xiàn)在流行的RSA和AES加密算法都是完全公開(kāi)的，一方取得已加密的數(shù)據(jù)，就算知到加密算法也

好，若沒(méi)有加密的密鑰，也不能打開(kāi)被加密保護(hù)的信息。單單隱蔽加密算法以保護(hù)信息，在學(xué)界和業(yè)界已有相當(dāng)討論，一般認(rèn)為是不夠安全的。公開(kāi)的加密算法是給駭客和加密家長(zhǎng)年累月攻擊測(cè)試，對(duì)比隱蔽的加密算法要安全多。

在密碼學(xué)中，加密是將明文信息隱匿起來(lái)，使之在缺少特殊信息時(shí)不可讀。雖然加密作為通信保密的手段已經(jīng)存在了幾個(gè)世紀(jì)，但是只有那些對(duì)安全要求特別高的組織和個(gè)人才會(huì)使用它。在20世紀(jì)70年代中期，強(qiáng)加密（Strong Encryption）的使用開(kāi)始從政府保密機(jī)構(gòu)延伸至公共領(lǐng)域，并且目前已經(jīng)成為保護(hù)許多廣泛使用系統(tǒng)的方法，比如因特網(wǎng)電子商務(wù)、手機(jī)網(wǎng)絡(luò)和銀行自動(dòng)取款機(jī)等。

加密可以用于保證安全性，但是其它一些技術(shù)在保障通信安全方面仍然是必須的，尤其是關(guān)于數(shù)據(jù)完整性和信息驗(yàn)證；例如，信息驗(yàn)證碼（MAC）或者數(shù)字簽名。另一方面的考慮是為了應(yīng)付流量分析。

加密或軟件編碼隱匿（Code Obfuscation）同時(shí)也在軟件版權(quán)保護(hù)中用于對(duì)付反向工程，未授權(quán)的程序分析，破解和軟件盜版及數(shù)位內(nèi)容的數(shù)位版權(quán)管理（DRM）等。

2 、 什么是加密技術(shù)

加密技術(shù)是最常用的安全保密手段，利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）。 加密技術(shù)包括兩個(gè)元素：算法和密鑰。算法是將普通的信息或者可以理解的信息與一串?dāng)?shù)字（密鑰）結(jié)合，產(chǎn)生不可理解的密文的步驟，密鑰是用來(lái)對(duì)數(shù)據(jù)進(jìn)行編碼和解密的一種算法。在安全保密中，可通過(guò)適當(dāng)?shù)蔫€加密技術(shù)和管理機(jī)制來(lái)保證網(wǎng)絡(luò)的信息通信安全。

3 、1 對(duì)稱(chēng)密鑰密碼體制。

對(duì)稱(chēng)加密雙方采用共同密鑰，（當(dāng)然這個(gè)密鑰是需要對(duì)外保密的），凱撒密碼通過(guò)對(duì)字母移位的方式進(jìn)行加密,這是一種典型的對(duì)稱(chēng)加密算法。其算法是:如果密鑰為3,將26個(gè)英文字母順序不變,但使a,b,c,??,z分別對(duì)應(yīng)d,e,f,??,c。如果明文為day,那么密文就是gdb。解密算法是加密算法的逆運(yùn)算,即字母位置向前移動(dòng)3位,并一一對(duì)應(yīng)。但此種算法由于字母出現(xiàn)頻率的高低容易被破解,并且只有26個(gè)字母,容易被窮舉法分析得出密鑰。

對(duì)稱(chēng)加密體制中,加密密鑰與解密密鑰相同。因此,密鑰的保護(hù)尤為重要,如果第三方截獲該密鑰就會(huì)造成信息失密。在對(duì)稱(chēng)加密算法中,可以保障的只有信息的保密性。而無(wú)信息的完整性等其他性能。

3.2 非對(duì)稱(chēng)密鑰密碼體制

與對(duì)稱(chēng)密鑰密碼體制相對(duì)應(yīng),非對(duì)稱(chēng)加密算法中,加密密鑰與解密密鑰不同。這對(duì)密鑰在密鑰生成過(guò)程中同時(shí)產(chǎn)生。在使用時(shí),該對(duì)密鑰持有人將其中一個(gè)密鑰公開(kāi),而將另一密鑰作為私有密鑰加以保密,前者稱(chēng)為公鑰,后者稱(chēng)為私鑰。任何持有公鑰的人都可加密信<優(yōu)麥電子商務(wù)論文>息,但不能解密自己加密的密文,只有密鑰持有者可以用私鑰對(duì)收到的經(jīng)過(guò)公鑰加密的信息解密。由于在非對(duì)稱(chēng)密鑰密碼體制所使用的兩個(gè)不同的密碼中有一個(gè)需要向所有期望同密鑰持有者進(jìn)行安全通信的人隨意公開(kāi),所以該密碼體制又被稱(chēng)為公鑰密碼體制。 加密技術(shù)的應(yīng)用安全問(wèn)題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問(wèn)題，而如何保障電子商務(wù)活動(dòng)的安全，將一直是電子商務(wù)的核心研究領(lǐng)域。作為一個(gè)安全的電子商務(wù)系統(tǒng)，首先必須具有一個(gè)安全、可靠的通信網(wǎng)絡(luò)，以保證交易信息安全、迅速地傳遞；其次必須保證數(shù)據(jù)庫(kù)服務(wù)器絕對(duì)安全，防止黑客闖入網(wǎng)絡(luò)盜取信息。

電子商務(wù)（E-business）要求顧客可以在網(wǎng)上進(jìn)行各種商務(wù)活動(dòng)，不必?fù)?dān)心自己的信用卡會(huì)被人盜用。在過(guò)去，用戶(hù)為了防止信用卡的號(hào)碼被竊取到，一般是通過(guò)電話訂貨，然后使用用戶(hù)的信用卡進(jìn)行付款?，F(xiàn)在人們開(kāi)始使用各種加密技術(shù)，提高信用卡交易的安全性，從而使電子商務(wù)走向?qū)嵱贸蔀榭赡堋?/p>

1、SET協(xié)議

SET是當(dāng)前Internet上比較常用的加密方法，SET(Secure Electronic Transaction, 安全電子交易)協(xié)議是基于信用卡在線支付的電子商務(wù)系統(tǒng)的安全協(xié)議。

SET協(xié)議通過(guò)制定標(biāo)準(zhǔn)和采用各種技術(shù)手段, 解決了當(dāng)時(shí)困擾電子商務(wù)發(fā)展的安全問(wèn)題。由于得到了很多大公司的支持, 它已形成了事實(shí)上的工業(yè)標(biāo)準(zhǔn),已獲IETF 標(biāo)準(zhǔn)認(rèn)可。

SET協(xié)議的購(gòu)物系統(tǒng)由客戶(hù)、商家、支付網(wǎng)關(guān)、收單銀行和發(fā)卡銀行五個(gè)部分組成。當(dāng)持卡人在網(wǎng)上商店選擇了要購(gòu)買(mǎi)的商品，填寫(xiě)訂單并選擇付款方式為“在線支付”時(shí)，SET協(xié)議開(kāi)始介入工作，它的參與者之間的數(shù)據(jù)交換過(guò)程如圖所示。

持卡人發(fā)送給商家一個(gè)完整的定單及要求付款的指令。在SET協(xié)議中，訂單和付款指令由持卡人進(jìn)行數(shù)字簽名，同時(shí)利用雙重簽名技術(shù)保證商家看不到客戶(hù)的銀行賬號(hào)信息；商家接受訂單后，向?yàn)槌挚ㄈ碎_(kāi)戶(hù)的金融機(jī)構(gòu)發(fā)出支付請(qǐng)求；通過(guò)支付網(wǎng)關(guān)將銀行賬號(hào)傳送到收單銀行，再到發(fā)卡銀行進(jìn)行確認(rèn)；當(dāng)發(fā)卡銀行批準(zhǔn)交易后，返回確認(rèn)信息給商家；商家發(fā)送訂單確認(rèn)信息給持卡人；持卡人計(jì)算機(jī)上的軟件可記錄交易日志，以備將來(lái)查詢(xún)；商家給持卡人配送貨物，完成訂購(gòu)服務(wù)，一個(gè)購(gòu)物過(guò)程至此結(jié)束。

SET協(xié)議是適合于B2C模式電子商務(wù)的、以信用卡為基礎(chǔ)的支付協(xié)議， SET <優(yōu)麥電子商務(wù)論文>使用多種安全技術(shù)來(lái)達(dá)到安全支付的要求，其中對(duì)稱(chēng)密鑰技術(shù)、非對(duì)稱(chēng)加密技術(shù)和Hash 算法是核心。

SET采用兩種加密算法進(jìn)行加密、解密處理,其中密鑰加密是基礎(chǔ)；公鑰加密是應(yīng)用的核心。密鑰加密用同一個(gè)密鑰來(lái)加密和解密數(shù)據(jù),主要算法是DES；公開(kāi)密鑰要求使用一對(duì)密鑰,一個(gè)公開(kāi)發(fā)布,另一個(gè)由收信人保存。發(fā)信人用公開(kāi)密鑰加密數(shù)據(jù),收信人則用私鑰去解密,主要算法是RSA。

金融交易要求發(fā)送報(bào)文數(shù)據(jù)的同時(shí)發(fā)送簽名數(shù)據(jù)作為認(rèn)證。這種數(shù)字簽名是一組加密的數(shù)字。SET要求用戶(hù)在進(jìn)行交易前首先進(jìn)行數(shù)字簽名,然后進(jìn)行數(shù)據(jù)發(fā)送。

網(wǎng)上交易過(guò)程中必須確認(rèn)用戶(hù)、商家及所進(jìn)行的交易本身是否合法可靠。SET體系中還有一個(gè)關(guān)鍵的機(jī)構(gòu)認(rèn)證中心(CA)，它根據(jù)X.509 標(biāo)準(zhǔn)發(fā)布和管理數(shù)字證書(shū)。SET協(xié)議規(guī)定CA發(fā)給每個(gè)持卡人一個(gè)數(shù)字證書(shū)，持卡人選中一個(gè)口令，用它對(duì)數(shù)字證書(shū)和私鑰、信用卡號(hào)以及其他信息加密存儲(chǔ)。這些與一個(gè)支持SET 協(xié)議的軟件一起組成了一個(gè)SET電子錢(qián)包。 金融交易所使用的密鑰必須經(jīng)常更換,SET使用數(shù)字信封來(lái)傳遞更換密鑰。其方法是由發(fā)送數(shù)據(jù)者自動(dòng)生成專(zhuān)用密鑰,用它加密原文,將生成的密文連同密鑰本身一起再用公開(kāi)密鑰加密,然后傳送出去。收信人在解密后同時(shí)得到專(zhuān)用密鑰和用其加密后的密文。

SET協(xié)議可以很好地滿(mǎn)足電子商務(wù)中對(duì)信息的安全提出的四項(xiàng)原則：數(shù)據(jù)的機(jī)密性、完整性、個(gè)體識(shí)別性、不可抵賴(lài)性。

SET協(xié)議是針對(duì)在線支付而設(shè)計(jì)的支付協(xié)議，而采用“貨到付款方式”、“郵局匯款”等非在線支付方式則與SET協(xié)議無(wú)關(guān)。

1 在銀行電子商務(wù)方面的應(yīng)用

網(wǎng)上銀行的業(yè)務(wù)量正在逐年攀升，對(duì)用戶(hù)的賬戶(hù)，密碼等個(gè)人私密信息的保護(hù)已經(jīng)成為網(wǎng)銀業(yè)務(wù)發(fā)展的關(guān)鍵和核心。在這方面，各大銀行均推出自己的數(shù)據(jù)安全工具，其中使用比較普遍的有USB KEY，例如工商銀行的U盾，農(nóng)業(yè)銀行的K寶等。USB KEY建立了基于公鑰（PKI）技術(shù)的個(gè)人證書(shū)認(rèn)證體系。在技術(shù)方面，客戶(hù)證書(shū)通過(guò)個(gè)人證書(shū)認(rèn)證和數(shù)字簽名技術(shù)，對(duì)客戶(hù)的網(wǎng)上交易實(shí)施身份認(rèn)證，并且可以簽署各種業(yè)務(wù)服務(wù)協(xié)議，能夠自動(dòng)生成RSA私有密鑰和安全存儲(chǔ)數(shù)字證書(shū)，確保交易和協(xié)議的惟一完整和不可否認(rèn)。另外工商銀行所提供的電子銀行口令卡對(duì)客戶(hù)來(lái)說(shuō)也是一個(gè)不錯(cuò)的選擇，它相當(dāng)于一種動(dòng)態(tài)的電子銀行密碼，一次一密的操作方法能有效抵御木馬病毒和假網(wǎng)站的危害，最大限度地保障客戶(hù)利益。

加密技術(shù)在電子出版版權(quán)中的應(yīng)用

置亂技術(shù)是數(shù)據(jù)加密的一種方法。通過(guò)置亂技術(shù),可以將數(shù)字信號(hào)變得雜亂無(wú)章，使非法獲取者無(wú)法確知該數(shù)字信號(hào)的正確組織形式,無(wú)法從其中獲得有用的信息。基于DirectShow對(duì)視頻進(jìn)行一系列的采集、分幀、合成等處理,同時(shí)采用Arnold變換對(duì)單幀圖像進(jìn)行置亂操作,使得置亂后的視頻表現(xiàn)為黑白噪聲 的形式 。所建立的視頻處理框架可以處理各種格式的視頻,如AVI、MPEG等格式的視頻信號(hào),置亂后的視頻可以抵抗一定程度的壓縮、幀處理等操作。 視頻文件由于不同的壓縮方式、文件組織方式等，使得其格式繁多，所以處理時(shí)需要把不同格式的視頻文件解碼為統(tǒng)一的非壓縮格式。另外考慮到視頻文件通常數(shù)據(jù)量都很大，采用將視頻文件按單幀圖像進(jìn)行處理的方式，將視頻數(shù)據(jù)流分為單幀序列，經(jīng)過(guò)解壓、處理、存儲(chǔ)一幀后，再讀取下一幀的數(shù)據(jù)進(jìn)行同樣的處理。這樣可以保證內(nèi)存中只有單幀的數(shù)據(jù)量。

數(shù)字水印的基本思想是利用人類(lèi)感覺(jué)器官的不敏感，以及數(shù)字信號(hào)本身存在的冗余，在圖像音頻和視頻等數(shù)字產(chǎn)品中嵌入秘密的信息以便記錄其版權(quán)，同時(shí)嵌入的信息能夠抵抗一些攻擊而生存下來(lái)，以達(dá)到版權(quán)認(rèn)證和保護(hù)的功能。數(shù)字水印并不改變數(shù)字產(chǎn)品的基本特性和使用價(jià)值。一個(gè)完整的數(shù)字水印系統(tǒng)應(yīng)包含三個(gè)基本部分:水印的生成、嵌入和水印的提取或檢測(cè)。水印嵌入算法利用對(duì)稱(chēng)密鑰或公開(kāi)密鑰實(shí)現(xiàn)把水印嵌入到原始載體信息中，得到隱秘載體。水印檢測(cè)／提取算法利用相應(yīng)的密鑰從隱蔽載體中檢測(cè)或恢復(fù)出水印，沒(méi)有解密密鑰，攻擊者很難從隱秘載體中發(fā)現(xiàn)和修改水印。

根據(jù)水印所附載體的不同，可以將數(shù)字水印劃分為圖像水印、音頻水印、視頻水印、文本水印和用于三維網(wǎng)格模型的網(wǎng)格水印及軟件水印等。

(1)圖像水印。根據(jù)水印的嵌入方式不同，圖像水印算法主要分為空間域方法和變換域方法?？臻g域方法是通過(guò)改變圖像中某些像素值加入信息，再通過(guò)記錄提取這些信息來(lái)檢測(cè)水印，常用的LSB算法有兩種:一種是將圖像的LSB用偽隨機(jī)序列來(lái)代替；另一種是在LSB中加入偽隨機(jī)序列。

(2)音頻水印。音頻水印利用音頻文件的冗余信息和人類(lèi)聽(tīng)覺(jué)系統(tǒng)(human audio system)的特點(diǎn)來(lái)嵌入數(shù)字水印。對(duì)于一個(gè)實(shí)用的數(shù)字音頻水印系統(tǒng)，最主要的評(píng)價(jià)指標(biāo)首先是重建聲音信號(hào)的質(zhì)量和水印數(shù)據(jù)的誤碼率，其次是水印數(shù)據(jù)的比特率和所增加的計(jì)算量。目前的音頻水印技術(shù)主要集中于研究低比特位編碼、相位編碼、回聲隱藏和基于擴(kuò)展頻譜編碼等四個(gè)方面。

(3)視頻水印。相較于數(shù)字水印的一般特性，視頻水印還有一些特殊的要求：實(shí)時(shí)處理性 、隨機(jī)檢測(cè)性、與視頻編碼標(biāo)準(zhǔn)相結(jié)合。 視頻水印嵌入方法可分為三種:第一種是將水印信息直接嵌入到編碼壓縮之前的原始視頻圖像序列中，然后再對(duì)含有水印信息的視頻圖像進(jìn)行編碼壓縮。這種方法可以利用靜止圖像的水印嵌入算法，但過(guò)程比較復(fù)雜，而且在壓縮中水印信息有可能遭到破壞。第二種是在編碼壓縮時(shí)嵌入水印，這種方法過(guò)程比較簡(jiǎn)單，但水印的嵌入和提取算法需要修改編碼器和解碼器。 第三種是在壓縮域中嵌入水印，即將水印信息嵌入到編碼壓縮后的碼流上，這種方法不需要完全解碼和再編碼過(guò)程，因此計(jì)算量小，實(shí)時(shí)性好。

(4)文本水印。文本水印算法的基本思想是通過(guò)輕微改變字符間距、行間距或增加、刪除字符特征等方法來(lái)嵌入水印(如底紋線)，但它無(wú)法抵御攻擊。攻擊者可通過(guò)對(duì)字符間距、行間距進(jìn)行隨機(jī)處理來(lái)破壞水印。文檔中若不存在可插入標(biāo)記的可辯認(rèn)空間(perceptual headroom)，則不能被插入水印。對(duì)于諸如PostScript、PDF、WPS、WORD等類(lèi)型的文檔 ，可以將一個(gè)水印嵌入版面布局信息(如字間距或行間距)或格式化編排中。Brassil和 Low等人提出了幾種不同的在PostScript格式文本中嵌入水印的方法。如行移編碼通過(guò)將文本的某一整行垂直移動(dòng)插入標(biāo)記，當(dāng)一行被上移或下移時(shí)，不動(dòng)的相鄰行被看作是解碼的參考位置；字移編碼通過(guò)將文本的某一行中的一個(gè)單詞水平移位插入標(biāo)記，不動(dòng)的相鄰單詞被看作是解碼過(guò)程中的參考位置；特征編碼通過(guò)改變某個(gè)單個(gè)字母的某一特殊特征來(lái)插入標(biāo)記。

(5)網(wǎng)格水印。網(wǎng)格空間的利用率是評(píng)價(jià)網(wǎng)格水印的一個(gè)重要參數(shù)，而空間利用率和穩(wěn)健性之 間通常會(huì)存在矛盾，因此也要協(xié)調(diào)好空間利用率和穩(wěn)健性之間的關(guān)系?？沼?3D網(wǎng)格水印嵌入算法直接在原始網(wǎng)格中通過(guò)調(diào)整網(wǎng)格幾何、拓?fù)浜推渌麑傩缘膮?shù)嵌入水印。最具代表性的算法是 Ohbuchi等人提出的三角形相似四元組 (Triangle Similarity Quadruple，TSQ)算法、四面體體積比(Tetrahedron Volume Ratio，TVR)算法。

(6)軟件水印。所謂的軟件水印就是把程序的版權(quán)信息和用戶(hù)身份信息嵌入到程序中。根據(jù)水印的嵌入位置，軟件水印可以分為代碼水印和數(shù)據(jù)水印。代碼水印隱藏在程序的指令部分中，而數(shù)據(jù)水印則隱藏在包括頭文件字符串和調(diào)試信息等數(shù)據(jù)中。根據(jù)水印被加載的時(shí)刻，軟件水印可分為靜態(tài)水印和動(dòng)態(tài)水印。靜態(tài)水印存儲(chǔ)在可執(zhí)行程序代碼中，動(dòng)態(tài)水印保存在程序的執(zhí)行狀態(tài)中。靜態(tài)水印又可分為靜態(tài)數(shù)據(jù)水印和靜態(tài)代碼水印。動(dòng)態(tài)水印主要有3類(lèi)：Easter Egg水印、數(shù)據(jù)結(jié)構(gòu)水印和執(zhí)行狀態(tài)水印?，F(xiàn)有的軟件水印算法有：Collberg和 Thomborson提出的一種動(dòng)態(tài)圖水印技術(shù)，即把軟件水印隱藏在程序動(dòng)態(tài)建立的圖結(jié)構(gòu)拓?fù)渲小?/p>

四、個(gè)人用戶(hù)終端采取的安全措施

在電子商務(wù)中,客戶(hù)終端一直以來(lái)都是安全的薄弱環(huán)節(jié)。從統(tǒng)計(jì)的數(shù)據(jù)來(lái)看,大約有85%的電子商務(wù)安全事件都是由于終端用戶(hù)的安全問(wèn)題引起的,針對(duì)用戶(hù)終端的不安全性，使用如下措施來(lái)加強(qiáng)安全性:

(1)使用SSL(安全套接層)解決WEB終端的安全套接：使用戶(hù)通過(guò)WEB的數(shù)據(jù)是經(jīng)過(guò)加密的,如MD5用于防止篡改或偽造報(bào)文,MD5結(jié)合DES或RSA確保信息的完整性(即真?zhèn)?等。

(2)軟件鍵盤(pán)措施:用戶(hù)使用鼠標(biāo)點(diǎn)擊軟件鍵盤(pán)對(duì)應(yīng)的按鍵,屏蔽了一些記錄用戶(hù)敲擊真實(shí)鍵盤(pán)信息的軟件。

(3)驗(yàn)證碼措施:由系統(tǒng)自動(dòng)生成隨機(jī)偽序列,每一次的驗(yàn)證碼不相同,可以防止重放攻擊。

(4)確認(rèn)體制:需要用戶(hù)進(jìn)行確認(rèn),這種確認(rèn)可以是不同于網(wǎng)絡(luò)的安全通道。

五、 電子商務(wù)發(fā)展的核心和關(guān)鍵問(wèn)題

電子商務(wù)發(fā)展的核心和關(guān)鍵問(wèn)題是交易的安全性。由于Internet本身的開(kāi)放性,使網(wǎng)上交易面臨了種種危險(xiǎn),也由此提出了相應(yīng)的安全控制要求。密碼學(xué)提供以下信息安全服務(wù)。

信息的保密性。交易中的商務(wù)信息有保密的要求。如信用卡的帳號(hào)和用戶(hù)名被人知悉,就可能被盜用。因此在電子商務(wù)的信息傳播中一般均有加密的要求。

信息的完整性。交易的文件是不可被修改的,如其能改動(dòng)文件內(nèi)容,那么交易本身便是不可靠的,客戶(hù)或商家可能會(huì)因此而蒙受損失。因此電子交易文件也要能做到不可修改,以保障交易的嚴(yán)肅和公正。

信息源鑒別。在商家發(fā)送信息過(guò)程中,可能出現(xiàn)偽裝成商家的攻擊者發(fā)送虛假信息,因此使用密碼學(xué)中基于非對(duì)稱(chēng)加密技術(shù)的書(shū)簽簽名體制可以幫助數(shù)據(jù)接收方確認(rèn)數(shù)據(jù)源自特定的用戶(hù)。

不可否認(rèn)性。如果交易雙方一方產(chǎn)生抵賴(lài),將會(huì)對(duì)交易活動(dòng)的另一方帶來(lái)不可避免的損失。因此,必須確保通信和交易雙方無(wú)法對(duì)已進(jìn)行的業(yè)務(wù)進(jìn)行否認(rèn)。

ice

收藏 海報(bào)分享