654523895畢業(yè)設(shè)計(jì)(論文)淺談電子商務(wù)交易過(guò)程中的安全技術(shù)及安全管理
《654523895畢業(yè)設(shè)計(jì)(論文)淺談電子商務(wù)交易過(guò)程中的安全技術(shù)及安全管理》由會(huì)員分享,可在線閱讀,更多相關(guān)《654523895畢業(yè)設(shè)計(jì)(論文)淺談電子商務(wù)交易過(guò)程中的安全技術(shù)及安全管理(37頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、淺談電子商務(wù)交易過(guò)程中的安全技術(shù)及安全管理 中文摘要 電子商務(wù)發(fā)展給人類(lèi)社會(huì)帶來(lái)的巨大影響使一系列相關(guān)領(lǐng)域的研究成為全球熱點(diǎn)。近年來(lái),電子商務(wù)的發(fā)展已逐步放慢了腳步,其中安全問(wèn)題是阻礙其發(fā)展的主要原因之一??梢灶A(yù)見(jiàn),要邁入真正意義的電子商務(wù)時(shí)代,安全問(wèn)題必須解決。本文選擇這一課題進(jìn)行探索性研究,有著重要的實(shí)際意義。全文共分六個(gè)部分: (1)緒論,主要介紹了電子商務(wù)安全的研究背景和研究動(dòng)態(tài);(2)介紹了電子商務(wù)安全所涉及到的一些內(nèi)容; (3)電子商務(wù)系統(tǒng)的安全技術(shù)機(jī)制; (4)電子商務(wù)系統(tǒng)的安全管理及法律法規(guī)建設(shè); (5)介紹了電子商務(wù)系統(tǒng)的安全評(píng)價(jià)方法。 本文首先介紹了課題的研究背景,
2、總結(jié)了國(guó)內(nèi)外電子商務(wù)安全研究現(xiàn)狀及我國(guó)電子商務(wù)安全存在的問(wèn)題和該問(wèn)題研究的發(fā)展趨勢(shì)。接著對(duì)電子商務(wù)安全做了簡(jiǎn)要概述,提出了電子商務(wù)安全的五個(gè)要素:有效性和真實(shí)性、機(jī)密性和隱私權(quán)、數(shù)據(jù)的完整性、可靠性和不可抵賴(lài)性、審查能力。接下來(lái)本文論述了電子商務(wù)系統(tǒng)的安全技術(shù)機(jī)制:包括加密技術(shù)、認(rèn)證技術(shù)、防火墻、兩種電子商務(wù)安全協(xié)議,在論述了電子商務(wù)系統(tǒng)的安全技術(shù)機(jī)制的基礎(chǔ)上,提出了電子商務(wù)系統(tǒng)安全技術(shù)構(gòu)架。接著,本文論述了在電子商務(wù)安全管理方面應(yīng)做的工作,及電子商務(wù)法律法規(guī)建設(shè)的必要性和在電子商務(wù)安全性方面應(yīng)該涉及到的法律保護(hù)。此后,本文介紹了國(guó)內(nèi)外電子商務(wù)系統(tǒng)的安全評(píng)價(jià)標(biāo)準(zhǔn),設(shè)計(jì)了電子商務(wù)安全評(píng)價(jià)的指標(biāo),
3、提出了對(duì)電子商務(wù)安全進(jìn)行評(píng)價(jià)的一種可行性方法一模糊綜合評(píng)價(jià)法。最后,本文給出了正確的安全觀念,并進(jìn)一步指出解決電子商務(wù)安全問(wèn)題尚需努力的方向。 關(guān)鍵詞:電子商務(wù),電子商務(wù)安全,安全技術(shù),安全管理,交易模型 第1章 緒論 1.1研究背景 由于Internet與生俱來(lái)的弱點(diǎn):開(kāi)放的網(wǎng)絡(luò)體系,給電子商務(wù)的發(fā)展帶來(lái)了挑戰(zhàn),那就是安全。安全問(wèn)題一直是制約電子商務(wù)發(fā)展的瓶頸。人們擔(dān)心自己的隱私泄漏,擔(dān)心自己的信用卡信息被人盜用。從事電子商務(wù)的公司同樣面臨著巨大的交易風(fēng)險(xiǎn)。 電子商務(wù)的安全問(wèn)題一直受到人們的關(guān)注和安全專(zhuān)家的重視,因而安全技術(shù)不斷的得到發(fā)展的應(yīng)用,如:加密技術(shù),防火墻,安全認(rèn)
4、證協(xié)議等。這些技術(shù)的應(yīng)用極大的促進(jìn)了電子商務(wù)的發(fā)展。隨著技術(shù)的發(fā)展,無(wú)論在軟件上還是硬件上都為電子商務(wù)的發(fā)展提供了良好的安全保證和發(fā)展環(huán)境。但是還沒(méi)有一個(gè)有效的電子商務(wù)系統(tǒng)安全的評(píng)價(jià)體系。雖然一些電子商務(wù)的安全技術(shù)都制定了相應(yīng)的安全標(biāo)準(zhǔn),但是就整個(gè)系統(tǒng)而言,這還遠(yuǎn)遠(yuǎn)不夠。電子商務(wù)系統(tǒng)的安全要素包括:有效性、機(jī)密性、完整性、可靠性(不可抵賴(lài)性)、審查能力等。因而衡量一個(gè)電子商務(wù)系統(tǒng)的安全性就要從這幾個(gè)方面考察[1]。 另外,在電子商務(wù)安全方面,人們往往從技術(shù)方面考慮,而往往忽略了安全管理,其實(shí)安全管理比技術(shù)更重要。制定和實(shí)施良好的安全策略比安全技術(shù)更有效更持久。技術(shù)的發(fā)展非常的快,而且實(shí)施系統(tǒng)
5、侵害的手段和方法不斷在變化,因而制定良好的安全策略就顯得尤其重要。大多數(shù)企業(yè)在安全方面犯的最大的錯(cuò)誤就是沒(méi)能建立良好的策略和實(shí)施步驟,也沒(méi)有保證執(zhí)行這些策略。安全問(wèn)題是不斷變化的,企業(yè)安裝完防火墻,就不再考慮安全問(wèn)題。當(dāng)系統(tǒng)安全體系結(jié)構(gòu)發(fā)生變化時(shí),就應(yīng)該升級(jí)和重新配置安全設(shè)施。這樣才能有效的利用現(xiàn)有的安全體系保證電子商務(wù)系統(tǒng)安全的運(yùn)轉(zhuǎn)。而大多數(shù)企業(yè)往往不夠重視電子商務(wù)系統(tǒng)安全策略的制定,把系統(tǒng)安全問(wèn)題簡(jiǎn)單歸于技術(shù)方面,這是一個(gè)誤區(qū)。因而應(yīng)該得到重視啪。 最后,制定電子商務(wù)方面的法律法規(guī)是電子商務(wù)安全健康發(fā)展的必不可少的保證,我們國(guó)家目前在這一方面還很落后。這兩年來(lái),有關(guān)電子商務(wù)方面的違法甚至
6、犯罪得不到有效得懲罰的事件時(shí)有發(fā)生,這對(duì)電子商務(wù)的發(fā)展是非常不利的。因而加強(qiáng)電子商務(wù)方面的法律法規(guī)建設(shè)是電子商務(wù)系統(tǒng)安全健康發(fā)展的一個(gè)必不可少的條件。總之,必須制定科學(xué)的安全策略和評(píng)價(jià)體系,重視管理和技術(shù)的運(yùn)用,制定和完善有關(guān)電子商務(wù)法律和法規(guī)建設(shè),為電子商務(wù)的發(fā)展創(chuàng)造良好的環(huán)境。 1.2國(guó)內(nèi)外電子商務(wù)安全研究現(xiàn)狀 1.2.1國(guó)際電子商務(wù)安全研究現(xiàn)狀 隨著互聯(lián)網(wǎng)在全世界的普及,基于互聯(lián)網(wǎng)的電子商務(wù)也應(yīng)運(yùn)而生,并在近幾年來(lái)獲得了巨大的發(fā)展,成為了一種全新的商務(wù)模式。越來(lái)越多的商家和企業(yè)采用這種全新的電子商務(wù)模式,它形成了一種新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)。由于電子商務(wù)安全問(wèn)題自身的敏感性和國(guó)家安全的最
7、高利益的密切相關(guān)性,因此在電子商務(wù)安全問(wèn)題研究方面的具體情況基本上被各個(gè)國(guó)家嚴(yán)格控制,特別是對(duì)有關(guān)核心技術(shù)都制定和實(shí)施了很高規(guī)格的保密要求和措施。因此,本文以下的有關(guān)電子商務(wù)安全問(wèn)題的研究情況,基本上是一些過(guò)去的或有關(guān)公開(kāi)發(fā)表的情況。在電子商務(wù)安全研究方面美國(guó)一直是領(lǐng)先的。1983年8月,美國(guó)國(guó)家安全局(NSA)的國(guó)家計(jì)算機(jī)安全中心頒布的官方標(biāo)準(zhǔn)橘皮書(shū),其正式名稱(chēng)是“受信計(jì)算機(jī)系統(tǒng)評(píng)量基準(zhǔn)”,橘皮書(shū)是目前頗具權(quán)威的計(jì)算機(jī)系統(tǒng)安全標(biāo)準(zhǔn)之一。橘皮書(shū)中對(duì)可信任系統(tǒng)的定義是這樣的:一個(gè)由完整的硬件及軟件所組成的系統(tǒng),在不違反訪問(wèn)權(quán)限的情況下,它能同時(shí)服務(wù)于不限定個(gè)數(shù)的用戶,并處理從一般機(jī)密到最高機(jī)密等
8、不同范圍的信息。橘皮書(shū)將一個(gè)計(jì)算機(jī)系統(tǒng)可接受的信任程度進(jìn)行了分級(jí),安全性能由高到低劃分為A、B、C、D四大等級(jí),各等級(jí)又依次編號(hào)細(xì)分成若干個(gè)等級(jí)。目前,各國(guó)在研究計(jì)算機(jī)系統(tǒng)安全問(wèn)題時(shí)大都采用此標(biāo)準(zhǔn)作為參考。 隨著網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題研究的深入,網(wǎng)絡(luò)系統(tǒng)的脆弱性和研發(fā)技術(shù)成果的滯后性使電子商務(wù)安全問(wèn)題日益嚴(yán)重和突出。網(wǎng)絡(luò)的脆弱性有兩個(gè)原因,一是網(wǎng)絡(luò)系統(tǒng)自身的漏洞和缺陷;二是個(gè)別國(guó)家出于別有用心的目的在網(wǎng)絡(luò)的關(guān)鍵部件內(nèi)部設(shè)置后門(mén)或預(yù)制邏輯炸彈等。雖然現(xiàn)在運(yùn)行中的網(wǎng)絡(luò)系統(tǒng),在設(shè)計(jì)、制造時(shí)對(duì)安全問(wèn)題做了看似嚴(yán)格、完備的設(shè)計(jì)與解決方案,但是實(shí)際情況是網(wǎng)絡(luò)安全問(wèn)題遠(yuǎn)沒(méi)有解決好,有關(guān)問(wèn)題是防不勝防。大量的實(shí)際
9、網(wǎng)絡(luò)安全事件情況表明,各種對(duì)網(wǎng)絡(luò)系統(tǒng)造成破壞的手段和方法大大超過(guò)了現(xiàn)有的安全技術(shù)措施,這種由安全問(wèn)題的出現(xiàn)和威脅而促進(jìn)和推動(dòng)的網(wǎng)絡(luò)安全研究,這種滯后的、被動(dòng)的、動(dòng)態(tài)的研發(fā)現(xiàn)實(shí),使網(wǎng)絡(luò)安全問(wèn)題的解決從目前的實(shí)際情況看是不可能的。2000年至2001年期間,全世界發(fā)生了多起涉及國(guó)家眾多、損失巨大的計(jì)算機(jī)病毒事件。經(jīng)過(guò)對(duì)病毒事件追蹤調(diào)查分析,發(fā)現(xiàn)有一個(gè)共同的現(xiàn)象,就是計(jì)算機(jī)技術(shù)水平一般的人制造了這一起范圍廣、危害大的病毒事件。所以,運(yùn)行于計(jì)算機(jī)系統(tǒng)上的電子商務(wù)系統(tǒng)的安全性是十分脆弱的,有關(guān)網(wǎng)絡(luò)安全研究工作有待于進(jìn)一步努力。 各個(gè)國(guó)家對(duì)電子商務(wù)安全問(wèn)題研究普遍重視,如同電子商務(wù)的應(yīng)用一樣普遍。電子商
10、務(wù)安全問(wèn)題也是廣泛地存在,不僅發(fā)達(dá)的美國(guó)、英國(guó)等西方國(guó)家有嚴(yán)重的電子商務(wù)安全問(wèn)題,在不發(fā)達(dá)的印尼等國(guó)家也存在。據(jù)有關(guān)媒體報(bào)道,美國(guó)的國(guó)防部等重要部門(mén)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)被黑客侵入過(guò),以及美國(guó)有許多知名的電子商務(wù)網(wǎng)站在交易過(guò)程中出現(xiàn)過(guò)欺詐事件,亞洲越南的很多網(wǎng)站也被黑過(guò)。正是這些原因,各國(guó)的政府都投入巨資,組織科技精英進(jìn)行研究攻關(guān).同時(shí),政府用很多優(yōu)惠政策和扶植措施鼓勵(lì)科學(xué)研究單位、人、公司進(jìn)行研發(fā)。 美國(guó)在電子商務(wù)安全問(wèn)題方面投巨資,企圖以領(lǐng)先的技術(shù)控制世界網(wǎng)絡(luò)信息安全產(chǎn)品市場(chǎng),近而掌握全球的。制網(wǎng)權(quán)”。美國(guó)國(guó)家安全局(NSA)控制網(wǎng)絡(luò)安全產(chǎn)品的出口,使得可以出口的安全產(chǎn)品都在其掌握之中。目前,
11、世界上美國(guó)的網(wǎng)絡(luò)安全產(chǎn)品技術(shù)水平遙遙領(lǐng)先,很多國(guó)家在信息化發(fā)展過(guò)程中不得不進(jìn)口使用美國(guó)的網(wǎng)絡(luò)安全產(chǎn)品。但是,NSA在加解密等關(guān)鍵技術(shù)方面都留有技術(shù)備案,使得用這些進(jìn)口安全產(chǎn)品的國(guó)家的信息安全無(wú)法保證,對(duì)美國(guó)來(lái)說(shuō)則是毫無(wú)安全可言,關(guān)鍵時(shí)候可能會(huì)給國(guó)家?guī)?lái)災(zāi)難[3]。 目前,美國(guó)政府和企業(yè)非常重視信息安全。一是政府反復(fù)告誡政府各部門(mén)和公司加強(qiáng)信息安全的建設(shè),防止恐怖分子利用網(wǎng)絡(luò)發(fā)動(dòng)信息戰(zhàn),導(dǎo)致美國(guó)政府和企業(yè)癱瘓,從而造成災(zāi)難性損害;二是“911”恐怖襲擊事件后,美國(guó)公司增強(qiáng)了信息技術(shù)安全觀念,投入經(jīng)費(fèi)大副度提高。由美國(guó)報(bào)紙《計(jì)算機(jī)世界》和JP摩根公司聯(lián)合進(jìn)行的調(diào)查,最新公布的一項(xiàng)有關(guān)信息技術(shù)安全
12、的調(diào)查表明,2002年美國(guó)公司在信息技術(shù)安全方面的計(jì)劃開(kāi)支將增2143%;年收入超過(guò)5億美元的大公司的相關(guān)支出將占信息技術(shù)預(yù)算的11.2%,大大高于2001年的7.4%;三是加強(qiáng)信息技術(shù)安全方面的工作。美國(guó)公司2002年信息安全技術(shù)的重點(diǎn)是防范計(jì)算機(jī)病毒、探測(cè)黑客入侵、設(shè)置防火墻和建立安全保密網(wǎng)絡(luò)方面。從現(xiàn)在的網(wǎng)絡(luò)安全研究情況的現(xiàn)實(shí)看,解決網(wǎng)絡(luò)安全問(wèn)題的根本途徑和方向是網(wǎng)絡(luò)技術(shù)創(chuàng)新,即研發(fā)新一代網(wǎng)絡(luò)技術(shù),采取“立體”措施,包括引入“中間件”層及其安全結(jié)構(gòu),在“網(wǎng)絡(luò)層”增設(shè)面向連接的實(shí)時(shí)協(xié)議、強(qiáng)化整個(gè)網(wǎng)絡(luò)系統(tǒng)的管控智能以及改進(jìn)終端加密和反黑等措施。 1.2.2我國(guó)電子商務(wù)安全研究現(xiàn)狀 中
13、國(guó)于1995年起發(fā)展電子商務(wù)安全產(chǎn)業(yè),電子商務(wù)安全科研、生產(chǎn)與應(yīng)用同 時(shí)起步,科研與生產(chǎn)從無(wú)到有,市場(chǎng)從小到大進(jìn)逐步發(fā)展起來(lái),到目前為止已初 具規(guī)模。21世紀(jì)后,網(wǎng)絡(luò)信息安全問(wèn)題得到政府、企業(yè)的高度重視,國(guó)內(nèi)國(guó)家級(jí) 的研究所、大專(zhuān)院校和有實(shí)力的大公司紛紛進(jìn)入網(wǎng)絡(luò)信息安全問(wèn)題的研究領(lǐng)域。 在北京、上海、成都、西安和深圳等城市,中國(guó)的電子商務(wù)安全產(chǎn)業(yè)得到了飛速 的發(fā)展,網(wǎng)絡(luò)安全市場(chǎng)已開(kāi)始成熟[4][5]。 與國(guó)際電子商務(wù)發(fā)展情況相似,目前中國(guó)的電子商務(wù)發(fā)展現(xiàn)狀要制定完備的有關(guān)互聯(lián)網(wǎng)發(fā)展和電子商務(wù)的法律時(shí)機(jī)尚不成熟。但是,在研究國(guó)際先進(jìn)經(jīng)驗(yàn)的同時(shí),結(jié)合中國(guó)的國(guó)情,對(duì)現(xiàn)有法規(guī)進(jìn)行修改(如刑
14、法、合同法和版權(quán)法等),以加強(qiáng)對(duì)互聯(lián)網(wǎng)犯罪、版權(quán)保護(hù)和電子商務(wù)身份認(rèn)定的法律規(guī)范,在立法方面進(jìn)行了積極有益的探索,初步制定了一套有中國(guó)特色的電子商務(wù)法規(guī)舊[6]: 1996年2月,國(guó)務(wù)院195號(hào)令發(fā)布了《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》; 1997年5月,國(guó)務(wù)院信息化工作領(lǐng)導(dǎo)小組辦公室發(fā)布了《中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理辦法》;12月,公安部發(fā)布了《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》; 1999年8月信息產(chǎn)業(yè)部發(fā)布了《電信網(wǎng)問(wèn)互聯(lián)管理暫行規(guī)定》;同年,《國(guó)家電子商務(wù)發(fā)展總體框架(初稿)》擬就,報(bào)國(guó)務(wù)院審批; 2000年國(guó)務(wù)院公布了《中華人民共和國(guó)電信條例》和《互
15、聯(lián)網(wǎng)信息服務(wù)管理辦法》; 2000年10月,由國(guó)家信息化推進(jìn)工作辦公室牽頭起草的《關(guān)于發(fā)展我國(guó)電子商務(wù)的若干意見(jiàn)》上報(bào)國(guó)家最高決策層進(jìn)行審議。有關(guān)電子商務(wù)的若干法律法規(guī)也正在緊張的起草之中。 總之,中國(guó)的網(wǎng)絡(luò)信息安全事業(yè)得到了很大的發(fā)展,但是面臨的困難和需要解決的問(wèn)題依然很多。 1.3我國(guó)電子商務(wù)安全存在的問(wèn)題及發(fā)展趨勢(shì) 1.3.1目前存在和急需解決的主要問(wèn)題 目前,中國(guó)大力發(fā)展電子商務(wù)經(jīng)濟(jì),必須重視和急需解決的主要問(wèn)題有[4]: 第一,在思想上清醒地認(rèn)識(shí)到網(wǎng)絡(luò)安全與國(guó)家安全息息相關(guān)。對(duì)網(wǎng)絡(luò)信息安全問(wèn)題國(guó)家要成立專(zhuān)門(mén)的領(lǐng)導(dǎo)協(xié)調(diào)機(jī)構(gòu),以超常規(guī)的速度組織人、財(cái)、物予以進(jìn)行研發(fā),
16、建立安全可靠、高效有序的信息網(wǎng)絡(luò)系統(tǒng),以保障電子商務(wù)系統(tǒng)安全、防范金融風(fēng)險(xiǎn)、避免經(jīng)濟(jì)動(dòng)蕩,以及保障國(guó)家政治穩(wěn)定和維護(hù)國(guó)家安全,為保衛(wèi)共和國(guó)的安全的筑起一道電子“鋼鐵長(zhǎng)城”。 第二,認(rèn)清網(wǎng)絡(luò)信息系統(tǒng)安全問(wèn)題的根本原因: (1)網(wǎng)絡(luò)信息技術(shù)及網(wǎng)絡(luò)安全設(shè)備絕大多數(shù)是西方發(fā)明的,有“先天”不足帶來(lái)的安全問(wèn)題(網(wǎng)絡(luò)系統(tǒng)本身的缺陷和漏洞)。 (2)我國(guó)網(wǎng)絡(luò)信息系統(tǒng)中所用的安全設(shè)備、技術(shù)大多數(shù)是舊的,關(guān)鍵時(shí)候根本就不起安全防范作用。 (3)我們?cè)谒枷肷蠈?duì)網(wǎng)絡(luò)安全的重視不夠。在規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)時(shí),對(duì)網(wǎng)絡(luò)和這些安全設(shè)備、技術(shù)所帶來(lái)的安全問(wèn)題沒(méi)有采取相應(yīng)的技術(shù)措施予以補(bǔ)救,或在網(wǎng)絡(luò)安全的設(shè)計(jì)中設(shè)計(jì)不到位、
17、技術(shù)不到位。 (4)重網(wǎng)絡(luò)設(shè)施的建設(shè),輕網(wǎng)絡(luò)安全的投入。如果電子商務(wù)運(yùn)行在這樣的網(wǎng)絡(luò)系統(tǒng)上,電子商務(wù)的安全將是無(wú)法保證的。根據(jù)中國(guó)互聯(lián)網(wǎng)研究與發(fā)展中心(CIo)于2000年5、6月份的一次全國(guó)范圍的調(diào)查顯示,我國(guó)電子商務(wù)中還存在著很大的不安全因素,其中有60.98%的企業(yè)計(jì)算機(jī)被病毒侵襲過(guò),造成的直接經(jīng)濟(jì)損失是電子商務(wù)交易總額的25%。 第三,急需建立、健全社會(huì)化信用體系。目前中國(guó)的社會(huì)化信用體系很不健全,信用心理不成熟。交易行為缺乏必要的自律和嚴(yán)厲的社會(huì)監(jiān)督。在這種情況下,要發(fā)展電子商務(wù),必須加速培育市場(chǎng),創(chuàng)造比較成熟和規(guī)范的社會(huì)信用環(huán)境,以利于傳統(tǒng)商務(wù)向現(xiàn)代電子商務(wù)的順利轉(zhuǎn)變。 第四
18、,國(guó)家海關(guān)、工商、稅務(wù)等管理機(jī)關(guān)的信息化問(wèn)題,是電子商務(wù)的一項(xiàng)基礎(chǔ)工作。信用卡、電子支票和數(shù)字化貨幣將是電子商務(wù)中常用的電子貨幣形式,這就意味著在未來(lái)的電子商務(wù)活動(dòng)環(huán)境中,產(chǎn)銷(xiāo)雙方無(wú)須通過(guò)中介機(jī)構(gòu)就可直接進(jìn)行交易,這種不需要貨幣為中介的交易形式,是因電子商務(wù)增加了避稅和轉(zhuǎn)移定價(jià)的可能性,這也是急需解決的電子商務(wù)安全問(wèn)題之一。因此在建設(shè)和研究電子商務(wù)系統(tǒng)時(shí),必須首要解決這一問(wèn)題,強(qiáng)化國(guó)家在電子商務(wù)系統(tǒng)中的管理職能,以保障國(guó)家的權(quán)益。 第五,解決電子商務(wù)立法滯后問(wèn)題,形成對(duì)網(wǎng)上違法犯罪行為的威懾力。電子商務(wù)的指數(shù)級(jí)發(fā)展速度和特點(diǎn),給現(xiàn)行的法律體系帶來(lái)的新的挑戰(zhàn)。網(wǎng)絡(luò)信息時(shí)代社會(huì)中出現(xiàn)的虛擬與現(xiàn)實(shí)
19、的種種問(wèn)題,使人們對(duì)世界的看法大大不同于以前,社會(huì)的信息化和知識(shí)的商品化,改變著人們的思維和行動(dòng)的方式,以信息為載體的知識(shí)就是資源和財(cái)富的觀念以深入人心。信息化社會(huì)所帶來(lái)的一切新的問(wèn)題,需要規(guī)范網(wǎng)絡(luò)環(huán)境下的虛擬社會(huì)中人們的行為,使人們的活動(dòng)在信息社會(huì)中始終處于良性、有序的發(fā)展之中。就必須把信息社會(huì)納入規(guī)范化、法律化的軌道,運(yùn)用法律手段對(duì)新的社會(huì)關(guān)系予以規(guī)范和調(diào)整,而僅靠傳統(tǒng)的法律體系己經(jīng)越來(lái)越不能滿足信息社會(huì)的需要,這也需要制定出適應(yīng)信息化社會(huì)的法律制度。 1.3.2電子商務(wù)安全問(wèn)題研究發(fā)展趨勢(shì) 就目前中國(guó)電子商務(wù)發(fā)展的勢(shì)頭看,電子商務(wù)安全問(wèn)題研究的有以下發(fā)展趨勢(shì): 一是政府越來(lái)越高
20、度重視電子商務(wù)安全問(wèn)題研究。由于電子商務(wù)安全與國(guó)家安全密切相關(guān),涉及社會(huì)政治穩(wěn)定,經(jīng)濟(jì)、金融的穩(wěn)定等。因此,政府高層及其職能部門(mén)空前重視電子商務(wù)安全研究問(wèn)題,將有關(guān)問(wèn)題列入國(guó)家宏觀發(fā)展戰(zhàn)略之中,充分發(fā)揮國(guó)家的整體優(yōu)勢(shì),在政策上積極引導(dǎo)、重點(diǎn)支持,同時(shí)加大經(jīng)費(fèi)投入的力度,在人、財(cái)、物等全方位予以支持。 二是電子商務(wù)安全研究的專(zhuān)門(mén)科研機(jī)構(gòu)不斷增加,科研實(shí)力不斷增強(qiáng)。在國(guó)家有關(guān)政策的支持的指導(dǎo)和支持下,有許多國(guó)家級(jí)的研究所、重點(diǎn)大專(zhuān)院校,有實(shí)力的企業(yè)紛紛涉足電子商務(wù)安全問(wèn)題研究,相繼建立了一批院、所等電子商務(wù)安全科研基地,經(jīng)過(guò)組織科研力量進(jìn)行專(zhuān)項(xiàng)攻關(guān),取得一批研究成果。同時(shí),院、所培養(yǎng)出一批專(zhuān)門(mén)從
21、事電子商務(wù)安全研究和管理工作的博士、碩士和本科人才,滿足了社會(huì)對(duì)各個(gè)層次電子商務(wù)安全專(zhuān)門(mén)人才的需求。 三是科研以研發(fā)具有獨(dú)立自主知識(shí)產(chǎn)權(quán)的電子商務(wù)安全產(chǎn)品為目標(biāo),力爭(zhēng)打破國(guó)外信息安全產(chǎn)品的壟斷。由于歷史的原因,國(guó)內(nèi)網(wǎng)絡(luò)上信息安全產(chǎn)品有相當(dāng)一部分是進(jìn)口產(chǎn)品,因此我國(guó)的信息系統(tǒng)存在著很大的安全隱患。為了保證我們國(guó)家的信息系統(tǒng)的安全,保證電子商務(wù)系統(tǒng)的正常運(yùn)行,以及電子商務(wù)安全研究及其產(chǎn)品使用的特殊性,電子商務(wù)安全研究的項(xiàng)目基本上是國(guó)家規(guī)劃、組織、實(shí)施,由科研機(jī)構(gòu)組織科研力量獨(dú)立研發(fā),目前己研發(fā)出一些世界水平的信息安全產(chǎn)品,一些軟件和硬件安全產(chǎn)品解決了實(shí)際中的需要。 四是國(guó)家有關(guān)部門(mén)逐步加快了與
22、電子商務(wù)相關(guān)的政策、法規(guī)和法律的研究與制定。隨著電子商務(wù)在全社會(huì)的廣泛應(yīng)用,以及電子商務(wù)問(wèn)題的不斷出現(xiàn),面向社會(huì)的有關(guān)道德、法規(guī)和法律等方面的研究工作也逐步開(kāi)展,已出臺(tái)的電子商務(wù)的有關(guān)政策、法規(guī),基本解決了電子商務(wù)應(yīng)用中一些急需解決的問(wèn)題,保障了現(xiàn)階段電子商務(wù)的正常運(yùn)行。可以預(yù)見(jiàn),隨著電子商務(wù)安全技術(shù)研究的深入,與電子商務(wù)安全有關(guān)的政策、法規(guī)和法律將會(huì)不斷完善和發(fā)展。 五是電子商務(wù)安全產(chǎn)業(yè)規(guī)模將逐步擴(kuò)大。據(jù)有關(guān)部門(mén)統(tǒng)計(jì),2001年全國(guó)的信息安全產(chǎn)品的市場(chǎng)銷(xiāo)售額已達(dá)50億,2002年的電子商務(wù)安全市場(chǎng)銷(xiāo)售額達(dá)數(shù)百億元,全球的信息安全費(fèi)用在今后的5年內(nèi)將年平均增長(zhǎng)約20%[5]。 第二章電
23、子商務(wù)安全概述 2.1電子商務(wù)安全的內(nèi)容 電子商務(wù)的一個(gè)重要技術(shù)特征是利用IT技術(shù)來(lái)傳輸和處理商業(yè)信息。因此,電子商務(wù)安全從整體上可分為兩大部分:計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。 計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題,實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案,以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。 商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問(wèn)題,在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上,保障電子商務(wù)過(guò)程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴(lài)性。 計(jì)算機(jī)網(wǎng)絡(luò)安全與電子商務(wù)交易安全實(shí)際
24、上是密不可分的,兩者相輔相成,缺一不可。沒(méi)有計(jì)算機(jī)網(wǎng)絡(luò)安全作為基礎(chǔ),商務(wù)交易安全就猶如空中樓閣,無(wú)從談起。沒(méi)有商務(wù)交易安全保障,即使計(jì)算機(jī)網(wǎng)絡(luò)本身再安全,仍然無(wú)法達(dá)到電子商務(wù)所特有的安全要求[7]。 2.2電子商務(wù)安全要素 由于電子商務(wù)是在Internet環(huán)境下進(jìn)行的商務(wù)活動(dòng),交易的安全性、可靠性 和匿名性一直是人們?cè)诮灰谆顒?dòng)中最為關(guān)切的問(wèn)題。因此,為了保證電子商務(wù)整 個(gè)交易活動(dòng)的安全順利的進(jìn)行。電子商務(wù)系統(tǒng)必須具備以下幾個(gè)安全要素“1: 1.有效性和真實(shí)性 有效性和真實(shí)性要求電子商務(wù)系統(tǒng)能對(duì)信息、交易實(shí)體的有效性和真實(shí)性進(jìn)行鑒別。電子商務(wù)以電子形式取代了紙張,那么如何保證這種
25、電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的~種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。因此,要對(duì)阿絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。 2、機(jī)密性和隱私權(quán) 機(jī)密性要求信息不被泄漏給非授權(quán)的人或?qū)嶓w,隱私權(quán)是個(gè)人信息不被泄漏的權(quán)利。電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)
26、放的網(wǎng)絡(luò)環(huán)境上的(尤其Internet是更為開(kāi)放的網(wǎng)絡(luò)),維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。 3、數(shù)據(jù)的完整性一 數(shù)據(jù)的完整性要求在保護(hù)數(shù)據(jù)以防止未經(jīng)授權(quán)的增刪、修改或替代的同時(shí),保證數(shù)據(jù)的一致性。電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)了維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略,保持貿(mào)易各方信息的完整性是電子
27、商務(wù)應(yīng)用的基礎(chǔ)。因此,要預(yù)防對(duì)信息的隨意生成、修改和刪除,同時(shí)要防止在數(shù)據(jù)傳送過(guò)程中信息的丟失和重復(fù),并保證信息傳送次序的統(tǒng)一。 4、可靠性和不可抵賴(lài)性 可靠性要求電子商務(wù)系統(tǒng)能夠保證合法用戶對(duì)信息資源的使用不會(huì)被不正當(dāng)?shù)木芙^;不可抵賴(lài)性要求電子商務(wù)系統(tǒng)能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為。 電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方,這一問(wèn)題是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書(shū)面文件上手寫(xiě)簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴(lài)行為的發(fā)生。這也就是人們
28、常說(shuō)的“白紙黑字”。在無(wú)紙化的電子商務(wù)方式下,通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí),以保證發(fā)送方發(fā)送數(shù)據(jù)后也不能抵賴(lài)[9]。 5、審查能力 根據(jù)機(jī)密性和完整性的要求,能利用電子商務(wù)交易系統(tǒng)日志文件對(duì)數(shù)據(jù)結(jié)果進(jìn)行審查、追蹤。 2.3電子商務(wù)系統(tǒng)面臨的威脅 標(biāo)準(zhǔn)的客戶服務(wù)模型有三個(gè)構(gòu)件:服務(wù)器系統(tǒng)、網(wǎng)絡(luò)、和客戶系統(tǒng)。過(guò)去服務(wù)器系統(tǒng)主機(jī)運(yùn)行的操作系統(tǒng)主要有:IIIvS,vM,ⅧS,Unix。現(xiàn)在Window NT和Windows 2000也得到了應(yīng)用。網(wǎng)絡(luò)構(gòu)件包括:企業(yè)內(nèi)部商務(wù)網(wǎng)和外部網(wǎng)??蛻粝到y(tǒng)主要是一些P
29、c機(jī)或一些終端設(shè)備。 2.3.1電子商務(wù)系統(tǒng)安全的構(gòu)建 電子商務(wù)系統(tǒng)的安全策略主要是為了解決兩個(gè)問(wèn)題:保護(hù)商務(wù)網(wǎng)絡(luò)和它內(nèi)部系統(tǒng)的完整性;以及保障客戶和商家之間安全的完成商務(wù)交易。商家用來(lái)保護(hù)內(nèi)部系統(tǒng)的主要工具是防火墻。防火強(qiáng)是一種硬件和軟件相結(jié)合的系統(tǒng),它只允許符合安全規(guī)則的外部用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)。防火墻最初設(shè)計(jì)的目的是Internet和內(nèi)部網(wǎng)之間的一些具體的服務(wù)內(nèi)容(如:e-mail,網(wǎng)頁(yè)訪問(wèn))?,F(xiàn)在防火墻成為商務(wù)安全構(gòu)架中主要的防御工具。然而,防火墻還僅僅是商務(wù)安全基礎(chǔ)設(shè)施中的一小部分。黑客使用一些工具很容易通過(guò)系統(tǒng)允許的(開(kāi)放的)端口進(jìn)入內(nèi)部系統(tǒng),從而使防火墻形同虛設(shè)。一些病毒(如
30、:紅色代碼,NIMDA蠕蟲(chóng)病毒)也能夠通過(guò)防火墻。因?yàn)樗鼈兪峭ㄟ^(guò)服務(wù)器系統(tǒng)的標(biāo)準(zhǔn)端口訪問(wèn)系統(tǒng)的。因而防火墻的防護(hù)能力是有限的[10]。 交易的安全是增強(qiáng)消費(fèi)者對(duì)電子商務(wù)消費(fèi)信心的關(guān)鍵因素。交易安全取決于企業(yè)保護(hù)隱私、信息的真實(shí)性、完整性、有效性和處理信息阻塞等的能力。交易的個(gè)人隱私信息容易受到一種軟件工具稱(chēng)為嗅探器的程序的網(wǎng)絡(luò)監(jiān)聽(tīng),這種監(jiān)聽(tīng)工具通常被用在網(wǎng)絡(luò)連接的終端。 有許多對(duì)付這種威脅的技術(shù)例如對(duì)信息進(jìn)行加密,改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等。交易的機(jī)密性要求交易的真實(shí)信息在所經(jīng)過(guò)的每一個(gè)中間點(diǎn)不被竊取。至于它的傳遞經(jīng)過(guò)的記錄就是另一回事了,可以用來(lái)證明交易的確發(fā)生了。網(wǎng)絡(luò)的中間點(diǎn)不應(yīng)保留經(jīng)過(guò)它而傳
31、遞的信息。加密是確保所傳遞信息機(jī)密性的最一般的方法。交易數(shù)據(jù)的完整性要保證來(lái)自客戶或發(fā)給客戶的信息在傳遞過(guò)程中不被做任何修改。如誤碼校驗(yàn)。 加密技術(shù)如密鑰、公鑰和數(shù)字簽名等是確保交易隱私,機(jī)密性,完整性最一般的方法。這些技術(shù)共同的弱點(diǎn)是它們都取決于系統(tǒng)端點(diǎn)的安全。確保密鑰在系統(tǒng)終端不被修改和濫用。下面討論一下c/s系統(tǒng)模型的弱點(diǎn)。 以前的黑客攻擊大多數(shù)是直接對(duì)服務(wù)器系統(tǒng)實(shí)施的,但是隨著系統(tǒng)管理員能力和經(jīng)驗(yàn)的提高,使黑客直接入侵服務(wù)器的難度越來(lái)越大,他們就把攻擊的目標(biāo)轉(zhuǎn)向與服務(wù)器進(jìn)行信息交換的網(wǎng)絡(luò)。他們通過(guò)截獲出入服務(wù)器的信息明文對(duì)服務(wù)器進(jìn)行攻擊、破壞。一些對(duì)付此種攻擊的技術(shù)有信息加密,改變
32、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),包過(guò)濾等技術(shù)。然而,黑客又把攻擊目標(biāo)轉(zhuǎn)向客戶端。客戶端是網(wǎng)絡(luò)安全構(gòu)架的薄弱點(diǎn)??匆幌驴蛻舳瞬僮飨到y(tǒng)的構(gòu)架,我們注意到:用在服務(wù)器端的操作系統(tǒng)也可以用在客戶端,如果客戶端用的操作系統(tǒng)與服務(wù)器用的操作系統(tǒng)一樣,那么用在服務(wù)器端的安全防護(hù)措施也可以用在系統(tǒng)的客戶端,但是對(duì)于客戶端操作系統(tǒng)使用Windows 9x的用戶還沒(méi)有可用的有效的防御機(jī)制。因?yàn)檫@些操作系統(tǒng)的設(shè)計(jì)構(gòu)建時(shí)沒(méi)有安全機(jī)制設(shè)計(jì),任何進(jìn)入系統(tǒng)的用戶都可以控制整個(gè)系統(tǒng)。這種架構(gòu)的操作系統(tǒng)容易受到病毒和木馬程序的攻擊[11]. 這種c/S模型的電子商務(wù)系統(tǒng)面臨的兩個(gè)主要威脅是:病毒和木馬程序。病毒的本性只是破壞系統(tǒng)、程序等。木馬
33、程序?qū)⑹歉蟮耐{,它不但會(huì)促使從一個(gè)系統(tǒng)侵入另一個(gè)系統(tǒng),而且還會(huì)破壞數(shù)據(jù)的完整性。 2.3.2來(lái)自病毒的威脅 對(duì)電子商務(wù)系統(tǒng)來(lái)說(shuō),病毒是最引起人們注意的常見(jiàn)的威脅。由于客戶端系統(tǒng)不安全的架構(gòu)(Pc/Mac)才使病毒的侵入屢屢得逞。要破壞一個(gè)系統(tǒng),只要進(jìn)入系統(tǒng)就可以往系統(tǒng)種些代碼和數(shù)據(jù)而不需要另外的特別權(quán)限。在以前的Windows9x和MacOs8.x操作系統(tǒng)中,這樣的問(wèn)題尤其突出。雖然現(xiàn)在Windows NT和Windows 2000仍然受到此類(lèi)攻擊,但是它能限制激活病毒的權(quán)限。非常流行的病毒如:I love you,求職信等則不會(huì)感染Unix系統(tǒng)。病毒要發(fā)作對(duì)系統(tǒng)產(chǎn)生破壞要一定的權(quán)限才
34、行。一般來(lái)說(shuō),多級(jí)別權(quán)限的系統(tǒng)(如Unix,VM S)可以有效的防止病毒破壞整個(gè)系統(tǒng),即使系統(tǒng)感染了病毒,它也僅僅破壞一個(gè)用戶的文件[12]。 電腦病毒的種類(lèi)繁多,但是只要做好病毒的監(jiān)控和安全管理工作,做好重要數(shù)據(jù)信息的備份工作,就能把病毒對(duì)電子商務(wù)系統(tǒng)的危害降低到最小程度。 2.3.3來(lái)自木馬的威脅 有許多黑客工具(如:BACK orifice,net bus)可以遠(yuǎn)程控制、檢查、監(jiān)控目標(biāo)用戶的所有信息。它們能夠使用目標(biāo)設(shè)備(PC)像合法用戶一樣向網(wǎng)絡(luò)發(fā)送信息,因而有很大的欺騙性,往往能夠得逞而不被發(fā)現(xiàn)。有一些商業(yè)性的工具(如:cucme,vncviewer)也具有這種功能。黑客可以從
35、一些網(wǎng)站上免費(fèi)下載這些木馬程序,當(dāng)然它也有好的一面,系統(tǒng)管理員使用這些工具遠(yuǎn)程控制眾多的工作站,因而也成為系統(tǒng)管理員管理眾多工作站的有力工具。它的不利的一方面是一些人把它用于邪惡的目的,如:欺騙,修改數(shù)據(jù),竊聽(tīng)等。 這些工具很容易通過(guò)email被安裝到目標(biāo)用戶的電腦上。攻擊者可以完全控制被攻擊者的電腦系統(tǒng),可以修改和刪除文件,可以移動(dòng)鼠標(biāo),可以運(yùn)行任何程序。這種程序?qū)﹄娮由虅?wù)系統(tǒng)的威脅要比病毒嚴(yán)重的多,與因特網(wǎng)連接的電子商務(wù)系統(tǒng)對(duì)這種攻擊還缺乏有效的防護(hù)措施。電子商務(wù)系統(tǒng)的運(yùn)營(yíng)者要采取策略和措施加強(qiáng)對(duì)客戶端的安全防護(hù)。一些木馬程序可以破壞任何類(lèi)型的加密系統(tǒng),它在數(shù)據(jù)還沒(méi)有被加密以前能夠捕獲要
36、加密的數(shù)據(jù)信息。即使知道了這類(lèi)工具的源代碼,要設(shè)計(jì)能夠檢測(cè)這種攻擊的過(guò)濾工具是也非常困難的。防御這些攻擊的機(jī)制總是被動(dòng)的。 病毒對(duì)電子商務(wù)系統(tǒng)的威脅可以被看作是惡作劇,它僅僅干擾電子商務(wù)系統(tǒng)的運(yùn)作,應(yīng)被歸類(lèi)為阻斷服務(wù)(denial of service)的工具。然而木馬程序和一些具有木馬程序同樣功能的商業(yè)工具則是電子商務(wù)系統(tǒng)最大的威脅。木馬程序能夠使黑客偽裝成合法的客戶因而很難對(duì)付。黑客可以假冒合法客戶發(fā)送商品訂單,而電子商務(wù)系統(tǒng)服務(wù)器并不能區(qū)分它的真假。密碼保護(hù),客戶端一服務(wù)器之間的通信加密,公一私鑰加密機(jī)制都是徒勞地,僅僅是因?yàn)閭鬟f的數(shù)據(jù)信息在被加密以前,木馬程序就能使黑客看到這些信息的
37、明文[13]。 2.4電子商務(wù)系統(tǒng)中的個(gè)人隱私問(wèn)題 隨著電子商務(wù)的應(yīng)用和普及,有些商家在利益驅(qū)使下在網(wǎng)絡(luò)應(yīng)用者不知情或不情愿的情況下采取各種技術(shù)手段取得和利用其信息,侵犯了上網(wǎng)者的隱私權(quán)。網(wǎng)絡(luò)隱私數(shù)據(jù)如何得到安全保障,這是任何國(guó)家發(fā)展電子商務(wù)中都會(huì)遇到的問(wèn)題。對(duì)網(wǎng)絡(luò)隱私權(quán)的有效保護(hù),成為電子商務(wù)順利發(fā)展的重要市場(chǎng)環(huán)境條件。 人類(lèi)的隱私權(quán)是人的基本權(quán)利之一,它是伴隨著人們對(duì)自身的尊嚴(yán)、權(quán)利、價(jià)值的產(chǎn)生而出現(xiàn)的,人們要求在社會(huì)生活中,在人際關(guān)系中,尊重、保護(hù)隱私權(quán)。隱私權(quán)包括個(gè)人和生活不被干擾權(quán)利與個(gè)人資料的支配控制權(quán),具體到網(wǎng)絡(luò)與電子商務(wù)中的隱私權(quán),隱私權(quán)的保護(hù)涉及到對(duì)個(gè)人數(shù)據(jù)(包括企
38、業(yè)的商業(yè)秘密)的收集、傳遞、存儲(chǔ)和加工利用等各個(gè)環(huán)節(jié)的保護(hù)隱私權(quán)利的問(wèn)題。從權(quán)利形態(tài)來(lái)分有隱私不被窺視的權(quán)利、不被侵入的權(quán)利、不被干擾的權(quán)利、不被非法收集利用的權(quán)利;從權(quán)利的內(nèi)容分可以有個(gè)人特質(zhì)的隱私權(quán)(姓名、身份、肖像,聲音等)、個(gè)人資料的隱私權(quán)、個(gè)人行為的隱私權(quán)、通訊內(nèi)容的隱私權(quán)和匿名的隱私權(quán)等。其中,隱私不被窺視、侵入的權(quán)利主要體現(xiàn)在用戶的個(gè)人信箱、網(wǎng)上賬戶、信用記錄的安全保密性上;隱私不被干擾的權(quán)利主要體現(xiàn)在用戶使用信箱、交流信息及從事交易活動(dòng)的安全保密性上;不被非法收集利用的權(quán)利主要體現(xiàn)在用戶的個(gè)人特質(zhì)、個(gè)人資料等不得在非經(jīng)許可的狀態(tài)下被利用上。 無(wú)論用戶是個(gè)人、企業(yè)還是政府,隱私
39、的保護(hù)都是他們最為關(guān)心的問(wèn)題。如果用戶的個(gè)人隱私得不到有效的保護(hù),那么人們將不會(huì)參與任何形式的電子商務(wù)交易[14]。 2.4.1消費(fèi)者的隱私問(wèn)題 關(guān)于消費(fèi)者的隱私問(wèn)題已經(jīng)不是什么新話題了。以前擔(dān)心個(gè)人的數(shù)據(jù)信息被政府部門(mén)非法利用,而現(xiàn)在擔(dān)心的是企業(yè)。由于用戶的擔(dān)心和他們?yōu)楸Wo(hù)自己的隱私而付出的行動(dòng),己經(jīng)有許多有關(guān)保護(hù)個(gè)人隱私信息的法律被制定和實(shí)施。由于人們對(duì)信息技術(shù)了解的越來(lái)越多,使得借助于網(wǎng)絡(luò)來(lái)替代傳統(tǒng)的生活和工作方式的人數(shù)以幾何級(jí)數(shù)增長(zhǎng)。因而也使得用戶的隱私保護(hù)問(wèn)題變得越來(lái)越突出,越來(lái)越復(fù)雜。 美國(guó)聯(lián)邦貿(mào)易委員會(huì)的一項(xiàng)調(diào)查報(bào)告指出,現(xiàn)在獲取信息的主要手段是通過(guò)網(wǎng)絡(luò),無(wú)論是直接地還
40、是間接地。當(dāng)一個(gè)用戶在留言板中留言,在一個(gè)商業(yè)站點(diǎn)注冊(cè),參加一個(gè)網(wǎng)上競(jìng)賽,或是通過(guò)網(wǎng)絡(luò)訂購(gòu)一件商品。用戶的信息就會(huì)被發(fā)送到網(wǎng)絡(luò)上。用戶的個(gè)人信息可能會(huì)不知不覺(jué)地被泄漏。如當(dāng)你瀏覽網(wǎng)站時(shí),許多網(wǎng)站會(huì)使用cookie保留在你的電腦中,通過(guò)它可能直接或間接地獲得你的信息。 用戶希望他們地隱私信息能夠得到保護(hù)。安全專(zhuān)家希望政府能夠介入保護(hù)用戶的隱私。目前在美國(guó)政府提倡個(gè)人隱私的自我控制而不是由政府控制。這也許是目前最好的選擇[14][15]。 2.4.2隱私的保護(hù)及相關(guān)措施 目前還沒(méi)有網(wǎng)絡(luò)隱私保護(hù)的統(tǒng)一的標(biāo)準(zhǔn)和法律方面的保障,因而關(guān)于個(gè)人隱私的保護(hù)問(wèn)題,要從多個(gè)方面綜合考慮,以求得最大的安全
41、效益。因而可以從以下幾個(gè)方面來(lái)著手電子商務(wù)系統(tǒng)的隱私保護(hù)。 1、提高自我保護(hù)意識(shí)和防欺騙能力。無(wú)論是計(jì)算機(jī)網(wǎng)絡(luò)還是以網(wǎng)絡(luò)為平臺(tái)的電子商務(wù)系統(tǒng)及其它信息系統(tǒng)都處在快速的發(fā)展階段,雖然在一些方面取得了較大的發(fā)展,但總的來(lái)說(shuō)還是不完善的特別是軟環(huán)境的發(fā)展遠(yuǎn)遠(yuǎn)落后于技術(shù)的發(fā)展,因而也是不平衡的。對(duì)于個(gè)人隱私信息的保護(hù)問(wèn)題就處在一個(gè)很脆弱的位置,雖然有相關(guān)的一些個(gè)人隱私保護(hù)的法律法規(guī)得到了實(shí)施,但網(wǎng)絡(luò)和以網(wǎng)絡(luò)為平臺(tái)的系統(tǒng)方面隱私的保護(hù)問(wèn)題還沒(méi)有得到可靠保護(hù),因而對(duì)于這些用戶來(lái)說(shuō),加強(qiáng)自我的保護(hù)尤為重要。因而應(yīng)該注意以下方面: (1)對(duì)個(gè)人的資料予以保密,不要隨便透露自己的個(gè)人信息。 (2)了解交易
42、對(duì)象,認(rèn)真閱讀商家的各種交易條款。 (3)不隨意下載或者填寫(xiě)陌生公司傳送的“調(diào)查”文檔。 (4)交易前根據(jù)相關(guān)的法律法規(guī),對(duì)交易中存在的問(wèn)題與商家進(jìn)行協(xié)商,并保存線上交易的各種資料,如線上合同、交易資訊等。 2、加強(qiáng)對(duì)網(wǎng)絡(luò)服務(wù)提供商的監(jiān)督,提高他們?cè)诰W(wǎng)絡(luò)隱私保護(hù)方面的責(zé)任感。網(wǎng)絡(luò)服務(wù)提供商在網(wǎng)絡(luò)和電子商務(wù)等信息系統(tǒng)的隱私保護(hù)方面的責(zé)任有:在用戶開(kāi)始申請(qǐng)網(wǎng)絡(luò)服務(wù)時(shí)要告知用戶網(wǎng)絡(luò)可能給個(gè)人帶來(lái)的危害;告知用戶可以采取的合法的降低風(fēng)險(xiǎn)的方法;采取有效的措施保護(hù)用戶的隱私信息,特別是數(shù)據(jù)的完整性和機(jī)密性,以及服務(wù)設(shè)施和服務(wù)在物理上和邏輯上的安全;告知用戶使用網(wǎng)絡(luò)的相關(guān)權(quán)利;不非法收集和使用用戶的
43、個(gè)人隱私信息。 現(xiàn)在網(wǎng)絡(luò)有許多的免費(fèi)服務(wù),如免費(fèi)郵箱,免費(fèi)軟件下載,免費(fèi)會(huì)員注冊(cè)等等。都需要用戶輸入個(gè)人信息如:姓名,性別,年齡,地址,職業(yè),個(gè)人收入狀況等。這些信息都有可能被服務(wù)商利用或者出賣(mài)。隱私保護(hù)的一個(gè)基本原則是個(gè)人資料信息在本人允許的情況下被使用,無(wú)論服務(wù)商提供的服務(wù)是收費(fèi)的還是免費(fèi)的,除非服務(wù)商有特別說(shuō)明。 3、企業(yè)及電子商務(wù)運(yùn)營(yíng)商對(duì)客戶隱私信息保護(hù)應(yīng)付的責(zé)任。對(duì)于企業(yè)來(lái)說(shuō),保護(hù)自己、用戶及合作伙伴的信息隱私問(wèn)題是企業(yè)管理中的重要部分。人們通常認(rèn)為網(wǎng)絡(luò)隱私保護(hù)主要用的技術(shù)手段,其實(shí)對(duì)于隱私問(wèn)題的保護(hù)是個(gè)管理問(wèn)題。現(xiàn)在出現(xiàn)了一種新的職業(yè)稱(chēng)號(hào)叫做隱私官(Privacy Office
44、r),它的主要任務(wù)處理企業(yè)內(nèi)部和外部的隱私事務(wù),包括提出公司的數(shù)據(jù)保密政策,監(jiān)督公司的業(yè)務(wù)發(fā)展以確保公司開(kāi)發(fā)的新產(chǎn)品保護(hù)用戶的隱私權(quán),以及培訓(xùn)公司員工。 隨著電子商務(wù)的發(fā)展,越來(lái)越多的用戶的私密信息被記錄在計(jì)算機(jī)中。雖然詳盡的統(tǒng)計(jì)細(xì)節(jié)資料可以幫助商家更好地進(jìn)行商品和服務(wù)銷(xiāo)售,但是,商家在使用這類(lèi)信息是要征得用戶的同意。然而,當(dāng)企業(yè)的信息安全與個(gè)人的隱私之間出現(xiàn)矛盾時(shí),個(gè)人的隱私往往受到侵害。比如公司為保障其企業(yè)數(shù)據(jù)的安全而對(duì)公司員工的行為進(jìn)行監(jiān)視等。無(wú)論對(duì)于企業(yè)本身隱私信息的保護(hù)還是客戶個(gè)人隱私的保護(hù),對(duì)于企業(yè)來(lái)說(shuō)都是同樣重要的,因而企業(yè)在保護(hù)企業(yè)自身的同時(shí)也要加強(qiáng)對(duì)員工、客戶隱私的保護(hù)。
45、 對(duì)于電子商務(wù)運(yùn)營(yíng)商來(lái)說(shuō)用戶隱私的保護(hù)占有更重要的位置。電子商務(wù)系統(tǒng)的客戶關(guān)系管理中對(duì)于客戶隱私的保護(hù)問(wèn)題尤其突出。商家通過(guò)收集客戶的個(gè)人信息,對(duì)信息進(jìn)行分析,使得商家能夠向客戶提供他們所關(guān)注的產(chǎn)品及其他方面的信息,在多種產(chǎn)品的基礎(chǔ)上制定服務(wù)決策并且依靠大量可靠的信息來(lái)提供更有效、更精確的服務(wù)。但是客戶的個(gè)人信息往往被泄漏或出賣(mài),大量的垃圾郵件充滿客戶的郵箱和其他的無(wú)端的騷擾。因而對(duì)于商家來(lái)說(shuō),在合法利用客戶的信息的同時(shí),應(yīng)該加強(qiáng)客戶個(gè)人隱私信息的保護(hù)。無(wú)論對(duì)于商家的發(fā)展還是客戶來(lái)說(shuō)都是應(yīng)該做到的。 4、加強(qiáng)隱私權(quán)的法律保護(hù)和國(guó)際協(xié)調(diào)。目前電子商務(wù)技術(shù)處在高速發(fā)展階段,電子商務(wù)的相關(guān)法律法規(guī)
46、則嚴(yán)重滯后于技術(shù)的發(fā)展。對(duì)電子商務(wù)的法律管理,不是簡(jiǎn)單的法律調(diào)整代替技術(shù)調(diào)整,而是將電子商務(wù)的技術(shù)調(diào)整納入整個(gè)調(diào)整體系內(nèi),電子商務(wù)的立法不但要考慮技術(shù)要求還應(yīng)考慮現(xiàn)實(shí)的可行性,要有前瞻性。 網(wǎng)絡(luò)隱私的保護(hù)要堅(jiān)持力求平衡的原則,既要保護(hù)個(gè)人隱私信息不受侵犯,又要保證信息能夠自由通行發(fā)揮其經(jīng)濟(jì)價(jià)值。以電子商務(wù)為代表的網(wǎng)絡(luò)經(jīng)濟(jì)就全球而言,還處在從幼年到成熟發(fā)展的探索期,這是一個(gè)相對(duì)理性的調(diào)整期,正處在電子商務(wù)立法的謹(jǐn)慎開(kāi)展階段。隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展相關(guān)法律需要不斷的完善,以滿足發(fā)展中的遇到的新的問(wèn)題的需求。目前人們隱權(quán)的法律意識(shí)還需要加強(qiáng)。保護(hù)隱私權(quán)是我國(guó)法律長(zhǎng)期忽視的盲區(qū);保障信息自由流通是社會(huì)發(fā)
47、展的新要求,兩者都是我國(guó)法治建設(shè)的薄弱環(huán)節(jié),因而都需要加強(qiáng)。 為了解決網(wǎng)絡(luò)隱私的保護(hù)問(wèn)題,一些國(guó)家和地區(qū)開(kāi)始了這方面的立法工作。美國(guó)是互聯(lián)網(wǎng)技術(shù)和電子商務(wù)發(fā)展發(fā)達(dá)的國(guó)家之一,在法律上也比較重視個(gè)人隱私的保護(hù)。1974年通過(guò)的《聯(lián)邦隱私法案》,主要從行政的角度,對(duì)政府應(yīng)當(dāng)如何搜集資料、資料如何保管、資料的開(kāi)放程度等都做了系統(tǒng)的規(guī)定。在商業(yè)領(lǐng)域,商家非常強(qiáng)調(diào)行業(yè)自律,盡可能的避免政府介入。美國(guó)聯(lián)邦貿(mào)易委員會(huì)也提出了四條信息公平操作的原則: (1)知情權(quán),即清楚明白地告知用戶收集了哪些信息,這些信息的用途是什么: (2)選擇權(quán),即讓消費(fèi)者擁有對(duì)個(gè)人資料使用用途的選擇權(quán); (3)合理的訪問(wèn)權(quán)限
48、,即消費(fèi)者應(yīng)該能夠通過(guò)合理的途徑訪問(wèn)個(gè)人資料并修改錯(cuò)誤信息或刪除數(shù)據(jù); (4)足夠的安全性,即網(wǎng)絡(luò)公司應(yīng)該保證用戶信息的安全性,阻止未被授權(quán)的非法訪問(wèn)。 歐洲也是互聯(lián)網(wǎng)技術(shù)和電子商務(wù)發(fā)達(dá)的地區(qū)。但是歐洲與美國(guó)雙方在如何確保消費(fèi)者在隱私權(quán)被侵犯時(shí),如何解決糾紛的問(wèn)題上存在著一些分歧。美國(guó)強(qiáng)調(diào)業(yè)界自律的方法,歐洲強(qiáng)調(diào)用法律來(lái)協(xié)調(diào)。但是由于互聯(lián)網(wǎng)本身沒(méi)有國(guó)界,因此有關(guān)網(wǎng)絡(luò)各種規(guī)范的法律在管轄權(quán)、國(guó)際司法協(xié)作等方面必然遇到國(guó)際協(xié)調(diào)問(wèn)題。美國(guó)和歐盟在隱私權(quán)保護(hù)上的分歧,己危及到美國(guó)企業(yè)是否能夠進(jìn)入歐盟電子商務(wù)領(lǐng)域活動(dòng)的問(wèn)題。從歐盟與美國(guó)關(guān)于網(wǎng)絡(luò)與電子商務(wù)中隱私權(quán)的矛盾可以看出,保護(hù)網(wǎng)絡(luò)與電子商務(wù)中的
49、隱私權(quán)需要國(guó)際協(xié)調(diào),即一方面需要讓我國(guó)的法律給我國(guó)用戶及外國(guó)用戶以完善的隱私權(quán)保護(hù),另一方面,我們也需要其它國(guó)家的法律與機(jī)構(gòu)來(lái)保護(hù)我國(guó)用戶的隱私權(quán)。因此,我們一方面盡快完善我國(guó)的隱私權(quán)保護(hù)體系,一方面與一些相應(yīng)國(guó)家進(jìn)行協(xié)調(diào),提出我們認(rèn)可的對(duì)我國(guó)用戶網(wǎng)上隱私權(quán)保護(hù)的要求與標(biāo)準(zhǔn),為我國(guó)的網(wǎng)絡(luò)經(jīng)濟(jì)及電子商務(wù)的發(fā)展創(chuàng)造良好的法律環(huán)境。 第三章電子商務(wù)系統(tǒng)的安全技術(shù)機(jī)制 3.1加密技術(shù) 為保證數(shù)據(jù)和交易的安全、防止欺騙,確認(rèn)交易雙方的真實(shí)身份,電子商務(wù)必須采用加密技術(shù),加密技術(shù)是指通過(guò)使用代碼或密碼來(lái)保障數(shù)據(jù)的安全性。欲加密的數(shù)據(jù)稱(chēng)為明文,明文經(jīng)過(guò)某種加密算法作用后,轉(zhuǎn)換成密文,我們將明文轉(zhuǎn)換
50、為密文的這一過(guò)程稱(chēng)為加密,將密文經(jīng)解密算法作用后形成明文輸出的這一過(guò)程稱(chēng)為解密。加密算法中使用的參數(shù)稱(chēng)為密鑰。密鑰長(zhǎng)度越長(zhǎng),密鑰的空間就越大,遍歷密鑰空問(wèn)所花的時(shí)間就越多,破譯的可能性就越小。以密鑰為標(biāo)準(zhǔn),可將密鑰系統(tǒng)分為對(duì)稱(chēng)密鑰系統(tǒng)和非對(duì)稱(chēng)密鑰系統(tǒng)。 3.1.1密碼學(xué)概述 一般的數(shù)據(jù)加密模型如圖3—1所示,它是采用數(shù)學(xué)方法對(duì)原始信息(明文)進(jìn)行再組織,使得加密后在網(wǎng)絡(luò)上公開(kāi)傳輸?shù)膬?nèi)容對(duì)于非法者來(lái)說(shuō)成為無(wú)意義的文字(密文),而對(duì)于合法的接收者,因?yàn)檎莆照_的密鑰,可以通過(guò)解密過(guò)程得到原始數(shù)據(jù)。 密碼學(xué)分為兩類(lèi),密碼編碼學(xué)和密碼分析學(xué)。密碼編碼學(xué)研究設(shè)計(jì)出安全的密碼體制,防止被破譯
51、;密碼分析學(xué)研究如何破譯密文。密碼學(xué)就是在破譯和破譯的過(guò)程中發(fā)展起來(lái)的。加密包含兩個(gè)元素:加密算法和密鑰。加密算法是用數(shù)學(xué)計(jì)算方法與一串?dāng)?shù)字(密鑰)對(duì)普通的文本(信息)進(jìn)行編碼,產(chǎn)生不可理解的密文的一系列步驟。密鑰是用來(lái)對(duì)文本進(jìn)行編碼和解碼的數(shù)字。將這些文字(明文)轉(zhuǎn)成密文的程序稱(chēng)作加密程序。發(fā)送方將消息在發(fā)送到公共網(wǎng)絡(luò)或互聯(lián)網(wǎng)之前進(jìn)行加密。接收方收到消息后對(duì)其解碼(或稱(chēng)為解密),所用的程序稱(chēng)為解密程序,這是加密的逆過(guò)程。加密的一個(gè)重要特征是,即使有人知道加密的方法,如果沒(méi)有消息加密所用的密鑰也無(wú)法解開(kāi)加密的消息。加密消息的保密性取決于加密所用密鑰的長(zhǎng)度,40位的密鑰是最低要求,更長(zhǎng)的(如12
52、8位)密鑰能 提供更高的加密保障。如果密鑰足夠長(zhǎng)的話,則信息是無(wú)法解密的[7][16]。 3.1.2對(duì)稱(chēng)密鑰系統(tǒng) 對(duì)稱(chēng)密鑰系統(tǒng),又稱(chēng)單鑰密鑰系統(tǒng)或私鑰密鑰系統(tǒng)。對(duì)稱(chēng)密鑰系統(tǒng)是指在對(duì)信息的加密和解密過(guò)程中使用相同的密鑰。也就是說(shuō),一把鑰匙開(kāi)一把鎖,專(zhuān)用密鑰就是將加密密鑰和解密密鑰作為一把密鑰。對(duì)稱(chēng)加密、解密的過(guò)程如圖3-2所示。 對(duì)稱(chēng)密鑰系統(tǒng)的安全性依賴(lài)于以下兩個(gè)因素。第一,加密算法必須是足夠強(qiáng)的,僅僅基于密文本身去解密信息在實(shí)踐上是不可能的;第二,加密方法的安全性依賴(lài)于密鑰的秘密性,而不是算法的秘密性。密碼學(xué)的一個(gè)原則是“一切秘密寓于密鑰之中”,算法可以公開(kāi),因此,我們沒(méi)有必要確保算
53、法的秘密性,而需要保證密鑰的秘密性。對(duì)稱(chēng)密鑰系統(tǒng)的這些特點(diǎn)使其有著廣泛的應(yīng)用。 對(duì)稱(chēng)加密算法的優(yōu)點(diǎn)是加密和解密都比較快,從AES候選算法的測(cè)試結(jié)果看,軟件實(shí)現(xiàn)的速度都達(dá)到了每秒數(shù)兆或數(shù)十兆比特。因?yàn)樗惴ú恍枰C埽灾圃焐炭梢蚤_(kāi)發(fā)出低成本的芯片以實(shí)現(xiàn)數(shù)據(jù)加密。這些芯片有著廣泛的應(yīng)用,適合于大規(guī)模生產(chǎn)。 對(duì)稱(chēng)加密算法的缺點(diǎn)是密鑰難于共享,需要的密鑰太多,對(duì)稱(chēng)加密系統(tǒng)最大的問(wèn)題是密鑰的分發(fā)和管理非常復(fù)雜、代價(jià)高昂。比如對(duì)于具有n個(gè)用戶的網(wǎng)絡(luò),需要n(n一1)/2個(gè)密鑰,在用戶群不是很大的情況下,對(duì)稱(chēng)加密系統(tǒng)是有效的。假如10個(gè)用戶互相通信則需要45個(gè)不同的密鑰,100個(gè)用戶則需要4950個(gè)不
54、同的密鑰。顯然這是無(wú)法忍受的。對(duì)于大型網(wǎng)絡(luò),當(dāng)用戶群很大,分布很廣時(shí),密鑰的分配和保存就成了大問(wèn)題。另一方面的問(wèn)題是如何將密鑰傳給要保密的用戶。對(duì)稱(chēng)加密是基于共同保守秘密來(lái)實(shí)現(xiàn)的。采用對(duì)稱(chēng)加密技術(shù)的貿(mào)易雙方必須保證采用的是相同的密鑰,保證彼此密鑰的交換是安全可靠的,同時(shí)還要設(shè)定防止密鑰泄露或更改密鑰的程序。這樣,對(duì)稱(chēng)密鑰的管理和分發(fā)工作演變成一件具有潛在 危險(xiǎn)的、繁瑣的過(guò)程。對(duì)稱(chēng)加密算法另一個(gè)缺點(diǎn)是不能實(shí)現(xiàn)數(shù)字簽名[17][18]。 3.1.3非對(duì)稱(chēng)密鑰系統(tǒng) 針對(duì)對(duì)稱(chēng)密鑰系統(tǒng)的缺點(diǎn),在1976年提出了非對(duì)稱(chēng)密鑰加密法,又稱(chēng)雙鑰密鑰系統(tǒng)或公鑰密鑰系統(tǒng)。非對(duì)稱(chēng)密鑰加密法是指在對(duì)信息的加密和解
55、密過(guò)程中使用不同的密鑰。每個(gè)用戶保留兩個(gè)不同的密鑰:一個(gè)是公鑰PK,一個(gè)是私鑰IK,如果甲要給乙發(fā)送一個(gè)明文,甲用乙的公鑰將明文加密成密文后發(fā)出,乙收到甲發(fā)送的密文后用乙的私鑰將其解密,別人即使中途截取了密文也無(wú)法解密。非對(duì)稱(chēng)加密、解密過(guò)程如圖3-3所示。 自從1976年公鑰密碼的思想提出以來(lái),國(guó)際上已經(jīng)提出了許多種非對(duì)稱(chēng)密鑰系統(tǒng),但比較流行的主要有兩類(lèi):一類(lèi)是基于大整數(shù)因子分解問(wèn)題的,其中最典型的代表是RSA;另一類(lèi)是基于離散對(duì)數(shù)問(wèn)題的,比如EIGamal公鑰密碼和影響比較大的橢圓曲線公鑰密碼。由于分解大整數(shù)的能力日益增強(qiáng),所以對(duì)RSA的安全帶來(lái)了一定的威脅。目前768比特模長(zhǎng)的RSA
56、已不安全。一般建議使用i024比特模長(zhǎng),預(yù)計(jì)要保證20年的安全就要選擇1280比特的模長(zhǎng),增大模長(zhǎng)帶來(lái)了實(shí)現(xiàn)上的難度。而基于離散對(duì)數(shù)問(wèn)題的公鑰密碼在目前技術(shù)下512比特模長(zhǎng)就能夠保證其安全性。特別是橢圓曲線上的離散對(duì)數(shù)的計(jì)算要比有限域上的離散對(duì)數(shù)的計(jì)算更困難,目前技術(shù)下只需要160比特模長(zhǎng)即可,適合于智能卡的實(shí)現(xiàn),因而受到國(guó)內(nèi)外學(xué)者的廣泛關(guān)注。國(guó)際上制定了橢圓曲線公鑰密碼標(biāo)準(zhǔn)IEEEPl363,RSA等一些公司聲稱(chēng)他們已開(kāi)發(fā)出了符合該標(biāo)準(zhǔn)的橢圓曲線公鑰密碼。我國(guó)學(xué)者也提出了一些公鑰密碼,另外在公鑰密碼的快速實(shí)現(xiàn)方面也做了一定的工作,比如在RSA的快速實(shí)現(xiàn)和橢圓曲線公鑰密碼的快速實(shí)現(xiàn)方面都有所突
57、破。公鑰密碼的快速實(shí)現(xiàn)是當(dāng)前公鑰密碼研究中的一個(gè)熱點(diǎn),包括算法優(yōu)化和程序優(yōu)化。另一個(gè)人們所關(guān)注的問(wèn)題是橢圓曲線公鑰密碼的安全性論證問(wèn)題[19]。 非對(duì)稱(chēng)加密法的優(yōu)點(diǎn)是:密鑰較少、靈活、易實(shí)現(xiàn)。在一個(gè)有n個(gè)貿(mào)易方參與的系統(tǒng)內(nèi),采用非對(duì)稱(chēng)密鑰加密法密鑰總數(shù)需要求2n個(gè),采用對(duì)稱(chēng)密鑰加密法密鑰總數(shù)則需要n(n-1)/2個(gè)。缺點(diǎn)是要得到較好的加密效果,必須使用較長(zhǎng)的密鑰,從而加重系統(tǒng)負(fù)擔(dān)和減緩系統(tǒng)吞吐速度。因此,非對(duì)稱(chēng)密鑰加密法不適宜于對(duì)數(shù)據(jù)量較大的報(bào)文進(jìn)行加密。非對(duì)稱(chēng)密鑰系統(tǒng)主要用于數(shù)字簽名和密鑰分配。 3.2認(rèn)證技術(shù) 在電子商務(wù)中,由于參與的各方往往是素未謀面的,身份認(rèn)證成了必須解決的問(wèn)題。
58、即在電子商務(wù)中,必須解決不可抵賴(lài)性問(wèn)題。交易抵賴(lài)包括多個(gè)方面,如發(fā)言者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息或內(nèi)容,收信者事后否認(rèn)曾經(jīng)收到過(guò)某條消息或內(nèi)容,購(gòu)買(mǎi)者做了定貨單不承認(rèn),商家賣(mài)出的商品因價(jià)格差而不承認(rèn)原有的交易等。電子商務(wù)關(guān)系到貿(mào)易雙發(fā)的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方正是所期望的貿(mào)易伙伴這一問(wèn)題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。 3.2.1身份認(rèn)證 身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程。計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)組成了一個(gè)虛擬的數(shù)字世界。在數(shù)字世界中,一切信息包括用戶的身份信息都是由一組特定的數(shù)據(jù)表示,計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份,給用戶的授權(quán)也是針對(duì)用戶數(shù)字身份進(jìn)行的。而我們的生活
59、從現(xiàn)實(shí)世界到一個(gè)真實(shí)的物理世界,每個(gè)人都擁有獨(dú)一無(wú)二的物理身份。如何保證以數(shù)字身份進(jìn)行操作的訪問(wèn)者就是這個(gè)數(shù)字身份的合法擁有者,即如何保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng),就成為一個(gè)重要的安全問(wèn)題。身份認(rèn)證技術(shù)的誕生就是為了解決這個(gè)問(wèn)題[7][20]。 從是否使用硬件,身份認(rèn)證技術(shù)可以分為軟件認(rèn)證和硬件認(rèn)證。從認(rèn)證需要驗(yàn)證的條件來(lái)看,身份認(rèn)證技術(shù)還可以分為單因子認(rèn)證和雙因子認(rèn)證。僅通過(guò)一個(gè)條件來(lái)驗(yàn)證一個(gè)人的身份的技術(shù)稱(chēng)為單因子認(rèn)證。密碼認(rèn)證、指紋認(rèn)證就是單因子認(rèn)證。由于只使用一種條件判斷用戶的身份,單因子認(rèn)證相對(duì)容易被仿冒。雙因子認(rèn)證通過(guò)組合兩種不同條件來(lái)證明一個(gè)人的身份,比如通過(guò)密碼和芯片
60、組合,用戶可以通過(guò)Ic記錄驗(yàn)證身份信息,成功以后才通過(guò)服務(wù)器驗(yàn)證密碼。雙因子認(rèn)證的安全性有了明顯提高[20]。 1、密碼方式 密碼方式是最簡(jiǎn)單也是最常用的身份認(rèn)證方法,是基于“what you know”的驗(yàn)證手段。每個(gè)用戶的密碼是由用戶自己設(shè)定的,只有用戶自己才知道。只要能夠正確輸入密碼,計(jì)算機(jī)就認(rèn)為操作者就是合法用戶。由于密碼是靜態(tài)的數(shù)據(jù),在驗(yàn)證過(guò)程中需要在計(jì)算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸,而每次驗(yàn)證使用的驗(yàn)證信息都是相同的,很容易被駐留在計(jì)算機(jī)內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽(tīng)設(shè)備截獲。因此密碼方式是一種不安全的身份認(rèn)證方式。 密碼方式簡(jiǎn)單易用,容易操作,所以仍然是一個(gè)非常流行的身份認(rèn)證方式。
61、但因?yàn)槊艽a方式的安全性不高,所以在使用過(guò)程中必須勤換密碼,以保證密碼的安全。 2、生物學(xué)特征 生物特征認(rèn)證是指采用每個(gè)人獨(dú)一無(wú)二的生物特征來(lái)驗(yàn)證用戶身份的技術(shù)。常見(jiàn)的有指紋識(shí)別、虹膜識(shí)別等。從理論上說(shuō),生物特征認(rèn)證是最可靠的身份認(rèn)證方式,因?yàn)樗苯邮褂萌说奈锢硖卣鱽?lái)表示每個(gè)人的數(shù)字身份,不同的人具有不同的生物特征,因此幾乎不可能被仿冒。 生物特征認(rèn)證基于生物特征識(shí)別技術(shù),受到該技術(shù)成熟度的影響,采用生物特征的認(rèn)證技術(shù)具有較大的局限性。首先,生物特征識(shí)別的準(zhǔn)確性和穩(wěn)定性還有待提高,特別是如果用戶身份受到傷病的影響,往往導(dǎo)致無(wú)法正常識(shí)別,造成合法用戶無(wú)法登錄系統(tǒng)。其次,由于研發(fā)投入較大和產(chǎn)量
62、較小等原因,生物特征認(rèn)證系統(tǒng)的成本非常高,目前只適合于一些安全性要求非常高的場(chǎng)合,如銀行、部隊(duì)等使用,目前還無(wú)法做到大面積推廣。 3、動(dòng)態(tài)口令 動(dòng)態(tài)口令技術(shù)是一種讓用戶密碼按照時(shí)間或使用次數(shù)不斷變化、每個(gè)密碼只能使用一次的技術(shù)。用戶使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計(jì)算機(jī),即可實(shí)現(xiàn)身份認(rèn)證。由于每次使用的密碼必須由動(dòng)態(tài)令牌來(lái)產(chǎn)生,只有合法用戶才持有該硬件,所以只要通過(guò)密碼驗(yàn)證就可以認(rèn)為該用戶的身份是可靠的。而用戶每次使用的密碼都不同,即使黑客截獲了一次密碼,也無(wú)法利用這個(gè)密碼來(lái)仿冒合法用戶的身份。 動(dòng)態(tài)口令技術(shù)采用一次一密的方法,有效保證了用戶身份的安全性。但如罘客戶端與服
63、務(wù)器端的時(shí)間或次數(shù)不能保持良好的同步,就可能發(fā)生合法用戶無(wú)法登錄的問(wèn)題。并且用戶每次登錄時(shí)需要通過(guò)鍵盤(pán)輸入一長(zhǎng)串無(wú)規(guī)律的密碼,一旦輸錯(cuò)就要重新操作,使用起來(lái)非常不方便。 4、USB Key認(rèn)證 基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好的解決了安全性與易用性之間的矛盾。IASB Key是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶的密鑰或數(shù)字證書(shū),利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。基于USB Key身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式:一是基于沖擊一響應(yīng)的認(rèn)證模式,二
64、是基于PKI體系的認(rèn)證模式。 3.2.2數(shù)字簽名 在傳統(tǒng)的交易中,我們是用書(shū)面簽名來(lái)確定身份的。在書(shū)面文件上簽名的作用有兩點(diǎn),一是確定為自己所簽署難以否認(rèn);二是因?yàn)楹灻灰追旅?,從而判斷文件是否為非偽造簽署文件。隨著電子商務(wù)的應(yīng)用,人們希望通過(guò)數(shù)字通信網(wǎng)絡(luò)迅速傳遞貿(mào)易合同,這就出現(xiàn)了合同真實(shí)性認(rèn)證的問(wèn)題,數(shù)字簽名就應(yīng)運(yùn)而生了。 1、數(shù)字簽名的含義 聯(lián)合國(guó)貿(mào)發(fā)會(huì)的《電子簽名示范法》中對(duì)電子簽名作如下定義:“指在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù),它可用于鑒別與數(shù)據(jù)電文相關(guān)的簽名人和表明簽名人認(rèn)可數(shù)據(jù)電文所含信息”。在IS07489-2標(biāo)準(zhǔn)中定義為:“附加在
65、數(shù)據(jù)單元上的一些數(shù)據(jù),或是對(duì)數(shù)據(jù)單元所作的密碼變換,這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來(lái)源和數(shù)據(jù)單元的完整性,并保護(hù)數(shù)據(jù),防止被人(例如接收者)進(jìn)行偽造?!? 數(shù)字簽名用來(lái)保證信息傳輸過(guò)程中信息的完整和提供信息發(fā)送者的身份認(rèn)證。在電子商務(wù)中安全、方便的實(shí)現(xiàn)在線支付。同時(shí),對(duì)于數(shù)據(jù)傳輸?shù)陌踩?、完整性、身份?yàn)證機(jī)制以及交易的不可抵賴(lài)性問(wèn)題通過(guò)安全性認(rèn)證手段加以解決。數(shù)字簽名進(jìn)一步方便企業(yè)和消費(fèi)者在網(wǎng)上做生意,使企業(yè)和消費(fèi)者雙發(fā)獲利。數(shù)字簽名是目前電子商務(wù),電子政務(wù)中應(yīng)用最普遍、技術(shù)最成熟的、可靠性最強(qiáng)的一種電子簽名方法[22][23]。 2、數(shù)據(jù)簽名的過(guò)程 目前基于非對(duì)稱(chēng)加密
66、算法的數(shù)字簽名過(guò)程如下: (1)被發(fā)送文件散列算法加密產(chǎn)生信息摘要; (2)發(fā)送方用自己的私有密鑰對(duì)摘要再加密,這就形成了數(shù)字簽名; (3)將原文和加密的摘要同時(shí)傳給對(duì)方; (4)對(duì)方用發(fā)送方的公共密鑰對(duì)摘要解密,同時(shí)對(duì)收到的文件用散列算法加密產(chǎn)生又一摘要; (5)將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要進(jìn)行對(duì)比,如兩者一致,則說(shuō)明傳送過(guò)程中信息沒(méi)有被破壞或篡改過(guò),否則不然。 從數(shù)字簽名的過(guò)程可以看出,簽名是建立在私有密鑰與簽名者唯一對(duì)應(yīng)的基礎(chǔ)上的,在驗(yàn)證過(guò)程中,是用與該私有密鑰對(duì)應(yīng)的公開(kāi)密鑰來(lái)驗(yàn)證的。所以,數(shù)字簽名必須通過(guò)一家可信賴(lài)的認(rèn)證中心(cA)頒發(fā)簽名的數(shù)字證書(shū)(根證書(shū))、私鑰,從而確保簽名的有效性。 3.2.3數(shù)字信封與數(shù)字時(shí)間戳 1、數(shù)字信封 數(shù)字信封是用加密技術(shù)來(lái)保證只有特定的收信人才能閱讀信的內(nèi)容。在數(shù)字信封中,信息發(fā)送方采用對(duì)稱(chēng)密鑰來(lái)加密信息,為了能安全的傳輸對(duì)稱(chēng)密鑰,將對(duì)稱(chēng)密鑰使用接收方的公開(kāi)密鑰來(lái)加密(這部分稱(chēng)為數(shù)字信封)之后,將它和對(duì)稱(chēng)加密信息一起發(fā)送給接收方,接收方先用相應(yīng)的私有密鑰打開(kāi)數(shù)字信封,得到對(duì)稱(chēng)密鑰,然后使用對(duì)稱(chēng)密鑰
- 溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 采購(gòu)管理4
- 手術(shù)室的安全管理教材
- 圖表文轉(zhuǎn)換之徽標(biāo)..課件
- 3.2.1古典概型
- 廣泛的民主權(quán)利 (3)
- 3.3公式法(1)
- 哲學(xué)家和船夫的故事
- 古詩(shī)十九首-行行重行行
- 第8章 財(cái)務(wù)報(bào)表
- 戰(zhàn)略性績(jī)效管理篇_方振邦
- 銅梁總規(guī)分析課件
- 1.2有理數(shù) (3)
- 第二章市場(chǎng)經(jīng)濟(jì)體制-第一章政治經(jīng)濟(jì)學(xué)研究對(duì)象與經(jīng)濟(jì)制度
- 彌漫大B細(xì)胞淋巴瘤一線治療新標(biāo)準(zhǔn)課件
- 對(duì)公信貸政策知識(shí)培訓(xùn)