網(wǎng)絡(luò)交易安全匯總十篇
時間:2024-03-29 11:41:54
序論:好文章的創(chuàng)作是一個不斷探索和完善的過程,我們?yōu)槟扑]十篇網(wǎng)絡(luò)交易安全范例,希望它們能助您一臂之力,提升您的閱讀品質(zhì),帶來更深刻的閱讀感受。
篇(1)
[論文摘要]隨著電子商務(wù)的蓬勃發(fā)展,網(wǎng)絡(luò)交易安全日益受到人們的廣泛關(guān)注。以網(wǎng)絡(luò)交易安全為研究對象,分析網(wǎng)絡(luò)交易存在的漏洞和隱患,并提出相應(yīng)的解決方案。希望能夠?qū)﹄娮由虅?wù)和網(wǎng)絡(luò)交易安全相關(guān)領(lǐng)域的研究起到借鑒和幫助作用。
一、引言
當今社會已經(jīng)進入到信息化時代,隨著我國市場經(jīng)濟和電子商務(wù)的迅速發(fā)展,網(wǎng)絡(luò)交易已經(jīng)滲透到金融、證券、物流市場等各個領(lǐng)域。網(wǎng)絡(luò)交易安全作為人們進行網(wǎng)上購物和網(wǎng)上支付的關(guān)鍵環(huán)節(jié),直接影響到電子商務(wù)和相關(guān)產(chǎn)業(yè)的發(fā)展。因此,及時分析網(wǎng)絡(luò)交易中存在的漏洞和隱患并進行安全防范就變得尤為重要。
二、網(wǎng)絡(luò)交易存在的漏洞和隱患
(一)人為因素隱患。隨著互聯(lián)網(wǎng)的迅速發(fā)展普及,我國的網(wǎng)民人數(shù)已經(jīng)躍居世界第一位,互聯(lián)網(wǎng)已經(jīng)逐步滲透到人們工作、生活的方方面面。然而,互聯(lián)網(wǎng)就象一把雙刃劍,在方便消費者的同時,也帶來很多安全隱患。部分網(wǎng)民尤其是廣大青少年,由于相關(guān)專業(yè)知識缺乏,社會經(jīng)驗不足,疏于防范,網(wǎng)上購物被騙時有發(fā)生,致使個人蒙受了經(jīng)濟和精神損失。部分網(wǎng)民法律和安全意識比較淡薄,在網(wǎng)上購物受騙之后,也沒有及時報警,致使某些非法網(wǎng)站有恃無恐,一直長期存在。網(wǎng)民個人相關(guān)知識的缺乏、法律和安全意識不強是網(wǎng)絡(luò)交易存在安全隱患的一個重要因素。
(二)技術(shù)隱患。計算機病毒,各種木馬程序,通過互聯(lián)網(wǎng)或者系統(tǒng)漏洞進入用戶的計算機系統(tǒng)并泄露用戶信息。各種釣魚網(wǎng)站和密碼破解軟件給網(wǎng)民使用的網(wǎng)上銀行帳號帶來隱患。一些不法分子利用自身掌握的計算機知識創(chuàng)建虛假電子商務(wù)網(wǎng)站對消費者實施欺詐。尤其是很多不法網(wǎng)站使用服務(wù)器進行網(wǎng)站管理,不斷改變其服務(wù)器IP地址,這些都給網(wǎng)絡(luò)交易安全帶來技術(shù)上的隱患。
(三)不法網(wǎng)站帶來的隱患。在各種電子商務(wù)網(wǎng)站中,不法網(wǎng)站也隱匿其中,有的甚至大行其道,而且形式多樣。有的網(wǎng)絡(luò)店鋪沒有進行備案,只是購買了域名地址,存在無照經(jīng)營行為;有的網(wǎng)絡(luò)店鋪雖然進行了備案,但從事超越其營業(yè)范圍的經(jīng)營活動;有的網(wǎng)絡(luò)店鋪存在網(wǎng)絡(luò)虛假廣告。一些不法網(wǎng)站往往以低價吸引消費者。由于網(wǎng)絡(luò)交易存在一定的虛擬性,買家很難通過其網(wǎng)頁的外觀或域名地址判斷網(wǎng)站的真實性,從而給進行網(wǎng)上交易特別是買家?guī)戆踩[患。
(四)制度漏洞帶來的隱患。當前,由于大多數(shù)網(wǎng)絡(luò)店鋪門檻低、投資小,立法不健全,給了一些不法分子騙取不義之財?shù)臋C會。在網(wǎng)絡(luò)監(jiān)管方面,存在一些采用不真實的材料進行備案或沒有進行備案的非法網(wǎng)站。金融方面,雖然我國在辦理和使用銀行帳戶時采用了實名制,但在實施過程中存在漏洞。很多不法分子就利用法律和制度漏洞來辦理網(wǎng)絡(luò)店鋪、銀行帳號、聯(lián)系方式實施詐騙活動。由于該類不法網(wǎng)站地址、銀行帳號和聯(lián)系方式的不可靠性,工商部門在處理相關(guān)糾紛時,很難確定賣家主體。銀行部門也無法及時對此類店鋪銀行帳號進行凍結(jié)。網(wǎng)絡(luò)監(jiān)管部門接到買家投訴時,往往采取封掉不法網(wǎng)站的IP和域名地址。而部分不法網(wǎng)站經(jīng)營者往往使用服務(wù),或通過很小代價又重新獲得新IP地址和域名地址,將網(wǎng)站頁面和部分內(nèi)容進行更換,繼續(xù)欺騙消費者。我國公安機關(guān)受地域管轄權(quán)的限制,而網(wǎng)絡(luò)交易存在虛擬性和地域的不確定性,及時破獲此類案件也比較困難。因此,相關(guān)法律和監(jiān)管制度的缺陷,不能從根本上杜絕此類網(wǎng)絡(luò)交易給買家?guī)淼陌踩[患和損失。
三、網(wǎng)絡(luò)交易安全相關(guān)防范措施
(一)加強安全教育與宣傳,提高網(wǎng)民安全防范意識。由于電子商務(wù)的迅猛發(fā)展,國家相關(guān)部門應(yīng)加強網(wǎng)絡(luò)交易方面的安全教育和宣傳,網(wǎng)民也應(yīng)該提高自身安全防范意識。在網(wǎng)上購物時,應(yīng)盡量選擇一些信譽比較好,專業(yè)性的電子商務(wù)網(wǎng)站,以免上當被騙。購買物品之前,要對商家的信譽進行仔細辨別。包括商家經(jīng)營地址、聯(lián)系方式、網(wǎng)上評價等。一般不法商家網(wǎng)絡(luò)店鋪資料不全或比較模糊,而在自身的購物網(wǎng)站上發(fā)表一些虛假的評論信息。這時網(wǎng)民可以通過百度,搜搜,google等搜索網(wǎng)站來查詢該商家的相關(guān)資料,以利于進行辨別。可以通過比較不同的網(wǎng)上商戶,切勿貪圖便宜而上當受騙。網(wǎng)上購物付款時,最好是貨到付款,檢查沒有質(zhì)量問題后支付。或者通過使用支付寶,百付寶、網(wǎng)絡(luò)購物支付卡等第三方支付來完成交易,避免給買家?guī)碡敭a(chǎn)損失。買家完成交易后,應(yīng)當保存相關(guān)交易記錄信息。如發(fā)生質(zhì)量問題進行退換貨時,這些記錄會非常有用。
(二)加強對計算機病毒的防范措施。很多網(wǎng)民缺乏計算機安全的相關(guān)知識,防病毒意識也比較淡漠。隨著計算機病毒的肆虐,有的釣魚網(wǎng)站使用了木馬程序或者病毒變種,如“網(wǎng)銀大盜”、“灰鴿子”等,冒充合法站點,盜取用戶的個人資料、銀行帳號和密碼、交易號、交易金額等信息資料。這樣網(wǎng)民在進行網(wǎng)上交易時,會帶來巨大的財產(chǎn)損失。因此網(wǎng)民需要掌握一些必要的計算機安全和防病毒知識,選擇安裝正版防殺病毒、防殺木馬軟件,并進行及時更新升級。應(yīng)定期對計算機進行全面殺毒,確保計算機終端安全。進行網(wǎng)上交易時,應(yīng)該安裝個人防火墻軟件,提高安全級別。要從正規(guī)機構(gòu)的網(wǎng)站下載網(wǎng)上交易軟件,盡量避免在網(wǎng)吧等不安全地方的計算機上進行網(wǎng)上交易。這樣才能有效地防止計算機病毒的危害。
(三)選擇合理的網(wǎng)絡(luò)交易交付手段。網(wǎng)民在網(wǎng)上完成交易進行支付時,一般有匯現(xiàn)金、轉(zhuǎn)帳支付、信用卡支付、通過第三方中介進行支付等支付方式。在進行網(wǎng)上交易時,如果對方是知名網(wǎng)站,如航空公司,知名公司專業(yè)銷售網(wǎng)站并進行確認后,買家可選擇通過網(wǎng)上銀行或通過郵局匯現(xiàn)金來進行支付。而信譽度不高的網(wǎng)店,買家應(yīng)盡量避免直接匯現(xiàn)金或通過轉(zhuǎn)帳支付,而應(yīng)該選擇支付寶、財富通等第三方支付平臺進行支付,避免付款后不見貨,給買家本人帶來財產(chǎn)損失。
(四)健全相關(guān)法律制度,加強對不法網(wǎng)站的整頓和打擊力度。對于層出不窮的網(wǎng)絡(luò)交易糾紛和案件,應(yīng)健全相關(guān)法律法規(guī),加強電信、銀行、工商、公安、網(wǎng)絡(luò)監(jiān)管等部門的協(xié)調(diào)。對網(wǎng)絡(luò)店鋪的建立和運營,應(yīng)有權(quán)威的認定。不僅對網(wǎng)絡(luò)店鋪的銀行帳號、聯(lián)系方式、網(wǎng)絡(luò)地址、經(jīng)營地點等信息,有詳細的備案,還要完善網(wǎng)上店鋪的信用評價體系,盡快建立網(wǎng)絡(luò)交易監(jiān)管體系,規(guī)范網(wǎng)絡(luò)交易行為。同時,建立專門的網(wǎng)絡(luò)警察,對網(wǎng)絡(luò)交易糾紛和出現(xiàn)的不法行為進行查處和偵破。加強對不法網(wǎng)站和網(wǎng)絡(luò)店鋪的整頓和打擊力度,對于從事網(wǎng)絡(luò)詐騙的網(wǎng)店,應(yīng)及時進行暴光,維護消費者合法權(quán)益。
四、總結(jié)和展望
總之,網(wǎng)絡(luò)交易安全是人們進行網(wǎng)上購物和網(wǎng)上支付的重要保證。隨著人們對網(wǎng)絡(luò)交易安全的重視、網(wǎng)絡(luò)交易支付手段的完善和國家相關(guān)法律制度的不斷健全,網(wǎng)絡(luò)交易會更加規(guī)范,電子商務(wù)和相關(guān)產(chǎn)業(yè)會更加欣欣向榮,蓬勃發(fā)展。
參考文獻
[1]卓翔,網(wǎng)絡(luò)犯罪若干問題研究,中國政法大學(xué),2004-05-01.
篇(2)
2.通過假冒信息進行用戶信息獲取。很多黑客利用網(wǎng)絡(luò)漏洞,通過更改數(shù)據(jù)格式,假冒購物網(wǎng)站或其他網(wǎng)絡(luò)媒體向用戶發(fā)送支付信息,利用銀行支付某些程序的漏洞和用戶對支付程序的不夠深入了解,使用戶難以分辨真?zhèn)危M而上當受騙。
3.電子商務(wù)交易平臺存在系統(tǒng)漏洞。在我國電子商務(wù)交易平臺不夠完善,在加上網(wǎng)絡(luò)的獨立性和特殊性,又因為很多相關(guān)企業(yè)對電子商務(wù)平臺交易不夠重視,造成電子商務(wù)交易平臺還存在很多漏洞。電子商務(wù)交易平臺管理人員對其安全性重視不夠,沒有及時更新交易系統(tǒng),進而造成出現(xiàn)很多安全漏洞。
4.網(wǎng)絡(luò)上即時交流溝通的軟件安全系數(shù)不高。一些不法人員通過盜取他人的交流溝通軟件的登錄信息,冒充別人利用他人的信任進行網(wǎng)絡(luò)詐騙。一些人員甚至利用某些軟件的特殊功能漏洞,進行遠程控制,進行不法活動。這些事件的主要原因來源于很多溝通軟件的安全系數(shù)較低,甚至當涉及財產(chǎn)往來是很多軟件根本不進行提示,很多溝通軟件的運營商不考慮安全性的問題,導(dǎo)致很多安全漏洞未得到解決和修復(fù)。
二、計算機網(wǎng)絡(luò)環(huán)境下電子商務(wù)交易的安全防范措施
1.防范計算機網(wǎng)絡(luò)病毒的入侵。如今,人們主要通過安裝殺毒軟件來防范網(wǎng)絡(luò)病毒的入侵。雖然一些技術(shù)含量不高的病毒能及時被查殺,但是很多殺毒軟件都存在一定的漏洞。首先,軟件病毒庫的更新速度遠遠比不上病毒的更新速度。又因為很多用戶不重視病毒庫的更新致使很大程度上很難查出一些入侵病毒。然后是很多的國內(nèi)殺毒軟件只限制在國內(nèi),這就造成了很多來源于全球的病毒不能有效查殺,也就大大降低了病毒的查殺能力。其次,現(xiàn)在所有的殺毒軟件基本都是基于Windows操作系統(tǒng),而病毒也是在Windows操作系統(tǒng)中傳播,這就出現(xiàn)一個查殺范圍有限的問題。最后,在StationLock的技術(shù)下,限制了查殺病毒執(zhí)行的數(shù)量程序,這就對辨別病毒的攻擊意圖和攻擊對象造成了困難。
篇(3)
網(wǎng)絡(luò)銀行是于計算機出現(xiàn)之后,網(wǎng)絡(luò)技術(shù)漸漸適用于傳統(tǒng)銀行業(yè)務(wù),網(wǎng)絡(luò)銀行的產(chǎn)生。它的產(chǎn)生使得銀行運營方式與服務(wù)內(nèi)容發(fā)生了翻天覆地的變化,作為電子金融行業(yè)的先鋒,已經(jīng)成為引領(lǐng)世界各國銀行業(yè)發(fā)展的方向。由于我國銀行業(yè)起步晚,專業(yè)化程度趕不上發(fā)達國家,網(wǎng)絡(luò)銀行的出現(xiàn)可以成為我國趕超其它國家的契機。由于網(wǎng)絡(luò)銀行的特殊性,隨著網(wǎng)絡(luò)技術(shù)的不斷升級,網(wǎng)絡(luò)銀行發(fā)生技術(shù)風(fēng)險的可能性越來越大,因此風(fēng)險控管應(yīng)是網(wǎng)絡(luò)銀行關(guān)注的首要風(fēng)險。
一、課題的研究背景與動機
1、信息技術(shù)的應(yīng)用已成為企業(yè)發(fā)展的一把利器,在之前,銀行業(yè)的工作中就經(jīng)常用到信息科技,面對網(wǎng)絡(luò)行業(yè)的興起,在銀行業(yè)的經(jīng)營上掀起了一場全新的變革。傳統(tǒng)銀行在過去通常設(shè)立一些實體柜臺,來增加自己的版圖,網(wǎng)絡(luò)銀行利用信息技術(shù)的優(yōu)勢,將銀行營業(yè)窗口帶入到自己家中或工作室,提供各項金融服務(wù)。傳統(tǒng)銀行提供的電子銀行的項目包含自動取款機,電話銀行,其中的工作內(nèi)容也是比較小范圍的,網(wǎng)絡(luò)銀行為客戶帶來了極大的方便,足不出戶就可以完成大多資金業(yè)務(wù),這對于銀行來說不僅降低了銀行業(yè)的成本,還促進了國際相處。
2、網(wǎng)絡(luò)銀行的起源追溯到20世紀70年代的美國,在那時銀行提供的所謂家庭銀行是通過電話來進行少部分金融業(yè)務(wù)的,在之后的1995年第一個網(wǎng)絡(luò)銀行誕生,自此進入網(wǎng)絡(luò)銀行的新世紀,同年花旗銀行率先在國際網(wǎng)絡(luò)上架設(shè)網(wǎng)站,掀起網(wǎng)絡(luò)銀行的熱潮。
3、本文的研究是就網(wǎng)絡(luò)銀行的發(fā)展狀況,了解銀行業(yè)者如何構(gòu)建風(fēng)險控管與交易安全的環(huán)境,對其交易安全技術(shù)與信息安全管理問題加以探索,為金融主管機關(guān)提供參考,也希望就本課題討論過后針對網(wǎng)絡(luò)銀行的持久發(fā)展相關(guān)議題做深入的分析。根據(jù)研究目的與動機對網(wǎng)絡(luò)銀行現(xiàn)狀進行實際調(diào)查。
二、網(wǎng)絡(luò)銀行交易安全分析
1、網(wǎng)絡(luò)銀行從廣義上講是所有通過國際網(wǎng)絡(luò)提供各種金融信息的銀行。它的優(yōu)點可以由兩個方面來說明,第一銀行面,與實體銀行相比,降低了建置成本;第二顧客面,為顧客提供更便捷有效的管理個人財務(wù)狀況,信息提供及時服務(wù),客戶在銀行建制的網(wǎng)站完成各項金融服務(wù)。網(wǎng)絡(luò)銀行的系統(tǒng)構(gòu)架組成主要是客戶端、銀行端及簽證中心。
3、在網(wǎng)絡(luò)銀行使用過程中,依賴密碼技術(shù)達成虛擬世界的安全需求,網(wǎng)絡(luò)銀行系統(tǒng)的設(shè)計中盡力運用各種不同安全的保護措施來構(gòu)建一個安全地網(wǎng)絡(luò)交易環(huán)境,但是隨著網(wǎng)絡(luò)的普及,網(wǎng)網(wǎng)相連,降低了信息的取得程度,從而也增加了安全風(fēng)險。網(wǎng)絡(luò)銀行是屬于開放性的網(wǎng)絡(luò)交易,尤其在遇到資金轉(zhuǎn)移等敏感信息,安全保護更是重要。所以目前制造一個安全的網(wǎng)絡(luò)交易環(huán)境是目前網(wǎng)絡(luò)銀行使用的關(guān)鍵問題。Netscape公司指定的SSL協(xié)議、VISA與MasterCard兩大國際共同主導(dǎo)和IBM等信息業(yè)者共同制定的SET協(xié)議以及根據(jù)SET構(gòu)建的Non-SET系統(tǒng)都在不同程度的對網(wǎng)絡(luò)銀行安全問題帶來不同安全措施。
4、網(wǎng)絡(luò)銀行對電子金融服務(wù)的推進第一臺自動柜員機的誕生,開啟公共場所ATM的使用,推動建制了金融電子資料交換網(wǎng)絡(luò),這項功能是電子商務(wù)企業(yè)對企業(yè)付款作業(yè)之前身,還有電話銀行的誕生,以及目前網(wǎng)絡(luò)銀行的興起。網(wǎng)絡(luò)銀行所提供的服務(wù)會隨著網(wǎng)際網(wǎng)絡(luò)的發(fā)展成熟而有所不同,根據(jù)網(wǎng)絡(luò)使用的普及,網(wǎng)絡(luò)銀行受其趨勢的影響,銀行客戶中使用網(wǎng)絡(luò)銀行的逐步增多。根據(jù)相關(guān)調(diào)查,對網(wǎng)絡(luò)銀行使用者做了相關(guān)調(diào)查顯示與傳統(tǒng)實體銀行使用者人數(shù)還有一定差距,所以如何吸引客戶使用便宜的網(wǎng)絡(luò)銀行通路,以降低成本是銀行業(yè)者應(yīng)該努力的方向。由于網(wǎng)絡(luò)銀行提供的服務(wù)項目多元化,每一種服務(wù)項目的安全需求也有很大的不同,SSL、SET以及Non-SET解決了這樣的問題。除此之外國家也建設(shè)了保護網(wǎng)上銀行正常交易的相關(guān)法律法規(guī),我國現(xiàn)行的有關(guān)監(jiān)管法制還處于初期階段,在很多地方還存在缺陷,即使是專門處理網(wǎng)上銀行問題而出臺的法制也處在表面層次,有待加強,在實踐中還存在很多法律問題有待進一步研究,所以我國我國網(wǎng)上銀行的法律體系還有很大的晉升空間。網(wǎng)上銀行相關(guān)法律法規(guī)的制定需要具有高度的前瞻性和兼容性為了避免法律滯后以及實際使用所帶來的麻煩。制定明確的責任規(guī)劃,對于網(wǎng)上銀行社會信譽的建立是非常有必要的。并將網(wǎng)上銀行信息披露納入法律法規(guī),制定網(wǎng)上銀行犯罪的法律法規(guī),為金融安全問題提供保障。
三、結(jié)語
金融主管機關(guān)財政部應(yīng)加大安全保護措施確保消費者權(quán)益,積極鼓勵網(wǎng)絡(luò)銀行的使用,為客戶營造一個安全放心的交易平臺。采取各項措施鼓勵消費者使用網(wǎng)絡(luò)銀行,對還沒有建設(shè)網(wǎng)上銀行的銀行提出建議與意見,銀行的組織規(guī)模以及員工的相關(guān)知識儲備是銀行業(yè)者重點考慮的,同時網(wǎng)上銀行的風(fēng)險控管與交易安全問題仍需完善管理,是我國網(wǎng)上銀行能夠健康、穩(wěn)步的發(fā)展。
參考文獻:
篇(4)
一、引言
隨著信息技術(shù)和計算機網(wǎng)絡(luò)的迅猛發(fā)展, 基于Internet 的電子商務(wù)也隨之而生,并在近年來獲得了巨大的發(fā)展。電子商務(wù)作為一種全新的商業(yè)應(yīng)用形式,改變了傳統(tǒng)商務(wù)的運作模式,極大地提高了商務(wù)效率,降低了交易的成本。然而,由于互聯(lián)網(wǎng)開放性的特點,安全問題也自始至終制約著電子商務(wù)的發(fā)展。因此,建立一個安全可靠的電子商務(wù)應(yīng)用環(huán)境,已經(jīng)成為影響到電子商務(wù)發(fā)展的關(guān)鍵性課題。
二、電子商務(wù)面臨的安全問題
1.信息泄漏。在電子商務(wù)中主要表現(xiàn)為商業(yè)機密的泄露,包括兩個方面:一是交易雙方進行交易的內(nèi)容被第三方竊取;二是交易一方提供給另一方使用的文件被第三方非法使用。
2.信息被篡改。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中,可能被他人非法修改、刪除或被多次使用,這樣就使信息失去了真實性和完整性。
3.身份識別。身份識別在電子商務(wù)中涉及兩個方面的問題:一是如果不進行身份識別,第三方就有可能假冒交易一方的身份,破壞交易、敗壞被假冒一方的信譽或盜取交易成果;二是不可抵賴性,交易雙方對自己的行為應(yīng)負有一定的責任,信息發(fā)送者和接受者都不能對此予以否認。進行身份識別就是防止電子商務(wù)活動中的假冒行為和交易被否認的行為。
4.信息破壞。一是網(wǎng)絡(luò)傳輸?shù)目煽啃裕W(wǎng)絡(luò)的硬件或軟件可能會出現(xiàn)問題而導(dǎo)致交易信息丟失與謬誤;二是惡意破壞,計算機網(wǎng)絡(luò)本身遭到一些惡意程序的破壞,例如病毒破壞、黑客入侵等。
三、電子商務(wù)的安全要素
1.有效性。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。因此,要對一切潛在的威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時刻和地點是有效的。
2.機密性。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的,維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。解決數(shù)據(jù)機密性的一般方法是采用加密手段。
3.完整性。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導(dǎo)致貿(mào)易各方的差異。此外,數(shù)據(jù)傳輸過程中的丟失、重復(fù)或傳送的次序差異也會導(dǎo)致貿(mào)易各方的不同。因此,要預(yù)防對隨意生成、修改和刪除,同時要防止數(shù)據(jù)傳送過程中的丟失和重復(fù)并保證傳送次序的統(tǒng)一。
4.不可抵賴性。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進行交易的貿(mào)易方正是進行交易所期望的貿(mào)易方這一問題則是保證電子商務(wù)順利進行的關(guān)鍵。在交易進行時,交易各方必須附帶含有自身特征、無法由別人復(fù)制的信息,以保證交易后發(fā)生糾紛時有所對證。
四、電子商務(wù)采用的主要安全技術(shù)手段
1.防火墻技術(shù)。防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計算機網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。所有來自Internet 的傳輸信息或發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用。實現(xiàn)防火墻技術(shù)的主要途徑有:分組過濾和服務(wù)。分組過濾:這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器中按網(wǎng)絡(luò)安全策略設(shè)置一張訪問表或黑名單,即借助數(shù)據(jù)分組中的IP地址確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過。防火墻的職責就是根據(jù)訪問表(或黑名單)對進出路由器的分組進行檢查和過濾。這種防火墻簡單易行,但不能完全有效地防范非法攻擊。目前,80%的防火墻都是采用這種技術(shù)。服務(wù):是一種基于服務(wù)的防火墻,它的安全性高,增加了身份認證與審計跟蹤功能,但速度較慢。所謂審計跟蹤是對網(wǎng)絡(luò)系統(tǒng)資源的使用情況提供一個完備的記錄,以便對網(wǎng)絡(luò)進行完全監(jiān)督和控制。通過不斷收集與積累有關(guān)出入網(wǎng)絡(luò)的完全事件記錄,并有選擇地對其中的一些進行審計跟蹤,發(fā)現(xiàn)可能的非法行為并提供有力的證據(jù),然后以秘密的方式向網(wǎng)上的防火墻發(fā)出有關(guān)信息如黑名單等。防火墻雖然能對外部網(wǎng)絡(luò)的功擊實施有效的防護,但對網(wǎng)絡(luò)內(nèi)部信息傳輸?shù)陌踩珔s無能為力,實現(xiàn)電子商務(wù)的安全還需要一些保障動態(tài)安全的技術(shù)。
2.數(shù)據(jù)加密技術(shù)。在電子商務(wù)中,數(shù)據(jù)加密技術(shù)是其他安全技術(shù)的基礎(chǔ),也是最主要的安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前,加密技術(shù)分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。對稱加密又稱為私鑰加密。發(fā)送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。使用對稱加密方法將簡化加密的處理,每個貿(mào)易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。比較著名的對稱加密算法是:美國國家標準局提出的DES(DataEncryption Standard,數(shù)據(jù)加密標準)。對稱加密方式存在的一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因為貿(mào)易雙方共享同一把專用密鑰,貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。
(2)非對稱加密。非對稱加密又稱為公鑰加密。公鑰加密法是在對數(shù)據(jù)加解密時,使用不同的密鑰,通信雙方各具有兩把密鑰,即一把公鑰和一把密鑰。公鑰對外界公開,私鑰自己保管,用公鑰加密的信息,只能用對應(yīng)的私鑰解密。同樣地,用私鑰加密的數(shù)據(jù)只能用對應(yīng)的公鑰解密。RSA(即Rivest,ShamirAdleman)算法是非對稱加密領(lǐng)域內(nèi)最為著名的算法。貿(mào)易方利用該方案實現(xiàn)機密信息交換的基本過程是:貿(mào)易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開,得到該公開密鑰的貿(mào)易方乙使用該密鑰對機密信息進行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把私有密鑰對加密后的信息進行解密。貿(mào)易方甲只能用其私有密鑰解密由其公開密鑰加密后的任何信息。為了充分發(fā)揮對稱和非對稱加密體制各自的優(yōu)點,在實際應(yīng)用中通常將這兩種加密體制結(jié)合在一起使用,比如:利用DES來加密信息,而采用RSA來傳遞對稱加密體制中的密鑰。
3.數(shù)字簽名技術(shù)。僅有加密技術(shù)還不足以保證商務(wù)信息傳遞的安全,在確保信息完整性方面,數(shù)字簽名技術(shù)占據(jù)著不可替代的位置。目前數(shù)字簽名的應(yīng)用主要有數(shù)字摘要、數(shù)字簽名和數(shù)字時間戳技術(shù)。
(1)數(shù)字摘要。數(shù)字摘要是對一條原始信息進行單向哈希(Hash)函數(shù)變換運算得到的一個長度一定的摘要信息。該摘要與原始信息一一對應(yīng),即不同的原始信息必然得到一個不同的摘要。若信息的完整性遭到破壞,信息就無法通過原始摘要信息的驗證,成為無效信息,信息接收者便可以選擇不再信任該信息。
(2)數(shù)字簽名。數(shù)字簽名實際上是運用公私鑰加密技術(shù)使信息具有不可抵賴性,其具體過程為:文件的發(fā)送方從文件中生成一個數(shù)字摘要,用自己的私鑰對這個數(shù)字摘要進行加密,從而形成數(shù)字簽名。這個被加密的數(shù)字簽名文件作為附件和原始文件一起發(fā)送給接收者。接收方收到信息后就用發(fā)送方的公開密鑰對摘要進行解密,如果解出了正確的摘要,即該摘要可以確認原始文件沒有被更改過。那么說明這個信息確實為發(fā)送者發(fā)出的。于是實現(xiàn)了對原始文件的鑒別和不可抵賴性。
(3)數(shù)字時間戳。數(shù)字時間戳技術(shù)或DTS 是對數(shù)字文件或交易信息進行日期簽署的一項第三方服務(wù)。本質(zhì)上數(shù)字時間戳技術(shù)與數(shù)字簽名技術(shù)如出一轍。加蓋數(shù)字時間戳后的信息不能進行偽造、篡改和抵賴,并為信息提供了可靠的時間信息以備查用。
五、小結(jié)
本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù):防火墻技術(shù),數(shù)據(jù)加密技術(shù),數(shù)字簽名技術(shù),以及安全協(xié)議,指出了它們使用范圍及其優(yōu)缺點。但必須強調(diào)說明的是,電子商務(wù)的安全運行,僅從技術(shù)角度防范是遠遠不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題,從而引導(dǎo)和促進我國電子商務(wù)快速健康發(fā)展。
參考文獻:
[1]謝紅燕:電子商務(wù)的安全問題及對策研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(自然科學(xué)版),2007,(3):350-358
篇(5)
隨著經(jīng)濟發(fā)展速度的不斷加快,信息技術(shù)的合理運用,不但給人們的生活帶來了很多便利,也使網(wǎng)絡(luò)交易的安全系數(shù)大大降低,因此,人們通過網(wǎng)絡(luò)購物、參加各種活動,都存在很大危險性。所以,民商法的不斷完善,需要加強網(wǎng)絡(luò)交易安全的保護,才能進一步提高網(wǎng)絡(luò)交易的可靠性。
1 網(wǎng)絡(luò)交易的主要形式
通常情況下,網(wǎng)絡(luò)交易雙方是看不到對方的,不需要兩個人直接接觸,整個過程都是通過網(wǎng)絡(luò)平臺來完成,而最重要的一個環(huán)節(jié)就是第三方平臺的認證,也可以將其稱作是交易中介,因而網(wǎng)絡(luò)交易具有的真實性、公平性等都是依靠這個認證來保障的。例如:我們比較常見、常用的淘寶網(wǎng),在這個網(wǎng)絡(luò)平臺上可以買到各種各樣的物品,其中,賣家在開設(shè)淘寶店鋪時,需要交一定押金、相關(guān)身份信息,買家在交易相關(guān)商品時,也需要填寫自己的一些信息,以便獲得淘寶這個平臺對賣家、買家的認證。與此同時,買家選到自己想要的物品以后,需要與買家進行及時的溝通,以確認物品是否還在售,或者是尺寸、用途等是否符合自己的需求,而買家也要確認買家的相關(guān)信息,并核實買家的身份,以便買家及時付款,從而在買家付款以后賣家能及時發(fā)貨。通常賣家是以快遞的方式向買家發(fā)貨,在買家確認收到物品以后,這次網(wǎng)絡(luò)交易才真正結(jié)束。所以,根據(jù)這個網(wǎng)絡(luò)交易過程可以發(fā)現(xiàn),其存在的安全風(fēng)險主要體現(xiàn)在如下幾個方面:第一,賬戶方面;第二,支付方面,需要買家加強重視,才能避免自己的資金出現(xiàn)各種問題。當前,淘寶網(wǎng)上進行的各種交易,有著雙重保護方式,一方面是登陸時需要輸入相關(guān)密碼,另一方面是支付款項時需要相關(guān)密碼,因而,在很多人看來,淘寶網(wǎng)上的交易有著較大安全系數(shù)。由此可見,在信息技術(shù)應(yīng)用范圍不斷擴大的情況下,各種新型網(wǎng)絡(luò)交易平臺的推出,如QQ支付錢包、微信支付、螞蟻花唄等,給網(wǎng)絡(luò)交易完全提出了更高要求,是當前網(wǎng)絡(luò)交易相關(guān)研究和管理必須重視的內(nèi)容之一。
2 網(wǎng)絡(luò)交易安全的基本情況
對當前信息技術(shù)在各行業(yè)的應(yīng)用情況進行分析發(fā)現(xiàn),網(wǎng)絡(luò)交易方式的出現(xiàn),是社會不斷發(fā)展的重要需求,也是一種必然趨勢,其帶來的便利性是有目共睹的,如手機的廣泛應(yīng)用,可以通過下載APP的方式直接進行訂餐、買衣服、定制家居、預(yù)約看病、預(yù)購車票與飛機等,因此,網(wǎng)絡(luò)交易與人們的生活已經(jīng)緊密聯(lián)系在一起,并成為一個不可代替的一部分。通過網(wǎng)絡(luò)交易的方式,人們可以節(jié)約很多時間,并且,各種物品可以在兩三天的時間內(nèi)送貨到家,因而,其交易量非常高,是整個交易市場中占據(jù)的比例較大。根據(jù)我國相關(guān)數(shù)據(jù)顯示,淘寶網(wǎng)推出的各種購物活動,如“雙十一”大減價,在限時搶購的限制下,其最終的交易額可能超過五百億。在這種情況下,一些素質(zhì)不高、想要不勞而獲的不法人士,可能會將網(wǎng)絡(luò)交易看作一個可以快速獲取暴利的渠道,進而出現(xiàn)如下網(wǎng)絡(luò)交易安全問題:第一,客戶信息被盜取;第二,通過釣魚網(wǎng)站竊取他人銀行卡信息;第三,付款之后不及時發(fā)貨,貨款無法退回;第四,利用優(yōu)惠活動,誘騙客戶大量購買,等等。
對上述情況進行研究發(fā)現(xiàn),之所以存在這種網(wǎng)絡(luò)交易安全問題,其最根本的原因是我國網(wǎng)絡(luò)交易推出的時間還不夠長,互聯(lián)網(wǎng)方面的安全技術(shù)水平還不夠高,而相關(guān)原因還有如下幾個方面:
首先,消費者的知情權(quán)存在很大限制。當前,互聯(lián)網(wǎng)有著一個極的特點是:開放性很強,不會受到空間、時間等多種因素的限制,并且,國內(nèi)還可以通過一些軟件購買國外的產(chǎn)品,而線下的客戶也可以將相關(guān)資料傳送網(wǎng)上,因而,網(wǎng)絡(luò)交易雙方有著很大的選擇空間。但是,從客觀角度進行分析可知,網(wǎng)絡(luò)交易雙方在進行交流時,各種信息、圖片、描述等都可能存在不真實的情況,即消費者的知情權(quán)受到一定限制。所以,在網(wǎng)絡(luò)交易上,其安全性、可靠性的當前相關(guān)部門需要重點考慮的問題。
其次,網(wǎng)絡(luò)交易存在很多不一樣的方式。由于網(wǎng)絡(luò)交易有著如下兩種特征:第一,虛擬性;第二,開放性,因此,買家和賣家在完成如下幾個操作時:第一,商品信息上傳;第二,客戶瀏覽各種網(wǎng)頁;第三,客戶付款、買家收款,等等,則會出現(xiàn)很多安全漏洞,從而導(dǎo)致不法分子利用這些漏洞竊取信息、盜取錢財?shù)取.斍埃钇毡榈膸追N現(xiàn)象是:第一,不法分子冒充網(wǎng)絡(luò)平臺的客服來與消費者進行交流,通過告知買家商品還為發(fā)貨的方式,讓買家重新下單購買,而此時不法分子發(fā)過來的鏈接,被相關(guān)人士稱作是釣魚網(wǎng)站,如果買家點擊這個鏈接,則買家的各種賬戶信息會被盜取,從而使買家出現(xiàn)錢財被盜竊的現(xiàn)象。第二,在你購買物品以后,不法分子通過詐騙電話的方式進行信息竊取,如對方可以說你的名字,并用很親切的語氣與你交談,讓你確認物品是否是你購買,并說出你的收貨地址,進而獲取你的信任,如果在接電話的時候不提高警惕,則很可能上當受騙,等等。
3 民商法保護在網(wǎng)絡(luò)交易安全上的具體體現(xiàn)
在社會不斷發(fā)展的大環(huán)境下,信息技術(shù)水平的快速提升,使得相關(guān)部門對網(wǎng)絡(luò)交易安全問題有了更高的重視,并采取相關(guān)措施加強安全防范。其中,2014年實施的相關(guān)保護法,在一定程度促進消費者權(quán)益保護法更加完善,而比較常見的內(nèi)容有:第一,網(wǎng)絡(luò)購物等新消費方式的有效規(guī)范;第二,經(jīng)營者義務(wù)的進一步強化;第三,消費者公益訴訟制的建立,等等。在這以后,消費者通過網(wǎng)絡(luò)平臺購買各種商品,可以在七天之間內(nèi)無理由進行退貨,并且,經(jīng)營者和相關(guān)客服人員必須完全保密客戶的個人信息,嚴禁出售、泄漏和將客戶的信息非法提供給他人。與此同時,如果商品本身存在缺陷問題,經(jīng)營者仍然將其銷售給消費者,并使消費者受到相關(guān)損害的情況,可以對其追究相關(guān)刑事責任。
由于網(wǎng)絡(luò)交易衍生出來的各種犯罪現(xiàn)象,有著極大隱秘性,因此,對其進行追蹤的難度比較大。所以,各種網(wǎng)絡(luò)詐騙給網(wǎng)絡(luò)交易安全帶來嚴重威脅,需要充分發(fā)揮民商法的保護作用,加大懲罰力度,才能確保網(wǎng)絡(luò)交易順利完成。例如:信用等級的評價,可以充分體現(xiàn)交易雙方各種信息的真實性,或者是通過實名制方式進行注冊,如電話號碼在購買時,必須使用身份證。由此可見,民商法保護在網(wǎng)絡(luò)交易安全上發(fā)揮的作用非常重要,不但能減少各種違法犯罪事件,還能提高消費者在網(wǎng)絡(luò)上完成各種交易的滿意度,對于促進網(wǎng)絡(luò)交易市場規(guī)范化、制度化發(fā)展有著極大意義。
4 結(jié)束語
總之,隨著經(jīng)濟全球化發(fā)展趨勢的不斷加劇,網(wǎng)絡(luò)交易已經(jīng)遍及全世界,給網(wǎng)絡(luò)交易安全提出了更高要求。因此,在網(wǎng)絡(luò)交易安全面臨各種嚴峻挑戰(zhàn)的新形勢下,相關(guān)部門必須充分發(fā)揮民商法的保護作用,降低各種違法犯罪事件的發(fā)生率,才能在民商法體系有效完善的基礎(chǔ)上,更好的推動社會穩(wěn)定、健康發(fā)展。
參考文獻
[1]唐嫣.網(wǎng)絡(luò)交易安全與民商法保護的相關(guān)性探討[J].法制與社會,2013,28:106-107.
[2]孫鋒.論電子商務(wù)發(fā)展的民商法保障[J].法制與社會,2015,05:5-6.
篇(6)
一、引言
隨著信息技術(shù)和計算機網(wǎng)絡(luò)的迅猛發(fā)展, 基于Internet 的電子商務(wù)也隨之而生,并在近年來獲得了巨大的發(fā)展。電子商務(wù)作為一種全新的商業(yè)應(yīng)用形式,改變了傳統(tǒng)商務(wù)的運作模式,極大地提高了商務(wù)效率,降低了交易的成本。然而,由于互聯(lián)網(wǎng)開放性的特點,安全問題也自始至終制約著電子商務(wù)的發(fā)展。因此,建立一個安全可靠的電子商務(wù)應(yīng)用環(huán)境,已經(jīng)成為影響到電子商務(wù)發(fā)展的關(guān)鍵性課題。
二、電子商務(wù)面臨的安全問題
1.信息泄漏。在電子商務(wù)中主要表現(xiàn)為商業(yè)機密的泄露,包括兩個方面:一是交易雙方進行交易的內(nèi)容被第三方竊取;二是交易一方提供給另一方使用的文件被第三方非法使用。
2.信息被篡改。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中,可能被他人非法修改、刪除或被多次使用,這樣就使信息失去了真實性和完整性。
3.身份識別。身份識別在電子商務(wù)中涉及兩個方面的問題:一是如果不進行身份識別,第三方就有可能假冒交易一方的身份,破壞交易、敗壞被假冒一方的信譽或盜取交易成果;二是不可抵賴性,交易雙方對自己的行為應(yīng)負有一定的責任,信息發(fā)送者和接受者都不能對此予以否認。進行身份識別就是防止電子商務(wù)活動中的假冒行為和交易被否認的行為。
4.信息破壞。一是網(wǎng)絡(luò)傳輸?shù)目煽啃裕W(wǎng)絡(luò)的硬件或軟件可能會出現(xiàn)問題而導(dǎo)致交易信息丟失與謬誤;二是惡意破壞,計算機網(wǎng)絡(luò)本身遭到一些惡意程序的破壞,例如病毒破壞、黑客入侵等。
三、電子商務(wù)的安全要素
1.有效性。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。因此,要對一切潛在的威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時刻和地點是有效的。
2.機密性。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的,維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。解決數(shù)據(jù)機密性的一般方法是采用加密手段。
3.完整性。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導(dǎo)致貿(mào)易各方的差異。此外,數(shù)據(jù)傳輸過程中的丟失、重復(fù)或傳送的次序差異也會導(dǎo)致貿(mào)易各方的不同。因此,要預(yù)防對隨意生成、修改和刪除,同時要防止數(shù)據(jù)傳送過程中的丟失和重復(fù)并保證傳送次序的統(tǒng)一。
4.不可抵賴性。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進行交易的貿(mào)易方正是進行交易所期望的貿(mào)易方這一問題則是保證電子商務(wù)順利進行的關(guān)鍵。在交易進行時,交易各方必須附帶含有自身特征、無法由別人復(fù)制的信息,以保證交易后發(fā)生糾紛時有所對證。
四、電子商務(wù)采用的主要安全技術(shù)手段
1.防火墻技術(shù)。防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計算機網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。所有來自Internet 的傳輸信息或發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用。實現(xiàn)防火墻技術(shù)的主要途徑有:分組過濾和服務(wù)。分組過濾:這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器中按網(wǎng)絡(luò)安全策略設(shè)置一張訪問表或黑名單,即借助數(shù)據(jù)分組中的IP地址確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過。防火墻的職責就是根據(jù)訪問表(或黑名單)對進出路由器的分組進行檢查和過濾。這種防火墻簡單易行,但不能完全有效地防范非法攻擊。目前,80%的防火墻都是采用這種技術(shù)。服務(wù):是一種基于服務(wù)的防火墻,它的安全性高,增加了身份認證與審計跟蹤功能,但速度較慢。所謂審計跟蹤是對網(wǎng)絡(luò)系統(tǒng)資源的使用情況提供一個完備的記錄,以便對網(wǎng)絡(luò)進行完全監(jiān)督和控制。通過不斷收集與積累有關(guān)出入網(wǎng)絡(luò)的完全事件記錄,并有選擇地對其中的一些進行審計跟蹤,發(fā)現(xiàn)可能的非法行為并提供有力的證據(jù),然后以秘密的方式向網(wǎng)上的防火墻發(fā)出有關(guān)信息如黑名單等。防火墻雖然能對外部網(wǎng)絡(luò)的功擊實施有效的防護,但對網(wǎng)絡(luò)內(nèi)部信息傳輸?shù)陌踩珔s無能為力,實現(xiàn)電子商務(wù)的安全還需要一些保障動態(tài)安全的技術(shù)。
2.數(shù)據(jù)加密技術(shù)。在電子商務(wù)中,數(shù)據(jù)加密技術(shù)是其他安全技術(shù)的基礎(chǔ),也是最主要的安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前,加密技術(shù)分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。對稱加密又稱為私鑰加密。發(fā)送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。使用對稱加密方法將簡化加密的處理,每個貿(mào)易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。比較著名的對稱加密算法是:美國國家標準局提出的DES(DataEncryption Standard,數(shù)據(jù)加密標準)。對稱加密方式存在的一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因為貿(mào)易雙方共享同一把專用密鑰,貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。
(2)非對稱加密。非對稱加密又稱為公鑰加密。公鑰加密法是在對數(shù)據(jù)加解密時,使用不同的密鑰,通信雙方各具有兩把密鑰,即一把公鑰和一把密鑰。公鑰對外界公開,私鑰自己保管,用公鑰加密的信息,只能用對應(yīng)的私鑰解密。同樣地,用私鑰加密的數(shù)據(jù)只能用對應(yīng)的公鑰解密。RSA(即Rivest,ShamirAdleman)算法是非對稱加密領(lǐng)域內(nèi)最為著名的算法。貿(mào)易方利用該方案實現(xiàn)機密信息交換的基本過程是:貿(mào)易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開,得到該公開密鑰的貿(mào)易方乙使用該密鑰對機密信息進行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把私有密鑰對加密后的信息進行解密。貿(mào)易方甲只能用其私有密鑰解密由其公開密鑰加密后的任何信息。為了充分發(fā)揮對稱和非對稱加密體制各自的優(yōu)點,在實際應(yīng)用中通常將這兩種加密體制結(jié)合在一起使用,比如:利用DES來加密信息,而采用RSA來傳遞對稱加密體制中的密鑰。
3.數(shù)字簽名技術(shù)。僅有加密技術(shù)還不足以保證商務(wù)信息傳遞的安全,在確保信息完整性方面,數(shù)字簽名技術(shù)占據(jù)著不可替代的位置。目前數(shù)字簽名的應(yīng)用主要有數(shù)字摘要、數(shù)字簽名和數(shù)字時間戳技術(shù)。
(1)數(shù)字摘要。數(shù)字摘要是對一條原始信息進行單向哈希(Hash)函數(shù)變換運算得到的一個長度一定的摘要信息。該摘要與原始信息一一對應(yīng),即不同的原始信息必然得到一個不同的摘要。若信息的完整性遭到破壞,信息就無法通過原始摘要信息的驗證,成為無效信息,信息接收者便可以選擇不再信任該信息。
(2)數(shù)字簽名。數(shù)字簽名實際上是運用公私鑰加密技術(shù)使信息具有不可抵賴性,其具體過程為:文件的發(fā)送方從文件中生成一個數(shù)字摘要,用自己的私鑰對這個數(shù)字摘要進行加密,從而形成數(shù)字簽名。這個被加密的數(shù)字簽名文件作為附件和原始文件一起發(fā)送給接收者。接收方收到信息后就用發(fā)送方的公開密鑰對摘要進行解密,如果解出了正確的摘要,即該摘要可以確認原始文件沒有被更改過。那么說明這個信息確實為發(fā)送者發(fā)出的。于是實現(xiàn)了對原始文件的鑒別和不可抵賴性。
(3)數(shù)字時間戳。數(shù)字時間戳技術(shù)或DTS 是對數(shù)字文件或交易信息進行日期簽署的一項第三方服務(wù)。本質(zhì)上數(shù)字時間戳技術(shù)與數(shù)字簽名技術(shù)如出一轍。加蓋數(shù)字時間戳后的信息不能進行偽造、篡改和抵賴,并為信息提供了可靠的時間信息以備查用。
五、小結(jié)
本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù):防火墻技術(shù),數(shù)據(jù)加密技術(shù),數(shù)字簽名技術(shù),以及安全協(xié)議,指出了它們使用范圍及其優(yōu)缺點。但必須強調(diào)說明的是,電子商務(wù)的安全運行,僅從技術(shù)角度防范是遠遠不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題,從而引導(dǎo)和促進我國電子商務(wù)快速健康發(fā)展。
參考文獻:
[1]謝紅燕:電子商務(wù)的安全問題及對策研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(自然科學(xué)版),2007,(3):350-358
篇(7)
從這些軟件中我們可以看出,單純將它們稱為反病毒軟件已經(jīng)不太合適了,更加準確的叫法也許是安全軟件。我們將在Windows Vista系統(tǒng)正式之后,針對新的安全軟件進行一次專題測試,而本次測試的這些2007版本的安全軟件暫時還沒有完全提供對Windows Vista的支持,這是由于針對個人消費市場的Vista系統(tǒng)尚未。但是,所有的廠商都表示,現(xiàn)在購買2007版本的這些軟件將會在Vista系統(tǒng)正式之后得到免費升級服務(wù)。
需要說明的是,本文并不是有關(guān)反病毒或者安全軟件的專題測試,只是新品初評性質(zhì)的介紹,因此我們不會給出《個人電腦》編輯選擇獎。在撰寫文章時,我們并沒有使用病毒庫進行掃描測試,因為這類測試在國家限制范圍之內(nèi),我們只是希望能夠?qū)S商所提供的技術(shù)、軟件提供的功能展示給讀者朋友們,至于它們具體的表現(xiàn),我們將在幾個月之后聯(lián)合國家相關(guān)部門進行一次客觀、公正、權(quán)威的專題測試。
諾頓交易安全大師
Norton Confidential
Norton Confidential的中文名稱為諾頓交易安全大師,需要提醒您注意的是,這并不是一款反病毒軟件。它的作用在于時刻保證計算機使用者在互聯(lián)網(wǎng)上進行的操作盡可能得安全,而不是類似Norton Internet Security(諾頓網(wǎng)絡(luò)安全特警)那樣對系統(tǒng)進行掃描,這款軟件為在線交易提供了保護,這也是賽門鐵克推出的第一款專門針對互聯(lián)網(wǎng)溝通和交易安全設(shè)計的軟件。
諾頓交易安全大師的安裝極為簡單,且針對一般用戶來講,安裝之后不需要做任何設(shè)置。如同其他賽門鐵克產(chǎn)品一樣,在進行在線升級之后,你就可以享受到諾頓交易安全大師帶來的保護了。
諾頓交易安全大師會自動在IE中創(chuàng)建一個新的工具欄,這個工具欄十分醒目,以至于我們打開IE后第一眼就看到了它。當訪問網(wǎng)站時,如果該網(wǎng)站是安全的,則工具欄上的提示框顯示為綠色,如果被訪問網(wǎng)站含有犯罪軟件,則提示欄顯示為紅色,并自動屏蔽該網(wǎng)站,同時給用戶醒目的提示。
對于普通用戶來講,諾頓交易安全大師是一款值得信賴的可靠助手。這不僅因為該軟件采用了黑名單和零響應(yīng)時間技術(shù)來阻止欺詐網(wǎng)站的侵害,還因為諾頓交易安全大師具有非常優(yōu)秀的易用性。作為一款安全軟件,諾頓交易安全大師在安裝之后不需設(shè)置,這極大降低了應(yīng)用門檻;其次,在后臺靜默執(zhí)行的功能也得到了我們的稱贊,這是因為不少同類軟件在提供保護功能的同時,會彈出對話框要求使用者手工執(zhí)行操作,而諾頓交易安全大師則會自動完成;最后,諾頓交易安全大師還集成了強大的密碼管理功能,在訪問需要輸入用戶名和密碼的網(wǎng)站時,你可以得到全面的保護。
用戶名和密碼是最容易遭受侵害的信息之一,諾頓交易安全大師提供了名為InforVault的密碼管理功能。當?shù)谝淮卧L問需要輸入用戶名和密碼的網(wǎng)站時,InforVault會自動提示使用者建立登陸信息管理器。你可以將所有登陸信息交給InforVault,只需要記住InforVault本身的管理密碼就可以了,通過對InforVault的設(shè)置,你可以指定自動登陸網(wǎng)站或者禁止密碼自動發(fā)送等功能。
諾頓交易安全大師提出了一個新的在線交易和溝通安全概念,并提供了完美的解決方案,在使用諾頓交易安全大師試用版本的15天內(nèi),我們幾乎沒有手工輸入過用戶名和密碼,日常操作也沒有受到任何影響,簡單的說,諾頓交易安全大師就像一個透明的保鏢在為你的在線應(yīng)用提供保護。
最后,我們還需要強調(diào)的是,諾頓交易安全大師是一款保護在線應(yīng)用安全的軟件,而不是一款反病毒軟件或防火墻軟件,諾頓交易安全大師的作用在于可以讓你安心進行網(wǎng)頁瀏覽、網(wǎng)上交易和網(wǎng)絡(luò)溝通任務(wù),而不是抵御病毒、流氓軟件的侵襲,至于這些工作,則是諾頓網(wǎng)絡(luò)安全特警的本職。
金山毒霸2007
金山毒霸2007在諸多競爭對手中取得了先機,新版本的金山毒霸在9月份就了。作為國內(nèi)老牌的安全軟件提供商之一,金山公司對這款軟件寄予了厚望。
根據(jù)廠商提供的資料表明,新版本的金山毒霸2007有著“2、3、4”的特征。其中2代表2大先進技術(shù),即數(shù)據(jù)流殺毒技術(shù)和主動實時升級技術(shù)。數(shù)據(jù)流殺毒技術(shù)可在保持原有靜態(tài)殺毒技術(shù)的基礎(chǔ)上進行改進,從網(wǎng)絡(luò)數(shù)據(jù)入手,動態(tài)實時分析病毒特征碼以及其變種,從而提高查殺病毒和變種的能力。實時升級技術(shù)則體現(xiàn)了金山毒霸的易用性,當使用者的系統(tǒng)處于聯(lián)網(wǎng)狀態(tài)時,一旦有新的病毒特征庫,則毒霸2007會自動進行升級,不需要用戶進行人工干預(yù)。
3代表3個核心引擎,這與我們將要介紹的趨勢PC-Cillin 2007有著異曲同工之處。金山提出了反間諜、反釣魚和主動漏洞修復(fù)3個引擎的概念,其中反間諜引擎可將駐留于內(nèi)存及硬盤中的間諜軟件和木馬程序清除,保護用戶的系統(tǒng)安全;反釣魚引擎則可防止釣魚網(wǎng)站,釣魚郵件的攻擊,用戶訪問釣魚網(wǎng)站時金山毒霸2007會自動攔截,防止用戶的賬號密碼等重要信息被盜。主動漏洞修復(fù)則可掃描操作系統(tǒng)及各種應(yīng)用軟件的漏洞,當新的安全漏洞出現(xiàn)時,金山毒霸2007會下載漏洞信息和補丁程序,并自動進行安裝。我們在一臺剛剛安裝完Windows XP+SP2系統(tǒng)的筆記本電腦上進行了金山毒霸2007的漏洞掃描,事實證明該功能的確有著一定的過人之處。
4則代表金山毒霸的4大功能,針對銀行賬號、信用卡號,網(wǎng)絡(luò)游戲賬號,一旦木馬或間諜軟件試圖通過郵件盜取這些數(shù)據(jù),金山毒霸便可自動報警并提示使用者。此外,還可自動清理用戶的使用記錄,這就是金山公司提出的隱私保護功能。搶險防護功能則是指在Windows系統(tǒng)沒有完全啟動時,金山毒霸就開始加載,以便保護用戶的計算機系統(tǒng),避免“帶毒殺毒”的危險。最后,金山毒霸2007還提供了文件粉碎器和創(chuàng)建應(yīng)急U盤的功能,前者可完全刪除文件、文檔,后者則可以創(chuàng)建可啟動的U盤,用來在系統(tǒng)宕機之后進行修復(fù)。
需要說明的是,金山毒霸2007中集成了金山網(wǎng)鏢2007,這是一款類似于防火墻的軟件,可以掃描操作系統(tǒng)及各種應(yīng)用軟件的漏洞,以及系統(tǒng)中存在的諸如簡單密碼、完全共享文件夾等安全隱患。提供對黑客程序、木馬和間諜軟件以及其他惡意程序的攔截查殺,對網(wǎng)絡(luò)進行全方位攻擊防護。它還提供了網(wǎng)絡(luò)訪問監(jiān)控、共享目錄管理、不良網(wǎng)站過濾等多種功能。當發(fā)現(xiàn)系統(tǒng)中有木馬等程序時,金山網(wǎng)鏢2007能及時中止該程序?qū)ν獾耐▎枺^而對內(nèi)存中的進程進行查殺,保護用戶網(wǎng)絡(luò)通信的安全。
趨勢PC-Cillin
網(wǎng)絡(luò)安全版2007
早在幾個月前,我們測試Windows Vista系統(tǒng)的時候,就看到微軟官方網(wǎng)站上推薦使用的安全軟件為PC-Cillin Internet Security 14,而最新的趨勢PC-Cillin網(wǎng)絡(luò)安全版2007正是由此而來,其內(nèi)部代號為PC-Cillin Internet Security 15。
經(jīng)過與廠商的確認我們得知,經(jīng)過幾個月的測試,目前的趨勢PC-Cillin網(wǎng)絡(luò)安全版2007已經(jīng)可以支持Windows Vista系統(tǒng),但在正式版本的系統(tǒng)之前,趨勢科技為用戶設(shè)定了一個屏障,這也就是說現(xiàn)在購買的趨勢PC-Cillin網(wǎng)絡(luò)安全版2007并不能安裝在Windows Vista系統(tǒng)上,而當Vista在2007年1月底正式之后,消費者通過網(wǎng)絡(luò)可下載新版本的趨勢PC-Cillin網(wǎng)絡(luò)安全版2007,從而完成在Vista上的安裝,特別需要說明的是,這個升級過程是免費的。
趨勢PC-Cillin網(wǎng)絡(luò)安全版2007提出了雙引擎的概念,即將反病毒引擎和反間諜/垃圾軟件引擎獨立開來,這樣做的好處在于可更有效地阻止各類病毒、木馬、間諜軟件以及Rootkits程序的侵害。我們在實際測試時使用趨勢PC-Cillin網(wǎng)絡(luò)安全版2007掃描了整個系統(tǒng),事實證明我們?nèi)粘J褂玫挠嬎阍O(shè)備并沒有遭到任何病毒程序的入侵,但內(nèi)藏的垃圾軟件、流氓軟件則暴露出不少,這令我們感到十分意外,要知道《個人電腦》的編輯們都有著十分良好的使用習(xí)慣,從這一點可以看出,趨勢PC-Cillin網(wǎng)絡(luò)安全版2007的雙引擎功能在抵抗垃圾軟件方面做得著實不錯。
趨勢PC-Cillin網(wǎng)絡(luò)安全版2007還提供了無線網(wǎng)絡(luò)保護功能,只要區(qū)域內(nèi)的所有計算機都安裝了該軟件,則在進行上網(wǎng)時就可以時刻了解不速之客的情況,并允許使用者手工設(shè)定阻止或允許其他計算設(shè)備的訪問。
面對可能擁有多臺計算設(shè)備的家庭用戶,趨勢科技為趨勢PC-Cillin網(wǎng)絡(luò)安全版2007設(shè)計了使用一個CD-Key安裝3臺系統(tǒng)的功能,這得到了我們的稱贊。你可以為家里的每臺計算機都安裝一個趨勢PC-Cillin網(wǎng)絡(luò)安全版2007,如果有無線網(wǎng)絡(luò)的話還可實現(xiàn)網(wǎng)絡(luò)保護。這種做法在安全軟件領(lǐng)域并不多見。
我們在趨勢PC-Cillin網(wǎng)絡(luò)安全版2007會上特別詢問了有關(guān)該軟件的銷售問題,眾所周知,2006版本的趨勢PC-Cillin采用了移動存儲介質(zhì)進行銷售,也就是趨勢維C片。對新版本的軟件,趨勢科技表示將以銷售軟件本身的方式為主,但不排除會繼續(xù)采用移動存儲介質(zhì)銷售的可能。
瑞星殺毒軟件2007
瑞星殺毒軟件2007有著諸多新特性。眾所周知,目前殺毒軟件主要依靠特征碼技術(shù)查殺病毒,由于加殼病毒會對源文件進行壓縮、變形,使加密前后的特征碼完全不同。因此對于脫殼能力不強的殺毒軟件,對付此種病毒就需要添加多條不同的特征記錄。而如果黑客再采用一種新的殼進行加密變形,則對于此類殺毒軟件來說又是一個新的病毒,從而無法查殺。
篇(8)
關(guān)鍵詞:
網(wǎng)絡(luò)安全;攻擊檢測;時頻分析
隨著網(wǎng)絡(luò)技術(shù)在金屬交易平臺中的應(yīng)用,許多交易處理都是通過網(wǎng)絡(luò)平臺實施,對金屬交易網(wǎng)絡(luò)平臺的安全評估和安全防御成為保障交易雙方和用戶的信息和資源安全的重要保障。網(wǎng)絡(luò)攻擊者通過竊取金屬交易網(wǎng)絡(luò)平臺中的數(shù)據(jù)信息,進行數(shù)據(jù)纂改,實現(xiàn)網(wǎng)絡(luò)攻擊的目的。需要對金屬交易網(wǎng)絡(luò)安全防御模型進行優(yōu)化設(shè)計,提高網(wǎng)絡(luò)安全性能[1]。當前,對網(wǎng)絡(luò)攻擊信號的特征提取和檢測算法主要有基于時頻分析的網(wǎng)絡(luò)攻擊檢測算法、采用經(jīng)驗?zāi)B(tài)分解的攻擊檢測方法、基于小波分析的網(wǎng)絡(luò)攻擊檢測算法和基于譜特征提取的網(wǎng)絡(luò)攻擊檢測算法等[2,3],上述方法通過構(gòu)建網(wǎng)絡(luò)攻擊信號的特征提取模型,然后進行時頻特征、小波包分解特征和高階譜特征等,實現(xiàn)對信號的檢測和參量估計,達到網(wǎng)絡(luò)攻擊攔截的目的。但是,上述方法在進行網(wǎng)絡(luò)攻擊檢測中,存在計算量大,性能不好的問題。對此提出一種基于攻擊檢測的金屬交易網(wǎng)絡(luò)安全防御模型,實現(xiàn)網(wǎng)絡(luò)安全防御和主動檢測。
1金屬交易網(wǎng)絡(luò)安全防御機制與模型構(gòu)建
首先分析金屬交易網(wǎng)絡(luò)安全防御機制,金屬交易網(wǎng)絡(luò)在遭到病毒入侵和網(wǎng)絡(luò)攻擊是,主要是通過下面幾個方面進行網(wǎng)絡(luò)安全防御的:Web瀏覽器。主要包括金屬交易網(wǎng)絡(luò)用戶的操作界面和金屬交易網(wǎng)絡(luò)顯示界面。金屬交易網(wǎng)絡(luò)數(shù)據(jù)庫的數(shù)據(jù)、圖表均以網(wǎng)頁的形式傳給客戶端瀏覽器進行瀏覽。金屬交易網(wǎng)絡(luò)的安全認證中心。當用戶登錄時,在客戶端和Web服務(wù)器之間建立SSL安全套接層,所有信息在SSL的加密通道中傳輸,防止在傳輸過程中的機密信息被竊取。用戶身份認證Web服務(wù)。主要用于金屬交易網(wǎng)絡(luò)的資金結(jié)算和信息加中,TokenID包括用戶登錄時間、IP地址、隨機數(shù),采用MD5進行加密方式。金屬交易網(wǎng)絡(luò)的Web服務(wù)。為金屬交易網(wǎng)絡(luò)系統(tǒng)提供的各種服務(wù),每次調(diào)Webservices時,均需要對相關(guān)權(quán)限進行檢驗,提高數(shù)據(jù)庫系統(tǒng)的安全性。綜上分析,得到金屬交易網(wǎng)絡(luò)的角色等級關(guān)系示意圖如圖1所示。
2網(wǎng)絡(luò)攻擊信息特征提取與攻擊檢測算法設(shè)計
根據(jù)上述描述的金屬交易網(wǎng)絡(luò)安全防御機制,采用攻擊檢測方法進行網(wǎng)絡(luò)安全檢測和防御。
3仿真實驗與結(jié)果分析
為了測試本文算法在實現(xiàn)金屬交易網(wǎng)絡(luò)安全防御和攻擊檢測中的性能,進行仿真實驗。實驗中,采用Hash表構(gòu)建金屬交易網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊信號波形,Hash表的訪問速率與鏈路速率相匹配,金屬交易網(wǎng)絡(luò)攻擊數(shù)據(jù)采用的是KDDCup2015病毒數(shù)據(jù)庫,交易網(wǎng)絡(luò)攻擊的相位信息系數(shù)μ0=0.001,θ2=0.45π,攻擊的相位信息初始值選為θ1=-0.3π,即1024Hz。根據(jù)上述仿真環(huán)境和參數(shù)設(shè)定,進行網(wǎng)絡(luò)攻擊檢測,得到檢測到的網(wǎng)絡(luò)攻擊信號波形如圖2所示。對上述攻擊信號通過時頻分析方法進行特征提取,實現(xiàn)攻擊檢測,達到網(wǎng)絡(luò)安全防御的目的,為了對比性能,采用本文方法和傳統(tǒng)方法,以準確檢測概率為測試指標,得到結(jié)果如圖3所示。從圖可見,采用本文方法進行網(wǎng)絡(luò)攻擊檢測,準確檢測概率較高,性能較好。
4結(jié)語
本文提出一種基于攻擊檢測的金屬交易網(wǎng)絡(luò)安全防御模型。首先分析了金屬交易網(wǎng)絡(luò)安全防御機制,進行網(wǎng)絡(luò)攻擊的數(shù)據(jù)信息特征提取,通過時頻分析方法進行攻擊檢測,實現(xiàn)網(wǎng)絡(luò)安全防御和主動檢測。仿真結(jié)果表明,采用該模型進行網(wǎng)絡(luò)攻擊檢測,對病毒和攻擊數(shù)據(jù)的準確檢測概率較高,虛警概率較低,提高了網(wǎng)絡(luò)安全性能。
參考文獻
[1]張海山.基于云存儲視頻監(jiān)控系統(tǒng)的研究[J].電子設(shè)計工程,2015,(10):169.
篇(9)
網(wǎng)絡(luò)和信息技術(shù)的不斷發(fā)展和滲透,使得電子商務(wù)得到了飛速的發(fā)展。然而,電子商務(wù)在提供機遇和便利的同時,也面臨著一個最大的挑戰(zhàn),即交易的安全問題。其中,安全協(xié)議是保證電子商務(wù)安全的核心所在。
目前,國內(nèi)外使用的保障電子商務(wù)支付系統(tǒng)安全的協(xié)議包括:安全套接層協(xié)議SSL(Secure Socket Layer)、安全電子交易協(xié)議SET(Secure Electronic Transaction)等協(xié)議標準。
一、SSL協(xié)議
SSL協(xié)議是Netscape Communication公司推出在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。是對計算機之間整個會話進行加密的協(xié)議,提供了加密、認證服務(wù)和報文完整性。它是國際上最早應(yīng)用于電子商務(wù)的一種由消費者和商家雙方參加的信用卡/借記卡支付協(xié)議。
1.SSL協(xié)議提供的服務(wù)主要有
(1)用戶和服務(wù)器的合法性認證;
(2)加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù);
(3)維護數(shù)據(jù)的完整性,確保數(shù)據(jù)能完整準確地傳輸?shù)侥康牡亍?/p>
該協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性,它不能保證信息的不可抵賴性,主要適用于點對點之間的信息傳輸,常用Web Server方式,它包括:服務(wù)器認證、客戶認證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于電子商務(wù)應(yīng)用來說,使用SSL可保證信息的真實性、完整性和保密性。
2.SSL協(xié)議的工作流程
(1)接通階段:客戶通過網(wǎng)絡(luò)向服務(wù)商發(fā)送連接信息,服務(wù)商回應(yīng);
(2)密碼交換階段:客戶與服務(wù)器之間交換雙方認可的密碼,一般選用RSA密碼算法,也有的選用Diffie-Hellmanf和Fortezza-KEA密碼算法;
(3)會談密碼階段:客戶根據(jù)收到的服務(wù)器響應(yīng)信息,產(chǎn)生一個主密鑰,并用服務(wù)器的公開密鑰加密后傳給服務(wù)器;
(4)檢驗階段:服務(wù)器恢復(fù)該主密鑰,并返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務(wù)器。
(5)客戶認證階段:服務(wù)器通過數(shù)字簽名驗證客戶的可信度;
(6)結(jié)束階段,客戶與服務(wù)商之間相互交換結(jié)束的信息。SSL協(xié)議運行的基點是商家對客戶信息保密的承諾。從SSL 協(xié)議所提供的服務(wù)及其工作流程可以看出,該協(xié)議有利于商家而不利于消費者。客戶的信息首先傳到商家,商家閱讀后再傳給銀行,這樣,客戶資料的安全性便受到威脅。商家認證客戶是必要的,但整個過程中,缺少了客戶對商家的認證。在電子商務(wù)的初級階段,由于運作電子商務(wù)的企業(yè)大多是信譽較高的大公司,因此這問題還沒有充分暴露出來。但隨著電子商務(wù)的發(fā)展,各中小型公司也參與進來,這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數(shù)字簽名和數(shù)字證書可實現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗證,但是SSL協(xié)議仍存在一些問題,比如,只能提供交易中客戶與服務(wù)器間的雙方認證,在涉及多方的電子交易中,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。在這種情況下,Visa和 MasterCard兩大信用卡公組織制定了SET協(xié)議,為網(wǎng)上信用卡支付提供了全球性的標準。
二、Set協(xié)議
Set協(xié)議是1997年5月31日由VISA和MasterCard兩大信用卡公司聯(lián)合推出的一個基于開放網(wǎng)絡(luò)的安全的以信用卡支付為基礎(chǔ)的電子商務(wù)協(xié)議。它運用了RSA安全的公鑰加密技術(shù),具有資料保密性、資料完整性、資料來源可辨識性及不可否認性,是用來保護消費者在Internet持卡付款交易安全中的標準。現(xiàn)在,SET已成為國際上所公認的在Internet電子商業(yè)交易中的安全標準。
1.SET支付系統(tǒng)的組成
SET支付系統(tǒng)主要由持卡人(CardHolder)、商家(Merchant)、發(fā)卡行(Issuing Bank)、收單行(Acquiring Bank)、支付網(wǎng)關(guān)(Payment Gateway)、認證中心(Certificate Authority)等六個部分組成。對應(yīng)地,基于SET協(xié)議的網(wǎng)上購物系統(tǒng)至少包括電子錢包軟件、商家軟件、支付網(wǎng)關(guān)軟件和簽發(fā)證書軟件。
2.SET協(xié)議的工作流程如下
在SET協(xié)議介入之前,消費者通過因特網(wǎng)進行選貨、下訂單并與商家聯(lián)系最終確定訂單的相關(guān)情況、付款方式和簽發(fā)付款指令。此時SET協(xié)議開始介入,進入以下幾個階段
(1)支付初始化請求和響應(yīng)階段。當客戶決定要購買商家的商品并使用電子錢包支付時,商家服務(wù)器上POS軟件發(fā)報文給客戶的瀏覽器電子錢包,電子錢包要求客戶輸入口令然后與商家服務(wù)器交換“握手”信息,使客戶和商家相互確認,即客戶確認商家被授權(quán)可以接受信用卡,同時商家也確認客戶是一個合法的持卡人。
(2)支付請求階段。客戶發(fā)出一個報文,包括訂單和支付命令。在訂單和支付命令中必須有客戶的數(shù)字簽名,同時利用雙重簽名技術(shù)保證商家看不到客戶的賬號信息。而位于商家開戶行的被稱為支付網(wǎng)關(guān)的另外一個服務(wù)器可以處理支付命令中的信息。
(3)授權(quán)請求階段。商家收到訂單后,POS組織一個授權(quán)請求報文,其中包括客戶的支付命令,發(fā)送給支付網(wǎng)關(guān)。支付網(wǎng)關(guān)是一個Internet服務(wù)器,是連接Internet和銀行內(nèi)部網(wǎng)絡(luò)的接口。授權(quán)請求報文通過支付網(wǎng)關(guān)到達收單銀行后,收單銀行再到發(fā)卡銀行確認。
(4)授權(quán)響應(yīng)階段。收單銀行得到發(fā)卡銀行的批準后,通過支付網(wǎng)關(guān)發(fā)給商家授權(quán)響應(yīng)報文。
(5)支付響應(yīng)階段。商家發(fā)送購買響應(yīng)報文給客戶,記錄客戶交易日志,以備查詢。之后進行發(fā)貨或提供服務(wù),并通知收單銀行將錢從消費者的賬號轉(zhuǎn)移到商店賬號,或通知發(fā)卡銀行請求支付。
三、SSL協(xié)議和SET協(xié)議的對比
1.SSL協(xié)議的優(yōu)缺點
SSL協(xié)議是兩層協(xié)議,建立在TCP傳輸控制協(xié)議之上、應(yīng)用層之下,并且與上層應(yīng)用協(xié)議無關(guān),可為應(yīng)用層協(xié)議如HTTP、FTP、SMTP等提供安全傳輸,通過將HTTP與SSL相結(jié)合,Web服務(wù)器就可實現(xiàn)客戶瀏覽器與服務(wù)器間的安全通信。因此簡便易行是SSL協(xié)議的最大優(yōu)點,但與此同時其缺點也是顯而易見的。首先,在交易過程中,客戶的信息先到達商家那里,這就導(dǎo)致客戶資料安全性無法保證;其次,SSL只能保證資料傳遞過程的安全性,而傳遞過程是否有人截取則無法保證;再次,由于SSL協(xié)議的數(shù)據(jù)安全性是建立在RSA等算法上,因此其系統(tǒng)安全性較差;最后,雖然SSL協(xié)議中也使用了數(shù)字簽名來保證信息的安全,但是由于其不對應(yīng)用層的消息進行數(shù)字簽名,因此不能提供交易的不可否認性,這就造成了SSL協(xié)議在電子銀行應(yīng)用中的最大不足。
2.SET協(xié)議的優(yōu)缺點
由于SET提供了消費者、商家和銀行之間的雙重身份認證,確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優(yōu)點,因此它成為目前公認的信用卡/借記卡的網(wǎng)上交易的國際安全標準。但在實際應(yīng)用中,SET協(xié)議依然存在以下不足:
(1)SET協(xié)議中仍存在一些漏洞。如:不可信的用戶可能通過其它商家的幫助欺騙可信的商家在未支付的情況下得到商品;密鑰存在被泄露的危險;存在冒充持卡人進行交易的隱患。
(2)SET協(xié)議的性能有待改進。如:單純支持信用卡,需要進一步適應(yīng)借計卡的使用;協(xié)議過于復(fù)雜,要求安裝的軟件包過多,處理速度慢,價格昂貴;由于該協(xié)議的每一個階段都要進行多次數(shù)據(jù)加密解密、簽名、證書驗證等安全操作,因此協(xié)議的交易時間過長,不能滿足實時交易要求。
3.總結(jié)
由于SSL協(xié)議的成本低、速度快、使用簡單,對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)不需進行大的修改,因而目前取得了廣泛的應(yīng)用。但隨著電子商務(wù)規(guī)模的擴大,網(wǎng)絡(luò)欺詐的風(fēng)險性也在提高,在未來的電子商務(wù)中SET協(xié)議將會逐步占據(jù)主導(dǎo)地位。
參考文獻:
[1]徐震鄧亞平:SET的安全性分析與改進[J].重慶郵電學(xué)院學(xué)報,2005,17 (6),745~748
篇(10)
[DOI]10.13939/ki.zgsc.2016.02.111
構(gòu)建安全網(wǎng)絡(luò)、營造網(wǎng)絡(luò)安全環(huán)境都需要網(wǎng)絡(luò)安全協(xié)議。人們對應(yīng)用于計算機中的安全協(xié)議做了大量的分析研究,就是為了提高網(wǎng)絡(luò)信息傳輸?shù)陌踩裕怪軓母旧媳WC網(wǎng)絡(luò)安全,以免造成因網(wǎng)絡(luò)安全等級不夠而導(dǎo)致網(wǎng)絡(luò)信息數(shù)據(jù)丟失或者文件信息丟失以及信息泄露等問題。網(wǎng)絡(luò)安全協(xié)議課程包括對密碼學(xué)和計算機網(wǎng)絡(luò)的學(xué)習(xí),網(wǎng)絡(luò)安全協(xié)議比較復(fù)雜,無論是對于教師還是學(xué)生而言,難度都比較大,所以學(xué)生只有在加強自身的理解與應(yīng)用能力之后,才能有利于新知識的繼續(xù)學(xué)習(xí)。針對網(wǎng)絡(luò)安全協(xié)議中的協(xié)議原理和細節(jié),對于教師而言,如何讓學(xué)生理解非常重要;對于學(xué)生而言,如何掌握并應(yīng)用非常重要。所以,教師對于網(wǎng)絡(luò)安全協(xié)議課程的實踐教學(xué)設(shè)計不能馬虎。
1實踐教學(xué)設(shè)計總述
常用的網(wǎng)絡(luò)安全協(xié)議包括Kerberos認證協(xié)議,安全電子交易協(xié)議SET、SSL、SHTTP、S/MIME、SSH、IPSec等。[1]這些安全協(xié)議屬于不同的網(wǎng)絡(luò)協(xié)議層次,能提供不同的安全功能。特別是在IPV6當中采用IPSec來加強網(wǎng)絡(luò)的安全性。并且在開放系統(tǒng)互連標準中,網(wǎng)絡(luò)協(xié)議被分為7層,其中物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層都是常用的。所以,由于每種網(wǎng)絡(luò)安全協(xié)議內(nèi)容豐富以及它們都有各自的優(yōu)點和缺點,致使在實際應(yīng)用中網(wǎng)絡(luò)安全協(xié)議更具復(fù)雜性。教師需要通過實踐教學(xué)設(shè)計來實現(xiàn)讓學(xué)生全面理解和掌握協(xié)議中的原理和細節(jié),并能夠有效應(yīng)用。首先要做到讓學(xué)生由表及里的、由淺入深的認識和學(xué)習(xí)網(wǎng)絡(luò)安全協(xié)議,其次要做到讓學(xué)生能應(yīng)用到網(wǎng)絡(luò)安全協(xié)議,最后達到創(chuàng)新的目標。所以實踐教學(xué)內(nèi)容要劃分為階段性的,才能讓學(xué)生逐步透徹地掌握網(wǎng)絡(luò)安全協(xié)議中的方方面面。
2SSL協(xié)議的實踐教學(xué)實施
2.1認知階段
教師在本階段的教學(xué)內(nèi)容就是讓學(xué)生認識SSL協(xié)議。需要掌握以下內(nèi)容:
SSL采用公開密鑰技術(shù),其目標是保證兩個應(yīng)用間通信的保密性和可靠性,可在服務(wù)器和客戶機兩端同時實現(xiàn)支持。目前,利用公開密鑰技術(shù)的SSL協(xié)議,已成為因特網(wǎng)上保密通信的工業(yè)標準。SSL協(xié)議中的SSL握手協(xié)議可以完成通信雙方的身份鑒定以及協(xié)商會話過程中的信息加密密鑰,從而建立安全連接。SSL握手協(xié)議如下圖所示。
SSL握手協(xié)議
而在SSL協(xié)議中,獲取SSL/TLS協(xié)議通信流量,直觀地觀看SSL/TLS協(xié)議的結(jié)構(gòu)就需要使用Wireshark抓包分析工具軟件。通過流量抓取分析來讓學(xué)生掌握SSL/TLS的具體內(nèi)容。
2.2體驗階段
經(jīng)過初步的學(xué)習(xí),要讓學(xué)生體驗SSL的應(yīng)用范圍,對SSL的應(yīng)用過程有一個直觀的感受和體驗。學(xué)生用于數(shù)字證書生成、發(fā)放和管理需要完成CA的安裝與配置,其次分別為IISWeb服務(wù)器和客戶端申請、安裝證書,再在服務(wù)器上配置SSL,通過以上步驟完成IIS服務(wù)器中的SSL/TLS配置來建立客戶端和服務(wù)器的連接。[2]此階段的具體應(yīng)用會讓學(xué)生深入的了解SSL/TLS中的有關(guān)內(nèi)容。
2.3應(yīng)用階段
應(yīng)用階段的教學(xué)內(nèi)容是前兩階段教學(xué)內(nèi)容的升華,它會使學(xué)生具備利用SSL/TLS協(xié)議進行通信的編程能力。而要達到這點,就需要通過利用OpenSSL,實現(xiàn)一個簡單的SSL服務(wù)器和客戶端。這個階段的工作量不小,學(xué)生需要在教師的指導(dǎo)下分組進行。進行過程中主要環(huán)節(jié)包括,首先,學(xué)生利用自己熟悉的系統(tǒng)和開發(fā)平臺來完成OpenSSL的編譯安裝。其次,學(xué)生參考已有的源代碼來完成VC++編譯環(huán)境的設(shè)置。[3]再次,學(xué)生利用OpenSSL的證書生成命令性工具生成服務(wù)器和客戶端數(shù)字證書。最后,通過完成簡單的TCP握手連接和通信,并加入SSL握手功能來實現(xiàn)SSL/TLS編程。
2.4總結(jié)提高階段
課堂上的理論教學(xué)和階段性的實踐教學(xué)對于學(xué)生熟悉掌握SSL協(xié)議具有很好的作用,但是還存在某些方面的不完整性。例如,通過研究和實際應(yīng)用SSL/TLS協(xié)議的過程中,如何進一步改善SSL/TLS協(xié)議所存在的問題。這些都是需要學(xué)生去解決的。在解決過程中,學(xué)生就能具備進行高效學(xué)習(xí)的能力。教師可以采取向?qū)W生提問的方式來進行這一階段的教學(xué)內(nèi)容。問題可以是多方面的,例如通過前幾階段的認識和實踐,SSL/TLS協(xié)議還存在哪些不足?并通過一個實際的SSL/TLS協(xié)議的應(yīng)用案例,發(fā)現(xiàn)SSL/TLS協(xié)議還有哪些局限性,并解決這些局限所帶來的問題。在此階段內(nèi),學(xué)生和教師要進行不斷的交流和討論,并找出相關(guān)事實依據(jù)來論證自己的觀點。例如,針對Heartbleed漏洞,學(xué)生需要了解漏洞產(chǎn)生的原因和危害,并提出解決措施。通過分析發(fā)現(xiàn)是OpenSSL開源軟件包的問題導(dǎo)致了此漏洞出現(xiàn),與SSL/TLS協(xié)議并無太大關(guān)系。經(jīng)過對此問題的分析研究,我們可以發(fā)現(xiàn),協(xié)議本身的安全并不代表能在實現(xiàn)協(xié)議過程中避免所有的不安全因素。
3實踐教學(xué)效果評價
各個階段的實踐教學(xué)過程需要教師進行精心的設(shè)計和把握,并通過具體的實施實踐才能驗證實踐教學(xué)設(shè)計的是否合理,是否有效。由于網(wǎng)絡(luò)安全協(xié)議課程本身就非常復(fù)雜,再加上具體實施過程中內(nèi)容、方法和難度有所不同,就需要根據(jù)學(xué)生的反饋情況來進行及時的調(diào)整。教師要從各項反饋指標進行自我反思,并與學(xué)生進行溝通。同時,在此過程中,也要認真檢查對學(xué)生的作業(yè)布置,關(guān)注學(xué)生是否掌握了有關(guān)網(wǎng)絡(luò)安全協(xié)議的技能,注重學(xué)生的完成情況和學(xué)生對于實踐教學(xué)過程中不足之處的意見。
4結(jié)論
網(wǎng)絡(luò)安全協(xié)議內(nèi)容復(fù)雜,具體應(yīng)用過程及各項技術(shù)操作也較為煩瑣,因此,單單只是針對SSL/TLS協(xié)議的實踐教學(xué)做了簡要的設(shè)計并不能移植到所有的網(wǎng)絡(luò)安全協(xié)議課程的教學(xué)中去。若要講關(guān)于網(wǎng)絡(luò)安全協(xié)議中鏈路層和網(wǎng)絡(luò)層,那么第三階段的實踐教學(xué)內(nèi)容就不具意義了。而要講應(yīng)用層的安全協(xié)議,第三階段的實踐教學(xué)內(nèi)容相比于第一階段和第二階段就重要得多。對于信息安全專業(yè)的學(xué)生來說,只有掌握好計算機網(wǎng)絡(luò)和密碼學(xué)的課程內(nèi)容,才能繼續(xù)網(wǎng)絡(luò)安全協(xié)議課程的學(xué)習(xí)。因為網(wǎng)絡(luò)安全協(xié)議課程的理論性和實踐性都非常強。在實踐教學(xué)的實施過程中,不但要讓學(xué)生充分品嘗動手的樂趣,還要讓學(xué)生掌握網(wǎng)絡(luò)安全協(xié)議的具體知識。同時還要注重培養(yǎng)在網(wǎng)絡(luò)安全協(xié)議方面的應(yīng)用型人才。
參考文獻:
