分享

对于电子商务的思考

 jimmylin88cn 2007-12-23
现在的电子商务在交易过程中虽然有了比较完善的安全系统,但是有像PKI和CA这些安全系统也不能完全就说网上交易很安全。在现在21世纪这个发展高峰的世纪里,无纸化早已深入人心,网上交易也成为了热点、时尚。但还是有个老问题困扰着我们—一—安全。

    像易趣、淘宝……等,这些网站的老板就是在众多的网络企业中脱颖而出的。

关键词:

    电子商务(Electronics Business) 密码(Encryption) 公开密钥体系(Public Key Infrastructure ,PKI) 认证技术(Certificate Authority, CA)

    随着科学技术的发展,电子商务这门不新不旧的技术在全球范围内在以十分迅猛的速度普及和推广。自从电话以及网络问市后,电子商务就在不断的发展变化。但是在发展变化当中电子商务的安全问题却成为一个重大难题。网上交易中,各种黑客攻击和人们的网络欺骗严重威胁着交易的安全,他们一旦截获用户的交易身份认证密码以及用户的信认,便可为所欲为窃取用户的金钱等资源,给用户造成很大的损失以其不必要的麻烦。

    目前,许多网上业务都采用用户名和密码的识别方式进行加密或交易,但是这种简单方式存在很多的安全问题。 

1) 密码容易被盗取

    用户为了不忘记密码,经常采取一些比如自己生日、门牌号、电话号码等熟悉的号码,同时还可能将号码记在纸上,也有可能在不经意间泄密给他人(如上网吧等地上网),这都存在着许多安全问题。

2) 密码网上传输易被黑客截获

    像信用卡号、银行账号、私钥等安全信息密码在网络传输中极易被黑客窃取,令企业、个人造成不必要的损失真可未是防不胜防。

    因此,现在部分机构运用PKI(Public Key Infrastructure的缩写,即“公开密钥体系”)技术实施构建完整的加密/签名体系,更有效地解决上述难题,在充分利用互联网实现资源共享的前提下,从真正意义上确保了网上交易与信息传递的安全。

    但是现在的用户、企业大都不了解PKI,还是习惯用密码。其实现在的人们大部分都是在用密码来保护自己在网络上的账号或企业的文档的。为了能够得到安全,人们都会把密码定得很长。无论密码定的多长密码系统多么复杂,所有的密码系统都是由四个基本部分组成的:(1)明文。(2)密文。(3)加密算法。(4)密钥。

    一般的数据加密是明文用加密算法和加密密钥进行加密运算,得到密文;再通过一定的路径传输给接收端,利用解密算法和解密密钥对密文进行解密运算,最后又得到明文。这些只是我们常见的密码和账号的加密手段,在这里只是简单的介绍一下它的组成和内容。而现在部分企业常用的PKI技术也逐渐阔展开来。

浅析PKI

    PKI是一种遵循既定标准的密钥管理平台,它能够为所有的网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PKI区别于原有的单密钥加密技术,它采用的是非对称的加密算法。这种网络加密方式保证了网上交易和信息传输的机密性、真实性、完整性、不可抵赖性。

    构建密码服务系统的核心内容是如何实现密钥管理。公钥体系涉及到一对密钥(即公钥和私钥),私钥只由用户独立掌握,无需在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,目前较好的解决方案是数字证书体系。数字证书是公开密钥体系的一种密钥管理媒介。它是一种权威性的电子文档,形同网络计算环境中的一种身份证,用于证明某一主体(如人、服务器等)的身份以及其公开密钥的合法性,又称为数字ID。数字证书由公钥及用户信息等数据共同组成,可以写入一定的存储介质内,确保用户信息不被非法读取及篡改。

    以上是PKI的初步说明,由于现在广泛用了这项技术,所以一大部分企事业单位和个人可以在比较安全的网络环境中进行商务运作。但是在电子商务交易过程中绝对不可以缺少认证技术这一重要环节。由于在电子商务的交易中,交易双方之间大都不会见面,为了保证在交易中双方(消费者和商家)所保证的交易信息不被抵赖,就一定要有完善的认证技术。

认证技术

    认证技术是为了确保交易安全的一种技术。它的特点是具有真实性、安全性以及方便实用。目前的认证技术对于身份认证和交易信息认证的方法主要是运用数字签名、数字证书和数字时间戳,而且还有专门的认证中心。

1) 数字签名

    数字签名对信息安全中的身份认证、密钥分配、信息的完整性、交易信息的不可否认性等方面具有重要作用。它是指信息发送方把要发送的信息用发送者的私钥加密,然后发送给收信人。收信人只有用发送人的公钥才能把信息打开,这样既可以证实信息确实来自发送方,同时也能使发送方不能否认自己发送了信息。它的作用是对信息的发送者身份的证明以防止在交易过程中发生抵赖的行为并可以验证信息的完整性。

2) 数字证书

    数字证书也叫数字凭证、公开密钥证书,它是一个担保个人、计算机系统的身份和密钥所有权的电子文档,也就是用电子的手段来证实一个用户的身份和对这些资源的访问权限。数字证书分为个人数字证书、机构数字证书、服务器数字证书、安全邮件证书、代码签字数字证书等五种。

3) 数字时间戳

    数字时间戳是用来证明信息的收发时间的。它是一个凭证文档,它能够保证信息文件加上去的时间戳与储存信息的物理媒介无关;它对已加上的数字时间戳的信息文件不能作任何改动和伪造;在某个信息文件中加上与当前日期和时间不同的时间戳是不可能的。这三点足可以证明它的重要性。

小结

    现在的电子商务在交易过程中虽然有了比较完善的安全系统,但是有像PKI和CA这些安全系统也不能完全就说网上交易很安全。在现在21世纪这个发展高峰的世纪里,无纸化早已深入人心,网上交易也成为了热点、时尚。但还是有个老问题困扰着我们—一—安全。说到这儿会有人问:“PKI和CA等技术就这么不安全吗?”不是的,这些技术故然安全但是这个世上是没有绝对的,再安全的技术也有它不安全的一天,之所以会这样是因为世界是在不断发展的。

    说到这儿就不得不说一下人们的诚信问题。之所以有如此多的协议来规范网络秩序就是因为人们不诚实。现在有许多许多人在弄网上购物,但他们真的就这么有信誉吗?事实就不得而知了。像易趣、淘宝……等,这些网站的老板就是在众多的网络企业中脱颖而出的。又有人会问,信誉好不就可以不要那些安全技术了吧。不!我认为信誉好是建立在安全技术完备的基础上的。网络的安全是大家共同努力来确保的。

    本文根据一系列文献参考我初步分析了目前电子商务领域所使用的安全技术:如加密技术,PKI技术,认证技术 ,指出了它们分别的使用范围及其特点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法和人们的个人素质,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多