《CAPICOM电子商务安全应用论文.docx》由会员分享,可在线阅读,更多相关《CAPICOM电子商务安全应用论文.docx(4页珍藏版)》请在三一文库上搜索。
1、第 1 页 CAPICOM 电子商务安全应用论文 特征码 atsDYylFjEhJYkZShZqD 摘 要 电子商务的出现变革了贸易方式,在带来便利的同时也 带了很多安全隐患,如何构建电子商务的安全性成为商务信息 化的研究热点。分析了电子商务交易模型的安全需求,探讨了 密码中间件 CAPICOM 在安全交易模型中的应用,讨论 CAPICOM 的数据结构和 COM 对象,指出使用标准接口的密码中间件能使 电子商务应用零开销地本地化 CSP。 关键字 密码中间件; 电 子商务; 交易模型; 信息安全; CAPICOM 1 前言 随着 Internet 的不断普及,人们的消费观念和商务模式也发生了巨
2、 大了变化,人们更希望通过网络的便利来进行网络采购和交易, 从而导致了(Electronic Commerce)电子商务的出现,并在世 界范围内掀起了一股热潮。但是,美国密执安大学一个调查机 构通过对 23000 名因特网用户的调查显示1,超过 60%的人由 于担心电子商务的安全问题而不愿进行网上购物。因此,研究 和分析电子商务的信息安全问题,特别是针对我国国情,充分 借鉴国外的先进技术和经验,开发和研究出具有独立知识产权 的电子商务信息安全产品,成为目前我国电子商务的热点。 2 第 2 页 电子商务安全威胁 电子商务中的安全隐患可分为如下几类2, 1.信息截获和窃取。如果没有采用加密措施或加
3、密强度不够, 攻击者可能通过因特网、电话网、电磁波辐射域内安装截收装 置或在网关和路由器上截获数据等方式,窃取机密信息,或通 过对信息流量和流向、通信频度和长度等参数的分析,导出有 用信息,如银行帐号、密码等;2.信息篡改。如果攻击者熟悉 了网络信息格式,可对网络传输的信息进行中途修改,并发往 目的地,从而破坏信息完整性。如篡改信息流的次序,更改信 息内容;3.信息假冒。当攻击者掌握了网络信息数据规律或解 密了商务信息以后,可以假冒合法用户来欺骗其他用户,例如 伪造电子邮件,虚开网站和商店,发送电子邮件,收定货单; 伪造大量用户穷尽商家资源,使合法用户不能正常访问网络资 源,使有严格时间要求的
4、服务不能及时得到响应等;4.交易抵 赖。交易抵赖包括多个方面,如发信者事后否认曾经发送过某 条信息或内容,收信者事后否认曾经收到过某条消息或内容, 购买者做了定货单不承认,商家卖出的商品因价格差而不承认 原有的交易。 3 电子商务安全需求 电子商务面临的威胁直接 导致了电子商务对于信息安全的需求,也就是实现一个安全电 子商务系统务必具备的信息安全品质,主要包括机密性、完整 性、认证性和不可抵赖性。1.秘密性(Confidentiality) ,电 子商务作为贸易的一种手段,其信息直接代表着个人、企业或 国家的商业机密。传统纸面贸易都是通过邮寄封装的信件或通 第 3 页 过可靠的通信渠道发送商业
5、报文来达到保守机密的目的。电子 商务是建立在一个较为开放的网络环境上的如 Internet,维护 商业机密是电子商务全面推广应用的重要保障。因此,要预防 非法的信息存取和信息在传输过程中被非法窃取。2.完整性 (Data Integrity) ,电子商务简化了贸易过程,减少了人为的 干预,同时也带来维护贸易各方商业信息的完整、统一的问题。 由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信 息的差异。此外,数据传输过程中信息丢失、信息重复或信息 传送的次序差异也会导致混乱。因此,要预防对信息的随意生 成、修改和删除,同时要防止数据传送过程中信息的丢失和重 复并保证信息传送次序的统一。3.认
6、证性(Verification of Identity) ,网络电子商务交易系统的特殊性,企业或个人的交 易通常都是在虚拟的网络环境中进行,所以对个人或企业实体 进行身份性确认成了电子商务中得很重要的一环。对人或实体 的身份进行鉴别,为身份的真实性提供保证,即交易双方能够 在相互不见面的情况下确认对方的身份。这意味着当某人或实 体声称具有某个特定的身份时,鉴别服务将提供一种方法来验 证其声明的正确性。4.不可抵赖性(Non-repudiation of Disputed Charges) 。电子商务可能直接关系到贸易双方的商业 交易,如何确定要进行交易的贸易方的确是进行交易所期望的 贸易方这一
7、问题则是保证电子商务顺利进行的关键。在传统纸 面贸易中,双方通过在交易合同、契约或贸易单据等书面文件 第 4 页 上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的 可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字 “。在无纸化的电子商务方式下,通过手写签名和印章进行贸易 方的鉴别已是不可能的。因此,要在交易信息的传输过程中为 参与交易的个人、企业或国家提供可靠的标识3。 4 密码中 间件和 CAPICOM 中间件是独立的系统软件或服务程序,它屏蔽 了操作系统和网络协议的差异,并提供相应的平台以满足不同领 域的需要。它成功地解决了网络计算和分布计算环境下资源的 通信,共享,管理,控制等问题3。其技术本身很复杂,技术 标准多,产品多。在 Windo