首页 > 范文大全

电子商务安全性

时间：2022年12月23日

来源：Wetdiam0nd

编辑：本站小编

收藏本文

下载本文

下面是小编为大家带来的电子商务安全性，本文共10篇，希望大家能够喜欢!本文原稿由网友“Wetdiam0nd”提供。

篇1：电子商务安全性

电子商务安全性

【摘要】本文先分析了快速发展的电子商务活动中所面临的安全隐患，据此提出了解决电子商务安全性的五种技术。

【关键词】电子商务;网络安全;安全隐患;安全技术

随着信息技术的发展，电子商务成为当今商务活动的新模式。

许多企业开始通过Internet进行商务活动，电子商务也具有了广阔的发展前景，但是与此同时，其安全问题也变得日益突出。

如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为商家和用户都十分关注的话题。

从整体上讲，电子商务的活动大致包括以下三个方面：(一)电子商务信息必须通过计算机网络进行传输;(二)在网络上传输的信息需要进行加密;(三)进行商务活动的双方必须得到某种身份认证，保证交易的安全性。

因此，电子商务的安全性体现在网络安全、信息加密技术以及交易的安全。

计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。

由于互联网在设计之初只考虑方便性、开放性，使得互联网非常脆弱，极易受到入侵或恶意破坏，使得网络信息系统遭到破坏，信息泄露。

因此电子商务中的安全隐患可以分为如下几类：

(一)黑客入侵

导致信息被截获和获取，或者被篡改。

黑客即Hacker音译，专指对别人的计算机系统非法入侵者。

20世纪70年代，这个词是褒义词，专指那些独立思考、遵纪守法的计算机迷，他们智商高，对计算机的最大潜力进行智力上的探索，为计算机技术的发展做出了很大贡献。

而当今世界，随着信息技术的广泛普及，越来越多的人掌握了黑客技术，使黑客现象发生了质的改变。

不少黑客专门搜集他人隐私，恶意篡改他人的重要数据，进行网上诈骗、对他人网上帐户盗窃，给社会及人们的生活带来极大的破坏性。

因此人们普遍认为黑客就是信息安全的最大威胁。

黑客入侵的动机有以下几种：(1)偷盗窃取。

黑客实施网络攻击的`一个目的就是利用黑客技术为个人私利而大肆进行各种各样的偷窃活动。

随着企业电子商务活动的发展，应用网上银行支付或通过第三方支付平台支付的人群越来越多，也为黑客及其他计算机犯罪利用计算机网络盗窃个人或银行资金提供了可乘之机。

当用户进行网上购物时，用户只要输入用户密码、银行信用卡密码，即完成了网上购物和支付程序。

黑客一旦觊觎用户的密码和信用卡密码，则用户在银行账户上的资金便容易被窃取。

(2)蓄意破坏。

在3月，黑客使美国数家电子商务网站如：Amazon、eBay、CNN陷入瘫痪，黑客使用了分布式拒绝服务的攻击手段，用大量垃圾信息阻塞网站服务器，使其不能正常服务。

国内网站新浪、当当网上书店、EC123等也先后受到黑客攻击，服务器上的各类数据库也受到不同程度的破坏。

(二)病毒破坏

电子商务离不开计算机网络，而病毒制造者通过传播计算机病毒来蓄意破坏互联网计算机的程序、数据和信息，以达到某种非法目的。

病毒破坏已经成为企业开展电子商务面临的信息安全重大威胁。

目前，破坏计算机的流行病毒可以归纳为以下几类：

(1)蠕虫病毒。

蠕虫病毒是无须计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分控制权来进行传播。

蠕虫病毒与其他病毒的最大不同在于它不需要人为干预，并且能够自主不断地复制和传播。

在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在很短的时间内蔓延整个网络，造成网络瘫痪。

(2)病毒邮件。

电子邮件是互联网的一项基本而普遍的功能，是企业实施电子商务频繁使用的信息传递工具。

然而，某些病毒制造者也看中了深受人们喜欢的电子邮件，并将其作为传播病毒的重要手段。

(3)公开发放的病毒。

在计算机网络中有一种“共享软件”，它是由计算机用户免费使用、复制以及分享的软件。

如果计算机病毒以这种方式公开发布，就可进入各种领域，并进入各个计算机网络，对计算机网络造成极大的危害。

(三)预置陷阱

预置陷阱是指在信息系统中人为地预设一些陷阱，以干扰和破坏计算机系统的正常运行。

在对信息安全的各种威胁中，预置陷阱是危害最大、最难预防的一种威胁。

一般分为硬件陷阱和软件陷阱两种。

(1)硬件陷阱。

指“芯片级”陷阱。

例如，使芯片经过一段有限的时间后自动失效，使芯片在接收到某种特定电磁信号后自毁，使芯片在运行过程中发出可识别其准确位置的电磁信号等。

这种“芯片捣鬼”活动的危害不能忽视，一旦发现，损失非同寻常，计算机系统中一个关键芯片的小小故障，就足以导致整个网站服务器系统乃至整个连接信息网络系统停止运行。

这是进行信息网络攻击既省力、省钱又十分有效的手段。

(2)软件陷阱。

指“代码级”陷阱，软件陷阱的种类比较多，黑客主要通过软件陷阱攻击网络。

“陷阱门”又称“后门“，是计算机系统设计者预先在系统中构造的一种结构。

网络软件所存在的缺陷和设计漏洞是黑客进行攻击服务器系统的首选目标。

在计算机应用程序或系统操作程序的开发过程中，通常要加入一些调试结构。

在计算机软件开发完成之后，如果为达到攻击系统的目的，而特意留下少数结构，就形成了所谓越过对方防护系统的防护进入系统进行攻击破坏。

(四)信息的假冒

当攻击者掌握了网络信息数据规律或了解了商务信息后，可以假冒合法用户或发送假冒信息来欺骗其他用户，主要有两种方式：(1)伪造电子邮件：虚开网站，给网上用户发送电子邮件，收订货单;伪造大量用户，发电子邮件，穷尽商家服务器的资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到相应;(2)假冒他人身份：如冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户;冒充网络控制程序，套取或修改使用权限、保密字、密钥等信息。

(五)交易抵赖

交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条消息或内容;商家卖出的商品因价格差而不承认原有的交易。

在现实生活中经常发生的恶意抵赖同样会在网络上发生。

篇2：电子商务安全性论文

引言

在计算机网络被人们广泛所应用的前提下，运用计算机网络进行电子商务活动的人群也在日益增多。电子商务具有操作简单、成本较低的特点，可以带来较大的经济效益，但与此同时，电子商务也具体全球性与开放性的特点，所以为网络购物带来了较大的安全问题，由此可以得出，能否解决电子商务的安全问题是推动电子商务产业发展的决定性因素。

篇3：电子商务安全性论文

首先，病毒与木马的种类增加速度较快。在计算机网络的使用过程中可以发现，出现木马的几率较高。并且，网络中的病毒的类型也在日益增多，在此过程中，病毒的更新速度较快，所产生的破坏能力与日俱增，甚至许多木马就是病毒的衍生物。与此同时，我们所使用的杀毒软件也在不断地更新与完善，但在具体的应用过程中，仍然会出现难以消除病毒、木马的情况。许多病毒是用户在进行网页浏本文由论文联盟www.LWlm.cOm收集整理览或者下载软件过程中所携带，网络用户对此毫无知觉，为计算机带来了较为严重的后果。当病毒安装到计算机后，使得一些不法分子在电子商务的交易过程中利用病毒来进行网络诈骗与窃取等行为。

其次，网络病毒的传播方式产生了变化。通常，网络病毒会利用U盘或者移动硬盘等存储设备进行侵袭，计算机用户在不知情的情况下，将已经携带病毒的U盘或者移动硬盘与电脑连接，使得病毒侵入计算机网络，进行损坏与窃取。

最后，网络病毒对电子商务交易所造成的负面影响日益增加。当前，人们的生活越来越离不开计算机网络，人们会把一些重要的数据或信息输入电脑，如在进行网络交易时，银行卡等重要个人信息将会被计算机网络所记忆。由于病毒的入侵，一些计算机网络的用户的浏览器就会被恶意篡改，导致用户一些重要的数据及个人信息出现丢失或损坏的情况，对电子商务的.有效运行有着严重的影响。并且，病毒的生存能力较强，破坏性较大，一旦感染上病毒，很难清除，将会为人们带了巨大的经济损失。

2 电子商务安全问题所产生的消极后果

在电子商务的具体使用过程中，网络安全隐患常常使得商业的机密出现外泄的可能，一方面，在具体的交易过程汇总，卖方或者买方之间所进行的交易的详细内容有可能被恶意第三方所盗取；另一方面，一些机密的文件信息在运用计算机网络进行传输的过程中，有可能会被恶意第三方所篡改或破坏，失去文件的真实性与完整性，使得电子商务的交易过程中会产生较大的经济损失。

在进行网络交易的过程中，买卖双方通过计算机网络来进行具体的交流，彼此之间毫不了解，彼此之间也未曾有过见面，通过网络来进行协商、确定与支付。而网络将可能出现的安全问题，容易使得交易双方的身份出现被伪造的可能性，导致诈骗行为出现的几率加大。

篇4：电子商务安全性论文

通过开展广泛的网络安全的宣传工作，提高公民的网络安全的意识。当前，人们在进行网络交易时，对于自我保护的意识较为薄弱，没有较强的防范意识，使得受到网络犯罪侵袭的可能性加大。所以，必须增强安全宣传的力度，使人们增强对于网络安全问题的防范意识，深刻认识到网络威胁所带来的严重后果，自觉地提高防范意识。

运用多种手段兼施的网络保护技术，来有效促进保障网络安全技术的创新与发展。当前，保障电子商务安全的技术有虚拟专用网络与防火墙等，通常人们会使用防火墙来保障网络的安全。通过建立保障外部网络与内部网络之间的安全屏障，来对一些未经授权的用户或者服务器进行有效抵制。在此过程中，需要相关的研究人员对防火墙的技术不断进行更新，以保证用户能够及时下载安装，从而保护计算机网络的安全，尽量减少病毒出现的可能性。一些企业运用虚拟专用网络与防火墙技术的兼施技术，来增强电子商务的安全性。

4 结语

随着信息技术的不断发展于创新，未来将会出现更多的影响电子商务安全的因素。因此，必须不断加强相关技术水平，以有效解决电子商务的安全问题，保障用户的利益，防止重要数据的破坏与丢失，保障电子商务行为的有序进行。

篇5：浅谈电子商务的安全性

浅谈电子商务的安全性2500字

摘要：随着互联网的全面普及，基于互联网的电子商务也应运而生，并在近年来获得了巨大的发展，成为一种全新的商务模式，被许多经济专家认为是新的经济增长点。作为一种全新的商务模式，它有很大的发展前途，同时，这种电子商务模式对管理水平、信息传递技术都提出了更高的要求，其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电于商务应用环境，对信息提供足够的保护，是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题。本文将对电子商务安全问题作一个基本的探讨。

关键词：电子商务互联网安全

一、电子商务概述

1.电子商务的概念

电子商务出现于20世纪90年代，发展的时间并不长，但与传统商务相比，电子商务具有惊人的发展速度。但是，究竟什么是电子商务呢?实际上，迄今为止，电子商务还没有一个被广泛接受的概念。世界贸易组织(WTO)给电子商务下的定义为：电子商务是指以电子方式进行的商品和服务之生产、分配、市场营销、销售或交付。

2.电子商务的特点

与传统商务相比，电子商务具有许多特点：

其一，电子商务是在公开环境下进行的交易，其可以在全球范围内进行交易。

由于借助互联网，这就使得经济交易突破了空间的限制;公开环境下的信息公开，使所有的企业可以平等地参与市场竞争。

其二，在电子商务中，电子数据的传递、编制、发送、接收都由精密的电脑程序完成，更加精确、可靠。

其三，电子商务是一种快速、便捷、高效的交易方式。在电子商务中，信息的传递通过网络完成，速度很快，可以节省宝贵的交易时间。

上述特点，是电子商务独有的，传统商务无法实现。

二、电子商务主要的安全要素

随着互联网的'发展和计算机的普及，电子商务的应用发展成为交易活动发展的必然趋势，电子商务也成为国际金融贸易中越来越重要的经营模式，以后它还会逐渐地成为我们经济生活中一个重要部分。但是随着电子商务的发展，它的安全问题也越来越重要，安全是保证电子商务健康有序发展的关键因素，也是目前大家十分关注的话题。目前涉及到电子商务安全问题的要素有以下几个方面。

1、通过网络交易的有效性。通过网络，我们以电子形式取代了原先纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式,其交易信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。

2、交易过程的机密性。电子商务作为贸易的一种手段,其交易信息直接代表着个人、企业或国家的商业机密。我们知道，原先传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。而电子商务是建立在一个较为开放的网络环境上的，而且Internet是一个更为开放的网络,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。

3、交易的完整性。电子商务可以简化了贸易过程,减少了许多人为的干预。但同时也给我们带来了维护贸易各方商业信息完整、统一的问题。由于数据输入时不可避免的意外差错或者是一些欺诈行为,都有可能导致贸易各方信息的差异。另外,在数据传输过程中出现的信息丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。而贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

三、我国电子商务中的安全隐患

在我国电子商务目前发展的情况来看，我国电子商务网站的经营表面上看起来很热闹，但其实并非如此。根据我的了解，我国的电子商务收益不佳的现状有望改观，但技术和管理方面的问题还依然存在，尤其是一些安全隐患仍令人担忧。

1、目前网络安全还没有形成一个完整体系。在我国，现在虽然有关于电子商务安全方面的产品数量不少，但真正通过正规渠道认证的却相当少。在近两年时间里，有将近二十家有关电子商务安全的产品申请认证，但最后能够认证通过却很少。这主要是因为他们产品中有不少安全措施是从网上直接照搬下来的;另外，不少搞电子商务安全技术的厂商对网络技术很熟悉，但是对安全技术普遍了解得偏少，因而他们很难开发出真正实用的、安全性的产品来。

2、相关安全技术的强度普遍不够。现在，国内有关电子商务的安全技术，虽然从整体来看其结构或加密技术都显得不错，但是这种算法受到了外国密码政策的限制，因此这些安全技术的强度普遍不够。这种技术用在企业与终端客户的交易方面还勉强可行，但用在企业与企业的交易上就显然不够。

3、电子商务网站的安全管理存在着很大隐患。我们目前的一些相关于电子商务的网站普遍难以抵御黑客的攻击。这个问题应当引起高度重视，虽然国内电子商务网站被攻击的事件报道得较少，但这并不表示我们的网站就牢不可破。这是主要是因为目前我们的网站本身规模小，对于黑客来说没有多少可攻的价值。而随着电子商务范围和规模的扩大和发展，这个问题也将日渐突出。

四、主要针对措施

我国电子商务发展过程中出现的这些主要安全隐患和主要问题，必将影响我国电子商务进一步的发展。它需要政府和所有参与企业共同努力，加以解决。首先，我们要大力加强信息基础设施的建设和研究开发。信息基础设施是电子商务发展的物质基础和载体。发展信息基础设施需要政府和业界的共同努力，尤其是政府的大力投资和宏观调控。同时，作为一个主权国家，为了维护国家的利益和经济安全，在电子商务相关技术方面一定要注重自主知识产权技术的开发，不能全部依赖进口。因此，必须大力支持对电子商务技术的研究开发工作。其次，要普及信息技术的教育，培养信息技术人才。

篇6：基于CORBA的电子商务系统的安全性

基于CORBA的电子商务系统的安全性

刘海岩田新燕田新宇

摘要：电子商务使用了刊登广告并出售货物的新方法来进行交易，并为动态开放式电子商务环境中的大组客户提供服务和信息。本文说明了实现电子商务应用程序所用的技术，该技术集中于CORBA框架对于这些解决方案的支持。

关键词：通用对象请求代理体系结构，电子商务，安全性，平台

Security in CORBA-based Electronic Commerce Systems

LIU Hai-Yan,TIAN Xin-Yan,TIAN Xin-Yu

Abstract: Electronic commerce provides business with new ways of advertising and selling goods, services, and information to large groups of customers in dynamic open electronic commerce environments. This article addresses the technologies for realizing electronic commerce applications, focusing on the relevance of the CORBA framework for these solutions.

Key Words：CORBA，electronic commerce, security, platform

1. 电子商务介绍

bsp; 通俗的说，所谓电子商务，就是在网上开展商务活动－当企业将它的主要业务通过企业内部网（Intranet）、外部网（Extranet）以及Internet与企业的职员、客户供销商以及合作伙伴直接相连时，其中发生的各种活动就是电子商务。电子商务是基于Internet/Intranet或局域网、广域网、包括了从销售、市场到商业信息管理的全过程。

目前，电子商务只是在对通用方针和平台意见一致的参与者间的封闭组织内进行。例如，电子数据交换（EDI）被用来在一个机构的多个分支之间，或者在建立了契约联系的机构之间安全地传输数据。而在这些早期阶段，电子商务系统只处理某几个方面的完全商务事务。

当客户可以通过他们的Web浏览器来使用的第一批基于web的商店出现时，建立了电子商务的'一个更全面的概念作为Internet上传递货物和价格的方式。现在，大多数电子商务系统是基于web的，并且允许客户通过他们的web

浏览器购买货物并用信用卡结帐。然而，基于web的应用程序的局限功能使得很难向客户提供全范围的服务。

未来，电子商务解决方案的需求将超过当前级别。将来的系统将必须通过多个自治的服务提供商来满足动态开放式环境中的需求，电子商务将成为一个包含多个交易实体间复杂的交互作用的分布式过程。在一个开放式市场中，有许多独立的货物和服务的供应商，并且可能有通过合并第三方提供的服务来提供服务的调解者。客户本身也可能合并随选（on-demand）产品或者服务来实现合成包。因此，现代的电子商务系统必须能集成不同种类参与系统和不同政策领域中互相不信任的用户。

篇7：基于CORBA的电子商务系统的安全性

关键词：通用对象请求代理体系结构，电子商务，安全性，平台

Security in CORBA-based Electronic Commerce Systems

LIU Hai-Yan,TIAN Xin-Yan,TIAN Xin-Yu

Key Words：CORBA，electronic commerce, security, platform

1. 电子商务介绍

通俗的说，所谓电子商务，就是在网上开展商务活动－当企业将它的主要业务通过企业内部网（Intranet）、外部网（Extranet）以及Internet与企业的职员、客户供销商以及合作伙伴直接相连时，其中发生的各种活动就是电子商务。电子商务是基于Internet/Intranet或局域网、广域网、包括了从销售、市场到商业信息管理的全过程。

当客户可以通过他们的Web浏览器来使用的第一批基于web的商店出现时，建立了电子商务的一个更全面的概念作为Internet上传递货物和价格的方式。现在，大多数电子商务系统是基于web的，并且允许客户通过他们的web浏览器购买货物并用信用卡结帐。然而，基于web的应用程序的局限功能使得很难向客户提供全范围的服务。

2．背景及未来电子商务安全性问题

Internet的爆发增长，使得通过为一大群顾客和供应商提供一个通用通讯环境的方法可以发挥电子商务的独一无二的潜力。今天，网上有数以千计的面向消费者和面向交易的商务站点，并且这个数目正在快速增长。

从消费者的观点来看，这个大型系统积极的方面是：用户可以从相当大的产品范围内选择，并且寻找最合适的产品。提供者可以从大量的可能顾客和减少事务花费来获益。

然而，电子商务成为世界新热点,但其安全性也随着信息化的深入也随之要求愈高了。快速和不受控制的增长产生了组织和技术天性方面的不同问题。市场依旧是封闭的，并且常常没有完全符合顾客和提供者的需求。今天的电子商务系统在私人拥有的平台上运行，因此应用程序并不能互操作，也不能建立在对方的基础上。安全性和支付系统仍然不成熟，并且常常是不相称的。只有用标准的电子商务框架才能解决这些问题。

未来的电子商务系统的主要安全性问题是它们必须通过复杂的组件技术和信托关系在一个动态并开放的，从而也是不受控制的环境中操作。多数电子商务使用的电子支付系统必须很容易使用的，也必须透明地提供鉴定、完整性保护、机密性保护和认可。另外，客户和提供者之间的通讯连接必须保持数据的机密性和完整性，首先保护客户的隐私，其次是确保客户购买的服务不能被篡改。

很不幸，今天的（基于web的）电子商务系统不能迎合这些关于功能性和安全性的需求。下面的段落描述如何用CORBA来解决一些问题。

3．CORBA概述

通用对象请求代理体系结构（CORBA）是对象管理组织（OMG）1995年首先开发出来的一个规范。其核心部分是对象请求代理（ORB），是一个便于实现不同硬件和软件平台上的互操作和集成的软件总线。从软件开发者的观点来看，ORB抽象了分布式系统中远程方法调用的内在的复杂性。CORBA可以抽象网络通讯、平台的差异、编程语言等的差异，并且可以透明地提供电子商务所需的安全性功能。另外，CORBA指定了大量CORBA服务，例如名字服务、事务服务、时间服务或安全性服务，这些服务分别着重于分布式系统中的某些特殊方面。

图1 CORBA绑定和方法调用

图1用一种简单方式说明了CORBA的工作机理：在最初的绑定阶段，客户端应用程序通过ORB库（①，②）连接到一个活化组件或名字服务上，然后依次查询实现库中的目标对象引用（③）并当目标对象还没有运行起来时，启动这个对象（④，⑤）。目标对象引用然后就被传回客户端ORB库（⑥）。客户无论何时通过对象代码桩（⑧）调用目标方的

方法（⑦），ORB库都要透明地连接到目标ORB库上（⑨），然后目标ORB库通过目标代码骨架（⑩，⑾）将请求传递给目标对象。应答通过⑾和⑦之间的链送回。

CORBA的灵活方法调用系统允许客户动态绑定到服务方上，从而使得服务灵活动态地合成，以及交互作用的调和、互操作性和购物会话过程中的状态保持都很方便。

CORBA还使得电子商务系统支持合成产品的概念和由多个提供者的相应项构成的服务包的概念。例如，一个旅行社可以提供一个包括飞机票、旅店预约、汽车租赁和旅游向导等的旅行包。

很不幸的，实际上多数CORBA的实现并没有完全遵照规范，许多服务至今仍不可用。这对安全性服务尤其不幸，因为安全性服务对任何基于CORBA的电子商务系统是绝对必需的。而且，不同厂商的CORBA实现并不总能完全互操作，尤其当使用别的CORBA服务时。没有定制的CORBA安全性服务部分地或者完全不遵照使得互操作成为可能的规范。

4．CORBA安全性概述

CORBA安全性规范包括一个安全模式和为应用程序、管理程序和实现程序提供的接口和工具。规范中的通用安全互操作部分定义了通用安全性机制，使得可以安全互操作。

分布式对象系统的CORBA安全模式建立在表1所示的安全性特征的基础上。

机密性（Confidentiality）

完整性 (Integrity)

可说明性 (Accountability)

表1：安全性特征

CORBA安全服务规范定义了不同的对象接口，这些接口提供了下面的安全功能来增强上面提及的安全性特征（见表2）。

安全性管理：方法和范围（Security Administration：Policies and Domains）

鉴定(Authentication)

安全性上下文制定（Security context establishment）

存取控制（Access control）

通讯保护（完整性，机密性）

Communications protection(integrity,confidentiality)

安全性审计(Security audit)

认可(Non-repudiation)

表2 ：CORBA安全服务规范中的安全性功能

实际上，特别是在电子商务中，CORBA安全服务规范中的安全服务将不可避免的过于沉重和复杂。个别电子商务系统可能有不同于最初由OMG预想中CORBA系统的特别安全性需求。值得指出的是，在这个阶段，CORBA安全性服务是围绕分布式计算环境（DCE）而设计的，典型地都工作在类似于校园的封闭式环境中，下层平台和政策都可控制（也就是说，可以安装和管理DCE底层安全性结构）。在这种环境中，基本的安全需求是保护系统，防止未验证的使用和修改。

篇8：基于CORBA的电子商务系统的安全性

CORBA安全服务规范提供了消息层完整性和负责者的鉴定/认可，这两项对电子商务应用程序都很关键。然而，OMG的电子商务域任务组织（OMG－ECDTF）为电子商务系统识别另外几种安全需求。CORBA规范中并没有下面的需求，或者由于它们仍未被提出，或者由于它们超出了CORBA所能达到的范围：

l 事务审核：CORBA安全规范提供了审核数据产生，但没有提供

所需数据和粒度。

l 基于角色的存取控制：尽管好的粒度或者灵敏的商务交易中需要单独的存取控制，但电子商务把基于角色的存取控制作为主要形式。CORBA安全性没有提供基于角色的存取控制。

l 认可：CORBA规定根据的生成，但是不提供存储根据、恢复根据和确认根据的工具。电子商务所需的完全的认可功能包括根据生成、确认、存储、恢复和递送权力。这个服务可以提供创造、起源、接收、服从、赞成、递送和行为的'认可。

l 完整性：应该提供将数据变成完整性所保护的数据、将完整性所保护的数据转变回原始数据、检查是否遗失完整性的功能。另外，也需要着手一些另外的完整性问题。例如，需要有一些用来防止恶意的软件，例如防止计算机病毒所做未验证的修改的机制。除消息层完整性以外，CORBA没有提供任何电子商务系统需要的其他层上的完整性功能。

l 授权：CORBA提供了使得个别责任变得容易的“扮演的授权”。然而，电子商务需要别的授权选项，例如简易授权，复合授权，组合特权授权（不允许把这些特权来追溯回某些中间节点），和追溯授权（提供了链中的授权追溯）。目前，CORBA并不要求提供这些授权模式。

l 授权在安全性审核中发挥作用。它支持将一条复杂的对象请求链追溯回最初的用户。

l 安全性审核库管理：审核服务可以用来保证所有的用户对他们发起的安全相关事项负责任，并保证建立、保持和保护安全相关事项的审核跟踪。另外，必须提供警告设施，并且收集、剖面、过滤、分析和查询审核数据也是可能的。CORBA目前没有提供任何审核管理功能。

l 安全性管理：电子商务安全性管理应该关心以下三个范畴：管理功能的安全性、安全服务管理和安全机制管理。当前，CORBA并没有提供任何安全性管理工具。

7．基于CORBA的电子商务

CORBA作为电子商务系统的底层结构有许多优点，本节概述其中几个优点。

开放式电子商务系统的两个主要需求是互操作性和完整性。所有的客户和供应商应用程序都应该可以在一个灵活的、动态的、开放的框架中，越过不同平台，不同编程语言和商业布局来互操作。CORBA可以从开放的电子商务环境的复杂性中抽象出来。CORBA方便了电子商务系统和其它系统之间的交互作用，比如股票管理系统、会计系统、行销系统等，并使得和以前的应用程序的之间集成变得容易，例如，一个旧的股票数据库系统。

从软件开发者的观点来看，CORBA使得一切都变得比较简单，尤其是如果打算进行不同的商店配置时。CORBA抽象了网络和动态的远程商店调用，允许应用程序开发者集中精力在实际的程序上，而不是集中在底层结构的内部工作方式上。应用程序开发者可以再利用已存在系统中的部分(例如安全性系统)来开发新程序。CORBA的灵活结构也使得开发者可以实现整个商业街的一部分来迎合特殊的贸易需求，并为进一步增强系统和容易地升级这部分商业街软件提供坚实的基础。将来，个别基于CORBA的可定制的商业街组件就可用了，可以购买它，并可以很容易的将之即插即用进已存在的商业街中，来增强或升级商店系统，。

为了使得商店组件的动态互用性运转起来，一套定义良好的标准服务需要在电子商务环境下可用。例如，用来描述对象（例如货物、服务、合同、发票或帐单等）的语义需要广泛定义。因此，OMG和商业网（CommerceNet）共同定义了一系列电子商务服务的需求，也就是说，语义数据工具，选择/商议工具和支付服务。语义数据工具提供了对电子市场参与者之间语义信息交换的支持，商议服务提供了一组从事商业事务的参与者，在服务或工具的选择和配置上相互协定的支持，而电子支付工具关注支付协议的调用。

实际上，CORBA还是经常被认为是一项不成熟的技术，尤其是CORBA没有实现许多服务，例如安全性服务。除了与不成熟的ORB实现相关的问题外，软件开发者也往往没有完全训练到可以熟练编写基于CORBA的组件的地步。就本地程序来说，基于CORBA的应用程序开发几乎与普通的应用程序开发相同，因此并没有真正造成问题，但是例如实现一个透明的提供了ORB层安全性的安全性服务就需要专业知识。

目前，对基于CORBA的电子商务系统的评价使得这些开发足以为一些公司盈利了。例如，银行配置基于CORBA的个人银行业，或者股票交易系统可能因为它是顾客的最主要地边缘技术的服务提供者而获益。

8．结论

许多CORBA的核心概念对电子商务系统是有用的，例如，互操作性和综合性，平台、编程语言和安全机制等的灵活性，底层组件布局和网络的抽象，安全性功能的透明性，安全性的自动增强。

然而，目前可用的CORBA实现相当不成熟，而且并没有实现最初指出的所有的功能。例如，目前没有一个完全的安全性服务实现是可以定制使用的。这样把实现自定义的安全服务的工作留给了应用程序开发者，他们需要有安全性和所使用CORBA产品的内部运转机制的专业知识。

即使是未来CORBA功能没有消弱，也没被别的什么东西（例如Java RMI和COM＋）来代替，本文描述的基本概念也将成为任何电子商务中件的核心需求。如果CORBA如许多人推测，变成了电子商务的新的Internet标准的话，提供基于CORBA的商业街和服务越快的商务，获益越多。因此，为了当分布式对象中件广为使用时获得竞争优势，软件开发者很明显现在就得熟悉CORBA概念。

注：本文受课题号为863-30602-02-01，名为“基于WEB的应用服务器及其集成框架”项目支持，主要对项目中的涉及的电子商务框架的安全性提出自己的观点

参考文献：

．《电子商务概论》方美琪清华大学出版社出版

2． www.omg.org CORBA Services Specification

3． www.omg.org CORBA Specification

4． www.b2bbeijing.net/info/wenzhai/infowz21060108.htm 中间件在电子商务中的应用

5．61.132.182.23/cit/08/04.htm Internet上一种新型的CORBA应用安全防护模型

篇9：基于CORBA的电子商务系统的安全性

今天的电子商务系统中，一些安全需求与类似于DCE的环境大相径庭。在DCE中，客户必须信任服务器和系统，但需保护服务器以防未验证的客户。电子商务环境中，也需要防止有恶意的会员。因此，系统必须保护客户以防恶意的服务器和另外的客户，也要保护服务器以防未验证的客户。互相不信任的参与者这个概念并不是DCE所固有的。

在传统的环境中，通过所有权来指定系统的责任，并用通过这些所有权的范围来定义信任边界。在开放式系统中，信任边界、所有权和责任范围可能不同，这引发了不同的问题。例如，商家可能负责购物过程的安全性，而不能控制客户系统。另外，也常常不能规定客户软件所运行的平台（例如，CORBA产品，Java版本，操作系统）或安全政策（例如，操作系统安全性配置）。另一方面，客户可能负责一段它并不理解的而后台透明运作的软件，而这个软件可能是由一个后来和客户发生纠纷的供应商提供的。这造成了系统中可信部分如何在供应商和客户间分配的问题。

交易的合伙人之间的契约关系应该指明风险分派，责任分派和解决纠纷的原则。就电子商务来说，我们现在必须处理可能来自一些不可信任源，并且运行在不安全的下层操作系统上的硬件和软件，因此建立这种契约关系的困难就更大了。这样的软件偶尔会失效或者恶意地运作，并且太复杂而不能成为多数终端用户的责任。

在更技巧性的层上，事务和支付需求更强的完整性和机密性保护，同时需要保证电子兑现的匿名性。也可能存在购物时可以在浏览器端下载轻量的客户应用程序的需求。在这些情况下，客户机装不上大的安全基本设施。客户端的安全政策也许也不允许购物软件永久安装在客户机上。为了使开放的电子商务能实际运作起来，安全电子商务产品需要不定制就可使用，也需要银行掩饰电子支付系统潜在的安全漏洞。

篇10：电子商务支付手段安全性分析

电子商务支付手段安全性分析

[摘要] 电子支付手段是电子商务的核心环节，是其成败的关键，本文主要讨论了电子商务的几种不同的支付方式，并对各种不同的支付方式的安全性进行了分析。 [关键词] 电子商务支付手段安全一、前言电子商务全球化的发展趋势中，电子商务交易的信用危机也悄然袭来，虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种违法违规行为屡屡发生，这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康发展。限制电子商务的发展主要因素就是电子支付手段的安全性。二、主要的电子支付手段及其安全性分析1.电子信用卡 (1)支付方式:信用卡支付是电子支付中最常用的工具，方法是在Internet环境下通过标准的SET协议进行网络支付，用户在网上发送信用卡号和密码，加密后发送到银行进行支付。支付过程中要进行用户、商家及付款要求的合法性验证。 (2)安全策略:电子信用卡，是通过用户在网上输入账号/密码+数字签名，这些信息都是通过SET或者SSL协议的支付网关平台直接与银行进行相关支付信息的安全交互，进行网络支付，这种支付方式的安全性是可以得到保证的。 (3)安全隐患:单纯从技术上来说，无安全隐患问题。2.电子支票 (1)支付方式:电子支票是利用数字化手段进行网上支付，支付过程与传统支票的支付过程相似，只是电子支票完全抛开了纸质的媒介，其支票的形式是通过网络传播，并用数字签名代替了传统的签名方式。其交易流程如下: (2)安全策略:和电子信用卡一样，采用账号/密码+数字签名的方式进行身份验证。其支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输，从而控制安全性，从上面的交易流程，我们可以看到，电子支票的支付在专用系统上有可靠的安全措施的。 (3)安全隐患:专用网络上的应用具有成熟的模式（例如SWIFT(环球银行金融通讯协会、Society for Worldwide Interbank Financial Telecommunication)系统）;公共网络上的点的资金转账仍在实验之中。3.电子现金 (1)支付方式:电子现金是一种以数字化形式存在的现金货币，它同信用卡不一样，信用卡本身并不是货币，只是一种转账手段，而电子现金本身就是一种货币，是一种以数据形式存在的现金货币。它把现金数值转换成为一系列的加密序列数，通过这些序列数来表示现实中各种金额的币值。可以直接用来购物。电子现金具有如下特点:匿名;节省交易费用;支付灵活方便；安全存储。 (2)安全策略:没有适当的身份认证机制，是匿名的.，为防止被伪造，电子现金的传输是经过数字签名的。 (3)安全隐患:①逃税:由于电子现金可以实现跨国交易，税收和洗钱将成为潜在的问题。电子现金不像真实的现金一样，流通时不会留下任何记录，税务部门很难追查，所以即使将来调整了国际税收规则，由于其不可跟踪性，电子现金很可能被不法分子用以逃税。 ②洗钱:电子现金使洗钱也变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹，如果调查机关想要获取证据，需要检查网上所有的数据并破译所有的密码，这几乎是不可能的。目前惟一的办法是建立一定的密钥托管机制，使政府在一定条件下能够获得私人的密钥，而这又会损害客户的隐私权，但作为预防洗钱等违法行为的措施，许多国家已经开始了这种做法。 ③扰乱金融秩序：电子现金的法律地位一直难以确定。这是因为按照货币的实质和网络无国界性来推断，各国中央银行的地位都将受到挑战，因为任何一个有实力、有信誉的全球性公司，都可以发行购买其产品或服务的数字化等价物，从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序，任何国家都不会允许。 ④重复消费:由于电子序列号可以被复制，因此需要一个大型的数据库存储用户完成的交易和E-Cash序列号以防止重复消费，这对于软件和硬件的要求都很高，因此很多银行都不支持电子现金业务。4.移动支付 (1)支付方式: 移动支付系统将为每个移动用户建立一个与其手机号码关联的支付账户，为移动用户提供了一个通过手机进行交易支付和身份认证的途径。用户通过拨打电话、发送短信或者使用WAP功能接入移动支付系统，移动支付系统将此次交易的要求传送给MASP，由MASP确定此次交易的金额，并通过移动支付系统通知用户，在用户确认后，付费方式可通过多种途径实现，如直接转入银行、用户电话账单或者实时在专用预付账户上借记，这些都将由移动支付系统来完成。 (2)安全措施：身份验证方式采用个人账号/密码的方式。对交易中的部分敏感信息进行了加密。 (3)安全隐患:①抵赖行为：手机支付的加密方式只是加密了交易过程的部分内容，没有考虑交易双方相互的身份认证和交易的不可否认性，必须把SET协议数据加密模型引入到手机支付电子商务支付手段安全性分析中。②手机本身的安全性:手机支付还有其他的问题:大部分手机不具有用户身份认证模块，运算能力低，速度慢，不合适使用数字水印，由于不能进行很好的加密，而且手机信息传输是无线的，所以目前手机支付就存在比较大的安全隐患。三、结论以上所有的支付方式，都不能完全保证支付的安全性，因为协议本身也有不安全的因素。为了更进一步的加强支付的安全性，必须提供更好的中介服务来支持，用户预定商品后，向中间机构支付现金或者支票，卖家把货物送到中间机构，中间机构检测卖家货物是不是符合要求，再把货物转给买家，买家确认后，付款给卖家，这样，更好的保证买方的利益。尽管电子支付还存在很多问题（其中主要是安全和信任问题），但作为电子商务的中心环节，其发展趋势是不可阻挡的，关键是从立法和技术两方面进行逐步完善。

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档