CAPICOM电子商务安全应用论文.docx

第 1 页 CAPICOM 电子商务安全应用论文 特征码 atsDYylFjEhJYkZShZqD 摘 要 电子商务的出现变革了贸易方式，在带来便利的同时也 带了很多安全隐患，如何构建电子商务的安全性成为商务信息 化的研究热点。分析了电子商务交易模型的安全需求，探讨了 密码中间件 CAPICOM 在安全交易模型中的应用，讨论 CAPICOM 的数据结构和 COM 对象，指出使用标准接口的密码中间件能使 电子商务应用零开销地本地化 CSP。 关键字 密码中间件; 电 子商务; 交易模型; 信息安全; CAPICOM 1 前言 随着 Internet 的不断普及，人们的消费观念和商务模式也发生了巨 大了变化，人们更希望通过网络的便利来进行网络采购和交易， 从而导致了（Electronic Commerce）电子商务的出现，并在世 界范围内掀起了一股热潮。但是，美国密执安大学一个调查机 构通过对 23000 名因特网用户的调查显示1，超过 60%的人由 于担心电子商务的安全问题而不愿进行网上购物。因此，研究 和分析电子商务的信息安全问题，特别是针对我国国情，充分 借鉴国外的先进技术和经验，开发和研究出具有独立知识产权 的电子商务信息安全产品，成为目前我国电子商务的热点。 2 第 2 页 电子商务安全威胁 电子商务中的安全隐患可分为如下几类2， 1.信息截获和窃取。如果没有采用加密措施或加密强度不够， 攻击者可能通过因特网、电话网、电磁波辐射域内安装截收装 置或在网关和路由器上截获数据等方式，窃取机密信息，或通 过对信息流量和流向、通信频度和长度等参数的分析，导出有 用信息，如银行帐号、密码等；2.信息篡改。如果攻击者熟悉 了网络信息格式，可对网络传输的信息进行中途修改，并发往 目的地，从而破坏信息完整性。如篡改信息流的次序，更改信 息内容；3.信息假冒。当攻击者掌握了网络信息数据规律或解 密了商务信息以后，可以假冒合法用户来欺骗其他用户，例如 伪造电子邮件，虚开网站和商店，发送电子邮件，收定货单； 伪造大量用户穷尽商家资源，使合法用户不能正常访问网络资 源，使有严格时间要求的服务不能及时得到响应等；4.交易抵 赖。交易抵赖包括多个方面，如发信者事后否认曾经发送过某 条信息或内容，收信者事后否认曾经收到过某条消息或内容， 购买者做了定货单不承认，商家卖出的商品因价格差而不承认 原有的交易。 3 电子商务安全需求 电子商务面临的威胁直接 导致了电子商务对于信息安全的需求，也就是实现一个安全电 子商务系统务必具备的信息安全品质，主要包括机密性、完整 性、认证性和不可抵赖性。1.秘密性（Confidentiality） ，电 子商务作为贸易的一种手段，其信息直接代表着个人、企业或 国家的商业机密。传统纸面贸易都是通过邮寄封装的信件或通 第 3 页 过可靠的通信渠道发送商业报文来达到保守机密的目的。电子 商务是建立在一个较为开放的网络环境上的如 Internet，维护 商业机密是电子商务全面推广应用的重要保障。因此，要预防 非法的信息存取和信息在传输过程中被非法窃取。2.完整性 （Data Integrity） ，电子商务简化了贸易过程，减少了人为的 干预，同时也带来维护贸易各方商业信息的完整、统一的问题。 由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信 息的差异。此外，数据传输过程中信息丢失、信息重复或信息 传送的次序差异也会导致混乱。因此，要预防对信息的随意生 成、修改和删除，同时要防止数据传送过程中信息的丢失和重 复并保证信息传送次序的统一。3.认证性（Verification of Identity） ，网络电子商务交易系统的特殊性，企业或个人的交 易通常都是在虚拟的网络环境中进行，所以对个人或企业实体 进行身份性确认成了电子商务中得很重要的一环。对人或实体 的身份进行鉴别，为身份的真实性提供保证，即交易双方能够 在相互不见面的情况下确认对方的身份。这意味着当某人或实 体声称具有某个特定的身份时，鉴别服务将提供一种方法来验 证其声明的正确性。4.不可抵赖性（Non-repudiation of Disputed Charges） 。电子商务可能直接关系到贸易双方的商业 交易，如何确定要进行交易的贸易方的确是进行交易所期望的 贸易方这一问题则是保证电子商务顺利进行的关键。在传统纸 面贸易中，双方通过在交易合同、契约或贸易单据等书面文件 第 4 页 上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的 可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字 “。在无纸化的电子商务方式下，通过手写签名和印章进行贸易 方的鉴别已是不可能的。因此，要在交易信息的传输过程中为 参与交易的个人、企业或国家提供可靠的标识3。 4 密码中 间件和 CAPICOM 中间件是独立的系统软件或服务程序,它屏蔽 了操作系统和网络协议的差异,并提供相应的平台以满足不同领 域的需要。它成功地解决了网络计算和分布计算环境下资源的 通信，共享，管理，控制等问题3。其技术本身很复杂，技术 标准多，产品多。在 Windo