电子商务中的信息安全技术

电子商务中的信息安全技术

正如9月22日的《2005年网络消费高峰》所讨论的那样，限制电子商务发展的瓶颈仍然是安全的。电子商务安全可以分为交易信息安全和网上支付安全两个方面,表现形式包括窃取、篡改信息,假冒合法用户,恶意破坏系统等。基于各种不安全因素的存在,一个安全的电子商务环境应该具备以下条件:数据保密性:防止非授权用户获得并使用该数据。数据完整性:确保网络上的数据在传输过程中没有被篡改。身份验证:对网络上的另一个用户进行验证,证实他就是他所声称的那个人。授权访问:控制谁能够访问网络上的特定信息并且能够进行何种操作。不可抵赖性:用户不能抵赖自己曾做出的行为,也不能否认曾经接到对方的信息。为确保网络交易“天下无贼”,在电子商务活动中通常会使用各种安全技术,不同的安全技术所实现的功能有所不同。下面就带领大家认识一下这些安全技术。非对称加密/公开密钥加密加密技术是电子商务中采用的主要安全措施,目前加密技术分为两种:对称密钥和非对称密钥。对称加密是指在信息加密过程中,对信息的加密和解密都使用相同的密钥。交易双方的任何信息都通过这把密钥加密后传给对方。非对称加密(公开密钥加密)是指在加密过程中,密钥被分为一对。这对密钥中的任何一把密钥都可以作为公开密钥通过非保密方式向他人公开,而另一把则作为私有密钥加以保存。公开密钥用于对信息的加密,私有密钥则用于对加密信息的解密。企业内部网络安全防火墙的概念起源于古老的城堡防卫系统。当时人们为了保护城堡的安全,在城墙的周围挖了一条护城河,每一个进入城堡的人都必须通过一个吊桥,接受城门守卫的检查。后来,在网络安全中,人们借鉴这种思想,设计了一种网络安全保护系统,用于检查所有通过企业内部网与外部网的报文分组。防火墙技术主要是用来隔离内部网和外部网,对内部网的应用系统加以保护。目前的防火墙分为两大类,一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和代理服务器,其显著的优点是较容易提供细颗粒度的存取控制,其可针对特别的网络应用服务协议及数据过滤协议,并且能够对数据包进行分析并形成相关的报告。信息传递的生成身份认证基于公钥体系的加密系统是按对生成的,每对密钥由公钥和私钥组成。实际应用中,公钥是以证书性质存放的。具体做法是:使用者将私钥保留,而将公钥公开。信息发送者使用信息接受者的公钥进行加密,此信息则只有信息接受者使用私钥来解开阅读;然后信息接受者使用私钥将反馈信息加密,再传送给信息发送者,发送者也就知道信息接受者已经阅读了所传送的信息。在这一来一往中,由于私钥的惟一性和私密性,身份认证才得以实现。在身份认证技术的应用中,最基本而又最关键的问题是公钥的分发,也就是证书的分发,如果证书不能得到有效安全的分发,所有的上层应用软件就不能得到保障,解决这个问题的方法就是建立认证机构体系。通常的认证机构是被法律所认可的可信任的第三方独立的权威机构,由它负责发放和管理电子证书,使网上交易各方能互相确认身份。它的基本功能有:接收注册请求,处理、批准/拒绝请求、颁发证书。对比发送方为配置数字签名数字签名是非对称加密技术的一类应用。它的工作原理是:报文发送方从报文文本中生成一个128位的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字签名能够实现对原始报文的鉴别和不可否认性。ssl和set交易合同“协议”正如我们在现实社会中沟通交流所使用的语言一样,必须基于一定的标准才能为信息的发送者和接受者所认可。在电子商务中,资金流是一个重要环节,电子货币最终表现为数字比特的流动,其本质也是一种“信息流”。这种信息流在传播过程中要保证不失真、不泄密、不可抵赖,才能确保支付信息的安全。目前常用的安全协议主要有两种:SSL协议(安全套接层协议)和SET协议(安全电子交易协议)。SSL协议是由Netscape公司提出的安全交易协议,该协议主要目的是解决TCP/IP协议不能确认用户身份的问题,在Socket上使用非对称的加密技术,以保证网络通信服务的安全性。SSL协议易于实现。它独立于应用层协议,可以完成所需的安全交易操作,主要是使用公开密钥体制和X.509数字证书保护信息的机密性和完整性,但它不能保证信息的不可抵赖性。中国目前多家银行均采用SSL协议,从实际使用的情况来看,SSL还是最值得信赖的协议。但是由于SSL协议当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。SET协议是专门为电子商务而设计的,是由美国VISA和MasterCard两大信用卡组织联合国际上多家科技机构,共同制定的以银行卡为基础在线交易的安全标准。它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性。由于SET协议可以提供消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认