电子商务安全技术的研究

电子商务安全技术的研究

一、网络安全的概念随着信息技术的快速发展，人们已经进入了以网络为中心的信息通信信息。基于网络的电子商务已经成为人们商业活动的一种新模式。越来越多的人使用互联网进行商业活动，但伴随着安全问题，电子商务安全事件频发。开放的信息系统存在诸多潜在的安全隐患,破坏与反破坏、黑客与反黑客的斗争仍将继续。在这样的斗争中,安全技术应受到全球网络建设者的更多关注。从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害。从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。电子商务系统安全是指通过一系列安全有效的技术手段、管理措施和完善的法律制度的有机结合,保证在一个电子商务网站环境里,数据信息的有效性、机密性、可靠性、完整性、不可抵赖性和可鉴别性,保证电子商务系统始终处于良好的运行状态及电子商务活动的顺利开展。二、网络漏洞、人为触发触发电子商务安全问题的原因有:黑客的攻击、管理的欠缺、网络的缺陷、软件的漏洞及人为的触发。电子商务面临的安全隐患导致了对电子商务安全的需求,为了实现一个安全的电子商务系统需要做到以下几个方面:(一)信息传输过程的不安全电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术来对传输的信息进行加密处理来实现。(二)信息差异的基础电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复,并保证信息传送次序的统一。完整性一般可通过提取信息消息摘要的方式来获得。(三)企业实体身份确认由于网络电子商务交易系统的特殊性,企业或个人的交易通常都是在虚拟的网络环境中进行,所以对个人或企业实体进行身份性确认成了电子商务中很重要的一环。对个人或实体的身份进行鉴别,为身份的真实性提供保证,即交易双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定的身份时,鉴别服务将提供一种方法来验证其声明的正确性,一般都通过证书机构CA和证书来实现。(四)企业通过签名或印章鉴别法电子商务关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是所期望的贸易伙伴,这一问题则是保证电子商务顺利进行的关键。贸易双方在传统的纸面贸易中可以通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴身份,确定合同、契约、单据的可靠性,并预防抵赖行为的发生,这也就是人们常说的“白纸黑字”。通过手写签名和印章在无纸化的电子商务方式下已是不可能的。因此,要在交易信息的传输过程中,为参与交易的个人、企业或国家提供可靠的标识、不可抵赖性,可通过对发送的消息进行数字签名来获取。(五)电子商务信息的有效性电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。三、电子商务系统安全中的主要技术(一)可信的公共网防火墙的英文名为“FireWall”,它是目前一种最重要的网络防护设备。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,通过监测、限制、更改,跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管,控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。防火墙技术具有以下几方面的优点:1.防火墙是网络安全的屏障防火墙能过滤那些不安全的服务,只有预先被允许的服务才能通过防火墙。这样就降低了受到非法攻击的风险,提高了网络的安全性。2.网络使用情况统计分析如果所有对网络的访问都通过防火墙,那么,防火墙就能记录下这些访问,并能提供网络使用情况的统计数据。当发生可疑情况时,防火墙就能报警并提供网络是否受到检测和攻击的详细信息。3.集中安全管理通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、身份认证、加密、审计等)配置在防火墙上。不使用防火墙就必须把所有安全软件分散到各主机上,防火墙的集中安全管理更经济。当然防火墙还有许多不足之处:无法防范那些不通过防火墙的攻击;不能防止传送已被病毒感染的软件或文件;限制或关闭许多有用但存在安全缺陷的网络服务;不能防范内部人员将数据拷贝到软盘上带走等。没有一种防火墙是万能的,如果只有防火墙,而没有全面的安全策略,如磁盘和数据加密、病毒防护措施等,那么防火墙等于形同虚设。(二)防止合法者之外的人获取机密信息通常情况下,网络上的信息如果没有经过特殊处理都是明码传输的,这就意味着用户在网上传输的口令、密码、信用卡号码等都有可能被他人窃取。加密技术能防止合法者之外的人获取机密信息,它是电子商务采取的主要安全措施。加密技术有两种基本形式的算法,一种是对称密钥加密算法,也称为私有密钥加密算法;另一种是非对称密钥加密算法,也称为公开密钥加密算法。1.非对称加密加密对称密钥加密算法具有以下特点:解密密钥和加密密钥相同,用某个密钥加密就必须用同一个密钥解密;加密过程中将待加密数据分割成等长的若干个分组,对每个分组进行加密形成加密后的分组,再将各个分组组合成整个密文;加密过程是一个密钥控制下的复杂迭代运算;相对非对称加密算法密码长度较短、加密速度较快。典型的算法是DES算法。对称加密算法在电子商务交易过程中存在以下几方面的问题:(1)要求提供一条安全的渠道使交易双方在首次通信时协商一个共同的密钥。面对面地直接协商可能并不现实,因此双方需要借助于邮件、电话等其它相对不够安全的手段来进行协商。(2)由于密钥数目的快速增长而变得难以管理。因为每一对可能的通信实体需要使用不同的密钥,这很难适应现代社会大量信息的交流。(3)通常对称加密算法不能提供信息完整性鉴别。2.公钥加密加密非对称密钥加密算法具有以下特点:算法存在两个密钥,一个公开为公开密钥(简称公钥);另一个保密为私有密钥(简称私钥)。一个密钥用来加密后,就要用另一个密钥来解密,也就是说用公钥加密的信息就要用私钥解密,用私钥加密的数据就要用公钥解密。典型的算法是RSA算法。(三)数字签名法sdcs所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章。对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。数字签名在ISO7498-2标准中定义为:“附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。美国电子签名标准(DSS,FIPS186-2)对数字签名作了如下解释:“利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性”。数字签名的种类和功能非常多,相应的方案也很多,除了常规的数字签名方案之外,还有众多具有代表性的群签名方案、多重数字签名方案、批验证协议和代理数字签名方案等。在电子商务的众多网络服务中都用到了数字签名技术,如电子合同的认证、网络支付单据的认证、电子政务中政府公文的传递等。由于电子商务的非面对面性,为了防止网络中假冒、抵赖等行为的发生,并使其有据可循,数字签名就如同传统商务中的个人手写签名或企业印章一样,保障了电子商务的安全。(四)数字证书和ca认证中心1.x.509证书格式数字证书是网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证,由权威机构颁发。数字证书的格式一般采用X.509国际标准,一个标准的X.509数字证书包含以下内容:证书的版本信息、证书的序列号、证书所使用的签名算法、证书的发行机构名称、证书的有效期、证书所有人的名称、证书所有人的公开密钥、证书发行者对证书的签名。X.509证书格式还预留了扩展内容,用户可以根据自己的需要进行扩展。数字证书通过运用对称和非对称密码体制建立起一套严密的身份认证系统,可以保证:信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己发送的信息不能抵赖。证书的验证是通过证书中证书颁发机构用其私钥签署的证书信息摘要的电子签名的合法性来进行的。随着Internet的普及以及电子商务和电子政务的飞速发展,数字证书已经广泛地应用到各个领域之中,如:发送安全电子邮件、访问安全站点、网上招标投标、网上签约、电子支票、网络银行、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。2.认证中心的运作认证中心(CertificationAuthority)就是一个负责发放和管理数字证书的权威机构,也是PKI的核心。在大型应用环境中,认证中心经常采用多层次的分级结构,各级的认证中心类似于各级行政机关,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。认证中心负责完成证书的颁发、更新、查询、作废和归