- 相關推薦
淺談電子商務中的安全題目.
摘要:電子商務的安全題目是電子商務的核心題目。本文分析了電子商務中存在的安全隱患,及其對安全性的要求,并闡述目前解決電子商務安全的主要技術及相關措施。關鍵詞:電子商務;安全措施;探討
1 引言
電子商務是通過電子方式處理和傳遞數據,它涉及很多方面的活動,包括貨物電子貿易和服務、在線數據傳遞、電子資金劃拔、電子證券交易、貿易拍賣、合作設計和工程、在線資料、公***品獲得等內容。電子商務的發展勢頭非常驚人,但它的產值在全球生產總值中卻只占極小的份額,其原因就在于電子商務的安全題目,根據美國一個調查機構對近30000名因特網用戶的調查顯示,由于擔心電子商務的安全性題目,超過60%的網民不愿意進行網上交易, 因此,如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為影響到電子商務健康發展的關鍵性課題。
2 電子商務對安全的要求
對電子商務活動安全性的需求以及可使用的網絡安全措施,主要包含如下幾方面。
(1)如何確定通訊中的貿易伙伴的真實性?常用的處理技術是身份認證,依靠某個可信賴的機構發放證書,雙方交換信息之前通過CA獲取對方的證書,并以此識別對方。
(2)如何保證電子單證的秘密性,防范電子單證的內容被第三方讀取?常用的處理技術是數據加密和解密。
(3)如何保證被傳輸的業務單證不會丟失,或者發送方可以察覺所發單證的丟失?對于固定且具有頻繁貿易往來的伙伴,可以采用單證傳輸的序列性檢驗;也可采用雙方約定的方法(即在規定的時間內,通過某種方式進行確認)。
(4)如何確定電子單證的內容未被篡改;單證傳輸完整性主要采用散列技術來防止非法用戶對單證的篡改,通過散列算法對被傳輸的單證進行處理,產生一個依靠于該單證的短小的散列值,并將該散列值附接在單證之后傳輸給接收方。以便接收方采用相同的散列算法對接收的單證進行檢驗。
(5)如何確定電子單證的真實性?鑒別單證真實性的主要手段是數字簽名技術,其基礎是數據加密中的公然密鑰加密技術,實用中常結合單證完整性一起考慮,利用發送方的密鑰對散列值進行加密。
(6)如何解決或者仲裁收發雙方對交換的單證所產生的爭議,包括發方或收方可能的否認或抵賴?通常要求引進認證中心進行治理,由CA發放密鑰,傳輸的單證及其簽名的備份發至CA保存,作為可能爭議的仲裁依據。
(7)如何保證存儲信息的安全性?如何規范內部治理?如何使用訪問控制權限和日志以及敏感信息加密存儲?當使用WWW服務器支持電子商務活動時,應留意數據的備份和恢復,并采用防火墻技術來保護內部網絡的安全性。
3 電子商務采用的主要安全技術
為了確保電子商務在交易過程中信息有效、真實、可靠且保密,目前主要采用的安全技術有加密技術、身份認證技術和交易的安全認證協議。安全認證協議用來保證電子商務中交易的安全性,如set、ssl、s/mime、s-http等。下面我們主要來先容這些技術。
3.1 加密技術
加密技術是電子商務系統所采取的最基本的安全措施,加密的主要目的是防止信息的非授權泄漏。密碼算法是一些數學公式、法則或程序,算法中的可變參數是密鑰。根據密碼算法所使用的加密密鑰和解密密鑰是否相同,能否由加密密鑰推導出解密密鑰,可以將密碼算法分為對稱密碼算法和非對稱密碼算法。一般來說,在一個加密系統中,信息使用加密密鑰加密后,接收方使用解密密鑰對密文解密得到原文。
3.1.1 對稱加密/對稱密鑰加密
在對稱加密方法中,對信息的加密和解密都使用相同的密鑰,即一把鑰匙開一把鎖。這樣可以簡化加密的處理,每個交易方都不必彼此研究和交換專用的加密算法。假如進行通訊的交易各方能夠確保在密鑰交換階段未曾發生私有密鑰泄漏,那么機密性和報文完整性就可以得以保證。這樣密鑰安全交換是關系到對稱加密有效的核心環節。而對稱加密技術存在著在通訊的交易各方之間確保密鑰安全交換的題目。對稱加密方式存在的另一個題目是無法鑒別貿易發起方或貿易終極方。由于貿易雙方共享同一把專用密鑰,貿易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。目前常用的對稱加密算法有DES、PCR、IDEA等。其中DES使用最普遍,被采用為數據加密的標準。
3.1.2 非對稱加密/公然密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即一把公然密鑰或加密密鑰和一把私有密鑰或解密密鑰)。密鑰對天生后,公然密鑰以非保密方式對外公然,只對應于天生該密鑰的發布者;私有密鑰則保存在密鑰發布方手中。任何得到公然密鑰的用戶都可使用該密鑰加密信息發送給該公然密鑰的發布者,而發布者得到加密信息后,使用與公然密鑰相應對的私有密鑰進行解密。由此可知,公然密鑰用于對機密性的加密,私有密鑰則用于對加密信息的解密。目前常用的非對稱加密算法是RSA算法。它是非對稱加密領域內最為著名的算法,但是它存在的主要題目是算法的運算速度較慢,并且也難以做到一次一密。因此,在實際的應用中通常不采用這一算法對信息量大的信息進行加密。對于加密量大的應用,公然密鑰加密算法通常用于對稱加密方法密鑰的加密。
3.2 身份認證技術
身份認證技術保證電子商務安全不可缺少的又一重要技術手段。常見的安全認證技術有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等技術。
3.2.1 數字摘要
數字摘要是一種防止數據被改動的方法,它采用單向HASH函數將需要加密的文件中若干重要元素進行某種變換運算得到固定長度的摘要碼,并在傳輸信息時將之加進文件一同送給接收方,接收方收到文件后,用相同的方法進行變換運算,若得到的結果與發送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。在數字摘要中HASH函數的輸進可以是任意大小的文件消息,而輸出是一個固定長度的摘要。且摘要有這樣一個性質,假如改變了輸進消息中的任何東西,甚至只有一位,輸出的摘要將會發生不可猜測的改變,故而常用數字摘要來判定信息是否被篡改的一項重要技術。
3.2.2 數字信封
在大批數據加密中所使用的對稱密碼是隨機產生的,而接收方也需要此密碼才能對消息進行正確的解密。對稱密鑰的傳遞需要加密進行,即發送方用接收方的公鑰加密此對稱密鑰。這樣只有接收方用自己的私鑰才能正確地解密此對稱密鑰,從而正確地解密消息。這種加密傳送密鑰的方法稱為數字信封。數字信封技術可以保證接收方的唯一性。即使信息在傳送途中被監聽或截獲,由干第三方并沒有接收方的密鑰,也不能對信息進行正確的解密。
3.2.3 數字簽名
數字簽名能夠實現對原始報文的鑒別與驗證,保證報文的完整性、權威性和發送者對所發報文的不可抵賴性。在實際生活中,簽名通常采用書面形式,由甲乙雙方完成,在網絡環境下,可以用電子簽名作為模擬。
數字簽名是將數字摘要和公鑰算法兩種加密方法結合起來使用,其可以在提供數據完整性的同時保證數據的真實性。完整性保證傳輸的數據未被篡改,真屬性則保證傳輸過來的數據是由正當者產生的,而不是由其他人假冒。如假設用戶A要寄信給用戶B,他們互相知道對方的公鑰,A用自己的私鑰將簽名內容加密,附加在郵件中,再用B的公鑰將整個郵件加密(留意這里的次序,假如先加密再簽名的話,別人可以將簽名往掉后簽上自己的簽名,從而篡改了簽名)。這樣這份密文被B收到后,B用自己的私鑰將郵件解密,得到A的原文和數字簽名,然后用A的公鑰解密簽名,這樣一來就保兩方面的安全了。
3.2.4 數字時間戳
在電子商務的交易文件中,時間是一條重要的信息,文件的簽署日期和簽名一樣均是防止文件被偽造和篡改的關鍵性內容。為了防止在電子交易中,文件簽署的時間信息被修改,數字時間戳提供了相應的安全保護。數字時間戳服務(DTS)是由專門的機構提供的。數字時間戳是一個經加密處理后形成的憑證文檔,它包括三個部分:需加時間戳的文件摘要;DTS機構收到文件的日期和時間;DTS機構的數字簽名。
3.2.5 數字證書
數字證書是由證書授權中心CA治理和發放的。CA是數字證書的最高治理機構,是安全電子交易的核心環節。它作為電子商務交易中中立的、受信任的、可仲裁的第三方,也是為了解決電子商務中,交易雙方的信息和身份驗證題目,從根本上保障電子商務交易活動順利進行而設立的。在交易支付的過程中,參與各方為了證實自己的身份,需到第三方即認證中心(CA)往認證。數字證書就是認證中心為交易各方頒發的身份憑證。它是一個經CA數字簽名的、包含證書申請者(公然密鑰擁有者)個人信息及其公然密鑰的文件。任何交易雙方只有申請到相應的數字證書,才能參加安全電子商務的網上交易。
3.3 安全認證協議
目前電子商務中有兩種安全認證協議被廣泛使用,即安全套接層SSL協議和安全電子交易SET協議。
3.3.1 SSL協議
SSL安全協議的中文全稱是“加密套接字協議層”,最初由Netscape公司推出的一種基于RSA和保密密鑰的安全通訊協議,是目前使用最廣泛的電子商務協議。該協議位于HTTP協議層和TCP協議層之間,向基于TCP/IP的客戶/服務器應用程序,提供了客戶端和服務器的鑒別、數據完整性及信息機密性等安全措施。該協議在應用程序進行數據交換前,通過交換SSL初始握手信息來實現有關安全特性的審查。SSL協議可內置于用戶瀏覽器和商家的服務器中,能方便而低開銷地進行信息加密,多用于WEB信用卡的傳送。這樣利用它能夠對信用卡和個人信息提供較強的保護。
SSL協議運行的基點是商家對客戶信息保密的承諾。客戶的信息往往首先傳到商家,商家閱讀后再傳到銀行;這樣,客戶資料的安全性便受到威脅。另外,整個過程只有商家對客戶的認證,缺少客戶對商家的認證,不能防止商家利用獲取的信用卡號進行欺詐。隨著電子商務與廠商的迅速增加,對廠商的認證題目越來越突出,SSL協議的缺點則越加明顯。SSL協議逐漸被新的SET協議所取代。
3.3.2 SET 協議
SET協議的中文全稱“安全電子交易協議”,它向基于信用卡進行電子化交易的應用提供了實現安全措施的規則。它是由Vsia國際組織 和Mastercard組織聯合國際上多家科技機構,共同制定的應用于INTERNET上的以銀行卡為基礎進行在線交易的安全技術標準。它采用公鑰密碼體制和X.509數字證書標準,主要應用于保障網上購物信息的安全性。SET主要由3個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議在保存對客戶信用卡認證的條件下,又增加了對商家身份的認證。它可以對交易各方進行認證,可防止商家身份的欺詐。為了進一步加強安全性,使用兩組密鑰對分別用于加密和簽名,通過雙簽名機制將訂購信息同賬戶信息鏈在一起簽名。由于設計較為公道,得到了諸如微軟公司、IBM公司、Netscape公司等至公司的支持,已成為實際上產業技術標準。
SET協議的不足之處在于協議復雜,且只適用于用戶安裝了“電子錢包”的場合。根據統計,在一個典型的SET交易過程中,需驗證數字證書9次,驗證數字簽名6次;需傳送證書7次,進行5次簽名、4次對稱加密和4次非對稱加密;整個交易過程可能會花費1.5~2分鐘。
4 電子商務安全需要進一步完善的配套措施
電子商務要真正成為一種主導的商務模式,尤其對發展中的中國來說,發展電子商務,就必須從以下幾個方面來完善配套措施:
(1)突破關鍵技術受制于人的瓶頸。當前不僅國內幾乎所有的主機、交換機、路由器、網絡操縱系統都來自國外,而且美國對出口別國的產品實行密鑰信前控制和長密鑰限制,因此我們必須依靠自身的氣力研制自己的加密算法,以保證中國電子商務的正常發展。
(2)我國應盡快對電子商務的有關細則進行立法。當前大多數人信息安全意識淡薄,以銀行和金融界來看,大家對安全方面的重視還不夠,由于有關電子商務的立法和治理剛剛開始,有人開玩笑說“電子商務目前是個‘三無’行業:無法可依、無安全可言、無規可循”,當然這種說法欠妥,但目前我國關于網絡安全的法律的確還有待完善。
(3)大力開發大型商務網站、發展與之相配套的物流公司。目前我國的電子商務沒有真正深進商務領域而僅僅局限于信息領域,這必將影響我國電子商務進一步的發展。
參考文獻:
[1]周明,黃元江,李建設.株洲工學院學報[J].電子商務中的安全技術研究,2005.1.
[2]張娟.甘肅科技縱橫[M].電子商務網絡安全技術探究,2005.4.
[3]趙乃真.電子商務技術與應用[M].中國鐵道出版社,2003.
[4]謝丹夏.電子與信息化[M].電子商務中的安全技術.
[5]常連定,趙剛. 科技情報開發與經濟[M].我國電子商務發展存在的題目及應對策略,2005.10.
【淺談電子商務中的安全題目.】相關文章:
淺談安全技術在電子商務中的應用03-27
電子商務安全題目及策略03-20
淺談電子商務在鋼鐵物流中的應用12-09
電子商務中數據挖掘方法淺談03-01
淺談電子商務中的中介組織03-21
淺談勞動合同中的若干題目03-22
淺談電子商務系統開發過程中的安全設計03-01
中國電子商務發展中的題目與對策03-22
淺談技工院校中電子商務專業的建設03-26