- 相關推薦
淺談安全技術在電子商務中的應用
摘要:目前電子商務領域所使用的安全技術:數據加密技術,身份認證技術,網上支付平臺及支付網關,指出了它們分別的使用范圍及其優缺點,但必須強調說明的是,電子商務的安全運行,僅從技術角度防范是遠遠不夠的,還必須完善電子商務立法。
1、電子商務的主要安全要素
目前電子商務(ElectronicCommerce:是利用計算機技術、網絡技術和遠程通信技術,實現整個商務(買賣)過程中的電子化、數字化和網絡化。人們不再是面對面的、看著實實在在的貨物、靠紙介質單據(包括現金)進行買賣交易。而是通過網絡,通過網上琳瑯滿目的商品信息、完善的物流配送系統和方便安全的資金結算系統進行交易。)工程正在全國迅速發展。實現電子商務的關鍵是要保證商務活動過程中系統的安全性,即應保證在基于Internet的電子交易轉變的過程中與傳統交易的方式一樣安全可靠。從安全和信任的角度來看,傳統的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網絡來聯系,由于距離的限制,因而建立交易雙方的安全和信任關系相當困難。電子商務交易雙方(銷售者和消費者)都面臨安全威脅。電子商務的安全要素主要體現在以下幾個方面:
信息有效性、真實性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。
信息機密性
電子商務作為貿易的一種手段,其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
信息完整性
電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
信息可靠性、不可抵賴性和可鑒別性
可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。
在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在1nternet上每個人都是匿名的。原發方在發送數據后不能抵賴;接收方在接收數據后也不能抵賴。
2、電子商務的安全技術討論
2.1電子商務的安全技術之一-----數據加密技術
加密技術用于網絡安全通常有二種形式,即面向網絡或面向應用服務。
面向網絡的加密技術通常工作在網絡層或傳輸層,使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息,從而保證網絡的連通性和可用性不受損害。在網絡層上實現的加密技術對于網絡應用層的用戶通常是透明的。此外,通過適當的密鑰管理機制,使用這一方法還可以在公用的互聯網絡上建立虛擬專用網絡并保障虛擬專用網上信息的安全性。
面向網絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法,例如使用kerberos服務的telnet、nfs、rlogion等,以及用作電子郵件加密的pem(privacyenhancedmail)和pgp(prettygoodprivacy)。這一類加密技術的優點在于實現相對較為簡單,不需要對電子信息(數據包)所經過的網絡的安全性能提出特殊要求,對電子郵件數據實現了端到端的安全保障。
1)常用的加密技術分類:
對稱密鑰密碼算法
對稱(傳統)密碼體制是從傳統的簡單換位代替密碼發展而來的,自1977年美國頒布des密碼算法作為美國數據加密標準以來,對稱密鑰密碼體制得到了迅猛發展,得到了世界各國關注和使用。對稱密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類。
不對稱型加密算法
也稱公用密鑰算法,其特點是有二個密鑰即公用密鑰和私有密鑰,只有二者配合使用才能完成加密和解密的全過程。
由于不對稱算法擁有二個密鑰,因此它特別適用于分布式系統中的數據加密,在Internet中得到了廣泛應用。其中公用密鑰在網上公布,為數據源對數據加密使用,而用于解密的相應私有密鑰則由數據的收信方妥善保管。
不可逆加密算法
其特征是加密過程不需要密鑰,并且經過加密的數據無法被解密,只有同樣的輸入數據經過同樣的不可逆加密算法才能得到相同的加密數據。不可逆加密算法不存在密鑰保管和分發問題,適合于分布式網絡系統上使用,但是其加密計算工作量大,所以通常用于數據量有限的情形的加密,例如計算機系統中的口令的加密。
2)電子商務領域常用的加密技術
數字摘要(digitaldigest)
這一加密方法亦稱安全Hash編碼法,由RonRivest所設計。該編碼法采用單向Hash函數將需加密的明文"摘要"成一串128bit的密文,這一串密文亦稱為數字指紋(FingerPrint),它有固定的長度,且不同的明文摘要成密文,其結果總是不同的,而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是"真身"的"指紋"了。
數字簽名(digitalsignature)
數字簽名將數字摘要、公用密鑰算法兩種加密方法結合起來使用。在書面文件上簽名是確認文件的一種手段,簽名的作用有兩點,一是因為自己的簽名難以否認,從而確認了文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。
數字時間戳(digitaltime-stamp)
交易文件中,時間是十分重要的信息。在書面合同中,文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。在電子交易中,同樣需對交易文件的日期和時間信息采取安全措施,而數字時間戳服務(DTS)就能提供電子文件發表時間的安全保護。
數字時間戳服務(DTS)是網上安全服務項目,由專門的機構提供。時間戳(time-stamp)是一個經加密后形成的憑證文檔,它包括三個部分:1)需加時間戳的文件的摘要(digest),2)DTS收到文件的日期和時間,3)DTS的數字簽名。
數字證書(digitalcertificate,digitalID)
數字證書又稱為數字憑證,是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限。
數字憑證有三種類型:
·個人憑證(PersonalDigitalID)
·企業(服務器)憑證(ServerID)
·軟件(開發者)憑證(DeveloperID)
上述三類憑證中前二類是常用的憑證,第三類則用于較特殊的場合,大部分認證中心提供前兩類憑證。
3)與電子商務安全有關的協議技術討論:
SSL協議(SecureSocketsLayer)安全套接層協議
------面向連接的協議,當初不是為電子商務而設計
SSL協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性,它不能保證信息的不可抵賴性,主要適用于點對點之間的信息傳輸,常用WebServer方式。
SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如HTTP、FTP、TELNET等)以保證應用層數據傳輸的安全性。SSL協議獨立于應用層協議,因此,在電子交易中被用來安全傳送信用卡號碼。
SSL的應用及局限:中國目前多家銀行均采用SSL協議,從目前實際使用的情況來看,SSL還是人們最信賴的協議。但是SSL當初并不是為支持電子商務而設計的,所以在電子商務系統的應用中還存在很多弊端。它是一個面向連接的協議,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證,而電子商務往往是用戶、網站、銀行三家協作完成,SSL協議并不能協調各方間的安全傳輸和信任關系;還有,購貨時用戶要輸入通信地址,這樣將可能使得用戶收到大量垃圾信件。
SET協議(SecureElectronicTransaction)安全電子交易
------專門為電子商務而設計的協議,但仍然不能解決電子商務所遇到全部問題
電子商務在提供機遇和便利的同時,也面臨著一個最大的挑戰,即交易的安全問題。在網上購物的環境中,持卡人希望在交易中保密自己的帳戶信息,使之不被人盜用;商家則希望客戶的定單不可抵賴,并且,在交易過程中,交易各方都希望驗明其他方的身份,以防止被欺騙。針對這種情況,由美國Visa和MasterCard兩大信用卡組織聯合國際上多家科技機構,共同制定了應用于Internet上的以銀行卡為基礎進行在線交易的安全標準,這就是"安全電子交易"(SET)。它采用公鑰密碼體制和X.509數字證書標準,主要應用于保障網上購物信息的安全性。由于SET提供了消費者、商家和銀行之間的認證,確保了交易數據的安全性、完整可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為了目前公認的信用卡/借記卡的網上交易的國際安全標準。
SET的局限性:SET是專門為電子商務而設計的協議,雖然它在很多方面優于SSL協議,但仍然不能解決電子商務所遇到的全部問題。
2.2電子商務的安全技術之二------身份認證技術
為解決Internet的安全問題,世界各國對其進行了多年的研究,初步形成了一套完整的Internet安全解決方案,即目前被廣泛采用的PKI(PublicKeyInfrastructure公鑰基礎設施)體系結構。PKI體系結構采用證書管理公鑰,通過第三方的可信機構CA,把用戶的公鑰和用戶的其他標識信息(如名稱、e-mail、身份證號等)捆綁在一起,在Internet網上驗證用戶的身份,PKI體系結構把公鑰密碼和對稱密碼結合起來,在Internet網上實現密鑰的自動管理,保證網上數據的機密性、完整性。
在電子交易中,無論是數字時間戳服務(DTS)還是數字證書(DigitalID)的發放,都不是靠交易的自己能完成的,而需要有一個具有權威性和公正性的第三方(thirdparty)來完成。認證中心(CertificateAuthority)就是承擔網上安全電子交易認證服務、能簽發數字證書、并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字憑證的申請、簽發及對數字憑證的管理。認證中心依據認證操作規定(CertificationPracticeStatement)來實施服務操作。
1)認證系統的基本原理
利用RSA公開密鑰算法在密鑰自動管理、數字簽名、身份識別等方面的特性,可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統。這個可信的第三方認證系統也稱為CA,CA為用戶發放電子證書,用戶之間(比如網銀服務器和某客戶之間)利用證書來保證信息安全性和雙方身份的合法性。
2)認證系統結構
整個系統是一個大的網絡環境,系統從功能上基本可以劃分為CA、RA和WebPublisher。
核心系統根CA放在一個單獨的封閉空間中,為了保證運行的絕對安全,其人員及制度都有嚴格的規定,并且系統設計為一離線網絡。CA的功能是在收到來自RA的證書請求時,頒發證書。一般的個人證書發放過程都是自動進行,無須人工干預。
證書的登記機構RegisterAuthority,簡稱RA,分散在各個網上銀行的地區中心。RA與網銀中心有機結合,接受客戶申請,并審批申請,把證書正式請求通過建設銀行企業內部網發送給CA中心。RA與CA雙方的通信報文也通過RSA進行加密,確保安全。系統的分布式結構適于新業務網點的開設,具有較好的擴充性。通信協議為TCP/IP。
證書的公布系統WebPublisher,簡稱WP,置于Internet網上,是普通用戶和CA直接交流的界面。對用戶來講它相當于一個在線的證書數據庫。用戶的證書由CA頒發之后,CA用E-mail通知用戶,然后用戶須用瀏覽器從這里下載證書。
證書鏈服務(有時也稱"交叉認證")是一個CA擴展其信任范圍或被認可范圍的一種實現機制。如果企業或機構已經建立了自己的CA系統,通過第三方認證中心對該機構或企業的CA簽發CA證書,能夠使得該企業或機構的CA發放的證書被所有信任第三方認證中心的瀏覽器、郵件客戶所信任。
3)中國金融認證中心CFCA的建設情況
中國對電子商務的發展也給予了應有的重視。中國金融認證中心CFCA(ChinaFinancialCertificateAuthority)。已于2000年6月29日開始對社會各界提供證書服務,系統進入運行狀態。中國金融認證中心作為一個權威的、可信賴的、公正的第三方信任機構,為參與電子商務各方的各種認證需求提供證書服務,建立彼此的信任機制,為全國范圍內的電子商務及網上銀行等網上支付業務提供多種模式的認證服務,在不遠的將來實現與國外CA的交叉認證。
2.3電子商務的安全技術之三網上支付平臺及支付網關
網上支付平臺分為CTEC支付體系(基于CTCA/GDCS)和SET支付體系(基于CTCA/SET)。網上支付平臺支付型電子商務業務提供各種支付手段,包括基于SET標準的信用卡支付方式、以及符合CTEC標準的各種支付手段。
目前,在國內可以提供網上支付功能服務或者網上支付網關接口的銀行有:
中國工商銀行牡丹卡中國銀行長城借記卡
中國銀行長城信用卡招商銀行一網通卡
中國建設銀行龍卡MASTER/VISA/JCB卡(適用全球)
上述除中國銀行長城借記卡則采用了SET1.2的加密方式外,其余全部采用SSL-128加密方式。
支付網關位于公網和傳統的銀行網絡之間,其主要功能為:將公網傳來的數據包解密,并按照銀行系統內部的通信協議將數據重新打包;接收銀行系統內部的傳回來的響應消息,將數據轉換為公網傳送的數據格式,并對其進行加密。即支付網關主要完成通信、協議轉換和數據加解密功能,并且可以保護銀行內部網絡。此外,支付網關還具有密鑰保護和證書管理等其它功能。
3、小結
本文分析了目前電子商務領域所使用的安全技術:數據加密技術,身份認證技術,網上支付平臺及支付網關,指出了它們分別的使用范圍及其優缺點,但必須強調說明的是,電子商務的安全運行,僅從技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。
【淺談安全技術在電子商務中的應用】相關文章:
論信息安全技術在電子商務中的應用03-13
淺談電子商務在鋼鐵物流中的應用12-09
淺談電子商務中的安全題目.03-21
計算機安全技術在電子商務中的應用探討03-01
網絡安全技術在電子商務中的應用研究11-19
信息技術在電子商務中的應用03-21
Web 2.0技術在電子商務中的應用03-21
淺談RTK技術在公路測量中應用問題03-19
淺談CAD技術在工程設計中的應用03-18