浅谈电子商务中的安全问题.docx
《浅谈电子商务中的安全问题.docx》由会员分享,可在线阅读,更多相关《浅谈电子商务中的安全问题.docx(7页珍藏版)》请在冰豆网上搜索。
浅谈电子商务中的安全问题
浅谈电子商务中的安全问题.
摘要:
电子商务的安全问题是电子商务的核心问题。
本文分析了电子商务中存在的安全隐患,及其对安全性的要求,并论述目前解决电子商务安全的主要技术及相关办法。
关键词:
电子商务;安全办法;探讨
1引言
电子商务是通过电子方式处置和传递数据,它涉及许多方面的活动,包括货物电子贸易和服务、在线数据传递、电子资金划拔、电子证券交易、商业拍卖、合作设计和工程、在线资料、公共产品取得等内容。
电子商务的发展势头超级惊人,但它的产值在全世界生产总值中却只占极小的份额,其原因就在于电子商务的安全问题,按照美国一个调查机构对近30000名因特网用户的调查显示,由于担忧电子商务的安全性问题,超过60%的网民不肯意进行网上交易,因此,如何成立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。
2电子商务对安全的要求
对电子商务活动安全性的需求和可利用的网络安全办法,主要包括如下几方面。
(1)如何肯定通信中的贸易伙伴的真实性?
常常利用的处置技术是身份认证,依赖某个可信赖的机构发放证书,两边互换信息之前通过CA获取对方的证书,并以此识别对方。
(2)如何保证电子单证的秘密性,防范电子单证的内容被第三方读取?
常常利用的处置技术是数据加密和解密。
(3)如何保证被传输的业务单证不会丢失,或发送方可以发觉所发单证的丢失?
对于固定且具有频繁贸易往来的伙伴,可以采用单证传输的序列性查验;也可采用两边约定的方式(即在规定的时间内,通过某种方式进行确认)。
(4)如何肯定电子单证的内容未被窜改;单证传输完整性主要采用散列技术来避免非法用户对单证的窜改,通过散列算法对被传输的单证进行处置,产生一个依赖于该单证的短小的散列值,并将该散列值附接在单证以后传输给接收方。
以便接收方采用相同的散列算法对接收的单证进行查验。
(5)如何肯定电子单证的真实性?
辨别单证真实性的主要手腕是数字签名技术,其基础是数据加密中的公开密钥加密技术,实用中常结合单证完整性一路考虑,利用发送方的密钥对散列值进行加密。
(6)如何解决或仲裁收发两边对互换的单证所产生的争议,包括发方或收方可能的否定或抵赖?
通常要求引入认证中心进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保留,作为可能争议的仲裁依据。
(7)如何保证存储信息的安全性?
如何规范内部管理?
如何利用访问控制权限和日记和敏感信息加密存储?
当利用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术来保护内部网络的安全性。
3电子商务采用的主要安全技术
为了确保电子商务在交易进程中信息有效、真实、靠得住且保密,目前主要采用的安全技术有加密技术、身份认证技术和交易的安全认证协议。
安全认证协议用来保证电子商务中交易的安全性,如set、ssl、s/mime、s-http等。
下面咱们主要来介绍这些技术。
加密技术
加密技术是电子商务系统所采取的最大体的安全办法,加密的主要目的是避免信息的非授权泄漏。
密码算法是一些数学公式、法则或程序,算法中的可变参数是密钥。
按照密码算法所利用的加密密钥和解密密钥是不是相同,可否由加密密钥推导出解密密钥,可以将密码算法分为对称密码算法和非对称密码算法。
一般来讲,在一个加密系统中,信息利用加密密钥加密后,接收方利用解密密钥对密文解密取得原文。
对称加密/对称密钥加密
在对称加密方式中,对信息的加密和解密都利用相同的密钥,即一把钥匙开一把锁。
这样可以简化加密的处置,每一个交易方都没必要彼此研究和互换专用的加密算法。
若是进行通信的交易各方能够确保在密钥互换阶段不曾发生私有密钥泄漏,那么机密性和报文完整性就可以够得以保证。
这样密钥安全互换是关系到对称加密有效的核心环节。
而对称加密技术存在着在通信的交易各方之间确保密钥安全互换的问题。
对称加密方式存在的另一个问题是无法辨别贸易发起方或贸易最终方。
因为贸易两边共享同一把专用密钥,贸易两边的任何信息都是通过这把密钥加密后传送给对方的。
目前常常利用的对称加密算法有DES、PCR、IDEA等。
其中DES利用最普遍,被采用为数据加密的标准。
非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把私有密钥或解密密钥)。
密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的发布者;私有密钥则保留在密钥发布方手中。
任何取得公开密钥的用户都可利用该密钥加密信息发送给该公开密钥的发布者,而发布者取得加密信息后,利用与公开密钥相应对的私有密钥进行解密。
由此可知,公开密钥用于对机密性的加密,私有密钥则用于对加密信息的解密。
目前常常利用的非对称加密算法是RSA算法。
它是非对称加密领域内最为著名的算法,可是它存在的主要问题是算法的运算速度较慢,而且也难以做到一次一密。
因此,在实际的应用中通常不采用这一算法对信息量大的信息进行加密。
对于加密量大的应用,公开密钥加密算法通常常利用于对称加密方式密钥的加密。
身份认证技术
身份认证技术保证电子商务安全不可缺少的又一重要技术手腕。
常见的安全认证技术有数字摘要、数字信封、数字签名、数字时间戳、数字证书等技术。
数字摘要
数字摘如果一种避免数据被改动的方式,它采用单向HASH函数将需要加密的文件中若干重要元素进行某种变换运算取得固定长度的摘要码,并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方式进行变换运算,若取得的结果与发送来的摘要码相同,则可判定文件未被窜改,反之亦然。
在数字摘要中HASH函数的输入可以是任意大小的文件消息,而输出是一个固定长度的摘要。
且摘要有这样一个性质,若是改变了输入消息中的任何东西,乃至只有一名,输出的摘要将会发生不可预测的改变,故而常常利用数字摘要来判定信息是不是被窜改的一项重要技术。
数字信封
在大量数据加密中所利用的对称密码是随机产生的,而接收方也需要此密码才能对消息进行正确的解密。
对称密钥的传递需要加密进行,即发送方用接收方的公钥加密此对称密钥。
这样只有接收方用自己的私钥才能正确地解密此对称密钥,从而正确地解密消息。
这种加密传送密钥的方式称为数字信封。
数字信封技术可以保证接收方的唯一性。
即便信息在传送途中被监听或截获,由干第三方并无接收方的密钥,也不能对信息进行正确的解密。
数字签名
数字签名能够实现对原始报文的辨别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。
在实际生活中,签名通常采用书面形式,由甲乙两边完成,在网络环境下,可以用电子签名作为模拟。
数字签名是将数字摘要和公钥算法两种加密方式结合起来利用,其可以在提供数据完整性的同时保证数据的真实性。
完整性保证传输的数据未被窜改,真属性则保证传输过来的数据是由合法者产生的,而不是由其他人冒充。
如假设用户A要寄信给用户B,他们彼此知道对方的公钥,A用自己的私钥将签名内容加密,附加在邮件中,再用B的公钥将整个邮件加密(注意这里的顺序,若是先加密再签名的话,他人可以将签名去掉后签上自己的签名,从而窜改了签名)。
这样这份密文被B收到后,B用自己的私钥将邮件解密,取得A的原文和数字签名,然后用A的公钥解密签名,这样一来就保两方面的安全了。
数字时间戳
在电子商务的交易文件中,时间是一条重要的信息,文件的签署日期和签名一样均是避免文件被伪造和窜改的关键性内容。
为了避免在电子交易中,文件签署的时间信息被修改,数字时间戳提供了相应的安全保护。
数字时间戳服务(DTS)是由专门的机构提供的。
数字时间戳是一个经加密处置后形成的凭证文档,它包括三个部份:
需加时间戳的文件摘要;DTS机构收到文件的日期和时间;DTS机构的数字签名。
数字证书
数字证书是由证书授权中心CA管理和发放的。
CA是数字证书的最高管理机构,是安全电子交易的核心环节。
它作为电子商务交易中中立的、受信赖的、可仲裁的第三方,也是为了解决电子商务中,交易两边的信息和身份验证问题,从根本上保障电子商务交易活动顺利进行而设立的。
在交易支付的进程中,参与各方为了证明自己的身份,需到第三方即认证中心(CA)去认证。
数字证书就是认证中心为交易各方颁发的身份凭证。
它是一个经CA数字签名的、包括证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。
任何交易两边只有申请到相应的数字证书,才能参加安全电子商务的网上交易。
安全认证协议
目前电子商务中有两种安全认证协议被普遍利用,即安全套接层SSL协议和安全电子交易SET协议。
SSL协议
SSL安全协议的中文全称是“加密套接字协议层”,最初由Netscape公司推出的一种基于RSA和保密密钥的安全通信协议,是目前利用最普遍的电子商务协议。
该协议位于HTTP协议层和TCP协议层之间,向基于TCP/IP的客户/服务器应用程序,提供了客户端和服务器的辨别、数据完整性及信息机密性等安全办法。
该协议在应用程序进行数据互换前,通过互换SSL初始握手信息来实现有关安全特性的审查。
SSL协议可内置于用户阅读器和商家的服务器中,能方便而低开销地进行信息加密,多用于WEB信用卡的传送。
这样利用它能够对信用卡和个人信息提供较强的保护。
SSL协议运行的基点是商家对客户信息保密的许诺。
客户的信息往往首先传到商家,商家阅读后再传到银行;这样,客户资料的安全性便受到要挟。
另外,整个进程只有商家对客户的认证,缺少客户对商家的认证,不能避免商家利用获取的信用卡号进行讹诈。
随着电子商务与厂商的迅速增加,对厂商的认证问题愈来愈突出,SSL协议的缺点则越加明显。
SSL协议逐渐被新的SET协议所取代。
SET协议
SET协议的中文全称“安全电子交易协议”,它向基于信用卡进行电子化交易的应用提供了实现安全办法的规则。
它是由Vsia国际组织和Mastercard组织联合国际上多家科技机构,一路制定的应用于INTERNET上的以银行卡为基础进行在线交易的安全技术标准。
它采用公钥密码体制和数字证书标准,主要应用于保障网上购物信息的安全性。
SET主要由3个文件组成,别离是SET业务描述、SET程序员指南和SET协议描述。
SET协议在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。
它可以对交易各方进行认证,可避免商家身份的讹诈。
为了进一步增强安全性,利用两组密钥对别离用于加密和签名,通过双签名机制将订购信息同账户信息链在一路签名。
由于设计较为合理,取得了诸如微软公司、IBM公司、Netscape公司等大公司的支持,已成为实际上工业技术标准。
SET协议的不足的地方在于协议复杂,且只适用于用户安装了“电子钱包”的场合。
按照统计,在一个典型的SET交易进程中,需验证数字证书9次,验证数字签名6次;需传送证书7次,进行5次签名、4次对称加密和4次非对称加密;整个交易进程可能会花费~2分钟。
4电子商务安全需要进一步完善的配套办法
电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来讲,发展电子商务,就必需从以下几个方面来完善配套办法:
(1)冲破关键技术受制于人的瓶颈。
当前不仅国内几乎所有的主机、互换机、路由器、网络操作系统都来自国外,而且美国对出口别国的产品实行密钥信前控制和长密钥限制,因此咱们必需依托自身的力量研制自己的加密算法,以保证中国电子商务的正常发展。
(2)我国应尽快对电子商务的有关细则进行立法。
当前大多数人信息安全意识淡薄,以银行和金融界来看,大家对安全方面的重视还不够,由于有关电子商务的立法和管理方才开始,有人开玩笑说“电子商务目前是个‘三无’行业:
无法可依、无安全可言、无规可循”,固然这种说法欠妥,但目前我国关于网络安全的法律的确还有待完善。
(3)大力开发大型商务网站、发展与之相配套的物流公司。
目前我国的电子商务没有真正深切商务领域而仅仅局限于信息领域,这必将影响我国电子商务进一步的发展。
参考文献:
[1]周明,黄元江,李建设.株洲工学院学报[J].电子商务中的安全技术研究,.
[2]张娟.甘肃科技纵横[M].电子商务网络安全技术探讨,.
[3]赵乃真.电子商务技术与应用[M].中国铁道出版社,2003.
[4]谢丹夏.电子与信息化[M].电子商务中的安全技术.
[5]常连定,赵刚.科技情报开发与经济[M].我国电子商务发展存在的问题及应对策略,.
升级会员 