电子商务安全性.docx
《电子商务安全性.docx》由会员分享,可在线阅读,更多相关《电子商务安全性.docx(3页珍藏版)》请在冰豆网上搜索。
电子商务安全性
电子商务安全性
1.引言
电子商务的概念
电子商务EC就是利用电子数据交换EDI、电子邮件、电子资金转帐EFT及Internet的主要技术在个人间、企业间和国家间进行无纸化的业务信息的交换。
。
电子商务的运作流程
我们从电子商务对信息产业发展的功能方面来研究它的运作流程,可以把它视为信息产业提供的一种服务,参与这种服务的有:
服务供给者、需求者和运作支持环节以及运作规则。
其关系如图1示。
图中右边的供给与支持环节,环环相扣,各自利益相互影响,只有达成共识,共同努力,才能让整个供给系统高效的运转起来,发挥这些正反馈环路的优势。
左边是需求者环路,主要由利益、市场和技术驱动。
左右两边的利益是正相关的。
要使整个电信产业发展起来,首先要使左边的需求者能够得到确实的好处,从而带动整个社会的信息化,这样拉动信息产业的发展。
这就是电子商务的运作流程。
电子商务的主要特点
电子商务的主要优点有:
以最小的费用制作最大的广告;丰富的网络资源有利于企业了解市场的变化和做出理性的决策;展示产品而不需要占用店面,小企业可以和大企业获得几乎同等的商业机会;提高服务质量,及时获得顾客的反馈的信息;在线交易方便、快捷、可靠等等。
2.电子商务的安全性
电子商务的自身特性决定了其具有开放性,而它所基于的因特网更是开放和不设防的,所以电子商务从一诞生开始就与安全性紧密联系在一起。
随着电子商务的日益普及,电子商务的安全也成为当前最热门的话题之一。
以下对电子商务的安全目标以及电子商务安全性的实现进行研究分析。
电子商务的安全目标
保密性保密性主要指信息只能在所授权的时间、所授权的地点暴露给授权的人。
完整性完整性是指信息是完全的,电子商务系统应该提供对数据完整性的验证手段,确保能够发现数据化存储或传输过程中是否被改动。
不可否认性不可否认性是指数据的原发送者对所发送数据不可以否认,数据的接收者对所接收数据同样不可否认,交易双方更不可以否认已经进行的商业活动。
身份认证指交易双方可以相互确认彼此的真实身份,确认对方就是本次交易中所称的真正交易方,确认就是本次交易中所称的真正交易方。
可审计性可审计性是指每个经授权的用户的活动是唯一标识和监控的,以便对其所作用的操作内容进行审计和跟踪。
当贸易一方发现交易行对自己不利时否认电子交易行为。
电子商务安全性的实现
电子商务安全性的实现体现在认证中心的设置、密钥管理、加密算法和电子商务的基本安全技术。
认证中心的设置
PKI模式中一个很重要的概念就是认证中心CA。
CA是交易双方都信任的第三方,功能是为参予电子商务的各方颁发数字证书。
数字证书能够起到标识交易方的作用,用于在交易中验证对方的身份。
密钥管理
密钥管理是加密技术的重要一环,密钥管理的重点是确保密钥的安全性。
密钥管理分为对称密钥算法体制的密钥和公开密钥密码体制的密钥管理。
对称密钥管理对称加密是基于共同保守秘密来实现的。
采用对称加密技术的交易双方必须要保证采用的是相同的的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。
这样,对称密钥管理和分发工作变成一件潜在危险的和繁琐的过程。
公开密钥密码体制公开密钥密码体制密码管理主要解决两个问题:
秘密秘钥的保护和公开密钥及其所有者身份的确认。
秘密密钥的保护,由用户内部所采取的安全策略加以保护,一般用口令及存取权限等访问控制策略进行保护。
。
密钥管理相关的标准规范目前国际有关的标准化机构都制定关于密钥管理的技术标准规范。
ISO与IEC下属的信息技术委员会已起草了关于密钥管理的国际标准规范。
该规范主要由3个部分组成:
第一部分是密钥管理框架;第二部分是采用对称技术的机制;第三部分是采用非对称技术的机制。
该规范现已进入到国际标准草案表决阶段,并将很快成为正式的国际标准。
加密算法
这里主要指对称加密算法。
具有初始化显式向量56位及以下密钥长度的数据加密标准DES算法显然已经不太适用。
下面几种算法已经成为DES的替代算法:
TripleDES、CAST—128、RC5、IDEA、Blowfish和ARCFour。
一般认为CAST的64位算法比DES算法更强大,此外,其算法效率也比DES高。
RC5是RSA实验室的一个产品,是一个密钥长度和迭代轮数都可变化的一种分组迭代密码体制。
电子商务的基本安全技术
数字签名数字签名技术广泛用于电子商务系统中的源鉴别和发方不可否认服务中,收方不可否认服务也需要结合数字签名技术予以实现。
数字签名的基础是密码技术,目前较多使用公开密码体制实现数字签名。
公开密钥密码体制的要求之一是:
密钥对中任何一个都可用于加密,其另外一个此时可用于解密,且密钥对中称为秘密密钥的那一个只有密钥对的所有者才知道,从而可把秘密作为其所有者的身份特征。
分开密钥算法的运算速度比较慢,因此可使用安全的单向数列函数对要签名的信息进行摘要处理,减少使用公开密钥算法的运算量。
如图1所示,实现数字签名的过程为:
信息发送者使用一单向数列函数对信息1生成信息摘要—→信息发送者使用自己的私钥签名信息摘要—→信息发送者把信息本身和已签名的信息摘要一起发送出去。
数字信封数字信封技术结合了秘密密钥技术和公开密钥技术的优点,可以克服秘密密钥中秘密密钥分散困难和公开密钥加密中加密时间较长的问题,使用两个层次的加密来获得公开密钥的灵活性和秘密密钥的高效性,保证信息的安全性。
如图2所示,数字信封的具体实现步骤为:
当发送方需要发送信息时,首先生成一个对称密钥,用以加密要发送的报文—→发送方用接收方的公钥加密上述的对称密钥—→发送方将上述两个步骤的结果传给接收方—→接收方使用自己的私钥解密被加密的对称密钥—→接收方用得到的对称密钥解密被发送方加密的报文,得到真正的报文。
身份认证技术在节中已简单介绍了身份认证的一些概念,这里再把身份认证分析一下。
身份认证是指对电子商务业务参与者的认证。
在公共网络上的认证,从安全角度分两类:
一类是请求认证者的秘密消息在网上传送的口令认证方式;另一类是使用公开密钥签名算法,而不需要在网上传送秘密信息的认证方式,这类认证方式包括前面介绍过的数字签名认证。
口令认证必须具备一个前提:
请求认证者必须具备一个ID,该ID必须有在认证者的数据库中是唯一的。
使用口令的单向身份认证流程如图3所示,具体流程是:
请求认证者和认证者之间进行认证初始化,并建立安全连接,确认身份—→请求认证者向认证者发送ID和口令等信息—→认证者收到ID和口令,并与用户数据库中的ID和口令作比较—→认证者向请求认证者发回认证结果—→请求认证者接收认证结果。
3.电子商务涉及的技术问题
近年来不少公司已推出了不少在维护信息安全方面的软、硬件产品。
由于电子商务的形式多种多样,涉及的问题方方面面,因为篇幅限制,这里只对电子交易、虚拟专用网和对加密算法的控制作简单介绍。
电子交易
电子交易是电子商务中一种最基本、最常用形式。
以信用卡交易为例,Visa和MasterCard公司的调查报告表明,担心信用卡号被窃取已经成为影响人们通过网络交易中存在的最大问题。
为防止不法分子在Internet上进行传输时截取信用卡号,必须使发送和接收信息时保证做到:
除发送方和接收方外,不得被其他人知悉;传输过程中不被篡改;发送方能确信接收方不是假的;发送不能否认自己的发送行为。
虚拟专网
虚拟专用网VPN是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道,用于电子数据交换。
它与信用卡交易和客户发送定单交易不同。
因为在VPN中,双方的数据通信量大得多,而且通信的双方彼此都很熟悉。
这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。
为防止黑客的破坏,现有的或正在开发的数据隧道系统进一步增加VPN的安全性,从而能够保证数据的保密性和可用性。
对加密算法的控制
保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。
现在一些专用密钥和公钥加密可用来保证电子商务的保密性、完整性、真实性和非否认服务。
然而,这些技术的广泛使用却不是一件容易的事情。
4.结束语
电子商务的安全性直接阻碍着电子商务在商务活动中的进展,因此,需要尽快寻求一种可靠的安全措施,以逐步消除人们在商务交易中的各种疑虑,促进电子商务的发展。
有人称电子商务无技术,实际上就是指实现电子商务的技术都是已有的技术,但这里有个集成问题。
如何利用这些现有技术,实现电子商务安全性的应用需求,仍然是今后一段时间内值得大力研究的课题。
电子商务的安全是人们永远追求的目标.电子商务安全性