摘要:電子商務的安全問題是電子商務的核心問題。本文分析了電子商務中存在的安全隱患,及其對於安全性的請求,並論述目前解決電子商務安全的主要技術及相干措施。
癥結詞:電子商務;安全措施;探討
一 引言
電子商務是通過電子方式處理以及傳遞數據,它觸及許多方面的流動,包含貨物電子貿易以及服務、在線數據傳遞、電子資金劃拔、電子證券交易、商業拍賣、合作設計以及工程、在線資料、公共產品取得等內容。電子商務的發展勢頭無比驚人,但它的產值在全世界出產總值中卻只佔極小的份額,其緣由就在於電子商務的安全問題,依據美國1個調查機構對於近三0000名因特網用戶的調查顯示,因爲耽心電子商務的安全性問題,超過六0%的網民不願意進行網上交易, 因而,如何樹立1個安全、便捷的電子商務利用環境,對於信息提供足夠的維護,已經經成爲影響到電子商務健康發展的癥結性課題。
二 電子商務對於安全的請求
對於電子商務流動安全性的需求和可以使用的網絡安全措施,主要包括如下幾方面。
(一)如何肯定通訊中的貿易火伴的真實性?經常使用的處理技術是身份認證,依賴某個可托賴的機構發放證書,雙方交流信息以前通過CA獲取對於方的證書,並以此辨認對於方。
(二)如何保證電子單證的祕密性,防範電子單證的內容被第3方讀取?經常使用的處理技術是數據加密以及解密。
(三)如何保證被傳輸的業務單證不會丟失,或者者發送方可以發覺所發單證的丟失?對於於固定且擁有頻繁貿易來往的火伴,可以採取單證傳輸的序列性檢修;也可採取雙方商定的法子(即在規定的時間內,通過某種方式進行確認)。
(四)如何肯定電子單證的內容未被篡改;單證傳輸完全性主要採取散列技術來避免非法用戶對於單證的篡改,通過散列算法對於被傳輸的單證進行處理,發生1個依賴於該單證的短小的散列值,並將該散列值附接在單證以後傳輸給接管方。以便接管方採取相同的散列算法對於接管的單證進行檢修。
(五)如何肯定電子單證的真實性?鑑別單證真實性的主要手腕是數字簽名技術,其基礎是數據加密中的'公然密鑰加密技術,實用中常結合單證完全性1起斟酌,應用發送方的密鑰對於散列值進行加密。
(六)如何解決或者者仲裁收發雙方對於交流的單證所發生的爭議,包含發方或者收方可能的否認或者抵賴?通常請求引入認證中心進行管理,由CA發放密鑰,傳輸的單證及其簽名的備份發至CA保留,作爲可能爭議的仲裁根據。
(七)如何保證存儲信息的安全性?如何規範內部管理?如何使用走訪節制權限以及日誌和敏感信息加密存儲?當使用WWW服務器支撐電子商務流動時,應注意數據的備份以及恢復,並採取防火牆技術來維護內部網絡的安全性。
三 電子商務採取的主要安全技術
爲了確保電子商務在交易進程中信息有效、真實、可靠且保密,目前主要採取的安全技術有加密技術、身份認證技術以及交易的安全認證協定。安全認證協定用來保證電子商務中交易的安全性,如set、ssl、s/mime、s-http等。下面咱們主要來介紹這些技術。
三.一 加密技術
加密技術是電子商務系統所採用的最基本的安全措施,加密的主要目的是避免信息的非授權泄露。密碼算法是1些數學公式、法則或者程序,算法中的可變參數是密鑰。依據密碼算法所使用的加密密鑰以及解密密鑰是不是相同,能否由加密密鑰推導出解密密鑰,可以將密碼算法分爲對於稱密碼算法以及非對於稱密碼算法。1般來講,在1個加密系統中,信息使用加密密鑰加密後,接管方使用解密密鑰對於密文解密患上到原文。
三.一.一 對於稱加密/對於稱密鑰加密
在對於稱加密法子中,對於信息的加密以及解密都使用相同的密鑰,即1把鑰匙開1把鎖。這樣可以簡化加密的處理,每一個交易方都沒必要彼此鑽研以及交流專用的加密算法。如果進行通訊的交易各方能夠確保在密鑰交流階段未曾經產生私有密鑰泄露,那末祕要性以及報文完全性就能夠患上以保證。這樣密鑰安全交流是瓜葛到對於稱加密有效的核心環節。而對於稱加密技術存在着在通訊的交易各方之間確保密鑰安全交流的問題。對於稱加密方式存在的另外一個問題是沒法鑑別貿易發起方或者貿易終究方。由於貿易雙方同享同1把專用密鑰,貿易雙方的任何信息都是通過這把密鑰加密後傳送給對於方的。目前經常使用的對於稱加密算法有DES、PCR、IDEA等。其中DES使用最普遍,被採取爲數據加密的標準。
三.一.二 非對於稱加密/公然密鑰加密
在非對於稱加密體系中,密鑰被分解爲1對於(即1把公然密鑰或者加密密鑰以及1把私有密鑰或者解密密鑰)。密鑰對於生成後,公然密鑰以非保密方式對於外公然,只對於應於生成該密鑰的發佈者;私有密鑰則保留在密鑰發佈方手中。任何患上到公然密鑰的用戶均可使用該密鑰加密信息發送給該公然密鑰的發佈者,而發佈者患上到加密信息後,使用與公然密鑰相應答的私有密鑰進行解密。由此可知,公然密鑰用於對於祕要性的加密,私有密鑰則用於對於加密信息的解密。目前經常使用的非對於稱加密算法是RSA算法。它是非對於稱加密領域內最爲有名的算法,然而它存在的主要問題是算法的運算速度較慢,並且也難以做到1次1密。因而,在實際的利用中通常不採取這1算法對於信息量大的信息進行加密。對於於加密量大的利用,公然密鑰加密算法通經常使用於對於稱加密法子密鑰的加密。
三.二 身份認證技術
身份認證技術保證電子商務安全不可缺乏的又1首要技術手腕。常見的安全認證技術有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等技術。
三.二.一 數字摘要
數字摘要是1種避免數據被改動的法子,它採取單向HASH函數將需要加密的文件中若干首要元素進行某種變換運算患上到固定長度的摘要碼,並在傳輸信息時將之加入文件1同送給接管方,接管方收到文件後,用相同的法子進行變換運算,若患上到的結果與發送來的摘要碼相同,則可判定文件未被篡改,反之亦然。在數字摘要中HASH函數的輸入可以是任意大小的文件動靜,而輸出是1個固定長度的摘要。且摘要有這樣1個性質,如果扭轉了輸入動靜中的任何東西,乃至只有1位,輸出的摘要將會產生不可預測的扭轉,故而經常使用數字摘要來斷定信息是不是被篡改的1項首要技術。
三.二.二 數字信封
在大批數據加密中所使用的對於稱密碼是隨機發生的,而接管方也需要此密碼才能對於動靜進行正確的解密。對於稱密鑰的傳遞需要加密進行,即發送方用接管方的公鑰加密此對於稱密鑰。這樣只有接管方用自己的私鑰才能正確地解密此對於稱密鑰,從而正確地解密動靜。這類加密傳送密鑰的法子稱爲數字信封。數字信封技術可以保證接管方的獨一性。即便信息在傳送途中被監聽或者截獲,由幹第3方並無接管方的密鑰,也不能對於信息進行正確的解密。
三.二.三 數字簽名
數字簽名能夠實現對於原始報文的鑑別與驗證,保證報文的完全性、權威性以及發送者對於所發報文的不可抵賴性。在實際餬口中,簽名通常採取書面情勢,由甲乙雙方完成,在網絡環境下,可以用電子簽名作爲摹擬。
數字簽名是將數字摘要以及公鑰算法兩種加密法子結合起來使用,其可以在提供數據完全性的同時保證數據的真實性。完全性保證傳輸的數據未被篡改,真屬性則保證傳輸過來的數據是由合法者發生的,而不是由其別人假冒。如假定用戶A要寄信給用戶B,他們相互知道對於方的公鑰,A用自己的私鑰將簽名內容加密,附加在郵件中,再用B的公鑰將整個郵件加密(注意這裏的秩序序,如果先加密再簽名的話,他人可以將簽名去掉後簽上自己的簽名,從而篡改了簽名)。這樣這份密文被B收
到後,B用自己的私鑰將郵件解密,患上到A的原文以及數字簽名,然後用A的公鑰解密簽名,這樣1來就保兩方面的安全了。
三.二.四 數字時間戳
在電子商務的交易文件中,時間是1條首要的信息,文件的簽署日期以及簽名1樣均是避免文件被捏造以及篡改的癥結性內容。爲了避免在電子交易中,文件簽署的時間信息被修改,數字時間戳提供了相應的安全維護。數字時間戳服務(DTS)是由專門的機構提供的。數字時間戳是1個經加密處理後構成的憑證文檔,它包含3個部份:需加時間戳的文件摘要;DTS機構收到文件的日期以及時間;DTS機構的數字簽名。
三.二.五 數字證書
數字證書是由證書授權中心CA管理以及發放的。CA是數字證書的最高管理機構,是安全電子交易的核心環節。它作爲電子商務交易中中立的、受信任的、可仲裁的第3方,也是爲了解決電子商務中,交易雙方的信息以及身份驗證問題,從根本上保障電子商務交易流動順利進行而設立的。在交易支付的進程中,介入各方爲了證實自己的身份,需到第3方即認證中心(CA)去認證。數字證書就是認證中心爲交易各方頒發的身份憑證。它是1個經CA數字簽名的、包括證書申請者(公然密鑰具有者)個人信息及其公然密鑰的文件。任何交易雙方只有申請到相應的數字證書,才能參加安全電子商務的網上交易。
三.三 安全認證協定
目前電子商務中有兩種安全認證協定被廣泛使用,即安全套接層SSL協定以及安全電子交易SET協定。
三.三.一 SSL協定
SSL安全協定的中文全稱是“加密套接字協定層”,最初由Netscape公司推出的1種基於RSA以及保密密鑰的安全通訊協定,是目前使用最廣泛的電子商務協定。該協定位於HTTP協定層以及TCP協定層之間,向基於TCP/IP的客戶/服務器利用程序,提供了客戶端以及服務器的鑑別、數據完全性及信息祕要性等安全措施。該協定在利用程序進行數據交流前,通過交流SSL初始握手信息來實現有關安全特性的審查。SSL協定可內置於用戶閱讀器以及商家的服務器中,能利便而低開消地進行信息加密,多用於WEB信譽卡的傳送。這樣應用它能夠對於信譽卡以及個人信息提供較強的維護。
SSL協定運行的基點是商家對於客戶信息保密的許諾。客戶的信息常常首先傳到商家,商家瀏覽後再傳到銀行;這樣,客戶資料的安全性便遭到要挾。此外,整個進程只有商家對於客戶的認證,缺乏客戶對於商家的認證,不能避免商家應用獲取的信譽卡號進行欺詐。跟着電子商務與廠商的迅速增添,對於廠商的認證問題愈來愈凸起,SSL協定的缺陷則越加顯明。SSL協定逐步被新的SET協定所取代。
三.三.二 SET 協定
SET協定的中文全稱“安全電子交易協定”,它向基於信譽卡進行電子化交易的利用提供了實現安全措施的規則。它是由Vsia國際組織 以及Mastercard組織聯合國際上多家科技機構,共同制訂的利用於INTERNET上的以銀行卡爲基礎進行在線交易的安全技術標準。它採取公鑰密碼體制以及X.五0九數字證書標準,主要利用於保障網上購物信息的安全性。SET主要由三個文件組成,分別是SET業務描寫、SET程序員指南以及SET協定描寫。SET協定在保存對於客戶信譽卡認證的條件下,又增添了對於商家身份的認證。它可以對於交易各方進行認證,可避免商家身份的欺詐。爲了進1步加強安全性,使用兩組密鑰對於分別用於加密以及簽名,通過雙簽名機制將訂購信息同賬戶信息鏈在1起簽名。因爲設計較爲公道,患上到了諸如微軟公司、IBM公司、Netscape公司等大公司的支撐,已經成爲實際上工業技術標準。
SET協定的不足的地方在於協定繁雜,且只合用於用戶安裝了“電子錢包”的場合。依據統計,在1個典型的SET交易進程中,需驗證數字證書九次,驗證數字簽名六次;需傳送證書七次,進行五次簽名、四次對於稱加密以及四次非對於稱加密;整個交易進程可能會花費一.五~二分鐘。
四 電子商務安全需要進1步完美的配套措施
電子商務要真正成爲1種主導的商務模式,特別對於發展中的中國來講,發展電子商務,就必需從下列幾個方面來完美配套措施:
(一)突破癥結技術受制於人的瓶頸。當前不但國內幾近所有的主機、交流機、路由器、網絡操作系統都來自國外,而且美國對於出口別國的產品履行密鑰信前節制以及長密鑰限制,因而咱們必需依託本身的氣力研製自己的加密算法,以保證中國電子商務的正常發展。
(二)我國應儘快對於電子商務的有關細則進行立法。當前大多數人信息安全意識稀薄,以銀行以及金融界來看,大家對於安全方面的注重還不夠,因爲有關電子商務的立法以及管理剛剛開始,有人開玩笑說“電子商務目前是個‘3無’行業:沒法可依、無安全可言、無規可循”,固然這類說法欠妥,但目前我國關於網絡安全的法律的確還有待完美。
(三)鼎力開發大型商務網站、發展與之相配套的物流公司。目前我國的電子商務沒有真正深刻商務領域而僅僅侷限於信息領域,這勢必影響我國電子商務進1步的發展。
參考文獻:
[一]周明,黃元江,李建設.株洲工學院學報[J].電子商務中的安全技術鑽研,二00五.一.
[二]張娟.甘肅科技縱橫[M].電子商務網絡安全技術探究,二00五.四.
[三]趙乃真.電子商務技術與利用[M].中國鐵道出版社,二00三.
[四]謝丹夏.電子與信息化[M].電子商務中的安全技術.
[五]常連定,趙剛. 科技情報開發與經濟[M].我國電子商務發展存在的問題及應答策略,二00五.一0.