电子商务安全技术问题研究

摘要: 随着Internet的飞速发展,电子商务正得到越来越广泛的应用。电子商务的安全性是影响电子商务发展的关键因素[1]。但电子商务的安全问题是电子商务发展的瓶颈之一,必须从技术和相应的政策、法律等方面进行防范,这样才能促进电子商务更快、更好的发展。

Abstract: With the rapid development of internet, electronic commerce is being more and more widely used. Electronic commerce security is the key factor affecting the development of electronic commerce. But the security problem is the bottleneck in the development of electronic commerce, precaution from the technology and corresponding policy and legal aspects have to be done,so as to promote electronic commerce develop faster and better.

关键词: 电子商务;网络;安全技术;安全协议

Key words: electronic commerce; internet; safety technique; safety protocol

中图分类号:F724.6 文献标识码:A文章编号:1006-4311(2010)13-0173-02

0引言

电子商务是指政府、企业和个人利用计算机网络和通讯技术,以交易双方为主体,以银行电子支付结算为手段,以客户数据为依托的全新商务模式。由于互联网本身是一个高度开放型而又极不安全的网络,其用户遍及全世界,目前尚无完整的网络安全体制。因此,基于互联网的电子商务在安全上无疑会受到威胁,而电子商务安全是制约电子商务发展的一个关键问题,因此,电子商务安全技术就成为大家关注和研究的热点。

1影响电子商务安全的因素

1.1 保密性保密性是指信息在网络上传输或存储的过程中不被他人窃取、不泄露给未经授权的人或组织,或者经过加密后,使未经授权者无法了解其内容[2]。

1.2 完整性完整性(Integrity)是指保护数据的一致性,防止数据被未授权者建立、修改、嵌入、删除、重复发送或由于其他原因被更改。

1.3 不可否认性数据的发送方无法否认数据的传输行为,接收方不能否认已经接到的信息,这是一种法律有效性要求,交易一旦达成就不能否认,否则必然会损坏另一方的利益[3]。

1.4 认证性认证性(Authentication)或称真实性是指网络两端的使用者在通信之前相互确认对方的身份,保证交易双方真实可靠。在电子商务方式下,要辨别参与者身份的真伪,需第三方进行认证。

1.5 不可拒绝性不可拒绝性或可靠性是保证授权用户在正常访问数据资源时不被拒绝,也就是为用户提供稳定可靠的服务[4]。

1.6 访问控制性访问控制性或称可控性规定了主体的操作权限,以及限制出入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制),包括人员限制、数据标识、权限控制等。访问控制性可用防火墙等技术及相关制度措施等实现。

2电子商务的安全防范技术

为了满足电子商务的安全要求,电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务,具体可采用的技术如下:

2.1 网络安全技术一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全涉及的方面比较多。

2.1.1 防火墙“防火墙”是设置在被保护网络和外部网络之间起过滤作用的应用软件,以防止不可预测的、潜在的破坏入。防火墙可通过监测、限制和更改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。因此,防火墙实际上是一种隔离技术,它既要限制有害数据流的通过,又要允许有益数据流的进入[5]。

目前使用的防火墙主要分为包过滤型和应用网关型两种类型。

包过滤型可以动态检查通过防火墙的TCP/IP报文头中的报文类型、源IP地址、目标IP地址、源端口号等信息,与预先保存的清单进行对照,按预定的安全策略决定哪些可以通过、哪些报文不可以通过防火墙。包过滤采访的一个缺陷就是容易产生电子欺骗,因为它不对真实性进行验证。

应用网管型使用技术,在内网和外网之间建立起一个独立的子网,该子网有一个主机,通过路由器和网关分别于内网和外网连接,访问主机对外部和内部的用户的网络服务请求进行认证,对于合法用户的服务请求,主机则连接内网与外网,自己作为通信的中介,外部用户只能获得经过的内网服务,从而确保了内网资源不被侵害。

2.1.2 VPN技术VPN技术也是一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其分支机构就可以相互之间安全的传递信息。同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以进入企业网中。使用VPN技术可以节省成本、扩展性强、提供远程访问、便于管理和实现全面控制,是当前和今后企业网络发展的趋势[6]。

2.2 密码技术密码技术是实现电子商务安全的重要手段,是信息安全的核心技术。主要包括加密技术、密钥管理和数字签名三大技术。

2.2.1 加密技术加密技术是电子商务采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。

所谓加密就是使用数学方法来重新组织数据,把明文转换成密文的过程[7]。加密技术可以分为两类:对称加密和非对称加密。

2.2.1.1 对称加密对称加密技术又称为“私有加密”,其特点是数据的发送方和接收方使用的是同一把密钥,对信息的加密和解密是相同的,并在通信中严密保护密钥。

2.2.1.2 非对称加密非对称加密技术又叫做“公开密钥加密”,对信息的加密和解密都是用不同的密钥,加密用的密钥可以公开,而解密用的密钥是由系统保密持有的。

2.2.2 密钥管理包括密钥的产生、存储、分配、装入、保护、销毁等内容。其中分配和存储是非常重要的问题。密钥管理涉及到系统的经济性、有效性和可靠性。现代信息系统的安全性主要取决于对密钥的保护,而不是对算法或硬件本身的保护[8]。

2.2.3 数字签名数字签名是公开密钥加密技术的一种应用,是用来保证文档的真实性、有效性的一种措施,如同出示手写签名一样。实现方式是用发送方的私有密钥加密报文摘要,然后将其与原始的信息附加在一起,合称为数字签名。通过数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。

2.3 认证技术在电子商务系统中数字证书的发放需要有一个具有权威性和公正性的第三方认证机构来完成。CA认证中心就是这样的一个第三方机构。CA就是向交易双方发放电子密钥形式“电子证书”、承担网上安全电子交易认证、确保用户身份的服务机构,类似于现实生活中的公证机关或证件办理机构的角色。安全认证技术主要包括数字摘要、数字时间戳、数字信封、数字证书等。

2.3.1 数字摘要数字摘要又称Hash算法,是一个信息唯一对应的一个散列值,主要用于保护数据的完整性。散列函数是一种可以产生一个称为“散列值”或固定长度数字摘要的算法。“单向”只指只能从信息生成散列值,而不能反向被解密。数字摘要相当于信息的指纹,它对每条信息都是唯一的。如果信息在传输时被改变,那么,原散列值就会与由接收者所收消息计算的散列值不匹配[9]。

2.3.2 数字时间戳在电子商务交易中,时间是十分重要的信息,因此需要对电子商务交易文件的时间进行保护。数字时间戳服务(DTS)就是能提供对电子文件的日期和时间信息的安全保护,由专门的时间认真机构(TSA)提供服务。

2.3.3 数字信封对称密钥的计算速度比较快,但必须通过不安全的传输路径将对称密钥传递给接收方。为解决这一问题,可用对称密钥对大型文件进行加密和解密,要用公钥加密方法加密和传送这把对称密钥。这种技术叫做“使用数字信封”。被公开密钥加密的对称密钥部分称为“数字信封”。在传送过程中,接收方先用相应的私有密钥打开数字信封,得到对称密钥,再使用对称密钥将密文解密,这样做可大大节约时间[10]。

2.3.4 数字证书数字证书就是标志网络用户身份信息的一系列数据,用来在网络应用中识别通讯各方的身份,类似于现实生活中的身份证。数字证书由可信任的、公正的权威机构CA中心颁发,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的完整性、机密性,交易对象身份的真实性以及签名信息的不可否认性,从而保障网络应用的安全性。

2.4 安全协议安全协议是电子商务系统运行的安全通信标准,是实现电子商务安全的关键技术之一,它会对电子商务的整体性产生很大的影响。目前国际上流行的电子商务所采用的协议主要有基于信用卡交易的安全电子交易协议(SET)、安全超文本传输协议(S-HTTP)、安全电子邮件协议和用于公对公交易的Internet EDI协议等。

2.5 PKI技术PKI(公开密钥基础设施)是利用公钥算法的原理和技术为网上的通信提供通用安全服务的基础设施。它为电子商务、网上银行等提供一整套安全基础平台。

PKI的核心元素是数字证书,其核心执行者是认证中心(CA)。一个完整的PKI应具有权威认证机构、数字证书库、证书作废系统、密钥备份及恢复系统和应用接口(API)等组成部分。数字证书的应用和实施是广泛开展电子商务的前提,深入开展电子商务离不开数字证书和认证机构的正确督导。

3结语

随着计算机技术、网络技术和通讯技术的飞速发展,基于Internet的电子商务越来越受到各行各业的高度重视,成为人们关注的焦点。但是,电子商务的安全问题却始终是电子商务发展的瓶颈之一,因此,保证电子商务数据的完整性和交易的不可否认性、可靠性等就成为电子商务发展必须解决的关键问题,但仅从技术的角度防范是远远不够的,还有赖于电子商务发展所需的政策和相应的法律、法规的建设等社会环境的不断完善,以规范飞速发展的电子商务中存在的问题,从而引导电子商务又快又好的发展。

参考文献:

[1]应根基.电子商务安全技术分析与探讨[J].现代企业文化,2008,(32):131-132.

[2]张波,刘鹤.电子商务安全[M].上海:华东理工大学,2009:8.

[3]卢华玲.电子商务安全技术研究[J].重庆工学院学报(自然科学版),2007,(12):71-73.

[4]管有庆,王晓军,董小燕等.电子商务安全技术[M].北京:北京邮电大学出版社,2009:8.

[5]李荆洪.电子商务概论[M].北京:中国水利水电出版社,2007:112-114.

[6] 张爱菊.电子商务安全技术研究[M].北京:清华大学出版社,2006:87-90.

[7]芮廷先.电子商务[M].北京:北京大学出版社,2010:104-106.

[8]蒋新滨.校园网的电子商务安全技术与应用[J].软件导刊,2008,(7):45-46.

[9]聂玲.电子商务安全技术问题研究[J].长江大学学报(自然学版),2008,5(4):320.

[10]胡明.电子商务安全技术的分析与研究[J].商场现代化,2008,(22):127.