电子商务的信息安全研究

摘要:在二十一世纪中,电子商务已经成为一切经济活动不可或缺的组成元素,但安全问题始终是影响电子商务发展的瓶颈,要保证电子商务的顺利发展,就必须高度重视安全问题,而信息安全更是研究的重点。该文通过对电子商务现状、对信息安全需求分析,探讨了电子商务安全技术体系结构,提出了电子商务应用中所要采取的主要安全防范措施。文中侧重讨论了其中的防火墙技术、VPN技术、数字签名技术、数字认证等核心技术。

关键词:电子商务;信息安全;密码技术;认证技术

中图分类号:TP309文献标识码:A文章编号:1009-3044(2010)11-2821-03

The Research of the Information Security on Electronic Commerce

CHENG Shao-li

(Heilongjiang Provincial Party Committee School, Harbin 150000, China)

Abstract: In the 21st century, the electronic commerce has already become an indispensable element of economic activities. However the security problem is still the bottleneck affecting the development of electronic commerce throughout. In order to guarantee the electronic commerce developing smoothly, we must think much of the security problem, especially the information security. This article has discussed the system structure of the electronic commerce security technology, and the main security measure proposed in the electronic commerce application through describing the present situation of electronic commerce, and the analysis of the information security demand. In the article, it discussed the main technology such as firewall technology, VPN technology, digital signature technology, digital authentication and so on.

Key word: electronic commerce; information security; cryptography; authentication

目前,电子商务已逐步替代了传统的交易手段,致使越来越多的企业通过互联网来完成产品交易,更多的消费者现在也都通过电子商务交易平台来购买自己所需的物品。然而,近年来通过网络进行的电子商务金融犯罪多达200起,八成的网民对网上交易的安全性表示担忧,信息安全问题成为困扰网上交易的一大难题[1]。因此,电子商务信息安全问题也就成为了研究的当务之急。

我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但这些产品安全技术的规范性、完善性、实用性还存在许多不足,理论基础和自主的技术手段需要发展和强化。

本文从电子商务面临的安全威胁及其触发的原因入手,对当前的安全防范技术进行了分析,并着重介绍了防火墙技术、VPN技术和数字证书。

1 电子商务安全概述

电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:网络安全和商务交易安全。

网络安全的内容包括:网络设备安全、网络系统安全、数据库安全等[2]。其特征是针对网络本身可能存在的安全问题,实施网络安全增强方案,以保证网络自身的安全为目标。

商务交易安全则紧紧围绕传统商业在互联网络上应用时产生的各种安全问题,在网络安全的基础上,保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可认证性、不可拒绝性、不可伪造性和不可抵赖性。

网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使网络本身再安全,仍然无法达到电子商务所特有的安全要求。电子商务安全是以网络安全为基础的。

但是,电子商务安全与网络安全又是有区别的。首先,网络不可能绝对安全,在这种情况下,还需要运行安全的电子商务。其次,即使网络绝对安全,也不能保障电子商务的安全。电子商务安全除了网络基础要求之外,还有特殊要求。从安全等级来说,从下至上有密码安全、计算机安全、网络安全和信息安全之分,而电子商务安全属于信息安全的范畴,涉及信息的机密性、完整性、认证性等方面。同时,电子商务安全又有它自身的特殊性,即以电子交易安全和电子支付安全为核心,有更复杂的机密性概念,更严格的身份认证功能,对不可拒绝性有新的要求,需要有法律依据性和货币直接流通性特点,还要网络设有的其他服务(如数字时间戳服务)等[3]。

与现实商务不同,参与电子商务的各方不需要面对面来进行商务活动,信息流和资金流都可以通过Internet来传输。而Internet是一个向全球用户开放的巨大网络,其技术上的缺陷和用户使用中的不良习惯,使得电子商务中的信息流和资金流在通过Internet传输时,面临着各种安全威胁。如信息被截获和窃取、信息被篡改、信息被假冒、交易抵赖等。一个安全的网络应该具有可靠性、可用性、完整性等特点,不仅要保护网络设备安全和系统安全,还要保护数据安全等,所以如果采用一种统一的技术和策略是远远不能达到防范的目的的,因此网络安全机制和技术要不断地变化才能够这种危害。

2 电子商务安全防范措施

网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。

要做到全面的网络安全,需要综合考虑各个方面,包括系统自身的硬件和软件安全,也包括完善的网络管理制度以及先进的网络安全技术等。网络安全防范技术可以从数据的加密/解密算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。

2.1 防火墙技术

通过Internet,企业可以从异地取回重要数据,同时又要面对Internet带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此,企业必须加筑安全的“壕沟”,而这个“壕沟”就是防火墙。防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身必须能够免于渗透。

防火墙的体系结构包括[4]:

1)双重宿主主机体系结构

双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络)。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。

2)被屏蔽主机体系结构

被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内、外部网络的隔离和对内网的保护。

在被屏蔽主机体系结构中,有两道屏障,一道是屏蔽路由器,另一道是堡垒主机。屏蔽路由器位于网络的最边缘,负责与外网连接,并且参与外网的路由计算,它不提供任何服务,仅提供路由和数据包过滤功能,因此本身比较安全。堡垒主机存放在内部网络中,是内部网络中唯一可以连接到外部网络的主机,也是外部用户访问内部网络资源必须经过的主机设备。

3)被屏蔽子网体系结构

被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络(通常是Internet)隔离开。被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,他将仍然必须通过内部路由器。

在图1中,我们看到了防火墙是设置在接入Internet的路由器后端,将B2B电子商务网络划分为三个区域(外部网络、非军事化区和内部网络)。

2.2 VPN技术

虚拟专用网(Virtual Private Network,简称VPN)系指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网,依靠IPS(Internet Service Provider,互联网服务提供商)或NSP(Network Service Provider,网络服务提供商)在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能,从而实现基于Internet安全传输重要信息的效应。

由于VPN(虚拟专用网络)传输的是私有信息,VPN用户对数据的安全性都比较关心。目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)[5]。

2.3 数字签名技术

为了保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。从动态过程看,数字签名技术就是利用数据加密技术、数据变换技术,根据某种协议来产生一个反映被签署文件和签署人特性的数字化签名,涉及被签署文件和签署人两个主体,密码技术是数字签名的基础。

3 电子商务的安全认证体系

随着计算机的发展和社会的进步,通过网络进行的电子商务活动当今社会越来越频繁,身份认证是一个不得不解决的重要问题,它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要,它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击,包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名[6]。

身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系,最好是惟一对应的。身份认证是安全系统中的第一道关卡。

数字证书是在互联网通信中标志通信各方身份信息的一系列数据,提供了一种Internet上验证用户身份的方式,其作用类似于司机的驾驶执照或身份证。它是由一个权威机构――CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它识别彼此的身份。

数字证书是一个经授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的签名。一般情况下证书还包括密钥的有效时间,发证机关的名称,该证书的序列号等信息[7]。

4 结束语

安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。

参考文献:

[1] 祝凌曦.电子商务安全[M].北京:北方交通大学出版社,2006.

[2] 劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2005.

[3] 赵泉.网络安全与电子商务[M].北京:清华大学出版社,2005.

[4] 肖和阳,卢嫣.电子商务安全技术[M].长沙:国防科技大学出版社,2005.

[5] 樊晋宁.电子商务的安全问题和相应措施[J].科技情报开发与经济,2004,14(8).

[6] 杨德礼,王茜.电子商务的安全体系结构及技术研究[J].计算机工程,2003,29(1).

[7] 屈武江,五斌.电子商务安全与支付技术[M].北京:中国人民大学出版社,2006.