摘要:电子商务的安全问题是电子商务的核心问题。本文分析了电子商务中存在的安全隐患,及其对于安全性的请求,并论述目前解决电子商务安全的主要技术及相干措施。
症结词:电子商务;安全措施;探讨
一 引言
电子商务是通过电子方式处理以及传递数据,它触及许多方面的流动,包含货物电子贸易以及服务、在线数据传递、电子资金划拔、电子证券交易、商业拍卖、合作设计以及工程、在线资料、公共产品取得等内容。电子商务的发展势头无比惊人,但它的产值在全世界出产总值中却只占极小的份额,其缘由就在于电子商务的安全问题,依据美国1个调查机构对于近三0000名因特网用户的调查显示,因为耽心电子商务的安全性问题,超过六0%的网民不愿意进行网上交易, 因而,如何树立1个安全、便捷的电子商务利用环境,对于信息提供足够的维护,已经经成为影响到电子商务健康发展的症结性课题。
二 电子商务对于安全的请求
对于电子商务流动安全性的需求和可以使用的网络安全措施,主要包括如下几方面。
(一)如何肯定通讯中的贸易火伴的真实性?经常使用的处理技术是身份认证,依赖某个可托赖的机构发放证书,双方交流信息以前通过CA获取对于方的证书,并以此辨认对于方。
(二)如何保证电子单证的秘密性,防范电子单证的内容被第3方读取?经常使用的处理技术是数据加密以及解密。
(三)如何保证被传输的业务单证不会丢失,或者者发送方可以发觉所发单证的丢失?对于于固定且拥有频繁贸易来往的火伴,可以采取单证传输的序列性检修;也可采取双方商定的法子(即在规定的时间内,通过某种方式进行确认)。
(四)如何肯定电子单证的内容未被篡改;单证传输完全性主要采取散列技术来避免非法用户对于单证的篡改,通过散列算法对于被传输的单证进行处理,发生1个依赖于该单证的短小的散列值,并将该散列值附接在单证以后传输给接管方。以便接管方采取相同的散列算法对于接管的单证进行检修。
(五)如何肯定电子单证的真实性?鉴别单证真实性的主要手腕是数字签名技术,其基础是数据加密中的'公然密钥加密技术,实用中常结合单证完全性1起斟酌,应用发送方的密钥对于散列值进行加密。
(六)如何解决或者者仲裁收发双方对于交流的单证所发生的争议,包含发方或者收方可能的否认或者抵赖?通常请求引入认证中心进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保留,作为可能争议的仲裁根据。
(七)如何保证存储信息的安全性?如何规范内部管理?如何使用走访节制权限以及日志和敏感信息加密存储?当使用WWW服务器支撑电子商务流动时,应注意数据的备份以及恢复,并采取防火墙技术来维护内部网络的安全性。
三 电子商务采取的主要安全技术
为了确保电子商务在交易进程中信息有效、真实、可靠且保密,目前主要采取的安全技术有加密技术、身份认证技术以及交易的安全认证协定。安全认证协定用来保证电子商务中交易的安全性,如set、ssl、s/mime、s-http等。下面咱们主要来介绍这些技术。
三.一 加密技术
加密技术是电子商务系统所采用的最基本的安全措施,加密的主要目的是避免信息的非授权泄露。密码算法是1些数学公式、法则或者程序,算法中的可变参数是密钥。依据密码算法所使用的加密密钥以及解密密钥是不是相同,能否由加密密钥推导出解密密钥,可以将密码算法分为对于称密码算法以及非对于称密码算法。1般来讲,在1个加密系统中,信息使用加密密钥加密后,接管方使用解密密钥对于密文解密患上到原文。
三.一.一 对于称加密/对于称密钥加密
在对于称加密法子中,对于信息的加密以及解密都使用相同的密钥,即1把钥匙开1把锁。这样可以简化加密的处理,每一个交易方都没必要彼此钻研以及交流专用的加密算法。如果进行通讯的交易各方能够确保在密钥交流阶段未曾经产生私有密钥泄露,那末秘要性以及报文完全性就能够患上以保证。这样密钥安全交流是瓜葛到对于称加密有效的核心环节。而对于称加密技术存在着在通讯的交易各方之间确保密钥安全交流的问题。对于称加密方式存在的另外一个问题是没法鉴别贸易发起方或者贸易终究方。由于贸易双方同享同1把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对于方的。目前经常使用的对于称加密算法有DES、PCR、IDEA等。其中DES使用最普遍,被采取为数据加密的标准。
三.一.二 非对于称加密/公然密钥加密
在非对于称加密体系中,密钥被分解为1对于(即1把公然密钥或者加密密钥以及1把私有密钥或者解密密钥)。密钥对于生成后,公然密钥以非保密方式对于外公然,只对于应于生成该密钥的发布者;私有密钥则保留在密钥发布方手中。任何患上到公然密钥的用户均可使用该密钥加密信息发送给该公然密钥的发布者,而发布者患上到加密信息后,使用与公然密钥相应答的私有密钥进行解密。由此可知,公然密钥用于对于秘要性的加密,私有密钥则用于对于加密信息的解密。目前经常使用的非对于称加密算法是RSA算法。它是非对于称加密领域内最为有名的算法,然而它存在的主要问题是算法的运算速度较慢,并且也难以做到1次1密。因而,在实际的利用中通常不采取这1算法对于信息量大的信息进行加密。对于于加密量大的利用,公然密钥加密算法通经常使用于对于称加密法子密钥的加密。
三.二 身份认证技术
身份认证技术保证电子商务安全不可缺乏的又1首要技术手腕。常见的安全认证技术有数字摘要、数字信封、数字签名、数字时间戳、数字证书等技术。
三.二.一 数字摘要
数字摘要是1种避免数据被改动的法子,它采取单向HASH函数将需要加密的文件中若干首要元素进行某种变换运算患上到固定长度的摘要码,并在传输信息时将之加入文件1同送给接管方,接管方收到文件后,用相同的法子进行变换运算,若患上到的结果与发送来的摘要码相同,则可判定文件未被篡改,反之亦然。在数字摘要中HASH函数的输入可以是任意大小的文件动静,而输出是1个固定长度的摘要。且摘要有这样1个性质,如果扭转了输入动静中的任何东西,乃至只有1位,输出的摘要将会产生不可预测的扭转,故而经常使用数字摘要来断定信息是不是被篡改的1项首要技术。
三.二.二 数字信封
在大批数据加密中所使用的对于称密码是随机发生的,而接管方也需要此密码才能对于动静进行正确的解密。对于称密钥的传递需要加密进行,即发送方用接管方的公钥加密此对于称密钥。这样只有接管方用自己的私钥才能正确地解密此对于称密钥,从而正确地解密动静。这类加密传送密钥的法子称为数字信封。数字信封技术可以保证接管方的独一性。即便信息在传送途中被监听或者截获,由干第3方并无接管方的密钥,也不能对于信息进行正确的解密。
三.二.三 数字签名
数字签名能够实现对于原始报文的鉴别与验证,保证报文的完全性、权威性以及发送者对于所发报文的不可抵赖性。在实际糊口中,签名通常采取书面情势,由甲乙双方完成,在网络环境下,可以用电子签名作为摹拟。
数字签名是将数字摘要以及公钥算法两种加密法子结合起来使用,其可以在提供数据完全性的同时保证数据的真实性。完全性保证传输的数据未被篡改,真属性则保证传输过来的数据是由合法者发生的,而不是由其别人假冒。如假定用户A要寄信给用户B,他们相互知道对于方的公钥,A用自己的私钥将签名内容加密,附加在邮件中,再用B的公钥将整个邮件加密(注意这里的秩序序,如果先加密再签名的话,他人可以将签名去掉后签上自己的签名,从而篡改了签名)。这样这份密文被B收
到后,B用自己的私钥将邮件解密,患上到A的原文以及数字签名,然后用A的公钥解密签名,这样1来就保两方面的安全了。
三.二.四 数字时间戳
在电子商务的交易文件中,时间是1条首要的信息,文件的签署日期以及签名1样均是避免文件被捏造以及篡改的症结性内容。为了避免在电子交易中,文件签署的时间信息被修改,数字时间戳提供了相应的安全维护。数字时间戳服务(DTS)是由专门的机构提供的。数字时间戳是1个经加密处理后构成的凭证文档,它包含3个部份:需加时间戳的文件摘要;DTS机构收到文件的日期以及时间;DTS机构的数字签名。
三.二.五 数字证书
数字证书是由证书授权中心CA管理以及发放的。CA是数字证书的最高管理机构,是安全电子交易的核心环节。它作为电子商务交易中中立的、受信任的、可仲裁的第3方,也是为了解决电子商务中,交易双方的信息以及身份验证问题,从根本上保障电子商务交易流动顺利进行而设立的。在交易支付的进程中,介入各方为了证实自己的身份,需到第3方即认证中心(CA)去认证。数字证书就是认证中心为交易各方颁发的身份凭证。它是1个经CA数字签名的、包括证书申请者(公然密钥具有者)个人信息及其公然密钥的文件。任何交易双方只有申请到相应的数字证书,才能参加安全电子商务的网上交易。
三.三 安全认证协定
目前电子商务中有两种安全认证协定被广泛使用,即安全套接层SSL协定以及安全电子交易SET协定。
三.三.一 SSL协定
SSL安全协定的中文全称是“加密套接字协定层”,最初由Netscape公司推出的1种基于RSA以及保密密钥的安全通讯协定,是目前使用最广泛的电子商务协定。该协定位于HTTP协定层以及TCP协定层之间,向基于TCP/IP的客户/服务器利用程序,提供了客户端以及服务器的鉴别、数据完全性及信息秘要性等安全措施。该协定在利用程序进行数据交流前,通过交流SSL初始握手信息来实现有关安全特性的审查。SSL协定可内置于用户阅读器以及商家的服务器中,能利便而低开消地进行信息加密,多用于WEB信誉卡的传送。这样应用它能够对于信誉卡以及个人信息提供较强的维护。
SSL协定运行的基点是商家对于客户信息保密的许诺。客户的信息常常首先传到商家,商家浏览后再传到银行;这样,客户资料的安全性便遭到要挟。此外,整个进程只有商家对于客户的认证,缺乏客户对于商家的认证,不能避免商家应用获取的信誉卡号进行欺诈。跟着电子商务与厂商的迅速增添,对于厂商的认证问题愈来愈凸起,SSL协定的缺陷则越加显明。SSL协定逐步被新的SET协定所取代。
三.三.二 SET 协定
SET协定的中文全称“安全电子交易协定”,它向基于信誉卡进行电子化交易的利用提供了实现安全措施的规则。它是由Vsia国际组织 以及Mastercard组织联合国际上多家科技机构,共同制订的利用于INTERNET上的以银行卡为基础进行在线交易的安全技术标准。它采取公钥密码体制以及X.五0九数字证书标准,主要利用于保障网上购物信息的安全性。SET主要由三个文件组成,分别是SET业务描写、SET程序员指南以及SET协定描写。SET协定在保存对于客户信誉卡认证的条件下,又增添了对于商家身份的认证。它可以对于交易各方进行认证,可避免商家身份的欺诈。为了进1步加强安全性,使用两组密钥对于分别用于加密以及签名,通过双签名机制将订购信息同账户信息链在1起签名。因为设计较为公道,患上到了诸如微软公司、IBM公司、Netscape公司等大公司的支撑,已经成为实际上工业技术标准。
SET协定的不足的地方在于协定繁杂,且只合用于用户安装了“电子钱包”的场合。依据统计,在1个典型的SET交易进程中,需验证数字证书九次,验证数字签名六次;需传送证书七次,进行五次签名、四次对于称加密以及四次非对于称加密;整个交易进程可能会花费一.五~二分钟。
四 电子商务安全需要进1步完美的配套措施
电子商务要真正成为1种主导的商务模式,特别对于发展中的中国来讲,发展电子商务,就必需从下列几个方面来完美配套措施:
(一)突破症结技术受制于人的瓶颈。当前不但国内几近所有的主机、交流机、路由器、网络操作系统都来自国外,而且美国对于出口别国的产品履行密钥信前节制以及长密钥限制,因而咱们必需依托本身的气力研制自己的加密算法,以保证中国电子商务的正常发展。
(二)我国应尽快对于电子商务的有关细则进行立法。当前大多数人信息安全意识稀薄,以银行以及金融界来看,大家对于安全方面的注重还不够,因为有关电子商务的立法以及管理刚刚开始,有人开玩笑说“电子商务目前是个‘3无’行业:没法可依、无安全可言、无规可循”,固然这类说法欠妥,但目前我国关于网络安全的法律的确还有待完美。
(三)鼎力开发大型商务网站、发展与之相配套的物流公司。目前我国的电子商务没有真正深刻商务领域而仅仅局限于信息领域,这势必影响我国电子商务进1步的发展。
参考文献:
[一]周明,黄元江,李建设.株洲工学院学报[J].电子商务中的安全技术钻研,二00五.一.
[二]张娟.甘肃科技纵横[M].电子商务网络安全技术探究,二00五.四.
[三]赵乃真.电子商务技术与利用[M].中国铁道出版社,二00三.
[四]谢丹夏.电子与信息化[M].电子商务中的安全技术.
[五]常连定,赵刚. 科技情报开发与经济[M].我国电子商务发展存在的问题及应答策略,二00五.一0.