浅析电子商务安全技术

摘 要:随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。支付信息、订货信息、谈判信息、机密的商务往来文件等商务信息在计算机系统中存放、传输和处理,计算机诈骗、计算机病毒等造成的信息失误或失效,都严重危害着电子商务系统的安全。本文主要介绍了电子商务安全的概念及常用安全技术。

关键词:电子商务 安全 认证

引言

随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题,也成为电子商务良好运作的基础。

一、电子商务安全的概念

电子商务是一个社会与技术相结合的综合性系统,其安全性是一个多层次、多方位的系统的概念,它包含以下几个方面的安全。

1.电子商务系统硬件安全:硬件安全是指保护计算机系统硬件(包括外部设备)的安全,保证其自身的可靠性和为系统提供基本安全机制。

2.电子商务系统软件安全:软件安全是指保护软件和数据不被窜改、破坏和非法复制。

3.电子商务系统运行安全:运行安全是指保护系统能连续和正常地运行。

4.电子商务安全立法:电子商务安全立法是指对电子商务犯罪的约束,它是利用国家机器,通过安全立法,体现与犯罪斗争的国家意志。

二、电子商务的安全需求

电子商务的安全主要是指通信安全与计算机安全。衡量这两大类的安全性常常要考察下述几个方面:

1.保密性

保密性是指信息在传输过程或存储中不被他人窃取。

2.完整性

信息存储时,要防止非法窜改和破坏网站上的信息。传输中,接收端收到的信息与发送的信息完全一样,说明在传输过程中信息没有遭到破坏。

3.不可否认性

信息的不可否认性是指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息

4.可认证性/交易者身份的真实性

交易者身份的真实性是指交易双方确实是存在的,不是假冒的。

5.可靠性

电子商务系统的可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。

6.有效性

要对各种事项进行防范和控制,以保证贸易数据在确定的时刻、确定的地点是有效的。

三、电子商务安全的常用技术

(一)信息加密技术

加密的目的是防止敌方破译信息系统中的机密信息。加密技术是电子商务中其他安全技术的基础。

1.加密与解密

加密是指将数据按照一定的规则进行编码,使它成为一种按常规不可理解的形式,这种不可理解的内容叫密文。解密是加密的逆过程,即将密文还原成原来可理解的形式。

加密处理过程比较简单,它依据加密公式(即算法),把明文转化成不可读的密文,然后再把密文翻译回明文。加密的核心是一个称为密钥的数值,它是加密算法的一个组成部分,引导整个加密过程。算法和密钥在加密和解密过程中是相互配合的,二者缺一不可。一般来说,加密算法是不变的,存在的加密算法也是屈指可数的(主要有四大类:序列密码、分组密码、公开密钥密码、HASH函数),但是密钥是变化的。因此,加密技术的关键是密钥。

2.密钥的长度

密钥的长度就是指密钥的位数。密文的破译实际是经过长时间的测算密钥,破获密钥后,解开密文。因此,密钥的位数越长,加密系统就越牢固。

3.对称密钥系统

对称密钥系统,又称常规密钥密码体制或单钥加密体制,是使用相同的密钥加密解密,发送者和接收者有相同的密钥。

4.公钥和私钥系统

公开密钥密码体制出现于1976年,最主要的特点就是加密和解密使用不同的密钥,一个用于加密,另一个可用于解密。较著名的是RSA算法。每个网络上的用户都有一对公钥和私钥。公钥是公开的,可以公开传送给需要的人;私钥只有本人知道,是保密的。对称密码系统的缺陷之一是通信双方在进行通信之前需要通过一个安全信道事先交换密钥,这在实际应用中通常是非常困难的。

5.单、双钥体制的配合使用和双重加密技术

(二)信息认证技术

信息的认证性是信息的安全性的另一个重要方面。认证的目的有两个:一是验证信息的发送者是真正的,而不是假冒的;二是验证信息的完整性,即验证信息在传递或存储过程中未被篡改、重放或延迟等。

1.消息摘要

消息摘要(message digest)方法也称安全Hash编码法或MD5。消息摘要是一个唯一的对应一个消息的值,它由单向Hash加密算法对一个消息作用而生成,有固定的长度。

2.数字签名

数字签名(digital signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有发送者的公钥才能解密被加密的摘要,然后用Hash函数对收到的原文产生一个摘要,与解密的摘要对比,若相同,则说明收到的信息是完整的。

3.数字时间戳

交易文件中,时间和签名一样是十分重要的证明文件有效性的内容。数字时间戳(kigital time-stamep)就是用来证明消息的收发时间的。

4.数字证书

(1)认证中心

认证中心(certificate authority)就是这样的第三方,它是一个权威机构,专门验证交易双方的身份。验证方法是接受个人、商家、银行等涉及交易的实体申请数字证书,核实情况,批准/拒绝申请,颁发数字证书。认证中心除了颁发数字证书外,还具有管理、搜索和验证证书的职能。

(2)认证中心的树形验证结构

在双方通信时,通过出示由某个认证中心(CA)签发的证书来证明自己的身份,如果对签发证书的CA本身不信任,则可验证CA的身份,逐级进行,一直到公认的权威CA处,就可确信证书的有效性。

5.防火墙

防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型:包过滤防火墙、代理防火墙、双穴主机防火墙。

6.虚拟专用网(VPN)

这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。

结束语:

安全是电子商务的核心和灵魂,在发展电子商务的道路上,最受重视并使其放慢速度的也正是安全问题。目前,电子商务也有许多新技术的提出,这需要加大力度来研究和发展信息安全保密技术。电子商务的发展促使人们对安全技术进行不断探索研究和开发应用,以建立一个安全的商务环境。◆

参考文献:

[1]覃 征 李顺东:电子商务概论[M].北京:高等教育出版社,2002.06.

[2]书缘工作室编著 《电子商务安全》.人民邮电出版社,2001

[3]John Tschoh1著 《电子服务一一电子商务生存战略》.东南大学出版社,2001