摘要:電子商務的安全問題是電子商務的核心問題。本文分析了電子商務中存在的安全隱患,及其對於安全性的請求,並論述目前解決電子商務安全的主要技術及相干措施。
癥結詞:電子商務;安全措施;探討
一 引言
電子商務是通過電子方式處理以及傳遞資料,它觸及許多方面的流動,包含貨物電子貿易以及服務、線上資料傳遞、電子資金劃拔、電子證券交易、商業拍賣、合作設計以及工程、線上資料、公共產品取得等內容。電子商務的發展勢頭無比驚人,但它的產值在全世界出產總值中卻只佔極小的份額,其緣由就在於電子商務的安全問題,依據美國1個調查機構對於近三0000名因特網使用者的調查顯示,因為耽心電子商務的安全性問題,超過六0%的網民不願意進行網上交易, 因而,如何樹立1個安全、便捷的電子商務利用環境,對於資訊提供足夠的維護,已經經成為影響到電子商務健康發展的癥結性課題。
二 電子商務對於安全的請求
對於電子商務流動安全性的需求和可以使用的網路安全措施,主要包括如下幾方面。
(一)如何肯定通訊中的貿易火伴的真實性?經常使用的處理技術是身份認證,依賴某個可托賴的機構發放證書,雙方交流資訊以前通過CA獲取對於方的證書,並以此辨認對於方。
(二)如何保證電子單證的祕密性,防範電子單證的內容被第3方讀取?經常使用的處理技術是資料加密以及解密。
(三)如何保證被傳輸的業務單證不會丟失,或者者傳送方可以發覺所發單證的丟失?對於於固定且擁有頻繁貿易來往的火伴,可以採取單證傳輸的序列性檢修;也可採取雙方商定的法子(即在規定的時間內,通過某種方式進行確認)。
(四)如何肯定電子單證的內容未被篡改;單證傳輸完全性主要採取雜湊技術來避免非法使用者對於單證的篡改,通過雜湊演算法對於被傳輸的單證進行處理,發生1個依賴於該單證的短小的雜湊值,並將該雜湊值附接在單證以後傳輸給接管方。以便接管方採取相同的雜湊演算法對於接管的單證進行檢修。
(五)如何肯定電子單證的真實性?鑑別單證真實性的主要手腕是數字簽名技術,其基礎是資料加密中的'公然金鑰加密技術,實用中常結合單證完全性1起斟酌,應用傳送方的金鑰對於雜湊值進行加密。
(六)如何解決或者者仲裁收發雙方對於交流的單證所發生的爭議,包含發方或者收方可能的否認或者抵賴?通常請求引入認證中心進行管理,由CA發放金鑰,傳輸的單證及其簽名的備份發至CA保留,作為可能爭議的仲裁根據。
(七)如何保證儲存資訊的安全性?如何規範內部管理?如何使用走訪節制許可權以及日誌和敏感資訊加密儲存?當使用WWW伺服器支撐電子商務流動時,應注意資料的備份以及恢復,並採取防火牆技術來維護內部網路的安全性。
三 電子商務採取的主要安全技術
為了確保電子商務在交易程序中資訊有效、真實、可靠且保密,目前主要採取的安全技術有加密技術、身份認證技術以及交易的安全認證協定。安全認證協定用來保證電子商務中交易的安全性,如set、ssl、s/mime、s-http等。下面咱們主要來介紹這些技術。
三.一 加密技術
加密技術是電子商務系統所採用的最基本的安全措施,加密的主要目的是避免資訊的非授權洩露。密碼演算法是1些數學公式、法則或者程式,演算法中的可變引數是金鑰。依據密碼演算法所使用的加密金鑰以及解密金鑰是不是相同,能否由加密金鑰推匯出解密金鑰,可以將密碼演算法分為對於稱密碼演算法以及非對於稱密碼演算法。1般來講,在1個加密系統中,資訊使用加密金鑰加密後,接管方使用解密金鑰對於密文解密患上到原文。
三.一.一 對於稱加密/對於稱金鑰加密
在對於稱加密法子中,對於資訊的加密以及解密都使用相同的金鑰,即1把鑰匙開1把鎖。這樣可以簡化加密的處理,每一個交易方都沒必要彼此鑽研以及交流專用的加密演算法。如果進行通訊的交易各方能夠確保在金鑰交流階段未曾經產生私有金鑰洩露,那末祕要性以及報文完全性就能夠患上以保證。這樣金鑰安全交流是瓜葛到對於稱加密有效的核心環節。而對於稱加密技術存在著在通訊的交易各方之間確保金鑰安全交流的問題。對於稱加密方式存在的另外一個問題是沒法鑑別貿易發起方或者貿易終究方。由於貿易雙方同享同1把專用金鑰,貿易雙方的任何資訊都是通過這把金鑰加密後傳送給對於方的。目前經常使用的對於稱加密演算法有DES、PCR、IDEA等。其中DES使用最普遍,被採取為資料加密的標準。
三.一.二 非對於稱加密/公然金鑰加密
在非對於稱加密體系中,金鑰被分解為1對於(即1把公然金鑰或者加密金鑰以及1把私有金鑰或者解密金鑰)。金鑰對於生成後,公然金鑰以非保密方式對於外公然,只對於應於生成該金鑰的釋出者;私有金鑰則保留在金鑰釋出方手中。任何患上到公然金鑰的使用者均可使用該金鑰加密資訊傳送給該公然金鑰的釋出者,而釋出者患上到加密資訊後,使用與公然金鑰相應答的私有金鑰進行解密。由此可知,公然金鑰用於對於祕要性的加密,私有金鑰則用於對於加密資訊的解密。目前經常使用的非對於稱加密演算法是RSA演算法。它是非對於稱加密領域內最為有名的演算法,然而它存在的主要問題是演算法的運算速度較慢,並且也難以做到1次1密。因而,在實際的利用中通常不採取這1演算法對於資訊量大的資訊進行加密。對於於加密量大的利用,公然金鑰加密演算法通經常使用於對於稱加密法子金鑰的加密。
三.二 身份認證技術
身份認證技術保證電子商務安全不可缺乏的又1首要技術手腕。常見的安全認證技術有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等技術。
三.二.一 數字摘要
數字摘要是1種避免資料被改動的法子,它採取單向HASH函式將需要加密的檔案中若干首要元素進行某種變換運算患上到固定長度的摘要碼,並在傳輸資訊時將之加入檔案1同送給接管方,接管方收到檔案後,用相同的法子進行變換運算,若患上到的結果與傳送來的摘要碼相同,則可判定檔案未被篡改,反之亦然。在數字摘要中HASH函式的輸入可以是任意大小的檔案動靜,而輸出是1個固定長度的摘要。且摘要有這樣1個性質,如果扭轉了輸入動靜中的任何東西,乃至只有1位,輸出的摘要將會產生不可預測的扭轉,故而經常使用數字摘要來斷定資訊是不是被篡改的1項首要技術。
三.二.二 數字信封
在大批資料加密中所使用的對於稱密碼是隨機發生的,而接管方也需要此密碼才能對於動靜進行正確的解密。對於稱金鑰的傳遞需要加密進行,即傳送方用接管方的公鑰加密此對於稱金鑰。這樣只有接管方用自己的私鑰才能正確地解密此對於稱金鑰,從而正確地解密動靜。這類加密傳送金鑰的法子稱為數字信封。數字信封技術可以保證接管方的獨一性。即便資訊在傳送途中被監聽或者截獲,由幹第3方並無接管方的金鑰,也不能對於資訊進行正確的解密。
三.二.三 數字簽名
數字簽名能夠實現對於原始報文的鑑別與驗證,保證報文的完全性、權威性以及傳送者對於所發報文的不可抵賴性。在實際餬口中,簽名通常採取書面情勢,由甲乙雙方完成,在網路環境下,可以用電子簽名作為摹擬。
數字簽名是將數字摘要以及公鑰演算法兩種加密法子結合起來使用,其可以在提供資料完全性的同時保證資料的真實性。完全性保證傳輸的資料未被篡改,真屬性則保證傳輸過來的資料是由合法者發生的,而不是由其別人假冒。如假定使用者A要寄信給使用者B,他們相互知道對於方的公鑰,A用自己的私鑰將簽名內容加密,附加在郵件中,再用B的公鑰將整個郵件加密(注意這裡的秩序序,如果先加密再簽名的話,他人可以將簽名去掉後簽上自己的簽名,從而篡改了簽名)。這樣這份密文被B收
到後,B用自己的私鑰將郵件解密,患上到A的原文以及數字簽名,然後用A的公鑰解密簽名,這樣1來就保兩方面的安全了。
三.二.四 數字時間戳
在電子商務的交易檔案中,時間是1條首要的資訊,檔案的簽署日期以及簽名1樣均是避免檔案被捏造以及篡改的癥結性內容。為了避免在電子交易中,檔案簽署的時間資訊被修改,數字時間戳提供了相應的安全維護。數字時間戳服務(DTS)是由專門的機構提供的。數字時間戳是1個經加密處理後構成的憑證文件,它包含3個部份:需加時間戳的檔案摘要;DTS機構收到檔案的日期以及時間;DTS機構的數字簽名。
三.二.五 數字證書
數字證書是由證書授權中心CA管理以及發放的。CA是數字證書的最高管理機構,是安全電子交易的核心環節。它作為電子商務交易中中立的、受信任的、可仲裁的第3方,也是為了解決電子商務中,交易雙方的資訊以及身份驗證問題,從根本上保障電子商務交易流動順利進行而設立的。在交易支付的程序中,介入各方為了證實自己的身份,需到第3方即認證中心(CA)去認證。數字證書就是認證中心為交易各方頒發的身份憑證。它是1個經CA數字簽名的、包括證書申請者(公然金鑰具有者)個人資訊及其公然金鑰的檔案。任何交易雙方只有申請到相應的數字證書,才能參加安全電子商務的網上交易。
三.三 安全認證協定
目前電子商務中有兩種安全認證協定被廣泛使用,即安全套接層SSL協定以及安全電子交易SET協定。
三.三.一 SSL協定
SSL安全協定的中文全稱是“加密套接字協定層”,最初由Netscape公司推出的1種基於RSA以及保密金鑰的安全通訊協定,是目前使用最廣泛的電子商務協定。該協定位於HTTP協定層以及TCP協定層之間,向基於TCP/IP的客戶/伺服器利用程式,提供了客戶端以及伺服器的鑑別、資料完全性及資訊祕要性等安全措施。該協定在利用程式進行資料交流前,通過交流SSL初始握手資訊來實現有關安全特性的審查。SSL協定可內置於使用者閱讀器以及商家的伺服器中,能利便而低開消地進行資訊加密,多用於WEB信譽卡的傳送。這樣應用它能夠對於信譽卡以及個人資訊提供較強的維護。
SSL協定執行的基點是商家對於客戶資訊保密的許諾。客戶的資訊常常首先傳到商家,商家瀏覽後再傳到銀行;這樣,客戶資料的安全性便遭到要挾。此外,整個程序只有商家對於客戶的認證,缺乏客戶對於商家的認證,不能避免商家應用獲取的信譽卡號進行欺詐。跟著電子商務與廠商的迅速增添,對於廠商的認證問題愈來愈凸起,SSL協定的缺陷則越加顯明。SSL協定逐步被新的SET協定所取代。
三.三.二 SET 協定
SET協定的中文全稱“安全電子交易協定”,它向基於信譽卡進行電子化交易的利用提供了實現安全措施的規則。它是由Vsia國際組織 以及Mastercard組織聯合國際上多家科技機構,共同制訂的利用於INTERNET上的以銀行卡為基礎進行線上交易的安全技術標準。它採取公鑰密碼體制以及X.五0九數字證書標準,主要利用於保障網上購物資訊的安全性。SET主要由三個檔案組成,分別是SET業務描寫、SET程式設計師指南以及SET協定描寫。SET協定在儲存對於客戶信譽卡認證的條件下,又增添了對於商家身份的認證。它可以對於交易各方進行認證,可避免商家身份的欺詐。為了進1步加強安全性,使用兩組金鑰對於分別用於加密以及簽名,通過雙簽名機制將訂購資訊同賬戶資訊鏈在1起簽名。因為設計較為公道,患上到了諸如微軟公司、IBM公司、Netscape公司等大公司的支撐,已經成為實際上工業技術標準。
SET協定的不足的地方在於協定繁雜,且只合用於使用者安裝了“電子錢包”的場合。依據統計,在1個典型的SET交易程序中,需驗證數字證書九次,驗證數字簽名六次;需傳送證書七次,進行五次簽名、四次對於稱加密以及四次非對於稱加密;整個交易程序可能會花費一.五~二分鐘。
四 電子商務安全需要進1步完美的配套措施
電子商務要真正成為1種主導的商務模式,特別對於發展中的中國來講,發展電子商務,就必需從下列幾個方面來完美配套措施:
(一)突破癥結技術受制於人的瓶頸。當前不但國內幾近所有的主機、交流機、路由器、網路作業系統都來自國外,而且美國對於出口別國的產品履行金鑰信前節制以及長金鑰限制,因而咱們必需依託本身的氣力研製自己的加密演算法,以保證中國電子商務的正常發展。
(二)我國應儘快對於電子商務的有關細則進行立法。當前大多數人資訊保安意識稀薄,以銀行以及金融界來看,大家對於安全方面的注重還不夠,因為有關電子商務的立法以及管理剛剛開始,有人開玩笑說“電子商務目前是個‘3無’行業:沒法可依、無安全可言、無規可循”,固然這類說法欠妥,但目前我國關於網路安全的法律的確還有待完美。
(三)鼎力開發大型商務網站、發展與之相配套的物流公司。目前我國的電子商務沒有真正深刻商務領域而僅僅侷限於資訊領域,這勢必影響我國電子商務進1步的發展。
參考文獻:
[一]周明,黃元江,李建設.株洲工學院學報[J].電子商務中的安全技術鑽研,二00五.一.
[二]張娟.甘肅科技縱橫[M].電子商務網路安全技術探究,二00五.四.
[三]趙乃真.電子商務技術與利用[M].中國鐵道出版社,二00三.
[四]謝丹夏.電子與資訊化[M].電子商務中的安全技術.
[五]常連定,趙剛. 科技情報開發與經濟[M].我國電子商務發展存在的問題及應答策略,二00五.一0.