电子商务安全技术浅析

  • 格式:pdf
  • 大小:76.84 KB
  • 文档页数:3

第25卷 第2期Vol.25 No.2平 原 大 学 学 报JOURNAL OF PIN GYUAN U NIV ERS IT Y2008年04月 Apr.2008电子商务安全技术浅析3马晓−(安阳师范学院,河南安阳455000) 摘 要:分析了当前电子商务面临的安全威胁,介绍了解决电子商务安全问题的主要技术(包括防火墙、数据加密、数字签名和认证),并提出了具体的措施。

关键词:电子商务;网络安全;安全技术;安全措施中图分类号:TP393.08 文献标识码:B 文章编号:1008-3944(2008)02-0144-03 一、电子商务面临的威胁电子商务是一个以网络为架构,以交易双方为主体,以银行支付和结算为手段,以客户数据库为依托的全新商业模式。

其活动是在一个开放、虚拟的场所进行的,容易受到黑客的攻击,也会由于系统内部人员的不规范使用和恶意破坏使网络信息系统遭到破坏,泄露信息,给电子商务带来极大的威胁。

电子商务在这样的环境中,时时处处受到安全的威胁,第一,计算机网络潜在的安全隐患包括未进行C GI 程序代码审计、拒绝服务攻击、安全产品使用不当、缺少严格网络安全管理制度;第二,商务安全中存在的安全威胁,包括信息的截获、窃取、篡改、假冒和交易抵赖。

二、电子商务主要的安全要素电子商务面临的威胁导致了对电子商务安全的需求。

总的来说,电子商务有以下安全性需求:11有效性。

电子商务作为贸易的一种形式,其信息的有效性将直接涉及个人、企业或国家的经济利益和声誉。

因此,要对网络故障、操作错误、应用程序错误、计算机病毒等所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的,为网上交易活动提供一个公正、有效的平台。

21机密性(保密性)。

电子商务建立在开放的网络环境上,维护商业机密成为电子商务全面推广应用的重要保障。

因此,要防止非法用户进入系统以及合法用户对系统资源的非法使用,通过对一些敏感的核心业务数据文件进行加密,来保护系统之间的数据交换,防止除接收方之外的第三方截获数据,保证第三方即使截获文件也无法对该文件解密。

保密性一般通过密码技术对保密的信息进行加密处理来实现。

3)完整性(真实性)。

贸易各方信息的完整性将影响贸易各方的交易和经营策略,保证贸易各方信息的完整性是电子商务应用的基础。

因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复,并保证信息传送次序的统一。

完整性一般可通过提取信息消息摘要的方式来获得。

4)认证性。

认证性是指网络两端的使用者在沟通之前相互确认对方的身份。

在电子商务中,认证性一般都通过证书机构CA 和证书来实现。

5)不可抵赖性(不可否认性)。

在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。

因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,要对数据源进行验证,以确保数据由合法的用户发出;要防止数据发送方在发出数据后又加以否认;同时防止接收方在收到数据后又否认曾收到过此数据及篡改数据。

不可抵赖性可通过对发送信息进行数字签名来获得。

6)原子性。

原子性是把整个支付协议(一般包括初始化阶段、订购阶段、支付阶段、清算阶段等)看作一个事务,保证要么全部执行,要么全部取消。

在电子商务中引入原子性的概念是用来规范电子商务中的资金流、信息流和物流的。

三、电子商务交易活动的安全技术1.防火墙技术防火墙是一道介于内部网络和Inte rnet 之间的安全屏障,其基本功能是根据各种网络安全策略的3收稿日期 修回日期作者简介马晓−(),女,河北张家口人,主要从事计算机教学研究。

441:2007-11-20:2008-01-02:1980-要求,对未经授权的访问和数据传递进行筛选和屏蔽,它保护着内部网络数据的安全。

实现防火墙技术的主要途径有:1)包过滤技术。

通过检查IP数据包的源地址、目的地址、所用的端口号和封装协议来决定是否允许该数据包通过。

缺点是无法防止外部主机的IP欺骗和DNS欺骗,维护比较困难,不支持用户认证。

2)应用网关技术。

应用网关技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议,对数据包进行分析并形成相关的报告。

应用网关技术对某些易于登录和控制所有输入、输出的通讯环境给予严格的控制,以防有价值的程序和数据被窃取。

3)代理服务技术。

代理服务作用在应用层,用来提供应用层服务的控制。

这种代理服务是由一个高层的应用网关作为代理服务器,接受外来的应用连接请求,进行安全检查后再与被保护的网络应用服务器连接,使得外部服务用户可以在受控制的前提下使用内部网络的服务。

同样,内部网络到外部的服务连接也可以受到监控。

应用网关的代理服务实体将对所有通过它的连接作出日志记录,以便对安全漏洞检查并收集相关的信急。

当然,防火墙也有自己的局限性,它不能对内部的威胁提供支持,不能对绕过防火墙的攻击提供保护,不能对病毒感染的程序或文件的传输提供保护。

2.数据加密技术现代密码学中的信息加密技术是电子商务交易安全的基础,是保护信息安全的主要手段之一。

所谓加密技术是指采用数学方法对原始信息进行加工,使得加密后在网络上公开传输的内容对于非法接受者来说成为无意义的文字。

对于合法的接收者,因其掌握正确的密钥,可以通过解密得到原始内容。

按密钥方式可将加密算法分为对称加密算法和非对称加密算法。

对称加密又称秘密密钥加密、单密钥加密。

其特点是加密和解密时所用的密钥是相同或者是类似的,即由加密密钥可以很容易地推导得出解密密钥,反之亦然。

对称加密算法实现的效率高、速度快,但是其规模无法适应因特网这类大环境的要求,也无法验证发送者和接受者的身份,而且也不能提供信息完整性的鉴别。

非对称加密又称为公开密钥算法。

在该加密算法中,用做加密的密钥不同于用做解密的密钥,而且解密密钥不能根据加密密钥计算出来。

之所以称为公开密钥算法是由于加密密钥可以公开,即陌生人可以得到它并用来加密信息,但只有用相应的解密密钥才能解密信息。

在这种加密算法中,加密密钥被叫做公开密钥,而解密密钥被叫做私有密钥,而且由计算复杂性确保由公开密钥在计算上不能推出私有密钥。

在管理方面,公钥密码算法只需较少的资源就可以达到目的,在密钥的分配上,两者之间相差两个指数级别(一个是n一个是n2),所以私钥密码算法不适应广域网的使用,而且更重要的一点是它不支持数字签名。

在安全方面,由于公钥密码算法基于未解决的数学难题,在破解上几乎不可能,对于私钥密码算法,到了A ES虽说从理论上说是不可能破解的,但从计算机的发展角度来看,公钥更具有优越性。

从速度上来看,A ES的软件实现速度己经达到了每秒数兆或数十兆比特,是公钥的100倍,如果用硬件来实现的话,这个比值将扩大到1000倍。

对于这两种算法,因为算法不需要保密,所以制造商可以开发低成本的芯片以实现数据加密,这些芯片有着广泛的应用,适合于大规模生产。

3.数字签名国际标准组织(ISO)是这样定义数字签名的:附加在数据单元上的一些数据,或是对数据单元所做的密码变换,这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人伪造。

因此,一个安全有效的数字签名方式必须保证:1)签名必须处于签署人的完全控制之下;2)发出签名的消息给对方后,不能否认他所签发的消息;3)对方己收到的签名消息不能否认;4)与签名联系的信息必须明确;5)第三者可以确认收发方之间的消息传送,但不能伪造这一过程。

这样的数字签名系统可保证:1)收方能够证实发方的真实身份;2)发方事后不能否认所发送过的报文;3)收方和非法者均不能伪造、篡改报文。

4.身份认证技术电子商务身份认证提供了对合法用户的身份鉴别,以便具有合法授权的用户可以使用电子商务系统。

身份认证机制包括数字证书(DC)和证书授权机构(CA)。

数字证书是标志网络用户身份信息的一系列数据,用来在网络通信中识别通信各方的身份。

数字证书在网上公开发布,它提供的是网上交易实体的身份证明以及该身份的持有者所拥有的公钥。

CA用来为用户签发证书,提供身份认证服务,是整个系统的安全核心。

一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP、目录服务器和数据库服务器等。

概括地说,CA有证书发放、证书更新、证书撤销和证书验证的功能。

CA的核心功能就是发放和管理数字证书,具体包括:接收验证最终用户数字证书的申请;确定是否接受最终用户数字证书的申请———证书的审批;向申请者颁541发、拒绝颁发数字证书———证书的发放;接收、处理最终用户的数字证书更新请求———证书的更新;接收最终用户数字证书的查询、撤销;产生和发布证书废止列表(CRL);数字证书的归档;密钥归档;历史数据归档。

四、电子商务安全的具体实施要保证电子商务安全,促进电子商务健康快速的发展,需要从技术和管理两个方面着手。

首先,应选用成熟可靠的安全技术,包括上述的加密技术和数字认证技术,加强安全措施,增强网上交易的可信度,控制交易的风险。

其次,应加强商务交易安全管理,严格遵守电子商务的规范。

日前电子商务领域的规范已经涵盖了电子商务中信息加密、身份认证和信用卡在电子商务交易中的安全支付等问题,要保证交易安全,就必须遵守相关规范。

最后,应加快相关法律的立法进程。

目前我国急需制订有关电子商务的法律法规,主要有买卖双方身份认证办法、电子合同的合法性程序、电子支付系统安全措施等,其中多数法律都与安全问题有关,相关法律的出台将对我国电子商务发展起到极其重要的促进作用。

对于企业自身在具体实施时应包括以下内容:1)安装防病毒软件,增强内部网的整体防病毒能力;2)建立详细的安全审计日志,以便检测并跟踪入侵攻击;3)对在公共网络上传输的敏感信息要进行高强度的数据加密;4)从路由器到各级用户制定完善的访问控制措施,安装防火墙,加强授权管理和认证;5)对敏感的设备和数据要采取必要的物理或逻辑隔离措施;6)利用数据存储技术采取数据备份和恢复措施;7)要用各种系统漏洞检测软件,定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;8)要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞等。

五、结语电子商务安全是一个综合性课题,涉及立法、技术、管理、使用等许多方面,其中包括系统本身以及信息、数据的安全问题。

尽管目前针对电子商务安全问题提出了很多技术解决方案,但离真正的安全电子商务还有一段距离。

因为,电子商务的安全性问题不仅仅只是技术问题,它还涉及法律、道德、管理等多方面的因素。

随着电子商务的发展,电子交易手段更加多样化,安全问题会变得更加重要和突出。

同时,电子商务是一个复杂的系统工程,它的安全还要依赖许多社会问题的解决,如建设电子商务发展所需的政策和相应的法律、法规等。