关于电子商务安全的几个技术问题.doc

关于电子商务安全的几个技术问题 -副题（宋体。四号字） 考号：（楷体。四号字） 姓名：（楷体。四号字） 【内容提要】随着国际互联网的发展，电子商务在最近几年的时间里发展迅速。在美国，日本等发达资本主义国家的电子商务已经发展到一个比较高的水平，电子商务在这些国家的经济发展中起到了很重要的作用。在我国，1998年堪称电子商务发展的高峰期，最近虽然电子商务的热度有所降低，但是仍然在平静中取得稳定的发展。很多企业认识到电子商务给自身发展带来的机遇。但是在发展的同时有一些潜在的危险，正在一步步的显现出来，诸如信息安全、安全中的主要技术等一系列问题成为了它的隐患。面对这些问题，企业及一些技术人员应通过在政府的支持下，完善安全技术，甚至发明以及创造出一些新的技术，预防未来以及一些突发的安全隐患。【关键词】电子商务、安全隐患、安全技术、安全协议。【正文】一、 前言随着通信网络技术的飞速发展，特别是Internet的不断普及，人们的消费观念和整个商务系统也发生了巨大了变化，人们更希望通过网络的便利性来进行网络采购和交易，从而导致了电子商务（Electronic Commerce）的出现，并在世界范围内掀起了电子商务的热潮。 电子商务的发展给人们的工作和生活带来了新的尝试和便利性，但并没有像人们想象的那样普及和深入，除其他因素外，一个很重要的原因就是电子商务的安全性，它成为阻碍电子商务发展的瓶颈。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示，超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易，这样会导致商业机密信息或个人隐私的泄漏，从而导致巨大的利益损失。所以，研究和分析电子商务的安全性问题，特别是针对我国自己的国情，充分借鉴国外的先进技术和经验，开发和研究出具有独立知识产权的电子商务安全产品，这些都成为目前我国发展电子商务的关键。二、电子商务安全威胁随着电子商务在全球范围内的迅猛发展，电子商务中的网络安全问题日渐突出。根据中国互联网络信息中心（CNNIC）发布的中国互联网络发展状况统计报告（2000/1），在电子商务方面，52.26的用户最关心的是交易的安全可靠性。由此可见，电子商务中的网络安全和交易安全问题是实现电子商务的关键之所在。 1983年10月24日美国著名的计算机安全专家、AT&T贝尔实验室的计算机科学家Rober Morris在美国众议院科学技术会议运输、航空、材料专业委员会上作了关于计算机安全重要性的报告，从此计算机安全成了国际上研究的热点。现在随着互联网络技术的发展，网络安全成了新的安全研究热点。网络安全就是如何保证网络上存储和传输的信息的安全性。但是由于在互联网络设计之初，只考虑方便性、开放性，使得互联网络非常脆弱，极易受到黑客的攻击或有组织的群体的入侵，也会由于系统内部人员的不规范使用和恶意破坏，使得网络信息系统遭到破坏，信息泄露。三、 电子商务中的安全隐患1. 信息的截获和窃取。如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上届截获数据等方式，获取输的机密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，推出有用信息，如消费者的银行帐号、密码以及企业的商业机密等。 2. 信息的篡改。当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性。这种破坏手段主要有三个方面：篡改改变信息流的次序，更改信息的内容，如购买商品的出货地址；删除删除某个消息或消息的某些部分；插入在消息中插入一些信息，让收方读不懂或接收错误的信息。 3. 信息假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户，主要有两种方式。一是伪造电子邮件，虚开网站和商店，给用户发电子邮件，收定货单；伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；伪造用户，发大量的电子邮件，窃取商家的商品信息和用户信用等信息。另外一种为假冒他人身份，如冒充领导发布命令、调阅密件；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户；冒充网络控制程序，套取或修改使用权限、通行字、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源。 4. 交易抵赖。交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条消息或内容；购买者做了定货单不承认；商家卖出的商品因价格差而不承认原有的交易。 四、电子商务中的安全技术电子商务安全是信息安全的上层应用，它包括的技术范围比较广，主要分为网络安全技术和密码技术两大类，其中密码技术可分为加密、数字签名和认证技术等。 1、 网络安全技术网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全所涉及到的方面比较，如操作系统安全、防火墙技术、虚拟专用网VPN技术和各种反黑客技术和漏洞检测技术等。其中最重要的就是防火墙技术。 防火墙是建立在通信技术和信息安全技术之上，它用于在网络之间建立一个安全屏障，根据指定的策略对网络数据进行过滤、分析和审计，并对各种攻击提供有效的防范。主要用于Internet接入和专用网与公用网之间的安全连接。 目前国内使用的需到防火墙产品都是国外一些大厂商提供的，国内在防火墙技术方面的研究和产品开发方面相对比较簿弱，起步也晚。由于国外对加密技术的限制和保护，国内无法得到急需的安全而实用的网络安全系统和数据加密软件。因此即使国外优秀的防火墙产品也不能完全在国内市场上使用，同时由于政治、军事、经济上的原因，我国也应研制开发并采用自己的防火墙系统和数据加密软件，以满足用户和市场的巨大需要，也对我国的信息安全基础设施建设有巨大的作用。 VPN也使一项保证网络安全的技术之一，它是指在公共网络中建立一个专用网络，数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，其各地的分支机构就可以互相之间安全传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。 2、 加密技术加密技术是认证技术及其他许多安全技术的基础，主要是有效保护电子商务活动的措施。具体吗分为以下几点：（1）两种加密体制 1、对称式加密体制 对称式加密就是加密和解密使用同一个密钥。其优点是具有很高的保密强度和较快的加密和解密速度;其缺点是其密钥必须按照安全途径传送,密钥管理较为困难,它也难以解决数字签名问题。 2、非对称式(公开密钥)加密体制非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必须配对使用,否则不能打开加密文件。这里的“公钥”是指可以对外公布的,“私钥”则不能,只能由持有人知道。因为“公钥”是可以公开的,也就不怕别人知道。收件人解密时只要用自己的私钥即可以,这样就很好地避免了密钥的传输安全性问题。非对称式(公开密钥)加密还具备数字签名功能,如常用的RSA算法,其缺点是加密和解密速度较慢。因此,通常将二者结合起来实现最佳性能,即用非对称式技术在通信双方之间传送对称密钥,而用对称密钥来对实际传输的数据加密、解密。（2）密钥的管理1、密钥的使用要注意时效和次数 如果用户可以一次又一次地使用同样密钥与别人交换信息,那么密钥也同其它任何密钥一样存在着一定的安全性,虽然说用户的私钥是不对外公开的,但是也很难保证私钥长期的保密性。如果某人偶然地知道了用户的密钥.那么用户曾经和另一个人交换的每一条消息都不再是保密的了。另外使用一个特定密钥加密的信息越多,提供给窃听者的材料也就越多.从某种意义上来讲也就越不安全了。因此,一般强调仅将一个对话密钥用于一条信息或一次对话中,或者建立一种按时更新密钥的机制以减小密钥暴露的可能性。 2、多密钥的管理 假设在某机构有100个人.如果他们任意两人之间可以进行秘密对话,那么总共需要多少密钥呢?每个人需要知道多少密钥呢?也许很容易得到案.如果任何两个人之间要不同的密钥,则总共需要4950个密钥,而且每个人要记住99个密钥。如果机构中的人员增加,则管理密钥将是一件可怕的事情。Kerberos提供了一种解决方案,它是由mit发明的,使保密密钥的管理和分发变得十分容易,Kerberos建立了一个安全的、可信任的密钥分发中心 ,每个用户只要知道一个和Kde进行会话的密钥就可以了。而不需要知道成千上万个不同的密钥。 （3）数据加密在电子商务中的应用1、数字证书 数字证书一般包含以下一些内容:证书的版本信息、证书的序列号、每个用户都有一个唯一的证书序列号、证书所使用的签名算法、证书的发行机构名称、证书的有效期、证书所有人的名称、证书所有人的公开密钥、证书发行者对证书的签名等。数字证书主要是通过非对称加密体制来实现的。每个用户自己设定一把特定的仅为本人所知的私有密钥。用它来进行解密和签名,同时设定一把公开密钥并由本人公开,由一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的技术,加密,数据,电子商务,公钥对数据加密,而接收方则使用自己的私钥解密。这样就可以保证信息除发送方和接收方外不被其他人窃取.信息在传输过程中不被篡改,发送方能够通过数字证书来确认接收方的身份,发送方对于自己发送的信息不能抵赖。2、私钥体制的信息认证 基于秘密密钥体制的信息认证是一种传统的信息来源认证方法这种认证方法基本原理是,需要通信的甲乙双方共同约定一个口令或一组密码,即建立一个通信双方共享的密钥。当通信的甲方要发送信息给乙方时,为了防止信息在公共信道被窃取,通信的甲方将信息用共享密钥加密后再传送。由于密钥是通信双方的共享密钥,通信的乙方可以确定信息是由甲方发出的。这是一种简单的信息来源的认证方法。在认证的同时对信息也进行了加密。 （3）公开密钥算法身份认证网络身份认证又叫网络身份鉴别,主要是指在揭示敏感信息或进行事务处理之前对对方身份的确认,即鉴别对方的真实性。在公开密钥通信方式下,双方都知道对方的加密密钥,这样通信一方可以用另一方的公开密钥EA加密自己的名字和一个随机数.然后发给B,B收到这条消息后,他并不知道这条消息到底是A发的还是C发的,于是他回发一条消息给A,消息的内容包括A的RA、自己的随机数RB、和一个会话密钥Ks。当A收到B发回的消息后,用自己的私有密钥将它解密,他读到Rs就确定了B的真实身份,因为别人无法知道RA:然后他再发回第三条消息,同意用密钥Ks进行会谈。当B收到用他刚刚生成的会话密钥加密的Rs后,也就相应地验证了A的身份。3、身份认证技术身份认证技术保证电子商务安全不可缺少的又一重要技术手段。常见的安全认证技术有数字摘要、数字信封、数字签名、数字时间戳等技术。.1 数字摘要 数字摘要是一种防止数据被改动的方法,它采用单向HASH函数将需要加密的文件中若干重要元素进行某种变换运算得到固定长度的摘要码,并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。在数字摘要中HASH函数的输入可以是任意大小的文件消息,而输出是一个固定长度的摘要。且摘要有这样一个性质,如果改变了输入消息中的任何东西,甚至只有一位,输出的摘要将会发生不可预测的改变,故而常用数字摘要来判定信息是否被篡改的一项重要技术。 .2 数字信封 在大批数据加密中所使用的对称密码是随机产生的,而接收方也需要此密码才能对消息进行正确的解密。对称密钥的传递需要加密进行,即发送方用接收方的公钥加密此对称密钥。这样只有接收方用自己的私钥才能正确地解密此对称密钥,从而正确地解密消息。这种加密传送密钥的方法称为数字信封。数字信封技术可以保证接收方的唯一性。即使信息在传送途中被监听或截获,由干第三方并没有接收方的密钥,也不能对信息进行正确的解密。 3 数字签名 数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。在实际生活中,签名通常采用书面形式,由甲乙双方完成,在网络环境下,可以用电子签名作为模拟。 数字签名是将数字摘要和公钥算法两种加密方法结合起来使用,其可以在提供数据完整性的同时保证数据的真实性。完整性保证传输的数据未被篡改,真属性则保证传输过来的数据是由合法者产生的,而不是由其他人假冒。如假设用户A要寄信给用户B,他们互相知道对方的公钥,A用自己的私钥将签名内容加密,附加在邮件中,再用B的公钥将整个邮件加密(注意这里的次序,如果先加密再签名的话,别人可以将签名去掉后签上自己的签名,从而篡改了签名)。这样这份密文被B收到后,B用自己的私钥将邮件解密,得到A的原文和数字签名,然后用A的公钥解密签名,这样一来就保两方面的安全了。 4 数字时间戳 在电子商务的交易文件中,时间是一条重要的信息,文件的签署日期和签名一样均是防止文件被伪造和篡改的关键性内容。为了防止在电子交易中,文件签署的时间信息被修改,数字时间戳提供了相应的安全保护。数字时间戳服务(DTS)是由专门的机构提供的。数字时间戳是一个经加密处理后形成的凭证文档,它包括三个部分:需加时间戳的文件摘要;DTS机构收到文件的日期和时间;DTS机构的数字签名。 5 数字证书 数字证书是由证书授权中心CA管理和发放的。CA是数字证书的最高管理机构,是安全电子交易的核心环节。它作为电子商务交易中中立的、受信任的、可仲裁的第三方,也是为了解决电子商务中,交易双方的信息和身份验证问题,从根本上保障电子商务交易活动顺利进行而设立的。在交易支付的过程中,参与各方为了证实自己的身份,需到第三方即认证中心(CA)去认证。数字证书就是认证中心为交易各方颁发的身份凭证。它是一个经CA数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。任何交易双方只有申请到相应的数字证书,才能参加安全电子商务的网上交易。电子商