浅谈电子商务安全技术.doc

浅谈电子商务中的安全技术文继权 屈武江摘 要：本文首先介绍了电子商务发展所面临的问题和电子商务的安全需求，提出了实现电子商务安全的主要技术，重点阐述了各种电子商务安全技术的工作原理及其应用范围。 关键词：电子商务安全，防火墙，加密技术，安全认证技术 1、 引言随着全球信息化进程和通信网络技术的迅猛发展，特别是Internet的不断普及，网络安全日益成为一个重要的问题，尤其是随着电子商务在Internet上全球性的推广，电子商务安全的重要性更加凸现，企业与消费者对电子交易安全的担忧已严重阻碍了电子商务的发展，它已成为阻碍电子商务发展的瓶颈。所以我们在建立电子商务交易系统时必须有一套相对完善可靠的电子商务安全技术做以保证。本文就将对现代电子商务的各种安全技术进行讨论。2、电子商务的安全需求电子商务面临的安全保障问题导致了对电子商务安全的需求，一个安全可靠的电子商务系统要保证在电子商务交易过程中做到如下几个方面：1）机密性。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术来对传输的信息进行加密处理来实现。2）完整性。电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息数字摘要的方式来获得。3）认证性。由于网络电子商务交易系统的特殊性，企业或个人的交易通常都是在虚拟的网络环境中进行，所以对个人或企业实体进行身份真实性确认成了电子商务中很重要的一环。电子商务交易过程中当某人或实体声称具有某个特定的身份时，交易系统必须提供一种方法来验证其声明的真实性，即为认证性，认证性一般都通过证书机构CA发放的数字证书来实现。4）不可抵赖性。电子商务可能直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方，这一问题则是保证电子商务顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生，而电子商务中同样需要预防抵赖行为的发生，即电子商务中的不可抵赖性，不可抵赖性可以通过对发送的消息进行数字签名来实现。5）有效性。电子商务以电子形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。3.电子商务安全技术为满足电子商务的安全需求,电子商务系统必须为电子商务的参与者提供必要的安全服务，包括机密性服务、认证服务和访问控制服务等，以保证电子商务交易的安全。实际上这些电子商务安全服务都是通过下面要详细讨论的安全技术来实现的。如图1是了电子商务安全体系结构，它可以使大家更好的理解电子商务安全的实现过程。图1 电子商务安全体系结构（1）防火墙技术 防火墙是指一种将内部网和公众访问网分开的方法，是网络之间一种特殊的访问控制设施。它在Internet网络与内部网之间设置的一道屏障，是防止黑客进入内部网，由用户制定安全访问策略，抵御各种侵袭的一种隔离技术。它能允许你“同意”的人和数据进入你的网络，将“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息；能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作；能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。是提供信息安全服务，实现网络和信息安全的基础设施。图2为防火墙在网络中的结构图。防火墙技术主要包括包过滤技术、代理技术和地址迁移技术等。图2 防火墙在网络中的结构图（2）加密技术加密技术是电子商务的基本安全措施，它是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。目前，获得广泛应用的两种加密技术是对称密钥加密和非对称密钥加密，它们的主要区别在于所使用的加密和解密的密钥不同。1） 对称密钥加密对称密钥加密，又称私钥加密，即信息的发送方和接收方共用一个密钥去加密和解密数据，如图3所示。它的最大优势是加/解密速度快,适合于对大数据量进行加密，但密钥管理较困难。图3 对称密钥加密原理图使用对称加密技术将简化加密处理，每个参与方都不必彼此研究和交换专用设备的加密算法，而是采用相同的加密算法并只交换共享的专用密钥。对称加密算法主要有DES数据加密标准、三重DES、IDEA（国际数据加密算法）和AES（高级加密算法）等算法。 2） 非对称密钥加密非对称密钥加密，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，即公开密钥，另一个由用户自己秘密保存，即私用密钥。信息发送者用公开密钥去加密，而信息接收者则用私用密钥去解密，如图4所示。公钥机制灵活，但加密和解密速度要比对称密钥加密慢得多。图4 非对称密钥加密原理图（3）安全认证技术安全认证的主要作用是进行信息认证，信息认证的目的为了确认信息发送者的合法身份和验证信息的完整性，即确认信息在传送或存储过程中未被篡改过。下面从安全认证技术和安全认协议两个方面来做介绍。1）安全认证技术安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。数字摘要： 数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的报文摘要码，并在传输信息时将之加入文件一同发送给接收方。接收方收到文件后用相同的方法进行变换运算，若得到的结果与发送来的报文摘要码相同，则可断定原文未被篡改，如图5所示。数字摘要解决了电子商务中数据的完整性问题。图5 数字摘要的实现原理数字信封： 数字信封是用加密技术来保证只有规定的特定“收信人”才能阅读“信件”内容的信息安全技术。电子商务交易过程中信息发送方先用对称密钥来加密要发送的数据信息，之后将此对称密钥用接收方的公开密钥来加密（这部分即为数字信封），之后将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解密信息，得到信息原文，这种技术的安全性相当高。数字信封保证了电子商务中数据传输的安全问题，数字信封的实现原理如图6所示。图6 数字信封的实现原理数字签名： 是公钥加密技术的一类应用。它的主要方式为：发送方用单向Hash函数从发送报文中生成一个128位的散列值（或报文摘要），并用自己的专用密钥对这个散列值进行加密，形成报文发送方的数字签名。之后，这个数字签名将作为发送报文的附件一起发送给接受方；接受方收到数据后，首先从接受到的原始报文中计算出128位的散列值（或报文再要），接着再用发送方的公开密钥来对报文附加的数字签名解密，如果解密后得到的散列值和计算出来的相同，则说明收到的信息是完整的，在传输过程中没有被篡改过。否则，则被篡改过，不是原报文。同时，由于公开密钥和私有密钥之间存在的数学关系，使用其中一个密钥加密的数据只能用另一个密钥解密。发送者用自己的私有密钥加密数据传给接收者，接收者用发送者的公钥解密数据后，就可确定信息来自于谁。这就保证了发送者对所发信息不能抵赖。这样，数字签名就保证了信息的完整性和发送者的身份认证及不可否认性。数字签名的实现原理如图7所示。图7 数字签名的实现原理数字时间戳： 在书面合同中，文件签署的日期和签名一样均是防止文件被伪造和篡改的关键性内容。而在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就是能提供电子文件发表时间保护的一种安全技术。数字时间戳服务（）是网络安全服务项目，由专门的机构提供。数字时间戳实质上是一个经加密后形成的电子凭证文档，它包括三个部分：需加时间戳的文件的摘要，收到文件的日期和时间、的数字签名，数字时间戳的实现原理如图8所示。数字证书：所谓数字证书，就是用电子手段来证实一个用户的合法身份及该用户对网络资源的访问权限。在电子商务的交易支付过程中，参与各方必须利用CA（电子商务认证中心，认证中心是承担网上安全交易服务，能签发数字证书，并能确认用户身份，具有权威性和公正性的第三方认证服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理）签发的数字证书来证明各自的身份，才能进行网上交易。数字证书是用来唯一确认安全电子商务交易双方身份的工具。由于它已经由CA做了数字签名，因此任何第三方都无法修改证书的内容。任何信用卡持有者只有申请到相应的数字证书，才能参加安全电子商务的网上交易。数字证书一般有四种类型，分别是：客户证书、商家证书、网关证书和CA系统证书。图8 数字时间戳的实现原理2）安全认证协议目前电子商务中有两种安全认证协议被广泛使用，即安全套接层SSL（Secure Sockets Layer）协议和安全电子交易SET(Secure Electronic Transaction)协议。安全套接层（SSL）协议： 安全套接层协议是一个用来保证安全传输文件的协议，主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，主要适用于点对点之间的信息传输，通过在浏览器软件和Web服务器之间建立一跳安全通道，实现信息在 Internet中传送的保密性。SSL采用了公开密钥和专有密钥两种加密，在建立连接过程中采用公开密钥，在会话过程中使用专有密钥，加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间信息传递的安全性。安全电子交易（SET）协议： 安全电子交易SET协议是维萨（VISA）国际组织、万事达（MasterCard）国际组织创建，结合IBM、Microsoft、GTE等公司制定的电子商务中安全电子交易的一个国际标准。其主要目的是解决信用卡电子付款的安全保障性问题：保证信息的机密性，保证信息安全传输，不能被窃听，只有收件人才能得到和解密信息；保证支付信息的完整性，保证传输数据完整地接收，在中途不被篡改；认证商家和客户，验证公共网络上进行交易活动的商家，持卡人及交易活动的合法性；广泛的互操作性，保证采用的通讯协议，信息格式和标准具有公共适应性。从而可在公共互连网络上集成不同厂商的产品。4、结束语电子商务是一个机遇和挑战（风险）共存的新领域，这种挑战不仅来源于传统的习惯、来源于计划体制和市场体制的冲突、更来源于对可使用的安全技术的信赖。本文主要讨