电子商务信息安全的保障

电子商务信息安全的保障

网络的广泛应用已经彻底改变了人们的工作、学习和生活方式，增加了用户对各种网络服务的需求。基于Interne的电子商务呈指数增长,出现了各式各样的商务交易方式。企业可以通过网络进行信息发布、网上营销、提供客户服务,可以直接与商业伙伴签订合同和进行商品交易。计算机网络的发展向信息安全提出了新的挑战,由于Internet具有开放性、全球性、共享性等特点,在电子商务给人们带来巨大便利的同时,也产生了很多的安全隐患。如果安全问题得不到解决,电子商务就不能顺利地发展,普及。电子商务的安全问题是一个系统问题,它包括信息安全、身份认证和信用管理三个方面,是需要从技术上、管理上和法律上来进行综合治理的。本文主要从技术角度来分析电子商务安全问题的解决。1电子商务信息安全技术的体系1.1虚假身份的交易由于非法入侵者的侵入,造成商务信息被篡改、盗窃或丢失;商业机密在传输过程中被第三方获悉,甚至被恶意窃取、篡改和破坏;虚假身份的交易对象及虚假订单、合同;贸易对象的抵赖;由于计算机系统故障对交易过程和商业信息安全所造成的破坏。1.2商业加密的特性针对电子商务中存在的安全威胁,提出如下安全性需求:1)信息的保密性,是指无论是保存在计算机中的信息,还是在通信网络中传输的信息,都要求是保密的,比如一些商业机密,或私人的信息,都要求高度的保密性;2)信息的完整性,是指信息在传输过程中是完整的,不能被篡改,截取或破坏;3)信息的不可否认性,是指网络中进行的交易行为,不能否认,和现实生活中的交易行为是一样的,具有责任性,不可否认性;4)交易者身份的真实性,是指网络交易的参与者的身份是真实的,不能用虚假身份进行交易,具有一定的法律效力,防止网络欺骗,网络犯罪;5)系统的可靠性,是指进行电子商务基于的计算机系统软硬件的可靠性,保证电子商务顺利进行。1.3信息的等级安全根据信息安全的需求,信息安全体系结构是多层次、多方面的,它可以由以下四个级别组成:网络级安全、系统级安全、应用级安全及管理级安全。其体系结构如图1所示。网络级安全包括物理安全、网络访问控制等,保障信息通信的网络物理设备和内部网的安全。系统级安全建立在网络级安全之上,为应用级安全提供安全支持。系统级安全是指保护系统中主机及网络设备的安全和网络运行的安全。应用级安全包括数据加密、数据完整性检验、不可抵赖机制、数据库安全、访问控制、身份认证、授权、审计、用户管理等。保障信息传输的安全,数据存储的安全,防止非授权用户对信息的窃取、篡改和破坏以及对系统资源的非法使用。应用级信息安全威胁主要有机密性丧失、完整性丧失、可用性丧失和对事实的否认。存取管理技术可以防止不正确的存取操作,是防止非法攻击的直接对策。存取管理包括用户认证和存取控制。加密技术是对机密性丧失和完整性丧失的有效对策,即使存取控制失败,由于攻击者获得的是密文,不能理解信息的真实内容。数字签名是防止抵赖的鉴别技术。2非支付型的电子商务从实现技术方面来讲,Internet电子商务走过了一个从简单到复杂的过程。其间最关键的问题是如何安全地实现在线支付功能,并保证交易各方的安全保密等。最初的电子商务,不包括在线支付功能,在线商务只负责商品浏览和下订单,付款则通过其它途径解决,如电话、传真、传统支付网络等。这种电子商务称为非支付型的电子商务,目前,我国的电子商务大多属于这种。如何开发我国自己的电子商务在线支付系统,是加快发展我国的支付型电子商务的关键。2.1电子商务网上支付模式分类电子商务网上支付模式是一个“四角模式”,这四角为“客户”(支付工具)、“商家”、“客户”的开户银行(提供支付工具)、“商家”的开户银行(收单行.处理账单),电子商务网上支付的一般模式由上述四角、认证系统、两种网络(Internet、金融专用网)和支付网关组成,金融专用网中包括资金结算清算系统(结算系统运用于A和B为同一开户银行、清算系统运用A和B为不同开户银行),根据其一般模式结构,考虑到我国已经初步建立的征信系统,给出电子商务网上支付一般模式结构图,如图2所示。根据图2所示一般模式可以按不同的支付工具、不同的支付通信和控制协议、不同的支付信息传递路径和不同的支付时间,将电子商务网上支付模式分为以下几类:1)网上支付工具一般可以分为基于账号(Account-based)的支付和基于代币(Token-based)的支付这二类,对电子商务网上支付而一样言,基于账号的网上支付工具银行卡、电子支票和电子汇票等,基于代币的网上支付工具有电子现金等。因此电子商务网上支付模式可分为基于电子支票、电子支票簿和信用卡及基于网络银行等这几种模式。2)按照不同的网上支付的安全通信与控制协议,可以将支付模式分为:基于SSL协议的信用卡网上支付、基于SET协议的银行卡网上支付和基于改进SSL的支付协议(Visa的3D-secure标准和MasterCard的SecureCode标准)的银行卡网上支付模式。3)按照不同的支付信息传递路径,可以将支付模式分为:间接支付模式(“客户”将支付信息传给“商家”,“商家”再将支付信息传给银行支付处理网络);直接支付模式(“客户”在银行网址发出支付指令,银行再将支付结果发给“商家”)和基于第三方(非银行)支付模式(“客户”和“商家”间的支付业务由第三方支付公司来完成它是目前发展最为迅速的新型支付模式,如美国eBay的PayPal,中国的Alibaba(阿里巴巴)、易趣和淘宝网的安付通和支付宝等。4)按照“客户”实际付款的时间不同,可以将支付模式分为:提前支付模式(Pre-paidPayment如预付费卡)、延期支付模式(PaylaterPayment)和立即支付模式(Pay-nowPayment)。2.2支付系统的安全问题针对电子商务网上支付系统的安全问题,主要是通过以下5个方面解决。1)支付系统的正常运行安全问题涉及的安全技术主要有支付系统硬件运行安全技术、操作系统安全技术、支付信息数据库安全技术和支付系统网络防火墙技术。2)网上支付系统对参与支付流程的各方进行有效验证身份验证问题,涉及的安全技术主要有:认证系统技术。一种是基于PKI(PublicKeyInfrastructure)技术实现的认证系统。它是目前较为广泛运用的认证系统;一种是基于IBE(IdentityBasedEncryption)技术实现的认证系统。认证系统涉及的安全技术主要有:数字签名协议、HASH函数、识别协议、认证协议。认证技术在网上支付系统中的具体运用是由认证系统、CA认证中心以及电子商务安全通信与控制协议(SSL、SET)等共同完成。3)支付数据信息保密性的安全问题,涉及的安全技术主要有:加密技术它是一种主动的信息安全防范措施。根据进行加密解密运算的密钥特点,将密码体制分为对称和非对称密码体制两种。在网上支付模式中常用对称密钥加密支付信息,再用接收方的公钥对此对称密钥加密形成数字信封,解决了对称密钥传递和加密效率问题。对支付数据信息保密问题的解决,主要是通过在电子商务协议(SSL、SET等)具体运用这些加密技术来完成的。如在SSL握手协议中,客户端和服务器之间协商选用双方都支持的加密算法。4)支付数据完整性的安全问题,涉及的安全技术主要有:安全认证技术。支付系统的数据完整性技术具体实现如下:由Hash函数如SHA、MD5等生成的MAC报文鉴别码,以保证数据的完整性.这在SSL、SET等电子商务协议中都是一样;将HASH函数和公钥算法这二者结合起来产生数字签名,可以在提供数据完整性的同时保证数据的真实性。数字签名的重要应用就是双重签名DS(DualSignature)。双重签名DS在SET中有广泛运用,它实现了支付信息中购物信息和资金信息的独立完整性和保密性。5)支付行为不可抵赖性的安全问题涉及的安全技术主要有:公开密钥加密体制、HASH函数、数字签名、数字时间戳、FNP协议、CMP协议等技术。支付信息发送方的不可抵赖性的实现可由数字签名技术和公开密钥加密技术完成,具体实现同支付系统数据完整性技术一样。支付信息接收方的不可抵赖性的实现可由数字签名技术、不可抵赖协议FNP或CMP来实现。这两个协议都是基于可信任的第三方TTP(TrustedThirdParty)的基础之上的,其共同点都是信息发送方将解密密钥传给TTP,其特征是必须保证通信的双方在任何一个通信阶段都不能处于比对方有利的位置,能同时实现不可抵赖性的两个方面也就是说,既可以实现发送方的身份认证.又能实现接收方的不可抵赖性。对于支付信息发送时间和接收时间不可抵赖性.则由数字时间戳服务(DTS)提供的数字时间戳加附于上述两过程的支付信息上,实现过程类似上述两过程。3t和3d-secur模式支付系统是电子商务的重要组成部分,通常解决电子支付方案主要以下3种模式:SSL模式、SET模式和3D-Secure模式。通过SSL(SecyrutySocketLayer)协议、SET(SecureElectronicTransactions)协议和3D-Secure协议的研究,分别对基于SSL、SET和3D-Se-cure的安全支付系统作了设计。3.1交易安全系统电子商务支付中最早是通过SSL协议将现有信用卡体系与互联网集合。SSL提供了点对点的加密通道,实现了消费者与商家之间通过互联网安全传递信用卡信息,保证了数据通过公用网络传输过程中的保密性。其最大缺点是缺乏交易各方的认证机制和完备的防抵赖功能,但SSL被大部分WEB浏览器和WEB服务器所内置,技术简单,二次开发集成方便,故SSL协议已获得了很大的市场应用。基于SSL的电子支付系统,通过使用对称密码技术和公开密码技术,保证信息的真实性、完整性和保密性。SSL客户机和服务器之间通过协商,建立起一个安全通道。在安全通道中传输的所有信息都经过了密钥加密处理,以确保信息的机密性。SSL利用密码算法和HASH函数,通过对传输信息特征值的提取来保证服务器和客户机之间的信息的完整性。利用证书技术和可信的第三方CA,让客户机和服务器相互识别对方的身份。基于SSL协议的数据流程,如图3所示。图3中(1)~(10)分别表示内容如下:(1)用户通过接入系统,选择相应的服务;(2)接入系统接收用户的服务请求,同时将请求发往业务网关;(3)业务网关根据接入系统发来请求中的银行标识信息,将授权请求发往相应的支付服务器;(4)支付服务器进行相应的数据处理后,根据授权请求中的银行标识信息,将请求发往相应的银行支付网关;(5)银行进行处理后,银行支付网关将授权响应消息返回给支付服务器;(6)支付服务器将响应返回给业务网关;(7)若授权通过业务网关,则将用户服务请求发往业务系统,反之返回认证失败;(8)业务系统根据用户服务请求信息提供相应的服务,返回给业务网关;(9)业务网关将服务响应转发给接入系统;(10)接入系统将服务响应返回给用户。3.2基于东南角的电子支付交易安全技术为改进SSL协议的不足,Visa(维萨)和Master-Card(万事达)这两大信用卡公司于1996推出SET协议,它是一套基于数字证书、安全技术应用完善的电子商务支付协议,SEI、协议从安全、认证、集成度3个方面来考虑都是优于SSL的方案。其主要特点是要求用户、商家、银行都申请数字证书来标识身份,而且要求在用户端、商户端和银行端都安装SET软件,来产生和传递定单及支付信息。基于SET的电子支付系统利用SET给出的整套安全电子交易的规范,可以实现电子商务交易中的机密性、认证性、数据完整性和交易的不可抵赖性等安全功能。它通过下面的技术确保电子支付的安全性。使用数字证书验证交易各方身份的真实性和合法性;使用数字签名技术确保数据的完整性和不可抵赖性;使用双重签名技术对SET交易过程中消费者的支付信息和定单信息分别签名,使得商家看不到支付信息,只能对用户的订单信息解密,而金融机构只能对支付和账户信息解密,充分保证消费者的账户和定货信息的安全性。基于SET协议的数据流程如图4所示。图4中(1)~(12)分别表示内容如下:(1)持卡人提交购物请求;(2)商家服务器通过调用支付服务器API激活支付服务器;(3)支付服务器将响应消息发给商家服务器;(4)商家服务器将“唤醒”消息发送至浏览器;(5)浏览器触发电子钱包;(6)电子钱包向支付服务器发出购买初始化请求;(7)支付服务器响应购买初始化请求,并将响应结果发送给电子钱包;(8)电子钱包向支付服务器发出购买请求;(9)支付服务器接到购买请求后,发送授权请求至支付网关;(10)支付网关发送授权结果至支付服务器;(11)支付服务器转发授权结果至电子钱包;(12)电子钱包根据不同的授权结果,通过浏览器显示不同的页面,告诉用户授权结果。3.3d-sec自动识别身份认证由于SEI协议涉及三方数字证书管理、支付系统运行过于复杂且网络支付过程耗时太大,已经称为技术先进但无法被广大的市场所接收的失败典范。为了解决上述问题,满足电子商务网络支付迅猛发展的需要,Visa推出的是3D-Secure标准。3D-Secure是一个基于SSL协议,其实质是可信第三方(TTP)的网上支付认证模式,在技术上它利用了SSL在加密传输和数据完整方面的特点,持卡人只需通过浏览器以用户名/密码方式进行认证。3D-Secure证书只用于发卡行和商家身份认证,持卡人不需操作个人证书,这样在保证交易的安全的同时又弱化了数字证书给客户带来的不方便性。最初的3D-Secure协议对于发卡行和商家来说是一个“前端”方案,不需要改变后端系统,交易参与各方非常容易使用,是一个集合了SSL协议和SET协议优点的银行卡网上安全认证支付协议。基于3D-Secure协议的网络安全支