電子商務(wù)信息安全技術(shù)淺論
論文關(guān)鍵詞:電子商務(wù);信息安全;加密技術(shù);數(shù)字認(rèn)證
論文摘要:電子商務(wù)技術(shù)的廣泛應(yīng)用,給中小型公司提供便利和商機(jī)。同時(shí),由于Internel的開(kāi)放性、共享性使電子商務(wù)信息安全面臨威脅。闡述了電子商務(wù)可采用加密技術(shù)、數(shù)字簽名和數(shù)字證書(shū)技術(shù)、防火墻技術(shù)等技術(shù)和SSL協(xié)議、SET協(xié)議,提高電子商務(wù)信息安全系數(shù),并對(duì)今后電子商務(wù)信息技術(shù)發(fā)展提出了自己的見(jiàn)解。
引言:近年來(lái),隨著通訊技術(shù)、網(wǎng)絡(luò)技術(shù)的迅速發(fā)展促使電子商務(wù)技術(shù)應(yīng)運(yùn)而生。電子商務(wù)具有高效率、低成本的特性,為中小型公司提供各種各樣的商機(jī)而迅速普及。電子商務(wù)主要依托Intemet平臺(tái)完成交易過(guò)程中雙方的身份、資金等信息的傳輸。由于Imemet的開(kāi)放性、共享性、無(wú)縫連通性,使得電子商務(wù)信息安全面臨著威脅:如1)截獲和竊取用戶機(jī)密的信息。2)篡改網(wǎng)絡(luò)傳輸途中的信息,破壞信息的完整性。3)假冒合法用戶或發(fā)送假冒信息來(lái)欺騙用戶。4)交易抵賴(lài)否認(rèn)交易行為等。因此,電子商務(wù)技術(shù)的推廣,很大程度依賴(lài)信息安全技術(shù)的完善和提高。
l電子商務(wù)安全技術(shù)
1.1加密技術(shù)。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識(shí)別的密文數(shù)據(jù)。通過(guò)使用不同的密鑰,可用同一加密算法,將同一明文加密成不同的密文。當(dāng)需要時(shí)可使用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù),稱(chēng)為解密。數(shù)據(jù)加密被認(rèn)為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動(dòng)安全防范策略。
密鑰加密技術(shù)分為對(duì)稱(chēng)密鑰加密和非對(duì)稱(chēng)密鑰加密兩類(lèi)。對(duì)稱(chēng)加密技術(shù)是在加密與解密過(guò)程中使用相同的密鑰加以控制,它的保密度主要取決于對(duì)密鑰的保密。它的特點(diǎn)是數(shù)字運(yùn)算量小,加密速度快,弱點(diǎn)是密鑰管理困難,一旦密鑰泄露,將直接影響到信息的安全。非對(duì)稱(chēng)密鑰加密法是在加密和解密過(guò)程中使用不同的密鑰加以控制,加密密鑰是公開(kāi)的,解密密鑰是保密的。它的保密度依賴(lài)于從公開(kāi)的加密密鑰或密文與明文的對(duì)照推算解密密鑰在計(jì)算上的不可能性。算法的核心是運(yùn)用一種特殊的數(shù)學(xué)函數(shù)——單向陷門(mén)函數(shù)。即從—個(gè)方向求值是容易的,但其逆向計(jì)算卻很困難,從而在實(shí)際上成為不可能。
1.2數(shù)字簽名和數(shù)字證書(shū)。1)數(shù)字簽名。數(shù)字加密是非對(duì)稱(chēng)加密技術(shù)的一類(lèi)應(yīng)用。數(shù)字簽名是用來(lái)保證文檔的真實(shí)性、有效性的一種措施.如同出示手寫(xiě)簽名一樣。將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別與驗(yàn)證,保證報(bào)文的完整性、權(quán)威性和發(fā)送者對(duì)所發(fā)報(bào)文的不可抵賴(lài)性。數(shù)字簽名機(jī)制提供了一種鑒別方法,保證了網(wǎng)絡(luò)數(shù)據(jù)的完整性和真實(shí)性。2)數(shù)字證書(shū)。數(shù)字證書(shū)就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù),用來(lái)在網(wǎng)絡(luò)直用中識(shí)別通訊各方的身份,其作用類(lèi)似于現(xiàn)實(shí)生活中的身份證。數(shù)字證書(shū)由可信任的、公正的權(quán)威機(jī)構(gòu)CA中心頒發(fā),以數(shù)字證書(shū)為楊的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證,確保網(wǎng)上傳遞信息的機(jī)密性、完整性,交易實(shí)體身份的真實(shí)性,簽名信息的不可否認(rèn)性,從而保障網(wǎng)絡(luò)應(yīng)用的安全性。
1.3防火墻技術(shù)。防火墻主要功能是建立網(wǎng)絡(luò)之間的—個(gè)安全屏障,從而起到內(nèi)部網(wǎng)絡(luò)與外部公網(wǎng)的隔離,加強(qiáng)網(wǎng)絡(luò)之間的訪問(wèn)控制,防止外部網(wǎng)絡(luò)用戶以非法手釃百:過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)。根據(jù)制定的策略對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)、分析和審計(jì),按照—定的安全策略限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn),只有被允許的通信才能通過(guò)防火墻,管理內(nèi)部用戶訪問(wèn)外界網(wǎng)絡(luò)的權(quán)限,監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)并對(duì)各種攻擊提供有效的防范。
2電子商務(wù)安全交易協(xié)議
2.l(SSL)安全套接層協(xié)議。主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù),保證任何安裝了安全套接層的客戶和服務(wù)器之間事務(wù)安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶假務(wù)器應(yīng)用程序提供了客戶端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。
SSL安全協(xié)議主要提供三方面的服務(wù)。—是用戶和服務(wù)器的嘗陛保證,使得用戶與服務(wù)器能夠確信渤據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上??蛻魴C(jī)與服務(wù)器都有各自的識(shí)別號(hào),由公開(kāi)密鑰編排。為了驗(yàn)證用戶,安全套接層協(xié)議要求在握手交換數(shù)據(jù)中作數(shù)字認(rèn)證,以此來(lái)確保用戶的合法性;二是加密數(shù)據(jù)以隱藏被傳遞的數(shù)據(jù)。安全套接層協(xié)議采用的加密技術(shù)既有對(duì)稱(chēng)密鑰,也有公開(kāi)密鑰,在客戶機(jī)和服務(wù)器交換數(shù)據(jù)之前,先交換SSL初始握手信息。在SSL握手信息中采用了各種加密技術(shù),以保證其機(jī)密性與數(shù)據(jù)的完整性,并且經(jīng)數(shù)字證書(shū)鑒別:三是維護(hù)數(shù)據(jù)的完整性。安全垂接層協(xié)議采用Hash函數(shù)和機(jī)密共享的力怯來(lái)提供完整的信息服務(wù),建立客戶機(jī)與服務(wù)器之間的安全通道,使所有經(jīng)過(guò)安全套接層協(xié)議處理的業(yè)務(wù)能全部準(zhǔn)確無(wú)誤地到達(dá)月的地。
2.2(SET)安全電子交易公告。為在線交易設(shè)立的一個(gè)開(kāi)放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對(duì)客戶信用卡認(rèn)證的前提下,又增加了對(duì)商家身份的認(rèn)證。SET已成為全球網(wǎng)絡(luò)的工業(yè)標(biāo)準(zhǔn)。
SET安全協(xié)議主要對(duì)象包括:消費(fèi)者(包括個(gè)人和團(tuán)體),按照在線商店的要求填寫(xiě)定貨單,用發(fā)卡銀行的信用卡付款;在線商店,提供商品或服務(wù),具備使用相應(yīng)電子貨幣的條件;收單銀行,通過(guò)支付網(wǎng)關(guān)處理消費(fèi)者與在線商店之間的交易付款;電子貨幣發(fā)行公司以及某些兼有電子貨幣發(fā)行的銀行。負(fù)責(zé)處理智能卡的審核和支付;認(rèn)證中心,負(fù)責(zé)確認(rèn)交易對(duì)方的身份和信譽(yù)度,以及對(duì)消費(fèi)者的支付手段認(rèn)證。SET協(xié)議規(guī)范技術(shù)范圍包括:加密算法的應(yīng)用,證書(shū)信息與對(duì)象格式,購(gòu)買(mǎi)信息和對(duì)象格式,認(rèn)可信息與對(duì)象格式。SET協(xié)議要達(dá)到五個(gè)目標(biāo):保證電子商務(wù)參與者信息的相應(yīng)隔離;保證信息在互聯(lián)網(wǎng)上安全傳輸,防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取;解決多方認(rèn)證問(wèn)題;保證網(wǎng)上交易的實(shí)時(shí)性,使所有的支付過(guò)程都是在線的;效仿BDZ貿(mào)易的形式,規(guī)范協(xié)議和消息格式,促使不同廠家開(kāi)發(fā)的軟件具有兼容性與交互操作功能,并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。
3電子商務(wù)信息安全有待完善和提高
3.1提高網(wǎng)絡(luò)信息安全意識(shí)。以有效方式、途徑在全社會(huì)普及網(wǎng)絡(luò)安全知識(shí),提高公民的網(wǎng)絡(luò)安全意識(shí)與自覺(jué)陡,學(xué)會(huì)維護(hù)網(wǎng)絡(luò)安全的基本技能。并在思想上螢把信息資源共享與信息安全防護(hù)有機(jī)統(tǒng)一起來(lái),樹(shù)立維護(hù)信息安全就是保生存、促發(fā)展的觀念。
3.2加強(qiáng)網(wǎng)絡(luò)安全管理。建立信息安全領(lǐng)導(dǎo)機(jī)構(gòu),有效統(tǒng)一、協(xié)調(diào)和研究未來(lái)趨勢(shì),制定宏觀政策,實(shí)施重大決定。嚴(yán)格執(zhí)行《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》與《計(jì)算機(jī)信息網(wǎng)絡(luò)安全保護(hù)管理辦法》,明確責(zé)任、規(guī)范崗位職責(zé)、制定有效防范措施,并目嚴(yán)把用戶人網(wǎng)關(guān)、合理設(shè)置訪問(wèn)權(quán)限等。
3.3加快網(wǎng)絡(luò)安全專(zhuān)業(yè)人才的培養(yǎng)。加大對(duì)有良好基礎(chǔ)的科研教育基地的支持和投入,加強(qiáng)與國(guó)外的經(jīng)驗(yàn)技術(shù)交流,及時(shí)掌握國(guó)際上最先進(jìn)的安全防范手段和技術(shù)措施,確保在較高層次上處于主動(dòng),加強(qiáng)對(duì)內(nèi)部人員的網(wǎng)絡(luò)安全培洲,防止堡壘從內(nèi)部攻破。使高素質(zhì)的人才在高水平的教研環(huán)境中迅速成長(zhǎng)和提高。
3.4開(kāi)展網(wǎng)絡(luò)安全立法和執(zhí)法。吸取和借鑒國(guó)外網(wǎng)絡(luò)信息安全立法的先進(jìn)經(jīng)驗(yàn),結(jié)合我國(guó)國(guó)情對(duì)現(xiàn)行法律體系進(jìn)行修改與補(bǔ)充,使法律體系更加科學(xué)和完善;并建立有利于信息安全案件訴訟與公、檢、法機(jī)關(guān)辦案制度,提高執(zhí)法效率和質(zhì)量。對(duì)違犯國(guó)家法律法規(guī),對(duì)計(jì)算機(jī)信息存儲(chǔ)系統(tǒng)、應(yīng)用程序或傳輸?shù)臄?shù)據(jù)進(jìn)行刪除、修改、增加、干擾的行為依法懲處。
3.5強(qiáng)化網(wǎng)絡(luò)技術(shù)創(chuàng)新。組織現(xiàn)有信息安全研究、應(yīng)用的人才,創(chuàng)造優(yōu)良環(huán)境,創(chuàng)新思想、超越約束,利用國(guó)內(nèi)外資源,建立具有中國(guó)特色的信息安全體系。特別要重點(diǎn)研究關(guān)鍵芯片與內(nèi)核編程技術(shù)和安全基礎(chǔ)理論。
結(jié)束語(yǔ):電子商務(wù)模式相對(duì)傳統(tǒng)商務(wù)模式,具有便捷、高效的特點(diǎn)。但現(xiàn)今全球通過(guò)電子商務(wù)渠道完成的貿(mào)易額仍只是同期全球貿(mào)易額中的小部分。因此,電子商務(wù)信息安全問(wèn)題有賴(lài)于對(duì)公鑰基礎(chǔ)設(shè)施PKI、開(kāi)發(fā)與應(yīng)用,支付協(xié)議、物流配送協(xié)議、XML和標(biāo)準(zhǔn)化等方面深入研究和完善才能良好的促進(jìn)電子商務(wù)技術(shù)的應(yīng)用和推廣。