电子商务及其安全防范
来源:岁月联盟
时间:2010-07-01
[关键词] 电子商务;安全性;安全套接层协议;安全电子交易协议
随着因特网的飞速发展,电子商务正得到越来越广泛的应用,进入21世纪,全球电子商务迎来了新的发展高潮。电子商务的安全性是影响其成败的一个关键因素。对电子商务中存在的安全问题及安全技术加以分析,才能满足电子商务安全的基本需求,以推动电子商务的更快发展。
一、电子商务及其存在的问题
电子商务是指利用简单快捷低成本的电子通信方式,买卖双方不谋面而进行各种商业和贸易活动的新型贸易形式。它改变了传统贸易形式,不仅改变了本身的生产、经营、管理活动,而且将导致人类、社会和文化的一次新的革命。但目前电子商务的发展中还存在许多问题:
1.安全协议问题。我国大多数尚处在SSL(安全套接层协议)的应用上,SET协议的应用还只是刚刚试验成功,在信息的安全保密体制上还不成熟,对安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。
2.安全管理问题。在安全管理方面还存在很大隐患,究竟谁来管理,怎么管理,采取什么有序的管理办法,这些问题亟待解决。需要有一个安全可靠的信息普抵御黑客的攻击。
3.电子商务没有真正深入商务领域,而仅仅局限于信息领域。现在我国的电子商务好多只是停留在用机简单模拟原来的手工操作流程,提供单纯的技术产品为主,不擅长动态信息的跟踪和获取,个人用户比较少,企业用户还未大量出现。
4.技术人才短缺问题。电子商务是在近几年才得到了迅猛发展,许多地方都缺乏足够的技术人才来处理所遇到的各种问题。不少电子商务的开发商对网络技术很熟悉,但是对安全技术了解得偏少,因而难以开发出真正实用的、安全性的产品。
5.问题。电子交易衍生了一系列法律问题,例如网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。
6.税收问题。电子商务的发展在促进贸易增加税收的同时又对税收制度及其管理手段提出了新要求。
二、电子商务中的安全性技术
安全性技术是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的问题。虽然Internet的开放式的信息交换使之在安全方面存在脆弱性,但现在几乎网络的各个层次都制订了安全协议和具备了相应的安全技术,以保证电子商务的安全性。
(一)安全的网络平台。安全可靠的网络是实现电子商务的基础,常用的方法是在网络中采用防火墙技术,虚拟专用网(VPN)技术,防病毒保护等。防火墙技术是通过IP过滤和代理服务器软件方法保护企业内部网(Intranet)中数据,只有授权用户才能获准进入企业内部网的系统。虚拟专用网(VPN)技术通过IP隧道等方法来保证企业协作网(Extranet)中企业间数据和企业内部网的远程分支机构和外出职工对中央系统的远程访问数据的安全传递。单纯依靠这些方法保护网络的安全性是不够的,还必须与其它安全措施综合使用才能为为用户提供更为可靠的电子商务基石,例如现在的加密技术、数字签名技术、电子认证技术等。
(二)密码术概述。密码技术虽然在第二次世界大战期间开始流行,在当前才广泛应用于网络安全和电子商务安全之中,但其起源可追溯到几千年前。其思想目前还在使用,只是在处理过程中增加了数学上的复杂性。密码体制与传统密码体制的最大不同就在于:原文的保密性不再依赖于算法本身,而是依赖于密钥的保密性,其算法本身则是公开的。在网络上,计算机的数据以数据包的形式发送.为防止信息被窃取,应当对发送的全部信息进行加密。加密传输形式是一种将传送的内容变成一些不规则的数据,只有通过正确的密钥才可以恢复原文的传输形式。
根据密钥的特点,加密算法可以分为对称密钥加密算法和非对称密钥加密算法两类。
1.对称密钥加密算法是传统的加密手段。最著名的对称密钥加密算法DES(Data Encryption s七andard)是由IBM公司在70年代发展起来的,并经过政府的加密标准筛选后,于1976年11月被美国政府采用。DES随后被美国国家标准局和美国国家标准协会承认。在该类算法中,信息的发送方和接收方用同一个秘密密钥去加密和解密数据,一方用商定好的加密函数和秘密密钥加密明文,另一方用加密函数的逆函数和同一个秘密密钥对密文解密,得到原始明文。显然,通讯双方需要事先交换秘密密钥。这类加密算法执行效率高、速度快,适合对大数据量进行加/解密。但由于收发双方共享一个秘密密钥,密钥的传递和管理很困难。目前常用的对称密钥加密算法有DES算法和工DEA算法等。
2.非对称密钥加密算法又称公开密钥技术。它需要使用一对密钥来分别完成加密和解密操作,一个公开发布,称为公开密钥(Public-Key) ;另一个由用户自己秘密保存,称为私有密钥(Private-Key)。在该类算法中,每个用户都拥有一对密钥,一个是公开密钥,另一个是私有密钥。经用户公开密钥加密的信息只能通过他的私有密钥来解密,反过来,经用户私有密钥加密的信息也只能通过他的公开密钥来解密。当两用户通讯时,双方都用又于的公开密钥加密而用自己的私有密钥解密,就可以实现信息的保密传输。常用的公开密钥算法有RSA算法。
RSA算法是公开密钥加密算法中比较优秀的算法,已经得到广泛的应用。公开密钥加密算法的安全性依赖于一类特殊的数学函数一单向哈希函数,单向哈希函数的性质为:从一个方向求值容易,但逆向计算却很困难。公开密钥加密算法的优点是不需在用户之间传递私有密钥,可以适应开放性的使用环境,但计算复杂度高,加密和解密速度都比对称密钥算法慢得多。
3.混合密钥加密技术。为了充分利用公开密钥密码算法和私有密钥密码算法的优点,克服其缺点,解决每次传送更换密钥的问题,可以采用混合密码技术,即所谓的电子信封技术口发送者自动生成对称密钥,用对称密钥加密发送的信息,将生成的密文连同用接收方的公开密钥加密的对称密钥一起传送出去。收信者用自己的私有密钥解密被加密的密钥来得到对称密钥,并用它来解密密文。这样保证每次传送都可由发送方选定不同密钥进行,更好的保证了数据通讯的安全性。 混合密钥加密技术的加/解密过程如下:
a.加密方(或发方):
a)生成明文;
b)用密钥生成算法产生特定长度的对称密钥:
c)使用对称密钥加密算法(DES/IDEA)和该对称密钥对明文进行加密,形成密文;
d)用收方(RSA)公开密钥加密对称密钥:
e)把加密后的对称密钥和密文一同发送给收方。
b.解密方(或收方):
a)用收方的密钥解密收到的已加密的密钥,得到未加密的对称密钥;
b)用(a)中得到的对称密钥解密密文,得到明文。
从上面分析可以看出,把两者结合起来使用,就可以综合发挥两种加密体制的优点,即DES/IDEA高速简便性和RSA密钥管理的方便性和安全性。也就是说,既保证了数据安全,又提高了加密和解密的速度。
(三)在线支付的安全技术。商务的另一个关键问题是要保证在线支付的安全,它是网上购物的重要保证。目前采用的在线支付协议有两种:安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transac-tion)协议。
SSL协议
SSL协议是Netscape公司在传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(Certificate Authority,CA)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。其运行机制是:
①在建立连接过程中采用公开密钥;
②在会话过程中使用专有密钥;
③加密的类型和强度则在两端之间建立连接过程中判断决定。
采用SSL协议的电子交易过程如下:
①表示客户购买的信息首先发往商家;②表示商家再将信息转发银行;③和⑤表示银行验证客户的信息的合法性后,再通知商家和客户付款成功;④表示商家再通知客户购买成功。
这个流程有两个方面的缺点:首先,客户的银行资料信息先送到商家,让商家阅读,这样,客户银行资料的安全性就得不到保证;其次,SSL只能保证资料传递过程的安全,而传递过程是否有人截取就无法保证了。所以,SSL并没有实现电子支付所要求的保密性、完整性,而多方互相认证也很困难的。
SET协议
SET协议是一个能保证通过开放网络进行安全资金支付的技术标准。采用这种协议它主要解决了以下问题。
首先是客户资料虽然通过商家到达银行,但商家不能阅读这些资料,解决了客户资料的安全性问题;其次是协议解决了网上交易存在的客户与银行之间、客户与商家之间、商家与银行之间的多方认证问题;再其次是由于整个交易过程是建立在Intranet,Extranet和Internet的网络基础上的,保证了网上交易的实时性。
SET协议下的交易模式如下:
SET使订单信息和信用卡信息的隔离。在把包含信用卡号码信息的订单送到商家时,商家只能看到订单信息,却看不到信用卡号码信息,并且需要持卡人和商家相互认证,确定通信双方身份,一般由认证中心为双方提供信用担保。
SET定义了一个完备的电子交易流程,较好地解决了电子交易中各方间复杂的信任关系和安全连接,确保了电子交易中信息的真实性、保密性、防抵赖性和不可更改性。但由于SET协议庞大而又复杂,银行、商家和客户均需改造才能实现互操作,使得SET协议被普遍使用还需有一个过程。在我国,大多尚处在对SSL协议的应用上,要完全实现SET协议安全支付还要有一个过程。
(3)其它安全问题
对于电子商务的安全性来讲,有了防火墙与安全协议和规范还不够,一方面,网络本身的物理差错是难以避免的;另一方面,Internet主干网和DNS服务器的可靠性,拨号连接质量与速度还不能满足人们的需求;另外,恶意代码对网络系统的威胁,单纯依赖技术是很难解决的,从某种意义上讲,依靠管理加强内部人员的安全防范意识等比安全技术更为重要。因此,要加强电子商务的安全性应从多方面入手。
三、对我国电子商务的几点建议
1.提高服务的安全性
电子商务飞快的发展速度,致使其安全技术和安全管理都跟不上,这已成为越来越突出的问题,但不能因为安全问题而制约了电子商务的发展,使安全成为发展的瓶颈,发展是首位的,没有发展安全就无从谈起。
2.加快网络基础设施建设和网络普及程度
发展电子商务的目的在于降低交易成本,提高交易效率,因此应积极发展高速宽带通信信道,重点建设光缆和卫星通信,同时积极利用现有通信线路发展ISDN和ADSL接入,利用有线电视线路,试验发展HFC接入网。
3.尽快完善有关网络安全等方面的
我国政府在《中华人民共和国合同法》中规定了以电子媒体为载体的合同具有法律约束力,对推广电子商务有很大的促进作用,但是在诸多方面还需顺应网络技术的发展而不断完善。
4.加快银行、税务以及邮政等物流环节的信息化建设步伐,建立到企业(BtoB)、企业到客户(BtoC)的商务沟通,实现网上资金流动,解决目前有形商品交易环节中的流通因难。
5.转变人们面对面交易的消费习惯
目前,基于Internet的电子商务应用还刚刚开始,许多方面都还不够完善,并且,我国和发达国家之间的差距很大,这就要求我们密切关注电子商务的动向,探讨电子商务中存在的技术问题,加大推广力度,以把握住网络时代这一良好的发展时机,让电子商务在我国经济建设中发挥它最大的作用。
:
[1]尚建成.电子商务基础[M].北京:高等出版社,2004.
[2]肖凌,李之棠.公开密钥基础设施(PKI)[J].机工程与应用,2002,(30).
上一篇:电子商务信息安全技术浅议
