[摘要] 近些年来电子商务越来越流行,而确保电子商务正常进行的数据的可靠性、真实性、保密性越来越受到人们的关注。这些问题都可以归结到信息安全技术之中,本文简要介绍了电子商务及在电子商务中信息安全的基本原理,并指出了目前信息安全技术中的弱点。
[关键词] 电子商务信息安全加密电子商务证书电子签名
一、前言
随着通信网络技术的飞速发展和快速普及,人们的消费观念和整个商务系统也发生了巨大了变化,人们更希望通过网络的便利性来进行网络采购和交易,从而导致了电子商务(electronic commerce)的出现,电子商务的发展给人们的工作和生活带来了新的尝试和便利性,但并没有像人们想象的那样普及和深入,一个很重要的原因就是电子商务的安全性。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。所以,研究和分析电子商务的安全性问题,充分借鉴国外的先进技术和经验,开发和研究出具有独立知识产权的电子商务安全产品,这些都成为目前我国发展电子商务的关键。
二、电子商务中的安全隐患可分为如下几类
1.信息的截获和窃取。如果没有采用加密措施或加密强度不够,攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上届截获数据等方式,获取输的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,推出有用信息,如消费者的银行帐号、密码以及企业的商业机密等。wWw.133229.cOM
2.信息的篡改。当攻击者熟悉了网络信息格式以后,通过各种技术方法和手段对网络传输的信息进行中途修改,并发往目的地,从而破坏信息的完整性。这种破坏手段主要有三方面:改变信息流的次序,更改信息的内容,如购买商品的出货地址;删除某个消息或消息的某些部分;在消息中插入一些信息,让收方读不懂或接收错误的信息。
3.信息假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后,主要用两种方式进行欺骗:一是伪造电子邮件,虚开网站和商店,发大量的电子邮件,窃取商家的商品信息和用户信用等信息。另一种为假冒他人身份,冒充他人消费或栽赃、冒充网络控制程序套取或修改使用权限、通行字、密钥等信息等。
4.交易抵赖。它包括多个方面,如发信者事后否认曾经发送过某条信息或内容、购买者做了定货单不承认、商家卖出的商品因价格差而不承认原有交易等。
三、电子商务安全需求
1.机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取,一般通过密码技术来对传输的信息进行加密处理来实现。
2.完整性。在电子商务中由于数据输入时的意外差错或欺诈等行为,可能会影响贸易各方信息的完整性,这将影响到贸易各方的交易和经营策略,因此保持贸易各方信息的完整性是电子商务应用的基础。完整性一般可通过提取信息消息摘要的方式来获得。
3.认证性。由于网络电子商务交易系统的特殊性,要求对人或实体的身份进行鉴别,即交易双方能够在相互不见面的情况下确认对方的身份,鉴别服务一般通过证书机构ca和证书来实现。
4.不可抵赖性。在无纸化的电子商务方式下,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题是保证电子商务顺利进行的关键。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。不可抵赖性可通过对发送的消息进行数字签名来获取。
5.有效性。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此要对网络故障、硬件故障及计算机病毒所产生的潜在威胁等加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
四、电子商务安全中的主要技术
1.网络安全技术。网络安全是电子商务安全的基础,它所涉及到最重要的就是防火墙技术。防火墙是建立在通信技术和信息安全技术之上,它用于在网络之间建立一个安全屏障,根据指定的策略对网络数据进行过滤、分析和审计,并对各种攻击提供有效的防范,主要用于internet接入和专用网与公用网之间的安全连接。目前国内使用的防火墙产品都是国外厂商提供的,由于他们对加密技术的限制和保护,国内无法得到急需的安全而实用的网络安全系统和数据加密软件。因此我国也应研制开发并采用自己的防火墙系统和数据加密软件,以满足用户和市场的巨大需要。
vpn也使一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其各地的分支机构就可以互相之间安全传递信息。使用vpn有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。
2.加密技术。加密技术是保证电子商务安全的重要手段,它包括私钥加密和公钥加密。私钥加密又称对称密钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据,目前常用的私钥加密算法包括des和idea等。对称加密技术的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。公钥密钥加密,又称不对称密钥加密系统,它需要使用一对密钥来分别完成家密和解密操作,一个公开发布,称为公开密钥(public-key);另一个由用户自己秘密保存,称为私有密钥(private-key)。信息发送者人用公开密钥去加密,而信息接收者则用私有密钥去解密,常用的算法是rsa、elgamal等。为了充分利用公钥密码和对称密码算法的优点,克服其缺点,提出混合密码系统,即所谓的电子信封(envelope)技术。发送者自动生成对称密钥,用对称密钥加密钥发送的信息,将生成的密文连同用接收方的公钥加密后的对称密钥一起传送出去。收信者用其秘密密钥解密被加密的密钥来得到对称密钥,并用它来解密密文。
3.数字签名。在网络环境中,可以用电子数字签名作为模拟,数字签名中很常用的就是散列(hash)函数,从而为电子商务提供不可否认服务。把hash函数和公钥算法结合起来,可以在提供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的hash。把这两种机制结合起来就可以产生所谓的数字签名(digital signature)。将报文按双方约定的hash算法计算得到一个固定位数的报文摘要(mes-sage digest)值。只要改动报文的任何一位,重新计算出的报文摘要就会与原先值不符。然后把该报文的摘要值用发送者的私人密钥加密,将该密文同原报文一起发送给接收者,所产生的报文即称数字签名。数字签名相的优点:它不仅与签名者的私有密钥有关,而且与报文的内容有关,因此不能将签名者对一份报文的签名复制到另一份报文上,同时也能防止篡改报文的内容。
4.认证机构和数字证书。对数字签名和公开密钥加密技术来说,都会面临公开密钥的分发问题。必须有一项技术来解决公钥与合法拥有者身份的绑定问题。数字证书是解决这一问题的有效方法。它通常是一个签名文档,标记特定对象的公开密钥。电子证书由一个认证中心(ca)签发,认证中心类似于现实生活中公证人的角色,它具有权威性,是一个普遍可信的第三方。当通信双方都信任同一个ca时,两者就可以得到对方的公开密钥从而能进行秘密通信、签名和检验。证书机构ca(certification authority)是一个可信的第三方实体,其主要职责是保证用户的真实性。网络用户的电子身份(electronic identity)是由ca来发布的,也就是说他是被ca所信任的,该电子身份就成为数字证书。护照颁发机构和证书机构ca都是由策略和物理元素构成。在护照颁发机构,有一套由政府确定的政策来判定那些人可信任为公民,以及护照的颁发过程。一个ca系统也可以看成由许多人组成的一个组织,它用于指定网络安全策略,并决定组织中的那些人可以发给一个在网络上使用的电子身份。
五、结论
安全是电子商务的核心和灵魂,没有安全保障的电子商务应用只是虚伪的炒作或欺骗,任何独立的个人或团体都不会愿意让自己的敏感信息在不安全的电子商务流程中传输。一句话:网络应用,安全为本。只要我国坚持在吸收、引进的前提下,组织各方面力量,独立研制和开发具有独立知识产权的网络安全和电子商务安全产品,逐步掌握电子商务安全的核心技术,并从宏观上进行调节和控制,我国的电子商务安全现状一定会得到极大的改善,为我国电子商务的真正发展构筑一道牢不可破的坚固屏障。