[摘要] 构筑安全电子商务信息环境是网络时代发展到一定阶段的“瓶颈”性课题,本文侧重研究了电子商务环境下的信息安全技术,数字认证技术以及身份鉴别和数字证书的安全性等核心问题。
[关键词] 电子商务 信息安全 pki 数字认证 密码
一、电子商务环境下网络通信的安全威胁
电子商务环境下网络通信的安全威胁,即信息传输安全,指电子商务运行过程中,物流、资金流汇成信息流后动态传输过程中的安全。其安全隐患主要包括泄漏或者窃取商业机密;伪造;消息篡改;行为抵赖等。
二、电子商务环境下的数字认证需求
电子商务环境下要保护数据的完整性以及防止信息的不可抵赖,数字认证可以解决这两类的安全问题。即数据在从发送者传递到接受者的推进过程中,前后是否一致;以及在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,使原发方对已发送的数据、接收方对已接收的数据都不能否认。
三、基于pki体系的数字认证技术
数字认证(authentication)是防止主动攻击的重要技术,对开发系统安全性有重要作用,认证的主要目的有两个,一是实体认证即防止信息的发送者的身份的冒充;二是消息认证即验证和鉴别信息的完整性,确保数据在发送的过程中没有被篡改。
基于pki体系的数字认证技术,主要结合基于公钥密码理论的数字签名以及散列函数来实现身份认证和消息的认证。
数字签名结合数字认证技术几乎可以解决电子商务对信息安全的所有需求,数字认证技术可以提供信息的完整性保护,实现数字认证的重要手段是数字签名和散列函数。WWw.133229.COM
1.数字摘要与散列函数
数字摘要是指通过单向hash函数,将需加密的明文“摘要”成一串固定长度的散列值,不同的明文摘要成的密文其结果总是不相同,同样的明文其摘要必定一致,并且由摘要不能反推明文。数字摘要将原本可变的很长的消息明文进行压缩变成与消息明文惟一映射的符号序列,使得在此基础上进行数字签名非常高效快捷。
2.数字签名与数字证书
数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。数字证书含有证书持有者的有关信息,以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性,可以控制哪些数据库能够被查看,因此提高了总体的保密性。
四、身份鉴别及数字证书的安全性
安全服务的基础主要是基于用户鉴别和认证。只有合法的用户才能授予访问的权限。最常见的方法是通过提供用户名称或者标识id。通常可能有多种形式:用户姓名、序列号码、甚至x.500 的全限定名称。而用户的身份认证方式则根据采取的不同认证方法而不同。
基于pki的电子商务环境下,有很多的措施保护数字证书的传输及分发安全,如https/ssl协议,vpn/ipsec协议等;然而这些安全机制却不能保证数字证书在用户终端上的存储和使用安全。数字证书的存储方式有:
1.无安全措施的直接存储
用户把数字证书直接存储在硬盘,软盘,以及其他的移动设备上,无任何的安全措施,其信息很容易病毒,黑客获取,只能针对低级别安全的用户。
2.采用口令以及密码的方式保存
数字证书在存取和使用的过程中采用直接的口令机制保护私钥的安全,简单的方式采用常规口令字符串,也可以使用一次性口令,即在数字证书的存取和使用过程中加入随机因素,使每次验证的过程中传送的信息都不相同,以提高口令的安全性;还有基于硬件技术的动态密码锁采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,使用该硬件可以产生动态的一次性口令,该密码锁的使用前必须输入静态的pin码才能进入产生密码,只有密码锁的持有者且知道pin码的用户才能产生动态口令,采用硬件的不可复制特性,使得口令的产生与终端分离,安全性高于软件方式。
3.基于硬件的令牌
直接把数字证书进行加密然后放入相应的移动存储设备或者智能卡中进行存储而产生令牌;如智能卡令牌,将数字证书和私钥存储在智能卡上进行认证,但是需要读卡器设备,其成本相对较高;usbkey令牌采用双钥加密的认证模式,usb key是一种usb接口的硬件设备,内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用usb key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性,用户在使用usbkey前也必须由静态的pin码进行确认,优点是具有很高的安全性以及携带方便,缺点是pin码是在客户的终端上输入容易被黑客获取,因此使用后应立即拔除,目前国内的网银系统普遍采用这种方式。
4.漫游证书
漫游证书通过第三方软件提供,只需在任何系统中正确地配置,该软件或者插件就可以允许用户访问自己的公钥/私钥对。其基本原理很简单,即将用户的证书和私钥放在一个安全的中央服务器上,当用户登录到一个本地系统时,从服务器安全地检索出公钥私钥对,并将其放在本地系统的内存中以备后用,当用户完成工作并从本地系统注销后,该软件自动删除存放在本地系统中的用户证书和私钥。
5.基于主体生物特征的认证
采用基于用户固有的某些特征进行认证,如指纹、视网膜、声音或签字。基于生物特征的识别能够通过生物特征识别技术,可以将原有的私钥的管理难题和脆弱性得到解决,并且可以通过中心化策略和客户端策略来进行。前者能够在最大控制基础上,解决安全的密码分发和管理问题。而后者则更加灵活,与现有pki架构无缝集成。基于生物特征识别的pki,从逻辑上和技术上都加强了pki。其优点是生物识别绝不可能丢失和被偷窃,绝对无法冒充的身份认证技术。
五、结束语
基于pki的电子商务环境下,采用何种方式进行实体以及消息的数字认证技术是电子商务安全的根本,根据系统的特征以及电子商务的安全需求而选择合适的数字认证模式,以保证电子商务的双方进行安全的电子交易。
参考文献:
[1]徐雪梅:浅谈保障电子商务活动中的信息安全[j].科技情报开发与经济,2003
[2]祁明:电子商务安全与保密[m].北京:高等教育出版社,2001
[3]徐汉超:计算机网络安全与数据完整性技术[m].北京:北京电子工业出版社,1999