[摘要] 安全问题是电子商务发展的核心和关键问题。安全性技术是保证电子商务健康有序发展的关键因素。本文讨论了电子商务应用中所存在的安全问题,针对这些安全问题对电子商务的安全技术进行了分析。
[关键词] 电子商务 加密技术 数字签名
一、引言
随着internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过internet进行商务活动。电子商务的一个重要技术特征是利用it技术来传输和处理商业信息。电子商务安全问题是电子商务发展中的一个主要障碍。电子商务安全技术的应用为建立一个安全、便捷的电子商务应用环境,对商家和客户的信息提供足够的保护,起着关键性的作用。
二、电子商务面临的安全问题
1.信息的截获和窃取
由于未采用加密措施,信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
2.篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。
3.信息假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4.交易抵赖
交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条消息或内容;购买者做了订单不承认;商家卖出的商品因价格差而不承认原有的交易等。wwW.133229.CoM
5.恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
三、电子商务安全技术
1.密码技术
密码技术是信息安全的核心技术。对信息安全的需求大部分可以通过密码技术来实现。密码技术包括加密、签名认证和密钥管理技术等。
(1)加密技术。数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。加密技术通常分为两大类:“对称式”和“非对称式”。加密技术是保证电子商务安全的重要手段,许多密码算法现已成为网络安全和商务信息安全的基础。
(2)数字签名。在电子商务安全系统中,数字签名技术占有重要的地位。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中,都要用到数字签名技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。目前,数字签名一般都通过单向hash函数来实现,它可以验证交易双方数据的完整性。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。数字签名技术将具有广阔的应用前景,它将直接影响电子商务的发展。
(3)密钥管理技术。密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容。其中分配和存储是最棘手的问题。密钥管理不仅影响系统的安全性,而且涉及系统的可靠性、有效性和经济性。在用密码技术保护的现代信息系统的安全性主要取决于对密钥的保护。密钥管理技术主要包括:对称密钥管理;公开密钥管理,第三方托管技术。
2.网络安全技术
(1)防火墙技术。防火墙可以根据网络安全水平和可信任关系将网络划分成一些相对独立的子网,两侧间的通信受到防火墙的检查控制;可以根据既定的安全策略允许特定的用户和数据包穿过,同时将安全策略不允许的用户与数据包隔断,达到保护高安全等级的子网、防止墙外黑客的攻击、限制入侵蔓延等目的。防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。目前的防火墙主要有两种类型。其一是包过滤型防火墙,其二是应用级防火墙。
(2)虚拟专用网vpn技术。虚拟专用网vpn是一种特殊的网络,它采用一种叫做“通道”或“数据封装”的系统,用公共网络及其协议向贸易伙伴、顾客、供应商和雇员发送敏感的数据。这种通道是internet上的一种专用通道,可保证数据在外部网上的企业之间安全地传输。在vpn中,只要通信的双方默认即可,没有必要为所有的vpn进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加vpn的安全性,因而能够保证数据的保密性和可用性。vpn实现的关键技术是隧道技术、加密技术和qos(服务质量)技术。
(3)入侵检测技术。入侵检测技术是防火墙技术的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。其最重要的价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,通过从各个角度对这些事件进行分析归类,可以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。入侵检测的主要方法有:静态配置分析,异常性检测方法、基于行为的检测方法及几种方法的组合。
(4)安全交易协议。除了各种安全控制技术之外,电子商务的运行还需要一套完整的安全交易协议。不同交易协议的复杂性、开销、安全性各不同。同时,不同的应用环境对协议目标的要求也不尽相同。目前,比较成熟的协议有安全套接层协议(ssl)和安全电子交易协议(set)。
三、小结
用于保护电子商务的安全控制技术很多,并非把这些技术简单地组合就可以得到安全。但是通过合理应用安全控制技术,并进行有机结合,就可从技术上实现系统、有效的电子商务安全。
参考文献:
[1]张立克:电子商务及其安全保障技术[j].水利电力机械,2007,29(2):69~74
[2]祝凌曦:电子商务安全[d].北京:清华大学出版社,2006
[3]夏颖:电子商务中的信息安全技术[j].电脑知识与技术,2005,(8):51~53
[4]刘明珍:电子商务中的信息安全技术[j].湖南人文科技学院学报,2006,(3):48~51