《电子商务信息安全论述.doc》由会员分享,可在线阅读,更多相关《电子商务信息安全论述.doc(9页珍藏版)》请在三一办公上搜索。
1、电子商务信息安全概论摘要:随着互联网技术的发展,网络安全成为新的研究热点。电子商务是互联网应用发展的必然趋势,同时也是国际金融贸易中越来越重要的经营模式。安全是保证电子商务健康有序发展的关键因素。目前安全问题己成为电子商务的核心问题。电子商务安全主要涉及四个方面:信息的安全,信用的安全,安全的管理,安全的法律保障等。本文只针对电子商务安全中的信息安全,通过对以基于网络层次上的加密技术、数字签名技术、密钥管理技术、验证技术、数字证书技术等几种信息安全技术的研究,拟将有关系统应用到保障电子商务信息安全上。关键词: 电子商务,加密,数字签名,密钥管理,数字证书ELECTRONIC COMMERCE
2、INFORMATION SAFETYAbstract: Along with the technical development in Internet, network safety is becoming a new hot spot of safety research. Electronic Commerce is a inevitable trend that the application development of World Wide Web, and also a more and more important operate trade in International.
3、 The safety is a key factor to guarantee the Electronic Commerce healthy and ordered development. At present, the safe problem becomes the core problem of the Electronic Commerce. The Electronic Commerce involves four aspects primarily: The safety of information, the safety of reputation, safe manag
4、ement, the safe law guarantees etc. This text only makes an analysis of the safety of information in Electronic Commerce .According to the research of encryption technique, arithmetic figure sign technique, key management technique, verification technique, figure certification technique, which base
5、on the layer of network, we plan to make the relation system to apply to guarantee the information safety of Electronic Commerce.Keywords: Electronic Commerce, Encryption, Arithmetic Figure Signature, Key Management, Arithmetic Figure Certificate Authorit.1. 绪论电子商务是在Internet开放的网络环境下,基于浏览器/服务器应用方式,实现
6、消费者的网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式。电子商务是网络技术应用的全新发展方向。Internet本身所具有的开放性、全球性、低成本、高效率的特点,也成为电子商务的内在特征,并使得电子商务大大超越了作为一种新的贸易形式所具有的价值,它不仅会改变企业本身的生产、经营、管理活动,而且将影响到整个社会的经济运行与结构。现阶段推动电子商务面临的最大问题是如何保障电子商务过程中的安全性,近年来,国际上已实施和制定了一系列的方法来解决网上交易的安全性问题。1.1. 安全问题的提出电子商务作为一种全新的业务和服务方式,为全球客户提供了丰富的商务信息、简捷的交易过程和低廉的交易
7、成本。但是电子商务在给人们带来方便的同时,也把人们引进了安全陷阱。目前,影响电子商务广泛应用的首要的且最大的问题就是安全问题。电子商务是利用计算机通过网络来实现的。有关计算机和网络安全问题早已引起人们的担忧。大量的事实说明,要保证电子商务的正常运行,就必须高度重视安全问题。电子商务的安全问题不仅关系到个人的资金安全、商家的货物安全,还关系到国家的经济安全,国家经济秩序的稳定问题。对于电子商务的安全问题绝不可以等闲视之,必须把它提到重要的议事日程上来,只有这样,才能保证电子商务的健康发展。1.2. 电子商务涉及的信息安全问题分析电子商务面临的安全问题,主要是依据对电子商务整个运作过程的考察,确定
8、电子商务流程中可能出现的各种安全问题,分析其危害性,发现电子商务过程中潜在的安全隐患和安全漏洞,从而使电子商务安全的管理能做到有的放矢。电子商务的安全问题主要涉及信息安全问题、信用安全问题、安全管理问题以及电子商务的法律保障问题。以下主要说一下信息安全问题:从技术上看,电子商务面临的信息安全问题主要来自以下几个方面:1冒名偷窃“黑客”为了获取重要的商业秘密、资源和信息,常常采用源IP地址欺骗攻击。入侵者伪装成源自一台内部主机的一个外部地点传送信息包,在E-mail服务器使用报文传输代理中冒名他人,窃取信息。2篡改数据攻击者未经授权进入电子商务系统,使用非法手段删除、修改、重发某些重要信息,破坏
9、数据的完整性,损害他人的经济利益,或干扰对方的正确决策,造成电子商务交易中的信息风险。3信息丢失交易信息的丢失,可能有三种情况:一是因为线路问题造成信息丢失;二是因为安全措施不当而丢失信息;三是在不同的操作平台上转换操作从而丢失信息。4信息传递出问题信息在网络上传递时,要经过多个环节和渠道。外各种外界的物理性干扰,如通信线路质量较差、地理位置复杂、自然灾害等,都可能影响到数据的真实性和完整性。2. 信息安全技术2.1. 信息安全概述电子商务是通过Internet网络进行,如何保障通过网络传送信息的安全,是电子商务安全中的一个重要内容。从信息的安全角度来说,主要会涉及五个方面信息的机密性服务,是
10、指信息在以电子化方式发送时,通过加密技术来隐藏数据项,保持信息的保密性,防止将信息泄露给除了发送方和接收方以外的其他非法用户。信息的完整性服务,是指信息在以电子化方式发送时,保持信息未被修改过,确保接收到的信息同发送方发送的信息没有任何出入。信息的验证服务,即提供对身份的确认。验证服务主要针对伪装入侵威胁,主要有实体验证和数据源验证两种。信息的不可否认性服务,防止一方在交易或通信发生后进行否认。2.2. 防火墙技术网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输
11、的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:(1)包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外,系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判
12、断,无法识别基于应用层的恶意侵入。 (2)网络地址转化-NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。 (3)代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道
13、,外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。 (4)监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。 虽然监测型防火墙安全性上已超越
14、了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。 2.3. 加密技术所谓加密,就是用基于数学方法的程序和保密的密钥对信息进行编码,把计算数据变成一堆杂乱无章难以理解的字符串。所以,加密可以有效地对抗信息的被拦截以及被窃取。加密是由加密过程和解密过程组成的。一般地,发送方在发送消息前先用加密程序将明文加密成密文,接收方在接收到消息后,用解密
15、程序将密文解密成明文。所以说,解密是加密的逆过程。在进行加密过程时需要两个输入项:一个是明文,还有一个是称为加密密钥的独立数据值。与此类似,解密过程则需要密文和解密密钥。密钥从表面上来看就像是一串随机的二进制位串,密钥的长度即位数取决于特定的加密系统。加密最明显的作用就是提供机密性。这里,明文代表了未经保护的敏感数据,而相应的密文则可以在不被信任的环境中传输,因为如果加密系统比较好的话,那些没有解密密钥的人就无法把密文恢复成明文,从而密文对他来说根本就没有意义。除了提供机密性,加密系统还可以提供其他安全功能。一般情况,加密系统有两种基本形式:对称加密系统(私有密钥加密系统)、不对称加密系统(公
16、开密钥加密系统)。两种加密系统有不同的特点,采用不同的方式来提供安全服务。2.4. 数字签名日常生活中,通常用对某一文档进行签名来保证文档的真实有效性,防止其抵赖。在网络环境中,可以用电子数字签名作为模拟。 简化的数字签名技术使用了像RSA这样的可逆的公开密钥加密系统,其数字签名过程中运用了消息的验证模式。签名过程如下:1) 发送方用自己的私有密钥对要发送的信息进行加密,形成数字签名;2) 发送方将数字签名附加在消息后通过网络传送给接收方;3) 接收方用发送方的公开密钥对接收到的签名信息进行解密,得到信息明文;4) 接收方将解密得到的消息与接收到的消息进行比较,若两者相同,则说明消息未被篡改过
17、。在这一过程中,消息的发送方以验证模式用RSA生成加密的信息。加密后的信息附加在明文上一起传送出去,在接收方那里,接收方必须要知道相应的解密密钥才能用这把密钥来解密经加密后的信息,并将解密后的信息与明文作比较。如果两者相同,则接收方就能确信发送方确实拥有加密密钥,同时还可以确信在传输的过程中消息未被篡改过。像这种基于公开密钥的数字签名方案的优点在于,对任何可能的消息接收方来说都能检查签名。但这种方案也存在着一定的问题,特别是用于处理和通信的成本过高。为了对此方案进行改进,可以运用散列函数来进行处理。利用散列函数的数字签名过程如下:1) 发送方对要发送的消息运用散列函数形成数学摘要;2) 发送方
18、用自己的私有密钥对数字摘要进行加密,形成数字签名;3) 发送方将数字签名附加在消息后通过网络传送给接收方;4) 接收方用发送方的公开密钥对接收到的签名信息进行解密,得到数字摘要;5) 接收方运用同样的散列函数对接收到信息形成数字摘要;6)7)8) 待添加的隐藏文字内容2发送方对两个数字摘要进行比较,若两者相同,则说明消息未被篡改过。在这一过程中,利用散列函数,可以对要签名的消息内容生成一个固定长度的数据摘要,只要消息内容发生了任何改变,所形成的摘要就是不同的。在这种机制下,发送方用散列函数来获得数字摘要,然后用RSA对数字摘要进行加密形成数字签名,并与消息一起传送出去.接收方收到信息后,重新计
19、算摘要,同时用RSA对数字签名进行解密,然后比较两个摘要值,如果相符,则接收方就可以确信发送方确实拥有该私有密钥,即该消息确实是由该发送方发来的,并且信息内容在传送途中未被篡改过。2.5. 密钥管理2.5.1. 对称密钥管理 加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。贸易方可以为每次交换的信息生成唯一一把对称密钥并用公开密钥对该密钥进行加密,然后再将
20、加密后的密钥和用该密钥加密的信息一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥,因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易,而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。2.5.2. 公开密钥管理/数字证书 贸易伙伴间可以使用数字证书来交换公开密钥。数字证书通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构,它是贸易各方都信赖的机构。2.6
21、. 验证技术验证是在远程通信中获得信任的手段,就安全服务中最为基本的内容,因为必须通过可靠的验证来进行访问控制,决定谁有权接收或修改信息(从而影响机密服务),增强责任性以及实现不可否认服务。在进行验证时,一般将某个身份的合法拥有者称为当事人,需要进行验证的当事人可以是人、设备,也可以是计算机系统中的在线应用,而试图验证某个特定当事人或事则称为申请人。进行验证的方法有多种,有的与加密技术有关,也有的与此无关。一般来说,验证通常基于下列因素来进行:申请人表示所知道的某些事物,如口令;申请人出示一些所有物,如实际的密钥技术;申请人展示一些不可改变的特征,如指纹;申请人展示在某些特定场所或网络地址上的
22、证据;需要证明申请人身份的一方接受已经对申请人进行了验证的其他可信任方。在实际的验证工作中,往往会将上述因素结合起来使用,进行多因素验证。2.7. 数字证书数据证书就是网络通讯中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,人们可以在交往中用它来识别对方的身份。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关的名称,该证书的序列号等信息,证书的格式遵循ITUR X。509国际标准。使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。3. 结论以上我们详细论述了保障电子商务信息安全的技术,相信随着时间的推移和技术的发展,电子商务安全体系将越来越完善,足不出户而通过Internet电子商务系统实现购物、交易和做生意将成为人们生活的新时尚。