電子商務(wù)中的信息安全技術(shù)

正如9月22日的《2005年網(wǎng)絡(luò)消費高峰》所討論的那樣，限制電子商務(wù)發(fā)展的瓶頸仍然是安全的。電子商務(wù)安全可以分為交易信息安全和網(wǎng)上支付安全兩個方面,表現(xiàn)形式包括竊取、篡改信息,假冒合法用戶,惡意破壞系統(tǒng)等?；诟鞣N不安全因素的存在,一個安全的電子商務(wù)環(huán)境應(yīng)該具備以下條件:數(shù)據(jù)保密性:防止非授權(quán)用戶獲得并使用該數(shù)據(jù)。數(shù)據(jù)完整性:確保網(wǎng)絡(luò)上的數(shù)據(jù)在傳輸過程中沒有被篡改。身份驗證:對網(wǎng)絡(luò)上的另一個用戶進(jìn)行驗證,證實他就是他所聲稱的那個人。授權(quán)訪問:控制誰能夠訪問網(wǎng)絡(luò)上的特定信息并且能夠進(jìn)行何種操作。不可抵賴性:用戶不能抵賴自己曾做出的行為,也不能否認(rèn)曾經(jīng)接到對方的信息。為確保網(wǎng)絡(luò)交易“天下無賊”,在電子商務(wù)活動中通常會使用各種安全技術(shù),不同的安全技術(shù)所實現(xiàn)的功能有所不同。下面就帶領(lǐng)大家認(rèn)識一下這些安全技術(shù)。非對稱加密/公開密鑰加密加密技術(shù)是電子商務(wù)中采用的主要安全措施,目前加密技術(shù)分為兩種:對稱密鑰和非對稱密鑰。對稱加密是指在信息加密過程中,對信息的加密和解密都使用相同的密鑰。交易雙方的任何信息都通過這把密鑰加密后傳給對方。非對稱加密(公開密鑰加密)是指在加密過程中,密鑰被分為一對。這對密鑰中的任何一把密鑰都可以作為公開密鑰通過非保密方式向他人公開,而另一把則作為私有密鑰加以保存。公開密鑰用于對信息的加密,私有密鑰則用于對加密信息的解密。企業(yè)內(nèi)部網(wǎng)絡(luò)安全防火墻的概念起源于古老的城堡防衛(wèi)系統(tǒng)。當(dāng)時人們?yōu)榱吮Ｗo(hù)城堡的安全,在城墻的周圍挖了一條護(hù)城河,每一個進(jìn)入城堡的人都必須通過一個吊橋,接受城門守衛(wèi)的檢查。后來,在網(wǎng)絡(luò)安全中,人們借鑒這種思想,設(shè)計了一種網(wǎng)絡(luò)安全保護(hù)系統(tǒng),用于檢查所有通過企業(yè)內(nèi)部網(wǎng)與外部網(wǎng)的報文分組。防火墻技術(shù)主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng),對內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)。目前的防火墻分為兩大類,一類是簡單的包過濾技術(shù),它是在網(wǎng)絡(luò)層對數(shù)據(jù)包實施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯,檢查數(shù)據(jù)流中每個數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應(yīng)用網(wǎng)管和代理服務(wù)器,其顯著的優(yōu)點是較容易提供細(xì)顆粒度的存取控制,其可針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包進(jìn)行分析并形成相關(guān)的報告。信息傳遞的生成身份認(rèn)證基于公鑰體系的加密系統(tǒng)是按對生成的,每對密鑰由公鑰和私鑰組成。實際應(yīng)用中,公鑰是以證書性質(zhì)存放的。具體做法是:使用者將私鑰保留,而將公鑰公開。信息發(fā)送者使用信息接受者的公鑰進(jìn)行加密,此信息則只有信息接受者使用私鑰來解開閱讀;然后信息接受者使用私鑰將反饋信息加密,再傳送給信息發(fā)送者,發(fā)送者也就知道信息接受者已經(jīng)閱讀了所傳送的信息。在這一來一往中,由于私鑰的惟一性和私密性,身份認(rèn)證才得以實現(xiàn)。在身份認(rèn)證技術(shù)的應(yīng)用中,最基本而又最關(guān)鍵的問題是公鑰的分發(fā),也就是證書的分發(fā),如果證書不能得到有效安全的分發(fā),所有的上層應(yīng)用軟件就不能得到保障,解決這個問題的方法就是建立認(rèn)證機(jī)構(gòu)體系。通常的認(rèn)證機(jī)構(gòu)是被法律所認(rèn)可的可信任的第三方獨立的權(quán)威機(jī)構(gòu),由它負(fù)責(zé)發(fā)放和管理電子證書,使網(wǎng)上交易各方能互相確認(rèn)身份。它的基本功能有:接收注冊請求,處理、批準(zhǔn)/拒絕請求、頒發(fā)證書。對比發(fā)送方為配置數(shù)字簽名數(shù)字簽名是非對稱加密技術(shù)的一類應(yīng)用。它的工作原理是:報文發(fā)送方從報文文本中生成一個128位的散列值(或報文摘要),并用自己的專用密鑰對這個散列值進(jìn)行加密,形成發(fā)送方的數(shù)字簽名;然后,這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方;報文接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要),接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進(jìn)行解密。如果兩個散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可否認(rèn)性。ssl和set交易合同“協(xié)議”正如我們在現(xiàn)實社會中溝通交流所使用的語言一樣,必須基于一定的標(biāo)準(zhǔn)才能為信息的發(fā)送者和接受者所認(rèn)可。在電子商務(wù)中,資金流是一個重要環(huán)節(jié),電子貨幣最終表現(xiàn)為數(shù)字比特的流動,其本質(zhì)也是一種“信息流”。這種信息流在傳播過程中要保證不失真、不泄密、不可抵賴,才能確保支付信息的安全。目前常用的安全協(xié)議主要有兩種:SSL協(xié)議(安全套接層協(xié)議)和SET協(xié)議(安全電子交易協(xié)議)。SSL協(xié)議是由Netscape公司提出的安全交易協(xié)議,該協(xié)議主要目的是解決TCP/IP協(xié)議不能確認(rèn)用戶身份的問題,在Socket上使用非對稱的加密技術(shù),以保證網(wǎng)絡(luò)通信服務(wù)的安全性。SSL協(xié)議易于實現(xiàn)。它獨立于應(yīng)用層協(xié)議,可以完成所需的安全交易操作,主要是使用公開密鑰體制和X.509數(shù)字證書保護(hù)信息的機(jī)密性和完整性,但它不能保證信息的不可抵賴性。中國目前多家銀行均采用SSL協(xié)議,從實際使用的情況來看,SSL還是最值得信賴的協(xié)議。但是由于SSL協(xié)議當(dāng)初并不是為支持電子商務(wù)而設(shè)計的,所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端,在涉及多方的電子交易中,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。SET協(xié)議是專門為電子商務(wù)而設(shè)計的,是由美國VISA和MasterCard兩大信用卡組織聯(lián)合國際上多家科技機(jī)構(gòu),共同制定的以銀行卡為基礎(chǔ)在線交易的安全標(biāo)準(zhǔn)。它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn),主要應(yīng)用于保障網(wǎng)上購物信息的安全性。由于SET協(xié)議可以提供消費者、商家和銀行之間的認(rèn)證,確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)