信息安全技术之电商安全

网络技术的本质是信息的共享。现如今，网络的发展使世界变得越来越小，门类的交往越来越密切。在人类共享网络技术的利益只是，相伴而来的信息安全问题也日渐突出。伴随信息技术的普及与推广，人们已经清楚的认识到，在发展信息网络技术的同时，做好网络安全方面的理论研究与技术开发尤为重要。那再这里，我以现在网络流行的电商作为一个典型例子，来谈谈电商网络信息安全的一些个人想法和理解。为大多数人所追崇和热捧的“双十一”大促在即，卖家家们紧锣密鼓地开始筹划整体活动。而这样的电商运营模式在中国，确实取得了相当大的成效。那么首先我简单介绍一下什么是电商。电商即电子商务运营（ElectronicCommerceOperation），它是网络营销的一种，借助因特网在网站上推广从而达到营销目的的一个平台。简而言之，就是在淘宝、天猫、京东商城等一系列的网络卖家与买家之间建立起来的一个信誉交易平台。我们都知道，在登陆购物网页是需要登录账号、输入密码，并且在买家与卖家达成一致条件进行交易是，也需要买家输入银行卡账号、密码等个人的重要安全信息。交易的安全性是否能够得到保证是电子商务的核心问题，首先我先带大家了解一下电子商务支付中的安全隐患：1）信息泄露：资金被盗或者企业商业机密被窃取等损失。2）信息被篡改：支付过程中传输的信息如支付宝金额、收款账号等信息被篡改。3）无法判断交易方是谁：买家付款，收不到卖家的货；卖家发货，收不到买家的钱。4）某交易方抵赖：如遇到交易对自己不利的情况可能出现抵赖的情形，所有文件都是电子形式，防止抵赖的难度大大加大。因此，电子商务安全支付迫在眉睫，进而也就出现了与之对应的电子商务安全支付技术体系：那么，我们对这个安全支付技术体系有什么样的要求呢？1）信息保密性（信息加密技术）：交易中的商务信息由保密的要求。2）信息完整性（验证技术：数字摘要、数字时间截）：交易的文件是不能够被修改的。3）不可否认性（数字签名）：确保通信和交易双方无法对已进行的业务进行否认。4）信息源鉴别（数字证书和CA认证中心）：帮助数据接收方确认数据源自特定的用户。那么接下来，我们就分别来了解一下保证安全支付的这几项技术：一、信息加密技术：就是将原来大家可以理解的信息与一个特殊的字符串结合，按照一定的规则进行运算，变成不可理解的信息。信息加密，实际上就是将信息的真实内容隐藏起来。它是电子支付过程中常用的加密技术。信息加密技术主要有以下三种加密方法：（1）私有密钥加密法（对称密钥加密法）：就是通信双方，通过互联网传输信息时，发送方通过密钥A对信息进行加密，并将生成的密文发送给接收方，接收方通过相同密钥A对密文解密，得到信息明文。私有密钥加密在有使用便捷、加密和揭秘速度快、效率高的特点，同时也有不足之处，密钥管理比较困难，无法确认发送方身份（一个n个用户的网络就需要n（n-1）/2个私有密钥）。下面是这种加密法的原理图。（2）公开密钥加密法（不对称密钥加密法）：就是通信双方通过互联网传输信息时，发送方通过密钥A对信息进行加密，将生成的密文发送给接收方，接收方通过另一个密钥B对密文解密，得到信息明文。密钥Ahead密钥B是不相同的，密钥A由发送方私人保管，叫私人密钥，私人密钥和用户的身份是关联的；密钥B对网上的部分或者所有用户都是公开的，叫做公开密钥，是通过数字证书等方式散发给网络上其他接收信息的用户。公开密钥的优点：密钥管理简单，可以确认发送方身份。对于一个n个用户网络来说，只需要2n个密钥就可以达到密钥。缺点：加密解密速度慢，只适合在数据量较小的信息加密解密过程中。公开密钥加密发花费时间可能是私有密钥加密法的100倍。下面是这种加密法的原理图。（3）数字信封技术：是利用信息加密技术，保证只有规定的接收方才可以阅读信息内容的一种安全手段。数字信封技术是私有密钥加密法和公开密钥加密法二者结合的产物。下面是它的原理示意图。在这里，我需要详细介绍一下密钥加密技术：1.密钥的长度：是根据信息价值的大小、信息保密期的长短等因素来决定，信息价值越保密期越长则要求密钥长度越长，反之越短。三十密钥长度越长，对信息进行加密和解密所进行的计算复杂度也越高，对计算机的要求也越高，使用者所需要付出的成本也越高。因此，对密钥长度的选择需要综合考虑信息价值、保密度、成本等因素。2.密钥分配：密钥分配必须有安全的通道进行分配。现在一般使用自动分配密钥的机智，来提高密钥分配的效率和安全性，密钥分配协议是目前使用比较多的一种手段。公开密钥的分配一半不需要有保密的通道，它主要通过公开告示、公开密钥目录、公开密钥管理机构、携带公开密钥的数字证书等几种方式来分配。3.密钥的分配：4.密钥的更新和销毁：密钥使用时间越长，被破解的可能性越大，必须顶起更新密钥。密钥定期更新后，要对旧密钥进行安全销毁。对于消费者来说，仅仅是动动鼠标，在键盘上输入几个数字，即完成了一笔电子支付。在这背后正是有加密密钥这看不见的安全卫士，保障着消费者们的支付安全。无论消费者使用的是哪一家银行的网银，或者使用支付宝这样的第三方电子支付平台提供的服务，在第一次使用时，都会自动下载和安装一个相关度安全控件，这个小程序可以保护消费者避免恶意程序的攻击，它可以切断键盘才做个木马病毒之间的通道，更好地保护用户的信息安全。然后就是输入用户名和密码，或者是输入信用卡卡号和密码。在这一步，数据加密协议就开始发挥作用。像支付宝交易数据的传输中，信息都受到加密密钥长度128位的高强度加密。这就是说，用户登录并通过身份认证后，用户和服务方之间在网络上传输的所有数据，全部用会话密钥加密，知道用户退出系统为止。并且，每次绘画所使用的会话密钥是随即前生的。因此，攻击者就不可能从网络上的数据流中得到任何有用的信息。另外，还有一些恶意程序的通过不断试算登陆密码的方法来猜测网银用户的账户和密码。所以现在在所有银行或者是中国铁路的交易页面，我们都可以看到一张图片，要求消费者输入图片上的数字和字母，这就是图形验证码。图形验证码通过只能由肉眼识别的异形图文对登陆进行再次验证，有效防止非法程序读取信息。二、验证技术：密钥简单：使用者记住密钥，在需要的时候输入即可。密钥复杂：讲密钥存储在磁条卡、智能卡中，这些卡都需要特殊的腹泻设备，使用者使用密钥时只需要将卡插入读写设备即可自动调用。三、数字签名技术：四、数字证书技术与认证中心：五、电子商务支付应用中的安全协议：总结：电子商务的发展是很迅猛的，现在中国的电子商务网站很多，但是一几家为主，基本占据电子商务大半壁江山，21世纪是信息化的世界，如何寻找信息，分心信息，利用信息已经成为一种技能，我们正向一个信息交换信息的时代走来，电子商务已经颠覆了很多的传统行业，所以我们不得不适应和应对这种改变。目前电子商务安全技术经过不断发展已经形成了较为完善的安全体系，并且在电子商务实务中得到了广泛的应用。然而，不可否认还存在一些问题有待解决，电子商务的安全运行必须从多方面入手，仅在技术角度防范是远远不够的。安全是相对的，不可能绝对的，因此电子商务安全问题的有效解决除了技术上的防范措施以外，还要从商业道德和个人的思想道德以及法律约束等方面加强教育和管理，所以为进一步促进电子商务体系的完善和行业的健康快速发展，必须在实际运用中解决电子商务中出现的各类问题，使电子商务系统在技术防范措施上和商业道德上等方面都相对更安全。我们应逐步完善是电子商务使其能更好的为大众服务。随着电子商务和金融电子化的日益成熟和不断发展，对网络支付的要求也更加严格。虽然网络支付工具随着技术的变化层出不穷，但网络支付并不是非常成熟，只有加强电子支付的安全保障，建立起电子支付业的统一行业规范，完善电子支付的法律体系，才能使我国的电子商务和电子支付具有更强的生命力，在我国经济建设中发挥更大的作用。电子支付的安全问题是多学科之间相互渗透、相互交叉和相互关联的，安全技术可以说是网络技术中较为尖端的技术，都是非常先进的技术手段；只要运用得当，配合相应的安全管理措施，基本能够保证电子商务中网络支付的安全；但不是100％的绝对安全，而是相对安全。随着网络安全技术的进步与信用机制的完善，网络支付定会越来越安全。①《电子商务安全与支付》人民邮政出版社，韩宝明；②《电子商务知识与技术》中国商业出版社，杨振宇；③《网络信息安全技术》先电子科技大学出版社，周全明等。