电子商务安全技术分析

电子商务安全技术分析摘要：本文主要针对现在电子商务行业中存在的问题，从安全问题、安全要素、病毒与黑客防范技术、安全技术、安全电子交易等几个方面全面的阐述了电子商务的安全问题，重点分析了安全电子交易规范(SET)，并对电子商务安全的未来进行了分析。一、引言电子商务为全球客户提供丰富商务信息、快捷的交易服务和低廉交易成本的同时，也给电子商务参与的主体带来了许多安全问题。电子商务所依赖的Internet具有虚拟性、动态性、高度开放性等特点，使电子商务面临众多的威胁与安全隐患，严重制约其进一步发展和应用。目前，电子商务的安全问题已经是制约电子商务广泛应用的主要瓶颈之一，所以电子商务安全技术也成为各界关注、研究的热点。二、电子商务安全问题由于电子商务师以计算机网络为基础的，因此它不可避免面临着一系列的安全问题。一般会遇到以下的五种安全问题。2.1、信息泄露在电子商务中表现为商业机密的泄露，也就是说电子商务的数据信息在未采用加密措施情况下，以明文形式在网络上传送，攻击者在传输信道上对数据进行非法截获、监听，获取通信中的敏感信息，造成网上传输信息泄露。即使数据经过加密，但若加密强度不够，攻击者也可通过密码破译得到信息内容，造成信息泄露。2.2、信息篡改在电子商务中表现为商业信息的真实性和完整性的问题。攻击者在掌握了信息格式和规律后，采用各种手段对截取的信息进行篡改，破坏商业信息的真实性和完整性。2.3、身份识别问题如果不进行身份的识别，第三方就有可能假冒用户身份信息，利用仿冒的身份与他人交易，获取非法利益，从而破坏交易的可靠性。进行识别后就可防止“相互猜忌”的情况。2.4、病毒病毒问世二十几年来，各种新型病毒及其变种迅速增加，特别是互联网的发展，大大加速了病毒的传播，同时病毒的破坏性越来越大，严重威胁着电子商务的发展。2.5、黑客问题随着各种应用工具的传播，黑客已经大众化了，不想过去那样费计算机的高手不能成为黑客，现在只需要下载几个攻击软件并学会怎么使用，就可以互联网上大干一场，所以黑客问题也严重威胁着电子商务的发展。三、电子商务的安全要素3.1、有效性电子商务以电子形式取代了纸张，那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。3.2、机密性电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个开放的网络环境（如Internet）上的，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。3.3、完整性电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。3.4、可靠性电子商务可能直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方，这一问题则是保证电子商务顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已不可能，因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。为了满足电子商务的安全要求，电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务，主要包括：鉴别服务、访问控制服务、机密性服务、不可否认服务等。鉴别服务是对贸易方的身份进行鉴别，为身份的真实性提供保证；访问控制服务通过授权对使用资源的方式进行控制，防止非授权使用资源或控制资源，有助于贸易信息的机密性、完整性和可控性；机密性服务的目标为电子商务参与者信息在存储、处理和传输过程中提供机密性保证，防止信息被泄露给非授权信息获得者；不可否认服务针对合法用户的威胁，为交易的双方提供不可否认的证据，来解决因否认而产生的争议提供支持。四、构建安全电子商务4.1、防火墙技术要想构建安全的电子商务，必须构建防火墙。防火墙成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件，防火墙已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet间设立防火墙软件。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户，则可以通过设置使用防火墙过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和服务器向外部提供信息，那么就可以在防火墙上设置使得只有这两类应用的数据包可以通过。这对于路由器来说，就要不仅分析IP层的信息，而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。防火墙一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。4.2、加密技术数据加密技术作为一项基本技术，是电子商务的基石，是电子商务最基本的信息安全防范措施。其实质是对信息进行重新编码，从而达到隐藏信息内容，使非法用户无法获取真实信息的一种技术手段，确保数据的保密性。基于加/解密所使用的密钥是否相同可分为对称加密和非对称加密两类。对称加密的加密密钥和解密密钥相同，即在发送方和接收方进行安全通信之前，商定一个密钥，用这个密钥对传输数据进行加密、解密。对称加密的突出特点是加解密速度快，效率高，适合对大量数据加密；缺点是密钥的传输与交换面临安全问题，且若和大量用户通信时，难以安全管理大量密钥。目前常用的对称加密算法有DES、3DES、IDEA、Blowfish等。非对称加密的最大特点是采用两个密钥将加密和解密能力分开。一个公开作为加密密钥；一个为用户专用，作为解密密钥，通信双方无需事先交换密钥就可进行保密通信。而要从公开的公钥或密文分析出明文或密钥，在计算上是不可行的。若以公开钥作为加密密钥，以用户专用钥作为解密密钥，则可实现多个用户加密的信息只能由一个用户解读；反之，以用户专用钥作为加密密钥而以公开钥作为解密密钥，则可实现由一个用户加密的消息而使多个用户解读，前者可用于保密通信，后者可用于数字签字。非对称加密体制的出现是密码学史上划时代的事件，为解决计算机信息网中的安全提供了新的理论技术基础。其优点是很好地解决了对称加密中密钥数量过多难以管理的不足，且保密性能优于对称加密算法；缺点是算法复杂，加密速度不是很理想。4.3、数字认证技术数字认证是防止主动攻击的重要技术，对于开放环境中的各种信息系统的安全性有重要作用。认证的主要技术是：第一，验证信息的发送者是真的，而不是冒充的，此为实体认证；第二，验证信息的完整性，此为信息认证。数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码，这一串摘要码亦称为数字指纹（FingerPrint），有固定的长度，不同消息其摘要不同，相同消息其摘要相同。因此，摘要成为消息的“指纹”以验证消息是否“真身”，消息摘要解决了信息的完整性问题。数字签名是实现认证的重要工具。所谓数字签名就是附加在信息单元上的一些数据，或是对信息单元所作的密码变换，这种数据或密码变换允许信息接收者确认消息的来源和信息单元的完整性并保护数据防止被人伪造。其实现方式是把信息摘要和公开密钥算法结合起来。发送方从报文文本中生成数字摘要并用自己的私有密钥对摘要进行加密，形成发送方的数字签名，然后将数字签名作为报文的附件和报文一起发送给接收方；接收方首先从接收到的原始报文中计算出数字摘要，接着再用发送方的公开密钥来对报文附加的数字签名进行解密。若两个摘要相同，则接收方能确认该数字签名是发送方的。通过数字签名能实现对原始报文的鉴别与验证，保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字证书与CA。数字签名中最麻烦的问题是接收方往往无法确认自己得到的公钥确实是发送方的，因此必须将公钥与拥有者做紧密结合才可防止假冒与欺骗发生，数字证书系统是使用最广泛的解决方法。数字证书是由CA（CertificateAuthority）发放的，利用电子手段来证实一个用户的身份及用户对网络资源的访问权限。包括用户的姓名、公共密钥、公共密钥的有限期、颁发数字证书的CA、数字证书的序列号以及用户本人的数字签名。它是电子商务交易双方身份确定的惟一安全工具。认证中心CA是承担网上安全交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。4.4、安全套接层（SSL）协议目前电子商务中有多种安全体制可以保证电子商务交易的安全性，其中SSL是电子商务安全中两个最重要的协议之一。SSL（S电子商务ureSocketsLayer）安全协议最初由NetscapeCommunication公司设计开发，又称“安全套接层协议”，是指通信双方在通信前约定使用的一种协议方法，该方法能够在双方计算机之间建立一个秘密信道，凡是一些不希望被他人知道的机密数据都可以通过公开的通路传输，不用担心数据会被别人偷窃。SSL安全协议能够对TCP/IP以上的网络应用协议数据流加密。SSL协议只负责端到端的安全连接，只保证信息传输过程中不被窃取、篡改，但不提供其他安全保证，因而SSL实质上仅仅提供对浏览器和服务器的鉴别，不能细化到对商家和客户的身份认证，这个缺陷会导致交易的假冒欺诈行为出现，又由于SSL协议早已嵌入Web浏览器和服务器，使用方便，因此对进行电子商务交易的广大用户而言，SSL使用非常方便，这是其优点。4.5、安全电子交易（SET）协议SET（S电子商务ureEl电子商务tronicTransaction）协议也称为“安全电子交易”，由MasterCard、Visa、IBM以及微软等公司开发，是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。SET协议提供了强大的验证功能，凡与交易有关的各方必须持有合法证书机构发放的有效证书，SET不仅具有加密机制，更重要的是通过数字签名、数字信封等实现身份鉴别和不可否认性，最大限度地降低了电子商务交易可能遭受的欺诈风险。但是由于SET是基于信用卡进行电子交易的，因此中间环节增加了CA与银行、用户与银行之间的认证，从而提高了软硬件的环境要求，也增加了交易成本。五、电子商务未来安全的展望随着电子商务的不断发展，电子交易手段将更加多样化，安全问题会变得更加重要和突出。安全是电子商务的核心和灵魂，在发展电子商务的道路上，最受重视并使其放慢速度的也正是安全问题。安全是一个“相对的”词汇，电子商务的发展促使对安全技术进行不断探索研究和开发应用，以建立一个安全的商务环境。目前，电子商务也有许多新技术的提出，但尚未能形成一个有效的、安全的电子商务安全系统，这需要加大力度来研究和发展信息安全保密技术。电子商务的发展促使人们对安全技术进行不断探索研究和开发应用，以建立一个安全的商务环境。要保证电子商务安全可