随着互联网技术的蓬勃发展,电子商务得到了越来越广泛的应用。如何保证电子商务的安全,成为是其未来发展的关键所在。本文简单介绍了当前电子商务面临的主要安全威胁,分析安全要素,并提出相应的安全技术和管理要求。
电子商务作为一种商务模式,在近年获得了巨大发展,慢慢成为一个新的经济增长点。涉及到的参与者大致有:政府G、企业B、消费者C和企业雇员E,B2B/B2C/C2C等都是电子商务应用的一种表现形式,但由于电子商务是建立在高度开放的因特网平台之上,相关的信息处理都在网络上进行,这种开放性使得电子商务在安全方面存在先天不足。安全性也成为决定电子商务进一步发展的关键所在,是各界高度关注和研究的热门问题。
1.电子商务的安全威胁
电子商务的活动是在一个开放、虚拟的场所进行的,容易受到黑客的攻击,也会由于系统内部人员的不规范使用和恶意破坏使网络信息系统遭到破坏,泄露信息,从而造成极大的损失,一般来讲普遍存在以下几种隐患。
1 信息截获:攻击者可能通过截收装置,截获机密信息,推断出有用信息,如消费的银行帐号、密码等。
2信息破坏:交易信息在传输的过程中,被他人非法修改、删除或重改,使信息失去了真实性和完整性。
3 假冒身份:第三方可能假冒交易一方的身份介入交易过程,以破坏交易、破坏一方的信誉或盗取交易成果等。
4恶意破坏:攻击者可能接入网络,进而对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜人网络内部,造成非常严重的后果。
5病毒:病毒是独特的设计的计算机程序,它可以复制自身,并感染计算机。当网络上的一台计算机被感染时,网络上的其他计算机就非常有可能感染到这种病毒。
6黑客:黑客利用自己在计算机方面的高超技能,对网络中的一些重要信息进行修改、伪造,造成重大的经济损失和极为恶劣的影响。
2.电子商务的安全要素(需求)
电子商务威胁的出现导致了对电子商务安全的需求,主要包括有效性、机密性、完整性、认证性、不可抵赖性、匿名性以及原子性。
1有效性
保证信息的有效性是开展电子商务的前提,一旦签订交易,这项交易就应得到保护以防止被篡改或伪造。接收方可以证实所接收的数据是原发送方发出的;而原发送方也可以证实只有指定的接收方才能接收。
2 机密性
维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过对传输的信息进行加密处理来实现。
3 完整性
电子商务系统信息存储必须保证正确无误, 贸易双方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易双方信息的完整性是电子商务的基础。
4 认证性
由于网络电子商务交易系统的特殊性,企业或个人的交易通常都是在虚拟的网络环境中进行,所以对个人或企业实体进行身份确认成了电子商务中很重要的一环。要使交易成功,首先要能确认对方的身份。
5 不可抵赖性
交易一旦达成,原发送方在发送数据后就不能抵赖,接收方接到数据后也不能抵赖。
6 匿名性
电子商务系统应确保交易的匿名性,防止交易过程被跟踪,保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体,确保合法用户的隐私不被侵犯。
7 原子性
原子性是把整个支付协议(一般包括初始化阶段、订购阶段、支付阶段、清算阶段等)看作一个事务,保证要么全部执行,要么全部取消。原子性是用来规范电子商务中的资金流、信息流和物流的。
3.电子商务的安全技术
由于电子商务是基于网络的商务模式,其内容包括两个方面1:是电子方式; 2:是商务活动。因此电子商务安全的技术主要是保证这两方面的安全:网络安全和商务安全。
4.1 网络安全
电子商务各种交易活动是在网络上实现的,但网络本身存在很多的不安全因素。经过多年的发展,目前网络安全技术主要有:防火墙技术、入侵检测技术。
4.11防火墙技术
防火墙技术是一种防止外部网络用户以非法手段进入内部网络访问内部网络资源、保护内部网络操作环境的特殊网络互联设备。其基本功能是根据各种安全策略的要求,对未经授权的访问和数据传递进行筛选和屏蔽,保护内部网络数据的安全。目前防火墙技术主要有:包过滤型、代理服务型和复合型三种。当然防火墙也有自己的局限:它能防范来自外部的攻击,但不能对绕过防火墙的内部攻击提供保护。
4.12入侵检测技术
入侵检测技术就是在计算机网络系统中设置若干个关键点来收集信息,并将信息传送到检测系统进行分析,以判断网络中是否有非法入侵行为,若发现入侵,会及时反应,包括切断网络连接,记录事件和报警等,以保证资源不被非法使用和访问。
4.2 商务安全
电子商务安全技术中另一方面商务安全亦即交易安全,是整个安全技术的核心,其功能是在网络安全的基础上确保电子商务过程的顺利进行, 实现电子商务各个安全要素(需求)。主要的技术有:加密技术、认证技术。
4.21 加密技术
加密技术是电子商务最基本的安全措施,是保护信息安全的主要手段之一,所谓的加密技术是基于数学算法的程序和保密的密钥对信息进行编码,生成难以理解的字符串。按照密钥加密算法的不同,通常将加密算法分为两类:对称密钥加密和非对称密钥加密。
1)对称密钥加密:又称秘密密钥或单密钥加密,在加密、解密运算时用的是同一把密钥,即所谓的“一把钥匙开一把锁”。 对称密加密的安全性依赖于密钥,泄露密钥就意味着任何人都能对消息进行加/解密。其优点是使用简单,加密解密速度快,适合于大量信息的加密。缺点是不能保证密钥在传输中的安全,也不能鉴别信息的完整性。目前常用的对称加密算法有DES、PCR、IDEA、3DES等等。
2)非对称密钥加密:又称公开密钥加密。与对称加密不同,非对称加密的密钥分为两部分:公钥和私钥,两者构成一个密钥对,公钥对外公开,私钥由私钥发布者保存。客户可以用商户的公钥对发送的信息进行加密,安全地传送到商户,然后由商户用自己的私钥进行解密。非对称密钥加密技术解决了密钥的发布和管理问题,通信双方可以安全地确认对方身份和公开密钥,提供通信的可鉴别性,也保证了信息的不可抵赖性。目前非对称加密算法主要有RSA、DSA、PKCS、PGP等。
4.22认证技术
基本的加密技术不足以完全保证电子商务中的交易安全,认证技术是保证电子商务安全不可缺少的重要技术手段。认证技术是防止交易信息被篡改、删除、重复和伪造的一种有效方法,主要有数字签名、数字证书、数字时间戳、数字摘要等技术。
1) 数字签名:它的主要过程:首先报文的发送方从报文文本中生成一个128或160位的散列值,发送方用自己的专用密钥(秘密密钥)对这个散列值进行加密,以形成自己的数字签名,然后这个数字签名将作为报文的附件和报文一起发送给接收方。接收方首先从收到的原始报文中计算出128位的散列值,再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对所发报文的鉴别和不可否认性,可以解决伪造、抵赖、冒充、篡改等问题。
2)数字证书:在交易支付过程中,参与各方必须利用认证中心(CA)签发的数字证书来证明各自的身份。所谓数字证书,就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。数字证书的内容包括用户的公钥、用户姓名、发证机构的数字签名及用户的其他信息。能够起到标识贸易方的作用,是目前广泛采用的技术之一。
3)数字时间戳:在电子商务中,需对交易文件的日期信息采取安全措施,而数字时间戳服务(DTS)就可提供电子文件发表时间的安全保护,DTS是网络安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档,包括需加时间戳的文件的摘要、DTS收到文件
的日期和时间和DTS的数字签名三个部分。
4) 数字摘要:数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码,不同的明文摘要成密文,其结果总不相同,相同的明文摘要则一致。因此解决了电子商务交易中信息的完整性问题。
5)数字信封:在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开得到的信息,这样就保证了数据传输的真实性和完整性。
6)认证中心CA:在电子商务系统中数字证书的发放需要有一个具有权威性和公正性的第三方认证机构来承担,认证中心CA正是这样的一个受信任的第三方专门检验交易双方的身份。验证的方法是接受个人、商家、银行等涉及交易的实体申请数字证书,核实情况,批准或拒绝申请,颁发数字证书。
电子商务安全技术并不限于以上所提到的,还有很多其它技术,如物理安全措施、虚拟专用网(VPN)等。实际应用中应将各种技术结合起来,以最大限度地提高电子商务的安全性。但电子商务的安全运行,仅从技术角度防范是远远不够的,还必须在加强安全管理的同时健全信用体系,完善法律保障,以确保和促进电子商务健康的发展。
转载本文请注明出处,现代商业杂志 http://www.ltbka.com