電子商務中信息安全技術的探討

夏玲軍

[摘要]從網絡安全和網上交易兩個方面介紹相關的信息安全技術,即防火墻技術,入侵檢測技術,網絡反病毒技術,虛擬專用網技術,數據加密技術,數據簽名技術,數字證書和認證機構以及安全協議等,通過他們來保障電子商務活動的安全。

[關鍵詞]電子商務信息安全技術數據加密技術數據簽名

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0820042-01

一、引言

隨著網絡、通信技術的飛速發展,電子商務已經成為經濟全球化的助推器,它給世界范圍的商務交易帶來了新的契機。而電子商務在提高商務效率、降低商務交易成本的同時,安全問題也就如影隨形而至。因此,建立一個安全可靠的電子商務應用環境,已經成為影響到電子商務發展的關鍵性課題。下面就網絡安全和網上交易兩方面相關的信息安全技術做些具體的介紹。

二、網絡安全技術

網絡安全是電子商務的基礎,一個完整的電子商務系統應建立在安全的網絡基礎設施之上。

(一)防火墻技術

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關(Sec

urity Gateway),從而保護內部網免受非法用戶的侵入。防火墻對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。典型的防火墻具有以下三個方面的基本特性:1.內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻。2.只有符合安全策略的數據流才能通過防火墻。3.防火墻自身應具有非常強的抗攻擊免疫力。防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成,實際應用時常采用兩級的安全機制,即第一級由包過濾路由器承擔,第二級由防火墻承擔。

(二)入侵檢測技術

入侵檢測技術可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測方法很多,如基于專家系統入侵檢測方法、基于神經網絡的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。由于傳統的操作系統加固技術和防火墻隔離技術等都是靜態安全防御技術,對網絡環境下日新月異的攻擊手段缺乏主動的反應。具體實施時,可將網絡入侵檢測系統與防火墻的功能結合構建安全網絡。

(三)網絡反病毒技術

在網絡環境下,雖然可以通過各種防衛技術保護網絡安全,但病毒的入侵是不可避免的,因此,反病毒技術是網絡安全建設中重要的一環。網絡反病毒技術包括預防病毒、檢測病毒和殺毒等3種技術。實際應用時,還應根據具體網絡系統結構特點進行一體化的安排,如根據客戶機-服務器所用操作系統選擇或設計不同的反病毒軟件、在網絡通信卡中插入專門反病毒芯片、檢查可能通過網絡傳輸的帶病毒文件等。例如現在流行的各種殺病毒軟件,主要有瑞星殺毒軟件、金山毒霸殺毒軟件、趨勢殺毒軟件等都具備預防、檢測、殺毒等功能。

(四)虛擬專用網(VPN)技術

VPN是用于Internet交易的一種專用網絡,它可以在兩個系統之間建立安全的隧道。在VPN中,雙方的數據通信量要大得多,而且通信的雙方彼此都很熟悉。這就可以使用復雜的專用加密和認證技術,只要通信的雙方默認即可。拔號VPN使用隧道技術使遠程訪問服務器把用戶數據打包到IP信息包中,這些信息通過電信服務商的網絡進行傳遞,在Internet中要穿過不同的網絡,最后到達隧道終點。然后拆數據包,轉換成最初的形式。隧道技術使用點對點通信協議代替了交換連接,通過路由網絡來連接路由地址,這代替了電話交換網絡使用的電話號碼連接,允許授權移動用戶或已授權的用戶在任何時間任何地點訪問企業網絡。這種方式在保證網絡的安全性方面是非常有用的。

三、電子商務網上交易中的信息安全技術

網絡安全只是實現電子商務的基礎,電子商務發展的核心和關鍵問題是交易的安全性。目前主要采用以下幾種技術措施來解決網上交易中信息安全問題。

(一)數據加密技術

數據加密技術是保證網絡信息安全最常用和最重要的一種技術。數據加密是數據的一種置亂變換法則,他可以確保非授權人無法解讀被加密的數據,同時也可以實現數據完整性、真實性的鑒別,另外可以根據需要保證數據傳輸的不可否認性。數據加密還原的過程則稱為解密,數據加、解密過程是由算法來具體實施的。在加密技術中,基于密鑰的加密算法不同可以分為兩類:對稱加密技術和非對稱加密技術(公開密鑰加密)。最有影響的對稱加密技術是數據加密標準DES算法和新一代數據加密標準AES算法,非對稱加密技術的加密算法主要有RSA算法和橢圓曲線密碼算法ECC算法。

DES綜合運用了置換、代替、代數等多種密碼技術,其設計精巧,密鑰的長度僅56bit,適合軟硬件實現;DES加密速度快,適合加密較長明文;DES使用16輪迭代,每一輪都將把明信息擴散到密文,完全引起了足夠的擴散,因此56bit的密鑰基本上是安全的。但是,由于DES采用的是單密鑰體制,在密鑰管理方面,算法要求通信前對密鑰進行秘密分配,密鑰的更換困難,所以對不同的通信對象,需產生和保管不同的密鑰。

RSA算法是第一個能同時用于加密和數字簽名的算法,是被研究得最廣泛的公鑰算法。從提出到現在已近二十年,經歷了各種攻擊的考驗,逐漸為人們接受,普遍認為是目前最優秀的公鑰方案之一。RSA的安全性依賴于大數的因子分解,它的缺點主要有:產生密鑰很麻煩,受到素數產生技術的限制,因而難以做到一次一密;分組長度太大,為保證安全性,n至少也要600 bits以上,使運算代價很高,尤其是速度較慢,較對稱密碼算法慢幾個數量級。

目前主流的數據安全傳輸方案是一種基于DES和RSA的混合加密方案。比如:利用DES來加密信息,而采用RSA來傳遞對稱加密體制中的密鑰。

(二)數字簽名技術

它是公開密鑰加密技術的一種應用,是指發送方將要傳送的明文(原

始的信息)通過一種函數運算(Hash)轉換成報文摘要,這樣不同的明文對應著不同的報文摘要,報文摘要再用發送方的私有密鑰加密后與明文一起傳送,合成為數字簽名。接受方將接受的明文產生新的報文摘要與發送方的發來報文摘要解密比較,比較結果一致則表示明文未被改動,如果不一致表示明文已被篡改。其作用就是能夠實現對原始報文的鑒別與驗證,保證報文的完整性、權威性和發送方對所發報文的不可抵賴性。數字簽名根據不同的要求,可分為秘密密鑰的數字簽名、公開密鑰的數字簽名、只需確認的數字簽名、數字摘要的數字簽名、電子郵戳、數字憑證等多種方式。

(三)數字證書和認證機構

數字證書作為網上交易雙方真實身份證明的依據,其用途是利用公共密鑰加密系統來保護與驗證公眾的密鑰。

數字證書頒發過程一般為:用戶首先產生自己的密鑰對,并將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份后,將執行一些必要的步驟,以確信請求確實由用戶發送而來,然后,認證中心將發給用戶一個數字證書,該證書內包含用戶的個人信息和他的公鑰信息,同時還附有認證中心的簽名信息。用戶就可以使用自己的數字證書進行相關的各種活動。

數字證書由可信任的、公正的權威機構CA頒發。CA即人證中心,是專門簽發數字證書的機構,是普遍可信的第三方。

(四)安全協議

目前電子商務中有兩種安全認證協議被廣泛使用,即安全插口層SSL協議和安全電子事務SET協議。

1.安全插口層(SSL)協議。安全插口層協議是由Netscape公司1994年設計開發的安全協議,主要用于提高應用程序之間的數據的安全系數。SSL采用了公開密鑰和專有密鑰兩種加密:在建立連接過程中采用公開密鑰;在會話過程中使用專有密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。目的是為用戶提Internet和企業內聯網的安全通信服務。

2.安全電子事務(SET)協議。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET使用多種安全技術來達到安全支付的要求,其中對稱密鑰技術、非對稱加密技術和Hash算法是核心。SET協議通過制定標準和采用各種技術手段,解決了當時困擾電子商務發展的安全問題。由于得到了很多大公司的支持,它已形成了事實上的工業標準,已獲IETF標準認可。

SET和SSL除了都采用RSA公鑰算法以外,二者在其他技術方面沒有任何相似之處。而RSA在二者中也被用來實現不同的安全目標。

參考文獻:

[1]李明柱,電子商務安全技術[M].北京:北京航空航天出版社,2003.

[2]張明光、魏琦,電子商務安全體系的探討[J].計算機工程與設計,2005,26.2:394-396.

[3]盧新德,構建信息安全保障新體系[M].北京:中國經濟出版社,2007.

[4]陳克非、黃征,信息安全技術導論[M].北京:電子工業出版社,2007.

[5]林楓,電子商務安全技術及應用[M].北京:北京航空航天大學出版社,2001.