电子商务中的信息安全技术
摘要:安全问题是电子商务的主要问题,本文钟对电子商务活动中存在的信息安全隐患问题,主要介绍了实施保障电子商务信息安全的防火墙技术、数据加密技术、身份验证技术等技术性措施。 关键词:电子商务 信息安全 计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。针对计算机网络的安全,常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术等。交易信息的安全是可以用数据加密、数字签名、数字证书、ssl、set安全协议等技术来保护。下面就防火墙技术、数字加密技术、身份验证技术等进行介绍。
1,防火墙技术
目前的防火墙主要有两种类型。其一是包过滤型防火墙。它一般由路由器实现,故也被称为包过滤路由器。其二是应用级防火墙。大多数的应用级防火墙产品使用的是应用代理机制,内置了代理应用程序,可用代理服务器作内部网和Internet之间的的转换。
防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强Intranet《内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:(1)过滤进、出网络的数据:
(2)管理进、出网络的访问行为:
(3)封堵某些禁止行为:
(4)记录通过防火墙的信息内容和活动:
(5J对网络攻击进行检测和告警。
防火墙虽然能对外部网络的功击实施有效的防护,但对来自内部网络的功击却无能为力。网络安全单靠防火墙是不够的,还需考虑其它技术和非技术的因素。
2,反病毒技术
反病毒技术包括与防病毒、检测病毒和消毒三个环节,反病毒必须做到“以预防为主“,正所谓”防患于未然”,等病毒出现了再去清除,可能已经给用户造成了巨大的损失<优麦电子商务论文>。
3,数据加密技术
加密技术是保证电子商务中采用的主要安全措施,交易双方可根据需要在信息交换阶段使用。加密技术的主要问题是加密方式及实现加密的网络协议层和密钥的分配及管理。在一个加密过程中有两个基本元素:算法和密钥。加密过程就是根据一定的算法,将可理解的数据(明文}与一串数字(密钥)相结合,从而产生不可理解的密文的过程,主要加密技术是:
(1)常规密钥密码加密。所谓常规密钥密码加密,即加密密钥与解密密钥是相同的。在早期的常规密钥密码体制中,典型的有代替密码,其原理可以用一个例子来说明:字母A,B,C,D,…,W,X,Y,Z的自然顺序保持不变,但使之与D,E,F,G,…,Z,A,B,C分别对应(即相差3个字符)。若明文为WELL则对应的密文为ZH00(此时密钥为3)。但存在几个问题:第一,不能保证也无法知道密钥在传输中的安全。若密钥泄漏,黑客可用它解密信息,也可假冒一方做坏事。第二,假设每对交易方用不同的密钥,N对交易方需要N’(N一1),2个密钥,难于管理。第三,不能鉴别数据的完整性。
(2)对称密文加密。对称密钥加密又称为秘密密钥加密,即收发双方采用相同的密钥来进行加密和解密。对称密钥加密的最大优点是加解密速度快,适合于进行大量数据加密,但也存在密钥管理、发布困难以及无法进行身份鉴别的缺点。
(3)非对称密钥加密。非对称密钥加密也称为公开密钥加密,每个用户有一对密钥:一个用于加密,一个用于解密,两把密钥实际上是两个很大的质数。其中,加密密钥(公钥)可以在网络服务器、报刊等场合公开,而解密密钥(私钥)则属用户的私有密钥,由公开的加密密钥导出私有的解密密钥在技术上是不可实现的。与对称密钥加密相比,采用非对称密钥加密方式密钥管理较方便,且保密性比较强,但加解密实现速度比较慢,不适用于通信负荷较重的应用。
具体加密传输过程如下:
a发送方甲用接收方乙的公钥加密自己的私钥。
b发送方家用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方。
c接收方乙用自己的私钥解密,得到甲的私钥。
d接收方乙用甲的公钥解密,得到明文。
在密钥的加密过程中,由于发送方甲用乙的公钥加密了自己的私钥,如果文件被窃取,由于只有乙保管自己的私钥,黑客无法解密。这就保证了信息的机密性。另外,发送方甲用自己的私钥加密信息,因为信息是用甲的私钥加密,只有甲保管它,可以认定信息是甲发出的,而且没有甲的私钥不能修改数据。
4,身份验证技术 仅有加密技术不足以保证电子商务中的交易安全,身份认证技术是保证电子商务安全不可缺少的又一重要技术手段。
(1)认证系统。网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证,用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做Certificate Authority,通常简称为CA。要建立安全的电子商务系统,首先必须建立一个稳固、健全的CA,否则,一切网上的交易都没有安全保障。
(2)SSL协议。SSL协议{Secure Socket Layer,安全套接层)主要目的是解决TCP/IP协议不能确认用户身份的问题,在Socket上使用非对称的加密技术,以保证网络通信服务的安全性。SSL协议易于实现。SSL协议还是最值得信赖的协议。但是由于SSL协议当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。
(3)SET协议。SET(Secure <优麦电子商务论文>EIectronic Transaction)安全电子交易协议是用于Internet上的以信用卡为基础的电子支付系统协议。主要应用于B/C模式中保障支付信息的安全性。SET协议提供对消费者、商户和银行的认证,协议本身比较复杂,设计比较严格,安全性高,确保电子交易的机密性、数据完整性、身份的合法性和抗否认性,特别是保证了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
5,电子商务系统的安全管理制度
电子商务系统的安全管理制度尤为重要,它是用文字形式对各项安全要求所作的规定,它是保证网络营销取得成功的重要基础工作,是网络交易人员应该而且必须遵守的规范和准则。任何电子商务系统都要制定一套完整、适用于自身的安全管理制度,这些制度应该包括人员管理制度、保密制度、系统维护制度、数据备份制度、应急措施和病毒防治制度等。
6,结束语
随着Internet逐渐发展成为电子商务的最佳载体,互联网具有充分开放,不设防护的特点使加强电子商务的安全问题日益紧迫,只有充分信任的安全保障制度,确保信息的真实性、可靠性和保密性,才能够打消人们的顾虑,放心的参与电子商务。否则,电子商务的发展将失去其支撑点。
来源:网络
|