(1.内蒙古自治区审计厅 计算中心;2.呼和浩特职业学院 计算机信息学院, 内蒙古 呼和浩特 010000)
摘 要:文章就目前主要采用的几种电子商务安全技术及 相关标准规范进行了介绍。
关键词:电子商务;商务模式;网络安全
中图分类号:TP309 文献标识码:A 文章编 号:1007—6921(2008)21—0048—01
随着互联网的全面普及,基于互联网的电子商务也应运而生,并在近年来获得了巨大的发展 ,成为一种全新的商务模式,这种电子商务模式对管理水平、信息传递技术都提出了更高的 要求,其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电子商务应用环境 ,对信息提供足够的保护,是商家和用户都十分关注的话题。安全问题已成为电子商务的核 心问题。
考虑到安全服务各方面要求的技术方案已经研究出来了,安全服务可在网络上任何一处加以 实施。所实施安全的等级则是在均衡了潜在的安全危机、采取安全措施的代价及要保护信息 的价值等因素后确定的。这里将介绍EC应用过程中主要采用的几种安全技术及其相关标准规 范。
1 防火墙技术
1.1 防火墙定义
防火墙是在内部网与外部网之间实施安全防范的系统,可被认为是一种访问控制机制,用于 确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。实现防火墙技术的 主要途径有:数据包过滤、应用网关和代理服务。
1.2 包过滤技术
包过滤技术是在网络层中对数据包实施有选择的通过,依据系统内事先 设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的 T CP/ UDP端口与 TCP链路状态等因素来确定是否允许数据包通过。包过滤的核心是安全策略 ,即过滤算法的设计。包过滤技术速度快、实现方便,但审计功能差。过滤规则的设计存在 矛盾关系,过滤规则简单时安全性差,过滤规则复杂则管理困难。
1.3 应用网关技术
应用网关技术是建立在网络应用层上的协议过滤,它针对特别的网络应 用服务协议,即数据过滤协议,能够对数据包分析并形成相关的报告。应用网关对某些易于 登录和控制所有输入输出的通讯环境给予严格的控制,以防有价值的程序和数据被窃取。
1.4 代理服务技术
代理服务作用在应用层,用来提供应用层服务的控制。这种代理服务准 许网络管理员允诺或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是 通过特定的逻辑判断来决定是否允许特定的数据包通过的,一旦判断条件满足,防火墙内部 网络的结构和运行状态便暴露在外来用户面前,从而引入了代理服务的概念。这一技术使防 火墙内外计算机系统应用层的链接由两个终止干代理服务的链接未实现。这就成功地实现了 防火墙内外计算机系统的隔离。同时,代理服务还具有实施较强的数据流监控、过滤、记录 和报告等功能。
2 加密技术
加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。
2.1 对称加密/对称密钥加密/专用密钥加密
在对称加密方法中,对信息的加密和解密都使 用相同的密钥。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专 用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。
2.2 非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即一把公开密钥 或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密 钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用 于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易 方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。
3 密钥管理技术
3.1 对称密钥管理
对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双 方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止 密钥泄密和更改密钥的程序。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得 简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。由于对每 次信息交换都对应生成了唯一一把密钥,因此各贸易方就不再需要对密钥进行维护和担心密 钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易,而不会 影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安 全途径。
3.2 公开密钥管理/数字证书
交易双方之间可以使用数字证书(公开密钥证书)来交换公开密钥。
3.3 密钥管理相关的标准规范
目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。
4 认证技术
4.1 数字签名
数字签名是公开密钥加密技术的另一类应用。[CM(22]它的主要方式是:报文的发 送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个 散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一 起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或 报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值 相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴 别和不可抵赖性。
4.2 数字信封
在大批数据加密中所使用的对称密码是随机产生的,而接收方也需要此密码才能对消息进行 正确的解密。对称密钥的传递需要加密进行,即发送方用接收方的证书(公钥)加密此对称 密钥。这种加密传送密钥的方法称为数字信封。
4.3 虚拟专用技术
虚拟专用网VPN是用于Internet交易的一种专用网络,它可以在两个 系统之间建立安全的信道(或隧道),用于电子数据交换。现有的或正在开发的数据隧道系 统进一步增加VPN的安全性,从而能够保证数据的保密性和可用性。
4.4 证书和证书管理机构CA
证书就是一份文档,它记录了用户的公开密钥和其他身份信息(如身份证号码或者E-mail 地址)以及证书管理机构的数字签名。
4.5 Internet电子邮件的安全协议
电子邮件是Internet上主要的信息传输手段,也是EC应用的主要途径之一。但它并不具备很 强的安全防范措施。Internet工程任务组(IEFT)为扩充电子邮件的安全性能已起草了相关的 规范。
5 Internet主要的安全协议
5.1 SSL
SSL(安全槽层)协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/I P的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措 施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审 查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509 的数字证书实现鉴别。该协议已成为事实上的工业标准,并被广泛应用于Internet和Intrane t的服务器产品和客户端产品中。
5.2 S-HTTP
S-HTTP(安全的超文本传输协议)是对HTTP扩充安全特性、增加了报文的安全性,它是基于SSL 技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。
5.3 UN/EDIFACT的安全
EDI是EC最重要的组成部分,是国际上广泛采用的自动交换和处理商业信息和管理信息的技术 。UN/EDIFACT报文是唯一的国际通用的EDI标准。
5.4 安全电子交易规范(SET)
SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。但是采用SET协议的一 些试验结果表明SET在相互操作方面存在一些问题。SET的局限性还在于该协议仅限于使用信 用卡方式的支付手段。
综上所述,电子商务安全技术虽然已经取得了一定的成绩,但是电子商务要真正成为一种主 导的商务模式,还必须在安全技术上有更大的突破。