| 摘要:近年来,电子商务的迅速发 展与应用引起了人们对其安全问 题的广泛关注与重视,文章介绍 并分析了了电子商务信息安全的 要求和电子商务存在的安全问题, 对数据加密技术进行了分析与比 较,并在最后探讨了如何运用数 据加密技术构建电子商务的安全 机制。 【关键词】电子商务安全 数据加密 数字签名 随着互联网技术的飞速发展,电子商务成 为一种新兴的交易模式,将企业与企业、企业 与顾客紧密联系在一起,同时电子商务交易因 其低廉性与便捷性已经广泛受到人们的关注, Internet 的开放性是电子商务方便快捷、广泛 传播的基础,但也引起了电子商务交易的核心 问题:安全问题。 1 电子商务对信息安全的要求 电子商务交易的安全性、可靠性一直是 人们关注的问题。为了保障电子商务平稳快速 的发展,电子商务对信息安全有以下几点要求: 1.1 真实性和有效性 信息的真实性一方面是指网上交易双方 提供信息内容的真实性;另一方面是指网上交 易双方身份信息的真实性。要求电子商务能对 其进行鉴别和虚假信息的过滤。而有效性是电 子商务开展的前提,电子商务交易的广泛性使 得真实性和有效性直接关系到个人、企业和国 家的经济利益和声誉。一般可通过认证机构和 证书来实现。 1.2 数据的机密性 机密性是防止非授权用户对数据的获取 和使用。电子商务交易中会产生大量的数据, 应保证其在网络上不被非法第三方窃取和偷 看。一般地,我们采用加密手段对数据的机密 性进行保护。 1.3 数据的完整性 完整性是要确保网络上信息在存储或传 输的过程中保持不被修改、不被破坏和不丢失 的特性。即防止非法篡改信息、文件和业务流。 用于预防主动威胁。解决方法通常是消息认证 和数字签名技术。 1.4 不可抵赖性 也称作抗否认安全服务或不可否认服务, 是针对对方进行抵赖的防范措施,可用来证实 已经发生过的操作。可分为防发送方抵赖、防 递交方抵赖和公正。要求在交易信息的传输过 程中为参与交易的个人,企业或国家提供可靠 地标识。 1.5 审查能力 根据机密性和完整性的要求,能利用电子 商务交易系统日志文件对数据结果进行审查、 追踪。 2 电子商务存在的安全问题 Internet 本身具有开放性、虚拟性,人们 在网络上的行为也会被记录下来等等电子商务 的特点,给网络交易带来了种种危险,这些危 险主要表现在一下几个方面。 (1)信息泄漏。在电子商务中主要包括 两个方面,一是交易双方进行交易的内容被第 三方窃取;二是交易一方提供给另一方使用的 文件被第三方非法使用。 (2)信息被篡改。网络上传输的数据、 文件等有可能被他人非法插入、删除、替换或 修改。使得信息的完整性遭到破坏。 (3)身份假冒或否认。首先,身份认证 是通信和数据系统正确识别通讯用户或终端的 个人身份的重要途径。如果不进行身份识别, 就会产生身份假冒,破坏交易或冒名行为;其 次,对信息的发送者否认交易的行为也需要身 份认证,保证不可抵赖性。 3 数据加密技术 3.1 对称密码体制 在对称密码体制这种传统密码体制下, 发送方使用的加密密钥和接收方使用的解密 密钥相同或者从其中一个密钥易于得出另一 个密钥。比较著名的对称加密算法有DES 算 法、3DES 算法、TDEA 算法、Blowfish 算法、 RC5 算法、IDEA 算法还有以代换密码和轮转 密码为代表的古典密码等。 对称密码算法的优点是计算量小,加解 密速度快、效率高,保密强度高,是目前用于 信息加密的主要算法。同时,它的缺点主要有 两三点,一是密钥数目多,管理困难。n 个人 相互通信,密码的个数有n(n-1) 个,密钥的生 成与分发成为很大的麻烦。二是安全传输密钥 也是一个难题。当用户群很大、分布很广时, 密钥传输的危险性也会随之提高。三是无法鉴 别彼此身份。 3.2 非对称密码体制 非对称密码体制弥补了对称密码体制的 缺陷。在非对称密码体制中有两个不同的钥匙, 一把为自己私有,称为私钥;另一把则会向公 众公开,称为公钥,并且从其中一把难以推 出另一把。比较著名的公钥密码算法有:RSA 算法、Diffe Hellman 算法、椭圆曲线算法、零 知识证明算法等。其中最著名的是RSA 算法, 他能抵抗到目前为止的所有密码攻击。 非对称密码的优点是灵活、密钥的分配 和保存简单,便于密钥管理,他不仅可以作为 加密算法使用,而且可以用作数字签名和对对 称加密的密钥分配和管理。但其缺点也很明显, 加密速度慢,不利于长信息加密。 在实际应用中,通常将对称密码体制与 非对称密码体制结合使用,以便发挥各自优点、 弥补各自缺陷,例如:利用DES 来加密信息, 而采用RSA 来传递对称加密体制中的密钥, 相结合的方法在网络中往往能发挥极大作用。 4 基于数据加密技术的电子商务安全机 制 建立一套可靠的电子商务安全机制可以 大大提高电子商务交易的安全系数,从而保证 人们可以放心的进行网上交易活动。电子商务 的安全机制有三个方面,一是交易双方的身份 识别;二是交易双方的不可抵赖性;三是交易 过程中数据的机密性与完整性; 数据加密技术作为电子商务安全机制的 基础,很好的解决了电子商务安全机制以上三 方面的问题。首先,数据加密技术可以防止未 授权人员非法获取信息并使用,保证信息的机 密性;其次,通过数字证书保证交易双方的身 份识别;再次,通过数字摘要可以确保交易过 程中信息的完整性;最后,通过数字签名实现 交易双方的不可抵赖性。 4.1 数字证书 数字证书是标志网络用户身份信息的一 系列数据,用来在网络通信中识别各方的身份, 有专门的认证机构颁发。数字证书的类型按照 对象可分为个人身份证书、企业或机构身份证 书、支付网关证书、服务器证书、企业或机构 代码签名证书、安全电子邮件证书、个人代码 签名证书和SET(安全电子交易)证书。数字 证书包含以下内容:证书版本号、证书序列号、 签名算法标识符、颁发者、有效期、主体、主 体公钥信息、颁发者唯一标识符、主体唯一标 识符、颁发者签名等。 数字证书通过公钥加密技术(非对称密 码技术)实现。其实现过程是:每个用户拥有 一把仅自己知道的私有密钥,并用它来解密和 签名,同时公开公钥,作为其他用户加密和验 证签名。在使用过程中,可以保证信息不被第 三方窃取和修改重放等,并且发送方不能否认 自己发过的信息。 4.2 数字摘要 数字摘要是发送的信息通过HASH 函 数映射出的一个较短的固定长度的散列值: h=H(M),将摘要用私钥加密签名,再与原报 文一起发送给接收方,接收方用发送方的公钥 对消息摘要解密得到原消息,再用HASH 函 数算出散列值,然后进行对比,如果消息摘要 相同,则说明消息在发送过程中没有被篡改, 否则,信息已被修改,需要进一步采取保护措 施。根据HASH 函数的特点,他可以为指定 数据产生一个不可伪造的特征,保证了数据的 真实性;通过验证消息摘要可以保证数据的完 整性。 4.3 数字签名 数字签名技术是一种基于加密技术的认 证技术,是笔迹签名的模拟,也叫数字签字、 电子签名、电子签章等,是用于确认发送者身 份和消息完整性的一个加密的消息摘要。数字 签名为以下三点提供了保障:一是接收方可以 对发送方签名进行核实;二是发送方不可抵赖 对消息的签名;三是能够防止接收者对消息签 名的伪造。数字签名可以实现电子商务中不可 抵赖性。 目前数字签名是通过非对称加密体制实 现的,其过程为:发送方用私钥对所要传输的 消息进行加密,接收方用发送方的公钥解密, 也就是签名与核对签名的过程。而签名的功效 就是使得事后发送方无法抵赖其发出的消息, 从而实现了交易的不可抵赖性。 总之,目前的电子商务交易安全机制尚 待完善、走向成熟,有极大的发展空间与需求。 加密体制的不完善是主要问题之一,也是数据 传输安全的核心与保障。尽管现在流行的一些 算法功能比较强大,能够为数据的安全提供高 强度的数字保护,但都存在一些薄弱环节,会 给攻击者留下可乘之机。在电子商务安全机制 追求完美的同时,还有很重要的一点,即绝对 安全的电子商务交易环境是不存在的,须有清 楚的判断与方向。 参考文献 [1] 吴洋. 电子商务安全方法研究[D]. 天津 大学,2006. 作者单位 河北大学管理学院 河北省保定市 071000 |
| 在线咨询: |
|
| 联系电话: | 18602588568 |
| 投稿邮箱: | bosslunwen@126.com |
| ★诚信★专业★权威★快速★ | |
