电子商务安全:电子商务中的信息安全问题

来源:网络发布时间:2010-05-10

  一、电子商务的安全需求

  1.信息有效性、真实性

  电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

  2.信息机密性

  电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。

  3.信息完整性

  电子商务简化了贸易过程, 减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各信息的差异。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

  4.信息可靠性、不可抵赖性和可鉴别性

  可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可抵赖性要求即是能建立有效的责任机制,防止实体否认其行为;可鉴别性要求即是能控制使用资源的人或实体的使用方式。

  5.系统的可靠性

  电子商务系统是计算机系统,其可靠性是防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。

  二、电子商务的信息安全技术

  1.数据加密技术

  加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。面向网络的加密技术通常工作在网络层或传输层, 使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法, 这一类加密技术的优点在于实现相对较为简单,不需要对电子信息( 数据包) 所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。

  1) 电子商务领域常用的加密技术数字摘要(digital digest)

  这一加密方法亦称安全Hash 编码法, 由RonRivest 所设计。该编码法采用单向Hash 函数将需加密的明文“ 摘要”成一串128bit 的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“ 真身”的“ 指纹”了。

  数字签名(digital signature)

  数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。主要方式是报文的发送方从报文文本中生成一个128 位的散列值(或报文摘要),用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128 位的散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密,如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别。概括的说,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。

  数字时间戳(digital time-stamp)交易文件中,时间是十分重要的信息。在电子交易中, 需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。时间戳(time-stamp) 是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要(digest);DTS 收到文件的日期和时间;DTS的数字签名。

  数字证书(digital certificate,digital ID)数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。目前,最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书,证书作为网上交易参与各方的身份识别,就好象每个公民都用身份证来证明身份一样。认证中心作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任,是一个负责发放和管理数定证书的权威机构。因而网络中所有用户可以将自己的公钥交给这个中心,并提供自己的身份证明信息,证明自己是相应公钥的拥有者,认证中心审查用户提供的信息后, 如果确认用户是合法的,就给用户一个数字证书。这样,每个成员只需和认证中心打交道, 就可以查到其他成员的公钥信息了。对于在网上进行交易的双方来说,数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型:个人凭证、企业( 服务器) 凭证、软件( 开发者) 凭证;大部分认证中心提供前两类凭证。 [论/文/网 LunWenNet/Com]

  2.身份认证技术

  为解决Internet 的安全问题,初步形成了一套完整的Internet 安全解决方案,即被广泛采用的公钥基础设施( PKI) 体系结构。PKI 体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息( 如名称、e-mail、身份证号等) 捆绑在一起,在Internet 网上验证用户的身份,PKI 体系结构把公钥密码和对称密码结合起来,在Internet 网上实现密钥的自动管理, 保证网上数据的机密性、完整性。

  1 ) 认证系统的基本原理

  利用RSA 公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性,可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA,CA 为用户发放电子证书,用户之间利用证书来保证信息安全性和双方身份的合法性。

  2 ) 认证系统结构

  整个系统是一个大的网络环境,系统从功能上基本可以划分为CA、RA 和Web Publisher。

  核心系统跟CA 放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都有严格的规定,并且系统设计为一离线网络。CA 的功能是在收到来自RA 的证书请求时,颁发证书。