摘要:目前電子商務領域所使用的安全技術:數據加密技術,身份認證技術,網上支付平臺及支付網關,指出了它們分別的使用範圍及其優缺點,但必須強調說明的是,電子商務的安全執行,僅從技術角度防範是遠遠不夠的,還必須完善電子商務立法。
1、電子商務的主要安全要素
目前電子商務(ElectronicCommerce:是利用計算機技術、網絡技術和遠程通信技術,實現整個商務(買賣)過程中的電子化、數字化和網絡化。人們不再是面對面的、看着實實在在的貨物、靠紙介質單據(包括現金)進行買賣交易。而是透過網絡,透過網上琳琅滿目的商品資訊、完善的物流配送系統和方便安全的資金結算系統進行交易。)工程正在全國迅速發展。實現電子商務的關鍵是要保證商務活動過程中系統的安全性,即應保證在基於Internet的電子交易轉變的過程中與傳統交易的方式一樣安全可靠。從安全和信任的角度來看,傳統的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關係。但在電子商務過程中,買賣雙方是透過網絡來聯繫,由於距離的限制,因而建立交易雙方的安全和信任關係相當困難。電子商務交易雙方(銷售者和消費者)都面臨安全威脅。電子商務的安全要素主要體現在以下幾個方面:
資訊有效性、真實性
電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易資訊的有效性和真實性則是開展電子商務的前提。電子商務作爲貿易的一種形式,其資訊的有效性和真實性將直接關係到個人、企業或國家的經濟利益和聲譽。
資訊機密性
電子商務作爲貿易的一種手段,其資訊直接廠代表着個人、企業或國家的商業機密。傳統的紙面貿易都是透過郵寄封裝的信件或透過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較爲開放的網絡環境上的,商業防泄密是電子商務全面推廣應用的重要保障。
資訊完整性
電子商務簡化了貿易過程,減少了人爲的干預,同時也帶來維護商業資訊的完整、統一的問題。由於數據輸入時的意外差錯或欺詐行爲,可能導致貿易各方資訊的差異。此外,數據傳輸過程中資訊的丟失、資訊重複或資訊傳送的.次序差異也會導致貿易各方資訊的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。
資訊可靠性、不可抵賴性和可鑑別性
可靠性要求即是能保證合法用戶對資訊和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行爲;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方透過在交易合同、契約或貿易單據等書面檔案上手寫簽名或印章來鑑別貿易伙伴,確定合同、契約、單據的可靠性並預防抵賴行爲的發生。
在無紙化的電子商務方式下,透過手寫簽名和印章進行貿易方的鑑別已是不可能的。因此,要在交易資訊的傳輸過程中爲參與交易的個人、企業或國家提供可靠的標識。在1nternet上每個人都是匿名的。原發方在發送數據後不能抵賴;接收方在接收數據後也不能抵賴。
2、電子商務的安全技術討論
2.1電子商務的安全技術之一-----數據加密技術
加密技術用於網絡安全通常有二種形式,即面向網絡或面向應用服務。
面向網絡的加密技術通常工作在網絡層或傳輸層,使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的資訊,從而保證網絡的連通性和可用性不受損害。在網絡層上實現的加密技術對於網絡應用層的用戶通常是透明的。此外,透過適當的密鑰管理機制,使用這一方法還可以在公用的互聯網絡上建立虛擬專用網絡並保障虛擬專用網上資訊的安全性。
面向網絡應用服務的加密技術使用則是目前較爲流行的加密技術的使用方法,例如使用kerberos服務的telnet、nfs、rlogion等,以及用作電子郵件加密的pem(privacyenhancedmail)和pgp(prettygoodprivacy)。這一類加密技術的優點在於實現相對較爲簡單,不需要對電子資訊(數據包)所經過的網絡的安全性能提出特殊要求,對電子郵件數據實現了端到端的安全保障。
1)常用的加密技術分類:
對稱密鑰密碼算法
對稱(傳統)密碼體制是從傳統的簡單換位代替密碼發展而來的,自1977年美國頒佈des密碼算法作爲美國數據加密標準以來,對稱密鑰密碼體制得到了迅猛發展,得到了世界各國關注和使用。對稱密鑰密碼體制從加密模式上可分爲序列密碼和分組密碼兩大類。
不對稱型加密算法
也稱公用密鑰算法,其特點是有二個密鑰即公用密鑰和私有密鑰,只有二者配合使用才能完成加密和解密的全過程。
由於不對稱算法擁有二個密鑰,因此它特別適用於分佈式系統中的數據加密,在Internet中得到了廣泛應用。其中公用密鑰在網上公佈,爲數據源對數據加密使用,而用於解密的相應私有密鑰則由數據的收信方妥善保管。
不可逆加密算法
其特徵是加密過程不需要密鑰,並且經過加密的數據無法被解密,只有同樣的輸入數據經過同樣的不可逆加密算法才能得到相同的加密數據。不可逆加密算法不存在密鑰保管和分發問題,適合於分佈式網絡系統上使用,但是其加密計算工作量大,所以通常用於數據量有限的情形的加密,例如計算機系統中的口令的加密。
2)電子商務領域常用的加密技術
數字摘要(digitaldigest)
這一加密方法亦稱安全Hash編碼法,由RonRivest所設計。該編碼法採用單向Hash函數將需加密的明文"摘要"成一串128bit的密文,這一串密文亦稱爲數字指紋(FingerPrint),它有固定的長度,且不同的明文摘要成密文,其結果總是不同的,而同樣的明文其摘要必定一致。這樣這串摘要便可成爲驗證明文是否是"真身"的"指紋"了。
數字簽名(digitalsignature)
數字簽名將數字摘要、公用密鑰算法兩種加密方法結合起來使用。在書面檔案上簽名是確認檔案的一種手段,簽名的作用有兩點,一是因爲自己的簽名難以否認,從而確認了檔案已簽署這一事實;二是因爲簽名不易仿冒,從而確定了檔案是真的這一事實。
數字時間戳(digitaltime-stamp)
交易檔案中,時間是十分重要的資訊。在書面合同中,檔案簽署的日期和簽名一樣均是十分重要的防止檔案被僞造和篡改的關鍵性內容。在電子交易中,同樣需對交易檔案的日期和時間資訊採取安全措施,而數字時間戳服務(DTS)就能提供電子檔案發表時間的安全保護。
數字時間戳服務(DTS)是網上安全服務項目,由專門的機構提供。時間戳(time-stamp)是一個經加密後形成的憑證文檔,它包括三個部分:1)需加時間戳的檔案的摘要(digest),2)DTS收到檔案的日期和時間,3)DTS的數字簽名。
數字證書(digitalcertificate,digitalID)
數字證書又稱爲數字憑證,是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限。
數字憑證有三種類型:
·個人憑證(PersonalDigitalID)
·企業(服務器)憑證(ServerID)
·軟件(開發者)憑證(DeveloperID)
上述三類憑證中前二類是常用的憑證,第三類則用於較特殊的場合,大部分認證中心提供前兩類憑證。
3)與電子商務安全有關的協議技術討論:
SSL協議(SecureSocketsLayer)安全套接層協議
------面向連接的協議,當初不是爲電子商務而設計