论文部分内容阅读
[摘要]从网络安全和网上交易两个方面介绍相关的信息安全技术,即防火墙技术,入侵检测技术,网络反病毒技术,虚拟专用网技术,数据加密技术,数据签名技术,数字证书和认证机构以及安全协议等,通过他们来保障电子商务活动的安全。
[关键词]电子商务信息安全技术数据加密技术数据签名
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0820042-01
一、引言
随着网络、通信技术的飞速发展,电子商务已经成为经济全球化的助推器,它给世界范围的商务交易带来了新的契机。而电子商务在提高商务效率、降低商务交易成本的同时,安全问题也就如影随形而至。因此,建立一个安全可靠的电子商务应用环境,已经成为影响到电子商务发展的关键性课题。下面就网络安全和网上交易两方面相关的信息安全技术做些具体的介绍。
二、网络安全技术
网络安全是电子商务的基础,一个完整的电子商务系统应建立在安全的网络基础设施之上。
(一)防火墙技术
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Sec
urity Gateway),从而保护内部网免受非法用户的侵入。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。典型的防火墙具有以下三个方面的基本特性:1.内部网络和外部网络之间的所有网络数据流都必须经过防火墙。2.只有符合安全策略的数据流才能通过防火墙。3.防火墙自身应具有非常强的抗攻击免疫力。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,实际应用时常采用两级的安全机制,即第一级由包过滤路由器承担,第二级由防火墙承担。
(二)入侵检测技术
入侵检测技术可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测方法很多,如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现。由于传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。具体实施时,可将网络入侵检测系统与防火墙的功能结合构建安全网络。
(三)网络反病毒技术
在网络环境下,虽然可以通过各种防卫技术保护网络安全,但病毒的入侵是不可避免的,因此,反病毒技术是网络安全建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和杀毒等3种技术。实际应用时,还应根据具体网络系统结构特点进行一体化的安排,如根据客户机-服务器所用操作系统选择或设计不同的反病毒软件、在网络通信卡中插入专门反病毒芯片、检查可能通过网络传输的带病毒文件等。例如现在流行的各种杀病毒软件,主要有瑞星杀毒软件、金山毒霸杀毒软件、趋势杀毒软件等都具备预防、检测、杀毒等功能。
(四)虚拟专用网(VPN)技术
VPN是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的隧道。在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这就可以使用复杂的专用加密和认证技术,只要通信的双方默认即可。拔号VPN使用隧道技术使远程访问服务器把用户数据打包到IP信息包中,这些信息通过电信服务商的网络进行传递,在Internet中要穿过不同的网络,最后到达隧道终点。然后拆数据包,转换成最初的形式。隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接路由地址,这代替了电话交换网络使用的电话号码连接,允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。这种方式在保证网络的安全性方面是非常有用的。
三、电子商务网上交易中的信息安全技术
网络安全只是实现电子商务的基础,电子商务发展的核心和关键问题是交易的安全性。目前主要采用以下几种技术措施来解决网上交易中信息安全问题。
(一)数据加密技术
数据加密技术是保证网络信息安全最常用和最重要的一种技术。数据加密是数据的一种置乱变换法则,他可以确保非授权人无法解读被加密的数据,同时也可以实现数据完整性、真实性的鉴别,另外可以根据需要保证数据传输的不可否认性。数据加密还原的过程则称为解密,数据加、解密过程是由算法来具体实施的。在加密技术中,基于密钥的加密算法不同可以分为两类:对称加密技术和非对称加密技术(公开密钥加密)。最有影响的对称加密技术是数据加密标准DES算法和新一代数据加密标准AES算法,非对称加密技术的加密算法主要有RSA算法和椭圆曲线密码算法ECC算法。
DES综合运用了置换、代替、代数等多种密码技术,其设计精巧,密钥的长度仅56bit,适合软硬件实现;DES加密速度快,适合加密较长明文;DES使用16轮迭代,每一轮都将把明信息扩散到密文,完全引起了足够的扩散,因此56bit的密钥基本上是安全的。但是,由于DES采用的是单密钥体制,在密钥管理方面,算法要求通信前对密钥进行秘密分配,密钥的更换困难,所以对不同的通信对象,需产生和保管不同的密钥。
RSA算法是第一个能同时用于加密和数字签名的算法,是被研究得最广泛的公钥算法。从提出到现在已近二十年,经历了各种攻击的考验,逐渐为人们接受,普遍认为是目前最优秀的公钥方案之一。RSA的安全性依赖于大数的因子分解,它的缺点主要有:产生密钥很麻烦,受到素数产生技术的限制,因而难以做到一次一密;分组长度太大,为保证安全性,n至少也要600 bits以上,使运算代价很高,尤其是速度较慢,较对称密码算法慢几个数量级。
目前主流的数据安全传输方案是一种基于DES和RSA的混合加密方案。比如:利用DES来加密信息,而采用RSA来传递对称加密体制中的密钥。
(二)数字签名技术
它是公开密钥加密技术的一种应用,是指发送方将要传送的明文(原
始的信息)通过一种函数运算(Hash)转换成报文摘要,这样不同的明文对应着不同的报文摘要,报文摘要再用发送方的私有密钥加密后与明文一起传送,合成为数字签名。接受方将接受的明文产生新的报文摘要与发送方的发来报文摘要解密比较,比较结果一致则表示明文未被改动,如果不一致表示明文已被篡改。其作用就是能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送方对所发报文的不可抵赖性。数字签名根据不同的要求,可分为秘密密钥的数字签名、公开密钥的数字签名、只需确认的数字签名、数字摘要的数字签名、电子邮戳、数字凭证等多种方式。
(三)数字证书和认证机构
数字证书作为网上交易双方真实身份证明的依据,其用途是利用公共密钥加密系统来保护与验证公众的密钥。
数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。
数字证书由可信任的、公正的权威机构CA颁发。CA即人证中心,是专门签发数字证书的机构,是普遍可信的第三方。
(四)安全协议
目前电子商务中有两种安全认证协议被广泛使用,即安全插口层SSL协议和安全电子事务SET协议。
1.安全插口层(SSL)协议。安全插口层协议是由Netscape公司1994年设计开发的安全协议,主要用于提高应用程序之间的数据的安全系数。SSL采用了公开密钥和专有密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。目的是为用户提Internet和企业内联网的安全通信服务。
2.安全电子事务(SET)协议。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET使用多种安全技术来达到安全支付的要求,其中对称密钥技术、非对称加密技术和Hash算法是核心。SET协议通过制定标准和采用各种技术手段,解决了当时困扰电子商务发展的安全问题。由于得到了很多大公司的支持,它已形成了事实上的工业标准,已获IETF标准认可。
SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。
参考文献:
[1]李明柱,电子商务安全技术[M].北京:北京航空航天出版社,2003.
[2]张明光、魏琦,電子商务安全体系的探讨[J].计算机工程与设计,2005,26.2:394-396.
[3]卢新德,构建信息安全保障新体系[M].北京:中国经济出版社,2007.
[4]陈克非、黄征,信息安全技术导论[M].北京:电子工业出版社,2007.
[5]林枫,电子商务安全技术及应用[M].北京:北京航空航天大学出版社,2001.
[关键词]电子商务信息安全技术数据加密技术数据签名
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0820042-01
一、引言
随着网络、通信技术的飞速发展,电子商务已经成为经济全球化的助推器,它给世界范围的商务交易带来了新的契机。而电子商务在提高商务效率、降低商务交易成本的同时,安全问题也就如影随形而至。因此,建立一个安全可靠的电子商务应用环境,已经成为影响到电子商务发展的关键性课题。下面就网络安全和网上交易两方面相关的信息安全技术做些具体的介绍。
二、网络安全技术
网络安全是电子商务的基础,一个完整的电子商务系统应建立在安全的网络基础设施之上。
(一)防火墙技术
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Sec
urity Gateway),从而保护内部网免受非法用户的侵入。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。典型的防火墙具有以下三个方面的基本特性:1.内部网络和外部网络之间的所有网络数据流都必须经过防火墙。2.只有符合安全策略的数据流才能通过防火墙。3.防火墙自身应具有非常强的抗攻击免疫力。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,实际应用时常采用两级的安全机制,即第一级由包过滤路由器承担,第二级由防火墙承担。
(二)入侵检测技术
入侵检测技术可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测方法很多,如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现。由于传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。具体实施时,可将网络入侵检测系统与防火墙的功能结合构建安全网络。
(三)网络反病毒技术
在网络环境下,虽然可以通过各种防卫技术保护网络安全,但病毒的入侵是不可避免的,因此,反病毒技术是网络安全建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和杀毒等3种技术。实际应用时,还应根据具体网络系统结构特点进行一体化的安排,如根据客户机-服务器所用操作系统选择或设计不同的反病毒软件、在网络通信卡中插入专门反病毒芯片、检查可能通过网络传输的带病毒文件等。例如现在流行的各种杀病毒软件,主要有瑞星杀毒软件、金山毒霸杀毒软件、趋势杀毒软件等都具备预防、检测、杀毒等功能。
(四)虚拟专用网(VPN)技术
VPN是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的隧道。在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这就可以使用复杂的专用加密和认证技术,只要通信的双方默认即可。拔号VPN使用隧道技术使远程访问服务器把用户数据打包到IP信息包中,这些信息通过电信服务商的网络进行传递,在Internet中要穿过不同的网络,最后到达隧道终点。然后拆数据包,转换成最初的形式。隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接路由地址,这代替了电话交换网络使用的电话号码连接,允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。这种方式在保证网络的安全性方面是非常有用的。
三、电子商务网上交易中的信息安全技术
网络安全只是实现电子商务的基础,电子商务发展的核心和关键问题是交易的安全性。目前主要采用以下几种技术措施来解决网上交易中信息安全问题。
(一)数据加密技术
数据加密技术是保证网络信息安全最常用和最重要的一种技术。数据加密是数据的一种置乱变换法则,他可以确保非授权人无法解读被加密的数据,同时也可以实现数据完整性、真实性的鉴别,另外可以根据需要保证数据传输的不可否认性。数据加密还原的过程则称为解密,数据加、解密过程是由算法来具体实施的。在加密技术中,基于密钥的加密算法不同可以分为两类:对称加密技术和非对称加密技术(公开密钥加密)。最有影响的对称加密技术是数据加密标准DES算法和新一代数据加密标准AES算法,非对称加密技术的加密算法主要有RSA算法和椭圆曲线密码算法ECC算法。
DES综合运用了置换、代替、代数等多种密码技术,其设计精巧,密钥的长度仅56bit,适合软硬件实现;DES加密速度快,适合加密较长明文;DES使用16轮迭代,每一轮都将把明信息扩散到密文,完全引起了足够的扩散,因此56bit的密钥基本上是安全的。但是,由于DES采用的是单密钥体制,在密钥管理方面,算法要求通信前对密钥进行秘密分配,密钥的更换困难,所以对不同的通信对象,需产生和保管不同的密钥。
RSA算法是第一个能同时用于加密和数字签名的算法,是被研究得最广泛的公钥算法。从提出到现在已近二十年,经历了各种攻击的考验,逐渐为人们接受,普遍认为是目前最优秀的公钥方案之一。RSA的安全性依赖于大数的因子分解,它的缺点主要有:产生密钥很麻烦,受到素数产生技术的限制,因而难以做到一次一密;分组长度太大,为保证安全性,n至少也要600 bits以上,使运算代价很高,尤其是速度较慢,较对称密码算法慢几个数量级。
目前主流的数据安全传输方案是一种基于DES和RSA的混合加密方案。比如:利用DES来加密信息,而采用RSA来传递对称加密体制中的密钥。
(二)数字签名技术
它是公开密钥加密技术的一种应用,是指发送方将要传送的明文(原
始的信息)通过一种函数运算(Hash)转换成报文摘要,这样不同的明文对应着不同的报文摘要,报文摘要再用发送方的私有密钥加密后与明文一起传送,合成为数字签名。接受方将接受的明文产生新的报文摘要与发送方的发来报文摘要解密比较,比较结果一致则表示明文未被改动,如果不一致表示明文已被篡改。其作用就是能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送方对所发报文的不可抵赖性。数字签名根据不同的要求,可分为秘密密钥的数字签名、公开密钥的数字签名、只需确认的数字签名、数字摘要的数字签名、电子邮戳、数字凭证等多种方式。
(三)数字证书和认证机构
数字证书作为网上交易双方真实身份证明的依据,其用途是利用公共密钥加密系统来保护与验证公众的密钥。
数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。
数字证书由可信任的、公正的权威机构CA颁发。CA即人证中心,是专门签发数字证书的机构,是普遍可信的第三方。
(四)安全协议
目前电子商务中有两种安全认证协议被广泛使用,即安全插口层SSL协议和安全电子事务SET协议。
1.安全插口层(SSL)协议。安全插口层协议是由Netscape公司1994年设计开发的安全协议,主要用于提高应用程序之间的数据的安全系数。SSL采用了公开密钥和专有密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。目的是为用户提Internet和企业内联网的安全通信服务。
2.安全电子事务(SET)协议。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET使用多种安全技术来达到安全支付的要求,其中对称密钥技术、非对称加密技术和Hash算法是核心。SET协议通过制定标准和采用各种技术手段,解决了当时困扰电子商务发展的安全问题。由于得到了很多大公司的支持,它已形成了事实上的工业标准,已获IETF标准认可。
SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。
参考文献:
[1]李明柱,电子商务安全技术[M].北京:北京航空航天出版社,2003.
[2]张明光、魏琦,電子商务安全体系的探讨[J].计算机工程与设计,2005,26.2:394-396.
[3]卢新德,构建信息安全保障新体系[M].北京:中国经济出版社,2007.
[4]陈克非、黄征,信息安全技术导论[M].北京:电子工业出版社,2007.
[5]林枫,电子商务安全技术及应用[M].北京:北京航空航天大学出版社,2001.