论文部分内容阅读
摘要网络上的信息安全是交易安全的保障,而信息安全的保障则是网络系统的安全。但由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,其危害程度不可想象。所以,构筑安全网络环境,就成为网络时代发展到一定阶段而不可逾越的“瓶颈”性问题,愈来愈受到国际社会的高度关注。
关键词网络安全加密技术;电子商务
中图分类号TP393.08文献标识码A文章编号1673-9671-(2010)061-0028-01
网络系统的安全问题来源于网络的开放性、无边界性、自由性,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、可管理的内部系统。可实现这一目的技术有:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等。
1电子商务中的信息安全技术
1.1防火墙技术
防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”;二是“凡是未被禁止的就是允许的”。网络是动态发展的,在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有:①包过滤技术(Packct Filtering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。②代理(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。③状态监控(Statc Innspection)技術。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务代理。目前最有效的实现方法是采用(Check Point)提出的虚拟机方式(Inspect Virtual Machine)。
1.2 加密技术
数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。
除了密钥加密技术外,还有数据加密技术。即链路加密和节点加密。链路加密是对通信线路加密;节点加密是指对存储在节点内的文件和数据库信息的加密。
1.3数字时间戳技术
在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。
时间戳产生的过程是:用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。
1.4数字签名技术
数字签名(Digital Signature)技术是发送者将要发送的内容用私钥加密后再传送,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的文件。在电子商务安全策略中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术,可见数字签名技术有着特别重要的地位。
2数字认证及其授权机构
2.1数字凭证
数字证书也叫数字证书、数字标识,它含有见凭证持有者的有关信息,以标识他的身份。数字凭证可以控制哪些数据库能够被查看,克服了密码在安全性和方便性方面的局限性,因此提高了总体的保密性。
2.2电子商务数字认证授权机构
电子商务交易需要电子商务凭证,而电子商务认证中心(CA)就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。
CA主要提供下列服务:实行有效安全管理的可靠设施;经确认被认为可靠的风险管理。CA具有证书发放、证书更新、证书撤销、证书验证等四大职能。
若未建立独立的注册机构,认证中心则在完成注册机构的功能以外还要完成下列功能:接收、处理证书申请,向申请者颁发或拒绝颁发证书,证书延期,管理证书吊销目录,提供证书的在线状况,证书归档;提供支持服务,帮助用户解决有关证书的问题;审核记录所有同安全有关的活动;提供灵活的结构,使用户可以自己对服务进行命名;为认证中心系统提供可靠的安全支持;为认证中心的可靠运营提供一套政策、程序及操作指南。
3电子商务信息安全协议(SSL)
一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。主要用于提高应用程序之间相互传输的数据的安全。
SSL安全协议主要提供三方面的服务。一是用户和服务器的合法性保证,使得用户与服务器能够确信数据将被发送到正确的客户机和服务器上。客户机与服务器都有各自的识别号,由公开密钥编排。为了验证用户,安全套接层协议要求在握手交换数据中作数字认证,以此来确保用户的合法性;二是加密数据以隐藏被传递的数据。在SSL握手信息中采用了各种加密技术,以保证其机密性与数据的完整性,并且经数字证书鉴别;三是维护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供完整的信息服务,使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。
网络安全中间件解放了客户,使他们不再需要亲自处理复杂的基于PKI工具包的针对性解决方案,或是购买所需要的PKI授权的商用软件。
以上在技术层面对电子商务的网络安全进行了一些粗浅的探讨和分析,在实际工作中,可以根据所经营的电子商务自身特点,采取相应的技术保护措施。但由于网络是动态变化的,会不断出现安全问题,这就要求我们不断地去研究和探索新的技术方案以满足日益增长的网络安全技术需要。
网络安全不仅仅是技术问题,也是一个管理问题,因此要解决网络安全问题,必须有综合的解决方案,才能全方位地对付各种不同的威胁和攻击,这样才能确保网络信息的保密性、完整性、可用性。因此,加强网络的安全管理,对于确保网络的安全也是至关重要的。
关键词网络安全加密技术;电子商务
中图分类号TP393.08文献标识码A文章编号1673-9671-(2010)061-0028-01
网络系统的安全问题来源于网络的开放性、无边界性、自由性,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、可管理的内部系统。可实现这一目的技术有:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等。
1电子商务中的信息安全技术
1.1防火墙技术
防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”;二是“凡是未被禁止的就是允许的”。网络是动态发展的,在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有:①包过滤技术(Packct Filtering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。②代理(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。③状态监控(Statc Innspection)技術。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务代理。目前最有效的实现方法是采用(Check Point)提出的虚拟机方式(Inspect Virtual Machine)。
1.2 加密技术
数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。
除了密钥加密技术外,还有数据加密技术。即链路加密和节点加密。链路加密是对通信线路加密;节点加密是指对存储在节点内的文件和数据库信息的加密。
1.3数字时间戳技术
在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。
时间戳产生的过程是:用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。
1.4数字签名技术
数字签名(Digital Signature)技术是发送者将要发送的内容用私钥加密后再传送,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的文件。在电子商务安全策略中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术,可见数字签名技术有着特别重要的地位。
2数字认证及其授权机构
2.1数字凭证
数字证书也叫数字证书、数字标识,它含有见凭证持有者的有关信息,以标识他的身份。数字凭证可以控制哪些数据库能够被查看,克服了密码在安全性和方便性方面的局限性,因此提高了总体的保密性。
2.2电子商务数字认证授权机构
电子商务交易需要电子商务凭证,而电子商务认证中心(CA)就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。
CA主要提供下列服务:实行有效安全管理的可靠设施;经确认被认为可靠的风险管理。CA具有证书发放、证书更新、证书撤销、证书验证等四大职能。
若未建立独立的注册机构,认证中心则在完成注册机构的功能以外还要完成下列功能:接收、处理证书申请,向申请者颁发或拒绝颁发证书,证书延期,管理证书吊销目录,提供证书的在线状况,证书归档;提供支持服务,帮助用户解决有关证书的问题;审核记录所有同安全有关的活动;提供灵活的结构,使用户可以自己对服务进行命名;为认证中心系统提供可靠的安全支持;为认证中心的可靠运营提供一套政策、程序及操作指南。
3电子商务信息安全协议(SSL)
一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。主要用于提高应用程序之间相互传输的数据的安全。
SSL安全协议主要提供三方面的服务。一是用户和服务器的合法性保证,使得用户与服务器能够确信数据将被发送到正确的客户机和服务器上。客户机与服务器都有各自的识别号,由公开密钥编排。为了验证用户,安全套接层协议要求在握手交换数据中作数字认证,以此来确保用户的合法性;二是加密数据以隐藏被传递的数据。在SSL握手信息中采用了各种加密技术,以保证其机密性与数据的完整性,并且经数字证书鉴别;三是维护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供完整的信息服务,使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。
网络安全中间件解放了客户,使他们不再需要亲自处理复杂的基于PKI工具包的针对性解决方案,或是购买所需要的PKI授权的商用软件。
以上在技术层面对电子商务的网络安全进行了一些粗浅的探讨和分析,在实际工作中,可以根据所经营的电子商务自身特点,采取相应的技术保护措施。但由于网络是动态变化的,会不断出现安全问题,这就要求我们不断地去研究和探索新的技术方案以满足日益增长的网络安全技术需要。
网络安全不仅仅是技术问题,也是一个管理问题,因此要解决网络安全问题,必须有综合的解决方案,才能全方位地对付各种不同的威胁和攻击,这样才能确保网络信息的保密性、完整性、可用性。因此,加强网络的安全管理,对于确保网络的安全也是至关重要的。