電子商務(wù)信息安全問題探討
評(píng)論: 更新日期:2015年12月29日
其中,加密密鑰(公鑰)可以在網(wǎng)絡(luò)服務(wù)器�、報(bào)刊等場(chǎng)合公開,而解密密鑰(私鑰)則屬用戶的私有密鑰���,由公開的加密密鑰導(dǎo)出私有的解密密鑰在技術(shù)上是不可實(shí)現(xiàn)的�����。
與對(duì)稱密鑰加密相比���,采用非對(duì)稱密鑰加密方式密鑰管理較方便,且保密性比較強(qiáng)�����,但加解密實(shí)現(xiàn)速度比較慢����,不適用于通信負(fù)荷較重的應(yīng)用�。
2.2身份驗(yàn)證技術(shù)
2.2.1認(rèn)證系統(tǒng)����。網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書。數(shù)字證書類似于現(xiàn)實(shí)生活中的身份證���,用于在網(wǎng)絡(luò)上鑒別個(gè)人或組織的真實(shí)身份���。數(shù)字證書的頒發(fā)機(jī)構(gòu)叫做Certificate Authority,通常簡(jiǎn)稱為CA�����。要建立安全的電子商務(wù)系統(tǒng)���,首先必須建立一個(gè)穩(wěn)固���、健全的CA,否則�����,一切網(wǎng)上的交易都沒有安全保障。傳統(tǒng)的對(duì)稱密鑰算法具有加密強(qiáng)度高���、運(yùn)算速度快的優(yōu)點(diǎn)���,但密鑰的傳遞與管理問題限制了它的應(yīng)用���。為解決此問題����,20世紀(jì)70年代密碼界出現(xiàn)了公開密鑰算法���,該算法使用一對(duì)密鑰即一個(gè)私鑰和一個(gè)公鑰���,其對(duì)應(yīng)關(guān)系是唯一的,公鑰對(duì)外公開�,私鑰個(gè)人秘密保存。一般用公鑰來進(jìn)行加密�,用私鑰來進(jìn)行簽名;同時(shí)私鑰用來解密�,公鑰用來驗(yàn)證簽名。算法的加密強(qiáng)度主要取決于選定的密鑰長(zhǎng)度�����。其中RSA(Rivets Shamir Adelman)算法是公開密鑰算法中研究最為深入,使用最為廣泛的算法����,為大多數(shù)國家(地區(qū))的官方或非官方所采用。
整個(gè)認(rèn)證系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境�����,系統(tǒng)從功能上基本可以劃分為CA�����、RA(證書的登記機(jī)構(gòu)����,Register Authority)和WP(證書的分頁系統(tǒng),Web Publisher)���。
2.2.2SSL協(xié)議���。SSL協(xié)議(Secure Socket Layer,安全套接層)是由網(wǎng)景(Netscape)公司推出的一種安全通信協(xié)議�����,該協(xié)議主要目的是解決TCP/IP 協(xié)議不能確認(rèn)用戶身份的問題,在Socket上使用非對(duì)稱的加密技術(shù)�,以保證網(wǎng)絡(luò)通信服務(wù)的安全性。SSL協(xié)議包括兩個(gè)子協(xié)議:SSL記錄協(xié)議和SSL握手協(xié)議�����。SSL記錄協(xié)議是建立在可靠的傳輸協(xié)議(例如:TCP)上�����,用來封裝高層的協(xié)議����。SSL握手協(xié)議準(zhǔn)許服務(wù)器端與客戶端在開始傳輸數(shù)據(jù)前����,能夠通過特定的加密算法相互鑒別。
SSL協(xié)議易于實(shí)現(xiàn)�����。它獨(dú)立于應(yīng)用層協(xié)議�,可以完成所需的安全交易操作���,主要是使用公開密鑰體制和X.509 數(shù)字證書保護(hù)信息的機(jī)密性和完整性,但它不能保證信息的不可抵賴性�。中國目前多家銀行均采用SSL協(xié)議,從實(shí)際使用的情況來看����,SSL協(xié)議還是最值得信賴的協(xié)議。但是由于SSL協(xié)議當(dāng)初并不是為支持電子商務(wù)而設(shè)計(jì)的����,所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端,在涉及多方的電子交易中�����,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證���,而電子商務(wù)往往是用戶�、網(wǎng)站����、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系�����。
2.2.3SET協(xié)議。SET(Secure Electronic Transaction)安全電子交易協(xié)議是由美國Visa和MasterCard兩大信用卡組織提出的應(yīng)用于 Internet上的以信用卡為基礎(chǔ)的電子支付系統(tǒng)協(xié)議�。它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn),主要應(yīng)用于B to C模式中保障支付信息的安全性�。
SET協(xié)議提供對(duì)消費(fèi)者、商戶和銀行的認(rèn)證�,協(xié)議本身比較復(fù)雜,設(shè)計(jì)比較嚴(yán)格�����,安全性高�,確保電子交易的機(jī)密性���、數(shù)據(jù)完整性�����、身份的合法性和抗否認(rèn)性�����,特別是保證了不會(huì)將持卡人的信用卡號(hào)泄露給商戶�����。其核心技術(shù)主要有公開密匙加密�����、電子數(shù)字簽名���、電子信封����、電子安全證書等�����。
SET協(xié)議自誕生以來�����,通過大量的現(xiàn)場(chǎng)試驗(yàn)和應(yīng)用�����,取得了業(yè)界普遍的支持�����,目前已經(jīng)呈現(xiàn)出良好的發(fā)展勢(shì)頭。盡管SET協(xié)議存在一些缺點(diǎn)�,但是它體現(xiàn)出了進(jìn)行電子交易最基本的原則,因此在不斷完善的過程中會(huì)逐步擴(kuò)大其應(yīng)用范圍����。它的交易規(guī)范成為了未來電子商務(wù)發(fā)展的方向。
2.3其它安全技術(shù)
防火墻技術(shù):防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng)���,對(duì)內(nèi)部網(wǎng)的應(yīng)用系統(tǒng)加以保護(hù)���。目前的防火墻分為兩大類:一類是簡(jiǎn)單的包過濾技術(shù),它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過����。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯�,檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址�����、目的地址����、所用的TCP端口和TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過�。另一類是應(yīng)用網(wǎng)管和代理服務(wù)器����,可針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告�。
數(shù)字簽名:數(shù)字簽名是公開密鑰加密技術(shù)的另一種應(yīng)用,報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值�����,發(fā)送方用自己的私有密鑰對(duì)這個(gè)散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名���,通過數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可抵賴性�����。
3保障電子商務(wù)信息安全的環(huán)境性措施
目前�����,基于Internet 的電子商務(wù)應(yīng)用才初見端倪���,許多內(nèi)外部環(huán)境還不夠完善�����,相應(yīng)的法律�����、法規(guī)����,相關(guān)的標(biāo)準(zhǔn)還都沒有建立�,跨部門、跨地區(qū)的協(xié)調(diào)存在較大問題���?;谏鲜龇治鼍椭袊娮由虅?wù)的發(fā)展提幾點(diǎn)建設(shè)性意見�����。
3.1構(gòu)造中國電子商務(wù)體系
積極參與國際合作�,融合國際電子商務(wù)框架�����,構(gòu)造適合中國國情的電子商務(wù)體系。作為一個(gè)主權(quán)國家����,為了維護(hù)國家的利益和經(jīng)濟(jì)安全,在電子商務(wù)相關(guān)技術(shù)方面一定要注重自主知識(shí)產(chǎn)權(quán)技術(shù)的開發(fā)���,不能全部依賴進(jìn)口�����。因此����,必須大力支持對(duì)電子商務(wù)技術(shù)的研究開發(fā)工作���。
3.2加強(qiáng)法律法規(guī)建設(shè)
政府部門應(yīng)盡快組織力量���,結(jié)合電子商務(wù)的客觀需要,對(duì)現(xiàn)有的與電子商務(wù)相關(guān)的法律法規(guī)�,如:《刑法》、《合同法》����、《著作權(quán)法》等進(jìn)行修改�。在這些法律中�,可以適當(dāng)增加對(duì)網(wǎng)絡(luò)犯罪處罰的條款,增加對(duì)網(wǎng)絡(luò)作品著作權(quán)保護(hù)的條款�;對(duì)電子商務(wù)發(fā)展中亟需解決的有關(guān)問題,如:在電子支付�、稅收管理、安全認(rèn)證���、網(wǎng)絡(luò)與信息安全�����、知識(shí)產(chǎn)權(quán)保護(hù)�、消費(fèi)者權(quán)益保護(hù)等可由相關(guān)主管部門先制定部門規(guī)章�,必要時(shí),由國務(wù)院發(fā)布行政法規(guī)���,待條件成熟時(shí)�����,再按程序上升為法律�����。
3.3加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)���,推動(dòng)企業(yè)信息化進(jìn)程
信息基礎(chǔ)設(shè)施是電子商務(wù)發(fā)展的物質(zhì)基礎(chǔ)和載體。發(fā)展信息基礎(chǔ)設(shè)施需要政府和業(yè)界的共同努力�,尤其是政府的大力投資和宏觀調(diào)控。
3.4普及計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)和電子商務(wù)常識(shí)���,提高全民族電子商務(wù)意識(shí)
普及信息技術(shù)的教育���,培養(yǎng)信息技術(shù)人才。增強(qiáng)企業(yè)和公眾對(duì)電子商務(wù)的信心���。
3.5加快銀行����、稅務(wù)以及郵政等物流環(huán)節(jié)的信息化建設(shè)
建立企業(yè)到企業(yè)(B to B)�、企業(yè)到客戶(B to C)的商務(wù)溝通,實(shí)現(xiàn)網(wǎng)上資金流動(dòng)���,解決目前有形商品交易環(huán)節(jié)中的流通困難����。
參考文獻(xiàn):
[1] 周均. 電子商務(wù)信息安全的政策法律研究[J]. 科技文獻(xiàn)信息管理,2004(4):57.
[2] 楊穎. 電子商務(wù)安全問題分析[J]. 中國科技信息�,2005(20):53.
[3] 成漢健. 電子商務(wù)安全問題分析[J]. 商場(chǎng)現(xiàn)代化,2005(1):65.
[4] 張賢. 電子商務(wù)安全問題[J]. 中國科技信息���,2006(3):14.
?
