试论电子商务安全体制的建立.pdfVIP

Tf)；7 F7／多 试论电子商务安全体制的建立 信息产业部电子第五十一研究所胡振瀛 接要电子商务中的安奎问题是目前经济、科技界正在面临和必须有效解决的问题。本文专 题讨论了建立电子商务安全体制的若干技术问题，咀及有关网络安全技术厦其相关系统、产品(包 括软件)的应用。 一、引言 当今．在互联网(Intemet)上进行电子商务往来的商品供应商、经纪人、证券交易所和投资人、 消费者等参与者均面临着各种风险。集中表现在往来双方均希望他们之间的通信信息，往来文件 严格不被泄露、截取。而他们的对手希望介人其中，侦窃、干扰、破坏或利用这些信息，从中牟利。 因此，反侦窃(保密)、反干扰破坏(安全)成为电子商务发展中的技术主题。它与战场上的电子对 抗、哲学界的博奕以及近代社会的信息战一样，都表现为对抗双方在技术上的激烈搏斗。这种搏斗 在经济全球化的竞争格局中，不会有固定不变的输家和赢家，操胜券者在于他的思想和技术高人一 筹。 互联网进入社会经济生活才短短四年，却已发展为连结世界约1．6亿个用户的全球性计算机 网络。1998年网上商务贸易成交额达430亿美元，预计到2003年，将猛增至13000亿美元，注册 上网的经纪商已达500万人，而到2002年，估计将增加近3倍。超过1400万人。由于互联网为电 子商务、社交活动提供了一个几乎是无限止的快速扩展的平台。所以在网上进行销售商品、证券交 易、投资买卖的成交额将急剧上升。甚至一个很小的商品另售商，他可利用互联网向世界各地推销 商品；一个几乎没有金融背景的投机商可在网上拼凑各类资质证明和信用担保到世界任何地方签 订房地产或期货交易契约。因此，网上信息安全问题将会成为决定电子商务活动中信息有效流通 的关键问题。不安全因素给参与者造成巨大威胁。为了避免这一风险，必须在电子商务系统中建 立安全保障体系，把这种威胁局限到最小程度。 一个完善的解决电子商务活动安全问题的技术机制可归纳为：保护电子商务通信的隐密性；商 务文件信息的有效鉴别；通信文件的完整、准确性以及认证检验的唯一性诸方面。通信的隐密性希 望保守文件、谈话在通信过程中的秘密，隐瞒各种通信资料的内容，保护它们不受网上其他通信人 的窃取、识别。有效鉴别和完整准确性是为了向用户提供确认识别的必备手段，保证通信信息准确 无误。认证检验的唯一性目前有效的应用实例是分布式中央数字认证，它是电子商务系统成功营 运的关键，保证了系统能为数百万用户唯一有效的处理文件信息往来。 二、电子商务通信的保密技术 电子商务通信的保密技术是保护电子商务通信隐密性的重要手段。隐密性的基础技术是保密 ·136· 学处理法。一种信息保密处理的算法可采用密钥将一份欲传送的常用文件转换为不可读的密码文 件(如图I)，在另一端，掌握这一算法的用户，可采用这种相同的数据编码加密系统(DES)密钥，作 反向处理，重新读出发送的这份文件内容。高级的保密处理算法还能阻止偷用这一密钥的局外人 来阅读这份文件的企图。这种保密处理的好处是用它形成的密码文件可以公开传送，它能用广播、 卫星或出版的报纸来保密地传送消息给对方，因为只有掌握准确密钥的人才能读出这份文件内容。 假如编码和解码处理的密钥是等同的。则这系统称为对称的(或一致性的)系统。 西弋纱气b弋矽 々珧娅钥 霉jil l 醛 硝 马爵 田l常规的蝙码加密系统。事明用致据编码加密系统(DES)密钥加密—份文件 麓送给马曩{马曩采用招同的密钥解密收取这份文件．选种系统耍采通信双方约 定拥有同—个加密密髑。：印—致性加密髓僖． 这样做，把保守文件内容秘密的这样一个复杂问题，变换为保守单一的密钥构成问题。在一般 场合应用的这种密钥容量相对而言是较小的(约40-2048bits字长)并且可长期使用。因而对于一 个中等容量的通信系统，设计这种密钥的构成并不十分困难。 早在70年代，曾有人发明了一种新的文件编码保密处理算法，非对称密钥或称公开密钥的密 码加密方法(如图2