电子商务中的安全技术.doc

电子商务中的安全技术 作者：谢丹夏 学号对我国来说，电子商务尚是一个机遇和挑战共存的新领域，这种挑战在很大程度上来源于对可使用的安全技术的信赖。在开放的网络（如Internet）上处理交易，如何保证传输数据的安全成为电子商务能否普及最重要的因素之一。 一．电子商务对安全的要求 归纳用户对电子商务活动安全性的需求，以及可使用的网络安全措施主要包括在如下几方面。 1．如何确定通信中的贸易伙伴的真实性：常用的处理技术是身份认证，依赖某个可信赖的机构（认证中心－CA）发放证书，双方交换信息之前通过CA获取对方的证书，并以此识别对方；1997年5月，由Visa、MasterCard等联合推出，并得到IBM、Netscape、Microsoft、Oracle等公司支持的安全电子交易（SET）规范为在Internet上进行安全的电子商务提供了一个开放的标准。电子认证是SET的主要功能。 2．如何保证电子单证的秘密性，防范电子单证的内容被第三方读取；常用的处理技术是数据加密和解密。加密实质是一种数据形式的变换，将被传输的单证（称为明文）变换成难以识别和理解的密文，并进行传输，同时在接收方进行相应的逆变换（称为解密），从密文中还原出明文，以供本地的信息处理系统使用。常见的加密技术包括对称密钥加密技术（加密/解密使用相同的密钥，或者可以从一个密钥推导出另一个密钥，典型的加密算法包括DES、Triple DES、IDEA、RC4和RC5）和非对称密钥加密技术（也称公开密钥加密技术，加密/解密使用不同的密钥，典型的加密算法为RSA、SEEK、PGP和EU等）。单证传输的安全性依赖于使用的算法和密钥的长度。 3．如何保证被传输的业务单证不会丢失，或者发送方可以察觉所发单证的丢失；对于固定且具有频繁贸易往来的伙伴，可以采用单证传输的序列性检验（即为单证分配序列号，或者增加时间戳）；也可采用双方约定的方法（即在规定的时间内，通过某种方式进行确认，包括采用特定的确认报文（如：订单确认报文），或者电子邮件确认和电话确认等）。 4．如何确定电子单证的内容未被篡改；单证传输完整性主要采用散列技术来防止非法用户对单证的篡改，通过散列算法对被传输的单证进行处理，产生一个依赖于该单证的短小的散列值（通常在100－200比特之间），并将该散列值附接在单证之后传输给接收方。以便接收方采用相同的散列算法对接收的单证进行检验。散列算法保证对于不同的单证产生相同的散列值的概率极小。典型的散列算法为美国国家安全局开发的单向散列算法之一（SHA－1），该算法产生长度为160比特的散列值，以及MD2和MD5等。 5．如何确定电子单证的真实性，即单证来源于期望的发送方；鉴别单证真实性的主要手段是数字签名技术，其基础是数据加密中的公开密钥加密技术，实用中常结合单证完整性一起考虑，利用发方的秘密密钥对散列值进行加密。目前可用的数字签名算法很多，如：RSA数字签名、ELGamal数字签名等。 6．如何解决或者仲裁收发双方对交换的单证所产生的争议，包括发方或者收方可能的否认或抵赖。通常要求引入认证中心进行管理，由CA发放密钥，传输的单证及其签名的备份发至CA保存，作为可能争议的仲裁依据。 7．如何保证存储信息的安全性。规范内部管理，使用访问控制权限和日志，以及敏感信息的加密存储等。当使用WWW服务器支持电子商务活动时，应注意数据的备份和恢复，并采用防火墙技术（有些专家建议直接采用物理分割WWW服务器和内部网络的连接）保护内部网络的安全性。 为了达到商务活动的要求，电子商务需要有规定顾客、商家和各金融机构之间的责权关系的政策，给出参与各方的数据存储和通信过程以及数据流动的支付协议。在这些协议中，要充分考虑到对安全性的要求。 二．电子支付协议工作流程 电子商务也需要有与现实世界中使用的各种支付手段的相应的电子支付工具。目前主要有三种支付工具：卡，电子支票，电子货币（电子现金，电子硬币）。对应于不同的支付工具，可以将目前已有的支付协议分为三类：基于卡的支付协议，基于支票的支付协议，基于电子货币的支付协议。基于卡的支付协议使用信用卡的支付基础设施，卡的有效性需经过发卡机构的认证，不能提供交易的匿名性。基于支票的支付协议使用电子支票作为支付工具，支付机制类似于基于卡的支付，支票的有效性需