电子商务安全技术研究.docxVIP

电子商务安全技术研究 0 电子商务安全技术研究 随着计算机网络技术和通信技术的快速发展，电子商务在世界范围内得到了普及和应用。相对于传统商务模式，电子商务具有便捷、高效的特点，然而，目前全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的一小部分。究其原因，电子商务是一个复杂的系统工程，它的实施还依赖于相应的社会问题和技术问题的逐步解决与完善。其中，电子商务的安全是制约电子商务发展的一个关键问题。电子商务安全技术也成为各界关注和研究的热点。 本文从系统工程的基本观点和原理出发，从安全技术角度，讨论当前电子商务应用系统对安全的需求、电子商务自身运行特点、电子商务安全技术体系结构，揭示各种安全机制间的层次关系，并重点介绍一些核心技术。 1 网络安全的要求 保证交易数据的安全是电子商务系统的关键，由于Internet本身的开放性，使电子商务系统面临着各种各样的安全威胁，因此，对电子商务的安全性提出了很高的要求。 1.1 保密性 电子商务系统应能对公众网络上传输的信息进行加密处理，防止交易中信息被非法截获或读取，防止通过非法拦截会话数据获得账户有效信息。 1.2 避孕措施 电子商务系统应确保交易的匿名性，防止交易过程被跟踪，保证交易过程中的用户个人信息不会泄露，确保合法用户的隐私不被侵犯。 1.3 完整性 电子商务系统应防止对交易信息的随意改动，防止数据传输过程中交易信息的丢失和重复，并保证信息传递次序的统一。 1.4 ．数据是否真实有效 由于网上的通信双方互不见面，所以在交易前必须首先确认对方的真实身份；在进行支付时，还需要确认对方的账号等信息是否真实有效。电子商务系统应该提供通信双方进行身份鉴别的机制，确保交易双方身份信息的可靠和合法。应实现系统对用户身份的有效确认，对私有密钥和口令的有效保护，对非法攻击能够防范，防止假冒身份在网上进行交易。 1.5 数据携带的有效性 电子商务系统应有效防止商业欺诈行为的发生，网上进行交易的各方在进行数据传输时，都必须携有自身特有的、无法被别人复制的信息，以保证交易发生纠纷时有所对证，以保证商业信用和行为的不可否认性，保证交易各方对已做交易无法抵赖。 1.6 控制和预防原则 电子商务系统应有效防止系统延迟和拒绝服务情况的发生。要对网络故障、硬件故障、操作错误、应用程序错误、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，保证交易数据在确定的时刻、确定的地点是有效的。 2 安全的顶层设计 电子商务的安全控制体系结构是保证电子商务中数据安全的一个完整的逻辑结构。由5个部分组成（见图1）。 电子商务安全体系由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层组成。其中，下层是上层的基础，为上层提供技术支持；上层是下层的扩展与递进。各层次之间相互依赖、相互关联构成统一整体。各层通过各自的安全控制技术，实现各层的安全策略，保证电子商务系统的安全。 电子商务系统是依赖网络实现的商务系统，需要利用Internet基础设施和标准，所以构成电子商务安全框架的底层是网络服务层，它提供信息传送的载体和用户接入的手段，是各种电子商务应用系统的基础，为电子商务系统提供了基本、灵活的网络服务。通过Internet网络层的安全机制（如入侵检测、安全扫描、防火墙等）保证网络层的安全。 为确保电子商务系统全面安全，必须建立完善的加密技术和认证机制，加密技术层、安全认证层和安全协议层，即为电子交易数据的安全而构筑。其中，安全协议层是加密技术层和安全认证层的安全控制技术的综合运用和完善。 3 安全技术 为了满足电子商务在安全服务方面的要求，除了网络本身运行的安全外，电子商务系统还必须利用各种安全控制技术保证整个电子商务过程的安全与完整，并实现交易的防抵赖性等。具体实现有以下几种技术。 3.1 加密技术 加密技术是电子商务的最基本安全措施。在目前技术条件下，加密技术通常分为对称加密和非对称加密两类。 3.1.1 不同密钥安全交换 采用相同的加密算法，并只交换共享的专用密钥（加密和解密都使用相同的密钥）。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露，则可以通过对称加密方法加密机密信息，并随报文发送报文摘要和报文散列值，来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。 目前常用的对称加密算法有DES、PCR、IDEA、3DES等。其中DES使用最普遍，被ISO采用作为数据加密的标准。 3.1.2 公开密钥加密 非对称加密不同于对称加密，其密钥被分解为公开密钥和私有密钥。密钥对生成后，公开密钥以非保密方式对外公开，只对应于生成该密钥的发布者，私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的发布者，而发布者得到加密信息后，使用与公