电子商务安全技术总结
《电子商务与电子政务安全模型》
读书笔记
姓名: 黄佳
班级: 2班
学号: [1**********]4
学院: 计算机科学与技术
2011年 6 月 29 日
电子商务安全技术总结
1 引言
电子商务是一种依托现代信息技术和网络技术集金融电子化 、管理信息化 、商贸信息网络化为一体,旨在实现物流、资金流与信息流和谐统一的新型贸易方式,是网络技术应用的全新 发展方向。因特网本身具有的开放性、全球性、低成本和高效率的特点成为电子商务的内在特征,并使得电子商务很容易遭到别有用心者的恶意攻击和破坏,信息的泄露问题也变得日益严重。因此,计算机网络的安全性问题就变得越来越重要,如何保证以网络为载体的电子商务的安全性 已成为一个不容忽视 的问题。
2 电子商务的安全隐患
电子商务 的活动是在一个开放 、虚拟的场所进行的,容易受到黑客的攻击,普遍存在以下几种隐患:
(1)信息泄露。攻击者可能通过截收装置,截获机密信息,推断出有用信息,如消费的银行帐号、密码等。交易双方的内容被第三方窃取,交易一方提供给另一方的文件被第三方使用 。
(2)信息破坏。交易信息在网络上进行传输的过程中,被他人非法修改、删除或伪造,使信息失去了真实性和完整性。
(3)身份的识别。如果不进行身份的识别,第三方就有可能假冒交易一方的身份介入交易过程,以破坏交易、破坏一方的信誉或盗取交易成果等。
(4)黑客。黑客利用自己在计算机方面的高超技能,对网络中的一些重要信息进行修改或伪造,造成重大的经济损失和极为恶劣的影响 。
3 电子商务的安全技术措施
3.1 计算机网络安全措施
计算机网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题 ,实施网络安全增强方案,以保证计算机网络 自身的安全性为目标。
计算机网络安全措施主要包括保护网络安全 、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护 的物理安全、防火墙安全、信息安全、Web安全、媒体安全等等。
(1)保护网络安全
网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访 问控制性是网络安全的重要因素。保护网络安全的主要措施如下:全面规划网络平台的安全策略。
1)制定网络安全的管理措施。
2)使用防火墙。
3)尽可能记录网络上的一切活动
4)注意对网络设备的物理保护 。
5)检验网络平台系统的脆弱性。
6)建立可靠的识别和鉴别机制。
(2)保护应用安全
保护应用安全,主要是针对特定应用 ( 如Web 服务器 、网络支付专用软件系统)所建立的安全防护措施,它独立于 网络的任何其他安全防护措施 虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web 浏览器和web 服务器在应用层上对 网络支付结算信息包的加密,都通过IP 层加密,但是许多应用还有 自己的特定安全要求。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web 安全性、EDI 和网络支付等应用的安全性。
(3)保护安全系统
保护安全系统,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平 台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:
1)在安装 的软件中,如浏览器软件 、电子钱包软件 、支付网关软件等,检查和确认未知的安全漏洞。
2)技术与管理相结合,使系统具有最小穿透风险性 。如通过诸多认证才允许连通 ,对所有介入数据必须进行审计,对系统用户进行严格安全管理。
3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
3.2 电子商务交易中的安全协议
SSL 协议是美 国Netscape 公司于1996 年提出的一种主要用于W e b 的安全传输协议 ,可以为服务器和客户问的通信连接提供数据加密、服务器身份验证和消息完整性等服务 ,根据服务器 的选项再提供对客户端的认证。SSL 协议要求 建立在可靠的传输层协议上,如TCP,同时 ,高层的应用协议 ,如HTTP 、FTP 、TELNET 等可以透明地建立于SSL 协议之上。
SSL 协议是 由SSL 记录 协议 、SSL 握手协 议和SSL 警报协议组成 的。SSL 握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制 。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法 、数据加密算法和Hash 算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash 算法参数。SSL 记录协议根据SSL 握手协议协商的参数 ,对应用层送来的数据进行加密、压缩 、计算消息鉴别码MAC ,然后经 网络传输层发送给对方。SSL 警报协议用来在客户和服务器之间传递SSL 出错信息。
在电子商务交易过程中,由于有银行参与,按照SSL 协议,客户的购买信息首先发往商家,商家再将信 息转发银行,银行验证客户的信息后 ,通知商家付款成功,商家再通知客户购买成功,并将商品寄送客户。在上述流程中我们也可以注意到,SSL 协议有利于商家而不利于客户。客户信息首先传到商家,商家阅读后再传到银行,这样,客户资料的安全性便受到威胁。商家认证客户是必要的,但整个过程中缺少了客户对商家的认证。在电子商务的开始阶段,由于参与电子商务的公司大都是一些大公司,信誉较高,这个问题没有引起人们的重视。随着 电子商务参与的厂商迅速增加,对厂商的认证问题越来越突出,SSL 协议的缺点完全暴露出来。
3.3 加密技术
加密技术分为私钥加密和公钥加密技术 。
私钥加密 ( 又称对称加密)的特点是文件的加密和解密使用相同的密钥 ,即加密密钥也可以用作解密密钥。
私钥加密的优点:具有很高的保密性,算法使用简单快捷,密钥较短,且破译困难;通信双方不仅可以把数据加密发给对方,而且可以把对方发来的加密文件进行解密。只
要密钥没有泄露,并且能够证 明发送方身份的合法性,该方式的保密性就可以得到保证。
私钥加密的缺点:容易造成密钥泄露 ,并且必须要按照安全途径进行传递,而这些恰恰是影响安全性的关键因素 ,所以难于满足开放式计算机网络的需求。
公钥加密又称非对称加密,相对于私钥加密而言,公钥加密的优点是密钥分配简单;密钥的保存量少;可 以满足互不相识的人之间进行私人谈话时的保密性需求;可以完成数字签名的数字鉴别 。其缺点就是速度较慢 。
公钥加密技术要求密钥成对出现 ,一个为加密密钥,一个为解密密钥。在私钥加密技术中,加密和解密双方使用相同的密钥。双方虽然在通信时加了密,比较保险,但是,密钥却要事先约定或通过信使传递。如果通过信使传递,一方面可能会导致失密;另一方面,在高度自动化的大型计算机 网络中,用信使传递密钥是不合适的。如果事先约定密钥,则进行网络通信的每个人都要保留其他所有人的密钥,就给密钥的管理和更新带来了困难。
公钥加密正是为了解决这些问题而产生的。公钥加密算法不需要联机密钥服务器,密钥分配协议简单,所 以极大简化了密钥管理。但是,公钥算法要比私钥算法慢很多,所以在实际应用中,通常使用公钥密码技术交换密钥,而利用私钥密码技术传递正文。
3.4 认证技术
认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双
方的身份信息在传送或存储过程中未被篡改过,认证技术包含数字签名和数字证书两种。
数字签名:数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。
数字证书:数字证书是一个经证书授权中心数字签名的,包含公钥拥有者信息以及公钥的文件。数字证书的最主要构成包括一个用户公钥 ,加上密钥所有者的用户身份标识符,以及被信任的第三方签名。第三方一般是用户信任的证书权威机构 (CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的
信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。
3.5 防火墙
防火墙是保护网络服务和内部数字信息时使用最广泛的技术,它是防御外来攻击的第一道防护。防火墙是指位于两个信任度不同的网络之间( 如企业内部网络和Inter net 之问)的软件或硬件设备的组合。它除了用于将企业 内部局域网与外界Internet 隔离,还可以用于划分、隔离和控制网络问的访问控制。防火墙技术是指在专用设备上使用过滤路由和应用代理技术。
防火墙主要对提供给外界的服务进行控制。一个最简单的屏蔽入侵的方法就是断开一切外界的网络连接,不允许外界访 问,然而,对那些需要网络服务 ( 如E-mail 、Web服务和TFP ) 的商业合作来说,这并不是一个好办法;反之,如果简单的使内部设备与外界进行无限制的连接而不考虑计算机的安全,将会使企业内部信息随时面临着被攻击的危险。因此,防火墙正是它们之间的最好折中方法,它可以在这两个极端的方法之间实现比较好的安全保障。防火墙有许多形式 ,可以分为三种:包过滤防火墙、应用级网关和状态监视器。
4 结论
电子商务安全技术并不仅限于以上几种。还有很多其他技术,如物理安全措施 、虚拟专用 网(VPN)等,实际应用中应将各种技术结合起来,以最大限度地提高电子商务的安全性。但电子商务的安全运行仅从技术 角度 防范是远远不够的,还必须在加强安全管理的同时健全信用体系、完善法律保障,以确保和促进电子商务的健康发展。