电子商务安全技术初探.doc

电子商务安全技术初探+芦牟玲(重庆邮电大学，重庆)摘要：从保密性、完整性。有效性、可靠性、不可依赖性和可控性6个方面介绍了电子商务的安全性需求，在此基础上分析了电子商务安全关键技术和电子商务安全交易协议，并对SSL协议、SET协议进行了比较结果表明：SET在网上交易安全性控制方面远比SSL严密，必然成为未来的发展方向关键词：电子商务；安全技术；安全协议。中图分类号：TP393 文献标识码：A 文章编号：16710924(20cr7)12013505Research on Security Technology for Electronic CommerceLU Hua-ling(Chongqing University of Posts and Telecommunications，Chongqing ，China)Abstract：This paper analyzes the security requirements of electronic commerce from the six aspects of secret keeping，integrity，validity，reliability，independence and controllability，and based on these requirements，analyzes the key security technology and safe transaction protocol of electronic commerce，and eompares SSL protocol and SET protoc01The comparison shows that SET protocol is far more rigorous than SSLprotocol in terms of network transaction security，and will be the future development trendKey words：electronic commerce；safety technology；SecUre payment protocol目前，电子商务的安全问题已成为制约电子商务发展的关键要素对于客户而言，无论网上的物品如何具有吸引力，如果他们对交易安全性缺乏把握，就根本不敢在网上进行买卖企业和企业间的交易更是如此因此，应着重关注电子商务中存在的安全问题，努力建立安全的电子商务环境，以推动电子商务健康、快速地发展1 电子商务安全性需求目前，电子商务普遍存在信息在传输过程中被窃取、被篡改、伪造电子邮件干扰正常交易、假冒他人身份、抵赖已经发生的业务等多种安全隐患。针对这些安全威胁，电子商务安全性要求应包括以下几个方面。11保密性电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。因此，必须保证数据不被非授权方非法访问，加密的信息不会被破译。保密性又主要分为数据存储保密性和数据网络传输的保密性。12完整性保证电子交易过程中所有存储和管理的信息不被非法篡改，保证目的信息和源信息相一致。保护电子支付完整性的主要途径有：协议、纠错编码方法、密码校验、数字签名、公证等。13有效性有效防止延迟和拒绝服务情况的发生，保证交易数据在确定的时刻、确定的地点是真实、有效的。14可靠性保证合法用户对信息和资源的使用不会被不正当地拒绝。电子支付系统通过提供对用户身份的鉴别方法，实现系统对用户身份的有效确认，确保用户身份信息的合法、可靠。15不可抵赖性通过建立有效的责任机制，使得交易双方对于自己已经发送或者接收的数据不能事后否认，从而有效防止支付欺诈行为的发生。16可控性交易发生的整个过程都是可控的，有明确的责权关系和相互制约关系，能够切实保障各方利益不受损害。2电子商务安全控制体系结构电子商务的安全控制体系结构是满足电子商务安全性需求的一个完整的逻辑结构，如图l所示，共由5个部分组成网络服务层作为电子商务安全框架的底层，提供信息传送的载体、用户接入手段及安全通信服务，保证网络最基本的运行安全加密技术层可以满足电子商务对保密性的要求安全认证层通过数字签名、数字摘要、CA认证等认证技术进一步满足电子商务对完整性、不可抵赖性、可靠性的要求交易协议层是加密技术层和安全认证层的安全控制技术的综合运用和完善，为电子商务安全交易提供保障机制和交易标准各层次之间相互依赖、相互关联构成统一整体，并通过控制技术的递进实现电子商务系统的安全图l 电子商务的安全控制体系姑构3几种主要的电子商务安全技术31加密技术加密技术是电子商务采取的主要安全措施，是实现信息的保密性、完整性的核心加密技术一方面应用于数据、文件加密，另一方面也是身份认证、数字签名等安全技术的基础按照密钥的不同，加密技术主要有对称型密钥体制和非对称型密钥体制1)对称密码体制对称密码体制也称为私钥密码体制，发送方和接收方都必须使用相同的密钥对消息进行加密和解密运算目前比较通用的对称加密算法有RCA和DES等对称加密算法最大的优势就是开销小、加密速度快，所以广泛应用于对大量数据如文件进行加密它的局限性在于通信双方要确保密钥的安全交换，密钥的分发和管理非常复杂，而且无法鉴别交易发起方或交易最终方2)非对称密码体制非对称型密钥加密也称为公开密钥算法，需要2个密钥：对外公开的公开密钥和自己保存的私有密钥公开密钥用于对机密信息加密，私有密钥用于对机密信息解密由于公开密钥是公开存放，密钥的分配和管理问题很容易解决然而，公钥加密算法速度比私钥加密算法慢得多，同时，公开加密方式对资源的占用较大，网络传输速度将受到影响在实际应用中，通常将2种加密技术结合起来。数字信封即利用了2种加密技术的优点，先采用公钥密码传送加密密钥，再用私钥密码加密传输的信息，从而确保信息的安全传输32安全认证技术1)数字摘要与数字签名技术数字摘要技术也称为散列技术摘要技术采用Hash函数将需加密的明文映射成一串较短的定长密文，这一串密文亦称为数字指纹，可以确保数据不被修改，保证信息的完整性数字签名就运用了数字摘要技术，与传统签字具有同样的有效性，其原理为：报文发送方从报文文本中生成一个128位的报文摘要，并用自己的私有密钥对这个摘要进行加密，形成发送方的数字签名；然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方；报文接收方首先从接收到的原始报文中计算出128位的消息摘要，接着再用发送方的公开密钥来对报文附加的数字签名进行解密如果2个摘要相同，那么接收方就能确认该数字签名是发送方的数字签名技术可以保证信息传输过程中的完整性，提供信息发送者的身份认证和不可抵赖性2)数字证书数字证书又称数字凭证，由可信任的、公正的权威机构CA中心颁发CA对申请者所提供的信息进行验证，然后通过向电子商务各参与方签发数字证书，来确认各方身份的真实性、合法性，以及对网络资源的访问权限等，保证网上支付的安全性33数字水印技术数字水印是指用信号处理的方法在数字多媒体数据中嵌入隐蔽的标记，这种标记通常是不可见的，只能通过专用的检测器或阅读器提取它并不改变数字产品的基本特性和使用价值数字水印的基本思想是利用人类感觉器官的不敏感，以及数字信号本身存在的冗余，在图像、音频和视频等数字产品中嵌入秘密的信息以便记录其版权，要求嵌入的信息能够抵抗一些攻击而生存下来，从而达到版权认证和保护的功能一个完整的数字水印系统应包含3个基本部分：水印的生成、嵌入和水印的提取或检测水印嵌入算法利用对称密钥或公开密钥实现把水印嵌入到原始载体信息中，得到隐秘载体水印检N提取算法利用相应的密钥从隐秘载体中检测或恢复出水印在没有解密密钥的情况下，攻击者很难从隐秘载体中发现和修改水印【6J4安全技术在电子商务中的应用41加密技术在电子商务中的应用灵活运用加密技术，可以有效地解决电子商务的很多安全问题例如数字信封技术结合了对称密码体制和非对称密码体制的优点，保证了电子交易过程中只有规定的特定收信人才能阅读通信的内容信息发送方首先利用随机产生的对称密钥来加密信息，然后用接收方的公开密钥加密对称密钥，被加密后的对称密钥即数字信封。在传递信息时，发送方将数字信封和加密后的信息一起发送给接收方接收方必须使用自己的私有密钥进行数字信封拆解，得到对称密钥，才能利用对称密钥解密看到信件内容因此，采甩数字信封技术后，即使加密信件被他人非法截获，截获者也无法知晓信件内容，从而保证了只有规定的接收人才能阅读信息的内容利用非对称密码体制的常用算法RSA算法可以实现不可抵赖性甲向乙发送数据时，先用MD5算法计算要发送的数据的信息摘要再用自己的私钥对摘要进行加密来形成数字签名乙收到数据后，用甲的公开密钥解密并确认数据内容然后乙用自己的私有密钥再对数据进行签名并传递给万方数据138 重庆工学院学报甲甲收到数据后，用乙的公开密钥进行解密并确认数据内容，将内容保存起来通过这样的操作，甲不能否认自己发送了数据，乙也不能否认自己收到了甲发送来的数据，从而实现了不可抵赖性5142安全认证技术在电子商务中的应用身份认证是实现网络安全的重要机制之一参与电子商务的各方必须通过某种形式的身份验证机制来证明他们的身份，验证用户的身份与所宣称的是否一致，从而实现对于不同用户的访问控制和记录。身份认证可以通过数字签名和数字证书来实现我们知道，如果接收方能够成功解密数字签名，就可以对发送方进行身份认证，确认传输信息的完整性然而，如果接收方获得的公开密钥不是发送方的，数字签名就失效了因此，仅有数字签名不能实现身份认证数字证书提供了一种验证用户身份的方式，能够确认公钥的确属于某个用户任何需要此用户公钥的人都可以得到此证书并通过相应的数字签名来验证公钥的有效性目前，常见的身份认证方式有基于口令的认证方式、基于智能卡的认证方式和基于生物特征的认证方式43数字水印技术在电子商务中的应用数字水印将姓名、公司代号、产品序列号等信息隐藏到载体中，从而可以认定签署人身份、信息的来源、信息的完整性与安全性等因而可在加密信件、商务活动、定货购买系统、远程金融交易、自动模式处理等电子商务和电子政务等领域广泛地应用数字水印技术以达到保护版权的目的从传统商务向电子商务转化的过程中，会出现大量过度性的电子文件同时，随着高质量图像输入输出设备的发展，使得货币、支票以及其他票据的伪造变得更加容易数字水印技术可以为各种票据提供不可见的认证标志，大大增加了伪造的难度，从而被广泛应用于票据防伪我们可以在彩色打印机、复印机输出的图像中加人惟一的、不可见的水印，在需要时可以实时地从扫描票据中判断水印的有无。5电子商务安全交易协议除了各种安全控制技术外，电子商务的运行还需要一套完善的安全交易协议不同交易协议的复杂性、开销、安全性各不相同，不同的应用环境对协议目标的要求也不尽相同目前，常用的有SSL协议、SET协议等51 SSL协议SSL安全套接层协议采用TCP作为传输协议提供数据的可靠传送和接收，它建立在传输层和应用层之间，独立于高层应用，可以为高层协议提供安全业务41SSL由SSL记录协议和SSL握手协议构成SSL记录层用于封装不同的上层协议SSL握手协议可以让服务器和客户机在传输应用数据之前协商加密算法和加密密钥，客户机提出自己能支付的全部算法清单，服务器选择最适合它的算法SSL通过采用公钥和私钥技术对Web服务器和客户机的通信提供保密性、数据完整性和认证性但是，该协议并不能防止心术不正的商家欺诈。52 SET协议SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则它是由两大信用卡商Visa和MasterCard组织共同制定的实现网上信用卡交易的模型和规范SET协议的安全程度很高，它结合了数据加密标准(DES)、RSA算法、sHl耶和SSL，为每项交易都提供多层加密SET协议主要是为了解决用户、商家、银行之间通过信用卡支付的交易而设计的，它能保证支付信息的保密性、完整性，支付过程的完整性，商家及持卡人的身份认证明，以及可操作性SET主要由SET业务描述、SET程序员指南和SET协议描述3个文件组成该协议本身非常复杂，它详细、准确地反映了信用卡交易各方之间存在的各种关系53 SSL协议与SET协议的比较从加密机制来看，SSL与SET侧重点各不相同SSL对网上传输的所有信息都加密，因此每次万方数据卢华玲：电子商务安全技术初探139传输速度相对较慢；而SET对网上传输的信息进行的加密是有选择的，它只对敏感性信息加密，主要采用严密的系统约束来保证数据传输的安全性3|由于SSL是基于传输层加密，其优缺点都较为明显SSL为高层提供了特定接口，使得应用方无须了解传输层情况；然而，由于传输层属于较高层，通常由软件实现，这在很大程度上削弱了加密处理能力同时，由于地址信息由底层控制，使这种加密无法免于被攻击者进行流量分析从安全性看，SET采用了公钥机制、信息摘要和认证体系，可以使得商家在交易中免受欺诈，降低商家的运营成本SSL采用了公钥机制、信息摘要和MAC检测，虽然可以提供保密性、完整性和一定程度的身份鉴别功能，却不能提供完备的抗否认功能显然，SET在网上交易安全性方面控制远比SSL严密对消费者而言，SET保证了商家的合法性，并且用户的信用卡号不会被窃取，SET替消费者保守了更多的秘密，使其在线购物更加轻松但由于SET交易过程复杂、庞大，因而系统负载重，处理速度慢于SSL同时，由于SEr仅适于信用卡支付，且对参与各方有软件要求，价格较之SSL昂贵很多等因素，使得SET使用范围受到了限制8-9目前，SSL的普及率更高，市场中SET的相关产品相对较少，也不够成熟但随着电子支付安全性要求提高，SET必然成为未来的发展方向6结束语电子商务安全问题不仅仅是技术问题，还涉及到法律、道德、管理等多方面的因素因此，电子商务安全的复杂程度比大多数计算机网络更高目前，还没有一种电子商务安全的完整解决方案和完整模型与体系结构，我们离安全电子商务还，：有·段很长的距离所以，需要不断的研究探索，从而逐步完善电子商务系统的安全机制_