本站原创[摘 要]电子商务是21世纪信息化社会的重要组成部分,也是我国全面建设小康社会的重要内容之一.文章从电子商务的安全问题着手,重点分析了电子商务中信息安全的常用技术,并对未来电子商务安全技术的研究方向进行了展望.
[关 键 词]电子商务;信息安全;文献综述
[作者简介]江文,无锡商业职业技术学院信息工程系实验员,江苏无锡214153
[中图分类号]F062.5 [文献标识码]A [文章编号]1672-2728(2010)07-0030-03
随着信息技术的发展及世界经济一体化、全球化进程的加快,在社会各个行业发生了一场前所未有的思想观念与管理模式的巨大变革.信息技术正越来越广泛地应用于经济贸易领域.电子商务作为计算机应用技术与现代经济贸易活动结合的产物,已经成为人类跨越知识经济新纪元的重要标志之一.国务院《关于加快电子商务发展的若干意见》(国办发[2005]2号)中指出:电子商务是国民经济和社会信息化的重要组成部分.发展电子商务是以信息化带动工业化,转变经济增长方式,提高国民经济运行质量和效率,走新型工业化道路的重大举措,对实现全面建设小康社会的宏伟目标具有十分重要的意义.
然而,目前在电子商务的实践过程中,信息安全成为最为敏感和令人头痛的问题.因此,了解电子商务安全技术的研究现状及发展趋势有着重要的作用.本文旨在对电子商务安全及安全技术的内容及发展进行研究,探讨其未来发展趋势.
一、电子商务安全问题
电子商务是利用综合信息技术(Inter和WorldWideWeb等),以提高贸易伙伴间商业运作效率为目标,将一次交易全过程中的数据和资料用电子方式实现,在商业的整个运作过程中实现交易无纸化、直接化.电子商务可以使贸易各方更紧密地联系,以最小的投入获得最大的效益.电子商务不仅为企业带来了无限商机,提供了商业竞争的优势,也逐渐地影响到国家整体经济的竞争力.因此,国内企业与商家纷纷投入新兴的电子商场,政府相关部门积极拟订相关政策和研究各种应对措施,学术研究机构也致力于安全交易架构及技术的研究,以应对电子商务热潮所衍生的信息安全问题及交易纠纷.
从目前来分析,电子商务的安全性归纳起来主要包含以下几个方面的内容:
1、信息的机密性,又称数据保密性.它是指在电子商务的信息传播中,信息不会被非法窃取,或即使被窃取,窃取者也不能读懂信息,这就要求对数据进行加密.这样才能为电子商务的应用及全面推广创造一个可靠的环境.
2、信息的完整性.它是电子商务应用的基础,包括两层含义:一是数据传输的真实性,即信息在网络传输过程中没有被篡改,保持与原信息的一致性;二是数据传输的统一性,即数据传输的次序和模式的固定性,不能任意改变.只有保持信息传输的完整性,才能保证商务交易的公正性与合法性.
3、不可抵赖性,又称不可否认性.是指信息的发送方或接收方在发送或接收信息之后,有充分的证据证明双方已经发生过的收发行为,而这些证据一般也是对双方公开的,这样就保证了收发双方都不能对收到和发送的信息抵赖,减少了交易纠纷.
4、交易者身份认证性.是指在电子商务的网上交易过程中,能够确定对方的真实身份及从事的真实业务,尤其在涉及到一些敏感信息如信用卡、等的真实有效性,以防止不必要的利益损失.可见,身份认证是电子商务中的一个重要环节.
二、电子商务安全技术的研究现状
目前电子商务安全技术主要侧重于以下方面的研究:
1、认证和访问控制技术.所谓认证,就是要求进入网络或服务器的用户要求验证其身份.验证身份的基本方法是用户,还可以采用人体的生理特征,如指纹、眼底纹等.在互联网上,为了加强身份认证,引进了证书(Certificate)的概念.证书是个人身份或站点的数字证明,是数字化的或护照.所谓访问控制,就是规定主体对客体的访问限制.访问控制与用户身份认证密切相关,即确定该合法用户在系统中对哪类信息有什么样的访问权限.
2、技术.所谓技术,就是保护重要的信息,不让别人读懂的一种手段.技术包括加密和解密两个方面.加密是将原始信息进行数学变换成不可读懂信息的过程.解密是加密的逆过程.技术有两个要素:算法和密钥.技术分为对称和非对称技术.
(1)对称技术,又称单钥加密体制(One-keyCryptosystem).顾名思义,对称技术即发送方与接受方使用同一个密钥取加密和解密报文.此密钥必须为发送者和接收者所共享,且不允许公开.因此发送和接收地位是对称的.对称密钥加密技术具有效率高的特点,即可用较短的密钥长度,较简单的算法,较少的系统投入完成较好的加密效果.但是,它也有不足之处,在协调产生密钥的过程中,任何有关密钥产生的信息都必须保证不会被窃听,一旦密钥被第三者取得或算出,则会引起泄密.最常用的单钥加密法是数据加密标准(DataEncrypmnStandard,DES),它是一种分组技术,每个分组大小为64比特,采用56位密钥,经过16轮的异或、S盒替换、P盒置换后得到密文.DES解密过程与加密类似.
对称技术加密法速度快,适合加密大量数据.然而,在公众网络上通讯者之间的密钥分配是很麻烦的.所以,单钥加密法很难直接应用于电子商务上,除非有安全的密钥分配方式.
(2)非对称技术,又称公开密钥加密体制(PKIPublicKeyInfrastructure).即信息的加密和解密采用不同的密钥,一把密钥用来加密信息,而另外一把密钥则用以将信息还原.在网络上的通讯者每人都拥有两把密钥:一把公开让所有人知道公钥,一把自己秘密保存密钥.假设甲方要传送数据给乙方,则甲方先用乙方的公钥将资料加密再送出,而乙方在接收到数据后,用自己的密钥就可解密而取得原来的资料了.最有名的公开密钥加密法是RSA(Rivest-Shamir-Adleman)算法,它是基于一个数论难题,即离散对数问题的一种技术.
公开密钥加密法虽然没有密钥分配的问题,但是加解密计算较费时间,比较适合用来加密信息或者摘 要数据,而且放于网络上的公钥有被非法更改的可能.因此在电子商务的应用上,必须有数字认证及可靠第三者的配合来提高安全性及可靠性,或者采用混合加密法即采用公开密钥加密法来分配单钥加密法的密钥,提升加密、解密的速度.
3、数字签名技术(DigitalSignature).数字签名是由非对称技术研发得来,用以证明一个信息的来源和内容的真实性.在网络上,通讯者之间无法彼此确认对方的身份,数字签名可被用来验证传送者的身份.接收者可确保某一信息确实是由传送者所送出,没有被更改过,而传送者也无法否认曾经传送过此信息.
其实数字签名就像我们的印章一样.通常为了证明文件是我们所发出的,我们会以在文件上加盖自己的印章或亲笔签名来证明.当传送者传送文件之前先透过一个Hash函数将数据转换成一段信息摘 要,再将此信息摘 要和文件一齐送出.如果中途有人修改过此文件,那么接收者将被修改过的文件经过Hash函数重新计算过后,将会发现算出来的摘 要和传送者送来的摘 要不相吻合,这就表示传输的文件在中途被人动过手脚了,这样就能顺利查出别人的伪造行为了.
4、数字认证(DigitalCeatificate)与认证中心(CertificateAuthorit y,CA).公钥是在公众网络上让别人作为传送数据给自己的加密工具,如果公钥被伪造散布,那么伪造者就可以假冒你拦截传送给你的数据,并用对等的密钥将资料解开.所以我们在传送数据之前也必须先识别对方身份,确认公钥确实是接收者的,才可将数据送出.为了做到公钥的确认,可经由公钥的认证来完成,这就是数字认证.
在电子商务的应用上,企业问需要一位可信赖的第三者来做公钥的认证工作.这个第三者就是所谓的认证管理中心,而CA会依据合法申请者的请求发出数字认证,数字认证里面包含了申请人的辨识数据姓名、公钥及CA对这把公钥的签名,有CA的签名背书后,就可以信赖这把公钥.在网络上.企业只要透过CA的公钥的验证就可以辨识对方的身份,如此一来,不同的个体就可以在高度的信赖下进行电子商务了.数字认证的使用可以更进一步加强身份的验证.使用一个共同的认证管理中心,数字认证对电子商务交易的参与者之间的互相信任提供了一个既简单又便利的方法.
5、信息隐藏(InfonmtionHiding)技术.又称为数字水印技术.即运用各种信号处理的方法将需要保密的信息隐藏在一般的声像数据中,当非法用户截获到含密文件后,他只能解读文件载体的内容,而不会意识到其中含有秘密信息,或者即使知道其中含有隐秘信息也不能解读出来.信息之所以能够隐藏在多媒体数据中是因为:一方面多媒体信息本身存在很大的冗余性,从信息论的角度看,未压缩的多媒体信息的编码效率是很低的,所以将某些信息嵌入到多媒体信息中进行秘密传送是完全可行的,并不会影响多媒体信息本身的传送和使用;另一方面人眼或人耳本身对某些信息都有一定的掩蔽效应,比如人眼对灰度的分辨率只有几十个灰度级;对边沿附近的信息不敏感等.利用人的这些特点,可以很好地将信息隐藏而不被察觉.
6、防火墙技术.防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合.它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力.它是提供信息安全服务,实现网络和信息安全的基础设施.防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行.防火墙还可以关闭不使用的端口,而且它还能禁止特定端口的流出通信,封锁特洛伊木马.
防火墙具有很好的保护作用,入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机.可以将防火墙配置成许多不同保护级别.高级别的保护可能会禁止一些服务,可以由企业自主选择要保护的内容.它还可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信.
三、未来电子商务安全技术的研究方向
电子商务以其高效、低成本的优势,将逐步成为新兴的商业运作模式,有着广阔的发展空间,但其安全性又足以影响其发展进程.所以,解决安全问题是电子商务有效开展业务的前提条件.
随着可持续发展理论和网络技术,特别是信息安全技术的发展,电子商务安全技术未来的发展趋势是指纹认证技术、技术和数字水印技术等的结合.
[责任编辑:钟 山]