随着信息技术和计算机网络技术的飞速发展,电子商务作为一种新的商业应用形式,将企业和企业、企业与用户通过Internet有机地结合起来,提供了无限的商机,正以惊人的速度向前发展。
电子商务是以信息网络技术为手段,以商品交换为中心的商务活动;也可理解为在互联网(Internet)、企业内部网(Intranet)和增值网(VAN,Value Added Network)上以电子交易方式进行交易活动和相关服务的活动,是传统商业活动各环节的电子化、网络化、信息化。它是基于Internet开展的商务活动,大量重要的信息都需要在网上进行传递,因此,建立一个安全可靠的电子商务应用环境,已经成为影响到电子商务健康发展的关键性课题。
电子商务的安全主要包括计算机网络系统安全和电子商务交易中数据传输安全两个方面,计算机网络系统的安全主要采取防火墙技术、病毒查杀、安全防范等被动措施,而电子商务交易中数据传输的安全则主要是采用现代数据加密技术对数据进行主动保护。数据加密技术是信息安全技术中最常见、最基本的技术,同时也是最有效的核心技术之一。
数据加密技术
为了确保电子商务活动的安全性,就必须要建立一套安全可靠的电子商务安全机制。电子商务的安全机制至少要解决以下几个方面的问题:一是解决交易双方的身份鉴别问题;二是解决交易活动中的不可否认性;三是解决交易数据的保密性和完整性;四是解决电子支付过程中每一个环节的安全。
数字证书
数字证书类似于现实生活中的身份证,它提供了一种在Internet网上验证个人或组织身份的方式,数字证书由专门的认证机构(认证中心,CA)颁发。在电子商务活动中,利用签名数字证书就可以识别交易双方的身份。
数字证书一般包含以下一些内容:证书的版本信息、每个用户都有一个唯一的证书序列号、证书所使用的签名算法、证书的发行机构名称、证书的有效期、证书所有人的名称、证书所有人的公开密钥、证书发行者对证书的签名等。数字证书主要是通过非对称加密体制来实现的。每个用户自己设定一把特定的仅为本人所知的私有密钥。用它来进行解密和签名,同时设定一把公开密钥并由本人公开,由一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样就可以保证信息除发送方和接收方外不被其他人窃取。信息在传输过程中不被篡改,发送方能够通过数字证书来确认接收方的身份,发送方对于自己发送的信息不能抵赖。
数字签名和数字摘要
以往的书信或文件是根据亲笔签名或印章来证明其真实性的,但在计算机网络中传送的报文又如何签章呢?这就是数字签名所要解决的问题。
数字签名必须保证以下3点:一是接收者能够核实发送者对报文的签名;二是发送者事后不能抵赖对报文的签名;三是接收者不能伪造对报文的签名。
运用数字签名技术就可以实现交易中的不可否认性。目前数字签名是通过非对称加密体制实现的,其基本原理是:发送方用私钥对所传输的报文加密(签名),接收方用公钥解密(核对签名)。由于数字签名使用的是发送方的私钥进行签名,事后发送方则无法抵赖其所发出的报文,从而实现了交易的不可抵赖性。
为了验证信息的完整性,还可以使用数字摘要技术,其要点是将要发送的报文通过HASH加密算法计算出一个摘要值,将摘要值用发送方的私钥签名,再与原报文明文一起发送。接收方先用发送方的公钥解密得到报文和摘要值,再用同样的HASH算法自行计算一遍收到报文的摘要值,然后将两个摘要值进行核对,如果两个摘要相同则说明信息在传输过程中没有被篡改,否则,信息已被非法用户篡改。这是因为 HASH算法可以保证只要原文被改动了任一个二进制码就会导致摘要值的显著变化。因此利用数字摘要和签名技术,就可以解决信息传输的完整性和不可抵赖性。
数字信封
数字信封是一种综合利用了对称加密技术和非对称加密技术两者的优点进行信息安全传输的一种技术。数字信封既发挥了对称加密算法加密速度快、安全性好的优点,又发挥了非对称加密算法密钥管理方便的优点。
在信息传输过程中,发送方先用对称加密算法对信息加密,再用接收方的公钥对自己加密所用的密钥进行加密,这一密文就是数字信封,然后将加密了的信息和数字信封一同发送给接收方。而接收方则先用自己的私钥打开数字信封得到发送方加密所用的密钥,再用这把密钥对加密信息解密就可得到信息的明文。
从这一过程可以看出,数字信封如同我们生活中的信封,只不过数字信封中封装的是发送方进行加密的一把密钥。利用数字信封技术很好地解决了对称加密体制密钥管理的难题,有利于充分发挥对称加密体制加密速度快、安全性好的优点。
电子支付过程中的安全协议
电子商务的显著特征之一就是通过电子支付来实现交易过程中的支付环节。为了保障电子支付过程中持卡人的账户信息不泄漏、不被盗用,交易各方就必须要建立并共同遵循用来解决电子商务交易安全的某种协议。目前,具有这种功能的安全协议有很多,其中使用最广泛的有SET协议和SSL协议。
- SET协议。SET协议是由美国Visa和Master Card两大信用卡组织联合国际上多家科技机构,共同制定的应用于Internet上的以银行卡为基础进行在线交易的安全标准,即“安全电子交易”(Secure Electronic Transaction,SET)。它采用了非对称加密体制和X.509数字证书标准,主要应用于B to C模式中保障支付信息的安全性。它通过相应的软件、数字证书、数字签名和加密技术,为电子交易各环节提供更大的信任度、更高的安全性和较少的欺诈性。它提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是具有能保证不将消费者银行卡信息暴露给商家等优点,它为电子商务的安全交易提供了一个重要的保障机制。因此,它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。但它局限于使用信用卡方式的支付手段。
- SSL协议。SSL(Secure socket Layer,安全套接层协议)是网景(Netscape)提出的基于Web应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。SSL协议也是使用非对称加密体制和X.509数字证书技术。它主要用于应用程序协议之间的数据安全,能提供用户和服务器的认证、数据传送的机密性以及信息传输的完整性等安全措施。但 SSL不对应用层的消息进行数字签名,因此不能提供交易的不可否认性,即不能保证信息传输的不可抵赖性,这是SSL在电子商务中使用的最大不足。
总的来说,目前电子商务交易的安全机制还不够成熟,无法满足迅速增长的电子商务需要,主要体现在加密体制上的不完善。电子商务的安全保障主要是采用加密技术构建数据传输的安全机制,加密技术是数据传输安全的核心。尽管现在流行的算法(如DES、RAS和IDEA等)功能较为强大,能够提供高强度的数字安全保护,但现行的大多数加密算法都没有经过严格的数学证明,因此或多或少都存在薄弱环节,给攻击者留下可乘之机。在网络数据传输过程中,攻击者可以试图通过对密文的分析、破译,攻击密码系统的薄弱环节,以破获密钥打开密文。因此,绝对安全的电子商务运行环境是不存在的。
但是由于数据加密和解密的算法都是公开的,数据的安全性完全取决于密钥的安全使用和管理。如果将一个对话密钥用于一条信息中或一次对话中,或者建立一种按时更换密钥的机制就可以减小密钥暴露的可能性,从而改善电子商务的运行环境。