基于电子商务的安全技术讨

更新时间:2024-02-10 作者:用户投稿原创标记本站原创 点赞:10776 浏览:45676

【摘 要】随着Inter技术的日益成熟,近年来电子商务也有了飞速的发展.但也应认识到电子商务尚是一个机遇和挑战并存的新领域,这种挑战很大程度上来源于对有关安全技术的信赖.本文重点讨论了保证传输数据安全的两种技术:数据加密技术和有关安全协议技术.

【关 键 词】电子商务;加密;安全技术

一、数据加密技术

在电子商务中,信息加密技术是其它安全技术的基础,为了保护商业机密在传输过程中不被别人窃取或篡改,必须对数据进行加密处理.加密技术是指通过使用代码或将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式(即加密),在线路上传送或在数据库中存储,其他用户再将密文还原成明文(即解密),从而保障信息数据的安全性.


数据加密的方法很多,常用的有两大类:一种是对称密钥加密,一种是非对称密钥加密.

对称加密也叫秘密密钥加密.发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密,其特点是加密和解密使用的是同一个密钥.这种方法使用简单,加密解密速度快,适合于大量信息的加密.

但存在几个问题:第一,不能保证也无法知道密钥在传输中的安全.若密钥泄漏,可用它解密信息,也可检测冒一方做坏事.第二,检测设每对交易方用不同的密钥,N对交易方需要N*(N-1)/2个密钥,难于管理.第三,不能鉴别数据的完整性.

非对称密钥加密也叫公开密钥加密.公钥加密法是在对数据加解密时,使用不同的密钥,在通信双方各具有两把密钥,一把公钥和一把密钥.公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密,同样地,用私钥加密的数据只能用对应的公钥解密.具体加密传输过程如下:

(1)发送方甲用接收方乙的公钥加密自己的私钥.

(2)发送方甲用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方.

(3)接收方乙用自己的私钥解密,得到甲的私钥.

(4)接收方乙用甲的公钥解密,得到明文.

这个过程包含了两个加密解密过程:密钥的加解密和文件本身的加解密.在密钥的加密过程中,由于发送方甲用乙的公钥加密了自己的私钥,如果文件被窃取,由于只有乙保管自己的私钥,无法解密.这就保证了信息的机密性.另外,发送方甲用自己的私钥加密信息,因为信息是用甲的私钥加密,只有甲保管它,可以认定信息是甲发出的,而且没有甲的私钥不能修改数据.可以保证信息的不可抵赖性.

运用公开密钥加密算法,处理和计算量都比较大,速度慢,所以只适合于少量数据的加密.

因此,在当前的加密应用中,应该使用对称密钥来对文本加密和解密,用非对称RSA加密体系对私钥加密和解密.发送方把密文和加密后的私钥一起发送给接收方.使用这种联合加密法,不仅可以确保数据的保密性,而且还可以实现一种名为数字签名的认证机制.发送者私钥加密的数据可以提供对发送者身份的认证,接收者私钥加密的数据可以提供对接收者身份的认证.

当然,任何一个安全产品或技术都不会提供永远和绝对的安全,因为网络在变化,应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的出路.

二、与电子商务安全有关的协议技术

1.SSL协议(SecureSocketsLayer)安全套接层协议

应用:面向连接的协议,在电子商务中传输重要、敏感数据.

SSL协议的概念:SSL协议是早期的一种安全电子支付协议,它的主要目标是保证两个应用间通信的保密性和可靠性,是实现浏览器和怎么写作器(通常是Web怎么写作器)之间安全通信的协议.

SSL协议的功能:SSL协议提供了三种基本的安全怎么写作,即秘密性、完整性和认证性.所谓秘密性是指在客户机和怎么写作器之间通过算法和密钥的协商,建立起一个安全通道,使得在安全通道中传输的数据都经过加密处理.所谓完整性是指利用算法和Hash函数,确保要传输的信息完整无损的到达目的地.所谓认证性是指利用认证技术和权威的第三方CA,让客户机和怎么写作起互相识别对方的身份.

SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道,在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性.SSL协议独立于应用层协议,因此,在电子交易中被用来安全传送信用卡.

SSL的应用及局限:中国目前多家银行均采用SSL协议,从目前实际使用的情况来看,SSL还是人们最信赖的协议.但是SSL当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端.它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与怎么写作器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系,并且购货时用户要输入通信地址,这样将可能使得用户收到大量垃圾信件.

2.SET协议(SecureElectronicTransaction)安全电子交易

应用:电子商务的结算方式是在Inter环境下,借助SET协议在网络上直接支付,具体方式是用户网上发送经加密的信用卡号和到银行进行支付.由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者号暴露给商家等优点,因此它成为了目前公认的信用卡/的网上交易的国际安全标准.

SET的局限性:SET是专门为电子商务而设计的协议,虽然它在很多方面优于SSL协议,但仍然不能解决电子商务所遇到的全部问题.

SET主要目标是:①信息在Inter上安全传输,保证网上传输的数据不被窃取;②定单信息和个人帐号信息的隔离,当包含持卡人帐号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息;③持卡人和商家相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通信双方提供信用担保;④要求软件遵循相同协议和报文格式,使不同厂家开发的软件具有兼容和互操作功能,并且可以运行在不同的硬件和操作系统平台上.

总之,随着电子商务的发展,安全问题将更加重要和突出,要想解决好此问题,必须由安全技术和标准作保障.安全是一个“相对的”词汇,电子商务的发展促使对安全技术进行不断探索研究和开发应用,以建立一个安全的商务环境.