电子商务中的安全技术电子商务是一个机遇和挑战共存的新领域,这种挑战在很大程度上来源于对可使用的安全技术的信赖。在开放的网络(如Internet)上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要因素之一。一.电子商务对安全的要求归纳起来,对电子商务活动安全性的需求以及可使用的网络安全措施,主要包含如下几方面。1.如何确定通信中的贸易伙伴的真实性?常用的处理技术是身份认证,依赖某个可信赖的机构(认证中心-CA)发放证书,双方交换信息之前通过CA获取对方的证书,并以此识别对方。1997年5月,由Visa、MasterCard等联合推出,并得到IBM、Netscape、Microsoft、Oracle等公司支持的安全电子交易(SET)规范为在Internet上进行安全的电子商务提供了一个开放的标准。电子认证是SET的主要功能。2.如何保证电子单证的秘密性,防范电子单证的内容被第三方读取?常用的处理技术是数据加密和解密。常见的加密技术包括对称密钥加密技术(加密/解密使用相同的密钥,或者可以从一个密钥推导出另一个密钥,典型的加密算法包括DES、TripleDES、IDEA、RC4和RC5)和非对称密钥加密技术(也称公开密钥加密技术,加密/解密使用不同的密钥,典型的加密算法为RSA、SEEK、PGP和EU等)。单证传输的安全性依赖于使用的算法和密钥的长度。3.如何保证被传输的业务单证不会丢失,或者发送方可以察觉所发单证的丢失?对于固定且具有频繁贸易往来的伙伴,可以采用单证传输的序列性检验(即为单证分配序列号,或者增加时间戳);也可采用双方约定的方法,即在规定的时间内,通过某种方式进行确认,包括采用特定的确认报文(如:订单确认报文),或者电子邮件确认和电话确认等。4.如何确定电子单证的内容未被篡改?单证传输完整性主要采用散列技术来防止非法用户对单证的篡改,通过散列算法对被传输的单证进行处理,产生一个依赖于该单证的短小的散列值(通常在100~200比特之间),并将该散列值附接在单证之后传输给接收方,以便接收方采用相同的散列算法对接收的单证进行检验。散列算法保证对于不同的单证产生相同的散列值的概率极小。典型的散列算法为美国国家安全局开发的单向散列算法——SHA-1,该算法产生长度为160比特的散列值以及MD2和MD5等。5.如何确定电子单证的真实性(即单证来源于期望的发送方)?鉴别单证真实性的主要手段是数字签名技术,其基础是数据加密中的公开密钥加密技术,实用中常结合单证完整性一起考虑,利用发送方的密钥对散列值进行加密。目前可用的数字签名算法很多,如:RSA数字签名、ELGamal数字签名等。6.如何解决或者仲裁收发双方对交换的单证所产生的争议,包括发方或收方可能的否认或抵赖?通常要求引入认证中心进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保存,作为可能争议的仲裁依据。7.如何保证存储信息的安全性?如何规范内部管理?如何使用访问控制权限和日志以及敏感信息加密存储?当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术(有些专家建议直接采用物理分割WWW服务器和内部网络的连接)保护内部网络的安全性。为了达到商务活动的要求,电子商务需要有规定顾客、商家和各金融机构之间的责权关系的政策,给出参与各方的数据存储和通信过程以及数据流动的支付协议。二.电子支付协议工作流程电子商务需要有与现实世界中使用的各种支付手段相对应的电子支付工具。目前主要有三种支付工具:卡、电子支票、电子货币(电子现金、电子硬币)。对应于不同的支付工具,可以将目前已有的支付协议分为三类:基于卡的支付协议、基于支票的支付协议以及基于电子货币的支付协议。下面以广泛应用的SET协议为例来加以分析。SET要达到的最主要的目标是:●信息在Internet上的安全传输,保证网上传输的数据不被黑客窃听;●订单信息和个人账号信息的隔离,在将包括消费者账号信息的订单送到商家时,商家只能看到订货信息,而看不到消费者的账户信息;●消费者和商家的相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通信双方提供信用担保;●要求软件遵循相同的协议和消息格式,使不同...
