摘 要:电子商务作为一种商务模式,改变着人们生活以及整个社会的发展进程,已经逐渐成为人们进行商务活动的新模式,特别是在近年获得了巨大发展,但是网络的开放性与共享性导致了电子商务的安全性受到严重影响,安全问题一直困扰着电子商务的发展,信息的安全也倍受客户和商家的关注。因此,建立一个安全、便捷的电子商务环境,就显得尤为重要。密码技术在电子商务中对于信息的安全传输、用户的身份认证方面都起着重要的作用。本文分析、研究了电子商务中的密码技术特点和应用现状,并介绍几种常用的密码技术,最后对密码技术在电子商务安全中的应用作了总结和展望。
关键词:密码技术 电子商务 安全领域
电子商务是利用公共信息通信网进行商贸活动的总称,其组成及环境如图1。由于网络的全球性、开放性、无缝连通性、共享性和动态性,信息技术在电子商务应用范围越来越大,安全隐患问题也随之而来,电子商务的安全性主要是网络平台的安全和交易信息的安全,安全的核心问题是信息的保密性、完整性和不可否认性,密码技术可以满足以上条件,实现电子商务的安全要求。因此,密码技术对于保证电子商务安全性起着举足轻重的作用。
1 密码技术概述
密码技术是对信息进行重新编码,把“明文”的可读信息转换成不可读的信息即“密文”,从而达到将信息内容隐藏的目的,从而让非法用户无法获取信息真实内容的一种手段,要想显示出原来的内容就必须输入相应的密钥,其核心技术主要包括加密技术、认证技术和密钥管理技术三大技术,一个完整的加密系统,包括明文数据、加密后的密文、加密、解密设备或算法和加密、解密的密钥4个部分。结合现代加密技术和密码体制的特点,一般将现在的密码体制分为单钥(对称密码)、双钥(非对称密码)。
2 电子商务系统安全需求
电子商务与传统商贸活动最大的不同是:一方面,电子商务中购销双方不可见,相互间对身份真实性存有疑虑;另一方面,电子商务所含的信息流、资金流都是网上进行的,需通过不安全的因特网环境,电子商务面临的安全威胁主要有中断、窃听、篡改信息、伪造信息、交易抵赖等,没有商务交易安全保障,即使计算机网络本身再安全,电子商务都是不安全的。因此,在电子商务中,安全性是必须考虑和解决的核心问题。目前增强电子商务的安全方法很多,密码技术就是其中最常用的技术。密码技术是保证电子商务的数据传输保密性、数据完整性、有效的身份验证、交易的不可抵赖、可控性、审查能力特点的重要手段。
3 常用的密码技术
3.1 信息加密技术
信息加密技术是电子商务安全技术中一个重要的组成部分,信息加密后在传输过程中,如果被人以非法的手段窃取,无法破译的话,对窃取的人来说是这些信息就失去意义了。常用的有链路——链路加密、节点加密、端——端加密、ATM网络加密和卫星通信加密五种方式。比较典型的算法有DES(数据加密标准)算法及其变形TripleDES(三重DES)、IDEA、RC5等。
3.2 身份认证技术
认证技术是保证电子商务安全不可缺少的重要技术手段,身份认证是指为了防止他人对传输的文件进行破坏以及如何确定发信人的身份,用户必须提供它自身的证明,以取得安全信息系统的信任。它是电子商务中的第一道关卡,其主要作用是信息的认证,通过电子手段确认发送者和接收者身份,并验证其文件完整性的技术,被认证者只有在被认证系统识别身份后,才能够根据用户的身份和授权级别来访问资源,主要包含数字签名、数字证书、数字时间戳、数字摘要等技术。在电子商务安全中,一旦身份认证系统被攻破,那么系统的所有安全措施将行同虚设。入侵者攻击的目标往往就是身份认证系统。
3.3 PKI 技术
PKI是一个用公钥概念和技术实施和提供安全服务的具有普适性的安全基础设施,密码技术发展到今天,PKI 作为一项关键的密码技术,已经让网络安全离不开它。目前认为,基于PKI体系的身份认证完全可以满足电子商务的要求,并初步形成了一整套的解决方案。它除了具有加解密和密钥管理之外,还包括各种安全策略、安全协议以及安全服务。PKI体系具体包括认证机构CA 、证书与CRL 数据存储区、用户三部分。它还支持SET 、SSL 电子证书和数字签名。目前,该项技术在已经逐渐推广应用,但在我国,收技术影响,PKI技术已经成为了我国电子商务发展的瓶颈。
3.4 SSL(Secure Sockets Layer)安全协议
随着时代的进步和发展,电子商务也在逐步成熟起来,现在的电子交易安全是在密码技术基础上通过交易安全协议实现的,SSL就是其中一项很重要的协议。NETSCAPE公司是因特网商业中领先技术的提供者,他们开发出了一种基于RSA和秘密密钥的应用于因特网的技术,也就是SSL协议,SSL协议就是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术,主要用于提高应用程序之间的数据的安全系数。SSL由两个子协议构成,即SSL记录(Record) 协议和SSL握手(Handshake) 协议,主要功能是让收发双方在通过网络传输信息时,能够保障数据的完整性及机密性。但是该协议的整个认证过程只有商家对客户的认证,缺少了客户对商家的认证。
3.5 SET(Secure Electronic Transaction)安全协议
SET协议是一个开放的协议,主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,具有成为追求电子交易安全的主要推动力的潜质。该协议核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等,采用DES和RSA两种加密算法进行加密、解密处理,可以实现、确认能力、数据的完整性和多方的操作性,从而确保了交易数据的安全性、完整性和交易的不可否认性。目前,SET这一标准被公认为全球国际网络的标准。SET 的缺点是它还仅限于使用信用卡方式的支付手段,用户需要安装特殊的软件。
4 结语
电子商务作为基于因特网发展起来的一种新的商务模式,在为全球用户带来的不仅仅是机遇还是一种新的尝试和探险,同时也将人们引进了安全陷阱。电子商务的安全无论是哪项技术都不可能保证万无一失,密码技术一直在电子商务安全乃至网络安全中扮演十分重要的角色,它可以实现电子商务的传输安全、身份认证和交易安全等。保障电子商务的安全性是一项非常复杂和必要的工程,但是电子商务的安全无论是哪项技术都不可能保证万无一失,还需要各行业、各部门的管理和协调,建立健全电子商务的安全机制和相应的法律法规,引导和促进电子商务又好又快地发展,从而使电子商务体系变得更加完善、和谐,赢得更多人的信任和支持。