《电商安全技术发展》由会员分享,可在线阅读,更多相关《电商安全技术发展(2页珍藏版)》请在金锄头文库上搜索。
1、作为虚拟世界和现实世界的连接点,电子商务具备物流、资金流和信息流,被认为是能够真正撬动现实世界的互联网应用。但电子商务作为一个新兴行业还有着一些不稳定因素:安全问题。随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为攻(攻 击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)等多方面的基础理论和实施技术。信息安全是一个综合、交叉学科领域,它要综合利用数 学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究,加强顶层设计,提出系统的、完整的,协同的解决方案。与其他学科相比, 总的
2、来说,目前在信息安全领域人们所关注的焦点主要有以下几方面:1) 密码理论与技术;2) 安全协议理论与技术;3) 安全体系结构理论与技术;4) 信息对抗理论与技术;5) 网络安全与安全产品。1国内外密码理论与技术研究现状及发展趋势密码理论与技术主要包括两部分,即基于数学的密码理论与技术(包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash 函数、身份识别、密钥管理、 PKI 技术等)和非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的识别理论与技术)。自从 1976 年公钥密码的思想提出以来,国际上已经提出了许多种公钥密码体制,但比较流行的主要有两类:一类是基于大整数因子分解
3、问题的,其中最典型的代 表是 RSA;另一类是基于离散对数问题的,比如 ElGamal 公钥密码和影响比较大的椭圆曲线公钥密码。国际上制定了椭圆曲线公钥密码 标准 IEEEP1363,RSA 等一些公司声称他们已开发出了符合该标准的椭圆曲线公钥密码。我国学者也提出了一些公钥密码,另外在公钥密码的快速实现方 面也做了一定的工作,比如在 RSA 的快速实现和椭圆曲线公钥密码的快速实现方面都有所突破。公钥密码的快速实现是当前公钥密码研究中的一个热点,包括算法 优化和程序优化。另一个人们所关注的问题是椭圆曲线公钥密码的安全性论证问题。公钥密码主要用于数字签名和密钥分配。目前数字签名的研究内容非常丰富,
4、包括普通签 名和特殊签名。特殊签名有盲签名,代理签名,群签名,不可否认签名,公平盲签名,门限签名,具有消息恢复功能的签名等,它与具体应用环境密切相关。显然, 数字签名的应用涉及到法律问题,法国是第一个制 定数字签名法的国家,其他国家也正在实施之中。认证码是一个理论性比较强的研究课题,自 80 年代后期以来,在其构造和界的估计等方面已经取得了长足的发展,我国学者在这方面的研究工作也非常出色,影响 较大。目前这方面的理论相对比较成熟,很难有所突破。另外,认证码的应用非常有限,几乎停留在理论研究上,已不再是密码学中的研究热点。Hash 函数主要用于完整性校验和提高数字签名的有效性,目前已经提出了很多
5、方案,各有千秋。美国已经制定了 Hash 标准-SHA-1,与其数字签名标准 匹配使用 在身份识别的研究中,最令人瞩目的识别方案有两类:一类是 1984 年 Shamir 提出的基于身份的识别方案,另一类是 1986 年 Fiat 等人提出的零知识 身份识别方案序列密码主要用于政府、军方等国家要害部门,尽管用于这些部门的理论和技术都是保密的,但由于一些数学工具(比如代数、数论、概率等)可用于研究序列密 码,其理论和技术相对而言比较成熟。美国早在 1977 年就制定了自己的数据加密标准(一种分组密码),但除了公布具体的算法之外,从来不公布详细的设计规则和方法。其他国家,如日本和苏联也纷纷提出了自
6、己的数据加密标准。 但在这些分组密码中能被人们普遍接受和认可的算法却寥寥无几。何况一些好的算法已经被攻破或已经不适用于技术的发展要求。我国目前的做法是针对每个或每一类安全产品需要开发所用的算法,而且算法和源代 码都不公开,这样一来,算法的需求量相对就比较大,继而带来了兼容性、互操作性等问题。国外目前不仅在密码基础理论方面的研究做的很好,而且在实际应用方面也做的非常好。制定了一系列的密码标准,特别规范。算法的征集和讨论都已经公开化,但 密码技术作为一种关键技术,各国都不会放弃自主权和控制权,都在争夺霸权地位。目前最为人们所关注的实用密码技术是 PKI 技术。国外的 PKI 应用已经开始,开发 P
7、KI的厂商也有多家。许多厂家,如 Baltimore, Entrust 等推出了可以应用的 PKI 产品,有些公司如 VerySign 等已经开始提供 PKI 服务。网络许多应用正在使用 PKI 技术来保证网络的认证、 不可否认、加解密和密钥管理等。尽管如此,总的说来 PKI 技术仍在发展中。安全知深分析家认为:PKI 技术将成为所有应用的计算基础结构的核心部件,包括那些越出传统网络界限的应用。B2B 电子商务活动需要的认 证、不可否认等只有 PKI 产品才有能力提供这些功能。 目前国际上对非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的识别理论与技术等)非常关注,讨论也非常活跃
8、,近年来, 英、美、日等国的许多大学和研究机构竞相投入到量子密码的研究之中,更大的计划在欧洲进行。到目前为止,主要有三大类量子密码实现方案:一是基于单光子量 子信道中测不准原理的;二是基于量子相关信道中 Bell 原理的;三是基于两个非正交量子态性质的。但有许多问题还有待于研究。 密码技术特别是加密技术是信息安全技术中的核心技术,国家关键基础设施中不可能引进或采用别人的加密技术,只能自主开发。目前我国在密码技术的应用水平方 面与国外还有一定的差距 总之,电子商务安全有几个观念值得注意:其一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社
9、会道德、行业管理以及人们的行为模式都紧密地联系在一起了。 其 二,安全是相对的。安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。 其 三,安全是有成本和代价的。无论是现在国外的 B-to-B 还是 B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为 代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题,对安全的要求就低一 些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。作为一个经营者,应该综合考虑这些因素;作为安全技术的提供者,在研发技术时 也要考虑到这些因素。 其四,安全是发展的、动态的。今天安全明天就不一定很安全,因为网络的攻防是此消彼长的,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全,也没有一蹴而就的安全。
