《电子商务的安全技术与安全因素.doc》由会员分享,可在线阅读,更多相关《电子商务的安全技术与安全因素.doc(15页珍藏版)》请在金锄头文库上搜索。
1、 前言当今社会,电子商务已经在很大的程度上改变着人类的思维模式和原有的商业模式。电子商务概念已经深入人心,并成为企业和社会发展的大势所趋。从事电子商务营销的企业已在世界经济领域崭露头角,各国政府对这一市场也很重视,对于电子商务中的信息交互安全,交易体制也在不断的维护和完善。电子商务的发展,网上银行,网上合同,电子签名等的应用越来越广泛,这些给我们生活带来便利的同时带来的安全隐患也时刻影响着我们。就现阶段,对于进一步的发展电子商务,以便更好的应用电子晌午,所面临的最大问题就是如何保障电子商务过程中的安全性,交易的安全是网络经济的基础。所以我们只有解决好了一系列的安全问题,才能使电子商务在我国乃至
2、在全球更稳定的快速发展。第一章 电子商务面临的安全 电子商务是基于互联网来实现的一种经济模式,它作为一种全新的商务的模式为全世界用户提供了丰富的商业信息和便捷的交易方法。但就是在电子商务给我们提供了大量方便的同时他的安全问题也时刻影响着我们。 众所周之,电子商务是通过计算机网络来实现的。近几年来计算机的安全问题早已令人们担忧,不少人的电脑都曾受到病毒,黑客的攻击,它可能使你辛苦存的文件被删除,使你的电脑死机,崩溃。关于网络安全问题,来自网络黑客的攻击越来越多,许多企业网站时有被黑,令电脑使用者防不胜防。大量的事实说明,要使电子商务的快速和稳定的发展,其安全隐患不容忽视。电子商务的安全问题也决不
3、是一堵防火墙,一个电子签名就能轻松解决的问题,它包括了许多方面的问题。安全是电子商务交易中的致命所在,因为它包含的不仅仅个人资金的安全,商家货物和商业秘密的安全,它更包括了国家经济安全,国家经济秩序的稳定。一个没有安全的电子商务就是一个豆腐渣工程,是没有人敢用的经济模式。下面我们简单的介绍下电子商务面临的安全问题。1.1 身份识别问题 在电子商务的交易中,交易双方可能从未见面,大家都是互联网上的两个用户,对其身份了解不像传统交易模式中好确认。如果不进行身份识别,第三方人可能冒充交易者来破坏交易或者冒充一方进行交易。黑客为了获取交易双方的商业秘密,资金等信息,常常采用源IP地址欺骗攻击。入侵者伪
4、装成源自一台内部主机的一个外部地点传送信息包(这些信息包中包含有内部系统的IP地址),在E-mail服务器使用报文传输代理(message transfer agent,MTA)中冒名他人,窃取信息。进行身份识别后,双方可以不必担心交易被骗同时减少交易过程中的疑虑,增加安全度。1.2 信息保密问题 80年代对信息安全理解为信息保密,90年代认识到除了保密以外,还有完整性,还有系统的可用性。在电子商务交易的过程中有信息泄露和信息被篡改的问题,信息泄露包括两个方面;交易双方的信息被第三方窃取,一方传给另一方的文件信息被第三方非法使用。信息被篡改就使交易过程中的文件失去了完整性和真实性。1.3 信息
5、传递问题 信息在网络上传递时,要经过多个环节和渠道。由于计算机技术发展的迅速,原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。计算机病毒的侵袭、“黑客”的非法侵入、线路窃听等很容易使重要数据在传递过程中泄露,从而威胁电子商务交易的安全。另外各种外界的物理性干扰,如通信线路质量较差、地理位置复杂、自然灾害等,都可能影响到数据的真实性和完整性。 第二章 电子商务的安全技术和安全因素电子商务的开展在安全方面上还存在很多问题。面对电子商务中形形色色的安全漏洞,我们必须要采取相应的方法来保障电子商务活动的安全进行。安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的
6、安全,将一直是电子商务的核心研究领域。下面就着重探讨电子商务的安全技术。2.1 防火墙技术防火墙是在内部网与外部网之间实施安全防范的系统,可被认为是一种访问控制机制,用于确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有
7、全面的安全策略,那么防火墙就形同虚设。实现防火墙技术的技术包括四大类:网络级防火墙,应用级网关,电路级网关和规则检查防火墙。1;网络级防火墙:网络级防火墙一般是基于源地址和目的地址,应用或协议以及每个IP包的端口来作出通过与否的判断。它可以动态检查流过的TCP/IP报文头,检查报文头中的报文类型,源IP地址,目的IP地址,源端口,协议端口等,把信息同规则表进行比较,在规则表中定义的各种规则来表明是否同意或拒绝包的通过。包过滤型防火墙检查每一条规则直至发现包中的信息与某规则相符,如果没有一条规则相符合,防火墙将丢弃该包。2;应用级网关:应用级网关也叫代理服务器,它隔离在外部网与内部网之间,内外不
8、能直接交互数据,数据交换由代理服务器“代理”完成。代理服务器比单一的包过滤型防火墙更为可靠,内部客户感觉不到他的存在,可以自由访问外部站点,代理服务器对提供的服务会产生一个详细的记录,如果发现非法入侵会及时报警,这一点非常重要。3;电路级网关:电路级网关又称线路及网关,它工作在会话层。它在两个主机首次建立TCP连接时创立一个电子屏障。它作为服务器接受外来请求,转发请求:与被保护的主机连接时则担当客户机角色,起代理服务的作用。电路级网关的安全性比较高,但它仍不能检查应用层的数据包以消除应用层攻击的威胁。4;规则检查防火墙:该防火墙结合了网络级防火墙,应用级网关,电路级网关的特点。它同包过滤防火墙
9、一样,规则检查放火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也像电路级网关一样,能够检查相连接主机所交换的数字信息是否逻辑有序。当然它也能像应用级网关一样,OSI应用层上减产数据包的内容,查看这些内若能够是否符合公司网络的安全规则。防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段,它可以对企业内部网实现集中的
10、安全管理。防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。2.2 虚拟专用网络虚拟专用网络是用于Internet电子交易的一种专用网络,它可以在两个系统之间建立安全的通道,是目前相对而言最适合进行电子商务的形式。在虚拟专用网络中交易的双方比较熟悉,而且彼此之间的数据通信量很大。只要交易双方取得一致,在虚拟专用网络中就可以使用比较复杂的专用加密和认证技术,这样就可以大大提高电子商务的安全。2.3 数据加密技术数据加密
11、技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障其安全性。所谓加密,就是将有关信息进行编码。使它成为一种不可理解的形式。加密后的内容叫做密文。加密技术能避免各种存储介质上的或通过internet传诵的敏感数据被侵袭者窃取。这是一种主动安全防御策略,用很小的代价即可为信息提供相当大的安全保护。一般的数据加密是采用数学方法对原始信息进行在组织,使的加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字,而对于合法接收者来说,因为掌握正确的密钥,可以通过解密过程得到原始的数据。如果按长收发双方的密钥是否相同来分类,可以将加密技术分成为对称密钥加密技术和非对称密钥加
12、密技术。2.3.1对称密钥加密技术对称密钥加密技术利用一个密钥对数据进行加密,对方接受到数据后,需要用同一密钥来进行解密。对称加密系统早在20世纪70年代就开始在商业网络中运用了,其特点是数据的发送方和接收方使用的是同一把私有密钥,即把明文加密成密文和把密文解密成明文用的是同一把私有密。对称密钥加密技术中最具有代表性的算法是IBM公司提出的DES算法。加密过程如下图2.3.1: DES主要是利用交乘加解密器的设计原理。数据加密的技巧,就是将原始数据打散打乱,让别人很难组合起原始数据,相对也就能提高保密的效果。DES方法的加密可分为16回合,每一个回合都将上一个回合打散的数据在打散依次,每一回合
13、相当于在原始数据上加了一把锁,最后总共加了16把锁。锁加的越多,相对于保密性就越高,这也就是交乘加解密器的原理。密钥明文密文加密internet密钥密文明文解密 图 2.3.1 对称加密技术DES解密过程和加密过程相似,但生成16个密钥的顺序正好相反。尽管在破译DES方面取得了许多进展,但至今仍未能找到比穷举搜索法更有效的方法。1997年1月,美国RSA数据安全公司的其安全年会上举办了一个密钥挑战竞赛,曾悬赏1万美圆破译长度为56Bit的DES算法。美国克罗拉多州的一个程序员用了96天的时间,在internet数万名志愿者的协同工作下,成功的找到了DES的密钥,获得了RSA公司办法的1万美圆的
14、奖励。这一事件表明依靠internet的分布式计算能力,用穷举搜索法译DES已成为可能,从而使人们认识到随着计算机能力的增长,必须相应的增加算法的密钥的长度。DES实现容易,使用方便,最主要的优点在于加密速度快,其主要的弱点在于密钥数量大,管理困难,密钥的传输过程必须绝对的安全,一旦密钥泄露则直接影响到信息的安全性。 对称密码技术的主要缺陷是通信双方在进行通信之前需要通过一个安全信道事先交换密钥,这在实际应用中通常是非常困难的。如果事先约定密钥,则进行网络通信的每个人都要保留其他人的密钥,这将是密钥管理变的非常困难。2.3.2 非对称密钥加密技术 非对称密钥技术又叫公开密钥技术。这种算法需要采
15、用两个在数学上相关的密钥对-公开密钥和私有密钥来对信息进行加解密。 公开密钥加密技术是在1976年由斯坦福大学的Whitfield Diffie和Martin Hellman提出来的。与对称加密系统相比,公开密钥加密技术需要使用一对相关的密钥:一个用来加密,另一个用来解密。该技术的设想是,密钥对是与相应的系统联系在一起的,其中私有密钥是由系统所保密持有的,而公开密钥则是公开的,但知道公开密钥并不能推断出私有密钥。在公开的密钥系统中,加密密钥是公开的,加密算法和解密算法也是公开的,只有解密密钥是需要保密的。用加密密钥对明文加密后,在用解密密钥解密,即可恢复明文。而且加密也解密的运算是可以对调的,加密密钥不能用来解密。交易双方利用该方案实现机密信息交换的过程如下:1, 交易方甲生成一对密钥,将其中的一把作为公开密钥向其他交易方公开。2, 得到了公开密钥的交易乙方使用该密钥对机密信息进行加密后在发送给交易方甲。3, 交易方甲在用自己保存的另一把私有密钥对加密后的信息惊醒解密。4, 交易方甲只能用私有密钥解密由其公开密钥加密后的任何信息。RSA(即Rivest, Shamir Adleman)算法是非对称加密领域内最为著名的算法,但是它存在的主要问题是算法的运算速度较慢,产生的密钥很麻烦,最快的情况DES也比其快上100倍,所以这种技术一般只用于
