《电子商务的安全技术》由会员分享,可在线阅读,更多相关《电子商务的安全技术(6页珍藏版)》请在金锄头文库上搜索。
1、电子商务的平安技术随着信息技术在贸易和商业领域的广泛应用,利用计算机技术、网络通信技术和因特网实现商务活动的国际化、信息化和无纸化,已成为各国商务开展的一大趋势。电子商务正是为了适应这种以全球为市场的的变化而出现的和开展起来的,它是当今社会开展最快的领域之一,同时也为全球的经济开展带来新的增长点。电子商务正在改变着人们的生活以及整个社会的开展进程,贸易网络将引起人们对管理形式、工作和生活方式,乃至经营管理思维方式等等的综合革新。对贸易和商业领域来说,电子商务的开展正在改变着传统的贸易方式,缩减交易程序,进步办事效率。如今,许多网站都提供有“商城,供网民在网上购物。可以说,电子商务应用将越来越普
2、及。然而,随着Internet逐渐开展成为电子商务的最正确载体,互联网具有充分开放,不设防护的特点使加强电子商务的平安问题日益紧迫,只有在全球范围建立一套人们能充分信任的平安保障制度,确保信息的真实性、可靠性和保密性,才可以消除人们的顾虑,放心的参与电子商务。否那么,电子商务的开展将失去其支撑点。要加强电子商务的平安,需要企业本身采取更为严格的管理措施,需要国家建立健全法律制度,更需要有科学的先进的平安技术。在电子商务的交易中,经济信息、资金都要通过网络传输,交易双方的身份也需要认证,因此,电子商务的平安性主要是网络平台的平安和交易信息的平安。而网络平台的平安是指网络操作系统对抗网络攻击、病毒
3、,使网络系统连续稳定的运行。常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术。交易信息的平安是指保护交易双方的不被破坏、不泄密,和交易双方身份确实认。可以用数据加密、数字签名、数字证书、ssl、set平安协议等技术来保护。在这里我想重点谈谈防火墙技术和数据加密技术。一、防火墙技术。防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的平安,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强Intranet(内部网)之间平安防御的一个或一组系统,它由一组硬件设备(包括路由器、效劳器
4、)及相应软件构成。所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进展信息交换等平安的作用。防火墙是网络平安策略的有机组成局部,它通过控制和监测网络之间的信息交换和访问行为来实现对网络平安的有效管理。从总体上看,防火墙应该具有以下五大根本功能:(1)过滤进、出网络的数据;(2)管理进、出网络的访问行为;(3)封堵某些制止行为;(4)记录通过防火墙的信息内容和活动;(5)对网络攻击进展检测和告警。新一代的防火墙产品一般运用了以下技术:(1)透明的访问方式。以前的防火墙在访问方式上要么要求用户做系统登录,要么
5、需要通过等库途径修改客户机的应用。而如今的防火墙利用了透明的代理系统技术,从而降低了系统登录固有的平安风险和出错概率。(2)灵敏的代理系统。代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。采用两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。(3)多级过滤技术。为保证系统的平安性和防护程度,防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、STP等各种网关,控制和
6、监测Internet提供的所有通用效劳;在电路网关一级,实现内部主机与外部站点的透胆连接,并对效劳的通行实行严格控制。(4)网络地址转换技术。防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法理解内部网络的内部构造,同时允许内部网络使用自己编的源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。(5)Internet网关技术。由于是直接串联在网络之中,防火墙必须支持用户在Internet互联的所有效劳,同时还要防止与Internet效劳有关的平安破绽,故它要可以以多种平安的应用效劳器(包括FTP、Finger、ail、Ident、Nes、等)来实现网
7、关功能。为确保效劳器的平安性,对所有的文件和命令均要利用“改变根系统调用(hrt)做物理上的隔离。在域名效劳方面,新一代防火墙采用两种独立的域名效劳器:一种是内部DNS效劳器,主要处理内部网络和DNS信息;另一种是外部DNS效劳器,专门用于处理机构内部向Internet提供的局部DNS信息。在匿名FTP方面,效劳器只提供对有限的受保护的局部目录的只读访问。在效劳器中,只支持静态的网页,而不允许图形或GI代码等在防火墙内运行。在Finger效劳器中,对外部访问,防火墙只提供可由内部用户配置的根本的文本信息,而不提供任何与攻击有关的系统信息。STP与PP邮件效劳器要对所有进、出防火墙的邮件做处理,
8、并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident效劳器对用户连接的识别做专门处理,网络新闻效劳那么为接收来自ISP的新闻开设了专门的磁盘空间。(6)平安效劳器网络(SSN)。为了适应越来越多的用户向Internet上提供效劳时对效劳器的需要,新一代防火墙采用分别保护的策略对用户上网的对外效劳器施行保护,它利用一张网卡将对外效劳器作为一个独立网络处理,对外效劳器既是内部网络的一局部,又与内部网关完全隔离,这就是平安效劳器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。SSN方法提供的平安性要比传统的“隔离区(DZ)方法好得多
9、,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DZ受到破坏,内部网络便暴露于攻击之下。(7)用户鉴别与加密。为了降低防火墙产品在Ielnet、FTP等效劳和远程管理上的平安风险,鉴别功能必不可少。新一代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。(8)用户定制效劳。为了满足特定用户的特定需求,新一代防火墙在提供众多效劳的同时,还为用户定制提供支持,这类选项有:通用TP、出站UDP、FTP、STP等,假如某一用户需要
10、建立一个数据库的代理,便可以利用这些支持,方便设置。(9)审计和告警。新一代防火墙产品采用的审计和告警功能非常健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件途径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件效劳器、域名效劳器等。告警功能会守住每一个TP或UDP探寻,并能以发出邮件、声响等多种方式报警。此外,防火墙还在网络诊断、数据备份保全等方面具有特色。目前的防火墙主要有两种类型。其一是包过滤型防火墙。它一般由路由器实现,故也被称为包过滤路由器。它在网络层对进入和出去内部网络的所有信息进展分析,一般检查数据包的
11、IP源地址、IP目的地址、TP端口号、IP消息类型,并按照信息过滤规那么进展挑选,假设符合规那么,那么允许该数据包通过防火墙进入内部网,否那么进展报警或通知管理员,并且丢弃该包。这样一来,路由器能根据特定的刿那么允许或回绝流动的数据,如:Telnet效劳器在TP的23号端口监听远程连接,假设管理员想阻塞所有进入的Telnet连接,过滤规那么只需设为丢弃所有的TP端口号为23的数据包。采用这种技术的防火墙速度快,实现方便,但由于它是通过IP地址来判断数据包是否允许通过,没有基于用户的认证,而IP地址可以伪造成可信任的外部主机地址,另外它不能提供日志,这样一来就无法发现黑客的攻击纪录。其二是应用级
12、防火墙。大多数的应用级防火墙产品使用的是应用代理机制,内置了代理应用程序,可用代理效劳器作内部网和Internet之间的的转换。假设外部网的用户要访问内部网,它只能到达代理效劳器,假设符合条件,代理效劳器会到内部网取出所需的信息,转发出去。同样道理,内部网要访问Internet,也要通过代理效劳器的转接,这样能监控内部用户访问Internet.这类防火墙能详细记录所有的访问纪录,但它不允许内部用户直接访问外部,会使速度变慢。且需要对每一个特定的Internet效劳安装相应的代理效劳器软件,用户无法使用未被效劳器支持的效劳。防火墙技术从其功能上来分,还可以分为FTP防火墙、Telnet防火墙、E
13、ail防火墙、病毒防火墙等等。通常几种防火墙技术被一起使用,以弥补各自的缺陷和增加系统的平安性能。防火墙虽然能对外部网络的功击施行有效的防护,但对来自内部网络的功击却无能为力。网络平安单靠防火墙是不够的,还需考虑其它技术和非技术的因素,如信息加密技术、制订法规、进步网络管理使用人员的平安意识等。就防火墙本身来看,包过滤技术和代理访问形式等都有一定的局限性,因此人们正在寻找更有效的防火墙,如加密路由器、“身份证、平安内核等。但理论证明,防火墙仍然是网络平安中最成熟的一种技术。二、数据加密技术在电子商务中,信息加密技术是其它平安技术的根底,加密技术是指通过使用代码或密码将某些重要信息和数据从一个可
14、以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式即加密,在线路上传送或在数据库中存储,其他用户再将密文复原成明文即解密,从而保障信息数据的平安性。数据加密的方法很多,常用的有两大类。一种是对称加密。一种是非对称密钥加密。对称加密也叫机密密钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。典型的代表是美国国家平安局的DES。它是IB于1971年开场研制,1977年美国标准局正式公布其为加密标准,这种方法使用简单,加密解密速度快,合适于大量信息的加密。但存在几个问题:第一,不能保证也无法知道密钥在传输中的平安。假设密钥泄漏,黑客可用它解
15、密信息,也可假冒一方做坏事。第二,假设每对交易方用不同的密钥,N对交易方需要N*(N-1)/2个密钥,难于管理。第三,不能鉴别数据的完好性。非对称密钥加密也叫公开密钥加密。公钥加密法是在对数据加解密时,使用不同的密钥,在通信双方各具有两把密钥,一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密,同样地,用私钥解密的数据只能用对应的公钥解密。详细加密传输过程如下:1发送方甲用接收方乙的公钥加密自己的私钥。2发送方家用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方。3接收方乙用自己的私钥解密,得到甲的私钥。4接收方乙用甲的公钥解密,得到明文。这个过程
16、包含了两个加密解密过程:密钥的加解密和文件本身的加解密。在密钥的加密过程中,由于发送方甲用乙的公钥加密了自己的私钥,假如文件被窃取,由于只有乙保管自己的私钥,黑客无法解密。这就保证了信息的机密性。另外,发送方甲用自己的私钥加密信息,因为信息是用甲的私钥加密,只有甲保管它,可以认定信息是甲发出的,而且没有甲的私钥不能修改数据。可以保证信息的不可抵赖性。公开密钥加密典型的代表是RSA算法,它是由Rivest、Shair、Adlean三人于1977年提出的一个公钥加密算法。但是RSA的加密解密要两次,处理和计算量都比拟大,速度慢,所以只合适于少量数据的加密。因此,在当前的加密应用中,经常使用对称密钥来对文本加密和解密,用非对
