- 相關(guān)推薦
保障電子商務(wù)安全的三種技術(shù)
安全問題是電子商務(wù)推廣過程中最大的障礙。目前,電子商務(wù)過程中主要采用的技術(shù)有加密技術(shù)、認(rèn)證技術(shù)和安全認(rèn)證協(xié)議。這些技術(shù)是如何應(yīng)用的?在下面的內(nèi)容中將會(huì)具體介紹。 加密技術(shù)
加密技術(shù)是一種主動(dòng)的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成為無意義的密文,阻止非法用戶理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密性。明文變?yōu)槊芪牡倪^程稱為加密,由密文還原為明文的過程稱為解密,加密和解密的規(guī)則稱為密碼算法。在加密和解密的過程中,由加密者和解密者使用的加解密可變參數(shù)叫做密鑰。
目前,獲得廣泛應(yīng)用的兩種加密技術(shù)是對(duì)稱密鑰加密體制和非對(duì)稱密鑰加密體制。它們的主要區(qū)別在于所使用的加密和解密的密碼是否相同。
1.對(duì)稱密鑰加密體制
對(duì)稱密鑰加密,又稱私鑰加密,即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢(shì)是加/解密速度快,適合于對(duì)大數(shù)據(jù)量進(jìn)行加密,但密鑰管理困難。
使用對(duì)稱加密技術(shù)將簡(jiǎn)化加密的處理,每個(gè)參與方都不必彼此研究和交換專用設(shè)備的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。如果進(jìn)行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機(jī)密性和報(bào)文完整性就可以通過使用對(duì)稱加密方法對(duì)機(jī)密信息進(jìn)行加密以及通過隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來實(shí)現(xiàn)。
2.非對(duì)稱密鑰加密體制
非對(duì)稱密鑰加密系統(tǒng),又稱公鑰密鑰加密。它需要使用一對(duì)密鑰來分別完成加密和解密操作,一個(gè)公開發(fā)布,即公開密鑰,另一個(gè)由用戶自己秘密保存,即私用密鑰。信息發(fā)送者用公開密鑰去加密,而信息接收者則用私用密鑰去解密。公鑰機(jī)制靈活,但加密和解密速度卻比對(duì)稱密鑰加密慢得多。
在非對(duì)稱加密體系中,密鑰被分解為一對(duì)。這對(duì)密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為私用密鑰(解密密鑰)加以保存。私用密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握,公開密鑰可廣泛發(fā)布。
該方案實(shí)現(xiàn)信息交換的過程是:貿(mào)易方甲生成一對(duì)密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易方乙使用該密鑰對(duì)信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把專用密鑰對(duì)加密信息進(jìn)行解密。
認(rèn)證技術(shù)
安全認(rèn)證的主要作用是進(jìn)行信息認(rèn)證。信息認(rèn)證的目的為:(1)確認(rèn)信息發(fā)送者的身份;2)驗(yàn)證信息的完整性,即確認(rèn)信息在傳送或存儲(chǔ)過程中未被篡改過。下面從安全認(rèn)證技術(shù)和安全認(rèn)證機(jī)構(gòu)兩個(gè)方面來做介紹。
1.常用的安全認(rèn)證技
安全認(rèn)證技術(shù)主要有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等。
。1) 數(shù)字摘要
數(shù)字摘要是采用單向Hash函數(shù)對(duì)文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度的摘要碼,并在傳輸信息時(shí)將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進(jìn)行變換運(yùn)算,若得到的結(jié)果與發(fā)送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。
。2) 數(shù)字信封
數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中,信息發(fā)送方采用對(duì)稱密鑰來加密信息,然后將此對(duì)稱密鑰用接收方的公開密鑰來加密(這部分稱為數(shù)字信封)之后,將它和信息一起發(fā)送給接收方,接收方先用相應(yīng)的私有密鑰打開數(shù)字信封,得到對(duì)稱密鑰,然后使用對(duì)稱密鑰解開信息。這種技術(shù)的安全性相當(dāng)高。
。3) 數(shù)字簽名
日常生活中,通常用對(duì)某一文檔進(jìn)行簽名來保證文檔的真實(shí)有效性,防止其抵賴。在網(wǎng)絡(luò)環(huán)境中,可以用電子數(shù)字簽名作為模擬。
把Hash函數(shù)和公鑰算法結(jié)合起來,可以在提供數(shù)據(jù)完整性的同時(shí)保證數(shù)據(jù)的真實(shí)性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改,而真實(shí)性則保證是由確定的合法者產(chǎn)生的Hash,而不是由其他人假冒。而把這兩種機(jī)制結(jié)合起來就可以產(chǎn)生數(shù)字簽名。
。4) 數(shù)字時(shí)間戳
在書面合同中,文件簽署的日期和簽名一樣均是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。而在電子交易中,同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施,而數(shù)字時(shí)間戳服務(wù)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)(DTS)是網(wǎng)絡(luò)安全服務(wù)項(xiàng)目,由專門的機(jī)構(gòu)提供。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔,它包括三個(gè)部分:需加時(shí)間戳的文件的摘要、DTS收到文件的日期和時(shí)間、DTS的數(shù)字簽名。
(5)數(shù)字證書
在交易支付過程中,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書來證明各自的身份。所謂數(shù)字證書,就是用電子手段來證實(shí)一個(gè)用戶的身份及用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限。
數(shù)字證書是用來惟一確認(rèn)安全電子商務(wù)交易雙方身份的工具。由于它由證書管理中心做了數(shù)字簽名,因此任何第三方都無法修改證書的內(nèi)容。任何信用卡持有人只有申請(qǐng)到相應(yīng)的數(shù)字證書,才能參加安全電子商務(wù)的網(wǎng)上
交易。數(shù)字證書一般有四種類型:客戶證書、商家證書、網(wǎng)關(guān)證書及CA系統(tǒng)證書。
2.安全認(rèn)證機(jī)構(gòu)
電子商務(wù)授權(quán)機(jī)構(gòu)(CA)也稱為電子商務(wù)認(rèn)證中心(Certificate Authority)。在電子交易中,無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書的發(fā)放,都不是靠交易雙方自己能完成的,而需要有一個(gè)具有權(quán)威性和公正性的第三方來完成。
認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書的管理。
安全認(rèn)證協(xié)議
目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用,即安全套接層SSL(Secure Sockets Layer)協(xié)議和安全電子交易SET(Secure Electronic Transaction)協(xié)議。
1.安全套接層(SSL)協(xié)議
安全套接層協(xié)議是由Netscape公司1994年設(shè)計(jì)開發(fā)的安全協(xié)議,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL協(xié)議的概念可以被概括為:它是一個(gè)保證任何安裝了安全套接層的客戶和服務(wù)器間事務(wù)安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。目的是為用戶提供Internet和企業(yè)內(nèi)聯(lián)網(wǎng)的安全通信服務(wù)。
SSL采用了公開密鑰和專有密鑰兩種加密:在建立連接過程中采用公開密鑰;在會(huì)話過程中使用專有密鑰。加密的類型和強(qiáng)度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和服務(wù)器間事務(wù)的安全性。
2.安全電子交易(SET)協(xié)議
安全電子交易是一個(gè)通過開放網(wǎng)絡(luò)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn),由VISA和MasterCard組織共同制定,于1997年聯(lián)合推出。由于它得到了IBM、HP、Microsoft等很多大公司的支持,已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn),目前已獲得IETF標(biāo)準(zhǔn)的認(rèn)可。這是一個(gè)為Internet上進(jìn)行在線交易而設(shè)立的一個(gè)開放的、以電子貨幣為基礎(chǔ)的電子付款規(guī)范。
SET在保留對(duì)客戶信用卡認(rèn)證的前提下,又增加了對(duì)商家身份的認(rèn)證,這對(duì)于需要支付貨幣的交易來講是至關(guān)重要的。SET將建立一種能在Internet上安全使用銀行卡購(gòu)物的標(biāo)準(zhǔn)。安全電子交易規(guī)范是一種為基于信用卡而進(jìn)行的電子交易提供安全措施的規(guī)則,是一種能廣泛應(yīng)用于Internet上的安全電子付款協(xié)議,它能夠?qū)⑵毡閼?yīng)用的信用卡的使用場(chǎng)所從目前的商店擴(kuò)展到消費(fèi)者家里,擴(kuò)展到消費(fèi)者個(gè)人計(jì)算機(jī)中。
【保障電子商務(wù)安全的三種技術(shù)】相關(guān)文章:
電子商務(wù)的安全技術(shù)08-05
電子商務(wù)中的安全技術(shù)08-06
基于PKI的電子商務(wù)安全密鑰托管技術(shù)08-06
BtoB電子商務(wù)的三種解決方案08-05
數(shù)字技術(shù)與學(xué)科課程整合的三種途徑08-07
電子商務(wù)技術(shù)體系08-05