电子商务的安全体系结构及技术研究
2013-08-15张航
张航
(广州涉外经济职业技术学院,广东 广州 510520)
随着网络科技以及计算技术的迅猛发展,人们在网络的基础之上逐渐建立了一种商业运行模式,即电子商务。广义上的电子商务是指在网络通讯以及计算机的基础之上,利用相应的电子工具所从事的商业活动过程;而狭义上的电子商务是指利用Web所提供的网络来进行商业交易。而目前,电子商务也已经日趋完善和成熟,尤其是伴随着全球经济的一体化快速发展,电子商务已经在世界范围内得到了广泛的应用。电子商务既能像传统商务一样方便、可靠和具有安全的服务,同时又具有其独特的优势:极大的提高了通讯速度;可以全天候服务;具有交互式的销售渠道;降低了交易成本;提高了服务质量;可提供完整的产品信息等。
由于电子商务是一个十分复杂的系统工程,其过程的实现需要解决众多的社会问题以及技术问题。而电子商务安全则成为了众多技术中的关键,以及世界关注和研究的热点。本文主要论述了电子商务的安全体系结构,电子商务中常用的几种安全技术以及电子商务的安全协议。
1 电子商务的安全体系结构
根据电子商务的功能层次进行体系划分,可以将其分为网上商业活动(客户和服务商通过网络进行的活动);电子商务应用系统(将商务活动的所有相关数据处理成商务活动可以识别的数据);应用系统的支持系统(为应用系统提供所需要的数据库和文档等);网络平台(提供电子商务所需要的数据)。
电子商务系统可以作为一个中枢系统将服务商、客户以及银行有机的联系在一起,从而实现具体的操作。因此,电子商务的系统应该是由服务商的服务器(由服务商端代理、数据库管理系统以及web服务器系统等众多部分组成),银行(银行代理、数据库管理系统等)以及客户(主要是利用因特网与商户、银行进行商务交易)。
而作为实现电子商务顺利进行的关键环节——电子商务的安全体系结构发挥着重要的作用。上面提到的银行、客户以及服务商都是安全体系的组成部分,而且它们都需要安全代理服务器。同时,为了更好的维持各个组分之间安全性的相互一致,通常安全体系还包括CA认证系统。CA认证系统遵守相同的协议,可以进行协调工作,并可以保证电子交易过程中数据的完整性、保密性以及确定性等。
除了CA认证系统之外,在电子商务中还存在不同层次的安全机制。用户在使用网络进行商务交易时,首先应该具有身份认证、消息认证和安全操作协议等的需求。在进行电子商务交易的过程中,必须对有关的数据进行加密、认证等处理。
2 电子商务中常用的几种安全技术
首先,加密技术。这是一种电子商务中采用最为广泛的方法,其主要的目的是为了能够保证秘密数据不被外泄,以及有效的提高电子商务系统数据的安全性和保密性。通常可以将加密技术分为对称加密和不对称加密两类:(1)对称加密:指的是对信息的加密以及解密过程都使用相同的密钥,也被称为密钥加密。在交易的过程中双方采用相同的算法,并只交换专用的密钥。在此前提下,密钥的安全交换是对称加密有效进行的关键环节。目前,最为常用的对称加密算法包括DES(DataEncryption Standard是使用最为广泛的)、IDEA、3DES、RC4等。(2) 非对称加密:每一个通讯实体拥有一对密钥,通常使用其中一个进行加密,另一个进行解密。目前,RSA(RivestShamir Adleman)算法是一种最为常用的非对称加密算法。
其次,安全认证技术。这是一种有效的防止信息被篡改、删除、重放和伪造的方法,它可以对已发送的消息进行验证,以便接受者能够辨别信息的真假。而认证的实现过程主要包括数字摘要、数字信封、数字签名、数字时间戳和认证中心等技术。(1)数字摘 要:通常使用SHA算法,将需要加密的数据“摘要”成一定长度的密文。需要注意的是该密文和明文具有相同的摘要。所以,利用数字摘要可以保证数据的有效性以及完整性。(2)数字信封:该技术主要的是体现的是保密性,其工作原理是使用HASH函数将对称密钥进行加密,在此基础上对密钥进行公钥加密,将其和加密数据一起发送给接受者。(3)数字签名:主要应用于身份认证、数据完整性等方面。是对非对称加密和数字摘要技术的综合应用。(4)数字时间戳:在电子商务过程中,需要对交易的文件和时间信息进行适当的安全加密措施,而数字时间戳服务(DTS)则是专门用于对电子文件发表时间进行安全保护的。(5)数字凭证:目前常用的数字凭证包括个人凭证、企业凭证以及软件凭证。其工作的原理就是应用电子手段来验证某一个用户的身份以及对于某个网络的访问权限等。(6)认证中心(CA,Certificate Authorities):认证中心是作为第三方的一个权威性和公正性的认证机构,其主要职责是发放数字时间戳服务(DTS)和数字凭证(Digital ID)。(7)智能卡:智能卡是一种嵌入微处理芯片和存储器集成电路卡,可以对数据进行加密和解密。在电子商务中,智能卡具有以下几点优势:增加了私有密钥和电子证书的安全性;可以进行个人密码的设置;可以减轻客户端系统的负担等。
3 电子商务的安全交易协议
电子商务除了必须具备相应的各种安全控制技术之外,还必须具有一套完善的安全交易协议。目前,我国常用的安全协议主要包括:一是安全电子交易协议(SET)。其主要是为了解决用户、商家和银行之间的交易而设计的,目的是能够确保支付信息的保密性,过程的完整性,尤其是商户和用户的合法身份;二是安全套接层协议(SSL)。主要包括服务器认证、SSL链路上数据的完整性以及保密性。在点对点之间的信息传输中有着广泛的应用,但是在实际的应用中建议使用“SSL+表单签名”模式,以保证电子商务交易的安全性;三是安全交易技术协议(STT)。该技术将解密和认证公开在网页中,以有效的提高安全控制力;四是安全超文本传输协议(HTTPS)。HTTPS是基于提供保密、认证以及完整性等服务,以确保在网页上交换的媒体文本。
[1]林维达,刘桂兰.计算机安全与计算机病毒[J].微型机与应用,1998.
[2]梁晋,等.电子商务核心技术-安全电子交易协议的理论与设计[M].西安:西安电子科技大学出版社,2000,8.
[3]覃征,谢国彤.商务体系结构及系统设计[M].西安:西安交通大学出版社,2001.
[4]唐礼勇,陈钟.电子商务技术及其安全问题[J].计算机工程与应用,2000,36(7):18~22.
[5]王少锋,王克宏.电子商务技术的发展与研究 [J].计算机工程与应用,2000,36(4):36~38.