夏玲軍

[摘要]從網(wǎng)絡(luò)安全和網(wǎng)上交易兩個方面介紹相關(guān)的信息安全技術(shù),即防火墻技術(shù),入侵檢測技術(shù),網(wǎng)絡(luò)反病毒技術(shù),虛擬專用網(wǎng)技術(shù),數(shù)據(jù)加密技術(shù),數(shù)據(jù)簽名技術(shù),數(shù)字證書和認(rèn)證機構(gòu)以及安全協(xié)議等,通過他們來保障電子商務(wù)活動的安全。

[關(guān)鍵詞]電子商務(wù)信息安全技術(shù)數(shù)據(jù)加密技術(shù)數(shù)據(jù)簽名

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1671-7597(2009)0820042-01

一、引言

隨著網(wǎng)絡(luò)、通信技術(shù)的飛速發(fā)展,電子商務(wù)已經(jīng)成為經(jīng)濟全球化的助推器,它給世界范圍的商務(wù)交易帶來了新的契機。而電子商務(wù)在提高商務(wù)效率、降低商務(wù)交易成本的同時,安全問題也就如影隨形而至。因此,建立一個安全可靠的電子商務(wù)應(yīng)用環(huán)境,已經(jīng)成為影響到電子商務(wù)發(fā)展的關(guān)鍵性課題。下面就網(wǎng)絡(luò)安全和網(wǎng)上交易兩方面相關(guān)的信息安全技術(shù)做些具體的介紹。

二、網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ),一個完整的電子商務(wù)系統(tǒng)應(yīng)建立在安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上。

(一)防火墻技術(shù)

所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。它是一種計算機硬件和軟件的結(jié)合,使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)(Sec

urity Gateway),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描,這樣能夠過濾掉一些攻擊,以免其在目標(biāo)計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。典型的防火墻具有以下三個方面的基本特性:1.內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻。2.只有符合安全策略的數(shù)據(jù)流才能通過防火墻。3.防火墻自身應(yīng)具有非常強的抗攻擊免疫力。防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成,實際應(yīng)用時常采用兩級的安全機制,即第一級由包過濾路由器承擔(dān),第二級由防火墻承擔(dān)。

(二)入侵檢測技術(shù)

入侵檢測技術(shù)可以被定義為對計算機和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為,是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測方法很多,如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應(yīng)用層入侵檢測中已有實現(xiàn)。由于傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù),對網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動的反應(yīng)。具體實施時,可將網(wǎng)絡(luò)入侵檢測系統(tǒng)與防火墻的功能結(jié)合構(gòu)建安全網(wǎng)絡(luò)。

(三)網(wǎng)絡(luò)反病毒技術(shù)

在網(wǎng)絡(luò)環(huán)境下,雖然可以通過各種防衛(wèi)技術(shù)保護(hù)網(wǎng)絡(luò)安全,但病毒的入侵是不可避免的,因此,反病毒技術(shù)是網(wǎng)絡(luò)安全建設(shè)中重要的一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和殺毒等3種技術(shù)。實際應(yīng)用時,還應(yīng)根據(jù)具體網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)特點進(jìn)行一體化的安排,如根據(jù)客戶機-服務(wù)器所用操作系統(tǒng)選擇或設(shè)計不同的反病毒軟件、在網(wǎng)絡(luò)通信卡中插入專門反病毒芯片、檢查可能通過網(wǎng)絡(luò)傳輸?shù)膸Р《疚募?。例如現(xiàn)在流行的各種殺病毒軟件,主要有瑞星殺毒軟件、金山毒霸殺毒軟件、趨勢殺毒軟件等都具備預(yù)防、檢測、殺毒等功能。

(四)虛擬專用網(wǎng)(VPN)技術(shù)

VPN是用于Internet交易的一種專用網(wǎng)絡(luò),它可以在兩個系統(tǒng)之間建立安全的隧道。在VPN中,雙方的數(shù)據(jù)通信量要大得多,而且通信的雙方彼此都很熟悉。這就可以使用復(fù)雜的專用加密和認(rèn)證技術(shù),只要通信的雙方默認(rèn)即可。拔號VPN使用隧道技術(shù)使遠(yuǎn)程訪問服務(wù)器把用戶數(shù)據(jù)打包到IP信息包中,這些信息通過電信服務(wù)商的網(wǎng)絡(luò)進(jìn)行傳遞,在Internet中要穿過不同的網(wǎng)絡(luò),最后到達(dá)隧道終點。然后拆數(shù)據(jù)包,轉(zhuǎn)換成最初的形式。隧道技術(shù)使用點對點通信協(xié)議代替了交換連接,通過路由網(wǎng)絡(luò)來連接路由地址,這代替了電話交換網(wǎng)絡(luò)使用的電話號碼連接,允許授權(quán)移動用戶或已授權(quán)的用戶在任何時間任何地點訪問企業(yè)網(wǎng)絡(luò)。這種方式在保證網(wǎng)絡(luò)的安全性方面是非常有用的。

三、電子商務(wù)網(wǎng)上交易中的信息安全技術(shù)

網(wǎng)絡(luò)安全只是實現(xiàn)電子商務(wù)的基礎(chǔ),電子商務(wù)發(fā)展的核心和關(guān)鍵問題是交易的安全性。目前主要采用以下幾種技術(shù)措施來解決網(wǎng)上交易中信息安全問題。

(一)數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是保證網(wǎng)絡(luò)信息安全最常用和最重要的一種技術(shù)。數(shù)據(jù)加密是數(shù)據(jù)的一種置亂變換法則,他可以確保非授權(quán)人無法解讀被加密的數(shù)據(jù),同時也可以實現(xiàn)數(shù)據(jù)完整性、真實性的鑒別,另外可以根據(jù)需要保證數(shù)據(jù)傳輸?shù)牟豢煞裾J(rèn)性。數(shù)據(jù)加密還原的過程則稱為解密,數(shù)據(jù)加、解密過程是由算法來具體實施的。在加密技術(shù)中,基于密鑰的加密算法不同可以分為兩類:對稱加密技術(shù)和非對稱加密技術(shù)(公開密鑰加密)。最有影響的對稱加密技術(shù)是數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法和新一代數(shù)據(jù)加密標(biāo)準(zhǔn)AES算法,非對稱加密技術(shù)的加密算法主要有RSA算法和橢圓曲線密碼算法ECC算法。

DES綜合運用了置換、代替、代數(shù)等多種密碼技術(shù),其設(shè)計精巧,密鑰的長度僅56bit,適合軟硬件實現(xiàn);DES加密速度快,適合加密較長明文;DES使用16輪迭代,每一輪都將把明信息擴散到密文,完全引起了足夠的擴散,因此56bit的密鑰基本上是安全的。但是,由于DES采用的是單密鑰體制,在密鑰管理方面,算法要求通信前對密鑰進(jìn)行秘密分配,密鑰的更換困難,所以對不同的通信對象,需產(chǎn)生和保管不同的密鑰。

RSA算法是第一個能同時用于加密和數(shù)字簽名的算法,是被研究得最廣泛的公鑰算法。從提出到現(xiàn)在已近二十年,經(jīng)歷了各種攻擊的考驗,逐漸為人們接受,普遍認(rèn)為是目前最優(yōu)秀的公鑰方案之一。RSA的安全性依賴于大數(shù)的因子分解,它的缺點主要有:產(chǎn)生密鑰很麻煩,受到素數(shù)產(chǎn)生技術(shù)的限制,因而難以做到一次一密;分組長度太大,為保證安全性,n至少也要600 bits以上,使運算代價很高,尤其是速度較慢,較對稱密碼算法慢幾個數(shù)量級。

目前主流的數(shù)據(jù)安全傳輸方案是一種基于DES和RSA的混合加密方案。比如:利用DES來加密信息,而采用RSA來傳遞對稱加密體制中的密鑰。

(二)數(shù)字簽名技術(shù)

它是公開密鑰加密技術(shù)的一種應(yīng)用,是指發(fā)送方將要傳送的明文(原

始的信息)通過一種函數(shù)運算(Hash)轉(zhuǎn)換成報文摘要,這樣不同的明文對應(yīng)著不同的報文摘要,報文摘要再用發(fā)送方的私有密鑰加密后與明文一起傳送,合成為數(shù)字簽名。接受方將接受的明文產(chǎn)生新的報文摘要與發(fā)送方的發(fā)來報文摘要解密比較,比較結(jié)果一致則表示明文未被改動,如果不一致表示明文已被篡改。其作用就是能夠?qū)崿F(xiàn)對原始報文的鑒別與驗證,保證報文的完整性、權(quán)威性和發(fā)送方對所發(fā)報文的不可抵賴性。數(shù)字簽名根據(jù)不同的要求,可分為秘密密鑰的數(shù)字簽名、公開密鑰的數(shù)字簽名、只需確認(rèn)的數(shù)字簽名、數(shù)字摘要的數(shù)字簽名、電子郵戳、數(shù)字憑證等多種方式。

(三)數(shù)字證書和認(rèn)證機構(gòu)

數(shù)字證書作為網(wǎng)上交易雙方真實身份證明的依據(jù),其用途是利用公共密鑰加密系統(tǒng)來保護(hù)與驗證公眾的密鑰。

數(shù)字證書頒發(fā)過程一般為:用戶首先產(chǎn)生自己的密鑰對,并將公共密鑰及部分個人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實身份后,將執(zhí)行一些必要的步驟,以確信請求確實由用戶發(fā)送而來,然后,認(rèn)證中心將發(fā)給用戶一個數(shù)字證書,該證書內(nèi)包含用戶的個人信息和他的公鑰信息,同時還附有認(rèn)證中心的簽名信息。用戶就可以使用自己的數(shù)字證書進(jìn)行相關(guān)的各種活動。

數(shù)字證書由可信任的、公正的權(quán)威機構(gòu)CA頒發(fā)。CA即人證中心,是專門簽發(fā)數(shù)字證書的機構(gòu),是普遍可信的第三方。

(四)安全協(xié)議

目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用,即安全插口層SSL協(xié)議和安全電子事務(wù)SET協(xié)議。

1.安全插口層(SSL)協(xié)議。安全插口層協(xié)議是由Netscape公司1994年設(shè)計開發(fā)的安全協(xié)議,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL采用了公開密鑰和專有密鑰兩種加密:在建立連接過程中采用公開密鑰;在會話過程中使用專有密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。目的是為用戶提Internet和企業(yè)內(nèi)聯(lián)網(wǎng)的安全通信服務(wù)。

2.安全電子事務(wù)(SET)協(xié)議。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計的,以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET使用多種安全技術(shù)來達(dá)到安全支付的要求,其中對稱密鑰技術(shù)、非對稱加密技術(shù)和Hash算法是核心。SET協(xié)議通過制定標(biāo)準(zhǔn)和采用各種技術(shù)手段,解決了當(dāng)時困擾電子商務(wù)發(fā)展的安全問題。由于得到了很多大公司的支持,它已形成了事實上的工業(yè)標(biāo)準(zhǔn),已獲IETF標(biāo)準(zhǔn)認(rèn)可。

SET和SSL除了都采用RSA公鑰算法以外,二者在其他技術(shù)方面沒有任何相似之處。而RSA在二者中也被用來實現(xiàn)不同的安全目標(biāo)。

參考文獻(xiàn):

[1]李明柱,電子商務(wù)安全技術(shù)[M].北京:北京航空航天出版社,2003.

[2]張明光、魏琦,電子商務(wù)安全體系的探討[J].計算機工程與設(shè)計,2005,26.2:394-396.

[3]盧新德,構(gòu)建信息安全保障新體系[M].北京:中國經(jīng)濟出版社,2007.

[4]陳克非、黃征,信息安全技術(shù)導(dǎo)論[M].北京:電子工業(yè)出版社,2007.

[5]林楓,電子商務(wù)安全技術(shù)及應(yīng)用[M].北京:北京航空航天大學(xué)出版社,2001.