在Internet中使用更多的是公钥系统,即公开密钥加密。在该体系中,密钥被分解为一对:公开密钥PK和私有密钥SK。这对密钥中的任何一把都可作为公开密钥(加密密钥)向他人公开,而另一把则作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。在公开密钥体系中,加密算法E和解密算法D也都是公开的。虽然SK与PK成对出现,但却不能根据PK计算出SK。
常用的公钥加密算法是RSA算法,加密强度很高。具体做法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数字签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后用发布方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。由于加密强度高,而且不要求通信双方事先建立某种信任关系或共享某种秘密,因此十分适合Internet网上使用。
3.数字签名
数字签名技术是实现交易安全核心技术之一,它实现的基础就是加密技术。以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢?这就是数字签名所要解决的问题。数字签名必须保证以下几点:接收者能够核实发送者对报文的签名;送者事后不能抵赖对报文的签名;接收者不能伪造对报文的签名。现在己有多种实现数字签名的方法,采用较多的就是公开密钥算法。
4.数字证书
(1)认证中心
在电子交易中,数字证书的发放不是靠交易双方来完成的,而是由具有权威性和公正性的第三方来完成的。认证中心就是承担网上安全电子交易认证服务、签发数字证书并确认用户身份的服务机构。
(2)数字证书
数字证书是用电子手段来证实一个用户的身份及他对网络资源的访问权限。在网上的电子交易中,如双方出示了各自的数字证书,并用它来进行交易操作,那么交易双方都可不必为对方身份的真伪担心。
5.消息摘要(Message Digest)
消息摘要方法也称为Hash编码法或MDS编码法。它是由Ron Rivest所发明的。消息摘要是一个惟一对应一个消息的值。它由单向Hash加密算法对所需加密的明文直接作用,生成一串128bit的密文,这一串密文又被称为“数字指纹”( Finger Print )。所谓单向是指不能被解密,不同的明文摘要成密文,其结果是绝不会相同的,而同样的明文其摘要必定是一致的,因此,这串摘要成为了验证明文是否是“真身”的数字“指纹”了。
结语:本文分析了目前电子商务的安全需求,使用的安全技术及仍存在的问题,并指出了与电子商务安全有关的协议技术使用范围及其优缺点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
浅谈电子商务信息安全及安全技术 篇2一、电子商务安全威胁与需求
1.1主要安全威胁
电子商务建设主要面临着账户安全威胁、交易安全威胁、基础网络威胁、业务连续性威胁。
(1)账户安全威胁。账户安全是电子商务信息安全的基础,账户安全威胁主要来源于账户被盗与垃圾注册。
(2)交易安全威胁。现阶段在电子商务交易过程中发生的安全威胁主要包括恶意评价、交易欺诈、不良信息发布。
(3)基础网络威胁。电子商务是构建在互联网上的交易平台,同样面临着DDoS、端口扫描、密码暴力破解、网站后门等安全威胁。
(4)业务连续性威胁。在电子商务领域主要面临着特有的业务高弹性变化威胁,因为业务发展过快或网上促销活动等原因,电子商务企业会面临着大量客户访问超出现有系统设计容量的局面,而中小企业受限于资金规模导致其无力建设后备系统用于满足无法预测的业务访问量,最终影响电子商务网站对外提供服务的连续性。
1.2安全需求
电子商务信息安全建设的需求主要来自于业务连续性、保护账户和交易信息安全、电子商务网站自身的安全性。
(1)业务连续性是电子商务业务的第一要素,应采用防DDoS技术、系统弹性扩容技术来保障电子商务对外业务的连续性。