|
北京大学计算机系 谢丹夏 1.引言: 8Ro*:_+m-qVmK`L`�(�� [ 本 资 料 来 源 于 贵 州 学 习 网 计算机电子商务 http://Www.gzU521.com ] 8Ro*:_+m-qVmK`L`�(�� 对我国来说,电子商务尚是一个机遇和挑战并存的新领域,这种挑战在很大程度上来源于对有关安全技术的信赖。在开放的网络(如internet)上处理交易,如何保证传输数据的安全成为电子商务能否普及最重要的因素之一。 2.电子商务对安全的要求及一般性对策 归纳用户对电子商务活动安全性的需求,以及可使用的网络安全措施主要包括如下几个方面。 ⑴ 如何确定通信中的贸易伙伴的真实性,常用的处理技术是身份认证,依赖某个可信赖的机构(认证中心-ca)发放证书,双方交换信息之前通过ca获取对方的证书,并以此识别对方。 ⑵ 如何保证电子单证的秘密性,防范电子单证的内容被第三方读取;常用的处理技术是数据加密和解密。常见的加密技术包括对称密钥加密技术(典型的加密算法包括des、triple des、idea、rc4和rc5)和非对称密钥加密技术(典型的加密算法为rsa、seek、pgp和eu等)。 ⑶ 如何保证被传输的业务单证不会丢失,或者发送方可以察觉所发单证的丢失;对于固定且具有频繁贸易往来的伙伴,可以采用单证传输的序列性检验(即为单证分配序列号,或者增加时间戳);也可采用双方约定的方法(即在规定的时间内,通过某种方式进行确认。 ⑷ 如何确定电子单证的内容未被篡改;单证传输完整性主要采用散列技术来防止非法用户对单证的篡改,通过散列算法对被传输的单证进行处理,产生一个依赖于该单证的短小的散列值,并将该散列值附接在单证之后传输给接收方。以便接收方采用相同的散列算法对接收的单证进行检验。 ⑸ 如何确定电子单证的真实性,即单证来源于期望的发送方;鉴别单证真实性的主要手段是数字签名技术,其基础是数据加密中的公开密钥加密技术,实用中常结合单证完整性一起考虑,利用发方的秘密密钥对散列值进行加密。 ⑹ 如何解决或者仲裁收发双方对交换的单证所产生的争议,包括发方或者收方可能的否认或抵赖。通常要求引入认证中心进行管理,由ca发放密钥,传输的单证及其签名的备份发至ca保存,作为可能争议的仲裁依据。 ⑺ 如何保证存储信息的安全性。规范内部管理,使用访问控制权限和日志,以及敏感信息的加密存储等。当使用www服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术(有些专家建议直接采用物理分割www服务器和内部网络的连接)保护内部网络的安全性。........................
电子商务 (electronic commerce ,ec) 就是借助于公共网络,如internet或开放式计算机网络(open computer network)进行网上交易,快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。这种商务过程包括商品和服务交易的各个环节,如广告、商品购买、产品推销、信息咨询、商务洽谈、金融服务、商品的支付等商业交易活动。电子商务应用范围相当广泛,以消费者对企业方面来讲包括:电子购物----电子商场、商品展示、线上订购;网络拍卖;电子钱包--电子现金(electronic cash)、电子支票(electronic cheque);网络银行--网络转帐、帐单查询、服务申请、开户、金融产品介绍、网络广告。而企业与企业之间则有商品资料库、电子资料交换、生产供求、商务洽谈、帐目清算、技术合作、资金拆借等应用。在企业内部则可利用相关的安全技术建立数字签名、电子公文传送等系统,真正达到安全、迅速的无纸办公以提高管理效率、改善经营质量。
电子商务一般包括四个部分:1交易的商流:指接受订单、购买、开具发票等销售的工作,也包括维修等售后服务之类的工作;2配送的物流:指商品的配送;3转帐支付的结算:交易双方必然涉及到资金转移的过程,包括付款、与金融机构交互等(应包括资金转移、与资金转移之相关信息,例如所有权转移凭证等);4信息流:包括商品信息、信息提供、促销、直销等。它和传统的商业系统相比,具有交易花费成本低、资金更安全、资金结算速度快、节省人力物力、方便等特点。
电子商务的实现,必须解决下面几个关键问题:
1. 安全性(security)和可靠性(reliability):对于在线交易、资金转移和电子 货币的铸造都需要绝对安全和可靠,必须保证交易的保密性、完整性和可用性;
2. 真实性(reality):买卖双方能够确认他们收到的电子货币是真实的;
3. 匿名性(anonymity):确保消费者、商家和他们之间的交易是无记名的,即不可 追踪的;
4. 可分性(divisibility):在internet上实际运行中,要能够处理各种不同货币单 位和货币种类的交易;
5. 灵活性(flexibility):支付系统必须能够处理不同的支付方式,比如信用卡、 电子支票和电子现金等;
6. 互操作性(interoperability)和方便性(convertibility):由于目前存在着不 同的支付系统,因此应该能够考虑异种支付系统的互通,保证交易双方操作的透明 性;
7. 身份确认(authenticity):在买卖双方进行交易前,必须相互进行身份的确认;
8. 防重传(non-replay):保证信息被截取后,不能再被重新传输;
9. 不可否认性(non-repudiability):包括信息发送方和接收方两个方面,保证发 送方不可否认他发送的信息,防止接受方否认收到数据。可以有效地防止交易上的 纠纷;
10. 可接受性(acceptability):必须有国家的法律支持。
目前世界各国都在展开电子商务系统的研究,通过电子货币完全取代目前的支票及现金支付模式。为了保证电子商务安全因素的顺利实现,在电子商务中使用了各种安全技术,如加密技术、密钥管理技术、数字签名等。以下就是对这些技术的简单介绍。
加密技术 加密技术是电子商务中采用的主要安全措施,交易双方可根据需要在信息交换阶段使用。目前加密技术分为两种:对称密钥和非对称密钥。对称加密是指在信息加密过程中,对信息的加密和解密都使用相同的密钥。交易双方的任何信息都通过这把密钥加密后传给对方。数据加密技术是由美国国家标准组织提出的目前广泛使用的对称加密方式之一,共有56位。非对称加密(公开密钥加密)是指在加密过程中,密钥被分为一对。这对密钥中的任何一把密钥都可以作为公开密钥通过非保密方式向他人公开,而另一把则作为私有密钥加以保存。公开密钥用于对信息的加密,私有密钥则用于对加密信息的解密。
 |
