夏玲軍
[摘要]從網(wǎng)絡(luò)安全和網(wǎng)上交易兩個(gè)方面介紹相關(guān)的信息安全技術(shù),即防火墻技術(shù),入侵檢測(cè)技術(shù),網(wǎng)絡(luò)反病毒技術(shù),虛擬專用網(wǎng)技術(shù),數(shù)據(jù)加密技術(shù),數(shù)據(jù)簽名技術(shù),數(shù)字證書和認(rèn)證機(jī)構(gòu)以及安全協(xié)議等,通過(guò)他們來(lái)保障電子商務(wù)活動(dòng)的安全。
[關(guān)鍵詞]電子商務(wù)信息安全技術(shù)數(shù)據(jù)加密技術(shù)數(shù)據(jù)簽名
中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0820042-01
一、引言
隨著網(wǎng)絡(luò)、通信技術(shù)的飛速發(fā)展,電子商務(wù)已經(jīng)成為經(jīng)濟(jì)全球化的助推器,它給世界范圍的商務(wù)交易帶來(lái)了新的契機(jī)。而電子商務(wù)在提高商務(wù)效率、降低商務(wù)交易成本的同時(shí),安全問(wèn)題也就如影隨形而至。因此,建立一個(gè)安全可靠的電子商務(wù)應(yīng)用環(huán)境,已經(jīng)成為影響到電子商務(wù)發(fā)展的關(guān)鍵性課題。下面就網(wǎng)絡(luò)安全和網(wǎng)上交易兩方面相關(guān)的信息安全技術(shù)做些具體的介紹。
二、網(wǎng)絡(luò)安全技術(shù)
網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ),一個(gè)完整的電子商務(wù)系統(tǒng)應(yīng)建立在安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上。
(一)防火墻技術(shù)
所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合,使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)(Sec
urity Gateway),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描,這樣能夠過(guò)濾掉一些攻擊,以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn),從而防止來(lái)自不明入侵者的所有通信。典型的防火墻具有以下三個(gè)方面的基本特性:1.內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻。2.只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻。3.防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成,實(shí)際應(yīng)用時(shí)常采用兩級(jí)的安全機(jī)制,即第一級(jí)由包過(guò)濾路由器承擔(dān),第二級(jí)由防火墻承擔(dān)。
(二)入侵檢測(cè)技術(shù)
入侵檢測(cè)技術(shù)可以被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為,是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)方法很多,如基于專家系統(tǒng)入侵檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法等。目前一些入侵檢測(cè)系統(tǒng)在應(yīng)用層入侵檢測(cè)中已有實(shí)現(xiàn)。由于傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù),對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。具體實(shí)施時(shí),可將網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)與防火墻的功能結(jié)合構(gòu)建安全網(wǎng)絡(luò)。
(三)網(wǎng)絡(luò)反病毒技術(shù)
在網(wǎng)絡(luò)環(huán)境下,雖然可以通過(guò)各種防衛(wèi)技術(shù)保護(hù)網(wǎng)絡(luò)安全,但病毒的入侵是不可避免的,因此,反病毒技術(shù)是網(wǎng)絡(luò)安全建設(shè)中重要的一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和殺毒等3種技術(shù)。實(shí)際應(yīng)用時(shí),還應(yīng)根據(jù)具體網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)特點(diǎn)進(jìn)行一體化的安排,如根據(jù)客戶機(jī)-服務(wù)器所用操作系統(tǒng)選擇或設(shè)計(jì)不同的反病毒軟件、在網(wǎng)絡(luò)通信卡中插入專門反病毒芯片、檢查可能通過(guò)網(wǎng)絡(luò)傳輸?shù)膸Р《疚募?。例如現(xiàn)在流行的各種殺病毒軟件,主要有瑞星殺毒軟件、金山毒霸殺毒軟件、趨勢(shì)殺毒軟件等都具備預(yù)防、檢測(cè)、殺毒等功能。
(四)虛擬專用網(wǎng)(VPN)技術(shù)
VPN是用于Internet交易的一種專用網(wǎng)絡(luò),它可以在兩個(gè)系統(tǒng)之間建立安全的隧道。在VPN中,雙方的數(shù)據(jù)通信量要大得多,而且通信的雙方彼此都很熟悉。這就可以使用復(fù)雜的專用加密和認(rèn)證技術(shù),只要通信的雙方默認(rèn)即可。拔號(hào)VPN使用隧道技術(shù)使遠(yuǎn)程訪問(wèn)服務(wù)器把用戶數(shù)據(jù)打包到IP信息包中,這些信息通過(guò)電信服務(wù)商的網(wǎng)絡(luò)進(jìn)行傳遞,在Internet中要穿過(guò)不同的網(wǎng)絡(luò),最后到達(dá)隧道終點(diǎn)。然后拆數(shù)據(jù)包,轉(zhuǎn)換成最初的形式。隧道技術(shù)使用點(diǎn)對(duì)點(diǎn)通信協(xié)議代替了交換連接,通過(guò)路由網(wǎng)絡(luò)來(lái)連接路由地址,這代替了電話交換網(wǎng)絡(luò)使用的電話號(hào)碼連接,允許授權(quán)移動(dòng)用戶或已授權(quán)的用戶在任何時(shí)間任何地點(diǎn)訪問(wèn)企業(yè)網(wǎng)絡(luò)。這種方式在保證網(wǎng)絡(luò)的安全性方面是非常有用的。
三、電子商務(wù)網(wǎng)上交易中的信息安全技術(shù)
網(wǎng)絡(luò)安全只是實(shí)現(xiàn)電子商務(wù)的基礎(chǔ),電子商務(wù)發(fā)展的核心和關(guān)鍵問(wèn)題是交易的安全性。目前主要采用以下幾種技術(shù)措施來(lái)解決網(wǎng)上交易中信息安全問(wèn)題。
(一)數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)是保證網(wǎng)絡(luò)信息安全最常用和最重要的一種技術(shù)。數(shù)據(jù)加密是數(shù)據(jù)的一種置亂變換法則,他可以確保非授權(quán)人無(wú)法解讀被加密的數(shù)據(jù),同時(shí)也可以實(shí)現(xiàn)數(shù)據(jù)完整性、真實(shí)性的鑒別,另外可以根據(jù)需要保證數(shù)據(jù)傳輸?shù)牟豢煞裾J(rèn)性。數(shù)據(jù)加密還原的過(guò)程則稱為解密,數(shù)據(jù)加、解密過(guò)程是由算法來(lái)具體實(shí)施的。在加密技術(shù)中,基于密鑰的加密算法不同可以分為兩類:對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)(公開(kāi)密鑰加密)。最有影響的對(duì)稱加密技術(shù)是數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法和新一代數(shù)據(jù)加密標(biāo)準(zhǔn)AES算法,非對(duì)稱加密技術(shù)的加密算法主要有RSA算法和橢圓曲線密碼算法ECC算法。
DES綜合運(yùn)用了置換、代替、代數(shù)等多種密碼技術(shù),其設(shè)計(jì)精巧,密鑰的長(zhǎng)度僅56bit,適合軟硬件實(shí)現(xiàn);DES加密速度快,適合加密較長(zhǎng)明文;DES使用16輪迭代,每一輪都將把明信息擴(kuò)散到密文,完全引起了足夠的擴(kuò)散,因此56bit的密鑰基本上是安全的。但是,由于DES采用的是單密鑰體制,在密鑰管理方面,算法要求通信前對(duì)密鑰進(jìn)行秘密分配,密鑰的更換困難,所以對(duì)不同的通信對(duì)象,需產(chǎn)生和保管不同的密鑰。
RSA算法是第一個(gè)能同時(shí)用于加密和數(shù)字簽名的算法,是被研究得最廣泛的公鑰算法。從提出到現(xiàn)在已近二十年,經(jīng)歷了各種攻擊的考驗(yàn),逐漸為人們接受,普遍認(rèn)為是目前最優(yōu)秀的公鑰方案之一。RSA的安全性依賴于大數(shù)的因子分解,它的缺點(diǎn)主要有:產(chǎn)生密鑰很麻煩,受到素?cái)?shù)產(chǎn)生技術(shù)的限制,因而難以做到一次一密;分組長(zhǎng)度太大,為保證安全性,n至少也要600 bits以上,使運(yùn)算代價(jià)很高,尤其是速度較慢,較對(duì)稱密碼算法慢幾個(gè)數(shù)量級(jí)。
目前主流的數(shù)據(jù)安全傳輸方案是一種基于DES和RSA的混合加密方案。比如:利用DES來(lái)加密信息,而采用RSA來(lái)傳遞對(duì)稱加密體制中的密鑰。
(二)數(shù)字簽名技術(shù)
它是公開(kāi)密鑰加密技術(shù)的一種應(yīng)用,是指發(fā)送方將要傳送的明文(原
始的信息)通過(guò)一種函數(shù)運(yùn)算(Hash)轉(zhuǎn)換成報(bào)文摘要,這樣不同的明文對(duì)應(yīng)著不同的報(bào)文摘要,報(bào)文摘要再用發(fā)送方的私有密鑰加密后與明文一起傳送,合成為數(shù)字簽名。接受方將接受的明文產(chǎn)生新的報(bào)文摘要與發(fā)送方的發(fā)來(lái)報(bào)文摘要解密比較,比較結(jié)果一致則表示明文未被改動(dòng),如果不一致表示明文已被篡改。其作用就是能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別與驗(yàn)證,保證報(bào)文的完整性、權(quán)威性和發(fā)送方對(duì)所發(fā)報(bào)文的不可抵賴性。數(shù)字簽名根據(jù)不同的要求,可分為秘密密鑰的數(shù)字簽名、公開(kāi)密鑰的數(shù)字簽名、只需確認(rèn)的數(shù)字簽名、數(shù)字摘要的數(shù)字簽名、電子郵戳、數(shù)字憑證等多種方式。
(三)數(shù)字證書和認(rèn)證機(jī)構(gòu)
數(shù)字證書作為網(wǎng)上交易雙方真實(shí)身份證明的依據(jù),其用途是利用公共密鑰加密系統(tǒng)來(lái)保護(hù)與驗(yàn)證公眾的密鑰。
數(shù)字證書頒發(fā)過(guò)程一般為:用戶首先產(chǎn)生自己的密鑰對(duì),并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后,將執(zhí)行一些必要的步驟,以確信請(qǐng)求確實(shí)由用戶發(fā)送而來(lái),然后,認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書,該證書內(nèi)包含用戶的個(gè)人信息和他的公鑰信息,同時(shí)還附有認(rèn)證中心的簽名信息。用戶就可以使用自己的數(shù)字證書進(jìn)行相關(guān)的各種活動(dòng)。
數(shù)字證書由可信任的、公正的權(quán)威機(jī)構(gòu)CA頒發(fā)。CA即人證中心,是專門簽發(fā)數(shù)字證書的機(jī)構(gòu),是普遍可信的第三方。
(四)安全協(xié)議
目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用,即安全插口層SSL協(xié)議和安全電子事務(wù)SET協(xié)議。
1.安全插口層(SSL)協(xié)議。安全插口層協(xié)議是由Netscape公司1994年設(shè)計(jì)開(kāi)發(fā)的安全協(xié)議,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL采用了公開(kāi)密鑰和專有密鑰兩種加密:在建立連接過(guò)程中采用公開(kāi)密鑰;在會(huì)話過(guò)程中使用專有密鑰。加密的類型和強(qiáng)度則在兩端之間建立連接的過(guò)程中判斷決定。目的是為用戶提Internet和企業(yè)內(nèi)聯(lián)網(wǎng)的安全通信服務(wù)。
2.安全電子事務(wù)(SET)協(xié)議。SET主要是為了解決用戶、商家和銀行之間通過(guò)信用卡支付的交易而設(shè)計(jì)的,以保證支付信息的機(jī)密、支付過(guò)程的完整、商戶及持卡人的合法身份、以及可操作性。SET使用多種安全技術(shù)來(lái)達(dá)到安全支付的要求,其中對(duì)稱密鑰技術(shù)、非對(duì)稱加密技術(shù)和Hash算法是核心。SET協(xié)議通過(guò)制定標(biāo)準(zhǔn)和采用各種技術(shù)手段,解決了當(dāng)時(shí)困擾電子商務(wù)發(fā)展的安全問(wèn)題。由于得到了很多大公司的支持,它已形成了事實(shí)上的工業(yè)標(biāo)準(zhǔn),已獲IETF標(biāo)準(zhǔn)認(rèn)可。
SET和SSL除了都采用RSA公鑰算法以外,二者在其他技術(shù)方面沒(méi)有任何相似之處。而RSA在二者中也被用來(lái)實(shí)現(xiàn)不同的安全目標(biāo)。
參考文獻(xiàn):
[1]李明柱,電子商務(wù)安全技術(shù)[M].北京:北京航空航天出版社,2003.
[2]張明光、魏琦,電子商務(wù)安全體系的探討[J].計(jì)算機(jī)工程與設(shè)計(jì),2005,26.2:394-396.
[3]盧新德,構(gòu)建信息安全保障新體系[M].北京:中國(guó)經(jīng)濟(jì)出版社,2007.
[4]陳克非、黃征,信息安全技術(shù)導(dǎo)論[M].北京:電子工業(yè)出版社,2007.
[5]林楓,電子商務(wù)安全技術(shù)及應(yīng)用[M].北京:北京航空航天大學(xué)出版社,2001.