电子商务及其安全技术(1)
更新时间:2006-02-13 00:00:00作者:未知
1 引言
Internet给整个社会带来了巨大的变革,成为驱动所有产业发展的动力。电子商务是在Internet开放环境下的一种新型的商业运营模式,是网络技术应用的全新发展方向。在此首先对电子商务中存在的问题及其安全性技术加以分析,然后对中国电子商务未来的发展提出了一些建议,以使更多的人士关注电子商务技术,尽快解决现存的问题,推动电子商务的发展。
2 电子商务及其存在的问题
电子商务是指利用简单快捷低成本的电子通讯方式,使买卖双方进行各种商贸活动的新型贸易形式。它改变了传统贸易形式,不仅改变了企业本身的生产、经营、管理活动,而且将导致人类经济、社会和文化的一次新的革命。但目前电子商务的发展中还存在许多问题:
1) 安全协议问题:对安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。
2) 安全管理问题:在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
3) 电子商务没有真正深入商务领域而仅仅局限于信息领域。
4) 技术人才短缺问题:电子商务是在近几年才得到了迅猛发展,许多地方都缺乏足够的技术人才来处理所遇到的各种问题。不少电子商务的开发商对网络技术很熟悉,但是对安全技术了解得偏少,因而难以开发出真正实用的、安全性的产品。
5) 法律问题:电子交易衍生了一系列法律问题,例如网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。
6) 税收问题:电子商务的发展在促进贸易增加税收的同时又对税收制度及其管理手段提出了新要求。
3 电子商务中的安全性技术
安全性技术是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的问题。虽然Internet的开放式的信息交换使之在安全方面存在脆弱性,但现在几乎网络的各个层次都制订了安全协议和具备了相应的安全技术,以保证电子商务的安全性。
3.1 安全的网络平台
安全可靠的网络是实现电子商务的基础,常用的方法是在网络中采用防火墙技术,虚拟专用网(VPN)技术,防病毒保护等。防火墙技术是通过IP过滤和代理服务器软件方法保护企业内部网(Intranet)中数据,只有授权用户才能获准进入企业内部网的系统。虚拟专用网(VPN)技术通过IP隧道等方法来保证企业协作网(Extranet)中企业间数据和企业内部网的远程分支机构和外出职工对中央系统的远程访问数据的安全传递。单纯依靠这些方法保护网络的安全性是不够的,还必须与其它安全措施综合使用才能为为用户提供更为可靠的电子商务基石,例如现在的加密技术、数字签名技术、电子认证技术等。
3.2 在线支付的安全技术
电子商务的另一个关键问题是要保证在线支付的安全,它是网上购物的重要保证。目前采用的在线支付协议有两种:安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议。
3.2.1 SSL协议
SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(Certificate Authority,CA)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。
SSL协议握手流程由两个阶段组成:服务器认证和用户认证。
1)服务器认证
客户端向服务器发送一个“Hello”信息,以便开始一个新的会话连接;服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。
2)用户认证
经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。
SSL协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web服务器内置,便于在电子交易中应用。但SSL是一个面向连接的协议,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议不能协调各方面的安全传输和信任关系,为此,Mastercard和Visa共同在网络应用层开发了SET协议。
3.2.2 SET协议
SET协议是一个能保证通过开放网络进行安全资金支付的技术标准。它采用的技术包括,对称密钥加密、公共密钥加密、哈希算法、数字签名技术以及公共密钥授权机制等。
SET使订单信息和信用卡信息的隔离。在把包含信用卡号码信息的订单送到商家时,商家只能看到订单信息,却看不到信用卡号码信息,并且需要持卡人和商家相互认证,确定通信双方身份,一般由认证中心为双方提供信用担保。
整个电子支付的过程包括:浏览、购买、付款合法性验证以及获取付款等过程。信用卡持卡客户通过浏览器从商家的商品目录寻找所需商品,他拥有支付网关交换密钥的私人密钥,可以发送初始化请求给商家;商家收到客户的初始化请求后,为请求报文分配一个唯一的交易标识号,并用商家的私人密钥进行数字签名,然后将初始化响应报文与商家和支付网关的证书一起传给客户;客户收到该初始化响应后,验证商家和支付网关的证书,确认商家和支付网关的身份,再根据商家的公开密钥确认初始化响应中的商家签名;然后,客户产生订单信息(Ordering Information)和支付命令(Payment Instruction),用私人密钥对订单信息和支付命令进行双重签名;并产生一个随机的对称密钥,用它对双重签名后的支付命令加密,然后再用支付网关交换密钥的公开密钥(public key-exchange key)对客户帐号和对称密钥加密;客户将加密后的订单信息和支付命令发给商家;商家确认客户证书,用客户的公开密钥对订单信息上的双重签名解密,以确保订单在传输过程中无误,并且其中的签名是客户的;然后,商家处理订单信息请求,将支付命令传给支付网关并请求授权,同时还产生一个包括商家的签名证书和指明客户的订单已被接收等信息的购买响应报文,并对该报文数字签名后发给客户;客户用商家的公开密钥来证实购买响应上的签名是商家的,并保存收到的购买响应。如果交易被授权,商家将执行订单上规定的送货等服务。商家使用订货单,要求支付网关付款。
SET定义了一个完备的电子交易流程,较好地解决了电子交易中各方间复杂的信任关系和安全连接,确保了电子交易中信息的真实性、保密性、防抵赖性和不可更改性。但由于SET协议庞大而又复杂,银行、商家和客户均需改造才能实现互操作,使得SET协议被普遍使用还需有一个过程。在我国,大多尚处在对SSL协议的应用上,要完全实现SET协议安全支付还要有一个过程。
3.3 其它安全问题
对于电子商务的安全性来讲,有了防火墙与安全协议和规范还不够,一方面,网络本身的物理差错是难以避免的;另一方面,Internet主干网和DNS服务器的可靠性,拨号连接质量与速度还不能满足人们的需求;另外,恶意代码对网络系统的威胁,单纯依敕技术是很难解决的,从某种意义上讲,依靠管理加强内部人员的安全防范意识等比安全技术更为重要。因此,要加强电子商务的安全性应从多方面入手。
4 对我国电子商务的发展的几点建议
1) 提高服务的安全性。电子商务飞快的发展速度,致使其安全技术和安全管理都跟不上,这已成为越来越突出的问题,但不能因为安全问题而制约了电子商务的发展,使安全成为发展的瓶颈,发展是首位的,没有发展安全就无从谈起。
2) 加快网络基础设施建设和网络普及程度。发展电子商务的目的在于降低交易成本,提高交易效率,因此应积极发展高速宽带通信信道,重点建设光缆和卫星通信,同时积极利用现有通信线路发展ISDN和ADSL接入,利用有线电视线路,试验发展HFC接入网。
3) 尽快完善有关网络安全等方面的法律。我国政府在《中华人民共和国合同法》中规定了以电子媒体为载体的合同具有法律约束力,对推广电子商务有很大的促进作用,但是在诸多方面还需顺应网络技术的发展而不断完善。
4) 加快银行、税务以及邮政等物流环节的信息化建设步伐,建立企业到企业(BtoB)、企业到客户(BtoC) 的商务沟通,实现网上资金流动,解决目前有形商品交易环节中的流通因难。
5) 转变人们面对面交易的消费习惯。
5 结束语
目前,基于Internet的电子商务应用还刚刚开始,许多方面都还不够完善,并且,我国和发达国家之间的差距很大,这就要求我们密切关注电子商务的动向,探讨电子商务中存在的技术问题,加大推广力度,以把握住网络经济时代这一良好的发展时机。