安全問題是電子商務推廣過程中最大的障礙。目前,電子商務過程中主要採用的技術有加密技術、認證技術和安全認證協議。這些技術是如何應用的?在下面的內容中將會具體介紹。 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
加密技術
加密技術是一種主動的信息安全防範措施,其原理是利用一定的加密算法,將明文轉換成為無意義的密文,阻止非法用户理解原始數據,從而確保數據的保密性。明文變為密文的過程稱為加密,由密文還原為明文的過程稱為解密,加密和解密的規則稱為密碼算法。在加密和解密的過程中,由加密者和解密者使用的加解密可變參數叫做密鑰。
目前,獲得廣泛應用的兩種加密技術是對稱密鑰加密體制和非對稱密鑰加密體制。它們的主要區別在於所使用的加密和解密的密碼是否相同。
1.對稱密鑰加密體制
對稱密鑰加密,又稱私鑰加密,即信息的發送方和接收方用一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。
使用對稱加密技術將簡化加密的處理,每個參與方都不必彼此研究和交換專用設備的加密算法,而是採用相同的加密算法並只交換共享的專用密鑰。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麼機密性和報文完整性就可以通過使用對稱加密方法對機密信息進行加密以及通過隨報文一起發送報文摘要或報文散列值來實現。
2.非對稱密鑰加密體制
非對稱密鑰加密系統,又稱公鑰密鑰加密。它需要使用一對密鑰來分別完成加密和解密操作,一個公開發布,即公開密鑰,另一個由用户自己祕密保存,即私用密鑰。信息發送者用公開密鑰去加密,而信息接收者則用私用密鑰去解密。公鑰機制靈活,但加密和解密速度卻比對稱密鑰加密慢得多。
在非對稱加密體系中,密鑰被分解為一對。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為私用密鑰(解密密鑰)加以保存。私用密鑰只能由生成密鑰對的貿易方掌握,公開密鑰可廣泛發佈。
該方案實現信息交換的過程是:貿易方甲生成一對密鑰並將其中的一把作為公開密鑰向其他貿易方公開;得到該公開密鑰的貿易方乙使用該密鑰對信息進行加密後再發送給貿易方甲;貿易方甲再用自己保存的另一把專用密鑰對加密信息進行解密。
認證技術
安全認證的主要作用是進行信息認證。信息認證的目的為:(1)確認信息發送者的身份;2)驗證信息的完整性,即確認信息在傳送或存儲過程中未被篡改過。下面從安全認證技術和安全認證機構兩個方面來做介紹。
1.常用的安全認證技
安全認證技術主要有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等。
(1) 數字摘要
數字摘要是採用單向Hash函數對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼,並在傳輸信息時將之加入文件一同送給接收方,接收方收到文件後,用相同的方法進行變換運算,若得到的結果與發送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。
(2) 數字信封
數字信封是用加密技術來保證只有規定的特定收信人才能閲讀信的內容。在數字信封中,信息發送方採用對稱密鑰來加密信息,然後將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數字信封)之後,將它和信息一起發送給接收方,接收方先用相應的私有密鑰打開數字信封,得到對稱密鑰,然後使用對稱密鑰解開信息。這種技術的安全性相當高。
(3) 數字簽名
日常生活中,通常用對某一文檔進行簽名來保證文檔的真實有效性,防止其抵賴。在網絡環境中,可以用電子數字簽名作為模擬。
把Hash函數和公鑰算法結合起來,可以在提供數據完整性的同時保證數據的真實性。完整性保證傳輸的數據沒有被修改,而真實性則保證是由確定的合法者產生的Hash,而不是由其他人假冒。而把這兩種機制結合起來就可以產生數字簽名。
(4) 數字時間戳
在書面合同中,文件簽署的日期和簽名一樣均是防止文件被偽造和篡改的關鍵性內容。而在電子交易中,同樣需對交易文件的日期和時間信息採取安全措施,而數字時間戳服務就能提供電子文件發表時間的安全保護。數字時間戳服務(DTS)是網絡安全服務項目,由專門的機構提供。時間戳是一個經加密後形成的憑證文檔,它包括三個部分:需加時間戳的文件的摘要、DTS收到文件的日期和時間、DTS的數字簽名。
(5)數字證書
在交易支付過程中,參與各方必須利用認證中心簽發的數字證書來證明各自的身份。所謂數字證書,就是用電子手段來證實一個用户的身份及用户對網絡資源的訪問權限。
數字證書是用來惟一確認安全電子商務交易雙方身份的工具。由於它由證書管理中心做了數字簽名,因此任何第三方都無法修改證書的內容。任何信用卡持有人只有申請到相應的數字證書,才能參加安全電子商務的網上交易。數字證書一般有四種類型:客户證書、商家證書、網關證書及CA系統證書。
2.安全認證機構
電子商務授權機構(CA)也稱為電子商務認證中心(Certificate Authority)。在電子交易中,無論是數字時間戳服務還是數字證書的發放,都不是靠交易雙方自己能完成的,而需要有一個具有權威性和公正性的第三方來完成。
認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,並能確認用户身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。
安全認證協議
目前電子商務中有兩種安全認證協議被廣泛使用,即安全套接層SSL(Secure Sockets Layer)協議和安全電子交易SET(Secure Electronic Transaction)協議。
1.安全套接層(SSL)協議
安全套接層協議是由Netscape公司1994年設計開發的安全協議,主要用於提高應用程序之間的數據的安全係數。SSL協議的概念可以被概括為:它是一個保證任何安裝了安全套接層的客户和服務器間事務安全的協議,該協議向基於TCP/IP的客户/服務器應用程序提供了客户端和服務器的鑑別、數據完整性及信息機密性等安全措施。目的是為用户提供Internet和企業內聯網的安全通信服務。
SSL採用了公開密鑰和專有密鑰兩種加密:在建立連接過程中採用公開密鑰;在會話過程中使用專有密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。它保證了客户和服務器間事務的安全性。
2.安全電子交易(SET)協議
安全電子交易是一個通過開放網絡進行安全資金支付的技術標準,由VISA和MasterCard組織共同制定,於1997年聯合推出。由於它得到了IBM、HP、Microsoft等很多大公司的支持,已成為事實上的工業標準,目前已獲得IETF標準的認可。這是一個為Internet上進行在線交易而設立的一個開放的、以電子貨幣為基礎的電子付款規範。
SET在保留對客户信用卡認證的前提下,又增加了對商家身份的認證,這對於需要支付貨幣的交易來講是至關重要的。SET將建立一種能在Internet上安全使用銀行卡購物的標準。安全電子交易規範是一種為基於信用卡而進行的電子交易提供安全措施的規則,是一種能廣泛應用於Internet上的安全電子付款協議,它能夠將普遍應用的信用卡的使用場所從目前的商店擴展到消費者家裏,擴展到消費者個人計算機中。