目前,各种针对电子商务安全技术的方案已被逐步开发出来。
1、加密技术
加密技术是电子商务中采取的主要安全措施。发送文件的方对即将发送的数据和信息进行加密,另方对收到的数据和信息进行解密。在文件的传输过程中,即使被他人截取也不容易发生泄密事故。加密技术分为两类,即对称加密和非对称加密。
(1)对称加密:对信息的加密和解密都使用相同的密钥。进行贸易的双方可以采取相同的加密算法,只需交换共享的专用密钥即可。贸易的任何方如果能够确保专用密钥在密钥交换阶段没被泄露,被传递的数据和信息的机密性和完整性就可以通过对称加密方法加密机密信息以及随报文起发送报文摘要或报文散列值来实现。对称加密技术存在着如何在通信的贸易方之间确保密钥安全交换的问题。
(2)非对称加密:在非对称加密体系中,密钥被分解为把公开密钥(即加密密钥)和另把专用密钥(即解密密钥)。公开密钥用于对信息的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥的贸易方掌握,公开密钥可公开,但是它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是;贸易甲方生成两把密钥并将其中的把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易乙方使用该密钥对机密信息进行加密后再发送给贸易甲方;贸易甲方再用自己保存的另把专用密钥对加密后的信息进行解密。贸易甲方只能用其专用密钥解密由其公开密钥加密后的任何信息。
2、数字签名
数字签名的主要方式在于报文的发送方从报文文本中生成个128位的散列值。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,这个数字签名将作为报文的附件和报文起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
3、PKI和CA
PKI就是Public Key Infrastructure的缩写,翻译过来就是公开密钥基础设施。它采用源自对称加密技术的公开密钥技术。说PKI是基础设施,是指它对网络公共信息安全的重要性,好比电力基础设施对现代社会样。则为电子商务应用提供安全服务,如身份识别、数字签名、加密等。
PKI中基本的元素就是数字证书,电子商务各方都拥有自己的证书,好比现实生活中的身份证,所有的安全操作主要通过证书来实现。签发这些证书的权威机构叫做证书授证中心(CA),就好比现实生活中签发身份证的公安机关。VeriSign就是著名的CA机构,经过VeriSign印签发证书的交易网站浏览器会被自动认可,不会弹出窗口让用户确认检查。
数字证书无法被篡改或伪造,因为签发证书的CA会对数字证书做数字签名,如同身份证的防伪标识,任何人都可以检查数字签名来确定证书是否正确。数字证书中包含证书拥有人的公钥,任何想和它进行安全通信的人都可以用这个公钥加密通信的内容,只有证书拥有人可以用自己手上唯的私钥解密和读取通信的内容。
4、国际互联网中的安全协议
1)电子邮件安全协议
电子邮件是国际互联网上互相传递信息的主要手段,也在电子商务中有相应的应用。但它并不具备很强的安全防范措施,因此用于邮件加密的安全协议被开发出来以加强它的私密性。例如S/MIME,它采用数字标识的加密办法,数字标识由公用密钥、私人密钥和数字签名三部分组成。在电子邮件中添加数字签名时,就把数字签名和公用密钥加入到电子邮件中。发件人可以使用邮件客户端程序(例如Outlook Express)来指定他人向自己发送加密邮件时所需使用的证书。收件人可以使用数字签名来验证发件人的身份,并可使用公用密钥给发件人发送加密邮件,这些邮件必须用发件人的私人密钥才能阅读。要发送加密邮件,发件人的通讯簿必须包含收件人的数字标识。这样,发件人就可以使用他们的公用密钥来加密邮件了。当收件人收到加密邮件后,用他们的私人密钥来对邮件进行解密后才能阅读。
2)安全套接层(Secure Sockets Layer)协议
电子商务在提供机遇和便利的同时,也面临着个具大的挑战,即交易的安全问题。SSL安全协议初是由Netscape Communication公司设计开发的,主要用于提高应用程序之间数据的安全系数。SSL协议的设计初衷涉及所有互联网应用程序,保证任何安装了安全套接字的双方安全通信。SSL常用于增强HTTP安全性的协议称为HTTPS,它为基于Web的电子商务通信增加了通信加密功能。HTTPS(SSL)协议是国际上早应用于电子商务的种网络安全协议,至今仍然被很多网上商店所使用。客户的购买信息首先发往商家,商家再将信息转发至银行,银行验证客户信息的合法性后,通知商家付款成功,商家再通知客户购买成功,并将商品寄送给客户。可以注意到,SSL协议有利于商家而不利于客户。客户的信息首先传到商家,商家阅读后再传至银行,这样,客户资料的安全性使受到威胁。商家认证客户是必要的,但在整个过程中,缺少了客户对商家的认证。在电子商务的开始阶段,由于参与电子商务的公司大都是些大公司,信誉较高,这个问题没有引起人们的重视。随着电子商务参与的厂商迅速增加,对厂商的认证问题越来超突出,SSL协议的缺点完全暴露出来。
3)信用卡交易安全协议
如前所述,在网上购物的环境中,持卡人希望在交易中使自己的账户信息保密,使之不被人盗用;商家则希望客户的订单不可抵赖;在交易过程中,交易各方都希望验明其他方的身份,以防止被欺骗。针对这种情况,由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构,共同制定了应用于Internet上的以银行卡为基础来进行在线交易的安全标准,这就是“安全电子交易”(Secure Electronic Transaction,SET)。SET协议本身比较复杂,设计比较严格,安全性高,它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的个典型实现,它采用公钥密码体制和X509数字证转标准,主要应用BtoC模式保障支付信息的安全性。SET提供了消费考、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者的银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。然而,由于早期电子商务应用中大旦采用SSL协议的解决方案,造成了目前SSL协议比SET更流行,反而成为事实上的标准。
上述介绍的技术及其标准规范是电子商务应用中主要涉及的技术,还有很多安全技术及标准规范尚未列出。要保证电子商务安全可靠,首先要明确电子商务的安全隐患、安全等级和采用安全措施的代价,再选择相应的安全措施。
