电子商务的安全体系结构及技术研究[1].pdf
进入世纪,随着计算机网络技术进一步迅猛发展,建21立在网络基础上的商业运行模式——电子商务,日渐成熟与完善,并随全球经济一体化进程的加快,在世界范围内日渐得到普及与应用。相对于传统商务模式,电子商务具有便捷、高效的特点与优点。尽管如此,当今全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的一小部分。究其原因,电子商务是一个复杂的系统工程,它的实现还依赖于众多从社会问题到技术问题的逐步解决与完善。其中,电子商务安全是制约电子商务发展的一个核心和关键问题。电子商务安全技术也成为各界关注和研究的热点。本文从系统工程的基本观点和原理出发,从安全技术角度,根据电子商务自身运行特点,给出了电子商务安全技术体系结构,揭示了各种安全机制间的层次关系,从全局上把握了电子商务安全体系,并重点介绍了其中的核心技术。电子商务系统的关键是保证交易数据和交易过程的安本身的开放性使电子商务系统面临着各种各样的安全威胁。因此对其安全性要求很高,要求电子商务系统具备:防止交易信息被非法截获或读取的保密性()()止交易信息丢失并保证信息传递次序统一的完整性防止假冒身份在网上交易、诈骗的可靠性()、防止交易各方对已做交易无法抵赖的抗否认性()(Anti-density)、以及原子性等安全需求。
在电子()商务中引入了原子性的概念,用以规范电子商务中的资金流、信息流和物流。原子性包括:钱原子性(money、商品原子性、确认发送原子性)()。原子性是满足商品交易的要求之一()[2,3,4]电子商务的安全控制体系结构是保证电子商务中数据安全的一个完整的逻辑结构,由个部分组成,具体如图示。电子商务安全体系由网络服务层、加密技术层、安全认证层、交易协议层、商务系统层组成。从图中的层次结构可看出,下层是上层的基础,为上层提供技术支持;上层是下层的扩展与递进。各层次之间相互依赖、相互关联构成统一整体。各层通过控制技术的递进实现电子商务系统的安全。电子商务系统是依赖网络实现的商务系统,需要利用基础设施和标准,所以构成电子商务安全框架的底层是网络服务层。它是各种电子商务应用系统的基础,并提供信息传送的载体和用户接入的手段及安全通信服务,保证网络最基本的运行安全。网络服务层是电子商务系统基本、灵活的网络服务平台。为确保电子商务系统全面安全,必须建立完善的加密技术和认证机制。加密技术是保证电子商务系统安全所采用的最基本的安全措施,它用于满足电子商务对保密性的需求。
安全认证层中的认证技术是保证电子商务安全的又一必要手段,它对加密技术层中提供的多种加密算法进行综合运用,进一步满足电子商务对完整性、抗否认性、可靠性的要求。国家自然科学基金重点项目(70031020)作者简介:王女,博士生,主要研究方向:电子商务、网络安全;杨德礼,教授、博导收稿日期:2001-12-29电子商务的安全体系结构及技术研究(大连理工大学系统工程研究所大连:随着电子商务的飞速发展,交易安全成为制约其发展的关键。从电子商务系统对安全性的需求出发,探讨了电子商务安全技术体系结构,揭示了各安全技术间的层次关系,从全局上把握了电子商务安全机制,并重点介绍了其中的核心技术。关键词:电子商务;安全性;加密技术;认证中心(neering,nology,).,ary2003基金项目论文中图分类号:TP393.08文章编号:(2003)文献标识码:A72网络隐患扫描、网络安全监控、内容识别、访问控制、防火墙……数字摘要、PKI、数字签名、数字凭证、CA认证……NetBill、SET、SSL、、JEPI、Netcash……各种电子商务应用系统安全认证层加密技术层网络服务层交易协议层商务系统层电子商务安全需求对称加密(DES、PCR、IDEA、3DES)、非对称加密(RSA)其中,交易协议层是加密技术层和安全认证层的安全控制技术的综合运用和完善。
它为电子商务安全交易提供保障机制和交易标准。基于安全技术层次提供的安全措施,商务系统层就可以满足电子商务对安全的需求。商务系统层包括B2BB2C等各类电子商务应用系统及商业的解决方案。B2G用于保障电子商务的安全控制技术很多,层次各不相同,但并非是把所有安全技术简单地组合就可以得到可靠的安全。如果清楚了解图所示的技术层次,则通过合理结合与改进,就可从技术上实现系统、有效的电子商务安全。为满足电子商务在安全服务方面的要求,基于的电子商务系统使用除保证网络本身运行的安全技术,还用到依据电子商务自身特点定制的一些重要安全技术。加密技术层加密技术是电子商务的最基本安全措施。在目前技术条件下,通常加密技术分为对称加密和非对称加密两大类。对称密钥加密2.1()加密和解密采用相同的加密算法免费b2b网站,并只交换共享的私有密钥。如果进行通信的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄露电子商务安全技术,可通过对称加密方法加密机密信息,及随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。目前常用的对称加密算法有等。
其中使用最普遍,被采用为数据加密的标准。DESISO非对称密钥加密2.2()不同于对称加密,非对称加密的密钥被分解为公开密钥和私有密钥。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的发布者,私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都可使用该密钥加密信息发送给该公开密钥的发布者,而发布者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前常用的非对称加密算法是算法。该算法已被的数据RSAISO/TC加密技术分委员会 推荐为非对称密钥数据加密标准。 SC20 两类加密方法比较 2.3 在对称和非对称两类加密方法中,对称加密的特点是加 密速度快 通常比非对称加密快 倍以上、效率高,被广泛 用于大量数据的加密。但该方法的致命缺点是密钥的传输易被截获,难以安全管理大量的密钥,因此大范围应用存在一 定问题。而非对称密钥很好地解决对称加密中密钥数量过多 难管理及费用高的不足和传输中的私有密钥的泄露,保密性 能优于对称加密技术。但非对称加密算法复杂,加密速度难 以理想。目前电子商务实际运用中常是两者结合使用。 安全认证层 目前电子商务安全技术,仅有加密技术不足以保证电子商务中的交易安全,身份认证技术是保证电子商务安全不可缺少的又一重要 技术手段 。
认证的实现包括数字签名技术、数字证书技术和智能卡技术等。 数字摘要 3.1 (Digital digest) 通过使用单向散列函数 将需要加密的明文“摘 (Hash) 要”成一个固定长度 (128bit)对应的,不同的明文加密成不同的密文;相同的明文其摘要 必然一样。因此,利用数字摘要就可以验证通过网络传输收 到的明文是否初始的、未被篡改过,从而保证数据的完整性 和有效性。 数字签名 3.2 (Digital ) 数字签名是非对称加密技术中的一种技术。其主要方式 为:报文发送方从报文文本中生成一个 成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收 到的原始报文中计算出 或报文摘要,接着 128 再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发 送方的,通过数字签名能够实现对原始报文的鉴别和不可否 数字时间戳3.3 (Digital Time Stamp) 在电子商务中,需对交易文件的日期和时间信息采取安 全措施,而数字时间戳服务 专用于提供电子文 (DTS service) 件发表时间的安全保护。
数字时间戳服务 由专门机构 (DTS) 提供。所谓的时间戳是一个经加密后形成的凭证文档电子商务的安全体系结构及技术研究[1].pdf,共包 个部分:需要加盖时间戳的文件的摘要、收到文件 DTS的日期和时间、 的数字签名,加盖时间戳的过程如图 DTS 所示。客户端 DTS 1.文件用Hash形成摘要 2.加入文件摘要时间和日期 3.对文件进行数字签名 DTS数字凭证 3.4 (Digital ID) 数字凭证又称为数字证书,是用电子手段来证实一个用 户的身份和对网络资源访问的权限。在网上的电子交易中, 如果双方出示了各自的数字凭证,并用它来进行交易操作。 数字凭证的内部格式是由 国际标准所规定的, CCITTX.509 包含以下内容:凭证拥有者的姓名、凭证拥有者的公共密 钥、公共密钥的有效期、颁发数字凭证的单位、数字凭证的 序列号 ) 认证 3.5 ( ,CA) 在电子商务系统中无论是数字时间戳服务,还是数字凭 证的发放都需要由一个具有权威性和公正性的第三方认证机 构来承担。 正是这样的一个受信任的第三方。 用来为 CA CA 用户签发证书,提供身份认证服务,是整个系统的安全核 心。在非对称秘密密钥认证系统中,用户的签名密钥和加密 密钥通常是分开的,而 只知道用户的签名公钥,这样就 CA
【114黄页(http://info.114ren.com)本文来源于互联网转载,如侵犯您的权益或不适传播,请邮件通知我们删除】