电子商务中的安全机制探讨

1 电子商务安全概述

网络安全通常分成三类,即保密、完整和即需。保密是指防止未授权的数据暴露并确保数据源的可靠性;完整是防止未经授权的数据修改;即需则意味着防止延迟或拒绝服务。目前,电子商务在经济发展中起着不可替代的作用,所以网络安全的这三类问题成为研究的焦点。

由于Internet的全球性、开放性、无缝连通性、共享性、动态性的发展,使得任何人都可以自由地进入Internet进行商务活动,这其中也可能有恶意者(如黑客)混迹其中。作为建立在网络之上的电子商务系统,要面对的就是网络固有的攻击。网络的安全危害会来源于以下几个方面:对客户机安全的威胁;对通信信道安全的威胁;对服务器安全的威胁。

2 电子商务的安全机制

由于电子商务最终要涉及客户机向商务服务器发出订单信息和结算信息,而商务服务器则要向认证机构认证并向客户机返回订单确认信息。

如果信息中途被任何人改变,将会给买卖双方带来灾难性的后果,因此保证交易的完整性是极为重要的。要保证交易的完整性,除了考虑物理安全、人员安全、安全管理、介质安全等因素之外,还必须解决好技术上的安全问题。现在就如何建立电子商务的安全机制进行探讨。

在电子商务的防护机制中,应当有相应的权限设置。通过身份验证等方式来防止别人随意地盗取信息。也可以通过数据文件的双重加密提高防护的安全等级。在数据的完整性方面,就是要保证数据不被修改或盗取。安全机制在这里可以分为加密机制、数字鉴别机制、访问控制机制、认证交换机制、信息流认证机制、路由控制机制等。

加密机制

加密是提供数据保密的最常用方法。应用各种加密和信息隐匿技术,保护信息不被泄露或披露给未经授权的人或组织。按密钥类型划分,加密算法可分为对称密钥加密算法和非对称密钥两种;按密码体制分,可分为序列密码和分组密码算法两种。用加密的方法与其他技术相结合,可以提供数据的保密性和完整性。除了对话层不提供加密保护外,加密可在其他各层上进行。与加密机制伴随而来的是密钥管理机制。

数字签名机制

数字签名是解决网络通信中特有的安全问题的有效方法。可以保证身份的精确性,分辨参与者所声称身份的真伪,防止伪装攻击。特别是避免通信双方发生如下安全问题:

否认:发送者事后不承认自己发送过某份文件。
伪造:接收者伪造一份文件,声称该文件发自原发送者。
冒充:网上的某个用户冒充另一个用户接收或发送信息。
篡改:接收者对收到的信息进行部分篡改。

访问控制机制

访问控制是按事先确定的规则决定主体对客体的访问是否合法。可以保护系统资源(信息、计算机和通信资源)不被未经授权人或以未授权方式接入、使用、修改、毁坏和发出指令等。访问控制是对认证的强化。

当一个主体试图非法使用一个未经授权使用的客体时,该机制将拒绝这一企图,并附带向审计跟踪系统报告这一事件。审计跟踪系统将产生报警信号或形成部分追踪审计信息。

数据完整性机制

数据完整性包括两种形式,一种是数据单元的完整性,另一种是数据单元序列的完整性。数据单元完整性包括两个过程,一个过程发生在发送实体,另一个过程发生在接收实体。保证数据完整性的一般方法是:发送实体在一个数据单元上加一个标记,这个标记是数据本身的函数,如一个分组校验,或密码校验函数,它本身是经过加密的。接收实体是一个对应的标记,并将所产生的标记与接收的标记相比较,以确定在传输过程中数据是否被修改过。

数据单元序列的完整性是要求数据编号的连续性和时间标记的正确性,以保护数据不被未授权者建立、嵌入、删除、篡改、重放。如果数据被破坏将会给经济带来毁灭性的打击。

交换鉴别机制

交换鉴别是以交换信息的方式来确认实体身份的机制。用于交换鉴别的技术有:

口令:由发送方实体提供,接收方实体检测。

密码技术:将交换的数据加密,只有合法用户才能解密,得出有意义的明文。在许多情况下,这种技术与下列技术一起使用:时间标记和同步时钟;双方或三方"握手";数字签名和公证机构。

利用实体的特征或所有权,常采用的技术是指纹识别和身份卡等。

业务流量填充机制

这种机制主要是对抗非法者在线路中监听数据并对其进行流量和流向分析。采用的方法一般由保密装置在无信息传输时,连续发出伪随机序列,使得非法者不知哪些是有用信息、哪些是无用信息。

路由控制机制

在一个大型网络中,从源节点到目的节点可能有多条线路,有些线路可能是安全的,而另一些线路是不安全的。路由控制机制可使信息发送者选择特殊的路由,以保证数据安全。

公证机制

在一个大型网络中,有许多节点或端节点。在使用这个网络时,并不是所有用户都是诚实的、可信的,同时也可能由于系统故障等原因使信息丢失、迟到等,这很可能引起责任问题。为了解决这个问题,就需要有一个各方都信任的实体,也就是公证机构,如同一个国家设立的公证机构一样,提供公证服务,仲裁出现的问题。

一旦引入公证机制,通信双方进行数据通信时必须经过这个机构来转换,以确保公证机构能得到必要的信息,供以后仲裁。

除上述安全机制外,目前比较流行的技术XML(extensible Markup Lan?鄄guage,可扩展标记语言)在世界范围内正受到广泛关注,它在很大程度上是因为能解决电子商务的技术问题。但如何在XML中注入安全机制,使之更加有效地服务于电子商务,也正在引起人们的重视。

3 电子商务中值得关注的问题

为使电子商务顺利实施,除了需要建立一个完整的安全保障体系外,还有几个认识上的问题值得注意。

首先,对于任何一个系统来说,安全都是相对的,而不是绝对的,我们不能追求一个永远也攻不破的安全技术。如果要使以后的网站永远不受攻击,不出安全问题是很难的,所以作为网站的管理者要始终保持清醒的头脑,针对出现的隐患和问题不断研究新的安全措施。

其次,安全问题不仅仅是个技术性的问题,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起。根据FBI在2001年所做的一份统计报告显示,来自企业内部的信息安全事件的比例惊人,高达70%,其中主要的问题有:员工滥用Internet、来自内部的未授权存取资料、专利信息被窃取、内部人员的财务欺骗和资料或网络被破坏等。因此要保证电子商务的安全,就要加强企业内部管理,制定相应的规章制度。

总之,用经济学的观点来看网络安全问题,安全是发展的、动态的,今天安全明天就不一定很安全。因为网络的攻防是此消彼长,道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。

没有一劳永逸的安全,也没有一蹴而就的安全,要在实践中不断研究探索、逐步完善电子商务的各种安全机制。随着我国经济在世界经济发展中地位的不断提高,保证电子商务正常、健康地发展,是网络工作者的责任和义务。保证电子商务的安全性,保证经济信息安全、快捷的传送,一定能加快我国经济的发展,进而提高我国经济的科学技术水平。