石朝阳
(广东轻工职业技术学院,广东广州510300)
【摘
要】随着Internet的发展和网络基础设施的不断完善,我国电子商务在各行各业的发展也已初具规模。电子商务将成为
企业对内实行高效管理,对外提高核心竞争力的必由之路。但伴随着电子商务的快速发展,安全问题越来越成为亟待解决的问题。文章对电子商务中的安全问题作了粗浅的分析。
电子商务;网络安全;加密技术;虚拟专用网;数字认证【关键词】
【中图分类号】F713.36【文献标识码】A
随着Internet的发展和网络基础设施的不断完善,我国电子商务在各行各业的发展也已初具规模。电子商务将成为企业对内实行高效管理,对外提高核心竞争力的必由之路。在我国,企业与消费者间的电子商务(B2C模式)和企业间的电子商务(B2B模式)发展比较迅速,但安全问题却成为电子商务发展亟待解决的问题。
电子商务从最初发展开始,就非常重视安全,但它仍摆脱不了网络带给它的安全问题。如何构建一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
【文章编号】1008-1151(2006)04-0071-03
程,没有人敢用,安全问题非常重要。
二、电子商务的安全目标
安全在电子商务中扮演着非常重要的角色,对基本的经营活动是必需的。商务过程中的安全目标就在于:购物时保护厂消费者隐私;存储和处理时保护消费者隐私;保护消费者、家和员工的机密身份资料;防范公司被浪费、欺诈和滥用;保护公司的信息资产的完整性;确保消费者同公司进行商务活动所需的系统和程序的可用性;确保公司同供应商和合伙人进行商务活动所需的系统和程序的可用性。
这些目标是建立一个好的安全策略的起点。一个好的安全策略,应该强调所有这些目标,并且能够设计具体步骤和方法来确保这些目标得以实现和保持。
一、电子商务的安全现状
网上银2004年年底,宁波人孙惠刚办理了网上银行注册。
行刚刚用了3个月,孙惠刚在网上银行账户上的9万元存款、有价证券就全部被盗。这只是网上安全问题之冰山一角,中国电子商务不断暴露的信用、安全问题已经影响到了电子商务自身的发展。
目前,电子商务安全中普遍存在着以下几种安全隐患:
三、电子商务的安全要素
电子商务站点的安全性包括哪些方面呢?在以后的设计和构建过程中该注重哪些方面呢?这里我们先从电子商务的安全要素出发来分析电子商务的安全性问题,主要包含以下几个方面:
1.中断。由于系统的可用性被破坏,从而使系统无法正常
工作,信息无法传输。
1.有效性。EB以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EB作为贸
企业或国易的一种形式,其信息的有效性将直接关系到个人、家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在确定的威胁加以控制和预防,以保证贸易数据在确定的时刻、地点是有效的。
2.窃取信息。由于未采用加密措施,数据信息在网络上以
明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
3.篡改信息。当入侵者掌握了信息的格式和规律后,通过
各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。
由于掌握了数据的格式,并可以篡改通过的信息,4.假冒。
攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
2.机密性。EB作为贸易的一种手段,其信息直接代表着个
人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EB是建立在一个较为开放的网络环境上的(尤其
Internet是更为开放的网络),维护商业机密是EB全面推广应
用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
5.恶意破坏。由于攻击者可以接入网络,则可能对网络中
的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
因此,我们在搭建电子商务平台时,不仅技术要到位,而支付等问题解决了,建立且要考虑安全防护措施,只有认证、
起一个安全的商务环境,才能真正实现电子商务。可以说在电子商务的系统里面没有安全保证的系统一定是一个豆腐渣工
【收稿日期】2006-01-06
3.完整性。EB简化了贸易过程,减少了人为的干预,同时
也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差信息重复或信息传送异。此外,数据传输过程中信息的丢失、
的次序差异也会导致贸易各方信息的不同。贸易各方信息的
石朝阳(1964-),男,安徽太湖人,广东轻工职业技术学院工程师,软件工程硕士,研究方向:信息管理。【作者简介】
-71-
完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EB应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。
数字认证可用电子方式证明信息发送者和接3.数字认证。
收者的身份、文件的完整性(如一个电子合同未被修改过),甚至数据媒体的有效性(如录音、照片等)。随着商家在电子商务中越来越多地使用加密技术,人们都希望有一个可信的第三方(认证中心CA),以便对有关数据进行数字认证。
为解决Internet的安全问题,世界各国对其进4.PKI技术。
行了多年的研究,初步形成了一套完整的Internet安全解决方案,即目前被广泛采用的PKI体系结构,PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、身份证号等)捆绑在一起,e-mail、在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。
数字PKI是一种新的安全技术,它由公开密钥密码技术、证书、认证中心(CA)和关于公开密钥的安全策略等基本成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体网上交易是利用它来保证安系,是一种基础设施,网络通讯、全的。
4.可靠性/不可抵赖性/鉴别。EB可能直接关系到贸易双方
的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EB顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等契书面文件上的手写签名或印章来鉴别贸易伙伴,确定合同、约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的EB方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
5.审查能力。根据机密性和完整性的要求,应对数据审查
的结果进行记录。
企业的内部网上一方面有着大量需要6.内部网的严密性。
保密的信息,另一方面传递着企业内部的大量指令,控制着企业的业务流程。内部网是一种半封闭的集中式可控网。既要保证内部网不被非法入侵和破坏,网中的敏感信息不被非法窃取和篡改,同时还要保证网内用户和网外用户之间正常联通,并提供应有的服务。要保证英特网基础上建立的电子商务安全性,最根本的是要发展各商家、各部门的内部网并保证它们的安全性。
四、构建电子商务中的安全策略
电子商务的安全体系包括以下三个层次:基本加密算法、基本安全技术、安全应用协议。如图1所示。
5.安全应用协议
(1)安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
认证服务和报文的(2)安全套接层协议(SSL):提供加密、
完整性。SSL被用于NetscapeCommunicator和MicrosoftIE浏
览器,以完成需要的安全交易操作。
(3)安全交易技术协议(STT):STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在Internet
Explorer中采用这一技术。
(4)安全电子交易协议(SET):它涵盖了信用卡在电子商
务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。
图1电子商务的安全体系结构
由于电子商务系统把服务商、客户和银行三方通过英特网连接起来,并实现具体的业务操作,因此电子商务安全系统可由三个安全代理服务器及CA认证系统构成,它们遵循相同的协议,协调工作,来实现整个电子商务交易数据的完整性、保密性、不可否认性等安全功能。银行方主要包括银行端安全代理、数据库管理系统、审计信息管理系统业务系统等几部分组成。它与服务商或客户进行通信,实现对服务商或者客户的身份认证机制,认证客户和服务商的身份及帐号的合法性,保证业务的安全进行。
服务商方主要包括服务商端安全代理、数据库管理系统、审计信息管理系统、Web服务器系统等几部分组成。在进行电子商务活动时,服务商的服务器与客户和银行进行双方通信。在客户方,电子商务的用户通过自己的计算机与英特网相连,在客户计算机中,除了WWW浏览器软件外,还装有电子商务系统的客户安全代理软件。客户端安全代理的主要任务是负责对客户敏感信息(如交易信息等)进行加密、解密和数字签名,以密文的形式与服务商或银行进行通信,并通过CA和服务器端安全代理或银行端安全代理一起实现用户身份认证机制。
1.加密技术。加密技术是电子商务采取的主要安全措施,
贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在,一些专用密钥加密(如3DES、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。然而,这些技术的广泛使用却不是一件容易的事情。
密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
一般的数据加密可以在通信的三个层次来实现:链路加密、节点加密和端到端加密。
2.虚拟专用网(VPN)。这是用于Internet交易的一种专用
网络,它可以在两个系统之间建立安全的信道(或隧道),用于它与信用卡交易和客户发送订单交易不电子数据交换(EDI)。
同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN
五、结语
在我国,虽然网络建设正处于快速发展阶(下转第78页)
-72-
制数约相当于166位的二进制数,所以我们的n在100位以上二进制即可。
2.密钥生成。根据RSA算法原理,它工作需要生成的是2对密钥(n,e)和(n,b)。我们的系统是多用户的,每个用户的相
关的密钥对数据都要不同,而且出于安全考虑在系统和数据库中不存储任何相关数据,都是每次用户登录时根据用户的特定信息动态生成。具体地说,进入系统所用的用户名和密码肯定是独一无二的,我们就从它出发来生成需要的密钥对。这里的用户名我们限定长度为8位以上,用户名则4~10位(用户名同时是对应数据库的文件名)。密钥的生成过程如下:从RSA算法描述中知道首先要找到一对素数p和q,在这里我们的方法是,事先做好一个素数表,其范围在2512以内,然后我们把系统的登录密码和用户名前2位连接起来,把新字符串每个字符对应的7位二进制的ASCII码按顺序连接得到一个至少有70位的二进制数,把它看作一个整数,去查找事先做好的素数表,找到一个等于此整数值或第一个大于它的表中的值作为p,同理把用户名字中所有字符对应的7位二进制ASCII码连接得到的二进制数作为整数查找素数表,找到的一个等于该数或者第一个小于该数的表中的值作为q。n=p*q,则n的最小值在298。有了n,p和q就可以计算Φ(n),然后是e的选择,通常可以通过小的e或二进制表示中1的个数较少的e来提高加密速度,我们取e=2k+1(k为整数且k>
66字节开始的14字节,2000或以后的则是在66字节开始处40字节。Access97的密钥只有一个,破解它的密码只要生成一个空密码的access数据库文件,用对应的14字节覆盖于破解的文件即可把密码置空。后来版本号一些位数扩大到40位(不过由于使用的是Unicode码,只用英文字母的话有效位只有20位),密钥根据文件产生日期生成共有256个。但是文件
的时间信息可以轻松得到,即使没有时间信息,基于暴力破解也不难。作为一个有效的手段,我们还是要利用的。为了不增加用户的负担,这个密码就用用户的登陆系统的密码。为防止因这个密码被破解而泄露用户登录系统的密码,首先要把用户的登陆密码用用户对应密钥(n,e)加密一下(因为密码的ASCII码组成的二进制串位数肯定小于n的位数,这步加密处理的结果是一个整数,需要把它用base64算法转化为字符串才能作为数据库的密码,每次验证的时候也相同)。
2.许可阶段。许可阶段的任务需要额外的文件(工作信息文件*.mdw)来支持完成,所以对于不使用Access数据库软件
的情况,这种安全功能没办法使用。
3.跟踪用户活动阶段。对于不使用Access数据库管理软
件而只利用它的数据库文件格式来说,也不起任何作用。
4.加密数据库。对数据库进行加密是比较好的方法,而且也是我们考虑的主要方法。在Access数据库管理软件的集成
界面中有这项功能,在菜单工具下的安全子菜单下的编码和解码数据库。但是这种处理结果只在集成环境中有效,而且对整个数据编码在文件较大时性能不好,所以我们自行设计对数据库的编码和解码。
数据库中要保护的数据主要就是二进制格式的文件内容,这种数据有一个特点,即使可能只改动一位,所有的数据就可能没办法处理,为提高加密解密的数度,并不是对所有的数据进行加密,我们取文件的二进制数据的前2k字节和最后
8),k的值是第一个满足条件的整数,d的值使用时根据计算而得,到这里我们就得到了可以使用的RSA算法需要的2对
密钥。
(四)Access数据库的安全性能及RSA算法的应用
我们并不是完全的设计一套Access数据库的安全系统,而是在Access数据库自身的安全基础上再利用RSA算法,所以首先要分析一下Access数据库自身的安全特性。Ac-
cess数据库系统的安全机制将安全性管理可分为四个阶段:
确认阶段:用来检查用户的登录账号是否正确以及用户连接数据库的密码是否正确;
许可阶段:是用来检查进入数据库的用户名是否正确以及此用户具有何种用户权限;
跟踪用户活动阶段:通过加入跟踪审计模块,以备安全性分析;
加密数据库:其目的是为了防止其他人通过各种字处理或SPY应用程序浏览Access数据库文件。
下面我们就结合Access数据库自身的安全特性,并应用
2k字节进行加密,这样可以达到目的并有较好的性能。
三、结论
通过以上处理后的系统数据安全性能大为提高,同时并没有明显降低系统处理数据的速度,较好的达到了预定目的,在实践中效果较好,用户比较满意。
【参考文献】
[1]杨勇刚,徐瑾.RSA算法的研究[J].北京工商大学学报(自然科学版),2004,(11).
RSA算法来改进数据库的安全性能。
在确认阶段使用密码是数据库的第一道安全1.确认阶段。
闸门,这是数据的通行的设计,而且非常有效。但是在Access
数据库管理系统中,微软在设计它的密码保存的时候没有做得很好。它把密码放在文件固定的位置,如Access97在文件的
[2]王英.RSA算法及加密强度分析[J].湖南税务高等专科
学校学报,2005,(3).
[3]刘独玉.Access数据库系统安全性的设计与实现[J].计算机应用,2001,(8).
[4]廖启亮.Access数据库加密系统安全性剖析及改进策略[J].中全科学学报,2005,(5).
构建一个内容丰富、快速有效、安全可靠的电子商务系统,才能真正实现电子商务,消除客户对安全的担心,使电子商务蒸蒸日上,使企业对内实行高效管理,对外提高竞争力。
【参考文献】
(上接第72页)段,网络应用还不够普遍;电子商务方面技术方面缺乏统一规范,影响互联互通;金融电子化程序还不理想;电子商务的推行还需要时间,但我们必须研究我国发展电子商务的策略,以迎接电子商务时代的到来,解决电子商务安全问题,推动电子商务发展。
安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。只有
[1]信息管理系列编委会.网络安全管理[M].北京:中国人
民大学出版社,2001.
[2]钟乐海,王朝斌,李艳梅.网络安全技术[M].北京:电子
工业出版社,2003.
-78-
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- huatuo3.com 版权所有 蜀ICP备2023022190号-1
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务