電子商務(wù)的安全技術(shù)

1、電子商務(wù)的平安技術(shù)隨著信息技術(shù)在貿(mào)易和商業(yè)領(lǐng)域的廣泛應(yīng)用，利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)和因特網(wǎng)實(shí)現(xiàn)商務(wù)活動(dòng)的國(guó)際化、信息化和無(wú)紙化，已成為各國(guó)商務(wù)開(kāi)展的一大趨勢(shì)。電子商務(wù)正是為了適應(yīng)這種以全球?yàn)槭袌?chǎng)的的變化而出現(xiàn)的和開(kāi)展起來(lái)的，它是當(dāng)今社會(huì)開(kāi)展最快的領(lǐng)域之一，同時(shí)也為全球的經(jīng)濟(jì)開(kāi)展帶來(lái)新的增長(zhǎng)點(diǎn)。電子商務(wù)正在改變著人們的生活以及整個(gè)社會(huì)的開(kāi)展進(jìn)程，貿(mào)易網(wǎng)絡(luò)將引起人們對(duì)管理形式、工作和生活方式，乃至經(jīng)營(yíng)管理思維方式等等的綜合革新。對(duì)貿(mào)易和商業(yè)領(lǐng)域來(lái)說(shuō)，電子商務(wù)的開(kāi)展正在改變著傳統(tǒng)的貿(mào)易方式，縮減交易程序，進(jìn)步辦事效率。如今，許多網(wǎng)站都提供有“商城，供網(wǎng)民在網(wǎng)上購(gòu)物?？梢哉f(shuō)，電子商務(wù)應(yīng)用將越來(lái)越普

2、及。然而，隨著Internet逐漸開(kāi)展成為電子商務(wù)的最正確載體，互聯(lián)網(wǎng)具有充分開(kāi)放，不設(shè)防護(hù)的特點(diǎn)使加強(qiáng)電子商務(wù)的平安問(wèn)題日益緊迫，只有在全球范圍建立一套人們能充分信任的平安保障制度，確保信息的真實(shí)性、可靠性和保密性，才可以消除人們的顧慮，放心的參與電子商務(wù)。否那么，電子商務(wù)的開(kāi)展將失去其支撐點(diǎn)。要加強(qiáng)電子商務(wù)的平安，需要企業(yè)本身采取更為嚴(yán)格的管理措施，需要國(guó)家建立健全法律制度，更需要有科學(xué)的先進(jìn)的平安技術(shù)。在電子商務(wù)的交易中，經(jīng)濟(jì)信息、資金都要通過(guò)網(wǎng)絡(luò)傳輸，交易雙方的身份也需要認(rèn)證，因此，電子商務(wù)的平安性主要是網(wǎng)絡(luò)平臺(tái)的平安和交易信息的平安。而網(wǎng)絡(luò)平臺(tái)的平安是指網(wǎng)絡(luò)操作系統(tǒng)對(duì)抗網(wǎng)絡(luò)攻擊、病毒

3、，使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運(yùn)行。常用的保護(hù)措施有防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)防毒技術(shù)。交易信息的平安是指保護(hù)交易雙方的不被破壞、不泄密，和交易雙方身份確實(shí)認(rèn)?？梢杂脭?shù)據(jù)加密、數(shù)字簽名、數(shù)字證書(shū)、ssl、set平安協(xié)議等技術(shù)來(lái)保護(hù)。在這里我想重點(diǎn)談?wù)劮阑饓夹g(shù)和數(shù)據(jù)加密技術(shù)。一、防火墻技術(shù)。防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來(lái)保障計(jì)算機(jī)網(wǎng)絡(luò)的平安,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實(shí)際上,防火墻是加強(qiáng)Intranet(內(nèi)部網(wǎng))之間平安防御的一個(gè)或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、效勞器

4、)及相應(yīng)軟件構(gòu)成。所有來(lái)自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)展信息交換等平安的作用。防火墻是網(wǎng)絡(luò)平安策略的有機(jī)組成局部,它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)平安的有效管理。從總體上看,防火墻應(yīng)該具有以下五大根本功能:(1)過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);(2)管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為;(3)封堵某些制止行為;(4)記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);(5)對(duì)網(wǎng)絡(luò)攻擊進(jìn)展檢測(cè)和告警。新一代的防火墻產(chǎn)品一般運(yùn)用了以下技術(shù)：(1)透明的訪問(wèn)方式。以前的防火墻在訪問(wèn)方式上要么要求用戶做系統(tǒng)登錄,要么

5、需要通過(guò)等庫(kù)途徑修改客戶機(jī)的應(yīng)用。而如今的防火墻利用了透明的代理系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有的平安風(fēng)險(xiǎn)和出錯(cuò)概率。(2)靈敏的代理系統(tǒng)。代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。采用兩種代理機(jī)制:一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接;另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來(lái)解決,后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來(lái)解決。(3)多級(jí)過(guò)濾技術(shù)。為保證系統(tǒng)的平安性和防護(hù)程度,防火墻采用了三級(jí)過(guò)濾措施,并輔以鑒別手段。在分組過(guò)濾一級(jí),能過(guò)濾掉所有的源路由分組和假冒IP地址;在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí),能利用FTP、STP等各種網(wǎng)關(guān),控制和

6、監(jiān)測(cè)Internet提供的所有通用效勞;在電路網(wǎng)關(guān)一級(jí),實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透膽連接,并對(duì)效勞的通行實(shí)行嚴(yán)格控制。(4)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無(wú)法理解內(nèi)部網(wǎng)絡(luò)的內(nèi)部構(gòu)造,同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的源地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個(gè)主機(jī)的通信,確保每個(gè)分組送往正確的地址。(5)Internet網(wǎng)關(guān)技術(shù)。由于是直接串聯(lián)在網(wǎng)絡(luò)之中,防火墻必須支持用戶在Internet互聯(lián)的所有效勞,同時(shí)還要防止與Internet效勞有關(guān)的平安破綻,故它要可以以多種平安的應(yīng)用效勞器(包括FTP、Finger、ail、Ident、Nes、等)來(lái)實(shí)現(xiàn)網(wǎng)

7、關(guān)功能。為確保效勞器的平安性,對(duì)所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(hrt)做物理上的隔離。在域名效勞方面,新一代防火墻采用兩種獨(dú)立的域名效勞器:一種是內(nèi)部DNS效勞器,主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息;另一種是外部DNS效勞器,專門(mén)用于處理機(jī)構(gòu)內(nèi)部向Internet提供的局部DNS信息。在匿名FTP方面,效勞器只提供對(duì)有限的受保護(hù)的局部目錄的只讀訪問(wèn)。在效勞器中,只支持靜態(tài)的網(wǎng)頁(yè),而不允許圖形或GI代碼等在防火墻內(nèi)運(yùn)行。在Finger效勞器中,對(duì)外部訪問(wèn),防火墻只提供可由內(nèi)部用戶配置的根本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。STP與PP郵件效勞器要對(duì)所有進(jìn)、出防火墻的郵件做處理,

8、并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident效勞器對(duì)用戶連接的識(shí)別做專門(mén)處理,網(wǎng)絡(luò)新聞效勞那么為接收來(lái)自ISP的新聞開(kāi)設(shè)了專門(mén)的磁盤(pán)空間。(6)平安效勞器網(wǎng)絡(luò)(SSN)。為了適應(yīng)越來(lái)越多的用戶向Internet上提供效勞時(shí)對(duì)效勞器的需要,新一代防火墻采用分別保護(hù)的策略對(duì)用戶上網(wǎng)的對(duì)外效勞器施行保護(hù),它利用一張網(wǎng)卡將對(duì)外效勞器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理,對(duì)外效勞器既是內(nèi)部網(wǎng)絡(luò)的一局部,又與內(nèi)部網(wǎng)關(guān)完全隔離,這就是平安效勞器網(wǎng)絡(luò)(SSN)技術(shù)。而對(duì)SSN上的主機(jī)既可單獨(dú)管理,也可設(shè)置成通過(guò)FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。SSN方法提供的平安性要比傳統(tǒng)的“隔離區(qū)(DZ)方法好得多

9、,因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù),SSN與內(nèi)部網(wǎng)之間也有防火墻的保護(hù),而DZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下,而一旦DZ受到破壞,內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。(7)用戶鑒別與加密。為了降低防火墻產(chǎn)品在Ielnet、FTP等效勞和遠(yuǎn)程管理上的平安風(fēng)險(xiǎn),鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統(tǒng)來(lái)作為用戶的鑒別手段,并實(shí)現(xiàn)了對(duì)郵件的加密。(8)用戶定制效勞。為了滿足特定用戶的特定需求,新一代防火墻在提供眾多效勞的同時(shí),還為用戶定制提供支持,這類選項(xiàng)有:通用TP、出站UDP、FTP、STP等,假如某一用戶需要

10、建立一個(gè)數(shù)據(jù)庫(kù)的代理,便可以利用這些支持,方便設(shè)置。(9)審計(jì)和告警。新一代防火墻產(chǎn)品采用的審計(jì)和告警功能非常健全,日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件途徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問(wèn)、告警條件、管理日志、進(jìn)站代理、FTP代理、出站代理、郵件效勞器、域名效勞器等。告警功能會(huì)守住每一個(gè)TP或UDP探尋,并能以發(fā)出郵件、聲響等多種方式報(bào)警。此外,防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。目前的防火墻主要有兩種類型。其一是包過(guò)濾型防火墻。它一般由路由器實(shí)現(xiàn)，故也被稱為包過(guò)濾路由器。它在網(wǎng)絡(luò)層對(duì)進(jìn)入和出去內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)展分析，一般檢查數(shù)據(jù)包的

11、IP源地址、IP目的地址、TP端口號(hào)、IP消息類型，并按照信息過(guò)濾規(guī)那么進(jìn)展挑選，假設(shè)符合規(guī)那么，那么允許該數(shù)據(jù)包通過(guò)防火墻進(jìn)入內(nèi)部網(wǎng)，否那么進(jìn)展報(bào)警或通知管理員，并且丟棄該包。這樣一來(lái)，路由器能根據(jù)特定的劌那么允許或回絕流動(dòng)的數(shù)據(jù)，如：Telnet效勞器在TP的23號(hào)端口監(jiān)聽(tīng)遠(yuǎn)程連接，假設(shè)管理員想阻塞所有進(jìn)入的Telnet連接，過(guò)濾規(guī)那么只需設(shè)為丟棄所有的TP端口號(hào)為23的數(shù)據(jù)包。采用這種技術(shù)的防火墻速度快，實(shí)現(xiàn)方便，但由于它是通過(guò)IP地址來(lái)判斷數(shù)據(jù)包是否允許通過(guò)，沒(méi)有基于用戶的認(rèn)證，而IP地址可以偽造成可信任的外部主機(jī)地址，另外它不能提供日志，這樣一來(lái)就無(wú)法發(fā)現(xiàn)黑客的攻擊紀(jì)錄。其二是應(yīng)用級(jí)

12、防火墻。大多數(shù)的應(yīng)用級(jí)防火墻產(chǎn)品使用的是應(yīng)用代理機(jī)制，內(nèi)置了代理應(yīng)用程序，可用代理效勞器作內(nèi)部網(wǎng)和Internet之間的的轉(zhuǎn)換。假設(shè)外部網(wǎng)的用戶要訪問(wèn)內(nèi)部網(wǎng)，它只能到達(dá)代理效勞器，假設(shè)符合條件，代理效勞器會(huì)到內(nèi)部網(wǎng)取出所需的信息，轉(zhuǎn)發(fā)出去。同樣道理，內(nèi)部網(wǎng)要訪問(wèn)Internet,也要通過(guò)代理效勞器的轉(zhuǎn)接，這樣能監(jiān)控內(nèi)部用戶訪問(wèn)Internet.這類防火墻能詳細(xì)記錄所有的訪問(wèn)紀(jì)錄，但它不允許內(nèi)部用戶直接訪問(wèn)外部，會(huì)使速度變慢。且需要對(duì)每一個(gè)特定的Internet效勞安裝相應(yīng)的代理效勞器軟件，用戶無(wú)法使用未被效勞器支持的效勞。防火墻技術(shù)從其功能上來(lái)分，還可以分為FTP防火墻、Telnet防火墻、E

13、ail防火墻、病毒防火墻等等。通常幾種防火墻技術(shù)被一起使用，以彌補(bǔ)各自的缺陷和增加系統(tǒng)的平安性能。防火墻雖然能對(duì)外部網(wǎng)絡(luò)的功擊施行有效的防護(hù)，但對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)的功擊卻無(wú)能為力。網(wǎng)絡(luò)平安單靠防火墻是不夠的，還需考慮其它技術(shù)和非技術(shù)的因素，如信息加密技術(shù)、制訂法規(guī)、進(jìn)步網(wǎng)絡(luò)管理使用人員的平安意識(shí)等。就防火墻本身來(lái)看，包過(guò)濾技術(shù)和代理訪問(wèn)形式等都有一定的局限性，因此人們正在尋找更有效的防火墻，如加密路由器、“身份證、平安內(nèi)核等。但理論證明，防火墻仍然是網(wǎng)絡(luò)平安中最成熟的一種技術(shù)。二、數(shù)據(jù)加密技術(shù)在電子商務(wù)中，信息加密技術(shù)是其它平安技術(shù)的根底，加密技術(shù)是指通過(guò)使用代碼或密碼將某些重要信息和數(shù)據(jù)從一個(gè)可

14、以理解的明文形式變換成一種復(fù)雜錯(cuò)亂的、不可理解的密文形式即加密，在線路上傳送或在數(shù)據(jù)庫(kù)中存儲(chǔ)，其他用戶再將密文復(fù)原成明文即解密，從而保障信息數(shù)據(jù)的平安性。數(shù)據(jù)加密的方法很多，常用的有兩大類。一種是對(duì)稱加密。一種是非對(duì)稱密鑰加密。對(duì)稱加密也叫機(jī)密密鑰加密。發(fā)送方用密鑰加密明文，傳送給接收方，接收方用同一密鑰解密。其特點(diǎn)是加密和解密使用的是同一個(gè)密鑰。典型的代表是美國(guó)國(guó)家平安局的DES。它是IB于1971年開(kāi)場(chǎng)研制，1977年美國(guó)標(biāo)準(zhǔn)局正式公布其為加密標(biāo)準(zhǔn)，這種方法使用簡(jiǎn)單，加密解密速度快，合適于大量信息的加密。但存在幾個(gè)問(wèn)題：第一，不能保證也無(wú)法知道密鑰在傳輸中的平安。假設(shè)密鑰泄漏，黑客可用它解

15、密信息，也可假冒一方做壞事。第二，假設(shè)每對(duì)交易方用不同的密鑰，N對(duì)交易方需要N*(N-1)/2個(gè)密鑰，難于管理。第三，不能鑒別數(shù)據(jù)的完好性。非對(duì)稱密鑰加密也叫公開(kāi)密鑰加密。公鑰加密法是在對(duì)數(shù)據(jù)加解密時(shí)，使用不同的密鑰，在通信雙方各具有兩把密鑰，一把公鑰和一把密鑰。公鑰對(duì)外界公開(kāi)，私鑰自己保管，用公鑰加密的信息，只能用對(duì)應(yīng)的私鑰解密，同樣地，用私鑰解密的數(shù)據(jù)只能用對(duì)應(yīng)的公鑰解密。詳細(xì)加密傳輸過(guò)程如下：1發(fā)送方甲用接收方乙的公鑰加密自己的私鑰。2發(fā)送方家用自己的私鑰加密文件，然后將加密后的私鑰和文件傳輸給接收方。3接收方乙用自己的私鑰解密，得到甲的私鑰。4接收方乙用甲的公鑰解密，得到明文。這個(gè)過(guò)程

16、包含了兩個(gè)加密解密過(guò)程：密鑰的加解密和文件本身的加解密。在密鑰的加密過(guò)程中，由于發(fā)送方甲用乙的公鑰加密了自己的私鑰，假如文件被竊取，由于只有乙保管自己的私鑰，黑客無(wú)法解密。這就保證了信息的機(jī)密性。另外，發(fā)送方甲用自己的私鑰加密信息，因?yàn)樾畔⑹怯眉椎乃借€加密，只有甲保管它，可以認(rèn)定信息是甲發(fā)出的，而且沒(méi)有甲的私鑰不能修改數(shù)據(jù)?？梢员ＷC信息的不可抵賴性。公開(kāi)密鑰加密典型的代表是RSA算法，它是由Rivest、Shair、Adlean三人于1977年提出的一個(gè)公鑰加密算法。但是RSA的加密解密要兩次，處理和計(jì)算量都比擬大，速度慢，所以只合適于少量數(shù)據(jù)的加密。因此，在當(dāng)前的加密應(yīng)用中，經(jīng)常使用對(duì)稱密鑰來(lái)對(duì)文本加密和解密，用非對(duì)稱RS