电子商务交易与网络银行等安全实现方案
[摘要] 随着计算机网络的全面普及,基于Internet的电子商务在 近年来取得了巨大的发展,已成为一种全新的商务模式,但安全问题始终是制约电子商务进一步发展的障碍。文章首先介绍了电子商务安全怎么解决的问题,要求电子商务应具有机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性等几方面的具体内容。然后从网络安全技术、数据加密技术、认证技术和安全协议技 术四个方面介绍了现有的电子商务安全技术,同时还指出了电子商务的安全还依赖于许多社会问题的解决。
网络信息技术的发展和电子商务的普及,对企业传统的经营思想和经营方式产生了强烈的冲击。以互联网技术为核心的网上银行使银行业务也发生了巨大变化。“网上银行”为金融企业的发展带来了前所未有的商机,但同时银行业务网络与互联网的连接,使得网上银行容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻 击事件层出不穷,使开展网上银行业务的银行面临更多的风险。在开放网络中流动的大量金融交易数据,不仅涉及巨大的经济利益,而且包含大量的用户个人隐私信 息,必然吸引不法分子的网络入侵、网上侦听、电子欺诈和攻击行为,对于信用重于一切的银行来说,这都是极大的风险!对内部网络来讲,同样存在着针对银行核 心数据库操作的安全隐患,例如非工作时间访问核心业务表、非工作场所访问数据库、第三方软件开发商远程访问等等行为,都可能存在着重大安全隐患 一、电子商务平台安全解决方案 1. 首先,用户在登录电子商务平台时,在客户端和服务端建立SSL安全隧道并使用数字证书来实现双向的身份认证,系统平台根据用户的身份,获取相应的权限,对用户进行访问控制; 2.用户登录系统后,在进行网上提交重要数据时,系统会自动检测客户端数字证书是否可用。如果可用则采用用户的数字证书私钥对提交的数据进行数字签名处理; 3.系统得到数据之后,会对数据及其数字签名进行有效性验证,并将其签名保存在数据库中; 4.ipass系统会对用户的所有操作进行记录并保存到日志中备审计使用。 5. 管理员进行系统管理时,必须出示自己的数字证书才能登录相应管理系统; 6. 管理员查看用户提交的交易信息,并验证交易信息的数字签名; 7. 管理员在对信息认证核实后同样要用自己的私钥对提交的数据进行数字签名处理,并保存在数据库中; 8. 用户注销系统,断开安全连接。 二、电子商务安全的技术解决方案 1.网络安全技术 网络安全是保证电子商务安全最基本的技术,通常采用的主要有防火墙技术、VPN技术、反病毒技术等。 (1) 防火墙技术 防火墙技术是一种安全访问控制技术,用来在不安全的公共网络环境下实现局部网络的安全性。它在内部网络和外部公共网络之间构造一个保护层,只有授权的合法用户才能通过防火墙对内部网络的资源进行访问,从而防止来自外部互联网的破坏。 (2) VPN技术 VPN技术是利用不可靠的公共网络(通常是Internet)作为信息的传输媒介,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似 的安全性能。它可以帮助远程用 户、公司分支机构、商业合作伙伴同公司之间建立可信的安全连接,保证数据的安全传输。 (3) 反病毒技术 由于在网络环境下,计算机病毒具有不可估量的威胁性和破坏力,因此计算机病毒的防范也是网络安全性建设中重要的一环。网络反病毒技术包括了预防病毒技 术、检测病毒技术和消毒技术等。预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算 机系统和对系统进行破坏。检测病毒技术是通过对计算机病毒的特征来进行判断的技术。而消毒技术则是通过对计算机病毒的分析,开发出具有删除病毒程序并恢复 原文件的软件。 2. 数据加密技术 加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法,将明文转换成难以识别和理解的密文并进行传输,从而确保数据的机密。主要有对称加密技术和非对称加密技术两种。 (1) 对称加密技术 对称加密技术,即信息的发送方和接收方用一个密钥去加密和解密数据,也就是说加密和解密用同一个密钥。它要求发送方、接收方在安全通信之前,商定一个密 钥,对称密钥算法的安全性依赖于密钥,泄露密钥就意味着任何人都能对消息进行加、解密。只要通信需要保密,密钥就必须保密。它的最大优势是加、解密速度 快,便于用硬件实现、适合于对大数据量进行加密等,但密钥管理困难。 (2)非对称加密技术 非对称加密技术就是加密和解 密所使用的不是同一个密钥,通常有两个密钥, 称为“公钥” 和“私钥”。“公钥” 和“私钥” 不能由一个推出另一个,但是“公钥”加密的信息只能由“私钥”解密,反之亦然。非对称密钥机制灵活,但加密和解密速度比对称密钥加密慢得多,所以它不适合 于对文件进行加密,而只适用于对少量数据进行加密。 3. 认证技术 目前,仅有加密技术不足以保证电子商务中的交易安全,身份认证技术是保证电子商务安全的又一重要技术手段。认证的实现包括数字摘要技术、数字签名技术、数字信封技术、数字时间戳技术和数字证书技术等。 4.SET协议 安全套接字层协议SSL是Netscape公司于1996年推出的安全协议。它位于运输层和应用层之间,由SSL记录协议和SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时, 双方通过握手协议在版本号、密钥交换算法、数据加密算法和HASH算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方 知道的秘密信息.客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层进来的数据 进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。 5.SSL协议 SET协议是由VISA和Master Card两大信用卡组织制定的标准,SET用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、 信用卡组织之间的权利义务关系.给定交易信息传送流程标准。SET主要由三个文件组成.分别是SET业务描述、SET程序员指南和SET协议描述。SET 协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。SET协议位于应用层,可为电子商务提供以下功能:通过
电子商务是国民经济和社会信息化的重要组成部分,而安全性则是关系电子商务能否迅速发展的重要因 素。目前虽然已出现了很多保护电子商务安全的控制技术,但尚未形成一个有效的、安全的、系统的电子商务安全体系。文章在介绍了现有的网络安全技术、数据加 密技术、认证技术及安全协议的基础上,提出了一个合理的电子商务安全体系。不过,要从根本上解决电子商务的安全问题,还应从社会角度多方面多层次去构建电 子商务的安全体系。