|
|
[摘要] 构筑安全电子商务信息环境是网络时代发展到一定阶段的“瓶颈”性课题,本文侧重研究了电子商务环境下的信息安全技术,数字认证技术以及身份鉴别和数字证书的安全性等核心问题。
[关键词] 电子商务 信息安全 PKI 数字认证 密码
一、电子商务环境下网络通信的安全威胁
电子商务环境下网络通信的安全威胁,即信息传输安全,指电子商务运行过程中,物流、资金流汇成信息流后动态传输过程中的安全。其安全隐患主要包括泄漏或者窃取商业机密;伪造;消息篡改;行为抵赖等。
二、电子商务环境下的数字认证需求
电子商务环境下要保护数据的完整性以及防止信息的不可抵赖,数字认证可以解决这两类的安全问题。即数据在从发送者传递到接受者的推进过程中,前后是否一致;以及在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,使原发方对已发送的数据、接收方对已接收的数据都不能否认。
三、基于PKI体系的数字认证技术
数字认证(Authentication)是防止主动攻击的重要技术,对开发系统安全性有重要作用,认证的主要目的有两个,一是实体认证即防止信息的发送者的身份的冒充;二是消息认证即验证和鉴别信息的完整性,确保数据在发送的过程中没有被篡改。
基于PKI体系的数字认证技术,主要结合基于公钥密码理论的数字签名以及散列函数来实现身份认证和消息的认证。
数字签名结合数字认证技术几乎可以解决电子商务对信息安全的所有需求,数字认证技术可以提供信息的完整性保护,实现数字认证的重要手段是数字签名和散列函数。
1.数字摘要与散列函数
数字摘要是指通过单向Hash函数,将需加密的明文“摘要”成一串固定长度的散列值,不同的明文摘要成的密文其结果总是不相同,同样的明文其摘要必定一致,并且由摘要不能反推明文。数字摘要将原本可变的很长的消息明文进行压缩变成与消息明文惟一映射的符号序列,使得在此基础上进行数字签名非常高效快捷。
2.数字签名与数字证书
数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。数字证书含有证书持有者的有关信息,以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性,可以控制哪些数据库能够被查看,因此提高了总体的保密性。
四、身份鉴别及数字证书的安全性
安全服务的基础主要是基于用户鉴别和认证。只有合法的用户才能授予访问的权限。最常见的方法是通过提供用户名称或者标识ID。通常可能有多种形式:用户姓名、序列号码、甚至x.500 的全限定名称。而用户的身份认证方式则根据采取的不同认证方法而不同。
基于PKI的电子商务环境下,有很多的措施保护数字证书的传输及分发安全,如Https/SSL协议,VPN/IPSec协议等;然而这些安全机制却不能保证数字证书在用户终端上的存储和使用安全。数字证书的存储方式有:
1.无安全措施的直接存储
用户把数字证书直接存储在硬盘,软盘,以及其他的移动设备上,无任何的安全措施,其信息很容易病毒,黑客获取,只能针对低级别安全的用户。 |
|
发表于 2018-8-20 14:19:19