2016-10-30 分類: 電子商務
一、電子商務安全基礎
1、算法的介紹
常用的加密方式分為對稱密鑰加密和非對稱密鑰加密兩種,也稱為秘密密鑰加密和公開密鑰加密。對稱密鑰加密和解密時使用的密鑰是同一個密鑰,其優點是加密速度快,缺點是不能作為身份驗證,密鑰發放困難。常見的對稱加密算法有RC2,RC4,DES,3DES,IDEA,SDBI等。
公開密鑰加密和解密使用的密鑰是不同的密鑰,分別稱為公鑰和私鑰,公鑰可以公開,私鑰則必須保密只能歸密鑰所有者擁有。其缺點是對大容量的信息加密速度慢,優點是可以作為身份認證,而且密鑰發送方式比較簡單安全。常見的公開密鑰加密算法有RSA,DSA,ECA等。
另外在密碼學中經常使用到的是單向散列函數(Hash函數)。Hash函數用于對要傳輸的數據作運算生成信息摘要,它并不是一種加密機制,但卻能產生信息的數字“指紋,它的目的是為了確保數據沒有被修改或變化,保證信息的完整性不被破壞。
Hash函數有三個主要特點:
(1)它能處理任意大小的信息,并將其按信息摘要(Message Digest)方法生成固定大小的數據塊,對同一個源數據反復執行Hash函數將總是得到同樣的結果。
(2)它是不可預見的。產生的數據塊的大小與原始信息看起來沒有任何明顯關系,原始信息的一個微小變化都會對小數據塊產生很大的影響。
(3)它是完全不可逆的,沒有辦法通過生成的數據塊直接恢復源數據。
常見的Hash算法有MD2、MD5和SHA1等。
2、電子商務的安全性要求
電子商務安全要求包括四個方面:
(1)數據傳輸的安全性
對數據傳輸的安全性需求即是保證在公網上傳送的數據不被第三方竊取。對數據的安全性保護是通過采用數據加密(包括對稱密鑰加密和非對稱密鑰加密)來實現的,數字信封技術是結合對稱密鑰加密和非對稱密鑰加密技術實現的保證數據安全性的技術。
(2)數據的完整性
對數據的完整性需求是指數據在傳輸過程中不被篡改。數據的完整性是通過采用安全的Hash函數和數字簽名技術來實現的。雙重數字簽名可以用于保證多方通信時數據的完整性。
(3)身份驗證
參與安全通信的雙方在進行安全通信前,必須互相鑒別對方的身份。身份認證是采用口令技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。
(4)交易的不可抵賴
網上交易的各方在進行數據傳輸時,必須帶有自身特有的、無法被別人復制的信息,以保證交易發生糾紛時有所對證。這是通過數字簽名技術和數字證書技術來實現的。
基于對稱密鑰加密、公開密鑰加密以及安全的Hash函數等基本安全技術和算法,電子商務采用以下幾種安全技術來解決電子商務應用中遇到的各種問題:
(1)采用數字信封技術保證數據的傳輸安全;
(2)采用數字簽名和雙重數字簽名技術進行身份認證并同時保證數據的完整性、完成交易防抵賴;
(3)采用口令字技術或公開密鑰技術進行身份認證。
(4)結合數字信封和數字簽名就可以滿足電子商務安全中對數據的安全性、數據的完整性和交易的不可抵賴性的要求,同時可以使用數字證書來進行交易雙方身份的認證。
3、PKI體系結構
提起電子商務的安全性,我們就不得不提到PKI(Public Key Infrastructure),即公鑰基礎結構。PKI利用公鑰加密技術為網上電子商務的開展提供了一套安全基礎平臺,用戶利用PKI平臺提供的安全服務進行安全通信。
PKI(公開密鑰體系)一詞被解釋成為是一種框架體系,通過它,在不安全的信道上的通信的用戶可實現信息數據的安全交換,滿足商務對保密性,完整性,身份認證及不可否認性的安全需求,其構成主要包括硬件、軟件。 由于金融機構的特殊身份常使其充當第三方認證機構的角色,因此可將交易雙方的風險降至最低;其次,PKI的應用發展已從區域型逐步發展到全球性,如著名的 Identrust 組織建立了一套支持全球數字證書發放的體系,包括不同證書機構之間合作的程序以及對爭議、索賠等問題的處理等,使具有法律約束力的電子商務得以在全球范圍內展開。
一個典型的PKI體系結構如圖1:
PAA:政策批準機構,創建整個PKI系統的方針,批準本PAA下屬PCA的政策,為下屬PCA簽發公鑰證書,建立整個PKI體系的安全政策,并具有監測各PCA行為的責任。
PCA:政策CA,制定本PCA下的具體政策,可以是PAA政策的擴充或細化,但不能與之相背離。這些政策可能包括本PCA范圍內密鑰的產生,長度,證書的有效期規定,CRL的處理等。并為下屬CA簽發公鑰證書。
CA:不具備或具備有限的政策制定功能,按照上級PCA制定的政策,擔任具體的用戶公鑰證書的生成和發布,或CRL生成發布職能。
RA:進行證書申請者的身份認證,向CA提交證書申請請求,驗證接收到的CA簽發的證書,并將之發放給證書申請者。必要時,還協助證書作廢過程。
在一個電子商務系統中,所有參與活動的實體都必須用數字證書(簡稱證書)來表明自己的身份。證書一方面可以用來向系統中的其它實體證明自己的身份(每份證書都是經“相對權威的機構簽名的),另一方面由于每份證書都攜帶著證書持有者的公鑰(簽名證書攜帶的是簽名公鑰,密鑰加密證書攜帶的是密鑰加密公鑰),所以,證書也可以向接收者證實某人或某個機構對公開密鑰的擁有,同時也起著公鑰分發的作用。
PKI操作有12種主要行為,包括:產生、證明和分發密鑰;簽名和驗證;證書的獲取;驗證證書;保存證書;本地保存的證書的獲取;密鑰泄漏或證書中證明的某種關系中止的報告;密鑰泄漏的恢復;CRL的獲取;密鑰更新;審計;存儲等,這些行為分別和PKI中下列成員相關:PKI認證機構(P),數據發布的目錄(D)和用戶(U)。
其中有幾個重要的功能實體CRL、OCSP、LDAP等。CRL(Certificate Revoke List)證書撤銷列表和OCSP(Online Certificate Status Protocol)在線證書狀態查詢都是為了保證用戶證書的有效性。當驗證用戶證書的有效性時,需要查詢CRL或者OCSP來保證用戶的證書是有效的。如果用戶因為某種原因,或者想更換新的證書,或者懷疑其私人密鑰泄漏了,那么用戶就可以報告CA要求撤銷自己的證書,這時CRL或者OCSP中就會出現這個用戶的證書信息,說明這個用戶的證書已經失效,其它的用戶不要再信任這個證書了。CRL和OCSP的區別在于,CRL是離線方式的,OCSP是在線方式的,是實時的。這種區別也造成CRL列表占用的空間會比OCSP大。
LDAP目錄服務器是用來存放用戶證書的,它對外提供了下載證書的接口。用戶可以通過LDAP的接口來獲取任何用戶的證書。
4、安全通信的應用協議
一個完整的電子商務的安全體系結構可以由圖2來表示。電子商務安全體系由網絡基礎結構層、PKI體系結構層、安全協議層、應用系統層組成。其中,下層是上層的基礎,為上層提供技術支持;上層是下層的擴展與遞進。各層次之間相互依賴、相互關聯構成統一整體。通過不同的安全控制技術,實現各層的安全策略,保證電子商務系統的安全。
網絡基礎結構層包括多廠商的網絡服務及網絡系統,用它們構成一種安全的、面向交易以及面向關系的通信網絡聯結。網絡服務包括策略管理軟件、地址管理軟件、安全和網絡管理軟件。網絡系統部件包括局域網、交換機、安全的虛擬專用網、負載平衡、緩沖、網關、數據與電話服務器、廣域網接入設備、路由器、應用服務器以及數據存儲服務器。
在PKI的基礎之上,是安全協議層,為各種安全的通信應用提供了基礎。常見的安全協議包括SSL協議(Secure Socket Layer Protocol)或者TLS(Transport Layer Secure Protocol)協議,以及專門用于電子交易的SET協議(Secure Electronic Transaction Protocol)。
(1)SSL協議
SSL(Secure Socket Layer即安全套接層)協議是Netscape Communication公司推出在網絡傳輸層之上提供的一種基于非對稱密鑰和對稱密鑰技術的用于瀏覽器和Web服務器之間的安全連接技術。它是國際上最早應用于電子商務的一種由消費者和商家雙方參加的信用卡/借記卡支付協議。
SSL協議支持了電子商務關于數據的安全性、完整性和身份認證的要?
客戶端和服務端進行身份認證時,SSL協議支持三種方式的認證:雙方的相互認證,只認證服務端的認證和雙方都不認證。身份認證是通過驗證數字證書的合法性來保證的,因為我們在上文提到,數字證書類似一個實體的身份證。
在認證通過之后,客戶端和服務端產生一套完全一樣的臨時對稱密鑰,通過對數據進行對稱加密操作來保證數據的安全性,通過MAC碼的計算來保證數據的完整性。
但是我們可以看出,SSL協議對數據的安全性保護是建立在對稱密鑰算法基礎上的,所以它不能夠提供不可抵賴性的保證。這樣,我們就沒有辦法區別一條消息究竟是誰創建的,因為雙方共享著一套對稱密鑰。
而且,在SSL協議中,交易的參與者只有兩方:商家和客戶,它沒有涉及到支付方。因此在一個要求嚴格的電子商務應用中,SSL協議是不太適合的。
(2)SET協議
SET(Secure Electronic Transaction)安全電子交易協議是由美國Visa和MasterCard兩大信用卡組織提出的應用于 Internet上的以信用卡為基礎的電子支付系統協議。
它采用公鑰密碼體制和X.509數字證書標準,主要應用于B2C(Business To Customer)模式中保障支付信息的安全性。SET協議本身比較復雜,設計比較嚴格,安全性高,它能保證信息傳輸的機密性、真實性、完整性和不可否認性。SET協議是PKI框架下的一個典型實現,同時也在不斷升級和完善,如SET 2.0將支持借記卡電子交易。
由于SET提供了消費者、商家和銀行之間的認證,確保了交易數據的安全性、完整可靠性和交易的不可否認性,特別是保證不將消費者銀行卡號暴露給商家等優點,因此它成為了目前公認的信用卡/借記卡的網上交易的國際安全標準。
但是,由于SET協議要求有銀行系統的參與,對于普通的電子商務應用來說,實現基于SET協議的安全應用還是十分困難的。而支持SSL協議的資源非常豐富,在此基礎上我們可以比較簡單的構建一個基于SSL協議的安全網站。同時,SSL協議對于普通的安全應用也提供了很好的支持。所以,構建一個基于SSL 的網站來開展安全應用也是一個相當不錯的選擇。
標題名稱:如何構建安全的電子商務網站
文章地址:http://m.newbst.com/news/57076.html
網站建設、網絡推廣公司-創新互聯,是專注品牌與效果的網站制作,網絡營銷seo公司;服務項目有網站制作、電子商務等
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容