电子商务系统安全技术

7.1.2　电子商务系统安全技术

1.防火墙与网络安全设计

防火墙是访问控制技术的一种，是加强Internet与内部网之间安全防范的一个或一组系统。它可以确定哪些内部服务允许外部访问，哪些外部服务可由内部人员访问，即它能控制网络内外的信息交流，提供访问控制和审查跟踪。为了使防火墙发挥效力，来自和发往Internet的所有信息都必须经由防火墙出入，防火墙禁止Internet网中未经授权的用户侵入由它保护的计算机系统。防火墙只允许授权信息通过，而它本身不能被渗透。

防火墙提供的外围防护是实现电子商务网络系统安全必不可少的重要组成部分。它能出色地保护网络内部数据，成为内部网络与Internet连接安全措施的一部分。

2.信息加密技术

利用加密技术可以将某些重要信息或数据从一个可理解的明文形式变换成一种错乱的、不可理解的密文形式，然后在线路上传送，到达接收方后再将密文还原成明文，从而保证了数据传输的安全性。迄今为止，人们提出了许多加密算法，最常用的如DES、RSA、IDEA、ECC等。这些算法可归纳为两种加密体系:即对称密钥加密算法和公开密钥加密算法。

(1)对称密钥加密。对称密钥加密算法是给一条信息加密时，发送方和接收方都使用同一密钥完成加密和解密过程。因此，信息的发送方和接收方必须事先共享一个秘密密钥。密钥必须使用秘密的通道传输。

(2)公开密钥加密。公开密钥加密算法是用一对密钥对数据进行加密和解密。一个密钥称为公开密钥(Public Key，PK)，另一密钥称为私有密钥(Secret Key，SK)。其特点是用任一密钥加密的信息，只由与之对应的另一密钥才能解开。公开密钥可以公开为大家所知，而私有密钥只能由生成密钥对的用户所掌握。如用公开密钥对数据进行加密，则只有用对应的私有密钥才能解密;反过来，如用私有密钥对数据进行加密，则只有用对应的公开密钥才能解密。公开密钥和私有密钥成对产生、成对使用，同时算法保证了从公开密钥不可能推导出私有密钥。

3.数字摘要

数字摘要技术就是利用Hash函数把任意长度的输入映射为固定长度的输出。这个固定长度的输出就叫做消息摘要。不同的明文映射成的消息摘要其结果总是不相同，同样的明文其消息摘要必定一致，并且即使知道了消息摘要也不能推出其明文。

数字摘要类似于人类的“指纹”，因此我们把这一串摘要而成的密文称之为数字指纹，可以通过数字指纹鉴别其明文的真伪。只有数字指纹完全一致，才可以证明信息在传送过程中是安全可靠，没有被篡改。数字指纹的应用使电子交易文件的完整性(不可修改性)得以保证。

4.数字签名

在书面文件上签名是确认文件的一种手段，签名的作用有两个:一是因为自己的签名难以否认，从而确定了文件已签署这一事实;二是因为签名不能仿冒，从而确定了文件是真实的这一事实。数字签名与书面文件签名相似，数字签名机制的目的是使人们可以对数字文档进行签名。数字签名在与签名相关的同时也与发送的消息相关。

数字签名实现的功能是:

(1)接收方能够证实发送方的真实身份;

(2)发送方事后不能否认所发送过的信息;

(3)接收方或非法者不能伪造、篡改信息。

因此，数字签名中包含了身份和信息鉴别的功能，防止第三方冒充，以及传输数据的伪造和否认行为。

5.数字证书

公钥加密解决了发送方和接收方之间的密钥分发问题。公开密钥虽然任何人都可以获得，但对入侵者却毫无用处，除非他已获得私人密钥。在安全环节中还有一个问题:接收方怎样确认所接收的公开密钥的确来自发送方，而不是其他人伪造的。由此就需要设立交易各方都信任的第三方机构CA对公开密钥的有效性进行认证，以确定公开密钥拥有者的真实身份，数字证书的概念由此产生。数字证书是由交易各方都信任的第三方机构CA发放的，是证明拥有者公开密钥有效性的凭证。数字证书包括:唯一标识证书所有者的公开密钥、唯一标识证书签发者的名称、证书所有者的公开密钥、证书签发者的数字签名、证书的有效期及证书的序列号等。数字证书能够起到标识交易方身份的作用，是目前电子商务中广泛采用的技术。