科技资讯2008NO.25
SCIENCE&TECHNOLOGYINFORMATION信息技术
电子商务中的网络安全技术
黎碧茵(广州市市政建设学校广州510500)
摘要:随着Internet的发展,电子商务逐渐成为人们进行商务活动的新模式,越来越多的人通过Internet进行商务活动。对于现阶段的电子商务来说,归根结底最重要的还是安全问题。本文对此进行了探讨。
关键词:网络安全电子商务动态攻击密钥数字签名中图分类号:TN915.08文献标识码:A文章编号:1672-3791(2008)09(a)-0016-01
一般来说,对计算机网络的攻击分为对①伪造:接收者伪造一份文件,声称是
静态数据的攻击和对动态数据的攻击。对对方发送的。
于静态数据攻击可以采用防火墙技术和身②抵赖:发送者或接收者事后不承认
份认证技术。笔者主要讨论电子商务交易自己发送或接收过文件。
中的信息安全,所以仅涉及到对动态数据的③篡改:接收者对收到的文件进行局
攻击。根据对动态信息的攻击形式不同,可部的篡改。
以将攻击分为主动攻击和被动攻击两种。④冒充:网上的用户冒充另一个用户
被动攻击主要是指攻击者监听网络上传递发送或接收文件。
的信息流,从而获取信息的内容,或仅仅希数字签名的解决过程是:报文的发送
望得到信息流的长度、传输频率等数据;主方将报文文本带入哈希函数生成一个128
动攻击则是指攻击者通过有选择的修改、位的散列值,即消息摘要。消息摘要代表
删除、延迟、乱序、复制、插入数据流或着文件的特征,其值将随着文件的变化而
数据流的一部分以达到其非法目的。变化,也就是说,不同的文件将得到不同的
消息摘要。哈希函数对于发送数据的双方
1防范动态攻击的技术都是公开的。发送方用自己的专用密钥对
1.1数据加密技术这个散列值进行加密来形成发送方的数字
所谓加密技术是指采用数学方法对原签名。然后,这个数字签名将作业报文的
始信息进行加工,使得加密后在网络上公附件和报文一起发送给报文的接收方。报
开传输的内容对于非法接受者来说成为无文的接收方首先从接收到的原始报文中计
意义的文字,对于合法的接收者,因其掌握算出128位的散列值(消息摘要),接着再用
正确的密钥,可以通过解密得到原始内容。发送方的公开密钥来对报文附加的数字签
数据加密实质上是对以符号为基础的数据名进行解密。如果两个散列值相同,那么
进行移位和置换的变换算法,这种变换是接收方就能确认该数字签名是发送方的。
受密钥控制的。通过数字签名能够实现对原始报文的鉴别
在传统的加密算法中,加密密钥与解和不可抵赖性。加入数字签名及实现。
密密钥是相同的,或者可以由其中一个推
知另一个,称为对称密钥算法。这样的密2基于密码技术的网络安全策略
钥必须秘密保管,只能为授权用户所知,授在现有的技术条件和设备支持下,以
权用户既可以用该密钥加密信息,也可以密码技术为支撑,在网络内部采用统一的
用该密钥解密信息。DES是对称加密算法安全保密模式和安全保密技术体制,集中
中最具代表性的,DES可以对任意长度的统一管理密码、密钥和网络安全设备,采
数据加密,密钥长度64比特,实际可用密钥用国产专用硬件平台实现密码处理,可以
长度56比特,加密时首先将数据分为64比使企业网络具有较好的安全性、可靠性和
特的数据块,采用ECB、CBC、CFB等模式实用性,采用的主要安全对策有:
之一,每次将输入的64比特明文变换为64①在各网节点路由器的内网接入端配
比特密文。最终,将所有输出数据块合并,置VPN设备,建立VPN虚拟专网安全隧
实现数据加密。如果加密、解密过程各有道,实现基于IPSEC标准的信息加密与认
不相干的密钥,构成加密、解密密钥对,则证。VPN是因特网技术迅速发展的产物。
称这种加密算法为公钥加密算法,相应的利用独立的VPN设备可以保证在低成本
加密、解密密钥分别称为公钥、私钥。在的公用通信网络中安全地进行数据交换,
公钥加密算法下,公钥是公开的,任何人可降低企业建设自己的广域网(WAN)的成
以用公钥加密信息,再将密文发送给私钥本,而且同时实现信息资源的充分利用。
拥有者;私钥是保密的,用于解密其接VPN设备采用隧道技术,将企业网的数据
收的公钥加密过的信息。典型的公钥加密封装在隧道中进行传输,采用专用密钥处
算法如RSA,是目前使用比较广泛的加密理信息,从而实现在低成本非安全的公用
算法。在互联网上的数据安全传输,有了网络上安全地交换信息。
信息加密的手段,就可以对动态信息采取②在内部信息子网建立企业级CA,由
保护措施了。于目前大多数的基于因特网的服务及应用
1.2数字签名技术都有安全考虑,都能很好地支持数字证书
公开密钥的加密机制虽提供了良好的以解决安全问题,基于CA颁发的数字证书
保密性,但难以鉴别发送者,即任何得到公B/S模式的应用已能成功解决用户身份识
开密钥的人都可以生成和发送报文。数字别、数据的安全性、完整性和数据发送方
签名机制提供了一种鉴别方法,以解决以对其发送的数据的不可抵赖性等安全问
下问题。题。对于只需要一般性安全要求的内部子
16科技资讯SCIENCE&TECHNOLOGYINFORMATION网来说有CA系统,利用数字签名、数字信封技术,即能解决大多数安全问题。③在因特网出口、商务服务子网、内部信息子网间配置防火墙,将企业局域网各业务子网隔离,在网络层控制出入的路由功能,对进出的数据包进行较粗粒度的控制,保证数据的完整性和保密性,进行较粗粒度的访问控制,实现不同层次的访问安全控制。④在办公业务子网等重要部位的接入口配置专用网络安全授权、控制设备,实现用户授权、网络访问控制等细粒度安全策略的制定、配置与分发,实现细粒度的访问控制和加密与认证等。⑤在重要用户终端和服务器间配置用户密码机,为特殊应用系统提供端端加密、通播加密与认证服务,为标准应用提供网络(IP数据)加密与认证服务。⑥建立密码管理中心和密码管理逻辑专网,配置和管理支持密码管理的用户密码机、分发专用密码和密钥,实现密码密钥和网络安全设备的网络管理。应该注意的是,网络安全设备的正确选择与配置是实现网络安全最基本的条件之一,网络安全设备的选择必须符合国家的有关规定,设备本身应通过国家授权部门的测试认证,原则上网络安全设备应使用国内产品。目前国产网络安全密码设备已开始在交通、金融等行业大量使用,相关的安全产品主要有用户数据密码机、网络密码机(VPN设备)、异步数据加密机、安全访问路由器和网络授权控制器(CA)等。对安全产品选型的主要技术要求是:①安全设备必须具有自我系统保护能力;②安全设备必须具有提供所需安全服务的最小能力;③安全设备所采用的技术必须成熟、实用,相关技术标准符合国家标准;④安全设备的接入和运行不影响原网络系统的拓扑结构和运行效率;⑤密码算法的使用必须按国家密码委员会办公室的规定进行鉴定和申请;⑥安全设备必须通过国家授权部门的测试认证。3结语网络信息的安全性是一个涉及多方面的问题,不仅要看其采取的防范措施,而且还要看它的管理措施。应注意到随着网络发展和电子商务的日益普及,电子商务交易面临着越来越严峻的挑战,网络安全技术已经成为并将继续成为电子商务的坚实保障。参考文献[1]李海泉.计算机系统安全技术与方法[M].西安:西安电子科技大学出版社,2007,10.
科技资讯2008NO.25
SCIENCE&TECHNOLOGYINFORMATION信息技术
电子商务中的网络安全技术
黎碧茵(广州市市政建设学校广州510500)
摘要:随着Internet的发展,电子商务逐渐成为人们进行商务活动的新模式,越来越多的人通过Internet进行商务活动。对于现阶段的电子商务来说,归根结底最重要的还是安全问题。本文对此进行了探讨。
关键词:网络安全电子商务动态攻击密钥数字签名中图分类号:TN915.08文献标识码:A文章编号:1672-3791(2008)09(a)-0016-01
一般来说,对计算机网络的攻击分为对①伪造:接收者伪造一份文件,声称是
静态数据的攻击和对动态数据的攻击。对对方发送的。
于静态数据攻击可以采用防火墙技术和身②抵赖:发送者或接收者事后不承认
份认证技术。笔者主要讨论电子商务交易自己发送或接收过文件。
中的信息安全,所以仅涉及到对动态数据的③篡改:接收者对收到的文件进行局
攻击。根据对动态信息的攻击形式不同,可部的篡改。
以将攻击分为主动攻击和被动攻击两种。④冒充:网上的用户冒充另一个用户
被动攻击主要是指攻击者监听网络上传递发送或接收文件。
的信息流,从而获取信息的内容,或仅仅希数字签名的解决过程是:报文的发送
望得到信息流的长度、传输频率等数据;主方将报文文本带入哈希函数生成一个128
动攻击则是指攻击者通过有选择的修改、位的散列值,即消息摘要。消息摘要代表
删除、延迟、乱序、复制、插入数据流或着文件的特征,其值将随着文件的变化而
数据流的一部分以达到其非法目的。变化,也就是说,不同的文件将得到不同的
消息摘要。哈希函数对于发送数据的双方
1防范动态攻击的技术都是公开的。发送方用自己的专用密钥对
1.1数据加密技术这个散列值进行加密来形成发送方的数字
所谓加密技术是指采用数学方法对原签名。然后,这个数字签名将作业报文的
始信息进行加工,使得加密后在网络上公附件和报文一起发送给报文的接收方。报
开传输的内容对于非法接受者来说成为无文的接收方首先从接收到的原始报文中计
意义的文字,对于合法的接收者,因其掌握算出128位的散列值(消息摘要),接着再用
正确的密钥,可以通过解密得到原始内容。发送方的公开密钥来对报文附加的数字签
数据加密实质上是对以符号为基础的数据名进行解密。如果两个散列值相同,那么
进行移位和置换的变换算法,这种变换是接收方就能确认该数字签名是发送方的。
受密钥控制的。通过数字签名能够实现对原始报文的鉴别
在传统的加密算法中,加密密钥与解和不可抵赖性。加入数字签名及实现。
密密钥是相同的,或者可以由其中一个推
知另一个,称为对称密钥算法。这样的密2基于密码技术的网络安全策略
钥必须秘密保管,只能为授权用户所知,授在现有的技术条件和设备支持下,以
权用户既可以用该密钥加密信息,也可以密码技术为支撑,在网络内部采用统一的
用该密钥解密信息。DES是对称加密算法安全保密模式和安全保密技术体制,集中
中最具代表性的,DES可以对任意长度的统一管理密码、密钥和网络安全设备,采
数据加密,密钥长度64比特,实际可用密钥用国产专用硬件平台实现密码处理,可以
长度56比特,加密时首先将数据分为64比使企业网络具有较好的安全性、可靠性和
特的数据块,采用ECB、CBC、CFB等模式实用性,采用的主要安全对策有:
之一,每次将输入的64比特明文变换为64①在各网节点路由器的内网接入端配
比特密文。最终,将所有输出数据块合并,置VPN设备,建立VPN虚拟专网安全隧
实现数据加密。如果加密、解密过程各有道,实现基于IPSEC标准的信息加密与认
不相干的密钥,构成加密、解密密钥对,则证。VPN是因特网技术迅速发展的产物。
称这种加密算法为公钥加密算法,相应的利用独立的VPN设备可以保证在低成本
加密、解密密钥分别称为公钥、私钥。在的公用通信网络中安全地进行数据交换,
公钥加密算法下,公钥是公开的,任何人可降低企业建设自己的广域网(WAN)的成
以用公钥加密信息,再将密文发送给私钥本,而且同时实现信息资源的充分利用。
拥有者;私钥是保密的,用于解密其接VPN设备采用隧道技术,将企业网的数据
收的公钥加密过的信息。典型的公钥加密封装在隧道中进行传输,采用专用密钥处
算法如RSA,是目前使用比较广泛的加密理信息,从而实现在低成本非安全的公用
算法。在互联网上的数据安全传输,有了网络上安全地交换信息。
信息加密的手段,就可以对动态信息采取②在内部信息子网建立企业级CA,由
保护措施了。于目前大多数的基于因特网的服务及应用
1.2数字签名技术都有安全考虑,都能很好地支持数字证书
公开密钥的加密机制虽提供了良好的以解决安全问题,基于CA颁发的数字证书
保密性,但难以鉴别发送者,即任何得到公B/S模式的应用已能成功解决用户身份识
开密钥的人都可以生成和发送报文。数字别、数据的安全性、完整性和数据发送方
签名机制提供了一种鉴别方法,以解决以对其发送的数据的不可抵赖性等安全问
下问题。题。对于只需要一般性安全要求的内部子
16科技资讯SCIENCE&TECHNOLOGYINFORMATION网来说有CA系统,利用数字签名、数字信封技术,即能解决大多数安全问题。③在因特网出口、商务服务子网、内部信息子网间配置防火墙,将企业局域网各业务子网隔离,在网络层控制出入的路由功能,对进出的数据包进行较粗粒度的控制,保证数据的完整性和保密性,进行较粗粒度的访问控制,实现不同层次的访问安全控制。④在办公业务子网等重要部位的接入口配置专用网络安全授权、控制设备,实现用户授权、网络访问控制等细粒度安全策略的制定、配置与分发,实现细粒度的访问控制和加密与认证等。⑤在重要用户终端和服务器间配置用户密码机,为特殊应用系统提供端端加密、通播加密与认证服务,为标准应用提供网络(IP数据)加密与认证服务。⑥建立密码管理中心和密码管理逻辑专网,配置和管理支持密码管理的用户密码机、分发专用密码和密钥,实现密码密钥和网络安全设备的网络管理。应该注意的是,网络安全设备的正确选择与配置是实现网络安全最基本的条件之一,网络安全设备的选择必须符合国家的有关规定,设备本身应通过国家授权部门的测试认证,原则上网络安全设备应使用国内产品。目前国产网络安全密码设备已开始在交通、金融等行业大量使用,相关的安全产品主要有用户数据密码机、网络密码机(VPN设备)、异步数据加密机、安全访问路由器和网络授权控制器(CA)等。对安全产品选型的主要技术要求是:①安全设备必须具有自我系统保护能力;②安全设备必须具有提供所需安全服务的最小能力;③安全设备所采用的技术必须成熟、实用,相关技术标准符合国家标准;④安全设备的接入和运行不影响原网络系统的拓扑结构和运行效率;⑤密码算法的使用必须按国家密码委员会办公室的规定进行鉴定和申请;⑥安全设备必须通过国家授权部门的测试认证。3结语网络信息的安全性是一个涉及多方面的问题,不仅要看其采取的防范措施,而且还要看它的管理措施。应注意到随着网络发展和电子商务的日益普及,电子商务交易面临着越来越严峻的挑战,网络安全技术已经成为并将继续成为电子商务的坚实保障。参考文献[1]李海泉.计算机系统安全技术与方法[M].西安:西安电子科技大学出版社,2007,10.