HASH GAME - Online Skill Game GET 300论文关键词：电子商务密码技术安全协议 论文摘要：文章主要针对在电子商务应用中所经常使用到的几种信息安全 技术作了系统的阐述，分析了各种技术在应用中的侧重点，强调了在电子商务 应用中信息安全技术所具有的重要作用。 21 世纪是知识经济时代，网络化、信息化是现代社会的一个重要特征。随 着网络的不断普及，电子商务这种商务活动新模式已经逐渐改变了人们的经济、 工作和生活方式，可是，电子商务的安全问题依然是制约人们进行电子商务交 易的最大问题，因此，安全问题是电子商务的核心问题，是实现和保证电子商 务顺利进行的关键所在。 信息安全技术在电子商务应用中，最主要的是防止信息的完整性、保密性 与可用性遭到破坏；主要使用到的有密码技术、信息认证和访问控制技术、防 火墙技术等。 1 密码技术 密码是信息安全的基础，现代密码学不仅用 r•解决信息的保密性，而且也 用于解决信息的保密性、完整性和不可抵赖性等，密码技术是保护信息传输的 最有效的手段。密码技术分类有多种标准，若以密钥为分类标准，可将密码系 统分为对称密码体制(私钥密码体制)和非对称密码体制(公钥密码体制），他们 的区别在于密钥的类型不同。 在对称密码体制卜，加密密钥与解密密钥是相同的密钥在传输过程中需经 过安全的密钥通道，由发送方传输到接收方。比较著名的对称密钥系统有美国 的 DES，欧洲的 IDEA，Et 本的 RC4，RC5 等。在非对称密码体制 K 加密密 钥 与 解密密钥不同，加密密钥公开而解密密钥保密，并且几乎不可能由加密密钥导 出解密密钥，也无须安全信道传输密钥，只需利用本地密钥的发生器产生解密 密钥 比较著名的公钥密钥系统有 RSA 密码系统 椭圆曲线密码系统 ECC 等。 。 、 数字签名是一项专门的技术，也是实现电子交易安全的核心技术之一，在 实现身份认证、数据完整性、不可抵赖性等方面有重要的作用。尤其在电子银 行、电子证券、电子商务等领域有重要的应用价值。数字签名的实现基础是加 密技术HASH GAME - Online Skill Game GET 300，它使用的是公钥加密算法与散列函数一个数字签名的方案一般有两部 分组成：数字签名算法和验证算法。数字签名主要的功能是保证信息传输的完 整性、发送者身份的验证、防止交易中抵赖的发生。 2 信息认证和访问控制技术 信息认证技术是网络信息安全技术的一个重要方面，用于保证通信双方的 不可抵赖性和信息的完整性。在网络银行、电子商务应用中，交易双方应当能 够确认是对方发送或接收了这些信息，同时接收方还能确认接收的信息是完整 的，即在通信过程中没有被修改或替换。 ①基于私钥密码体制的认证。假设通信双方为 A 和 B。A, B 共享的密钥为 KAB, M 为 A 发送给 B 的信息。为防止信息 M 在传输信道被窃听，A 将 M 加 密 后 再传送，如图 1 所示

　　由于 KAB 为用户 A 和 B 的共享密钥，所以用户 B 可以确定信息 M 是由用户 A 所发出的，这种方法可以对信息来源进行认证，它在认证的同时对信息 M 也 进行了加密，但是缺点是不能提供信息完整性的鉴别。通过引入单向 HASH 函数， 可以解决信息完整性的鉴别问题，如图 2 所示 在图 2 中 用户 A 首先对信息 M 求 HASH 值 H(M) 之后将 H(M)加密成为 m， ， ， 然后将 m。和 M —起发送给 B，用户 B 通过解密 ml 并对附于信息 M 之后的 HASH 值进行比较，比较两者是否一致。图 2 给出的信息认证方案可以实现信息来源 和完整性的认证。基于私钥的信息认证的机制的优点是速度较快，缺点是通信 双方 A 和 B 需要事先约定共享密钥 KAB。 ②基于公钥体制的信息认证。基于公钥体制的信息认证技术主要利用数字 签名和哈希函数来实现 假设用户 A 对信息 M 的 HASH 值 H(M)的签名为 SA(dA, 。 H(m),其中 dA 为用户 A 的私钥），用户 A 将 M/ / SA 发送给用户 B，用户 B 通 过 A 的公钥在确认信息是否由 A 发出，并通过计算 HSAH 值来对信息 M 进行完 整 性鉴别。如果传输的信息需要报名，则用户 A 和 B 可通过密钥分配中心获得一 个共享密钥 KAB，A 将信息签名和加密后再传送给 B，如图 3 所示 由图 3 可知， 。 只有用户 A 和 B 拥有共享密钥 KAB，B 才能确信信息来源的可靠性和完整性。 访问控制是通过一个参考监视器来进行的，当用户 对系统内目标进行访问时，参考监视器边查看授权数据库，以确定准备进 行操作的用户是否确实得到了可进行此项操作的许可。而数据库的授权则是一 个安全管理器负责管理和维护的，管理器以阻止的安全策略为基准来设置这些 授权。 ③防火墙技术。防火墙是目前用得最广泛的一种安全技术，是一种 由计算机硬件和软件的组合。它使互联网与内部网之间建立起一个安全网关， 可以过滤进出网络的数据包、管理进出网络的访问行为、对某些禁止的访问行 为、记录通过防火墙的信息内容和活动及对网络攻击进行检测和告警等。防火 墙的应用可以有效的减少黑客的入侵及攻击，它限制外部对系统资源的非授权 访问，也限制内部对外部的非授权访问，同时还限制内部系统之间，特别是安 全级别低的系统对安全级别高的系统的非授权访问，为电子商务的施展提供一 个相对更安全的平台，具体表现如下： ①防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置， 能将所有安全软件配置在防火墙上。与将网络安全问题分散到各个主机上相比, 防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它 的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙身上。 ②对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么， 防火墙就能记录下这些访问并作日志记录，同时也能提供网络使用情况的统计 数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监 测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。 首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防 火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是 非常重要的。 ③防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部 网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成

　　的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意 的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露 了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如 Finger, DNS 等服务。Finger 显示了主机的所有用户的注册名、真名，最后登 录时间和使用 shell 类型等。但是 Finger 显示的信息非常容易被攻击者所获悉。 攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网， 这个系统是否在被攻击时引起注意等等。 防火墙可以同样阻塞有关内部网络中的 DNS 信息，这样台主机的域名和 IP 地址就不会被外界所了解。 ④网络安全协议。网络协议是网络上所有设备之间通信规则的集合。在网 络的各层中存在着许多协议，网络安全协议就是在协议中采用了加密技术、认 证技术等保证信息安全交换的安全网络协议。目前，Internet 上对七层网络模 型的每一层都已提出了相应的加密协议，在所有的这些协议中，会话层的 SSL 和应用层的 SET 与电子商务的应用关系最为密切。 ①ssL 协议(SecureSocketsLayer)安全套接层协议。SSL 使用对称加密来保 证通信保密性，使用消息认证码(MAC)来保证数据完整性。SSL 主要使用 PKI 在 建立连接时对通信双方进行身份认证。SSL 协议主要是使用公开密钥体制和 X. 509 数字证书技术保护信息传输的机密性和完整性。它主要适用于点对点之 间的信息传输，提供基于客户/服务器模式的安全标准，它在传输层和应用层 之间嵌入一个子层，在建立连接过程中采用公开密钥，在会话过程中使用私人 密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。 SSL 安全协议是国际上最早应用于电子商务的一种网络安全协议，至今仍 然有很多网上商店使用。在传统的邮购活动中，客户首先寻找商品信息，然后 汇款给商家，商家将商品寄给客户。这里，商家是可以信赖的，所以客户先付 款给商家。在电子商务的开始阶段，商家也是担心客户购买后不付款，或使用 过期的信用卡，因而希望银行给予认证。SSL 安全协议正是在这种背景下产生 的。所以，它运行的基点是商家对客户信息保密的承诺。显然，SSL 协议无法 完全协调各方间的安全传输和信任关系。 ②SET 协议 SecureElectronicTransaction)安全电子交易。为了克服 SSL 安全协议的缺点HASH GAME - Online Skill Game GET 300，实现更加完善的即时电子支付，SET 协议应运而生。 SET 协议采用了双重签名技术对 SET 交易过程中消费者的支付信息和订 单 信息分别签名，使得商家看不到支付信息，只能接收用户的订单信息；而金融 机构看不到交易内容，只能接收到用户支付信息和账户信息，从而充分保证了 消费者帐户和定购信息的安全性。SET 协议的重点就是确保商家和客户的身份 认证和交易行为的不可否认性，其理论基础就是不可否认机制，采用的核心技 术包括 X. 509 电子证书标准，数字签名，报文摘要，双重签名等技术。SET 协 议使用数字证书对交易各方的合法性进行验证，通过数字证书的验证，可以确 保交易中的商家和客户都是合法的、可信赖的。 信息安全技术在电子商务中的应用非常广泛，并且起到了尤其重要的作用。