三大技術(shù)保障電子商務(wù)安全
電子商務(wù)安全技術(shù)之虛擬專用網(wǎng)(VPN)
這是用于Internet交易的一種專用網(wǎng)絡(luò),它可以在兩個(gè)系統(tǒng)之間建立安全的信道(或隧道),用于電子數(shù)據(jù)交換(EDI)。它與信用卡交易和客戶發(fā)送訂單交易不同,因?yàn)樵赩PN中,雙方的數(shù)據(jù)通信量要大得多,而且通信的雙方彼此都很熟悉。
這意味著可以使用復(fù)雜的專用加密和認(rèn)證技術(shù),只要通信的雙方默認(rèn)即可,沒有必要為所有的VPN進(jìn)行統(tǒng)一的加密和認(rèn)證。現(xiàn)有的或正在開發(fā)的數(shù)據(jù)隧道系統(tǒng)可以進(jìn)一步增加VPN的安全性,因而能夠保證數(shù)據(jù)的保密性和可用性。
電子商務(wù)安全技術(shù)之?dāng)?shù)字認(rèn)證
數(shù)字認(rèn)證可用電子方式證明信息發(fā)送者和接收者的身份、文件的完整性(如一個(gè)發(fā)票未被修改過),甚至數(shù)據(jù)媒體的有效性(如錄音、照片等)。隨著商家在電子商務(wù)中越來越多地使用加密技術(shù),人們都希望有一個(gè)可信的第三方,以便對有關(guān)數(shù)據(jù)進(jìn)行數(shù)字認(rèn)證。
目前,數(shù)字認(rèn)證一般都通過單向Hash函數(shù)來實(shí)現(xiàn),它可以驗(yàn)證交易雙方數(shù)據(jù)的完整性,Java JDK1.1也能夠支持幾種單向Hash算法。另外,S/MIME協(xié)議已經(jīng)有了很大的進(jìn)展,可以被集成到產(chǎn)品中,以便用戶能夠?qū)νㄟ^Email發(fā)送的信息進(jìn)行簽名和認(rèn)證。
同時(shí),商家也可以使用PGP(Pretty Good Privacy)技術(shù),它允許利用可信的第三方對密鑰進(jìn)行控制。可見,數(shù)字認(rèn)證技術(shù)將具有廣闊的應(yīng)用前景,它將直接影響電子商務(wù)的發(fā)展。
電子商務(wù)安全技術(shù)之加密技術(shù)
保證電子商務(wù)安全的最重要的一點(diǎn)就是使用加密技術(shù)對敏感的信息進(jìn)行加密。現(xiàn)在,一些專用密鑰加密(如3DES、IDEA、RC4和RC5)和公鑰加密(如RSA、SEEK、PGP和EU)可用來保證電子商務(wù)的保密性、完整性、真實(shí)性和非否認(rèn)服務(wù)。
然而,這些技術(shù)的廣泛使用卻不是一件容易的事情。密碼學(xué)界有一句名言:加密技術(shù)本身都很優(yōu)秀,但是它們實(shí)現(xiàn)起來卻往往很不理想。現(xiàn)在雖然有多種加密標(biāo)準(zhǔn),但人們真正需要的是針對企業(yè)環(huán)境開發(fā)的標(biāo)準(zhǔn)加密系統(tǒng)。
加密技術(shù)的多樣化為人們提供了更多的選擇余地,但也同時(shí)帶來了一個(gè)兼容性問題,不同的商家可能會(huì)采用不同的標(biāo)準(zhǔn)。另外,加密技術(shù)向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制。
目前,美國的商家一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的算法出口。雖然40位的SSL也具有一定的加密強(qiáng)度,但它的安全系數(shù)顯然比128位的SSL要低得多。
據(jù)報(bào)載,最近美國加州已經(jīng)有人成功地破譯了40位的SSL,這已引起了人們的廣泛關(guān)注。美國以外的國家很難真正在電子商務(wù)中充分利用SSL,這不能不說是一種遺憾。上海市電子商務(wù)安全證書管理中心推出128位SSL的算法,彌補(bǔ)國內(nèi)的空缺,并采用數(shù)字簽名等技術(shù)確保電子商務(wù)的安全。
電子商務(wù)安全技術(shù)展望
安全是電子商務(wù)生存和發(fā)展的命脈,隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展,安全技術(shù)平臺和安全管理策略將不斷發(fā)展和改進(jìn)提高。電子商務(wù)網(wǎng)站的設(shè)計(jì)人員必須在精心的安全分析、風(fēng)險(xiǎn)評估、商業(yè)需求分析和網(wǎng)站運(yùn)行效率分析的基礎(chǔ)上,才能制定出整體的安全解決方案。
消費(fèi)者的個(gè)人資料必須保密,還必須確認(rèn)與之交易的實(shí)體不是冒牌貨。要贏得消費(fèi)者的信賴,安全解決方案必須確保消費(fèi)者的個(gè)人資料嚴(yán)格保密,無論是在存貯、發(fā)送和使用時(shí)。此外,安全解決方案還必須保證與消費(fèi)者進(jìn)行交易的完整性。
電子商務(wù)安全技術(shù)對于企業(yè)來說,主要存在兩個(gè)問題。第一,確認(rèn)用戶的身份,界定用戶的權(quán)限,確保用戶只能執(zhí)行權(quán)限內(nèi)的行為;第二,保護(hù)企業(yè)資產(chǎn)免受惡意攻擊,如病毒、拒絕服務(wù)攻擊,以及資料被盜竊和損壞。
【編輯推薦】
