電子商務(wù)安全技術(shù)之虛擬專(zhuān)用網(wǎng)(VPN)

這是用于Internet交易的一種專(zhuān)用網(wǎng)絡(luò)，它可以在兩個(gè)系統(tǒng)之間建立安全的信道(或隧道)，用于電子數(shù)據(jù)交換(EDI)。它與信用卡交易和客戶(hù)發(fā)送訂單交易不同，因?yàn)樵赩PN中，雙方的數(shù)據(jù)通信量要大得多，而且通信的雙方彼此都很熟悉。

這意味著可以使用復(fù)雜的專(zhuān)用加密和認(rèn)證技術(shù)，只要通信的雙方默認(rèn)即可，沒(méi)有必要為所有的VPN進(jìn)行統(tǒng)一的加密和認(rèn)證?，F(xiàn)有的或正在開(kāi)發(fā)的數(shù)據(jù)隧道系統(tǒng)可以進(jìn)一步增加VPN的安全性，因而能夠保證數(shù)據(jù)的保密性和可用性。

電子商務(wù)安全技術(shù)之?dāng)?shù)字認(rèn)證

數(shù)字認(rèn)證可用電子方式證明信息發(fā)送者和接收者的身份、文件的完整性(如一個(gè)發(fā)票未被修改過(guò))，甚至數(shù)據(jù)媒體的有效性(如錄音、照片等)。隨著商家在電子商務(wù)中越來(lái)越多地使用加密技術(shù)，人們都希望有一個(gè)可信的第三方，以便對(duì)有關(guān)數(shù)據(jù)進(jìn)行數(shù)字認(rèn)證。

目前，數(shù)字認(rèn)證一般都通過(guò)單向Hash函數(shù)來(lái)實(shí)現(xiàn)，它可以驗(yàn)證交易雙方數(shù)據(jù)的完整性，Java JDK1.1也能夠支持幾種單向Hash算法。另外，S/MIME協(xié)議已經(jīng)有了很大的進(jìn)展，可以被集成到產(chǎn)品中，以便用戶(hù)能夠?qū)νㄟ^(guò)Email發(fā)送的信息進(jìn)行簽名和認(rèn)證。

同時(shí)，商家也可以使用PGP(Pretty Good Privacy)技術(shù)，它允許利用可信的第三方對(duì)密鑰進(jìn)行控制?？梢?jiàn)，數(shù)字認(rèn)證技術(shù)將具有廣闊的應(yīng)用前景，它將直接影響電子商務(wù)的發(fā)展。

電子商務(wù)安全技術(shù)之加密技術(shù)

保證電子商務(wù)安全的最重要的一點(diǎn)就是使用加密技術(shù)對(duì)敏感的信息進(jìn)行加密?，F(xiàn)在，一些專(zhuān)用密鑰加密(如3DES、IDEA、RC4和RC5)和公鑰加密(如RSA、SEEK、PGP和EU)可用來(lái)保證電子商務(wù)的保密性、完整性、真實(shí)性和非否認(rèn)服務(wù)。

然而，這些技術(shù)的廣泛使用卻不是一件容易的事情。密碼學(xué)界有一句名言：加密技術(shù)本身都很優(yōu)秀，但是它們實(shí)現(xiàn)起來(lái)卻往往很不理想?，F(xiàn)在雖然有多種加密標(biāo)準(zhǔn)，但人們真正需要的是針對(duì)企業(yè)環(huán)境開(kāi)發(fā)的標(biāo)準(zhǔn)加密系統(tǒng)。

加密技術(shù)的多樣化為人們提供了更多的選擇余地，但也同時(shí)帶來(lái)了一個(gè)兼容性問(wèn)題，不同的商家可能會(huì)采用不同的標(biāo)準(zhǔn)。另外，加密技術(shù)向來(lái)是由國(guó)家控制的，例如SSL的出口受到美國(guó)國(guó)家安全局(NSA)的限制。

目前，美國(guó)的商家一般都可以使用128位的SSL，但美國(guó)只允許加密密鑰為40位以下的算法出口。雖然40位的SSL也具有一定的加密強(qiáng)度，但它的安全系數(shù)顯然比128位的SSL要低得多。

據(jù)報(bào)載，最近美國(guó)加州已經(jīng)有人成功地破譯了40位的SSL，這已引起了人們的廣泛關(guān)注。美國(guó)以外的國(guó)家很難真正在電子商務(wù)中充分利用SSL，這不能不說(shuō)是一種遺憾。上海市電子商務(wù)安全證書(shū)管理中心推出128位SSL的算法，彌補(bǔ)國(guó)內(nèi)的空缺，并采用數(shù)字簽名等技術(shù)確保電子商務(wù)的安全。

電子商務(wù)安全技術(shù)展望

安全是電子商務(wù)生存和發(fā)展的命脈，隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，安全技術(shù)平臺(tái)和安全管理策略將不斷發(fā)展和改進(jìn)提高。電子商務(wù)網(wǎng)站的設(shè)計(jì)人員必須在精心的安全分析、風(fēng)險(xiǎn)評(píng)估、商業(yè)需求分析和網(wǎng)站運(yùn)行效率分析的基礎(chǔ)上,才能制定出整體的安全解決方案。

消費(fèi)者的個(gè)人資料必須保密，還必須確認(rèn)與之交易的實(shí)體不是冒牌貨。要贏得消費(fèi)者的信賴(lài)，安全解決方案必須確保消費(fèi)者的個(gè)人資料嚴(yán)格保密，無(wú)論是在存貯、發(fā)送和使用時(shí)。此外，安全解決方案還必須保證與消費(fèi)者進(jìn)行交易的完整性。

電子商務(wù)安全技術(shù)對(duì)于企業(yè)來(lái)說(shuō)，主要存在兩個(gè)問(wèn)題。第一，確認(rèn)用戶(hù)的身份，界定用戶(hù)的權(quán)限，確保用戶(hù)只能執(zhí)行權(quán)限內(nèi)的行為；第二，保護(hù)企業(yè)資產(chǎn)免受惡意攻擊，如病毒、拒絕服務(wù)攻擊，以及資料被盜竊和損壞。

【編輯推薦】

1. 電子商務(wù)安全有要求
2. 電子商務(wù)安全防范技術(shù)
3. 淺談電子商務(wù)網(wǎng)絡(luò)信息安全問(wèn)題
4. 企業(yè)電子商務(wù)安全策略的構(gòu)建分析
5. 電子商務(wù)網(wǎng)站已成網(wǎng)絡(luò)釣魚(yú)主要獵物
6. 電子商務(wù)根基遭遇木馬病毒黑色產(chǎn)業(yè)侵蝕