[Palabras clave] Tecnología de seguridad del comercio electrónico, seguridad de las transacciones
1. Introducción
El comercio electrónico es la realización de las compras en línea de los consumidores en un entorno de red abierta. de Internet, un nuevo modelo de transacción para transacciones en línea entre empresas y pagos electrónicos en línea. Debido a que el comercio electrónico es de bajo costo, altamente eficiente y global, rápidamente se ha vuelto popular en todo el mundo. El comercio electrónico se ha convertido en el punto de crecimiento más dinámico de la economía mundial y su aplicación traerá enormes cambios al desarrollo social y económico. Sin embargo, el volumen comercial actual realizado por el comercio electrónico mundial sólo representa una pequeña parte del volumen comercial mundial durante el mismo período. La razón es que el comercio electrónico es una ingeniería de sistemas compleja y su aplicación depende de la solución y mejora gradual de los correspondientes problemas sociales y técnicos. Entre ellos, la seguridad del comercio electrónico es la cuestión más crítica que restringe el desarrollo del comercio electrónico.
2. Amenazas a la seguridad y requisitos de seguridad de las transacciones de comercio electrónico
1. En las transacciones de comercio electrónico, somos más susceptibles a las siguientes amenazas a la seguridad, que a menudo traen consecuencias muy graves al comercio electrónico: En primer lugar, el robo y la manipulación de la información de las transacciones, es decir, los datos transmitidos en texto plano durante las transacciones en línea son interceptada por intrusos ilegales. Después de decodificarla, es manipulada, eliminada o insertada ilegalmente, destruyendo la integridad de la información. El segundo es el fraude de información, es decir, los atacantes de redes ilegales cometen fraude haciéndose pasar por usuarios legítimos o simulando información falsa.
2. Requisitos de seguridad. El proceso de transacción de comercio electrónico tiene los siguientes requisitos de seguridad, a saber, la confidencialidad, integridad y no repudio de la información. La confidencialidad de la información del comercio electrónico se refiere a la característica de que la información no será divulgada ni utilizada por usuarios, entidades o procesos no autorizados. La integridad de la información del comercio electrónico se refiere a la característica de que los datos no se pueden cambiar sin autorización. Es decir, la información permanece inalterada durante el almacenamiento o la transmisión y no se daña ni se pierde. El no repudio de la información de comercio electrónico se refiere a evitar que una parte en la transacción niegue que ha realizado una determinada transacción después de realizarla o que una parte niegue la recepción de la información de la transacción enviada por la otra parte;
3. Principales tecnologías de seguridad para transacciones de comercio electrónico
1. La tecnología de cifrado es la tecnología de seguridad más básica para el comercio electrónico. En las condiciones técnicas actuales, la tecnología de cifrado generalmente se divide en cifrado simétrico y cifrado asimétrico.
(1) Cifrado de clave simétrica: se utiliza el mismo algoritmo de cifrado y se utiliza la misma clave para el cifrado y descifrado. Si las partes que se comunican pueden garantizar que la clave privada no se filtre durante la etapa de intercambio de claves, pueden utilizar métodos de cifrado simétrico para cifrar información confidencial y enviar el resumen del mensaje y el valor hash del mensaje junto con el mensaje para garantizar la confidencialidad e integridad de el mensaje. El intercambio seguro de claves es un vínculo fundamental relacionado con la eficacia del cifrado simétrico. Los algoritmos de cifrado simétrico utilizados actualmente incluyen DES, PCR, IDEA, 3DES, etc. Entre ellos, DES es el estándar de cifrado de datos más utilizado y adoptado por la Organización Internacional de Normalización.
(2) Cifrado de clave asimétrica: el cifrado asimétrico es diferente del cifrado simétrico y su par de claves se divide en clave pública y clave privada. Cuando se genera un par de claves, la clave pública se hace pública, mientras que la clave privada se conserva en poder del emisor de la clave. Cualquier usuario que obtenga la clave pública puede usar la clave para cifrar información y enviarla al editor de la clave pública. El editor utilizará la clave privada correspondiente a la clave pública para descifrar la información cifrada. El algoritmo de cifrado asimétrico más utilizado actualmente es el algoritmo RSA. Este algoritmo ha sido recomendado como estándar de cifrado de datos de clave asimétrica por el Subcomité Técnico de Cifrado de Datos de la Organización Internacional de Normalización. Entre los métodos de cifrado simétrico y asimétrico, el cifrado simétrico tiene las ventajas de una velocidad de cifrado rápida (normalmente 10 veces más rápida que el cifrado asimétrico) y una alta eficiencia, y se utiliza ampliamente para cifrar grandes cantidades de datos. Sin embargo, la desventaja fatal de este método es que la transmisión y el intercambio de claves también enfrentan problemas de seguridad y las claves se interceptan fácilmente. Además, si se comunica con una gran cantidad de usuarios, es difícil administrar de forma segura una gran cantidad de pares de claves, por lo que existen ciertos problemas con la aplicación generalizada del cifrado simétrico.
La ventaja de las claves asimétricas es que resuelve el problema de demasiadas claves para administrar y el alto costo del cifrado simétrico, y no hay necesidad de preocuparse de que la clave privada se filtre durante la transmisión, por lo que el rendimiento de seguridad es mejor que el de las claves simétricas. tecnología de cifrado. Sin embargo, la desventaja de la asimetría es que el algoritmo de cifrado es complejo y la velocidad de cifrado no es la ideal. La aplicación práctica actual del comercio electrónico es a menudo una combinación de ambos.
2. Tecnología de autenticación de identidad. En la actualidad, la tecnología de cifrado por sí sola no es suficiente para garantizar la seguridad de las transacciones de comercio electrónico. La tecnología de autenticación de identidad es otro medio técnico importante para garantizar la seguridad del comercio electrónico. La implementación de la autenticación de identidad incluye tecnología de firma digital, tecnología de certificado digital, etc.
(1) Tecnología de firma digital
El cifrado de información solo resuelve el problema de la confidencialidad durante la transmisión de información. También se necesitan otros medios para evitar que otros alteren o destruyan la información transmitida y garantizar la seguridad. integridad de la información La integridad garantiza el no repudio del remitente de la información. Esto significa una firma digital. La tecnología de firma digital es una tecnología de autenticación de identidad. Una firma digital en un documento digitalizado es similar a una firma manuscrita en papel y no puede falsificarse. El destinatario puede verificar que el documento efectivamente proviene del firmante y que el documento no ha sido modificado luego de la firma, asegurando así la autenticidad e integridad de la información.
La firma digital actual se basa en el sistema de clave pública y es otra aplicación de la tecnología de cifrado de clave pública. Existen similitudes entre las firmas digitales y las firmas en documentos escritos. Al utilizar una firma digital, puede confirmar las dos cosas siguientes: la información fue enviada por el firmante y la información no ha sido modificada desde la fecha de publicación hasta la fecha de recepción. Actualmente, existen tres métodos principales de firma digital, a saber: firma RSA, firma DSS y firma Hash. Estos tres algoritmos se pueden utilizar individualmente o juntos.
(2) Tecnología de certificado digital
En el sistema de clave pública-clave privada, la clave privada solo la conoce el remitente de la información y la clave pública coincidente es pública. que puede garantizar la confidencialidad de la transmisión de información, pero no aborda la distribución de claves públicas. Las firmas digitales garantizan que la información fue enviada por el firmante y que la información no ha sido modificada desde el momento en que se envió hasta el momento en que se recibió, pero no garantiza la autenticidad de la identidad del firmante. Por lo tanto, se necesita una medida para gestionar la distribución de claves públicas y garantizar la autenticidad de la clave pública y la información de identidad de la entidad asociada con la clave pública. Esta medida es un certificado digital. Los certificados digitales generalmente son emitidos por una organización externa autorizada, confiable y arbitraria, es decir, una CA. Un certificado digital es un medio de gestión de claves en un sistema de claves públicas, que vincula una clave pública con información de identidad de la entidad y contiene la firma digital de una autoridad de certificación. Los certificados digitales se utilizan para la distribución y transmisión de claves públicas en el comercio electrónico para demostrar que la identidad de la entidad de comercio electrónico coincide con la clave pública.
Cuarto, resumen
La tecnología de cifrado y la tecnología de autenticación de identidad son las tecnologías básicas para la seguridad de las transacciones de comercio electrónico. La tecnología de cifrado se utiliza para cifrar información y garantizar la confidencialidad de la información. La tecnología de firma digital y sobre digital aplica tecnología de cifrado basada en sistemas de clave pública. La tecnología de firma digital firma digitalmente la información para garantizar su integridad y no repudio. La tecnología de certificados digitales es una tecnología que admite tecnología de cifrado y firmas digitales. Se utiliza para gestionar la distribución de claves públicas y garantizar la autenticidad de las claves públicas y la información de identidad de la entidad relacionada con las claves públicas. Por lo tanto, los certificados electrónicos deben ser emitidos por un centro de certificación externo autorizado.
Materiales de referencia:
[1] Zhao Shurui, Yue Wei. Análisis del modelo de seguridad de transacciones de comercio electrónico basado en SET[J] Modernización de Centros Comerciales, 2006, (06).
[2]Wang Qian, Yang Deli. Investigación sobre sistemas de seguridad y tecnología del comercio electrónico [J]. Ingeniería Informática, 2003, (01).
[3]Galway. Cuestiones de seguridad y tecnología de seguridad del comercio electrónico [J]. Ciencia, tecnología y economía de Mongolia Interior, 2005, (13).
[4]Guo Jingjing, Li Layuan. Investigación sobre sistema de pago de comercio electrónico basado en protocolo SET[J]. Aplicaciones informáticas, 2002, (03).