淺析電子商務的安全及認證機制

[摘 要] 本文主要針對電子商務中交易雙方所面臨的各種潛在風險，從安全技術和認證技術的角度分析和探討了電子商務安全技術體系結構，揭示其各安全技術間的層次關系，并介紹了相應的對應策略——安全及認證機制。

[關鍵詞] 信息安全 機制 電子商務

一、電子商務安全概述

隨著Internet技術的迅猛發(fā)展，任何人都可以合法地自由的進入因特網(wǎng)進行各種商務活動，當然，這其中有可能包括一些惡意的行為。調(diào)查顯示，近年來，通過網(wǎng)絡進行的電子商務方面的金融犯罪有上升的趨勢，目前我國發(fā)生的通過網(wǎng)絡進行的電子商務金融犯罪多達200多起，經(jīng)濟損失已達上億元。大多數(shù)電子商務用戶不使用網(wǎng)絡進行商務活動，沒有別的原因，主要是對網(wǎng)上交易及支付信息的安全有所擔心。可以說網(wǎng)絡信息安全問題成為電子商務發(fā)展的一個瓶頸，是電子商務發(fā)展面臨和必須盡快解決的一個大問題。

另外，我國的大多數(shù)電子商務企業(yè)的安全意識不強。在建立商務網(wǎng)站和商務活動管理中，考慮比較多的是效益、方便、快捷，而忽視了系統(tǒng)的安全、保密、抗攻擊功能，也間接導致了電子商務的脆弱和難以維護。

二、電子商務及其存在的問題

電子商務是指利用簡單快捷低成本的電子通訊方式，使買賣雙方進行各種商貿(mào)活動的新型貿(mào)易形式。它改變了傳統(tǒng)的貿(mào)易形式，不僅改變了企業(yè)本身的生產(chǎn)、經(jīng)營、管理活動，而且將導致人類經(jīng)濟、社會和文化的一次新的革命。但目前電子商務的發(fā)展中還存在許多問題：

1.安全協(xié)議問題：對安全協(xié)議還沒有全球性的標準和規(guī)范，相對制約了國際性的商務活動。

2.安全管理問題：在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

3.電子商務沒有真正深入商務領域而僅僅局限于信息領域。

4.傳輸安全問題：指電子商務運行過程中，物流、資金流匯成信息流后動態(tài)傳輸過程中的安全，其安全隱患主要包括網(wǎng)上詐騙和否認發(fā)出信息等。

三、電子商務的信息安全需求

通過分析，在電子商務信息的安全顯得尤其重要。它有以下幾方面的需求：

1.信息的保密性。電子商務是建立在一個開放性很強的網(wǎng)絡環(huán)境中，維護商業(yè)機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取，保密性一般通過密碼技術對傳輸?shù)男畔⑦M行加密處理來實現(xiàn)。

2.信息的完整性。電子商務帶來方便快捷的同時，也帶來了一些新的問題，比如傳輸信息的完整性和統(tǒng)一性問題；另外，網(wǎng)絡信息在傳輸中的部分內(nèi)容丟失或在目的方信息重組時出現(xiàn)差錯也有可能影響商務活動的正常進行。

3.信息的真實性。電子商務活動中涉及到的信息都應是真實的。包括交易雙方身份的真實性和商務信息的真實性。即要提供能對這種信息真實性進行鑒別的機制。

4.信息的不可抵賴性。要在商務活動進行的過程中提供某種機制，對參與商務活動雙方進行的活動進行日志，以避免某一方對自己以前的某些行為進行否認。

5.信息的有效性。

四、電子商務中的安全機制

1.數(shù)據(jù)加密技術。面向網(wǎng)絡的加密技術是目前較為流行的加密技術，例如使用kerberos服務的telnet、nfs、rlogion等，以及用作電子郵件加密的pem（privacy enhanced mail）和pgp（pretty good privacy）。這一類加密技術的優(yōu)點在于實現(xiàn)相對較為簡單，不需要對電子信息（數(shù)據(jù)包）所經(jīng)過的網(wǎng)絡的安全性能提出特殊要求，對電子郵件數(shù)據(jù)實現(xiàn)了端到端的安全保障。具體有對稱密鑰密碼技術、不對稱型加密技術和不可逆加密技術。

2.安全協(xié)議。電子商務最常見的安全協(xié)議有SSL及SET兩種。SSL協(xié)議獨立于應用層協(xié)議，在電子交易中被用來安全傳送信用卡號碼。SET妥善地解決了信用卡在電子商務交易中的交易協(xié)議、信息保密、資料完整以及身份認證等問題。

3.防火墻技術。防火墻是網(wǎng)絡安全策略的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理。

4.健全的法律法規(guī)。國家需要建立電子商務發(fā)展所需的政策和相應的法律、法規(guī)等，從大環(huán)境上杜絕非法客戶的非法操作。

五、電子商務中的認證機制

安全認證技術是為了保證電子商務活動中的交易雙方身份及其所用文件真實性的必要手段。

1.數(shù)字摘要。又稱安全Hash編碼法，采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，該密文亦稱為數(shù)字指紋(Finger Print)，它有固定的長度，且不同的明文摘要成密文是不同的，而同樣的明文其摘要必定一致。

2.數(shù)字簽名。數(shù)字簽名可以保證身份的精確性，分辨參與者所聲稱身份的真?zhèn)危乐箓窝b攻擊。特別是避免通信雙方發(fā)生如下安全問題：否認、偽造、冒充、篡改。

3.數(shù)字時間戳。數(shù)字時間戳就是一種能夠提供電子文件的日期和時間信息的安全保護的技術，人們可以依賴它來確定電子文檔在何時創(chuàng)建和簽署的。這對于那些對時間敏感的技術專利、機密文件、網(wǎng)上交易來說是非常重要的。

4.CA認證。在電子商務系統(tǒng)中，所有實體的證書都是由證書授權中心，即CA中心分發(fā)并簽名的，一個完整、安全的電子商務系統(tǒng)必須建立起一個完整、合理的CA體系。

六、結束語

目前，基于Internet的電子商務應用還剛剛開始，許多方面都還不夠完善，僅從技術角度防范是遠遠不夠的，電子商務對計算機網(wǎng)絡安全與商務安全的雙重要求，使電子商務安全的復雜程度比大多數(shù)計算機網(wǎng)絡更高，因此電子商務安全應作為安全工程，而不是解決方案來實施。

參考文獻：

[1]李 浩:電子商務中電子支付及其安全問題[J].天津職業(yè)院校聯(lián)合學報，2008(5)

[2]姜 華 楊 靜:電子商務的網(wǎng)上支付與安全[J].中國管理信息化，2006（4）

[3]徐雪梅:淺談保障電子商務活動中的信息安全[J].科技情報開發(fā)與經(jīng)濟，2003（5）