電子商務(wù)安全性淺析與探索

趙永堅 何樹華 周 超 黃 海

摘要：電子商務(wù)安全性制約著電子交易活動的發(fā)展。本文通過分析現(xiàn)有電子商務(wù)的安全保障機制。基于已有安全措施探索更高效更安全的安全保障方案。

關(guān)鍵詞：電子商務(wù)；數(shù)字加密；安全：漏洞；SSL

1引言

隨著電子商務(wù)逐漸走入人們的日常生活，人們對它的信賴程度與其本身具有的安全可靠性成正比，據(jù)普查有六成網(wǎng)民不信任網(wǎng)上購物。能否提高電子商務(wù)的安全性，保障交易可靠已成為網(wǎng)站商家與消費者共同關(guān)注的問題。在廣大網(wǎng)絡(luò)平臺上建立一套交易雙方信賴的安全保障制度，充分加強網(wǎng)絡(luò)交易的安全可靠性、信息保密性，方可提高人們對網(wǎng)絡(luò)交易的支持和利用。

2電子商務(wù)安全的威脅與漏洞

電子交易安全要求有信息的保密性，交易者身份的確定性，交易操作的不可否認性和交易信息的不可修改性。相應(yīng)產(chǎn)生的威脅與漏洞有：(1)源于外部侵入的威脅。外部侵入者通過對網(wǎng)絡(luò)的侵犯而獲悉交易雙方的交易信息，竊取商機。(2)源于信息不完整性產(chǎn)生的漏洞。在交易過程中產(chǎn)生的差錯導(dǎo)致交易信息的不完整，可能導(dǎo)致交易活動無法進行。(3)源于交易雙方對交易信息的抵賴威脅。交易雙方可能對交易信息進行篡改，偽造證據(jù)，擾亂交易的公平性。

3目前電子商務(wù)的安全保障和電子交易的手段

3.1現(xiàn)有電子商務(wù)最常見的安全機制有SSL及SET兩種。分別如下：

(1)SSL協(xié)議：位于TCD／IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通信提供安全支持。它分為兩層，其中SSL記錄協(xié)議(SSL RecordProtocol)，建立在可靠的傳輸協(xié)議之上，為高層提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議(SSL Handshake Protocol)，建立在SSL記錄協(xié)議之上，用于在實際的數(shù)據(jù)傳輸開始之前，通信雙方進行身份認證，協(xié)商加密算法，交換加密密鑰。

(2)SET協(xié)議：是一種基于消息流的協(xié)議，它主要用來保證公共網(wǎng)絡(luò)上銀行卡支付交易的安全性。它定義了加密信息的格式和完成一筆交易過程中各方傳輸信息的規(guī)則。

3.2現(xiàn)有保障電子交易安全的手段

(1)密碼技術(shù)：常用的有：①公共密鑰和私用密鑰，亦稱為RSA編碼法，它利用兩個很大的質(zhì)數(shù)相乘所產(chǎn)生的乘積來加密。②數(shù)字摘要(dIgital dlgest)即安全Hash編碼法或MD5，它采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數(shù)字指紋(Finger Print)，它有固定的長度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這摘要便可成為驗證明文是否是“真身”的“指紋”了。

(2)數(shù)字簽名(digital signature)：數(shù)字簽名是以保障基于網(wǎng)絡(luò)交易平臺替代傳統(tǒng)功能的電子技術(shù)手段，結(jié)合了密碼技術(shù)和數(shù)字摘要。它通過密碼技術(shù)保證數(shù)據(jù)保密，不被篡改。和驗證身份以實現(xiàn)電子交易安全。

(3)數(shù)字時間戳：能提供電子文件發(fā)表時間的安全保護。數(shù)字時間戳服務(wù)(DTS)是網(wǎng)上安全服務(wù)項目，由專門的機構(gòu)提供。時間戳(time-stamp)是一個經(jīng)加密后形成的憑證文檔。

(4)數(shù)字憑證：數(shù)字憑證又稱為數(shù)字證書。是用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問的權(quán)限。數(shù)字憑證可用于電子郵件、電子商務(wù)、群件、電子基金轉(zhuǎn)移等各種用途。

(5)認證中心(CA=Certification Authority)：就是承擔(dān)網(wǎng)上安全電子交易認證服務(wù)、能簽發(fā)數(shù)字證書、并能確認用戶身份的服務(wù)機構(gòu)。認證中心通常是企業(yè)性的服務(wù)機構(gòu)，主要任務(wù)是受理數(shù)字憑證的申請、簽發(fā)及對數(shù)字憑證的管理。

4探索與搜尋更為有效方案，進一步提高安全可靠性。

通過以上對現(xiàn)有電子商務(wù)安全性的分析可以發(fā)現(xiàn)有許多可改進方案，比如：

(1)較多的電子商務(wù)平臺建立在SSL協(xié)議基礎(chǔ)之上，然而SSL2O在設(shè)計上有著很多缺陷，仍容易受到網(wǎng)絡(luò)攻擊。因此在SSL協(xié)議之上再通過VPN(虛擬專用網(wǎng))，聯(lián)合SSL的獨特性以及VPN所能提供的安全遠程訪問控制能力，保證交易信息安全。

(2)在電子交易平臺提供數(shù)據(jù)證書驗證交易者的身份真實性，然而安全技術(shù)的強度普遍不夠，受到了外國密碼政策的限制，因此強度普遍不夠，自主探索加密算法尤為重要。

(3)盡管電子商務(wù)蓬勃發(fā)展，但網(wǎng)絡(luò)信息安全在全球還沒有形成一個完整的體系，有關(guān)電子商務(wù)安全的產(chǎn)品真正通過認證的相當(dāng)少，對安全技術(shù)普遍了解的較少。所以在安全認證方面應(yīng)轉(zhuǎn)向信用體系較高的CA認證。

(4)電子商務(wù)網(wǎng)站的安全管理存在很大隱患，因此應(yīng)加強電子商務(wù)網(wǎng)站的安全管理。避免內(nèi)部人員濫用資源，使用完善的防火墻技術(shù)，建立網(wǎng)絡(luò)系統(tǒng)的日常維護制度。

5結(jié)論及展望

隨著網(wǎng)絡(luò)的發(fā)展，未來電子商務(wù)將以高安全穩(wěn)定性而競爭。為了支撐更廣大的商務(wù)活動，只有不斷努力探索提高安全性方案。不斷提高服務(wù)的安全性，否則會制約電子商務(wù)的發(fā)展，成為發(fā)展的瓶頸。安全性必能為電子商務(wù)發(fā)展提供重要保障。