淺談電子商務(wù)中的安全題目．

摘要：電子商務(wù)的安全題目是電子商務(wù)的核心題目。本文分析了電子商務(wù)中存在的安全隱患，及其對安全性的要求，并闡述目前解決電子商務(wù)安全的主要技術(shù)及相關(guān)措施。
　　關(guān)鍵詞：電子商務(wù)；安全措施；探討

　　
　　1 引言
　　
　　電子商務(wù)是通過(guò)電子方式處理和傳遞數據，它涉及很多方面的活動(dòng)，包括貨物電子貿易和服務(wù)、在線(xiàn)數據傳遞、電子資金劃拔、電子證券交易、貿易拍賣(mài)、合作設計和工程、在線(xiàn)資料、公***品獲得等內容。電子商務(wù)的發(fā)展勢頭非常驚人，但它的產(chǎn)值在全球生產(chǎn)總值中卻只占極小的份額，其原因就在于電子商務(wù)的安全題目，根據美國一個(gè)調查機構對近30000名因特網(wǎng)用戶(hù)的調查顯示，由于擔心電子商務(wù)的安全性題目，超過(guò)60%的網(wǎng)民不愿意進(jìn)行網(wǎng)上交易， 因此，如何建立一個(gè)安全、便捷的電子商務(wù)應用環(huán)境，對信息提供足夠的保護，已經(jīng)成為影響到電子商務(wù)健康發(fā)展的關(guān)鍵性課題。
　　
　　2 電子商務(wù)對安全的要求
　　
　　對電子商務(wù)活動(dòng)安全性的需求以及可使用的網(wǎng)絡(luò )安全措施，主要包含如下幾方面。
　　(1)如何確定通訊中的貿易伙伴的真實(shí)性？常用的處理技術(shù)是身份認證，依靠某個(gè)可信賴(lài)的機構發(fā)放證書(shū)，雙方交換信息之前通過(guò)CA獲取對方的證書(shū)，并以此識別對方。
　　(2)如何保證電子單證的秘密性，防范電子單證的內容被第三方讀取?常用的處理技術(shù)是數據加密和解密。
　　(3)如何保證被傳輸的業(yè)務(wù)單證不會(huì )丟失，或者發(fā)送方可以察覺(jué)所發(fā)單證的丟失?對于固定且具有頻繁貿易往來(lái)的伙伴，可以采用單證傳輸的序列性檢驗；也可采用雙方約定的方法（即在規定的時(shí)間內，通過(guò)某種方式進(jìn)行確認）。
　　(4)如何確定電子單證的內容未被篡改；單證傳輸完整性主要采用散列技術(shù)來(lái)防止非法用戶(hù)對單證的篡改，通過(guò)散列算法對被傳輸的單證進(jìn)行處理，產(chǎn)生一個(gè)依靠于該單證的短小的散列值，并將該散列值附接在單證之后傳輸給接收方。以便接收方采用相同的散列算法對接收的單證進(jìn)行檢驗。
　　(5)如何確定電子單證的真實(shí)性？鑒別單證真實(shí)性的主要手段是數字簽名技術(shù)，其基礎是數據加密中的公然密鑰加密技術(shù)，實(shí)用中常結合單證完整性一起考慮，利用發(fā)送方的密鑰對散列值進(jìn)行加密。
　　(6)如何解決或者仲裁收發(fā)雙方對交換的單證所產(chǎn)生的爭議，包括發(fā)方或收方可能的否認或抵賴(lài)?通常要求引進(jìn)認證中心進(jìn)行治理，由CA發(fā)放密鑰，傳輸的單證及其簽名的備份發(fā)至CA保存，作為可能爭議的仲裁依據。
　　(7)如何保證存儲信息的安全性?如何規范內部治理？如何使用訪(fǎng)問(wèn)控制權限和日志以及敏感信息加密存儲?當使用WWW服務(wù)器支持電子商務(wù)活動(dòng)時(shí)，應留意數據的備份和恢復，并采用防火墻技術(shù)來(lái)保護內部網(wǎng)絡(luò )的安全性。
　　
　　3 電子商務(wù)采用的主要安全技術(shù)
　　
　　為了確保電子商務(wù)在交易過(guò)程中信息有效、真實(shí)、可靠且保密，目前主要采用的安全技術(shù)有加密技術(shù)、身份認證技術(shù)和交易的安全認證協(xié)議。安全認證協(xié)議用來(lái)保證電子商務(wù)中交易的安全性，如set、ssl、s/mime、s-http等。下面我們主要來(lái)先容這些技術(shù)。
　　3.1 加密技術(shù)
　　加密技術(shù)是電子商務(wù)系統所采取的最基本的安全措施，加密的主要目的是防止信息的非授權泄漏。密碼算法是一些數學(xué)公式、法則或程序，算法中的可變參數是密鑰。根據密碼算法所使用的加密密鑰和解密密鑰是否相同，能否由加密密鑰推導出解密密鑰，可以將密碼算法分為對稱(chēng)密碼算法和非對稱(chēng)密碼算法。一般來(lái)說(shuō)，在一個(gè)加密系統中，信息使用加密密鑰加密后，接收方使用解密密鑰對密文解密得到原文。
　　3.1.1 對稱(chēng)加密/對稱(chēng)密鑰加密
　　在對稱(chēng)加密方法中，對信息的加密和解密都使用相同的密鑰，即一把鑰匙開(kāi)一把鎖。這樣可以簡(jiǎn)化加密的處理，每個(gè)交易方都不必彼此研究和交換專(zhuān)用的加密算法。假如進(jìn)行通訊的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄漏，那么機密性和報文完整性就可以得以保證。這樣密鑰安全交換是關(guān)系到對稱(chēng)加密有效的核心環(huán)節。而對稱(chēng)加密技術(shù)存在著(zhù)在通訊的交易各方之間確保密鑰安全交換的題目。對稱(chēng)加密方式存在的另一個(gè)題目是無(wú)法鑒別貿易發(fā)起方或貿易終極方。由于貿易雙方共享同一把專(zhuān)用密鑰，貿易雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對方的。目前常用的對稱(chēng)加密算法有DES、PCR、IDEA等。其中DES使用最普遍，被采用為數據加密的標準。
　　3.1.2 非對稱(chēng)加密/公然密鑰加密
　　在非對稱(chēng)加密體系中,密鑰被分解為一對(即一把公然密鑰或加密密鑰和一把私有密鑰或解密密鑰)。密鑰對天生后，公然密鑰以非保密方式對外公然，只對應于天生該密鑰的發(fā)布者；私有密鑰則保存在密鑰發(fā)布方手中。任何得到公然密鑰的用戶(hù)都可使用該密鑰加密信息發(fā)送給該公然密鑰的發(fā)布者，而發(fā)布者得到加密信息后，使用與公然密鑰相應對的私有密鑰進(jìn)行解密。由此可知，公然密鑰用于對機密性的加密，私有密鑰則用于對加密信息的解密。目前常用的非對稱(chēng)加密算法是RSA算法。它是非對稱(chēng)加密領(lǐng)域內最為著(zhù)名的算法，但是它存在的主要題目是算法的運算速度較慢，并且也難以做到一次一密。因此，在實(shí)際的應用中通常不采用這一算法對信息量大的信息進(jìn)行加密。對于加密量大的應用，公然密鑰加密算法通常用于對稱(chēng)加密方法密鑰的加密。
　　3.2 身份認證技術(shù)
　　身份認證技術(shù)保證電子商務(wù)安全不可缺少的又一重要技術(shù)手段。常見(jiàn)的安全認證技術(shù)有數字摘要、數字信封、數字簽名、數字時(shí)間戳、數字證書(shū)等技術(shù)。
　　3.2.1 數字摘要
　　數字摘要是一種防止數據被改動(dòng)的方法，它采用單向HASH函數將需要加密的文件中若干重要元素進(jìn)行某種變換運算得到固定長(cháng)度的摘要碼，并在傳輸信息時(shí)將之加進(jìn)文件一同送給接收方，接收方收到文件后，用相同的方法進(jìn)行變換運算，若得到的結果與發(fā)送來(lái)的摘要碼相同，則可斷定文件未被篡改，反之亦然。在數字摘要中HASH函數的輸進(jìn)可以是任意大小的文件消息，而輸出是一個(gè)固定長(cháng)度的摘要。且摘要有這樣一個(gè)性質(zhì)，假如改變了輸進(jìn)消息中的任何東西，甚至只有一位，輸出的摘要將會(huì )發(fā)生不可猜測的改變，故而常用數字摘要來(lái)判定信息是否被篡改的一項重要技術(shù)。
　　3.2.2 數字信封
　　在大批數據加密中所使用的對稱(chēng)密碼是隨機產(chǎn)生的，而接收方也需要此密碼才能對消息進(jìn)行正確的解密。對稱(chēng)密鑰的傳遞需要加密進(jìn)行，即發(fā)送方用接收方的公鑰加密此對稱(chēng)密鑰。這樣只有接收方用自己的私鑰才能正確地解密此對稱(chēng)密鑰，從而正確地解密消息。這種加密傳送密鑰的方法稱(chēng)為數字信封。數字信封技術(shù)可以保證接收方的唯一性。即使信息在傳送途中被監聽(tīng)或截獲，由干第三方并沒(méi)有接收方的密鑰，也不能對信息進(jìn)行正確的解密。
　　3.2.3 數字簽名
　　數字簽名能夠實(shí)現對原始報文的鑒別與驗證，保證報文的完整性、權威性和發(fā)送者對所發(fā)報文的不可抵賴(lài)性。在實(shí)際生活中，簽名通常采用書(shū)面形式，由甲乙雙方完成，在網(wǎng)絡(luò )環(huán)境下，可以用電子簽名作為模擬。
　　數字簽名是將數字摘要和公鑰算法兩種加密方法結合起來(lái)使用，其可以在提供數據完整性的同時(shí)保證數據的真實(shí)性。完整性保證傳輸的數據未被篡改，真屬性則保證傳輸過(guò)來(lái)的數據是由正當者產(chǎn)生的，而不是由其他人假冒。如假設用戶(hù)A要寄信給用戶(hù)B，他們互相知道對方的公鑰，A用自己的私鑰將簽名內容加密，附加在郵件中，再用B的公鑰將整個(gè)郵件加密（留意這里的次序，假如先加密再簽名的話(huà)，別人可以將簽名往掉后簽上自己的簽名，從而篡改了簽名）。這樣這份密文被B收到后，B用自己的私鑰將郵件解密，得到A的原文和數字簽名，然后用A的公鑰解密簽名，這樣一來(lái)就保兩方面的安全了。
　3.2.4 數字時(shí)間戳
　　在電子商務(wù)的交易文件中，時(shí)間是一條重要的信息，文件的簽署日期和簽名一樣均是防止文件被偽造和篡改的關(guān)鍵性?xún)热�。為了防止在電子交易中，文件簽署的時(shí)間信息被修改，數字時(shí)間戳提供了相應的安全保護。數字時(shí)間戳服務(wù)（DTS）是由專(zhuān)門(mén)的機構提供的。數字時(shí)間戳是一個(gè)經(jīng)加密處理后形成的憑證文檔，它包括三個(gè)部分：需加時(shí)間戳的文件摘要；DTS機構收到文件的日期和時(shí)間；DTS機構的數字簽名。
　　3.2.5 數字證書(shū)
　　數字證書(shū)是由證書(shū)授權中心CA治理和發(fā)放的。CA是數字證書(shū)的最高治理機構，是安全電子交易的核心環(huán)節。它作為電子商務(wù)交易中中立的、受信任的、可仲裁的第三方，也是為了解決電子商務(wù)中，交易雙方的信息和身份驗證題目，從根本上保障電子商務(wù)交易活動(dòng)順利進(jìn)行而設立的。在交易支付的過(guò)程中，參與各方為了證實(shí)自己的身份，需到第三方即認證中心（CA）往認證。數字證書(shū)就是認證中心為交易各方頒發(fā)的身份憑證。它是一個(gè)經(jīng)CA數字簽名的、包含證書(shū)申請者（公然密鑰擁有者）個(gè)人信息及其公然密鑰的文件。任何交易雙方只有申請到相應的數字證書(shū)，才能參加安全電子商務(wù)的網(wǎng)上交易。
　　3.3 安全認證協(xié)議
　　目前電子商務(wù)中有兩種安全認證協(xié)議被廣泛使用，即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議。
　　3.3.1 SSL協(xié)議
　　SSL安全協(xié)議的中文全稱(chēng)是“加密套接字協(xié)議層”，最初由Netscape公司推出的一種基于RSA和保密密鑰的安全通訊協(xié)議，是目前使用最廣泛的電子商務(wù)協(xié)議。該協(xié)議位于HTTP協(xié)議層和TCP協(xié)議層之間，向基于TCP/IP的客戶(hù)/服務(wù)器應用程序，提供了客戶(hù)端和服務(wù)器的鑒別、數據完整性及信息機密性等安全措施。該協(xié)議在應用程序進(jìn)行數據交換前，通過(guò)交換SSL初始握手信息來(lái)實(shí)現有關(guān)安全特性的審查。SSL協(xié)議可內置于用戶(hù)瀏覽器和商家的服務(wù)器中，能方便而低開(kāi)銷(xiāo)地進(jìn)行信息加密，多用于WEB信用卡的傳送。這樣利用它能夠對信用卡和個(gè)人信息提供較強的保護。
　　SSL協(xié)議運行的基點(diǎn)是商家對客戶(hù)信息保密的承諾�？蛻�(hù)的信息往往首先傳到商家，商家閱讀后再傳到銀行；這樣，客戶(hù)資料的安全性便受到威脅。另外，整個(gè)過(guò)程只有商家對客戶(hù)的認證，缺少客戶(hù)對商家的認證，不能防止商家利用獲取的信用卡號進(jìn)行欺詐。隨著(zhù)電子商務(wù)與廠(chǎng)商的迅速增加，對廠(chǎng)商的認證題目越來(lái)越突出，SSL協(xié)議的缺點(diǎn)則越加明顯。SSL協(xié)議逐漸被新的SET協(xié)議所取代。
　　3.3.2 SET 協(xié)議
　　SET協(xié)議的中文全稱(chēng)“安全電子交易協(xié)議”，它向基于信用卡進(jìn)行電子化交易的應用提供了實(shí)現安全措施的規則。它是由Vsia國際組織 和Mastercard組織聯(lián)合國際上多家科技機構，共同制定的應用于INTERNET上的以銀行卡為基礎進(jìn)行在線(xiàn)交易的安全技術(shù)標準。它采用公鑰密碼體制和X.509數字證書(shū)標準，主要應用于保障網(wǎng)上購物信息的安全性。SET主要由3個(gè)文件組成,分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。SET協(xié)議在保存對客戶(hù)信用卡認證的條件下，又增加了對商家身份的認證。它可以對交易各方進(jìn)行認證，可防止商家身份的欺詐。為了進(jìn)一步加強安全性，使用兩組密鑰對分別用于加密和簽名，通過(guò)雙簽名機制將訂購信息同賬戶(hù)信息鏈在一起簽名。由于設計較為公道，得到了諸如微軟公司、IBM公司、Netscape公司等至公司的支持，已成為實(shí)際上產(chǎn)業(yè)技術(shù)標準。
　　SET協(xié)議的不足之處在于協(xié)議復雜，且只適用于用戶(hù)安裝了“電子錢(qián)包”的場(chǎng)合。根據統計，在一個(gè)典型的SET交易過(guò)程中，需驗證數字證書(shū)9次，驗證數字簽名6次；需傳送證書(shū)7次，進(jìn)行5次簽名、4次對稱(chēng)加密和4次非對稱(chēng)加密；整個(gè)交易過(guò)程可能會(huì )花費1.5～2分鐘。
　　
　　4 電子商務(wù)安全需要進(jìn)一步完善的配套措施
　　
　　電子商務(wù)要真正成為一種主導的商務(wù)模式，尤其對發(fā)展中的中國來(lái)說(shuō)，發(fā)展電子商務(wù)，就必須從以下幾個(gè)方面來(lái)完善配套措施：
　　(1)突破關(guān)鍵技術(shù)受制于人的瓶頸。當前不僅國內幾乎所有的主機、交換機、路由器、網(wǎng)絡(luò )操縱系統都來(lái)自國外，而且美國對出口別國的產(chǎn)品實(shí)行密鑰信前控制和長(cháng)密鑰限制，因此我們必須依靠自身的氣力研制自己的加密算法，以保證中國電子商務(wù)的正常發(fā)展。
　　(2)我國應盡快對電子商務(wù)的有關(guān)細則進(jìn)行立法。當前大多數人信息安全意識淡薄，以銀行和金融界來(lái)看，大家對安全方面的重視還不夠，由于有關(guān)電子商務(wù)的立法和治理剛剛開(kāi)始，有人開(kāi)玩笑說(shuō)“電子商務(wù)目前是個(gè)‘三無(wú)’行業(yè)：無(wú)法可依、無(wú)安全可言、無(wú)規可循”，當然這種說(shuō)法欠妥，但目前我國關(guān)于網(wǎng)絡(luò )安全的法律的確還有待完善。
　　(3)大力開(kāi)發(fā)大型商務(wù)網(wǎng)站、發(fā)展與之相配套的物流公司。目前我國的電子商務(wù)沒(méi)有真正深進(jìn)商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域，這必將影響我國電子商務(wù)進(jìn)一步的發(fā)展。
　　參考文獻：
　　[1]周明,黃元江,李建設.株洲工學(xué)院學(xué)報[J].電子商務(wù)中的安全技術(shù)研究,2005.1.
　　[2]張娟.甘肅科技縱橫[M].電子商務(wù)網(wǎng)絡(luò )安全技術(shù)探究,2005.4.
　　[3]趙乃真.電子商務(wù)技術(shù)與應用[M].中國鐵道出版社,2003.
　　[4]謝丹夏.電子與信息化[M].電子商務(wù)中的安全技術(shù).
　　[5]常連定,趙剛. 科技情報開(kāi)發(fā)與經(jīng)濟[M].我國電子商務(wù)發(fā)展存在的題目及應對策略,2005.10.

【淺談電子商務(wù)中的安全題目．】相關(guān)文章：

淺談安全技術(shù)在電子商務(wù)中的應用03-27

電子商務(wù)安全題目及策略03-20

淺談電子商務(wù)在鋼鐵物流中的應用12-09

電子商務(wù)中數據挖掘方法淺談03-01

淺談電子商務(wù)中的中介組織03-21

淺談勞動(dòng)合同中的若干題目03-22

淺談電子商務(wù)系統開(kāi)發(fā)過(guò)程中的安全設計03-01

中國電子商務(wù)發(fā)展中的題目與對策03-22

淺談技工院校中電子商務(wù)專(zhuān)業(yè)的建設03-26