電子商務安全技術(shù)的分析與研究

 [摘 要] 由于電子商務是以internet為操作平臺的,而internet本身的開發(fā)性、動態(tài)性和網(wǎng)絡漏洞等使得電子商務運營過程中傳輸和儲存的數(shù)據(jù)信息有被泄露、修改和破壞的可能，而且已成為電子商務發(fā)展的一個瓶頸。分析研究電子商務安全問題的癥結(jié)和相應的對策，有利于促進電子商務的發(fā)展。本文首先介紹了電子商務安全的現(xiàn)狀，分析了存在的主要問題，然后從網(wǎng)絡安全技術(shù)、數(shù)據(jù)加密技術(shù)、用戶認證技術(shù)等方面介紹了主要的電子安全技術(shù)，并提出了一個合理的電子商務安全體系架構(gòu)。
[關(guān)鍵詞] 電子商務電子支付 安全技術(shù)
 一、引言
 隨著網(wǎng)絡技術(shù)和信息技術(shù)的飛速發(fā)展，電子商務得到了越來越廣泛的應用，越來越多的企業(yè)和個人用戶依賴于電子商務的快捷、高效。它的出現(xiàn)不僅為Internet的發(fā)展壯大提供了一個新的契機，也給商業(yè)界注入了巨大的能量。但電子商務是以計算機網(wǎng)絡為基礎(chǔ)載體的，大量重要的身份信息、會計信息、交易信息都需要在網(wǎng)上進行傳遞，在這樣的情況下，安全性問題成為首要問題。
 二、目前電子商務存在的安全性問題
 1.網(wǎng)絡協(xié)議安全性問題
 目前，TCP/IP協(xié)議是應用最廣泛的網(wǎng)絡協(xié)議，但由于TCP/IP本身的開放性特點，企業(yè)和用戶在電子交易過程中的數(shù)據(jù)是以數(shù)據(jù)包的形式來傳送的，惡意攻擊者很容易對某個電子商務網(wǎng)站展開數(shù)據(jù)包攔截，甚至對數(shù)據(jù)包進行修改和假冒。
 2.用戶信息安全性問題
 目前最主要的電子商務形式是基于B/S(Browser/Server)結(jié)構(gòu)的電子商務網(wǎng)站，用戶使用瀏覽器登錄網(wǎng)絡進行交易，由于用戶在登錄時使用的可能是公共計算機，如網(wǎng)吧、辦公室的計算機等情況，那么如果這些計算機中有惡意木馬程序或病毒，這些用戶的登錄信息如用戶名、口令可能會有丟失的危險。
 3.電子商務網(wǎng)站的安全性問題
 有些企業(yè)建立的電子商務網(wǎng)站本身在設計制作時就會有一些安全隱患，服務器操作系統(tǒng)本身也會有漏洞，不法攻擊者如果進入電子商務網(wǎng)站，大量用戶信息及交易信息將被竊取，給企業(yè)和用戶造成難以估量的損失。
 三、電子商務安全性要求
 1.服務的有效性要求
 電子商務系統(tǒng)應能防止服務失敗情況的發(fā)生，預防由于網(wǎng)絡故障和病毒發(fā)作等因素產(chǎn)生的系統(tǒng)停止服務等情況，保證交易數(shù)據(jù)能準確快速的傳送。
 2.交易信息的保密性要求
 電子商務系統(tǒng)應對用戶所傳送的信息進行有效的加密，防止因信息被截取破譯，同時要防止信息被越權(quán)訪問。
 3.數(shù)據(jù)完整性要求
 數(shù)字完整性是指在數(shù)據(jù)處理過程中，原來數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致。為了保障商務交易的嚴肅和公正，交易的文件是不可被修改的，否則必然會損害一方的商業(yè)利益。
 4.身份認證的要求
 電子商務系統(tǒng)應提供安全有效的身份認證機制，確保交易雙方的信息都是合法有效的，以免發(fā)生交易糾紛時提供法律依據(jù)。
 四、電子商務安全技術(shù)措施
 1.數(shù)據(jù)加密技術(shù)
 對數(shù)據(jù)進行加密是電子商務系統(tǒng)最基本的信息安全防范措施．其原理是利用加密算法將信息明文轉(zhuǎn)換成按一定加密規(guī)則生成的密文后進行傳輸，從而保證數(shù)據(jù)的保密性。使用數(shù)據(jù)加密技術(shù)可以解決信息本身的保密性要求。數(shù)據(jù)加密技術(shù)可分為對稱密鑰加密和非對稱密鑰加密。
 (1)對稱密鑰加密(SecretKeyEncryption)
 對稱密鑰加密也叫秘密/專用密鑰加密，即發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰對明文進行加密和解密運算。它的優(yōu)點是加密、解密速度快，適合于對大量數(shù)據(jù)進行加密，能夠保證數(shù)據(jù)的機密性和完整性；缺點是當用戶數(shù)量大時，分配和管理密鑰就相當困難。
 (2)非對稱密鑰加密(PublicKeyEncryption)
 非對稱密鑰加密也叫公開密鑰加密，它主要指每個人都有一對惟一對應的密鑰:公開密鑰(簡稱公鑰)和私人密鑰(簡稱私鑰)公鑰對外公開，私鑰由個人秘密保存，用其中一把密鑰來加密，就只能用另一把密鑰來解密。非對稱密鑰加密算法的優(yōu)點是易于分配和管理，缺點是算法復雜，加密速度慢。
 (3)復雜加密技術(shù)
 由于上述兩種加密技術(shù)各有長短，目前比較普遍的做法是將兩種技術(shù)進行集成。例如信息發(fā)送方使用對稱密鑰對信息進行加密，生成的密文后再用接收方的公鑰加密對稱密鑰生成數(shù)字信封，然后將密文和數(shù)字信封同時發(fā)送給接收方，接收方按相反方向解密后得到明文。
 2.數(shù)字簽名技術(shù)
 數(shù)字簽名是通過特定密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進行技術(shù)驗證，其驗證的準確度是一般手工簽名和圖章的驗證所無法比擬的。數(shù)字簽名技術(shù)可以保證信息傳送的完整性和不可抵賴性。
 3.認證機構(gòu)和數(shù)字證書
 由于電子商務中的交易一般不會有使用者面對面進行，所以對交易雙方身份的認定是保障電子商務交易安全的前提。認證機構(gòu)是一個公立可信的第三方，用以證實交易雙方的身份，數(shù)字證書是由認證機構(gòu)簽名的包括公開密鑰擁有者身份信息以及公開密鑰的文件。在交易支付過程中，參與方必須利用認證中心簽發(fā)的數(shù)字證書來證明自己的身份。
 4.使用安全電子交易協(xié)議(SET:Secure Electronic Transactions)
 是由VISA 和MasterCard兩大信用卡組織指定的標準。SET用于劃分與界定電子商務活動中各方的權(quán)利義務關(guān)系，給定交易信息傳送流程標準。SET協(xié)議保證了電子商務系統(tǒng)的保密性、完整性、不可否認性和身份的合法性。
 五、結(jié)束語
 電子商務是國民經(jīng)濟和社會信息化的重要組成部分，而安全性則是關(guān)系電子商務能否迅速發(fā)展的重要因素。電子商務的安全是一個復雜系統(tǒng)工程，僅從技術(shù)角度防范是遠遠不夠的，還必須完善電子商務方面的立法，以規(guī)范飛速發(fā)展的電子商務現(xiàn)實中存在的各類問題，從而引導和促進電子商務又好又快地發(fā)展。

參考文獻:
1、覃 征 李順東:電子商務概論[M].北京:高等教育出版社，2002.06．
2、余小兵:淺談電子商務中的安全問題[J].科技咨詢導報，2007.02
3、曾鳳生:電子商務安全需求及防護策略[J].數(shù)據(jù)庫及信息管理，2007.06