電子商務(wù)的安全問(wèn)題及對(duì)策資料

1、摘要電子商務(wù)交易的核心問(wèn)題是安全問(wèn)題。本文針對(duì)電子商務(wù)交易中存在的 主要安全問(wèn)題，闡明了目前解決電子商務(wù)交易的安全問(wèn)題的主要技術(shù)及措施。關(guān)鍵詞電子商務(wù) 安全技術(shù) 交易安全一、引言電子商務(wù)(Electronic Commerce, EC)是指通過(guò)網(wǎng)絡(luò)進(jìn)行的各種商務(wù)活動(dòng)。隨著互聯(lián)網(wǎng)的普及，電子商務(wù)直接影響和改變著社會(huì)經(jīng)濟(jì)生活的各個(gè)方面。電子商務(wù)是一種新的商務(wù)形式，安全性是其發(fā)展的瓶頸之一。對(duì)于電子商務(wù)而言，使 用網(wǎng)絡(luò)進(jìn)行詢價(jià)、下單、成交、結(jié)算等活動(dòng)涉及商業(yè)秘密、公眾隱私，特別是有 關(guān)信息卡密碼、賬號(hào)等敏感信息，一旦泄密將會(huì)給企業(yè)或個(gè)人造成巨大損失。另外，操作人員本身安全意識(shí)不強(qiáng)、操作系統(tǒng)安全配置不

2、當(dāng)也會(huì)導(dǎo)致易受攻擊。當(dāng) 前，全球的“黑客”和“計(jì)算機(jī)病毒”問(wèn)題是網(wǎng)絡(luò)安全面臨的最大挑戰(zhàn)，由此產(chǎn) 生的電子商務(wù)交易和信息的不安全性制約著電子商務(wù)的發(fā)展。二、電子商務(wù)交易的主要安全問(wèn)題1信息泄漏在電子商務(wù)中表現(xiàn)為商業(yè)機(jī)密的泄漏， 主要包括兩個(gè)方面：交易雙方進(jìn)行交 易的內(nèi)容被第三方竊??；交易一方提供給另一方使用的文件被第三方非法使用。 攻擊者主要通過(guò)截獲和竊取的方式造成信息泄漏。2. 篡改在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實(shí)性和完整性的問(wèn)題。 當(dāng)攻擊者掌握 了信息的格式和規(guī)律后，通過(guò)各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)在 中途篡改，然后再發(fā)向目的地，破壞數(shù)據(jù)的真實(shí)性和完整性。3. 偽造由于掌握了數(shù)

3、據(jù)的格式，并可以篡改通過(guò)的信息，如果不進(jìn)行身份識(shí)別， 攻擊者就有可能假冒交易一方的身份， 以破壞交易、破壞被假冒一方的信譽(yù)或盜 取被假冒一方的交易成果等。4信用威脅交易者否認(rèn)參加過(guò)交易，如買方提交訂單后不付款，或者輸入虛假銀行資料 使賣方不能提款；用戶付款后，賣方?jīng)]有把商品發(fā)送到客戶手中， 使客戶蒙受損 失。5.電腦病毒電腦病毒問(wèn)世十幾年來(lái)，各種新型病毒及其變種迅速增加，互聯(lián)網(wǎng)的出 現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播 途徑，還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快，動(dòng)輒造成數(shù)百億美元的經(jīng)濟(jì)損失。三、電子商務(wù)交易的主要安全技術(shù)1.加密技術(shù)是電子商務(wù)的最基本的安全技術(shù)。

4、在目前技術(shù)條件下，加密技術(shù)通常分為對(duì)稱加密和非對(duì)稱加密兩類。(1) 對(duì)稱密鑰加密：采用相同的加密算法，并且加密和解密都使用相同的密鑰。如果進(jìn)行通信的交易各方能夠確保專用密鑰在密鑰交換階段未曾發(fā)生泄露，則可以通過(guò)對(duì)稱加密方法加密機(jī)密信息，并隨報(bào)文發(fā)送報(bào)文摘要和報(bào)文散列值，來(lái)保證 報(bào)文的機(jī)密性和完整性。密鑰安全交換是關(guān)系到對(duì)稱加密有效性的最核心環(huán)節(jié)。 目前常用的對(duì)稱加密算法有 DES、PCR、IDEA、3DES等。其中DES使用最 常用，被國(guó)際標(biāo)準(zhǔn)化組織采用作為數(shù)據(jù)加密的標(biāo)準(zhǔn)。(2) 非對(duì)稱密鑰加密：非對(duì)稱加密不同于對(duì)稱加密，其密鑰對(duì)被分為公開密鑰和私有密鑰。密鑰對(duì)生成后，公開密鑰對(duì)外公開，而私有

5、密鑰則保存在密鑰發(fā)布方 手里。任何得到公開密鑰的用戶都可以使用該密鑰加密信息發(fā)送給該公開密鑰的 發(fā)布者,而發(fā)布者在得到加密信息后，使用與公開密鑰相應(yīng)對(duì)的私有密鑰進(jìn)行解 密。目前,常用的非對(duì)稱加密算法有RSA算法。該算法已被國(guó)際標(biāo)準(zhǔn)化組織的數(shù) 據(jù)加密技術(shù)分委員會(huì)推薦為非對(duì)稱密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。在對(duì)稱和非對(duì)稱兩類加密方法中，對(duì)稱加密的優(yōu)點(diǎn)是加密速度快(通常比非對(duì)稱加密快10倍以上)、效率 高,被廣泛用于大量數(shù)據(jù)的加密。但該方法的致命缺點(diǎn)是密鑰的傳輸與交換也面 臨著安全問(wèn)題,密鑰易被截取,而且,若和大量用戶進(jìn)行通信，難以安全管理大量的 密鑰對(duì)，因此對(duì)稱加密大范圍應(yīng)用存在一定問(wèn)題。而非對(duì)稱密鑰則相反，其

6、優(yōu)點(diǎn)是 解決了對(duì)稱加密中密鑰數(shù)量過(guò)多難管理和費(fèi)用高的不足 ，也不必?fù)?dān)心傳輸中私有 密鑰的泄露，保密性能優(yōu)于對(duì)稱加密技術(shù)。但非對(duì)稱的缺點(diǎn)是加密算法復(fù)雜，加密 速度不很理想。目前電子商務(wù)實(shí)際運(yùn)用中常常是兩者結(jié)合使用。2身份認(rèn)證技術(shù)。目前電子商務(wù)交易中僅有加密技術(shù)不足以保證交易安全 ， 身份認(rèn)證技術(shù)是保證電子商務(wù)安全的另一重要技術(shù)手段。 身份認(rèn)證的實(shí)現(xiàn)包括數(shù) 字簽名技術(shù)、數(shù)字證書技術(shù)等。(1) 數(shù)字簽名技術(shù)對(duì)信息加密只解決了信息傳輸過(guò)程中的保密問(wèn)題，而防止他人對(duì)傳輸?shù)男畔?進(jìn)行篡改或破壞，保證信息的完整性，以及保證信息發(fā)送者對(duì)發(fā)送信息的不可抵賴 性,需要采用其它的手段，這一手段就是數(shù)字簽名。數(shù)字簽名

7、技術(shù)即進(jìn)行身份認(rèn)證 的技術(shù)。在數(shù)字化文檔上的數(shù)字簽名類似于紙張上的手寫簽名，是不可偽造的。 接收者能夠驗(yàn)證文檔確實(shí)來(lái)自簽名者，并且簽名后文檔沒(méi)有被修改過(guò)，從而保證信 息的真實(shí)性和完整性。目前的數(shù)字簽名是建立在公共密鑰體制基礎(chǔ)上，它是公用密鑰加密技術(shù)的另 一類應(yīng)用。數(shù)字簽名與書面文件簽名有相同之處 ，采用數(shù)字簽名，也能確認(rèn)以下兩 點(diǎn):信息是由簽名者發(fā)送的；信息自簽發(fā)后到收到為止未作過(guò)任何修改。目前數(shù)字 簽名方法主要有三種，即:RSA簽名、DSS簽名和Hash簽名。這三種算法可單獨(dú) 使用，也可綜合在一起使用。(2) 數(shù)字證書技術(shù)在公共密鑰體制中 ,私鑰只有信息發(fā)送者知道 ,而與之匹配的公鑰是公開的

8、 , 它能保證傳輸信息的保密性 ,但沒(méi)有解決公鑰的分發(fā)方式。數(shù)字簽名保證了信息 是由簽名者發(fā)送的以及信息自簽發(fā)后到收到為止未曾作過(guò)任何修改 ,但不能保證 簽名者身份的真實(shí)性。因此需要有一種措施來(lái)管理公鑰分發(fā) ,保證公鑰以及與公 鑰有關(guān)的實(shí)體身份信息的真實(shí)性。 這一措施就是數(shù)字證書。 數(shù)字證書是一般由具 有權(quán)威性、可信任性的第三方機(jī)構(gòu)即認(rèn)證機(jī)構(gòu) CA 所頒發(fā)。數(shù)字證書是公共密鑰 體制中的密鑰管理媒介 ,并將公鑰和實(shí)體身份信息綁定在一起 ,并包含認(rèn)證機(jī)構(gòu)的 數(shù)字簽名。數(shù)字證書在電子商務(wù)中用于公鑰的分發(fā)、傳遞 ,證明電子商務(wù)實(shí)體身 份與公鑰相匹配。四、總結(jié)加密技術(shù)和身份認(rèn)證技術(shù)是電子商務(wù)交易安全的基

9、礎(chǔ)技術(shù) ,加密技術(shù)用于對(duì) 信息的加密 ,保證信息的機(jī)密性。數(shù)字簽名和數(shù)字信封技術(shù)應(yīng)用了加密技術(shù) ,建立 在公共密鑰體制基礎(chǔ)上。數(shù)字簽名技術(shù)對(duì)信息進(jìn)行數(shù)字簽名 ,保證信息的完整性 和不可抵賴性。數(shù)字證書技術(shù)是對(duì)加密技術(shù)和數(shù)字簽名進(jìn)行支持的技術(shù) ,用于管 理公鑰分發(fā) ,保證公鑰以及與公鑰有關(guān)的實(shí)體身份信息的真實(shí)性。因此 ,電子證書 必須由權(quán)威的第三方認(rèn)證中心簽發(fā)。參考文獻(xiàn) :1 趙書瑞，魏岳基于SET的電子商務(wù)交易安全模式分析J.商場(chǎng)現(xiàn)代 化,2006,(06).2 王茜,楊德禮.電子商務(wù)的安全體系結(jié)構(gòu)及技術(shù)研究J.計(jì)算機(jī)工 程,2003,(01).3 高威.電子商務(wù)的安全問(wèn)題與安全技術(shù)J.內(nèi)蒙古

10、科技與經(jīng)濟(jì)，2005,(13).4 郭晶晶，李臘元.基于SETB議的電子商務(wù)支付系統(tǒng)的研究J.計(jì)算機(jī)應(yīng) 用,2002,(03).(一)防火墻技術(shù)防火墻的英文名為“ FireWall ”，它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè) 備。防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的 公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或 網(wǎng)絡(luò)安全域之間信息的惟一出入口，通過(guò)監(jiān)測(cè)、限制、 更改，跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng) 絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，有選擇地接受外部 訪問(wèn)，對(duì)內(nèi)部強(qiáng)化設(shè)備監(jiān)管，控制對(duì)服務(wù)器與外部網(wǎng) 絡(luò)的訪問(wèn)，在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間架起一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在的破壞性侵入。防火墻技術(shù)具有以下幾方面的優(yōu)點(diǎn)：1防火墻是網(wǎng)絡(luò)安全的屏障。防火墻能過(guò)濾那些不安全的服務(wù)，只有預(yù)先被允許的服務(wù)才能通過(guò)防火墻。這樣就降低了受到非法攻擊的風(fēng)險(xiǎn)，提高了網(wǎng)絡(luò)的安全性。2有效記載網(wǎng)絡(luò)上的活動(dòng)。如果所有對(duì)網(wǎng)絡(luò)的訪問(wèn)都通過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)，并能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑情況時(shí)，防火墻就能報(bào)警并提供網(wǎng)絡(luò)是否受到檢測(cè)和攻擊的詳細(xì)信息。3防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、身份認(rèn)證、加密、審計(jì)等）配置在防火墻上。不使用防火墻就必須把所有安全軟件分散到各主機(jī)上，防