電子商務(wù)的安全問題及對策

1、摘要電子商務(wù)交易的核心問題是安全問題。本文針對電子商務(wù)交易中存在的 主要安全問題，闡明了目前解決電子商務(wù)交易的安全問題的主要技術(shù)及措施。關(guān)鍵詞電子商務(wù) 安全技術(shù) 交易安全一、引言電子商務(wù)(Electronic Commerce , EC)是指通過網(wǎng)絡(luò)進行的各種商務(wù)活動。隨著互聯(lián)網(wǎng)的普及，電子商務(wù)直接影響和改變著社會經(jīng)濟生活的各個方面。 電子 商務(wù)是一種新的商務(wù)形式，安全性是其發(fā)展的瓶頸之一。對于電子商務(wù)而言，使 用網(wǎng)絡(luò)進行詢價、下單、成交、結(jié)算等活動涉及商業(yè)秘密、公眾隱私，特別是有關(guān)信息卡密碼、賬號等敏感信息，一旦泄密將會給企業(yè)或個人造成巨大損失。 另 外，操作人員本身安全意識不強、操作系統(tǒng)安

2、全配置不當也會導(dǎo)致易受攻擊。當 前，全球的“黑客”和“計算機病毒”問題是網(wǎng)絡(luò)安全面臨的最大挑戰(zhàn)，由此產(chǎn)生的電子商務(wù)交易和信息的不安全性制約著電子商務(wù)的發(fā)展。二、電子商務(wù)交易的主要安全問題1 .信息泄漏在電子商務(wù)中表現(xiàn)為商業(yè)機密的泄漏， 主要包括兩個方面：交易雙方進行交 易的內(nèi)容被第三方竊??；交易一方提供給另一方使用的文件被第三方非法使用。攻擊者主要通過截獲和竊取的方式造成信息泄漏。2 .篡改在電子商務(wù)中表現(xiàn)為商業(yè)信息的真實性和完整性的問題。 當攻擊者掌握 了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)在 中途篡改，然后再發(fā)向目的地，破壞數(shù)據(jù)的真實性和完整性。3 .偽造由于

3、掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，如果不進行身份識別， 攻擊者就有可能假冒交易一方的身份， 以破壞交易、破壞被假冒一方的信譽或盜 取被假冒一方的交易成果等。4 .信用威脅交易者否認參加過交易，如買方提交訂單后不付款，或者輸入虛假銀行資料 使賣方不能提款；用戶付款后，賣方?jīng)]有把商品發(fā)送到客戶手中， 使客戶蒙受損 失。5 .電腦病毒電腦病毒問世十幾年來，各種新型病毒及其變種迅速增加，互聯(lián)網(wǎng)的出 現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡(luò)作為自己的傳播 途徑，還有眾多病毒借助于網(wǎng)絡(luò)傳播得更快，動輒造成數(shù)百億美元的經(jīng)濟損失。三、電子商務(wù)交易的主要安全技術(shù)1 .加密技術(shù)是電子商務(wù)的最

4、基本的安全技術(shù)。在目前技術(shù)條件下，加密技術(shù)通常分為對稱加密和非對稱加密兩類。(1)對稱密鑰加密：采用相同的加密算法，并且加密和解密都使用相同的密鑰。 如果進行通信的交易各方能夠確保專用密鑰在密鑰交換階段未曾發(fā)生泄露，則可以通過對稱加密方法加密機密信息，并隨報文發(fā)送報文摘要和報文散列值,來保 證報文的機密性和完整性。密鑰安全交換是關(guān)系到對稱加密有效性的最核心環(huán) 節(jié)。目前常用的對稱加密算法有 DES、PCR、IDEA、3DES等。其中DES使 用最常用，被國際標準化組織采用作為數(shù)據(jù)加密的標準。(2)非對稱密鑰加密：非對稱加密不同于對稱加密，其密鑰對被分為公開密鑰 和私有密鑰。密鑰對生成后，公開密鑰

5、對外公開，而私有密鑰則保存在密鑰發(fā)布方 手里。任何得到公開密鑰的用戶都可以使用該密鑰加密信息發(fā)送給該公開密鑰的 發(fā)布者，而發(fā)布者在得到加密信息后，使用與公開密鑰相應(yīng)對的私有密鑰進行解 密。目前，常用的非對稱加密算法有RSA算法。該算法已被國際標準化組織的數(shù) 據(jù)加密技術(shù)分委員會推薦為非對稱密鑰數(shù)據(jù)加密標準。在對稱和非對稱兩類加密方法中，對稱加密的優(yōu)點是加密速度快(通常比非對稱加密快10倍以上)、效率 高，被廣泛用于大量數(shù)據(jù)的加密。但該方法的致命缺點是密鑰的傳輸與交換也面 臨著安全問題，密鑰易被截取，而且，若和大量用戶進行通信，難以安全管理大量的 密鑰對，因此對稱加密大范圍應(yīng)用存在一定問題。而非對

6、稱密鑰則相反，具優(yōu)點是 解決了對稱加密中密鑰數(shù)量過多難管理和費用高的不足 ，也不必擔心傳輸中私有 密鑰的泄露，保密性能優(yōu)于對稱加密技術(shù)。但非對稱的缺點是加密算法復(fù)雜，加密速度不很理想。目前.電子商務(wù)實際運用中常常是兩者結(jié)合使用。2 .身份認證技術(shù)。目前電子商務(wù)交易中僅有加密技術(shù)不足以保證交易安全 ， 身份認證技術(shù)是保證電子商務(wù)安全的另一重要技術(shù)手段。 身份認證的實現(xiàn)包括數(shù) 字簽名技術(shù)、數(shù)字證書技術(shù)等。(1)數(shù)字簽名技術(shù)對信息加密只解決了信息彳輸過程中的保密問題，而防止他人對傳輸?shù)男畔?進行篡改或破壞，保證信息的完整性，以及保證信息發(fā)送者對發(fā)送信息的不可抵 賴性,需要采用其它的手段，這一手段就是

7、數(shù)字簽名。數(shù)字簽名技術(shù)即進行身份認證的技術(shù)。在數(shù)字化文檔上的數(shù)字簽名類似于紙張上的手寫簽名，是不可偽造的。 接收者能夠驗證文檔確實來自簽名者，并且簽名后文檔沒有被修改過，從而保證 信息的真實性和完整性。目前的數(shù)字簽名是建立在公共密鑰體制基礎(chǔ)上，它是公用密鑰加密技術(shù)的另 一類應(yīng)用。數(shù)字簽名與書面文件簽名有相同之處，采用數(shù)字簽名，也能確認以下兩 點:信息是由簽名者發(fā)送的；信息自簽發(fā)后到收到為止未作過任何修改。目前數(shù)字 簽名方法主要有三種，即:RSA簽名、DSS簽名和Hash簽名。這三種算法可單 獨使用，也可綜合在一起使用。(2)數(shù)字證書技術(shù)在公共密鑰體制中，私鑰只有信息發(fā)送者知道，而與之匹配的公鑰

8、是公開的， 它能保證傳輸信息的保密性，但沒有解決公鑰的分發(fā)方式。數(shù)字簽名保證了信息 是由簽名者發(fā)送的以及信息自簽發(fā)后到收到為止未曾作過任何修改，但不能保證簽名者身份的真實性。因此需要有一種措施來管理公鑰分發(fā)，保證公鑰以及與公 鑰有關(guān)的實體身份信息的真實性。這一措施就是數(shù)字證書。數(shù)字證書是一般由具 有權(quán)威性、可信任性的第三方機構(gòu)即認證機構(gòu) CA所頒發(fā)。數(shù)字證書是公共密鑰 體制中的密鑰管理媒介，并將公鑰和實體身份信息綁定在一起，并包含認證機構(gòu) 的數(shù)字簽名。數(shù)字證書在電子商務(wù)中用于公鑰的分發(fā)、傳遞 ，證明電子商務(wù)實體 身份與公鑰相匹配。四、總結(jié)加密技術(shù)和身份認證技術(shù)是電子商務(wù)交易安全的基礎(chǔ)技術(shù)，加密

9、技術(shù)用于對 信息的加密，保證信息的機密性。數(shù)字簽名和數(shù)字信封技術(shù)應(yīng)用了加密技術(shù)，建立在公共密鑰體制基礎(chǔ)上。數(shù)字簽名技術(shù)對信息進行數(shù)字簽名，保證信息的完整性和不可抵賴性。數(shù)字證書技術(shù)是對加密技術(shù)和數(shù)字簽名進行支持的技術(shù)，用于管 理公鑰分發(fā)，保證公鑰以及與公鑰有關(guān)的實體身份信息的真實性。因此，電子證書 必須由權(quán)威的第三方認證中心簽發(fā)。參考文獻：1趙書瑞，魏岳.基于SET的電子商務(wù)交易安全模式分析J.商場現(xiàn)代 化,2006,(06).2王茜，楊德禮.電子商務(wù)的安全體系結(jié)構(gòu)及技術(shù)研究J.計算機工程,2003,(01).3高威.電子商務(wù)的安全問題與安全技術(shù)J.內(nèi)蒙古科技與經(jīng)濟,2005,(13).4郭晶

10、晶，李臘元.基于SET協(xié)議的電子商務(wù)支付系統(tǒng)的研究J.計算機應(yīng) 用,2002,(03).(一)防火墻技術(shù)防火墻的英文名為“FireWall ”，它是目前一種最重要的網(wǎng)絡(luò)防護設(shè) 備。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的 公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或 網(wǎng)絡(luò)安全域之間信息的惟一出入口，通過監(jiān)測、限制、 更改，跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng) 絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，有選擇地接受外部 訪問，對內(nèi)部強化設(shè)備監(jiān)管，控制對服務(wù)器與外部網(wǎng) 絡(luò)的訪問，在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間架起一道屏障，以防止發(fā)生不可預(yù)測的、潛在的破壞性侵入。防火墻技術(shù)具有以下幾方面的優(yōu)點：1 .防火墻是網(wǎng)絡(luò)安全的屏障。防火墻能過濾那些不安全的服務(wù)，只有預(yù)先被允許的服務(wù)才能通過防 火墻。這樣就降低了受到非法攻擊的風險，提高了網(wǎng) 絡(luò)的安全性。2 .有效記載網(wǎng)絡(luò)上的活動。如果所有對網(wǎng)絡(luò)的訪問都通過防火墻，那么，防火墻就能記錄下這些訪 問，并能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑 情況時，防火墻就能報警并提供網(wǎng)絡(luò)是否受到檢測和 攻擊的詳細信息。3 .防火墻可以強化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口 令、身份認證、加密、審計等）配置在防火墻上。不使 用防火墻就必須把所有安全軟件分散到各主機上，防 火墻