電子商務交易安全問題研究

電子商務交易安全問題研究

電子商務是在互聯(lián)網(wǎng)開放的環(huán)境下進行消費者在線購買和公司間網(wǎng)絡交易的方式。隨著網(wǎng)絡技術和計算機技術的發(fā)展,電子商務的技術及市場環(huán)境越來越成熟,越來越多的人逐漸都認可了這種交易模式。對于商家,可以自己搭建一個電子商務網(wǎng)站平臺,輕松實現(xiàn)在線商品銷售。個人通過電子商務可以輕松購買想要的產品,方便、快捷。電子商務所具有的廣闊發(fā)展前景,越來越為世人所矚目。但電子商務中的安全問題如得不到妥善解決,電子商務應用就只能是紙上談兵。從事電子商務活動的主體都已普遍認識到電子商務的交易安全是電子商務成功實施的基礎,是企業(yè)制訂電子商務策略時必須首先要考慮的問題。對于實施電子商務戰(zhàn)略的企業(yè)來說,保證電子商務的安全已成為當務之急。一、電子商務的信息安全需要1、商業(yè)熱平線系統(tǒng)的應用電子商務是建立在一個開放性很強的網(wǎng)絡環(huán)境中,維護商業(yè)機密是電子商務全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取,保密性一般通過密碼技術對傳輸?shù)男畔⑦M行加密處理來實現(xiàn)。2、發(fā)展電子商務需要對個人、企業(yè)或國家提供可靠的標識對進行電子商務交易的貿易雙方來說,一個很關鍵問題就是如何確定進行交易的貿易方正是交易所期望的貿易方。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已經不可能。因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識,使原發(fā)方對已發(fā)送的數(shù)據(jù)、接收方對已接收的數(shù)據(jù)都不能否認。通?？赏ㄟ^對發(fā)送的消息進行數(shù)字簽名來實現(xiàn)信息的不可抵賴性。3、確認對方的身份由于在電子商務過程中,買賣雙方的所有交易活動都通過網(wǎng)絡聯(lián)系,交易雙方可能素昧平生,相隔萬里。要使交易成功,首先要確認對方的身份。對于商家而言,要考慮客戶端不能是騙子,而客戶端也會擔心網(wǎng)上商店是否是一個玩弄欺詐的黑店,因此,電子商務的開展要求能夠對交易主體的真實身份進行鑒別。4、貿易各方信息差異電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業(yè)信息的完整、統(tǒng)一的問題。數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能會導致貿易各方信息的差異。另外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是電子商務應用的基礎。一般可通過提取信息摘要的方式來保持信息的完整性。5、確保信息的有效性電子商務作為貿易的一種形式,其信息的有效性將直接關系到個人、企業(yè)或國家的經濟利益和聲譽,那么保證信息的有效性就成為開展電子商務的前提。因此,要對網(wǎng)絡故障、操作錯誤、應用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數(shù)據(jù)在確定的時刻、確定的地點是有效的。二、電子商務安全技術1、網(wǎng)絡安全技術防火墻是企業(yè)網(wǎng)安全問題的流行方案,即把公共數(shù)據(jù)和服務置于防火墻外,使其對防火墻內部資源的訪問受到限制。一般說來,防火墻是不能防病毒的,盡管有不少的防火墻產品聲稱其具有這個功能。防火墻技術的另外一個弱點在于數(shù)據(jù)在防火墻之間的更新是一個難題,如果延遲太大將無法支持實時服務請求。此外,防火墻采用濾波技術,濾波通常使網(wǎng)絡的性能降低50%以上,如果為了改善網(wǎng)絡性能而購置高速路由器,又會大大提高經濟預算。作為一種網(wǎng)絡安全技術,防火墻具有簡單實用的特點,并且透明度高,可以在不修改原有網(wǎng)絡應用系統(tǒng)的情況下達到一定的安全要求。但是,如果防火墻系統(tǒng)被攻破,則被保護的網(wǎng)絡處于無保護狀態(tài)。如果一個企業(yè)希望在Internet上開展商業(yè)活動,與眾多的客戶進行通信,則防火墻不能滿足要求。2、數(shù)據(jù)加密的常用方法加密技術是最基本的網(wǎng)絡安全技術,主要用于保證數(shù)據(jù)在存儲和傳輸過程中的保密性。該技術采用數(shù)學方法對原始信息進行再組織,使得加密后在網(wǎng)絡上公開傳輸?shù)膬热輰τ诜欠ń邮照邅碚f成為不可理解的字符。而對于合法的接受者,可以利用其掌握的密鑰,通過解密過程得到原始數(shù)據(jù),從而達到保護信息的目的。數(shù)據(jù)加密的方法很多常用的有兩大類:一種是對稱加密,一種是非對稱密鑰加密。(1)對稱密鑰加密體制。在對稱密鑰加密體制中,加(下轉第167頁)(上接第165頁)密所使用的密鑰和解密所使用的密鑰相同,或者雖不相同,但可以從其中一個密鑰推導出另一個,即發(fā)送方和接收方使用同樣密鑰。使用對稱密鑰體制不必交換加密算法,只需交換加密密鑰,因而簡化了加密過程,加解密速度快,但存在密鑰的分配、保存和管理的問題。目前廣泛應用的對稱加密算法是DES算法。(2)非對稱密鑰加密體制。在非對稱密鑰加密體制中,對信息加密和解密所使用的密鑰是不同的。并且從其中一個密鑰無法推導出另一個密鑰。非對稱密鑰加密體制解決了對稱密鑰加密體制存在的密鑰分配、保存和管理的問題,但加密算法復雜,加解密速度慢。非對稱密鑰加密體制最早的代表算法是RSA算法。由此可見,兩種加密技術各有優(yōu)缺點,在Internet開放網(wǎng)絡環(huán)境中可以互補。3、電子簽名安全技術基本的加密技術不足以保證電子商務中的交易安全,信息鑒別和身份認證技術是保證電子商務安全不可缺少的重要技術手段。認證技術是防止交易信息被篡改、刪除、重復和偽造的一種有效方法,主要有數(shù)字簽名、數(shù)字信封、數(shù)字摘要、數(shù)字時間戳、數(shù)字證書等。(1)數(shù)字簽名。數(shù)字簽名是使用某人的私鑰加密特定消息摘要散列值而得到的結果,通過這種方法把人同特定消息聯(lián)系起來,類似于手書簽名。日常生活中,通常用對某一文檔進行簽名來保證文檔的真實有效性,防止其抵賴。在網(wǎng)絡環(huán)境中,可以用電子數(shù)字簽名作為模擬。(2)數(shù)字信封。數(shù)字信封是用加密技術來保證只有規(guī)定的特定收信人才能閱讀信的內容。在數(shù)字信封中,信息發(fā)送方采用對稱密鑰來加密信息,然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱為數(shù)字信封)之后,將它和信息一起發(fā)送給接收方,接收方先用相應的私有密鑰打開數(shù)字信封,得到對稱密鑰,然后使用對稱密鑰解開信息。這種技術的安全性相當高。(3)數(shù)字摘要。數(shù)字摘要是采用單向Hash函數(shù)對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼,并在傳輸信息時將之加入文件一同送給接收方,接收方收到文件后,用相同的方法進行變換運算,若得到的結果與發(fā)送來的摘要碼相同,則可斷定文件未被篡改,反之亦然。(4)數(shù)字時間戳。在書面合同中,文件簽署的日期和簽名一樣均是防止文件被偽造和篡改的關鍵性內容。而在電子交易中,同樣需對交易文件的日期和時間信息采取安全措施,而數(shù)字時間戳服務就能提供電子文件發(fā)表時間的安全保護。(5)數(shù)字證書。在交易支付過程中,參與各方必須利用認證中心簽發(fā)的數(shù)字證書來證明各自的身份。所謂數(shù)字證書,就是用電子手段來證實一個用戶的身份及用戶對網(wǎng)絡資源的訪問權限。電子商務領域的安全問題一直是