淺談電子商務安全策略

導語：淺談電子商務安全策略一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

[摘要]隨著Internet的不斷發展，在世界范圍內掀起了一股電子商務熱潮。電子商務代表著未來貿易方式的發展方向，其應用和推廣將給社會和經濟帶來極大的效益。本文討論了電子商務應用中所存在的安全問題，對電子商務的策略和安全性技術進行了分析。

[關鍵詞]電子商務安全密碼認證協議

隨著Internet的全面普及，基于互聯網的電子商務也應運而生，電子商務是網絡技術應用的全新發展方向，電子商務自然非常便捷、高效和低成本，成為一種全新的商務模式，被許多經濟專家認為是新的經濟增長點。同時，這種電子商務模式對管理水平、信息傳遞技術都提出了更高的要求，其中安全體系的構建又顯得尤為重要，電子商務是建立在一個非常開放的互聯網基礎上，如何辨別對方身份，如何保證交易信息的安全，是大家最關心的問題。如何建立一個安全、便捷的電于商務應用環境，對信息提供足夠的保護，也已成為電子商務的核心問題。實現電子商務的關鍵是要保證商務活動過程中系統的安全性，即保證基于互聯網的電子交易過程與傳統交易的方式一樣安全可靠。

一、電子商務安全的要素

1.有效性。電子商務以電子形式取代了紙張,那么如何保證這種電子形式的貿易信息的有效性則是開展電子商務的前提。因此,要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤、黑客及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。

2.機密性。電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個開放的網絡環境上的，維護商業機密是電子商務全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。

3.完整性。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。由于數據輸入時的意外差錯、數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同，它將影響到貿易各方的交易和經營策略。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復并保證信息傳送次序的統一。

4.可靠性/不可抵賴性/鑒別。電子商務可能直接關系到貿易雙方的商業交易,如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證電子商務順利進行的關鍵。在傳統的貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據的可靠性并預防抵賴行為的發生。電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的各方提供可靠的標識。

5.審查能力。根據機密性和完整性的要求,應對數據審查的結果進行記錄。

二、電子商務安全的主要問題與技術

電子商務實質是電子方式的貿易活動，它利用簡單快捷低成本的電子通訊方式，使買賣雙方進行各種商貿活動的新型貿易形式。它不僅改變了企業本身的生產、經營、管理活動，而且將導致人類經濟、社會和文化的一次新的革命。

電子商務安全的主要問題主要有以下幾個方面的問題：

1.篡改。電子的交易信息在網絡上傳輸地過程中，可能被他人非法的修改，刪除或重放（指只能使用一次的信息被多次使用），從而使信息失去了真實性和完整性。

2.信息破壞。包括網絡硬件和軟件的問題而導致信息傳遞的丟失與謬誤；以及一些惡意程序的破壞而導致電子商務信息遭到破壞。

3.身份識別。如果不進行身份識別，第三方就有可能假冒交易一方的身份，以破壞交易，敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等。而不進行身份識別，交易的一方可不為自己的行為負責任，進行否認，相互欺詐。

4.信息泄密。主要包括兩個方面，即交易雙方進行交易的內容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。

由于電子商務涉及到金融、企業商家等各個方面的利益，它必須采用行之有效的手段來保證電子商務系統的安全運行。安全性技術是保證電子商務健康有序發展的關鍵因素，也是目前大家十分關注的問題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性，但現在幾乎網絡的各個層次都制定了安全協議和具備了相應的安全技術，以保證電子商務的安全性。電子商務的安全性策略可分為兩大部分，一部分是計算機網絡安全，第二部分是商務交易安全。電子商務中的安全性技術主要有以下幾種：

1.密碼技術。密碼技術是一種主動的信息安全防范措施，它是將明文轉換成為無意義的密文，阻止非法用戶理解原始數據，從而確保數據的保密性。

目前，獲得廣泛應用的兩種加密技術是對稱密鑰加密體制和非對稱密鑰加密體制。在對稱密鑰加密體制中，信息的發送方和接收方用一個密鑰去加密和解密數據。它的最優是加/解密速度快、參與方采用相同的加密算法共享的專用密鑰。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機密性和報文完整性就可以通過使用對稱加密方法對機密信息進行加密以及通過隨報文一起發送報文摘要或報文散列值來實現。適合于對大數據量進行加密，但密鑰管理困難。目前常用的對稱加密算法有：美國國家標準局提出DES算法、由瑞士聯邦理工學院的IDEA算法等等。非對稱密鑰加密體制，密鑰被分解為一對，并使用一對密鑰來分別完成加密和解密操作，一個公開，即公開密鑰，另一個由用戶自己秘密保存，即私用密鑰。信息發送者用公開密鑰去加密，而信息接收者則用私用密鑰去解密。公鑰機制靈活，但加密和解密速度卻比對稱密鑰加密慢得多。一般用公鑰來進行加密，用私鑰來進行簽名；同時私鑰用來解密，公鑰用來驗證簽名。算法的加密強度主要取決于選定的密鑰長度。目前常用的非對稱加密算法有：麻省理工學院的RSA算法、美國國家標準和技術協會的SHA算法等等。

2.認證技術。安全認證的主要作用是進行信息認證。信息認證的目的為:(1)確認信息發送者的身份;（2）驗證信息的完整性，即確認信息在傳送或存儲過程中未被篡改過。認證技術主要有安全認證技術和安全認證機構兩個方面。

傳統的對稱密鑰算法具有加密強度高、運算速度快的優點，但密鑰的傳遞與管理問題限制了它的一些應用。在非對稱密鑰加密體制下，算法的加密強度主要取決于選定的密鑰長度。隨著認證中心(或稱CA中心)的出現，使得開放網絡的安全問題得到了比較好的解決。所謂CA（CertificateAuthority）認證機構，它是采用PKI（PublicKeyInfrastructure）公開密鑰基礎架構技術，利用數字證書、非對稱和對稱加密算法、數字簽名、數字信封等加密技術，建立起安全程度極高的加解密和身份認證系統，確保電子交易有效、安全地進行，從而使信息除發送方和接收方外，不被其他方知悉（保密性）；保證傳輸過程中不被篡改（完整性和一致性）；發送方確信接收方不是假冒的（身份的真實性和不可偽裝性）；發送方不能否認自己的發送行為（不可抵賴性）。電子商務安全性的解決，大大地推動了電子商務的發展。在電子交易中，無論是數字時間戳服務還是數字證書的發放，都不是靠交易雙方自己能完成的，而需要有一個具有權威性和公正性的第三方來完成。CA認證機構作為權威的、可信賴的、公正的第三方機構，提供網絡身份認證服務，專門負責發放并管理所有參與網上交易的實體所需的數字證書。它作為一個權威機構，對密鑰進行有效地管理，頒發證書證明密鑰的有效性，并將公開密鑰同某一個實體（包括消費者、商戶、銀行，甚至設備、域名、IP地址等）聯系在一起。它的作用就像現實生活中頒發證件的機構，如公安機關。認證中心（CA）就是承擔網上安全交易認證服務，能簽發數字證書，并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構，主要任務是受理數字證書的申請、簽發及對數字證書的管理。

有了數字證書，你就可以以你身份在網上支持數字證書應用的場合下進行各種網上活動。比如，發送安全電子郵件，數字證書登錄系統，各種文件、表單的數字簽名，專門的數據加密等等。當然，如果證書是頒發給服務器，則可以用來保障該網站（域名）或IP的真實性。

3.安全認證協議。目前電子商務中經常使用的有安全套接層SSL（SecureSocketsLayer）協議和安全電子交易SET（SecureElectronicTransaction）協議兩種安全認證協議。

(1)安全套接層（SSL）協議。SSL協議是Netscape公司在網絡傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務器之間的安全連接技術。SSL協議的概念可以被概括為：它是一個保證任何安裝了安全套接層的客戶和服務器間事務安全的協議，該協議向基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別、數據完整性及信息機密性等安全措施。目的是為用戶提供Internet和企業內聯網的安全通信服務。

SSL協議在應用層收發數據前，協商加密算法、連接密鑰并認證通信雙方，從而為應用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應用協議（如HTTP、FTP、TELNET等）以保證應用層數據傳輸的安全性。

SSL協議握手流程由兩個階段組成：服務器認證和用戶認證。

SSL采用了公開密鑰和專有密鑰兩種加密：在建立連接過程中采用公開密鑰；在會話過程中使用專有密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和服務器間事務的安全性。

SSL協議提供“通道安全性”有以下三個性質:

a.通道是保密的。一個簡單的握手確定密鑰之后,所有的消息被加密。

b.通道是被認證的。通話的服務器端總是被認證,客戶端可選認證。

c.通道是可靠的。用MAC對傳送的消息進行完整性檢查。

中國目前多家銀行均采用SSL協議，如在目前中國的電子商務系統中能完成實時支付，用的最多的招行一網通采用的就是SSL協議。所以，從目前實際使用的情況看，SSL還是人們最信賴的協議。

（2)安全電子交易（SET）協議。SET協議是針對開放網絡上安全、有效的銀行卡交易，由維薩（Visa）公司和萬事達（Mastercard）公司聯合研制的，為Internet上卡支付交易提供高層的安全和反欺詐保證。由于它得到了IBM、HP、Microsoft等很多大公司的支持，已成為事實上的工業標準，目前已獲得IETF標準的認可。這是一個為Internet上進行在線交易而設立的一個開放的、以電子貨幣為基礎的電子付款規范。

SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證，這對于需要支付貨幣的交易來講是至關重要的。SET將建立一種能在Internet上安全使用銀行卡購物的標準。安全電子交易規范是一種為基于信用卡而進行的電子交易提供安全措施的規則，SET協議保證了電子交易的機密性、數據完整性、身份的合法性和防抵賴性，且SET協議采用了雙重簽名來保證各參與方信息的相互隔離，使商家只能看到持卡人的訂購數據，而銀行只能取得持卡人的信用卡信息。所以它是一種能廣泛應用于Internet上的安全電子付款協議，它能夠將普遍應用的信用卡的使用場所從目前的商店擴展到消費者家里，擴展到消費者個人計算機中。

4.其他安全技術。電子商務安全中，常用的方法還有網絡中采用防火墻技術、虛擬專用網（VPN）技術、防病毒保護等。如果單純依靠某個單項電子商務安全技術是不夠的，還必須與其他安全措施綜合使用才能為用戶提供更為可靠的電子商務安全基石。