【摘 要】電子商務安全是電子商務活動的基礎和關鍵。文章從電子商務所面臨的安全威脅入手，提出了開展電子商務活動必須滿足的安全需求，最后探討了電子商務安全解決方案及其實現技術。

【關鍵詞】電子商務安全；加密；數字簽名；認證；協(xié)議

隨著網絡通信技術的迅猛發(fā)展和Internet的不斷普及，電子商務作為一種新型的商務模式，在全球范圍內正以驚人的速度迅猛發(fā)展。然而由于它是基于Internet開展的商務活動，大量重要的信息都需要在互聯(lián)網上進行傳遞，尤其還涉及到資金的流動，必然要求傳遞信息的過程足夠安全。因此如何保障交易過程和傳遞信息的安全性就成為影響電子商務發(fā)展的一個至關重要的問題，也是技術難點。

一、電子商務的安全威脅

電子商務是基于網絡信息傳輸的，依靠從信息終端之間信息的傳遞完成商務交易。與傳統(tǒng)商務的面對面交易不同，電子商務的安全就是要確保這些信息的傳遞是穩(wěn)定的、完整的、可靠的、保密的，是反映信息發(fā)送者的真實意愿的。而威脅互聯(lián)網安全的因素很多。

1.截獲

攻擊者獲取了對資源的訪問權，這是對機密性的攻擊。例如，在網絡上搭線或安裝電磁波截獲裝置以獲取銀行賬號、用戶密碼等有用數據。

2.篡改

攻擊者不僅獲得了訪問權而且篡改了某些資源，這是對完整性的攻擊。例如，修改資金額度、貨物數量、商品價格等交易信息。

3.偽造

攻擊者將偽造的對象插入系統(tǒng)，這是對真實性的攻擊。例如，冒充合法用戶進行交易，給合法用戶造成損失。

4.否認或抵賴

商家或用戶否認自己曾經發(fā)送或接收到信息，這是對不可抵賴性的攻擊。例如，合法用戶可能會賴賬，商家也有可能因為商品價格差而不承認原有交易。

二、電子商務的安全需求

在電子商務面臨上述安全隱患的情況下，要在因特網中建立并維持一個令人可以信任的環(huán)境和機制，也為了保障交易各方的合法權益，需要滿足以下幾個方面的安全需求。

1.信息的機密性

信息的機密性或稱保密性是指信息在網絡上傳送或存儲的過程中不被他人竊取、不被泄露或披露給未經授權的人或組織，或者經過加密偽裝后，使未經授權者無法了解其內容。機密性可用加密和信息隱匿技術實現，使截獲者不能解讀加密信息的內容。機密性的另一方面是保護通信流特性以防止被分析。

2.信息的完整性

信息的完整性或稱正確性是保護數據不被偽授權者修改、建立、嵌入、刪除、重復傳送或由于其他的原因使原始數據被更改。在存儲時，要防止非法篡改，防止網站上的信息被破壞。在傳輸過程中，如果接收方收到的信息與發(fā)送方的信息完全一樣則說明在傳輸過程中信息沒有遭到破壞，具有完整性。針對信息的完整性，目前的主要措施是通過散列算法（也稱消息摘要算法）來檢查信息的完整性。

3.商務對象的認證性

商務對象的認證性是指網絡兩端的使用者在溝通之前相互確認對方的身份，保證身份的正確性。分辨參與者聲稱身份的真?zhèn)?，防止偽裝攻擊。認證性采用由認證中心向各交易主體發(fā)放數字證書并進行驗證。

4.信息的不可抵賴性

信息的不可抵賴性是指信息的發(fā)送方不能否認已發(fā)送的信息，信息的接受方不能否認已收到的信息。這是一種法律有效性要求。交易一旦達成是不能被否認的。否則必然會損害一方的利益。目前的主要措施是采用數字簽名技術。

三、電子商務安全技術

1.加密技術

加密技術是電子商務的最基本信息安全防范措施，其原理是利用一定的加密算法，將明文轉換成難以識別和理解的密文并進行傳輸，從而確保數據的機密。主要有對稱加密技術、非對稱加密技術和數字信封技術。

（1）對稱加密技術

對稱加密技術，即信息的發(fā)送方和接收方用一個密鑰去加密和解密數據，也就是說加密和解密用同一個密鑰。它要求發(fā)送方、接收方在安全通信之前，商定一個密鑰，對稱密鑰算法的安全性依賴于密鑰，泄露密鑰就意味著任何人都能對消息進行加、解密。只要通信需要保密，密鑰就必須保密。它的最大優(yōu)勢是加、解密速度快，便于用硬件實現、適合于對大數據量進行加密等，但密鑰管理困難。

（2）非對稱加密技術

非對稱加密技術就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”。“公鑰”和“私鑰”不能由一個推出另一個，但是“公鑰”加密的信息只能由“私鑰”解密，反之亦然。非對稱密鑰機制靈活，但加密和解密速度比對稱密鑰加密慢得多，所以它不適合于對文件進行加密，而只適用于對少量數據進行加密。

（3）數字信封技術

鑒于對稱加密技術和非對稱加密技術各自的特點，在實際應用中將兩種加密技術結合使用，從而獲得對稱加密技術的高效性和非對稱加密技術的靈活性。這種把對稱加密技術和非對稱加密技術結合使用的技術稱數字信封技術。

2.數字簽名技術

數字簽名技術主要解決電子商務中信息的不可抵賴性問題。其工作原理是：將報文按雙方約定的HASH算法計算，得到一個固定位數的HASH值，在數學上保證只要改動報文的任何一位，重新計算出的HASH值就會與原值不符。然后把該HASH值用發(fā)送者的私鑰加密，然后將該密文同原報文一起發(fā)送給接收者，產生的報文即數字簽名。接收方收到數字簽名后，用同樣的HASH算法對報文計算HASH值，然后與用發(fā)送者的公鑰進行解密解開的HASH值進行比較，如相等則說明報文確實來自發(fā)送者從而保證了數據的真實性。通過數字簽名還能夠實現對原信息的鑒別，從而保證信息在傳輸過程中的信息完整性和信息發(fā)送方的不可抵賴性。

3.認證技術

對數字簽名和公開密鑰加密技術來說，都會面臨公鑰的分發(fā)問題。這就要求管理公鑰的系統(tǒng)必須是值得信賴的，數字證書就是解決這一問題的有效方法。它通常是一個簽名文檔，標記特定對象的公開密鑰。由認證中心CA簽發(fā)，CA通常是一個服務性機構，主要任務是受理數字證書的申請、簽發(fā)和管理數字證書，是一個普遍可信的第三方。當通信雙方都信任同一個CA時，兩者就可以相互得到對方的公鑰從而能進行秘密通信、數字簽名和認證。

4.數字時間戳技術

在電子商務交易中，時間是十分重要的信息。數字時間戳服務DTS就是為電子文件的時間信息進行安全保護的網上安全服務項目。時間戳是經過加密后形成的文檔，它包括三部分內容：①需加時間戳的文件的摘要；②DTS收到文件的日期和時間；③DTS的數字簽名。

5.與電子商務安全有關的協(xié)議技術

（1）SSL-安全套接層協(xié)議

SSL協(xié)議是Netscape公司在網絡傳輸層之上提供的一種基于RSA和加密密鑰的用于瀏覽器和Web服務器之間的安全連接技術。它在應用層收發(fā)數據前，協(xié)商加密算法、連接密鑰并認證通信雙方，從而為應用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應用協(xié)議以保證應用層數據傳輸的安全性。SSL協(xié)議獨立于應用層協(xié)議，且被大部分的瀏覽器和Web服務器所內置，便于在電子交易中應用，因此，在電子交易中被用來安全傳送信用卡號碼。國際著名的CyberCash信用卡支付系統(tǒng)就支持這種簡單加密模式，IBM等公司也提供了這種簡單加密模式的支付系統(tǒng)。

但SSL協(xié)議它是一個面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務器間的雙方認證，而電子商務往往是用戶、網站、銀行三家協(xié)作完成，SSL協(xié)議并不能協(xié)調各方間的安全傳輸和信任關系。因此，為了實現更加完善的電子交易，制訂發(fā)布了SET協(xié)議。

（2）SET-安全電子交易協(xié)議

SET協(xié)議是目前唯一保證信用卡信息能安全可靠地通過因特網傳輸的新協(xié)議。它為在Internet上進行安全的電子商務活動提供了一個開放的標準，為Internet上支付交易提供高層的安全和反欺詐保證。SET協(xié)議為基于信用卡進行電子交易的應用提供了安全措施，保證了電子交易的機密性、數據完整性、身份的合法性和抗否認性。SET是專門為電子商務而設計的協(xié)議，它在很多方面優(yōu)于SSL協(xié)議，但仍不能解決電子商務所遇到的全部問題。

四、結束語

電子商務安全是電子商務活動的核心，我們要堅持引進和吸收的原則，組織各方面力量，研制和開發(fā)出具有自主知識產權的網絡安全和電子商務安全產品，逐步掌握電子商務安全的核心技術，我國的電子商務安全現狀一定會得到極大的改善，從而為我國電子商務的發(fā)展創(chuàng)建良好的安全環(huán)境。

參考文獻：

[1]陳建斌.電子商務與電子政務[M].北京:機械工業(yè)出版社，2008.

[2]楊愛民.電子商務安全現狀及對策探討[J].科技資訊，2006(6).

[3]張斌.電子商務中的信息安全[J].晉中師范高等?？茖W校學報，2003(2).