关键词:电子商务;安全措施;探讨
1 引言
电子商务是通过电子方式处理和传递数据,它涉及很多方面的活动,包括货物电子贸易和服务、在线数据传递、电子资金划拔、电子证券交易、贸易拍卖、合作设计和工程、在线资料、公***品获得等内容。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的份额,其原因就在于电子商务的安全题目,根据美国一个调查机构对近30000名因特网用户的调查显示,由于担心电子商务的安全性题目,超过60%的网民不愿意进行网上交易, 因此,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。
2 电子商务对安全的要求
对电子商务活动安全性的需求以及可使用的网络安全措施,主要包含如下几方面。
(1)如何确定通讯中的贸易伙伴的真实性?常用的处理技术是身份认证,依靠某个可信赖的机构发放证书,双方交换信息之前通过CA获取对方的证书,并以此识别对方。
(2)如何保证电子单证的秘密性,防范电子单证的内容被第三方读取?常用的处理技术是数据加密和解密。
(3)如何保证被传输的业务单证不会丢失,或者发送方可以察觉所发单证的丢失?对于固定且具有频繁贸易往来的伙伴,可以采用单证传输的序列性检验;也可采用双方约定的方法(即在规定的时间内,通过某种方式进行确认)。
(4)如何确定电子单证的内容未被篡改;单证传输完整性主要采用散列技术来防止非法用户对单证的篡改,通过散列算法对被传输的单证进行处理,产生一个依靠于该单证的短小的散列值,并将该散列值附接在单证之后传输给接收方。以便接收方采用相同的散列算法对接收的单证进行检验。
(5)如何确定电子单证的真实性?鉴别单证真实性的主要手段是数字签名技术,其基础是数据加密中的公然密钥加密技术,实用中常结合单证完整性一起考虑,利用发送方的密钥对散列值进行加密。
(6)如何解决或者仲裁收发双方对交换的单证所产生的争议,包括发方或收方可能的否认或抵赖?通常要求引进认证中心进行治理,由CA发放密钥,传输的单证及其签名的备份发至CA保存,作为可能争议的仲裁依据。
(7)如何保证存储信息的安全性?如何规范内部治理?如何使用访问控制权限和日志以及敏感信息加密存储?当使用WWW服务器支持电子商务活动时,应留意数据的备份和恢复,并采用防火墙技术来保护内部网络的安全性。
3 电子商务采用的主要安全技术
为了确保电子商务在交易过程中信息有效、真实、可靠且保密,目前主要采用的安全技术有加密技术、身份认证技术和交易的安全认证协议。安全认证协议用来保证电子商务中交易的安全性,如set、ssl、s/mime、s-http等。下面我们主要来先容这些技术。
3.1 加密技术
加密技术是电子商务系统所采取的最基本的安全措施,加密的主要目的是防止信息的非授权泄漏。密码算法是一些数学公式、法则或程序,算法中的可变参数是密钥。根据密码算法所使用的加密密钥和解密密钥是否相同,能否由加密密钥推导出解密密钥,可以将密码算法分为对称密码算法和非对称密码算法。一般来说,在一个加密系统中,信息使用加密密钥加密后,接收方使用解密密钥对密文解密得到原文。
3.1.1 对称加密/对称密钥加密
在对称加密方法中,对信息的加密和解密都使用相同的密钥,即一把钥匙开一把锁。这样可以简化加密的处理,每个交易方都不必彼此研究和交换专用的加密算法。假如进行通讯的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄漏,那么机密性和报文完整性就可以得以保证。这样密钥安全交换是关系到对称加密有效的核心环节。而对称加密技术存在着在通讯的交易各方之间确保密钥安全交换的题目。对称加密方式存在的另一个题目是无法鉴别贸易发起方或贸易终极方。由于贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。目前常用的对称加密算法有DES、PCR、IDEA等。其中DES使用最普遍,被采用为数据加密的标准。
