關鍵詞:電子商務;安全措施;探討
1 引言
電子商務是通過電子方式處理和傳遞資料,它涉及很多方面的活動,包括貨物電子貿易和服務、線上資料傳遞、電子資金劃拔、電子證券交易、貿易拍賣、合作設計和工程、線上資料、公***品獲得等內容。電子商務的發展勢頭非常驚人,但它的產值在全球生產總值中卻只佔極小的份額,其原因就在於電子商務的安全題目,根據美國一個調查機構對近30000名因特網使用者的調查顯示,由於擔心電子商務的安全性題目,超過60%的網民不願意進行網上交易, 因此,如何建立一個安全、便捷的電子商務應用環境,對資訊提供足夠的保護,已經成為影響到電子商務健康發展的關鍵性課題。
2 電子商務對安全的要求
對電子商務活動安全性的需求以及可使用的網路安全措施,主要包含如下幾方面。
(1)如何確定通訊中的貿易伙伴的真實性?常用的處理技術是身份認證,依靠某個可信賴的機構發放證書,雙方交換資訊之前通過CA獲取對方的證書,並以此識別對方。
(2)如何保證電子單證的祕密性,防範電子單證的內容被第三方讀取?常用的處理技術是資料加密和解密。
(3)如何保證被傳輸的業務單證不會丟失,或者傳送方可以察覺所發單證的丟失?對於固定且具有頻繁貿易往來的夥伴,可以採用單證傳輸的序列性檢驗;也可採用雙方約定的方法(即在規定的時間內,通過某種方式進行確認)。
(4)如何確定電子單證的內容未被篡改;單證傳輸完整性主要採用雜湊技術來防止非法使用者對單證的篡改,通過雜湊演算法對被傳輸的單證進行處理,產生一個依靠於該單證的短小的雜湊值,並將該雜湊值附接在單證之後傳輸給接收方。以便接收方採用相同的雜湊演算法對接收的單證進行檢驗。
(5)如何確定電子單證的真實性?鑑別單證真實性的主要手段是數字簽名技術,其基礎是資料加密中的公然金鑰加密技術,實用中常結合單證完整性一起考慮,利用傳送方的金鑰對雜湊值進行加密。
(6)如何解決或者仲裁收發雙方對交換的單證所產生的爭議,包括髮方或收方可能的否認或抵賴?通常要求引進認證中心進行治理,由CA發放金鑰,傳輸的單證及其簽名的備份發至CA儲存,作為可能爭議的仲裁依據。
(7)如何保證儲存資訊的安全性?如何規範內部治理?如何使用訪問控制權限和日誌以及敏感資訊加密儲存?當使用WWW伺服器支援電子商務活動時,應留意資料的備份和恢復,並採用防火牆技術來保護內部網路的安全性。
3 電子商務採用的主要安全技術
為了確保電子商務在交易過程中資訊有效、真實、可靠且保密,目前主要採用的安全技術有加密技術、身份認證技術和交易的安全認證協議。安全認證協議用來保證電子商務中交易的安全性,如set、ssl、s/mime、s-http等。下面我們主要來先容這些技術。
3.1 加密技術
加密技術是電子商務系統所採取的最基本的安全措施,加密的主要目的是防止資訊的非授權洩漏。密碼演算法是一些數學公式、法則或程式,演算法中的可變引數是金鑰。根據密碼演算法所使用的加密金鑰和解密金鑰是否相同,能否由加密金鑰推匯出解密金鑰,可以將密碼演算法分為對稱密碼演算法和非對稱密碼演算法。一般來說,在一個加密系統中,資訊使用加密金鑰加密後,接收方使用解密金鑰對密文解密得到原文。
3.1.1 對稱加密/對稱金鑰加密
在對稱加密方法中,對資訊的加密和解密都使用相同的金鑰,即一把鑰匙開一把鎖。這樣可以簡化加密的處理,每個交易方都不必彼此研究和交換專用的加密演算法。假如進行通訊的交易各方能夠確保在金鑰交換階段未曾發生私有金鑰洩漏,那麼機密性和報文完整性就可以得以保證。這樣金鑰安全交換是關係到對稱加密有效的核心環節。而對稱加密技術存在著在通訊的交易各方之間確保金鑰安全交換的題目。對稱加密方式存在的另一個題目是無法鑑別貿易發起方或貿易終極方。由於貿易雙方共享同一把專用金鑰,貿易雙方的任何資訊都是通過這把金鑰加密後傳送給對方的。目前常用的對稱加密演算法有DES、PCR、IDEA等。其中DES使用最普遍,被採用為資料加密的標準。