近年來,隨著因特網的普及日漸迅速,電子交易開始融入人們的日常生活中,網上訂貨、網上繳費等眾多電子交易方式為人們創造了便利高效的生活方式,越來越多的人開始使用電子商務網站來傳遞各種資訊,並進行各種交易。電子商務網站傳遞各種商務資訊依靠的是網際網路,而網際網路是一個完全開放的網路,任何一臺計算機、任何一個網路都可以與之相連。它又是無國界的,沒有管理權威,“是世界唯一的無政府領地”,因此,網上的安全風險就構成了對電子商務的安全威脅。
一 、電子商務資訊的安全要素
1.機密性
傳統的貿易大多是通過書信或者可靠的通訊渠道來發送商業文件,雖然速度和效率都不高,但卻能達到保密的目的,而電子商務是在開放的網路環境下進行的,因此要預防非法的資訊存取和資訊在傳輸過程中被非法竊取,所以保證電子商務資訊的機密性就變得非常重要。
2.完整性
電子商務極大地簡化了傳統貿易過程,減少了認為的干預,同時也伴隨著貿易各方商業資訊的完整、同一問題。由於資料錄入時合法或非法的行為,可能導致貿易資料的差異。資訊在傳輸的過程中也有可能造成資訊的丟失、重複或次序的差異。因此要預防對資訊的各種非法操作,保證資料在傳送的過程中完整性。
3.認證性
網路環境是一個虛擬的環境,而電子商務就是在這個虛擬平臺上進行的,貿易雙方一般都不見面,需要一些技術和策略來進行身份確認。當個人或實體聲稱身份時,電子商務服務需要提供一種方式來進行身份認證。
4.有效性
在交易的過程中貿易雙方需要確定很多資訊,電子商務以電子形式取代了紙張來確認這此資訊,保證謝謝資訊的有效性是開展電子商務的前提。因此要對網路故障、硬體故障、系統軟體錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易資料在確定的時刻和地點是有效的。
二、電子商務網路的安全隱患
1.竊取資訊
(1)交易雙方進行交易的內容被第三方竊取。(2)交易一方提供給另一方使用的檔案被第三方非法使用。
2.篡改資訊
電子的交易資訊在網路傳輸的過程中,可能被他人非法的修改、刪除這樣就使資訊失去了真實性和完整性。
3.假冒
第三方可以冒充合法使用者傳送假冒的資訊或者主動獲取資訊,有可能假冒一方的信謄或盜取被假冒一方的交易成果等。
4.惡意破壞
由於攻擊者可以接入網路,則可能對網路中的資訊進行修改,掌握網上的機要資訊,甚至可以潛入網路內部,破壞網路的硬體或軟體而導致交易資訊傳遞丟失與謬誤。計算機網路本身容易遭到一些惡意程式的'破壞,而使電子商務資訊遭到破壞。
三、電子商務安全中的幾種技術手段
1.防火牆(FireWall)技術
防火牆是一種隔離控制技術,在某個機構的網路和不安全的網路(如Internet)之間設定屏障,阻止對資訊資源的非法訪問,也可以使用防火牆阻止專利資訊從企業的網路上被非法輸出。
2.加密技術
資料加密技術是電子商務中採取的主要安全措施,貿易方可根據需要在資訊交換的階段使用。在網路應用中一般採取兩種加密形式:對稱加密和非對稱加密,採用何種加密演算法則要結合具體應用環境和系統,而不能簡單地根據其加密強度來做出判斷。
(1)對稱加密
在對稱加密方法中,對資訊的加密和解密都使用相同的金鑰。也就是說,一把鑰匙開一把鎖。這種加密演算法可簡化加密處理過程,貿易雙方都不必彼此研究和交換專用的加密演算法,如果進行通訊的貿易方能夠確保私有金鑰在交換階段未曾洩露,那麼機密性和報文完整性就可以得到保證。不過,對稱加密技術也存在一些不足,如果某一貿易方有n個貿易關係,那麼他就要維護n個私有金鑰。對稱加密方式存在的另一個問題是無法鑑別貿易發起方或貿易最終方。因為貿易雙方共享一把私有金鑰。目前廣泛採用的對稱加密方式是資料加密標準(DES),它主要應用於銀行業中的電子資金轉賬(EFT)領域。DES對64位二進位制資料加密,產生64位密文資料。使用的金鑰為64位,實際金鑰長度為56位(8位用於奇偶校驗)。解密時的過程和加密時相似,但金鑰的順序正好相反。
(2)非對稱加密/公開金鑰加密
在Internet中使用更多的是公鑰系統,即公開金鑰加密。在該體系中,金鑰被分解為一對:公開金鑰PK和私有金鑰SK。這對金鑰中的任何一把都可作為公開金鑰(加密金鑰)向他人公開,而另一把則作為私有金鑰(解密金鑰)加以儲存。公開金鑰用於加密,私有金鑰用於解密,私有金鑰只能由生成金鑰對的貿易方掌握,公開金鑰可廣泛釋出,但它只對應於生成該金鑰的貿易方。在公開金鑰體系中,加密演算法E和解密演算法D也都是公開的。雖然SK與PK成對出現,但卻不能根據PK計算出SK。
常用的公鑰加密演算法是RSA演算法,加密強度很高。具體做法是將數字簽名和資料加密結合起來。傳送方在傳送資料時必須加上數字簽名,做法是用自己的私鑰加密一段與傳送資料相關的資料作為數字簽名,然後與傳送資料一起用接收方金鑰加密。這些密文被接收方收到後,接收方用自己的私鑰將密文解密得到傳送的資料和傳送方的數字簽名,然後用釋出方公佈的公鑰對數字簽名進行解密,如果成功,則確定是由傳送方發出的。由於加密強度高,而且不要求通訊雙方事先建立某種信任關係或共享某種祕密,因此十分適合Internet網上使用。
3.數字簽名
數字簽名技術是實現交易安全核心技術之一,它實現的基礎就是加密技術。以往的書信或檔案是根據親筆簽名或印章來證明其真實性的。但在計算機網路中傳送的報文又如何蓋章呢?這就是數字簽名所要解決的問題。數字簽名必須保證以下幾點:接收者能夠核實傳送者對報文的簽名;送者事後不能抵賴對報文的簽名;接收者不能偽造對報文的簽名。現在己有多種實現數字簽名的方法,採用較多的就是公開金鑰演算法。
4.數字證書
(1)認證中心
在電子交易中,數字證書的發放不是靠交易雙方來完成的,而是由具有權威性和公正性的第三方來完成的。認證中心就是承擔網上安全電子交易認證服務、簽發數字證書並確認使用者身份的服務機構。
(2)數字證書
數字證書是用電子手段來證實一個使用者的身份及他對網路資源的訪問許可權。在網上的電子交易中,如雙方出示了各自的數字證書,並用它來進行交易操作,那麼交易雙方都可不必為對方身份的真偽擔心。
5.訊息摘要(Message Digest)
訊息摘要方法也稱為Hash編碼法或MDS編碼法。它是由Ron Rivest所發明的。訊息摘要是一個惟一對應一個訊息的值。它由單向Hash加密演算法對所需加密的明文直接作用,生成一串128bit的密文,這一串密文又被稱為“數字指紋”( Finger Print )。所謂單向是指不能被解密,不同的明文摘要成密文,其結果是絕不會相同的,而同樣的明文其摘要必定是一致的,因此,這串摘要成為了驗證明文是否是“真身”的數字“指紋”了。
結語:本文分析了目前電子商務的安全需求,使用的安全技術及仍存在的問題,並指出了與電子商務安全有關的協議技術使用範圍及其優缺點,但必須強調說明的是,電子商務的安全執行,僅從技術角度防範是遠遠不夠的,還必須完善電子商務立法,以規範飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。