淺析電子商務的安全及認證機制

[摘 要] 本文主要針對電子商務中交易雙方所面臨的各種潛在風險，從安全技術和認證技術的角度分析和探討了電子商務安全技術體系結構，揭示其各安全技術間的層次關系，并介紹了相應的對應策略——安全及認證機制。

[關鍵詞] 信息安全 機制 電子商務

一、電子商務安全概述

隨著Internet技術的迅猛發展，任何人都可以合法地自由的進入因特網進行各種商務活動，當然，這其中有可能包括一些惡意的行為。調查顯示，近年來，通過網絡進行的電子商務方面的金融犯罪有上升的趨勢，目前我國發生的通過網絡進行的電子商務金融犯罪多達200多起，經濟損失已達上億元。大多數電子商務用戶不使用網絡進行商務活動，沒有別的原因，主要是對網上交易及支付信息的安全有所擔心。可以說網絡信息安全問題成為電子商務發展的一個瓶頸，是電子商務發展面臨和必須盡快解決的一個大問題。

另外，我國的大多數電子商務企業的安全意識不強。在建立商務網站和商務活動管理中，考慮比較多的是效益、方便、快捷，而忽視了系統的安全、保密、抗攻擊功能，也間接導致了電子商務的脆弱和難以維護。

二、電子商務及其存在的問題

電子商務是指利用簡單快捷低成本的電子通訊方式，使買賣雙方進行各種商貿活動的新型貿易形式。它改變了傳統的貿易形式，不僅改變了企業本身的生產、經營、管理活動，而且將導致人類經濟、社會和文化的一次新的革命。但目前電子商務的發展中還存在許多問題：

1.安全協議問題：對安全協議還沒有全球性的標準和規范，相對制約了國際性的商務活動。

2.安全管理問題：在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

3.電子商務沒有真正深入商務領域而僅僅局限于信息領域。

4.傳輸安全問題：指電子商務運行過程中，物流、資金流匯成信息流后動態傳輸過程中的安全，其安全隱患主要包括網上詐騙和否認發出信息等。

三、電子商務的信息安全需求

通過分析，在電子商務信息的安全顯得尤其重要。它有以下幾方面的需求：

1.信息的保密性。電子商務是建立在一個開放性很強的網絡環境中，維護商業機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取，保密性一般通過密碼技術對傳輸的信息進行加密處理來實現。

2.信息的完整性。電子商務帶來方便快捷的同時，也帶來了一些新的問題，比如傳輸信息的完整性和統一性問題；另外，網絡信息在傳輸中的部分內容丟失或在目的方信息重組時出現差錯也有可能影響商務活動的正常進行。

3.信息的真實性。電子商務活動中涉及到的信息都應是真實的。包括交易雙方身份的真實性和商務信息的真實性。即要提供能對這種信息真實性進行鑒別的機制。

4.信息的不可抵賴性。要在商務活動進行的過程中提供某種機制，對參與商務活動雙方進行的活動進行日志，以避免某一方對自己以前的某些行為進行否認。

5.信息的有效性。

四、電子商務中的安全機制

1.數據加密技術。面向網絡的加密技術是目前較為流行的加密技術，例如使用kerberos服務的telnet、nfs、rlogion等，以及用作電子郵件加密的pem（privacy enhanced mail）和pgp（pretty good privacy）。這一類加密技術的優點在于實現相對較為簡單，不需要對電子信息（數據包）所經過的網絡的安全性能提出特殊要求，對電子郵件數據實現了端到端的安全保障。具體有對稱密鑰密碼技術、不對稱型加密技術和不可逆加密技術。

2.安全協議。電子商務最常見的安全協議有SSL及SET兩種。SSL協議獨立于應用層協議，在電子交易中被用來安全傳送信用卡號碼。SET妥善地解決了信用卡在電子商務交易中的交易協議、信息保密、資料完整以及身份認證等問題。

3.防火墻技術。防火墻是網絡安全策略的有機組成部分，它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。

4.健全的法律法規。國家需要建立電子商務發展所需的政策和相應的法律、法規等，從大環境上杜絕非法客戶的非法操作。

五、電子商務中的認證機制

安全認證技術是為了保證電子商務活動中的交易雙方身份及其所用文件真實性的必要手段。

1.數字摘要。又稱安全Hash編碼法，采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文，該密文亦稱為數字指紋(Finger Print)，它有固定的長度，且不同的明文摘要成密文是不同的，而同樣的明文其摘要必定一致。

2.數字簽名。數字簽名可以保證身份的精確性，分辨參與者所聲稱身份的真偽，防止偽裝攻擊。特別是避免通信雙方發生如下安全問題：否認、偽造、冒充、篡改。

3.數字時間戳。數字時間戳就是一種能夠提供電子文件的日期和時間信息的安全保護的技術，人們可以依賴它來確定電子文檔在何時創建和簽署的。這對于那些對時間敏感的技術專利、機密文件、網上交易來說是非常重要的。

4.CA認證。在電子商務系統中，所有實體的證書都是由證書授權中心，即CA中心分發并簽名的，一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。

六、結束語

目前，基于Internet的電子商務應用還剛剛開始，許多方面都還不夠完善，僅從技術角度防范是遠遠不夠的，電子商務對計算機網絡安全與商務安全的雙重要求，使電子商務安全的復雜程度比大多數計算機網絡更高，因此電子商務安全應作為安全工程，而不是解決方案來實施。

參考文獻：

[1]李 浩:電子商務中電子支付及其安全問題[J].天津職業院校聯合學報，2008(5)

[2]姜 華 楊 靜:電子商務的網上支付與安全[J].中國管理信息化，2006（4）

[3]徐雪梅:淺談保障電子商務活動中的信息安全[J].科技情報開發與經濟，2003（5）