電子商務信息安全淺析

【摘要】本文分析了電子商務所面臨的網絡安全問題，并探討了加強網絡安全保護電子交易的相關技術與實現方式，并分析了如何在電子商務交易中避免交易抵賴行為、驗證雙方身份以及保護通信安全的相關安全措施。

【關鍵詞】電子商務 網絡安全 安全機制

一、引言

電子商務作為新經濟的代言人，集中了當今世界最先進的技術，實現著最快捷的傳播和溝通方式。在世界經濟一體化中，它改變著人們的思維觀念、消費方式和創業模式。電子商務的出現和發展讓所有的傳統產業面臨著巨大的挑戰，以互聯網為代表的新經濟必將成為未來社會發展的主流。

由于因特網的開放性，網絡安全問題也越來越引起人們的普遍關注。據報道，中國已經成為受到互聯網攻擊最嚴重的國家。而電子商務往往和金融系統有著千絲萬縷的聯系，因而也成為了網絡黑客重點攻擊的目標。據權威機構調查表明，國內電子商務發展的最大隱患就是網絡交易的安全問題。這也是當前發展電子商務最迫切需要解決的問題。

二、電子商務安全問題

在電子商務領域，最核心的安全問題就是電子交易的安全。如何解決電子交易過程中所面臨的身份驗證、保護信息機密性、防止信息的非法篡改以及防止交易抵賴等問題，成為了保護電子交易安全的關鍵問題。

（一）身份驗證

在傳統交易方式中，驗證雙方的真實身份并不是一件非常困難的事情。交易是雙方面對面所進行的的活動，因此可以通過查看身份證、出示交易印章等方式驗證對方的真實身份。但是在電子交易環境中，雙方未曾謀面、相隔遙遠，更容易出現假冒、欺詐等違法行為。因此電子商務安全的首要問題就是驗證交易雙方的身份。

（二）信息機密性

電子商務的交易過程通常都是直接在互聯網上進行的，如前所述互聯網的開放性雖然帶來通信與交流的便捷，但也給黑客提供了竊取個人或組織機密信息的可能性。當電子交易雙方通過網絡交換信息的時候，他們之間傳遞的機密信息就有可能竊取。進而威脅到個人的隱私或企業單位的經濟利益，甚至可能導致商業的巨額損失。因此電子交易雙方必須解決如何保護傳遞的敏感信息，使黑客即使截獲了數據也無法破譯，進而無法獲得真實的通信內容。

（三）信息完整性

在電子商務交易過程中，攻擊者除了可以破譯通信內容，直接威脅通信的機密性之外，還可以通過篡改通信內容實現網絡的主動攻擊。通過篡改通信內容，是交易雙方產生誤判，從而使攻擊者實現非法目的。因此電子交易雙方如何鑒別通信數據是否被篡改過，也成為了保護通信安全的一個重要環節。

（四）信息的不可抵賴性

在商務活動中，商業形式千變萬化，為了防止交易雙方的抵賴行為，人們往往要訂立合同，在合同內明確雙方同意的條款內容，并要求雙方簽字蓋章。這些手段都是為了防止交易抵賴。但這樣的手段在電子交易中就無法實施。電子交易的雙方由于互不見面，某方完全有可能出于個人的私利，否認參與過整個交易過程。從而使對方遭受巨大的經濟損失。因此，如何防止交易抵賴，保證交易的嚴肅性和公正性，成為電子商務發展所亟待解決的急切問題。

三、電子商務的安全機制

（一）對稱和非對稱加密機制

為了保護電子交易的機密性，我們必須對雙方的數據進行加密，防止被截獲的數據被輕松破譯。加密算法有對稱和非對稱兩種。對稱加密算法主要特點是：電子交易雙方都必須要擁有共同的共享密鑰（即加密密鑰和解密密鑰相同），并且對稱加密算法的運算速度很高，適合大量數據的加密和解密工作。但是對稱算法存在的一個重大問題在于：如何安全的傳遞密鑰給通信對方。因為共享密鑰是需要在不安全的互聯網上直接傳遞的，如果密鑰被截獲，那整個加密體制就完全崩潰。

非對稱加密機制是利用兩個不同的密鑰來完成數據的加密和解密工作（即公約和私鑰），公約和私鑰是成對產生的，但公約和私鑰相互之間無法直接推算出來。因此，為了保護信息的機密性，我們如果公約來加密的數據，則必須用相應的私鑰才能解密；反之，用私鑰來加密的數據則只能用對應的公約來解密。公約是完全公開的，任何人均可以獲得，而私鑰則必須由持有人妥善保管。這樣的非對稱機制的主要特點在于，為了保護信息的機密性，發送方用對方的公約加密，接收方用自己的私鑰解密，在加密數據的傳遞過程中，即使被截獲，截獲者也因為無法獲得接受者的私鑰而無法解密。同時非對稱機制可鑒別發送方的身份，使交易不可抵賴，發送方需要用自己的私鑰加密數據，將加密數據傳遞給接收方。接收方如果能夠用發送方的公鑰解密，則可以充分證明這些數據一定是來自發送方，而不是某個自稱發送方的假冒者，因為用發送方的公約能夠解密，則完全可以說明數據一定是發送方的私鑰加了密。而發送方的私鑰只有持有人才知道，因而可以推導出這些數據一定是發送方本人親自發送的。從而有效地解決了身份驗證和防止交易抵賴問題。

但非對稱體制的缺點在于，加密和解密的運算量非常大，計算速度往往比對稱體制慢上百倍。因此實際在電子商務應用中，往往是把對稱和非對稱加密體制結合起來使用，即發送方用對稱體制的共享密鑰對數據加密，然后用非對稱體制的接收方的公鑰對共享密鑰加密，然后傳給接收方，接收方用自己的私鑰將共享密鑰解密，再用共享密鑰對大量的數據解密。

這樣的安全設計，既充分發揮了對稱體制運算速度快的優勢，也利用了非對稱傳遞數據安全的優勢。

（二）散列運算防止信息被篡改

為了防止信息被篡改，發送方需要對數據進行散列運算，將散列值（即摘要）連同數據本身發給對方，接收方也將數據重新計算散列值，并將新散列值與傳遞而來的散列值對照，如果兩個散列值相同，則證明數據在傳遞過程中沒有被篡改。因此接受方只要對照散列值，就可以判斷信息是否被篡改過。從而有效地解決了信息的完整性問題。

四、結論

通過分析可知，為了保證電子交易的機密性、完整性和身份驗證以及防止交易抵賴，我們可以采用綜合運用對稱和非對稱加密體制以及散列運算，從而讓電子交易能夠在安全有保證的環境中進行。

參考文獻

[1]宋劍杰，陳春橋.電子商務項目化教程[M].北京：北京交通大學出版社，2011，234-271.

[2]馮思泉，藺玉珂.網絡操作系統項目教程[M].北京：中國水利水電出版社，2014，157-166.

[3]李玉海，桂學勤.電子商務安全問題及其解決方案[J].電子商務，2006，12：51-55.

[4]劉俊杰，閆宏生.電子商務安全技術淺析[J].科技信息，2011，26：84-95.

作者簡介：劉蔚洋（1982-），女，重慶人，助教，管理學士，主要研究方向：電子商務。