淺議電子商務(wù)交易過(guò)程中的網(wǎng)絡(luò)安全技術(shù)

淺議電子商務(wù)交易過(guò)程中的網(wǎng)絡(luò)安全技術(shù)

[論文關(guān)鍵詞]電子商務(wù)信息安全數(shù)據(jù)加密數(shù)字簽名

[論文摘要]本文分析了電子商務(wù)首要的安全要素，以及將面臨的一系列安全問(wèn)題,并從網(wǎng)絡(luò)平臺(tái)和數(shù)據(jù)傳輸兩個(gè)方面完整地介紹了一些相關(guān)的安全技術(shù),通過(guò)它們來(lái)消除電子商務(wù)活動(dòng)中的安全隱患。

一、引言

隨著信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展，基于Internet的電子商務(wù)也隨之而生，并在近年來(lái)獲得了巨大的發(fā)展。電子商務(wù)作為一種全新的商業(yè)應(yīng)用形式，改變了傳統(tǒng)商務(wù)的運(yùn)作模式，極大地提高了商務(wù)效率，降低了交易的成本。然而，由于互聯(lián)網(wǎng)開(kāi)放性的特點(diǎn)，安全問(wèn)題也自始至終制約著電子商務(wù)的發(fā)展。因此，建立一個(gè)安全可靠的電子商務(wù)應(yīng)用環(huán)境，已經(jīng)成為影響到電子商務(wù)發(fā)展的關(guān)鍵性課題。

二、電子商務(wù)面臨的安全問(wèn)題

1.信息泄漏。在電子商務(wù)中主要表現(xiàn)為商業(yè)機(jī)密的泄露，包括兩個(gè)方面:一是交易雙方進(jìn)行交易的內(nèi)容被第三方竊??；二是交易一方提供給另一方使用的文件被第三方非法使用。信息被篡改。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^(guò)程中，可能被他人非法修改、刪除或被多次使用，這樣就使信息失去了真實(shí)性和完整性。身份識(shí)別。身份識(shí)別在電子商務(wù)中涉及兩個(gè)方面的問(wèn)題：一是如果不進(jìn)行身份識(shí)別，第三方就有可能假冒交易一方的身份，破壞交易、敗壞被假冒一方的信譽(yù)或盜取交易成果；二是不可抵賴(lài)性，交易雙方對(duì)自己的行為應(yīng)負(fù)有一定的責(zé)任，信息發(fā)送者和接受者都不能對(duì)此予以否認(rèn)。進(jìn)行身份識(shí)別就是防止電子商務(wù)活動(dòng)中的假冒行為和交易被否認(rèn)的行為。信息破壞。一是網(wǎng)絡(luò)傳輸?shù)目煽啃裕W(wǎng)絡(luò)的硬件或軟件可能會(huì)出現(xiàn)問(wèn)題而導(dǎo)致交易信息丟失與謬誤；二是惡意破壞，計(jì)算機(jī)網(wǎng)絡(luò)本身遭到一些惡意程序的破壞，例如病毒破壞、黑客入侵等。

三、電子商務(wù)的安全要素

1.有效性。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。因此，要對(duì)一切潛在的威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)是有效的。機(jī)密性。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。解決數(shù)據(jù)機(jī)密性的一般方法是采用加密手段。完整性。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方的差異。此外，數(shù)據(jù)傳輸過(guò)程中的丟失、重復(fù)或傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方的不同。因此，要預(yù)防對(duì)隨意生成、修改和刪除，同時(shí)要防止數(shù)據(jù)傳送過(guò)程中的丟失和重復(fù)并保證傳送次序的統(tǒng)一。不可抵賴(lài)性。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方這一問(wèn)題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在交易進(jìn)行時(shí)，交易各方必須附帶含有自身特征、無(wú)法由別人復(fù)制的信息，以保證交易后發(fā)生糾紛時(shí)有所對(duì)證。

四、電子商務(wù)采用的主要安全技術(shù)手段

1.防火墻技術(shù)。防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，用來(lái)保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，它是一種控制技術(shù)，既可以是一種軟件產(chǎn)品，又可以制作或嵌入到某種硬件產(chǎn)品中。所有來(lái)自Internet的傳輸信息或發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣，防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。實(shí)現(xiàn)防火墻技術(shù)的主要途徑有：分組過(guò)濾和代理服務(wù)。分組過(guò)濾：這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器中按網(wǎng)絡(luò)安全策略設(shè)置一張?jiān)L問(wèn)表或黑名單，即借助數(shù)據(jù)分組中的IP地址確定什么類(lèi)型的信息允許通過(guò)防火墻，什么類(lèi)型的信息不允許通過(guò)。防火墻的職責(zé)就是根據(jù)訪(fǎng)問(wèn)表對(duì)進(jìn)出路由器的分組進(jìn)行檢查和過(guò)濾。這種防火墻簡(jiǎn)單易行，但不能完全有效地防范非法攻擊。目前，80%的防火墻都是采用這種技術(shù)。代理服務(wù)：是一種基于代理服務(wù)的防火墻，它的安全性高，增加了身份認(rèn)證與審計(jì)跟蹤功能，但速度較慢。所謂審計(jì)跟蹤是對(duì)網(wǎng)絡(luò)系統(tǒng)資源的使用情況提供一個(gè)完備的記錄，以便對(duì)網(wǎng)絡(luò)進(jìn)行完全監(jiān)督和控制。通過(guò)不斷收集與積累有關(guān)出入網(wǎng)絡(luò)的完全事件記錄，并有選擇地對(duì)其中的一些進(jìn)行審計(jì)跟蹤，發(fā)現(xiàn)可能的非法行為并提供有力的證據(jù)，然后以秘密的方式向網(wǎng)上的防火墻發(fā)出有關(guān)信息如黑名單等。防火墻雖然能對(duì)外部網(wǎng)絡(luò)的功擊實(shí)施有效的防護(hù)，但對(duì)網(wǎng)絡(luò)內(nèi)部信息傳輸?shù)陌踩珔s無(wú)能為力，實(shí)現(xiàn)電子商務(wù)的安全還需要一些保障動(dòng)態(tài)安全的技術(shù)。數(shù)據(jù)加密技術(shù)。在電子商務(wù)中，數(shù)據(jù)加密技術(shù)是其他安全技術(shù)的基礎(chǔ)，也是最主要的安全措施，貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前，加密技術(shù)分為兩類(lèi)，即對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密。

(1)對(duì)稱(chēng)加密。對(duì)稱(chēng)加密又稱(chēng)為私鑰加密。發(fā)送方用密鑰加密明文，傳送給接收方，接收方用同一密鑰解密。其特點(diǎn)是加密和解密使用的是同一個(gè)密鑰。使用對(duì)稱(chēng)加密方法將簡(jiǎn)化加密的處理，每個(gè)貿(mào)易方都不必彼此研究和交換專(zhuān)用的加密算法，而是采用相同的加密算法并只交換共享的專(zhuān)用密鑰。比較著名的對(duì)稱(chēng)加密算法是：美國(guó)國(guó)家標(biāo)準(zhǔn)局提出的DES(DataEncryptionStandard，數(shù)據(jù)加密標(biāo)準(zhǔn))。對(duì)稱(chēng)加密方式存在的一個(gè)問(wèn)題是無(wú)法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因?yàn)橘Q(mào)易雙方共享同一把專(zhuān)用密鑰，貿(mào)易雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的。

(2)非對(duì)稱(chēng)加密。非對(duì)稱(chēng)加密又稱(chēng)為公鑰加密。公鑰加密法是在對(duì)數(shù)據(jù)加解密時(shí)，使用不同的密鑰，通信雙方各具有兩把密鑰，即一把公鑰和一把密鑰。公鑰對(duì)外界公開(kāi)，私鑰自己保管，用公鑰加密的信息，只能用對(duì)應(yīng)的私鑰解密。同樣地，用私鑰加密的數(shù)據(jù)只能用對(duì)應(yīng)的公鑰解密。RSA(即Rivest，ShamirAdleman)算法是非對(duì)稱(chēng)加密領(lǐng)域內(nèi)最為著名的算法。貿(mào)易方利用該方案實(shí)現(xiàn)機(jī)密信息交換的基本過(guò)程是：貿(mào)易方甲生成一對(duì)密鑰并將其中的一把作為公開(kāi)密鑰向其他貿(mào)易方公開(kāi)，得到該公開(kāi)密鑰的貿(mào)易方乙使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲；貿(mào)易方甲再用自己保存的另一把私有密鑰對(duì)加密后的信息進(jìn)行解密。貿(mào)易方甲只能用其私有密鑰解密由其公開(kāi)密鑰加密后的任何信息。為了充分發(fā)揮對(duì)稱(chēng)和非對(duì)稱(chēng)加密體制各自的優(yōu)點(diǎn)，在實(shí)際應(yīng)用中通常將這兩種加密體制結(jié)合在一起使用，比如：利用DES來(lái)加密信息，而采用RSA來(lái)傳遞對(duì)稱(chēng)加密體制中的密鑰。數(shù)字簽名技術(shù)。僅有加密技術(shù)還不足以保證商務(wù)信息傳遞的安全，在確保信息完整性方面，數(shù)字簽名技術(shù)占據(jù)著不可替代的位置。目前數(shù)字簽名的應(yīng)用主要有數(shù)字摘要、數(shù)字簽名和數(shù)字時(shí)間戳技術(shù)。

(1)數(shù)字摘要。數(shù)字摘要是對(duì)一條原始信息進(jìn)行單向哈希函數(shù)變換運(yùn)算得到的一個(gè)長(zhǎng)度一定的摘要信息。該摘要與原始信息一一對(duì)應(yīng)，即不同的原始信息必然得到一個(gè)不同的摘要。若信息的完整性遭到破壞，信息就無(wú)法通過(guò)原始摘要信息的驗(yàn)證，成為無(wú)效信息，信息接收者便可以選擇不再信任該信息。

(2)數(shù)字簽名。數(shù)字簽名實(shí)際上是運(yùn)用公私鑰加密技術(shù)使信息具有不可抵賴(lài)性，其具體過(guò)程為：文件的發(fā)送方從文件中生成一個(gè)數(shù)字摘要，用自己的私鑰對(duì)這個(gè)數(shù)字摘要進(jìn)行加密，從而形成數(shù)字簽名。這個(gè)被加密的數(shù)字簽名文件作為附件和原始文件一起發(fā)送給接收者。接收方收到信息后就用發(fā)送方的公開(kāi)密鑰對(duì)摘要進(jìn)行解密，如果解出了正確的摘要，即該摘要可以確認(rèn)原始文件沒(méi)有被更改過(guò)。那么說(shuō)明這個(gè)信息確實(shí)為發(fā)送者發(fā)出的。于是實(shí)現(xiàn)了對(duì)原始文件的鑒別和不可抵賴(lài)性。

(3)數(shù)字時(shí)間戳。數(shù)字時(shí)間戳技術(shù)或DTS是對(duì)數(shù)字文件或交易信息進(jìn)行日期簽署的一項(xiàng)第三方服務(wù)。本質(zhì)上數(shù)字時(shí)間戳技術(shù)與數(shù)字簽名技術(shù)如出一轍。加蓋數(shù)字時(shí)間戳后的信息不能進(jìn)行偽造、篡改和抵賴(lài)，并為信息提供了可靠的時(shí)間信息以備查用。

五、小結(jié)

本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù)：防火墻技術(shù)，數(shù)據(jù)加密技術(shù)，數(shù)字簽名技術(shù)，以及安全協(xié)議，指出了它們使用范圍及其優(yōu)缺點(diǎn)。但必須強(qiáng)調(diào)說(shuō)明的是，電子商務(wù)的安全運(yùn)行，僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的，還必須完善電子商務(wù)立法，以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類(lèi)問(wèn)題，從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn):

[1]謝紅燕:電子商務(wù)的安全問(wèn)題及