浅议电子商务安全解决方案

来源:用户上传      作者: 王 莹

　　 [摘 要]本文首先介绍了电子商务的含义,对其在使用中存在的安全隐患进行了分析,并提出了相关的解决措施。
　　[关键词]电子商务 数字签名 安全协议 数字签名 证书
　　
　　一、引言
　　
　　电子商务(Electronic Commerce)是指买卖双方之间利用计算机网络,按照一定的标准所进行的各类商贸活动。这里的“买卖双方”、“利用计算机网络”、“按照一定的标准”和“进行商贸活动”都具有丰富的含义。参与电子商务同样是买方和卖方。买方包括购买物品和服务的消费者,以及购买劳动力、资金和原材料的厂商。卖方包括出售商品和服务的厂商、出卖劳动力的工人等。电子商务是最先进的买卖方式,这种买卖方式是依托因特网而开展的。入网用户将自己的各类供求意愿按照一定的格式输入电子商务系统,该系统根据用户的要求,寻找相关信息,提供给用户多种买卖选择,一旦用户确认,电子商务系统就会协助完成合同的签订、分类、传递和款项收付等全套业务。这就为卖方以较高的价格卖出产品,买方以较低的价格购入商品原材料提供了一条非常好的途径。电子商务的应用,有助于降低交易成本,改善服务质量,提高企业的竞争力。真正的电子商务交易的实现,需要一定的交易标准作保证。这里面,包括执行国际通用的SSL、SET标准,也包括根据我国实际情况制定的参与交易的企业资信认证标准、产品认证标准、标准电子合同、电子签名标准等。只有形成了一整套电子商务交易的标准体系,才能有效地保证电子商务安全、可靠、顺畅地进行。
　　电子商务的兴起,既带来了便利和机会,也带来了新的问题,特别是安全性问题被提到了首要位置。一般来讲,网上信息的安全交流必须实现:信息保密性、信息真实完整性、不可抵赖性。通常采用的网络安全方法有三大类以防火墙技术为代表的被动防卫型,建立在数据加密、用户授权确认机制基础上的开放型网络安全保障技术以及融合这两种方法以防火墙和数据加密用户授权相结合的综合安全体系。为实现以上信息安全要求,本文提出了在通信传输中采用更强的加密算法、数字签名、安全协议和数字证书等主要的方法。
　　
　　二、电子商务中存在的安全问题
　　
　　电子商务安全从整体上可以分为两大部分:计算机网络安全和电子商务交易安全。
　　1.计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
　　2.电子商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
　　计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
　　电子商务安全中存在的安全问题主要有以下四种类型:
　　1.冒充用户合法的身份。非法用户盗用合法用户的信息,冒充其身份与他人进行交易,损坏了被冒充的合法用户权益,使得交易失去可靠性。
　　2.破坏网络传输数据的保密性。非法用户通过不正当手段,利用数据在网络传输的过程, ,非法拦截数据并使用,导致合法用户的数据丢失。
　　3.损害网络传输数据的完整性。非法用户对截获的网络数据进行恶意篡改,如添加、减少、删除及修改。
　　4.恶意攻击网络硬件和软件,导致商务信息传递的丢失、破坏。例如,非法用户利用截获的网络数据包再次发送,攻击对方的计算机。
　　
　　三、电子商务安全问题的解决措施
　　
　　1.加密技术
　　加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法,将明文转换成难以识别和理解的密文并进行传输,从而确保数据的保密性。基于加、解密的密钥是否相同来分类有两种算法:(1) 对称加密算法,又称专用密钥加密算法或单密钥加密算法,从一个密钥推导出另一个密钥,而且通信双方都要获得密钥并保持密钥的秘密。(2) 非对称加密算法,又称公开密钥加密算法。在非对称加密算法中,密钥被分解为一对,即一个公开密钥和一个专用密钥。该对密钥中的任何一个都可作为公开密钥公开,而另一把则作为专用密钥保存。这两种方法各有优缺点,在实际的电子商务系统中,通常采用这两种方法的结合的混合加密体制,即加解密采用对称加密,密钥传送采用非对称加密。这样既可以保证数据的安全,又可以提高加密和解密的速度。
　　2.数字签名
　　数字签名如同手写签名,在电子商务中有如下优点:(1) 发送者事后不能否认自己发送的报文签名。(2) 接受者能够核实发送者发送的报文签名。(3) 接受者不能伪造发送者的报文签名。(4) 接受者不能对发送者的报文进行篡改。(5) 交易中的某一用户不能冒充另一用户作为发送者或接受者。数字签名也是采用非对称加密算法,实现方式为:发送方从报文文本中生成一个128位的散列值,并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接受方;报文的接受方首先从接受到的原始报文中计算出128 位的散列值,再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接受方就能确认该数字签名是发送方的。
　　3.数字时间戳
　　数字时间戳(DTS ,Digital time-stamp) ,如同传统商务中的日期和时间,在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间以及DTS 的数字签名。
　　4.数字证书
　　数字证书又称数字凭证,是由CA 发放的,利用电子手段来证实一个用户的身份及用户对网络资源的访问权限。它包括用户的姓名、公共密钥、公共密钥的有效期、颁发数字证书的CA、数字证书的序列号以及用户本人的数字签名。任何信用卡持有人只有申请到相应的数字证书,才能参加网上的电子商务交易。数字证书一般有5种类型:个人数字证书、机构数字证书、网关数字证书、CA 系统数字证书及交叉证书。
　　5.安全协议技术
　　目前常用的安全协议主要有两种:SSL协议(安全套接层协议)和SET协议(安全电子交易协议)。SSL协议是由Netscape公司提出的安全交易协议,该协议主要目的是解决TCP/IP协议不能确认用户身份的问题,在Socket上使用非对称的加密技术,以保证网络通信服务的安全性。4SET是由Visa 和MasterCard 两大信用卡公司联合IBM, Microsoft, GTE ,Verisign , SA IC等公司与1996年6月共同推出的以信用卡支付为基础的电子商务安全协议,其中涵盖了电子交易中的交易协定、信息保密、数据完整、数字认证和数字签名等。它采用公钥密码体制和X . 5 0 9数字证书标准,主要应用于保障网上购物信息的安全性。
　　
　　四、总结
　　
　　总之,电子商务是国民经济和社会信息化的重要组成部分,对我国实现全面建设小康社会的宏伟目标具有十分重要的意义。我国电子商务仍处在起步阶段,还存在着应用范围不广、水平不高和安全威胁等问题,我们面前的道路只能是制定并不断完善加快电子商务发展的具体政策措施,持续推进我国电子商务健康发展。虽然保护电子商务安全的新技术也越来越多,但现有的新技术还不能形成一个有效的、安全的、系统的电子商务安全系统。因此,为防范电子交易的风险和保护交易双方的利益,笔者有如下观点:(1) 学习借鉴国内外先进的科学技术,尽可能地建立一套完整的PKI。(2) 综合不同算法的优势,努力提高目前电子商务交易的安全性。(3) 加强个人互联网络的安全性教育,防止个人信息的泄密。(4)加强电子商务的安全管理,特别是人事管理。(5)进一步加强电子商务安全的相关法律建设。只有各个方面的共同努力才能更好的解决电子商务安全问题,才能更好的促进电子商务健康快速的发展。
　　
　　参考文献:
　　[1]吴向东.电子商务安全中的数据加密技术.国防科技,2001,(1):24-25.
　　[2]张元国.电子商务安全技术.电子商务,2006,(3):126-127.
　　[3]胡红钢.电子商务中的数字证书.信息网络安全,2005,(8):73-74.
　　[4] 李恩来.电子商务安全技术漫谈.电子商务世界,2005,(10): 100-101.
　　[5]张国权,宋明秋,邓贵仕.基于高级SET协议的电子商务安全.计算机应用研究,2006,(3):105-110.

转载注明来源:https://www.xzbu.com/2/view-465858.htm