浅析电子商务的安全及认证机制
来源:用户上传
作者: 武海燕 王志杰
[摘 要] 本文主要针对电子商务中交易双方所面临的各种潜在风险,从安全技术和认证技术的角度分析和探讨了电子商务安全技术体系结构,揭示其各安全技术间的层次关系,并介绍了相应的对应策略――安全及认证机制。
[关键词] 信息安全 机制 电子商务
一、电子商务安全概述
随着Internet技术的迅猛发展,任何人都可以合法地自由的进入因特网进行各种商务活动,当然,这其中有可能包括一些恶意的行为。调查显示,近年来,通过网络进行的电子商务方面的金融犯罪有上升的趋势,目前我国发生的通过网络进行的电子商务金融犯罪多达200多起,经济损失已达上亿元。大多数电子商务用户不使用网络进行商务活动,没有别的原因,主要是对网上交易及支付信息的安全有所担心。可以说网络信息安全问题成为电子商务发展的一个瓶颈,是电子商务发展面临和必须尽快解决的一个大问题。
另外,我国的大多数电子商务企业的安全意识不强。在建立商务网站和商务活动管理中,考虑比较多的是效益、方便、快捷,而忽视了系统的安全、保密、抗攻击功能,也间接导致了电子商务的脆弱和难以维护。
二、电子商务及其存在的问题
电子商务是指利用简单快捷低成本的电子通讯方式,使买卖双方进行各种商贸活动的新型贸易形式。它改变了传统的贸易形式,不仅改变了企业本身的生产、经营、管理活动,而且将导致人类经济、社会和文化的一次新的革命。但目前电子商务的发展中还存在许多问题:
1.安全协议问题:对安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。
2.安全管理问题:在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
3.电子商务没有真正深入商务领域而仅仅局限于信息领域。
4.传输安全问题:指电子商务运行过程中,物流、资金流汇成信息流后动态传输过程中的安全,其安全隐患主要包括网上诈骗和否认发出信息等。
三、电子商务的信息安全需求
通过分析,在电子商务信息的安全显得尤其重要。它有以下几方面的需求:
1.信息的保密性。电子商务是建立在一个开放性很强的网络环境中,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取,保密性一般通过密码技术对传输的信息进行加密处理来实现。
2.信息的完整性。电子商务带来方便快捷的同时,也带来了一些新的问题,比如传输信息的完整性和统一性问题;另外,网络信息在传输中的部分内容丢失或在目的方信息重组时出现差错也有可能影响商务活动的正常进行。
3.信息的真实性。电子商务活动中涉及到的信息都应是真实的。包括交易双方身份的真实性和商务信息的真实性。即要提供能对这种信息真实性进行鉴别的机制。
4.信息的不可抵赖性。要在商务活动进行的过程中提供某种机制,对参与商务活动双方进行的活动进行日志,以避免某一方对自己以前的某些行为进行否认。
5.信息的有效性。
四、电子商务中的安全机制
1.数据加密技术。面向网络的加密技术是目前较为流行的加密技术,例如使用kerberos服务的telnet、nfs、rlogion等,以及用作电子邮件加密的pem(privacy enhanced mail)和pgp(pretty good privacy)。这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。具体有对称密钥密码技术、不对称型加密技术和不可逆加密技术。
2.安全协议。电子商务最常见的安全协议有SSL及SET两种。SSL协议独立于应用层协议,在电子交易中被用来安全传送信用卡号码。SET妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。
3.防火墙技术。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。
4.健全的法律法规。国家需要建立电子商务发展所需的政策和相应的法律、法规等,从大环境上杜绝非法客户的非法操作。
五、电子商务中的认证机制
安全认证技术是为了保证电子商务活动中的交易双方身份及其所用文件真实性的必要手段。
1.数字摘要。又称安全Hash编码法,采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,该密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文是不同的,而同样的明文其摘要必定一致。
2.数字签名。数字签名可以保证身份的精确性,分辨参与者所声称身份的真伪,防止伪装攻击。特别是避免通信双方发生如下安全问题:否认、伪造、冒充、篡改。
3.数字时间戳。数字时间戳就是一种能够提供电子文件的日期和时间信息的安全保护的技术,人们可以依赖它来确定电子文档在何时创建和签署的。这对于那些对时间敏感的技术专利、机密文件、网上交易来说是非常重要的。
4.CA认证。在电子商务系统中,所有实体的证书都是由证书授权中心,即CA中心分发并签名的,一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。
六、结束语
目前,基于Internet的电子商务应用还刚刚开始,许多方面都还不够完善,仅从技术角度防范是远远不够的,电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为安全工程,而不是解决方案来实施。
参考文献:
[1]李 浩:电子商务中电子支付及其安全问题[J].天津职业院校联合学报,2008(5)
[2]姜 华 杨 静:电子商务的网上支付与安全[J].中国管理信息化,2006(4)
[3]徐雪梅:浅谈保障电子商务活动中的信息安全[J].科技情报开发与经济,2003(5)
转载注明来源:https://www.xzbu.com/3/view-1485718.htm
