电子商务信息安全问题解析

摘要：电子商务对人类社会经济产生了重大影响，在创造巨大经济效益的同时，也从根本上改变了整个社会商务活动发展进程。我国电子商务在曲折进程中，已有很大程度的发展,同时也存在诸多问题。本文客观地分析了电子商务的安全需求、安全技术发展现状及存在的问题，对加快电子商务的发展步伐提出了一些重要思考。

关键词：电子商务安全需求安全技术协议技术

引言

所谓电子商务，就是利用计算机技术、网络技术和远程通信技术，实现整个商务过程中的电子化、数字化和网络化。它是将传统商务活动中物流、资金流、信息流的传递方式利用网络科技整合，将重要的信息与分布各地的客户、员工、经销商及供应商连接，创造更具有竞争力的经营优势。

1、电子商务的优势

与传统的商务活动方式相比，电子商务具有以下几个特点：第一，交易虚拟化。贸易双方从贸易磋商、签订合同到支付等，无需当面进行，均通过计算机互联网完成，整个交易完全虚拟化。第二，交易成本低，效率高。电子商务将传统的商务流程电子化、数字化，以电子流代替了实物流，大量减少了人力物力，降低了成本。第三，交易透明化。电子商务重新定义了传统的流通模式，减少了中间环节，使得生产者和消费者的直接交易成为可能。第四，电子商务提供了丰富的信息资源，提高了中小企业的竞争能力，为社会经济要素的重新组合提供了更多的可能。

2、电子商务中的信息安全因素

2.1机密性

预防信息在传输过程中被非法窃取。机密性一般通过密码技术对传输的信息进行加密处理实现。

2.2完整性

预防对信息的随意生成、修改。完整性一般通过提取信息的数字摘要以及数字签名方式来实现。

2.3不可抵赖性

对参与电子商务交易的个人和实体进行真实身份标识，防止其对传输的信息进行抵赖。不可抵赖性通过对发送的信息进行数字签名来实现。以保证贸易数据在确定的时刻、确定的地点是有效的。有效性可以用数字时间戳来实现。

2.4认证性

数字签名、数字时间戳本身不能证明提供者的真实身份。对个人或实体的身份进行鉴别，为身份的真实性提供保证，这意味着当某人或某实体声称具有某个特定的身份时，鉴别服务将提供一种方法来验证其声明的正确性。认证性一般通过证书机构ca和数字证书来实现。

3、电子商务领域信息安全的技术

3.1数据加密技术

目前，使用广泛的数据加密技术就是面向应用服务的加密技术，这一类加密技术的优点在于实现相对较为简单，不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求，对电子邮件数据实现了端到端的安全保障。

3.1.1数字签名

数字签名是将数字摘要、公用密钥算法两种加密方法结合起来使用。主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)，用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值，接着

再用发送方的公开密钥来对报文附加的数字签名进行解密，如果两个散列值相同，那么接收方就能确认该数字签名是发送方的，通过数字签名能够实现对原始报文的鉴别。概括的说，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件真实性的这一事实。

3.1.2数字时间戳

交易行为中，时间是十分重要的信息。在电子交易中，需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(dts)就能提供电子文件发表时间的安全保护。

3.1.3数字证书

数字证书又称为数字凭证，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。目前，最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书，证书作为网上交易参与各方的身份识别，就好像每个公民都用身份证来证明身份一样。认证中心作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任，是一个负责发放和管理数字证书的权威机构，比如淘宝网的支付宝，因而网络中所有用户可以将自己的公钥交给这个中心，并提供自己的身份证明信息，证明自己是相应公钥的拥有者，认证中心审查用户提供的信息后，如果确认用户是合法的，就给用户一个数字证书。这样，每个成员只需和认证中心打交道，就可以查到其他成员的公钥信息了。对于在网上进行交易的双方来说，数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型：个人凭证、企业(服务器)凭证、软件(开发者)凭证，大部分认证中心提供前两类凭证。

3.2电子商务的安全认证体系

随着计算机的发展和社会的进步，通过网络进行的电子商务活动当今社会越来越频繁，身份认证是一个不得不解决的重要问题，它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要，它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击，包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。

身份认证一般是通过对被认证对象（人或事）的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系，最好是惟一对应的。身份认证是安全系统中的第一道关卡。数字证书是在互联网通信中标志通信各方身份信息的一系列数据，提供了一种internet上验证用户身份的方式，其作用类似于司机的驾驶执照或身份证。它是由一个权威机构-ca机构，又称为证书授权(certificate authority)中心发行的，人们可以在网上用它识别彼此的身份。

4、结束语

安全实际上就是一种风险管理。任何技术手段都不能保证1oo％的安全。但是，安全技术可以降低系统遭到破坏、攻击的风险。因此，为进一步促进电子商务体系的完善和行业的健康快速发展，必须在实际运用中解决电子商务中出现的各类问题，使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手，仅在技术角度防范是远远不够的，还必须完善电子商务立法，以规范飞速发展的电子商务现实中存在的各类问题，从而引导和促进我国电子商务快速健康发展。