电子商务安全性

电子商务安全性

．引言

电子商务的概念

电子商务EC就是利用电子数据交换EDI、电子邮件、电子资金转帐EFT及Internet的主要技术在个人间、企业间和国家间进行无纸化的业务信息的交换。。

电子商务的运作流程

我们从电子商务对信息产业发展

的功能方面来研究它的运作流程，可以把它视为信息产业提供的一种服务，参与这种服务的有：服务供给者、需求者和运作支持环节以及运作规则。其关系如图1示。

图中右边的供给与支持环节，环环相扣，各自利益相互影响，只有达成共识，共同努力，才能让整个供给系统高效的运转起来，发挥这些正反馈环路的优势。左边是需求者环路，主要由利益、市场和技术驱动。左右两边的利益是正相关的。要使整个电信产业发展起来，首先要使左边的需求者能够

得到确实的好处，从而带动整个社会的信息化，这样拉动信息产业的发展。这就是电子商务的运作流程。

电子商务的主要特点

电子商务的主要优点有：以最小的费用制作最大的广告；丰富的网络资源有利于企业了解市场的变化和做出理性的决策；展示产品而不需要占用店面，小企业可以和大企业获得几乎同等的商业机会；提高服务质量，及时获得顾客的反馈的信息；在线交易方便、快捷、可靠等等。

．电子商务的安全性

电子商务的自身特性决定了其具

有开放性，而它所基于的因特网更是开放和不设防的，所以电子商务从一诞生开始就与安全性紧密联系在一起。随着电子商务的日益普及，电子商务的安全也成为当前最热门的话题之一。以下对电子商务的安全目标以及电子商务安全性的实现进行研究分析。

电子商务的安全目标

保密性保密性主要指信息只能在

所授权的时间、所授权的地点暴露给授权的

人。

完整性完整性是指信息是完全的，电子商务系统应该提供对数据完整性的验

证手段，确保能够发现数据化存储或传输过程中是否被改动。

不可否认性不可否认性是指数据

的原发送者对所发送数据不可以否认，数据的接收者对所接收数据同样不可否认，交易双方更不可以否认已经进行的商业活动。

身份认证指交易双方可以相互确

认彼此的真实身份，确认对方就是本次交易中所称的真正交易方，确认就是本次交易中所称的真正交易方。

可审计性可审计性是指每个经授

权的用户的活动是唯一标识和监控的，以便对其所作用的操作内容进行审计和跟踪。当贸易一方发现交易行对自己不利时否认电

子交易行为。

电子商务安全性的实现

电子商务安全性的实现体现在认

证中心的设置、密钥管理、加密算法和电子商务的基本安全技术。

认证中心的设置

模式中一个很重要的概念就是认证中心CA。CA是交易双方都信任的第三方，功能是为参予电子商务的各方颁发数字证书。数字证书能够起到标识交易方的作用，用于在交易中验证对方的身份。

密钥管理

密钥管理是加密技术的重要一环，密钥管理的重点是确保密钥的安全性。密钥管理分为对称密钥算法体制的密钥和公开

密钥密码体制的密钥管理。

对称密钥管理对称加密是基于共

同保守秘密来实现的。采用对称加密技术的交易双方必须要保证采用的是相同的的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的

程序。这样，对称密钥管理和分发工作变成一件潜在危险的和繁琐的过程。

公开密钥密码体制公开密钥密码

体制密码管理主要解决两个问题：秘密秘钥的保护和公开密钥及其所有者身份的确认。秘密密钥的保护，由用户内部所采取的安全

策略加以保护，一般用口令及存取权限等访问控制策略进行保护。。

密钥管理相关的标准规范目前国际有关的标准化机构都制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会已起草了关于密钥管理的国际标准规范。该规范主要由3个部分组成：第一部分是密钥管理框架；第二部分是采用对称技术的机制；第三部分是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段，并将很快成为正式的国际标准。

加密算法

这里主要指对称加密算法。具有初始化显式向量56位及以下密钥长度的数据加密标准DES算法显然已经不太适用。下面几种算法已经成为DES的替代算法：TripleDES、CAST—128、RC5、IDEA、Blowfish 和ARCFour。一般认为CAST的64位算法比DES算法更强大，此外，其算法效率也比DES 高。RC5是RSA实验室的一个产品，是一个密钥长度和迭代轮数都可变化的一种分组迭代密码体制。