电子商务的安全问题及对策

［摘要］电子商务交易的核心问题是安全问题。本文针对电子商务交易中存在的主要安全问题,阐明了目前解决电子商务交易的安全问题的主要技术及措施。

［关键词］电子商务安全技术交易安全

一、引言

电子商务(Electronic Commerce ，EC)是指通过网络进行的各种商务活动。随着互联网的普及，电子商务直接影响和改变着社会经济生活的各个方面。电子商务是一种新的商务形式，安全性是其发展的瓶颈之一。对于电子商务而言，使用网络进行询价、下单、成交、结算等活动涉及商业秘密、公众隐私，特别是有关信息卡密码、账号等敏感信息，一旦泄密将会给企业或个人造成巨大损失。另外，操作人员本身安全意识不强、操作系统安全配置不当也会导致易受攻击。当前，全球的“黑客”和“计算机病毒”问题是网络安全面临的最大挑战，由此产生的电子商务交易和信息的不安全性制约着电子商务的发展。

二、电子商务交易的主要安全问题

1. 信息泄漏

在电子商务中表现为商业机密的泄漏，主要包括两个方面：交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。攻击者主要通过截获和窃取的方式造成信息泄漏。

2. 篡改

在电子商务中表现为商业信息的真实性和完整性的问题。当攻击者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传输的信息数据在中途篡改，然后再发向目的地，破坏数据的真实性和完整性。

3. 伪造

由于掌握了数据的格式，并可以篡改通过的信息，如果不进行身份识别，攻击者就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。

4. 信用威胁

交易者否认参加过交易，如买方提交订单后不付款，或者输入虚假银行资料使卖方不能提款；用户付款后，卖方没有把商品发送到客户手中，使客户蒙受损失。

5. 电脑病毒

电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径，还有众多病毒借助于网络传播得更快，动辄造成数百亿美元的经济损失。

三、电子商务交易的主要安全技术

1. 加密技术是电子商务的最基本的安全技术。在目前技术条件下,加密技术通常分为对称加密和非对称加密两类。

(1) 对称密钥加密:采用相同的加密算法,并且加密和解密都使用相同的密钥。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露,则可

以通过对称加密方法加密机密信息,并随报文发送报文摘要和报文散列值, 来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的最核心环节。目前常用的对称

加密算法有DES 、PCR 、IDEA 、3DES 等。其中DES 使用最常用,被国际标准化组

织采用作为数据加密的标准。

(2) 非对称密钥加密:非对称加密不同于对称加密,其密钥对被分为公开密钥和私有密钥。密钥对生成后,公开密钥对外公开,而私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的发布者,而发布者在得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前, 常用的非对称加密算法有RSA 算法。该算法已被国际标准化组织的数据加密技术分委员会推荐为非对称密钥数据加密标准。在对称和非对称两类加密方法中,对称加密的优点是加密速度快(通常比非对称加密快10 倍以上)、效率高,被广泛用于大量数据的加密。但该方法的致命缺点是密钥的传输与交换也面临着安全问题,密钥易被截取, 而且,若和大量用户进行通信,难以安全管理大量的密钥对,因此对称加密大范围应用存在一定问题。而非对称密钥则相反,其优点是解决了对称加密中密钥数量过多难管理和费用高的不足,也不必担心传输中私有密钥的泄露,保密性能优于对称加密技术。但非对称的缺点是加密算法复杂,加密速度不很理想。目前.电子商务实际运用中常常是两者结合使用。

2. 身份认证技术。目前电子商务交易中仅有加密技术不足以保证交易安全, 身份认证技术是保证电子商务安全的另一重要技术手段。身份认证的实现包括数字签名技术、数字证书技术等。

(1)数字签名技术

对信息加密只解决了信息传输过程中的保密问题,而防止他人对传输的信息进行篡改或破坏,保证信息的完整性, 以及保证信息发送者对发送信息的不可抵赖性,需要采用其

它的手段,这一手段就是数字签名。数字签名技术即进行身份认

证的技术。在数字化文档上的数字签名类似于纸张上的手写签名,是不可伪造的。

接收者能够验证文档确实来自签名者,并且签名后文档没有被修改过,从而保证信息的真实性和完整性。

目前的数字签名是建立在公共密钥体制基础上,它是公用密钥加密技术的另一类应用。数字签名与书面文件签名有相同之处,采用数字签名, 也能确认以下两点:信息是由签名者发送的; 信息自签发后到收到为止未作过任何修改。目前数字签名方法主要有三种,即:RSA 签名、DSS 签名和Hash 签名。这三种算法可单独使用,也可综合在一起使用。

(2)数字证书技术

在公共密钥体制中,私钥只有信息发送者知道, 而与之匹配的公钥是公开的, 它能保证传输信息的保密性,但没有解决公钥的分发方式。数字签名保证了信息是由签名者发送的以及信息自签发后到收到为止未曾作过任何修改,但不能保证签名者身份的真实性。因此需要有一种措施来管理公钥分发,保证公钥以及与公钥有关的实体身份信息的真实性。这一措施就是数字证书。数字证书是一般由具有权威性、可信任性的第三方机构即认证机构CA 所颁发。数字证书是公共密钥体制中的密钥管理媒介,并将公钥和实体身份信息绑定在一起,并包含认证机构的数字签名。数字证书在电子商务中用于公钥的分发、传递,证明电子商务实体身份与公钥相匹配。

四、总结

加密技术和身份认证技术是电子商务交易安全的基础技术,加密技术用于对信息的加密,保证信息的机密性。数字签名和数字信封技术应用了加密技术,建立在公共密钥体制基础上。数字签名技术对信息进行数字签名,保证信息的完整性

和不可抵赖性。数字证书技术是对加密技术和数字签名进行支持的技术,用于管

理公钥分发,保证公钥以及与公钥有关的实体身份信息的真实性。因此,电子证书必须由