導語：淺談電子商務安全策略一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

[摘要]隨著Internet的不斷發(fā)展，在世界范圍內掀起了一股電子商務熱潮。電子商務代表著未來貿易方式的發(fā)展方向，其應用和推廣將給社會和經(jīng)濟帶來極大的效益。本文討論了電子商務應用中所存在的安全問題，對電子商務的策略和安全性技術進行了分析。

[關鍵詞]電子商務安全密碼認證協(xié)議

隨著Internet的全面普及，基于互聯(lián)網(wǎng)的電子商務也應運而生，電子商務是網(wǎng)絡技術應用的全新發(fā)展方向，電子商務自然非常便捷、高效和低成本，成為一種全新的商務模式，被許多經(jīng)濟專家認為是新的經(jīng)濟增長點。同時，這種電子商務模式對管理水平、信息傳遞技術都提出了更高的要求，其中安全體系的構建又顯得尤為重要，電子商務是建立在一個非常開放的互聯(lián)網(wǎng)基礎上，如何辨別對方身份，如何保證交易信息的安全，是大家最關心的問題。如何建立一個安全、便捷的電于商務應用環(huán)境，對信息提供足夠的保護，也已成為電子商務的核心問題。實現(xiàn)電子商務的關鍵是要保證商務活動過程中系統(tǒng)的安全性，即保證基于互聯(lián)網(wǎng)的電子交易過程與傳統(tǒng)交易的方式一樣安全可靠。

一、電子商務安全的要素

1.有效性。電子商務以電子形式取代了紙張,那么如何保證這種電子形式的貿易信息的有效性則是開展電子商務的前提。因此,要對網(wǎng)絡故障、操作錯誤、應用程序錯誤、硬件故障、系統(tǒng)軟件錯誤、黑客及計算機病毒所產(chǎn)生的潛在威脅加以控制和預防,以保證貿易數(shù)據(jù)在確定的時刻、確定的地點是有效的。

2.機密性。電子商務作為貿易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務是建立在一個開放的網(wǎng)絡環(huán)境上的，維護商業(yè)機密是電子商務全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。

3.完整性。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯、數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同，它將影響到貿易各方的交易和經(jīng)營策略。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復并保證信息傳送次序的統(tǒng)一。

4.可靠性/不可抵賴性/鑒別。電子商務可能直接關系到貿易雙方的商業(yè)交易,如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證電子商務順利進行的關鍵。在傳統(tǒng)的貿易中,貿易雙方通過在交易合同、契約或貿易單據(jù)等書面文件上手寫簽名或印章來鑒別貿易伙伴,確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的各方提供可靠的標識。

5.審查能力。根據(jù)機密性和完整性的要求,應對數(shù)據(jù)審查的結果進行記錄。

二、電子商務安全的主要問題與技術

電子商務實質是電子方式的貿易活動，它利用簡單快捷低成本的電子通訊方式，使買賣雙方進行各種商貿活動的新型貿易形式。它不僅改變了企業(yè)本身的生產(chǎn)、經(jīng)營、管理活動，而且將導致人類經(jīng)濟、社會和文化的一次新的革命。

電子商務安全的主要問題主要有以下幾個方面的問題：

1.篡改。電子的交易信息在網(wǎng)絡上傳輸?shù)剡^程中，可能被他人非法的修改，刪除或重放（指只能使用一次的信息被多次使用），從而使信息失去了真實性和完整性。

2.信息破壞。包括網(wǎng)絡硬件和軟件的問題而導致信息傳遞的丟失與謬誤；以及一些惡意程序的破壞而導致電子商務信息遭到破壞。

3.身份識別。如果不進行身份識別，第三方就有可能假冒交易一方的身份，以破壞交易，敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等。而不進行身份識別，交易的一方可不為自己的行為負責任，進行否認，相互欺詐。

4.信息泄密。主要包括兩個方面，即交易雙方進行交易的內容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。

由于電子商務涉及到金融、企業(yè)商家等各個方面的利益，它必須采用行之有效的手段來保證電子商務系統(tǒng)的安全運行。安全性技術是保證電子商務健康有序發(fā)展的關鍵因素，也是目前大家十分關注的問題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性，但現(xiàn)在幾乎網(wǎng)絡的各個層次都制定了安全協(xié)議和具備了相應的安全技術，以保證電子商務的安全性。電子商務的安全性策略可分為兩大部分，一部分是計算機網(wǎng)絡安全，第二部分是商務交易安全。電子商務中的安全性技術主要有以下幾種：

1.密碼技術。密碼技術是一種主動的信息安全防范措施，它是將明文轉換成為無意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。

目前，獲得廣泛應用的兩種加密技術是對稱密鑰加密體制和非對稱密鑰加密體制。在對稱密鑰加密體制中，信息的發(fā)送方和接收方用一個密鑰去加密和解密數(shù)據(jù)。它的最優(yōu)是加/解密速度快、參與方采用相同的加密算法共享的專用密鑰。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機密性和報文完整性就可以通過使用對稱加密方法對機密信息進行加密以及通過隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)。適合于對大數(shù)據(jù)量進行加密，但密鑰管理困難。目前常用的對稱加密算法有：美國國家標準局提出DES算法、由瑞士聯(lián)邦理工學院的IDEA算法等等。非對稱密鑰加密體制，密鑰被分解為一對，并使用一對密鑰來分別完成加密和解密操作，一個公開，即公開密鑰，另一個由用戶自己秘密保存，即私用密鑰。信息發(fā)送者用公開密鑰去加密，而信息接收者則用私用密鑰去解密。公鑰機制靈活，但加密和解密速度卻比對稱密鑰加密慢得多。一般用公鑰來進行加密，用私鑰來進行簽名；同時私鑰用來解密，公鑰用來驗證簽名。算法的加密強度主要取決于選定的密鑰長度。目前常用的非對稱加密算法有：麻省理工學院的RSA算法、美國國家標準和技術協(xié)會的SHA算法等等。

2.認證技術。安全認證的主要作用是進行信息認證。信息認證的目的為:(1)確認信息發(fā)送者的身份;（2）驗證信息的完整性，即確認信息在傳送或存儲過程中未被篡改過。認證技術主要有安全認證技術和安全認證機構兩個方面。

傳統(tǒng)的對稱密鑰算法具有加密強度高、運算速度快的優(yōu)點，但密鑰的傳遞與管理問題限制了它的一些應用。在非對稱密鑰加密體制下，算法的加密強度主要取決于選定的密鑰長度。隨著認證中心(或稱CA中心)的出現(xiàn)，使得開放網(wǎng)絡的安全問題得到了比較好的解決。所謂CA（CertificateAuthority）認證機構，它是采用PKI（PublicKeyInfrastructure）公開密鑰基礎架構技術，利用數(shù)字證書、非對稱和對稱加密算法、數(shù)字簽名、數(shù)字信封等加密技術，建立起安全程度極高的加解密和身份認證系統(tǒng)，確保電子交易有效、安全地進行，從而使信息除發(fā)送方和接收方外，不被其他方知悉（保密性）；保證傳輸過程中不被篡改（完整性和一致性）；發(fā)送方確信接收方不是假冒的（身份的真實性和不可偽裝性）；發(fā)送方不能否認自己的發(fā)送行為（不可抵賴性）。電子商務安全性的解決，大大地推動了電子商務的發(fā)展。在電子交易中，無論是數(shù)字時間戳服務還是數(shù)字證書的發(fā)放，都不是靠交易雙方自己能完成的，而需要有一個具有權威性和公正性的第三方來完成。CA認證機構作為權威的、可信賴的、公正的第三方機構，提供網(wǎng)絡身份認證服務，專門負責發(fā)放并管理所有參與網(wǎng)上交易的實體所需的數(shù)字證書。它作為一個權威機構，對密鑰進行有效地管理，頒發(fā)證書證明密鑰的有效性，并將公開密鑰同某一個實體（包括消費者、商戶、銀行，甚至設備、域名、IP地址等）聯(lián)系在一起。它的作用就像現(xiàn)實生活中頒發(fā)證件的機構，如公安機關。認證中心（CA）就是承擔網(wǎng)上安全交易認證服務，能簽發(fā)數(shù)字證書，并能確認用戶身份的服務機構。認證中心通常是企業(yè)性的服務機構，主要任務是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。

有了數(shù)字證書，你就可以以你身份在網(wǎng)上支持數(shù)字證書應用的場合下進行各種網(wǎng)上活動。比如，發(fā)送安全電子郵件，數(shù)字證書登錄系統(tǒng)，各種文件、表單的數(shù)字簽名，專門的數(shù)據(jù)加密等等。當然，如果證書是頒發(fā)給服務器，則可以用來保障該網(wǎng)站（域名）或IP的真實性。

3.安全認證協(xié)議。目前電子商務中經(jīng)常使用的有安全套接層SSL（SecureSocketsLayer）協(xié)議和安全電子交易SET（SecureElectronicTransaction）協(xié)議兩種安全認證協(xié)議。

(1)安全套接層（SSL）協(xié)議。SSL協(xié)議是Netscape公司在網(wǎng)絡傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務器之間的安全連接技術。SSL協(xié)議的概念可以被概括為：它是一個保證任何安裝了安全套接層的客戶和服務器間事務安全的協(xié)議，該協(xié)議向基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。目的是為用戶提供Internet和企業(yè)內聯(lián)網(wǎng)的安全通信服務。

SSL協(xié)議在應用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認證通信雙方，從而為應用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應用協(xié)議（如HTTP、FTP、TELNET等）以保證應用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL協(xié)議握手流程由兩個階段組成：服務器認證和用戶認證。

SSL采用了公開密鑰和專有密鑰兩種加密：在建立連接過程中采用公開密鑰；在會話過程中使用專有密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和服務器間事務的安全性。

SSL協(xié)議提供“通道安全性”有以下三個性質:

a.通道是保密的。一個簡單的握手確定密鑰之后,所有的消息被加密。

b.通道是被認證的。通話的服務器端總是被認證,客戶端可選認證。

c.通道是可靠的。用MAC對傳送的消息進行完整性檢查。

中國目前多家銀行均采用SSL協(xié)議，如在目前中國的電子商務系統(tǒng)中能完成實時支付，用的最多的招行一網(wǎng)通采用的就是SSL協(xié)議。所以，從目前實際使用的情況看，SSL還是人們最信賴的協(xié)議。

（2)安全電子交易（SET）協(xié)議。SET協(xié)議是針對開放網(wǎng)絡上安全、有效的銀行卡交易，由維薩（Visa）公司和萬事達（Mastercard）公司聯(lián)合研制的，為Internet上卡支付交易提供高層的安全和反欺詐保證。由于它得到了IBM、HP、Microsoft等很多大公司的支持，已成為事實上的工業(yè)標準，目前已獲得IETF標準的認可。這是一個為Internet上進行在線交易而設立的一個開放的、以電子貨幣為基礎的電子付款規(guī)范。

SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證，這對于需要支付貨幣的交易來講是至關重要的。SET將建立一種能在Internet上安全使用銀行卡購物的標準。安全電子交易規(guī)范是一種為基于信用卡而進行的電子交易提供安全措施的規(guī)則，SET協(xié)議保證了電子交易的機密性、數(shù)據(jù)完整性、身份的合法性和防抵賴性，且SET協(xié)議采用了雙重簽名來保證各參與方信息的相互隔離，使商家只能看到持卡人的訂購數(shù)據(jù)，而銀行只能取得持卡人的信用卡信息。所以它是一種能廣泛應用于Internet上的安全電子付款協(xié)議，它能夠將普遍應用的信用卡的使用場所從目前的商店擴展到消費者家里，擴展到消費者個人計算機中。

4.其他安全技術。電子商務安全中，常用的方法還有網(wǎng)絡中采用防火墻技術、虛擬專用網(wǎng)（VPN）技術、防病毒保護等。如果單純依靠某個單項電子商務安全技術是不夠的，還必須與其他安全措施綜合使用才能為用戶提供更為可靠的電子商務安全基石。