電子商務(wù)信息安全淺析

【摘要】本文分析了電子商務(wù)所面臨的網(wǎng)絡(luò)安全問題，并探討了加強(qiáng)網(wǎng)絡(luò)安全保護(hù)電子交易的相關(guān)技術(shù)與實(shí)現(xiàn)方式，并分析了如何在電子商務(wù)交易中避免交易抵賴行為、驗(yàn)證雙方身份以及保護(hù)通信安全的相關(guān)安全措施。

【關(guān)鍵詞】電子商務(wù) 網(wǎng)絡(luò)安全 安全機(jī)制

一、引言

電子商務(wù)作為新經(jīng)濟(jì)的代言人，集中了當(dāng)今世界最先進(jìn)的技術(shù)，實(shí)現(xiàn)著最快捷的傳播和溝通方式。在世界經(jīng)濟(jì)一體化中，它改變著人們的思維觀念、消費(fèi)方式和創(chuàng)業(yè)模式。電子商務(wù)的出現(xiàn)和發(fā)展讓所有的傳統(tǒng)產(chǎn)業(yè)面臨著巨大的挑戰(zhàn)，以互聯(lián)網(wǎng)為代表的新經(jīng)濟(jì)必將成為未來社會(huì)發(fā)展的主流。

由于因特網(wǎng)的開放性，網(wǎng)絡(luò)安全問題也越來越引起人們的普遍關(guān)注。據(jù)報(bào)道，中國已經(jīng)成為受到互聯(lián)網(wǎng)攻擊最嚴(yán)重的國家。而電子商務(wù)往往和金融系統(tǒng)有著千絲萬縷的聯(lián)系，因而也成為了網(wǎng)絡(luò)黑客重點(diǎn)攻擊的目標(biāo)。據(jù)權(quán)威機(jī)構(gòu)調(diào)查表明，國內(nèi)電子商務(wù)發(fā)展的最大隱患就是網(wǎng)絡(luò)交易的安全問題。這也是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問題。

二、電子商務(wù)安全問題

在電子商務(wù)領(lǐng)域，最核心的安全問題就是電子交易的安全。如何解決電子交易過程中所面臨的身份驗(yàn)證、保護(hù)信息機(jī)密性、防止信息的非法篡改以及防止交易抵賴等問題，成為了保護(hù)電子交易安全的關(guān)鍵問題。

（一）身份驗(yàn)證

在傳統(tǒng)交易方式中，驗(yàn)證雙方的真實(shí)身份并不是一件非常困難的事情。交易是雙方面對面所進(jìn)行的的活動(dòng)，因此可以通過查看身份證、出示交易印章等方式驗(yàn)證對方的真實(shí)身份。但是在電子交易環(huán)境中，雙方未曾謀面、相隔遙遠(yuǎn)，更容易出現(xiàn)假冒、欺詐等違法行為。因此電子商務(wù)安全的首要問題就是驗(yàn)證交易雙方的身份。

（二）信息機(jī)密性

電子商務(wù)的交易過程通常都是直接在互聯(lián)網(wǎng)上進(jìn)行的，如前所述互聯(lián)網(wǎng)的開放性雖然帶來通信與交流的便捷，但也給黑客提供了竊取個(gè)人或組織機(jī)密信息的可能性。當(dāng)電子交易雙方通過網(wǎng)絡(luò)交換信息的時(shí)候，他們之間傳遞的機(jī)密信息就有可能竊取。進(jìn)而威脅到個(gè)人的隱私或企業(yè)單位的經(jīng)濟(jì)利益，甚至可能導(dǎo)致商業(yè)的巨額損失。因此電子交易雙方必須解決如何保護(hù)傳遞的敏感信息，使黑客即使截獲了數(shù)據(jù)也無法破譯，進(jìn)而無法獲得真實(shí)的通信內(nèi)容。

（三）信息完整性

在電子商務(wù)交易過程中，攻擊者除了可以破譯通信內(nèi)容，直接威脅通信的機(jī)密性之外，還可以通過篡改通信內(nèi)容實(shí)現(xiàn)網(wǎng)絡(luò)的主動(dòng)攻擊。通過篡改通信內(nèi)容，是交易雙方產(chǎn)生誤判，從而使攻擊者實(shí)現(xiàn)非法目的。因此電子交易雙方如何鑒別通信數(shù)據(jù)是否被篡改過，也成為了保護(hù)通信安全的一個(gè)重要環(huán)節(jié)。

（四）信息的不可抵賴性

在商務(wù)活動(dòng)中，商業(yè)形式千變?nèi)f化，為了防止交易雙方的抵賴行為，人們往往要訂立合同，在合同內(nèi)明確雙方同意的條款內(nèi)容，并要求雙方簽字蓋章。這些手段都是為了防止交易抵賴。但這樣的手段在電子交易中就無法實(shí)施。電子交易的雙方由于互不見面，某方完全有可能出于個(gè)人的私利，否認(rèn)參與過整個(gè)交易過程。從而使對方遭受巨大的經(jīng)濟(jì)損失。因此，如何防止交易抵賴，保證交易的嚴(yán)肅性和公正性，成為電子商務(wù)發(fā)展所亟待解決的急切問題。

三、電子商務(wù)的安全機(jī)制

（一）對稱和非對稱加密機(jī)制

為了保護(hù)電子交易的機(jī)密性，我們必須對雙方的數(shù)據(jù)進(jìn)行加密，防止被截獲的數(shù)據(jù)被輕松破譯。加密算法有對稱和非對稱兩種。對稱加密算法主要特點(diǎn)是：電子交易雙方都必須要擁有共同的共享密鑰（即加密密鑰和解密密鑰相同），并且對稱加密算法的運(yùn)算速度很高，適合大量數(shù)據(jù)的加密和解密工作。但是對稱算法存在的一個(gè)重大問題在于：如何安全的傳遞密鑰給通信對方。因?yàn)楣蚕砻荑€是需要在不安全的互聯(lián)網(wǎng)上直接傳遞的，如果密鑰被截獲，那整個(gè)加密體制就完全崩潰。

非對稱加密機(jī)制是利用兩個(gè)不同的密鑰來完成數(shù)據(jù)的加密和解密工作（即公約和私鑰），公約和私鑰是成對產(chǎn)生的，但公約和私鑰相互之間無法直接推算出來。因此，為了保護(hù)信息的機(jī)密性，我們?nèi)绻s來加密的數(shù)據(jù)，則必須用相應(yīng)的私鑰才能解密；反之，用私鑰來加密的數(shù)據(jù)則只能用對應(yīng)的公約來解密。公約是完全公開的，任何人均可以獲得，而私鑰則必須由持有人妥善保管。這樣的非對稱機(jī)制的主要特點(diǎn)在于，為了保護(hù)信息的機(jī)密性，發(fā)送方用對方的公約加密，接收方用自己的私鑰解密，在加密數(shù)據(jù)的傳遞過程中，即使被截獲，截獲者也因?yàn)闊o法獲得接受者的私鑰而無法解密。同時(shí)非對稱機(jī)制可鑒別發(fā)送方的身份，使交易不可抵賴，發(fā)送方需要用自己的私鑰加密數(shù)據(jù)，將加密數(shù)據(jù)傳遞給接收方。接收方如果能夠用發(fā)送方的公鑰解密，則可以充分證明這些數(shù)據(jù)一定是來自發(fā)送方，而不是某個(gè)自稱發(fā)送方的假冒者，因?yàn)橛冒l(fā)送方的公約能夠解密，則完全可以說明數(shù)據(jù)一定是發(fā)送方的私鑰加了密。而發(fā)送方的私鑰只有持有人才知道，因而可以推導(dǎo)出這些數(shù)據(jù)一定是發(fā)送方本人親自發(fā)送的。從而有效地解決了身份驗(yàn)證和防止交易抵賴問題。

但非對稱體制的缺點(diǎn)在于，加密和解密的運(yùn)算量非常大，計(jì)算速度往往比對稱體制慢上百倍。因此實(shí)際在電子商務(wù)應(yīng)用中，往往是把對稱和非對稱加密體制結(jié)合起來使用，即發(fā)送方用對稱體制的共享密鑰對數(shù)據(jù)加密，然后用非對稱體制的接收方的公鑰對共享密鑰加密，然后傳給接收方，接收方用自己的私鑰將共享密鑰解密，再用共享密鑰對大量的數(shù)據(jù)解密。

這樣的安全設(shè)計(jì)，既充分發(fā)揮了對稱體制運(yùn)算速度快的優(yōu)勢，也利用了非對稱傳遞數(shù)據(jù)安全的優(yōu)勢。

（二）散列運(yùn)算防止信息被篡改

為了防止信息被篡改，發(fā)送方需要對數(shù)據(jù)進(jìn)行散列運(yùn)算，將散列值（即摘要）連同數(shù)據(jù)本身發(fā)給對方，接收方也將數(shù)據(jù)重新計(jì)算散列值，并將新散列值與傳遞而來的散列值對照，如果兩個(gè)散列值相同，則證明數(shù)據(jù)在傳遞過程中沒有被篡改。因此接受方只要對照散列值，就可以判斷信息是否被篡改過。從而有效地解決了信息的完整性問題。

四、結(jié)論

通過分析可知，為了保證電子交易的機(jī)密性、完整性和身份驗(yàn)證以及防止交易抵賴，我們可以采用綜合運(yùn)用對稱和非對稱加密體制以及散列運(yùn)算，從而讓電子交易能夠在安全有保證的環(huán)境中進(jìn)行。

參考文獻(xiàn)

[1]宋劍杰，陳春橋.電子商務(wù)項(xiàng)目化教程[M].北京：北京交通大學(xué)出版社，2011，234-271.

[2]馮思泉，藺玉珂.網(wǎng)絡(luò)操作系統(tǒng)項(xiàng)目教程[M].北京：中國水利水電出版社，2014，157-166.

[3]李玉海，桂學(xué)勤.電子商務(wù)安全問題及其解決方案[J].電子商務(wù)，2006，12：51-55.

[4]劉俊杰，閆宏生.電子商務(wù)安全技術(shù)淺析[J].科技信息，2011，26：84-95.

作者簡介：劉蔚洋（1982-），女，重慶人，助教，管理學(xué)士，主要研究方向：電子商務(wù)。