電子商務(wù)活動(dòng)中安全隱患的幾種解決方案

1、一、引言電子商務(wù)是以電子信息技術(shù)為基礎(chǔ)的商務(wù)運(yùn)作， 是信息技術(shù)的發(fā)展對(duì)社會(huì)經(jīng)濟(jì)生活產(chǎn)生 巨大影響的一個(gè)實(shí)例，也是網(wǎng)絡(luò)新經(jīng)濟(jì)迅猛發(fā)展的代表。電子商務(wù)的核心內(nèi)容是網(wǎng)上交易， 尤其是通過公共的因特網(wǎng)將眾多的社會(huì)經(jīng)濟(jì)成員聯(lián)系起來的網(wǎng)上交易更是成為發(fā)展的熱點(diǎn)，電子商務(wù)所具有的廣闊發(fā)展前景，越來越為世人所矚目。但在 Inter 給人們帶來巨大便 利的同時(shí)， 也把人們引進(jìn)了安全陷阱。 目前， 阻礙電子商務(wù)廣泛應(yīng)用的首要也是最大的問題 就是安全問題。 電子商務(wù)中的安全問題如得不到妥善解決， 電子商務(wù)應(yīng)用就只能是紙上談兵。 從事電子商務(wù)活動(dòng)的主體都已普遍認(rèn)識(shí)到電子商務(wù)的交易安全是電子商務(wù)成功實(shí)施的基礎(chǔ)， 是企業(yè)

2、制訂電子商務(wù)策略時(shí)必須首先要考慮的問題。 對(duì)于實(shí)施電子商務(wù)戰(zhàn)略的企業(yè)來說， 保 證電子商務(wù)的安全已成為當(dāng)務(wù)之急。二、電子商務(wù)過程中面臨的主要安全問題 從交易角度出發(fā)，電子商務(wù)面臨的安全問題綜合起來包括以下幾個(gè)方面：1. 有效性電子商務(wù)以電子形式取代了紙張，那么保證信息的有效性就成為開展電子商務(wù)的前提。 因此，要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所 產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。2. 真實(shí)性由于在電子商務(wù)過程中， 買賣雙方的所有交易活動(dòng)都通過網(wǎng)絡(luò)聯(lián)系， 交易雙方可能素昧 平生，相隔萬里。要使交易成功，首先要確認(rèn)對(duì)

3、方的身份。對(duì)于商家而言，要考慮客戶端不 能是騙子， 而客戶端也會(huì)擔(dān)心網(wǎng)上商店是否是一個(gè)玩弄欺詐的黑店， 因此， 電子商務(wù)的開展 要求能夠?qū)灰字黧w的真實(shí)身份進(jìn)行鑒別。3. 機(jī)密性電子商務(wù)作為貿(mào)易的一種手段， 其信息直接代表著個(gè)人、 企業(yè)或國家的商業(yè)機(jī)密。 如信 用卡的賬號(hào)和用戶名被人知悉， 就可能被盜用而蒙受經(jīng)濟(jì)損失； 訂貨和付款信息被競爭對(duì)手 獲悉， 就可能喪失商機(jī)。 因此建立在開放的網(wǎng)絡(luò)環(huán)境電子商務(wù)活動(dòng)， 必須預(yù)防非法的信息存 取和信息在傳輸過程中被非法竊取。三、電子商務(wù)安全中的幾種技術(shù)手段由于電子商務(wù)系統(tǒng)把服務(wù)商、 客戶和銀行三方通過互聯(lián)網(wǎng)連接起來， 并實(shí)現(xiàn)了具體的業(yè) 務(wù)操作。因此， 電

4、子商務(wù)安全系統(tǒng)可以由三個(gè)安全代理服務(wù)器及 CA 認(rèn)證系統(tǒng)構(gòu)成，它們遵 循共同的協(xié)議，協(xié)調(diào)工作，實(shí)現(xiàn)電子商務(wù)交易信息的完整性、保密性和不可抵賴性等要求。 其中采用的安全技術(shù)主要有以下幾種 :1. 防火墻 (FireWall) 技術(shù) 防火墻是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如 Inter) 之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問， 也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸 出。2. 加密技術(shù)數(shù)據(jù)加密技術(shù)是電子商務(wù)中采取的主要安全措施， 貿(mào)易方可根據(jù)需要在信息交換的階段 使用。 在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式： 對(duì)稱加密和非對(duì)稱加密， 采用何種加密算法則 要結(jié)合具體應(yīng)用

5、環(huán)境和系統(tǒng)，而不能簡單地根據(jù)其加密強(qiáng)度來做出判斷。(1)對(duì)稱加密那么機(jī)密性和報(bào)文完整性就在對(duì)稱加密方法中， 對(duì)信息的加密和解密都使用相同的密鑰。 也就是說， 一把鑰匙開一 把鎖。這種加密算法可簡化加密處理過程， 貿(mào)易雙方都不必彼此研究和交換專用的加密算法， 如果進(jìn)行通信的貿(mào)易方能夠確保私有密鑰在交換階段未曾泄露，可以得到保證。 不過，對(duì)稱加密技術(shù)也存在一些不足，如果某一貿(mào)易方有n 個(gè)貿(mào)易關(guān)系，那么他就要維護(hù) n 個(gè)私有密鑰。 對(duì)稱加密方式存在的另一個(gè)問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易 最終方。 因?yàn)橘Q(mào)易雙方共享一把私有密鑰。 目前廣泛采用的對(duì)稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn) (DES),它主要應(yīng)用于銀行業(yè)

6、中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域。DES對(duì)64位二進(jìn)制數(shù)據(jù)加密，產(chǎn)生 64 位密文數(shù)據(jù)。 使用的密鑰為 64 位，實(shí)際密鑰長度為 56位(8 位用于奇偶校驗(yàn) )。解密時(shí) 的過程和加密時(shí)相似，但密鑰的順序正好相反。(2)非對(duì)稱加密 /公開密鑰加密在 Inter 中使用更多的是公鑰系統(tǒng)，即公開密鑰加密。 在該體系中，密鑰被分解為一對(duì)：公開密鑰PK和私有密鑰SK。這對(duì)密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開，而另一把則作為私有密鑰 (解密密鑰 )加以保存。 公開密鑰用于加密， 私有密鑰用于解密， 私有密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握， 公開密鑰可廣泛發(fā)布， 但它只對(duì)應(yīng)于生成該密鑰 的貿(mào)易

7、方。在公開密鑰體系中， 加密算法E和解密算法D也都是公開的。雖然SK與PK成 對(duì)出現(xiàn)，但卻不能根據(jù) PK 計(jì)算出 SK。公開密鑰算法的特點(diǎn)如下：用加密密鑰 PK 對(duì)明文 X 加密后，再用解密密鑰 SK 解密，即可恢復(fù)出明文，或?qū)憺椋篋SK (EPK (X)=X 。加密密鑰不能用來解密，即DPK (EPK (X)豐X在計(jì)算機(jī)上可以容易地產(chǎn)生成對(duì)的 PK 和 SK。加密和解密的運(yùn)算可以對(duì)調(diào)，即：EPK (DSK (X)=X從已知的 PK 實(shí)際上不可能推導(dǎo)出 SK。常用的公鑰加密算法是 RSA 算法，加密強(qiáng)度很高。具體做法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來。 發(fā)送方在發(fā)送數(shù)據(jù)時(shí)必須加上數(shù)字簽名， 做法是

8、用自己的私鑰加密一段與發(fā)送數(shù) 據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名， 然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。 這些密文被接收方收 到后，接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名， 然后用發(fā)布方 公布的公鑰對(duì)數(shù)字簽名進(jìn)行解密，如果成功，則確定是由發(fā)送方發(fā)出的。由于加密強(qiáng)度高， 而且不要求通信雙方事先建立某種信任關(guān)系或共享某種秘密， 因此十分適合 Inter 網(wǎng)上使用。3. 數(shù)字簽名數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全核心技術(shù)之一， 它實(shí)現(xiàn)的基礎(chǔ)就是加密技術(shù)。 以往的書信 或文件是根據(jù)親筆簽名或印章來證明其真實(shí)性的。 但在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的報(bào)文又如何蓋章 呢？這就是數(shù)字簽名所要解決的問題。 數(shù)字簽名必

9、須保證以下幾點(diǎn)： 接收者能夠核實(shí)發(fā)送者 對(duì)報(bào)文的簽名； 送者事后不能抵賴對(duì)報(bào)文的簽名； 接收者不能偽造對(duì)報(bào)文的簽名。 現(xiàn)在己有 多種實(shí)現(xiàn)數(shù)字簽名的方法，采用較多的就是公開密鑰算法。4. 數(shù)字證書(1)認(rèn)證中心在電子交易中， 數(shù)字證書的發(fā)放不是靠交易雙方來完成的， 而是由具有權(quán)威性和公正性 的第三方來完成的。 認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、 簽發(fā)數(shù)字證書并確認(rèn)用 戶身份的服務(wù)機(jī)構(gòu)。(2)數(shù)字證書數(shù)字證書是用電子手段來證實(shí)一個(gè)用戶的身份及他對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限。 在網(wǎng)上的電 子交易中， 如雙方出示了各自的數(shù)字證書， 并用它來進(jìn)行交易操作， 那么交易雙方都可不必 為對(duì)方身份的真?zhèn)螕?dān)心。5. 消息摘要 (Message Digest)消息摘要方法也稱為 Hash編碼法或MDS編碼法。它是由 Ron Rivest所發(fā)明的。消息摘要是一個(gè)惟一對(duì)應(yīng)一個(gè)消息的值。它由單向Hash加密算法對(duì)所需加密的明文直接作這篇論文 .用，生成一串 128bit 的密文，這一串密文又被稱為 “數(shù)字指紋 ”( Finger Print )。所謂單向是指 不能被解密， 不同的明文摘要成密文， 其結(jié)果是絕不會(huì)相同的， 而同樣的明文其摘要必定是 一致的，因此，這串摘要成為了驗(yàn)證明文是否是 “真身”的數(shù)字 “指紋”了。