電子商務(wù)活動中安全隱患的幾種解決方案

1、一、引言電子商務(wù)是以電子信息技術(shù)為基礎(chǔ)的商務(wù)運作， 是信息技術(shù)的發(fā)展對社會經(jīng)濟生活產(chǎn)生 巨大影響的一個實例，也是網(wǎng)絡(luò)新經(jīng)濟迅猛發(fā)展的代表。電子商務(wù)的核心內(nèi)容是網(wǎng)上交易， 尤其是通過公共的因特網(wǎng)將眾多的社會經(jīng)濟成員聯(lián)系起來的網(wǎng)上交易更是成為發(fā)展的熱點，電子商務(wù)所具有的廣闊發(fā)展前景，越來越為世人所矚目。但在 Inter 給人們帶來巨大便 利的同時， 也把人們引進了安全陷阱。 目前， 阻礙電子商務(wù)廣泛應(yīng)用的首要也是最大的問題 就是安全問題。 電子商務(wù)中的安全問題如得不到妥善解決， 電子商務(wù)應(yīng)用就只能是紙上談兵。 從事電子商務(wù)活動的主體都已普遍認識到電子商務(wù)的交易安全是電子商務(wù)成功實施的基礎(chǔ)， 是企業(yè)

2、制訂電子商務(wù)策略時必須首先要考慮的問題。 對于實施電子商務(wù)戰(zhàn)略的企業(yè)來說， 保 證電子商務(wù)的安全已成為當務(wù)之急。二、電子商務(wù)過程中面臨的主要安全問題 從交易角度出發(fā)，電子商務(wù)面臨的安全問題綜合起來包括以下幾個方面：1. 有效性電子商務(wù)以電子形式取代了紙張，那么保證信息的有效性就成為開展電子商務(wù)的前提。 因此，要對網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所 產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。2. 真實性由于在電子商務(wù)過程中， 買賣雙方的所有交易活動都通過網(wǎng)絡(luò)聯(lián)系， 交易雙方可能素昧 平生，相隔萬里。要使交易成功，首先要確認對

3、方的身份。對于商家而言，要考慮客戶端不 能是騙子， 而客戶端也會擔(dān)心網(wǎng)上商店是否是一個玩弄欺詐的黑店， 因此， 電子商務(wù)的開展 要求能夠?qū)灰字黧w的真實身份進行鑒別。3. 機密性電子商務(wù)作為貿(mào)易的一種手段， 其信息直接代表著個人、 企業(yè)或國家的商業(yè)機密。 如信 用卡的賬號和用戶名被人知悉， 就可能被盜用而蒙受經(jīng)濟損失； 訂貨和付款信息被競爭對手 獲悉， 就可能喪失商機。 因此建立在開放的網(wǎng)絡(luò)環(huán)境電子商務(wù)活動， 必須預(yù)防非法的信息存 取和信息在傳輸過程中被非法竊取。三、電子商務(wù)安全中的幾種技術(shù)手段由于電子商務(wù)系統(tǒng)把服務(wù)商、 客戶和銀行三方通過互聯(lián)網(wǎng)連接起來， 并實現(xiàn)了具體的業(yè) 務(wù)操作。因此， 電

4、子商務(wù)安全系統(tǒng)可以由三個安全代理服務(wù)器及 CA 認證系統(tǒng)構(gòu)成，它們遵 循共同的協(xié)議，協(xié)調(diào)工作，實現(xiàn)電子商務(wù)交易信息的完整性、保密性和不可抵賴性等要求。 其中采用的安全技術(shù)主要有以下幾種 :1. 防火墻 (FireWall) 技術(shù) 防火墻是一種隔離控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如 Inter) 之間設(shè)置屏障，阻止對信息資源的非法訪問， 也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸 出。2. 加密技術(shù)數(shù)據(jù)加密技術(shù)是電子商務(wù)中采取的主要安全措施， 貿(mào)易方可根據(jù)需要在信息交換的階段 使用。 在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式： 對稱加密和非對稱加密， 采用何種加密算法則 要結(jié)合具體應(yīng)用

5、環(huán)境和系統(tǒng)，而不能簡單地根據(jù)其加密強度來做出判斷。(1)對稱加密那么機密性和報文完整性就在對稱加密方法中， 對信息的加密和解密都使用相同的密鑰。 也就是說， 一把鑰匙開一 把鎖。這種加密算法可簡化加密處理過程， 貿(mào)易雙方都不必彼此研究和交換專用的加密算法， 如果進行通信的貿(mào)易方能夠確保私有密鑰在交換階段未曾泄露，可以得到保證。 不過，對稱加密技術(shù)也存在一些不足，如果某一貿(mào)易方有n 個貿(mào)易關(guān)系，那么他就要維護 n 個私有密鑰。 對稱加密方式存在的另一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易 最終方。 因為貿(mào)易雙方共享一把私有密鑰。 目前廣泛采用的對稱加密方式是數(shù)據(jù)加密標準 (DES),它主要應(yīng)用于銀行業(yè)

6、中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域。DES對64位二進制數(shù)據(jù)加密，產(chǎn)生 64 位密文數(shù)據(jù)。 使用的密鑰為 64 位，實際密鑰長度為 56位(8 位用于奇偶校驗 )。解密時 的過程和加密時相似，但密鑰的順序正好相反。(2)非對稱加密 /公開密鑰加密在 Inter 中使用更多的是公鑰系統(tǒng)，即公開密鑰加密。 在該體系中，密鑰被分解為一對：公開密鑰PK和私有密鑰SK。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開，而另一把則作為私有密鑰 (解密密鑰 )加以保存。 公開密鑰用于加密， 私有密鑰用于解密， 私有密鑰只能由生成密鑰對的貿(mào)易方掌握， 公開密鑰可廣泛發(fā)布， 但它只對應(yīng)于生成該密鑰 的貿(mào)易

7、方。在公開密鑰體系中， 加密算法E和解密算法D也都是公開的。雖然SK與PK成 對出現(xiàn)，但卻不能根據(jù) PK 計算出 SK。公開密鑰算法的特點如下：用加密密鑰 PK 對明文 X 加密后，再用解密密鑰 SK 解密，即可恢復(fù)出明文，或?qū)憺椋篋SK (EPK (X)=X 。加密密鑰不能用來解密，即DPK (EPK (X)豐X在計算機上可以容易地產(chǎn)生成對的 PK 和 SK。加密和解密的運算可以對調(diào)，即：EPK (DSK (X)=X從已知的 PK 實際上不可能推導(dǎo)出 SK。常用的公鑰加密算法是 RSA 算法，加密強度很高。具體做法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來。 發(fā)送方在發(fā)送數(shù)據(jù)時必須加上數(shù)字簽名， 做法是

8、用自己的私鑰加密一段與發(fā)送數(shù) 據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名， 然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。 這些密文被接收方收 到后，接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名， 然后用發(fā)布方 公布的公鑰對數(shù)字簽名進行解密，如果成功，則確定是由發(fā)送方發(fā)出的。由于加密強度高， 而且不要求通信雙方事先建立某種信任關(guān)系或共享某種秘密， 因此十分適合 Inter 網(wǎng)上使用。3. 數(shù)字簽名數(shù)字簽名技術(shù)是實現(xiàn)交易安全核心技術(shù)之一， 它實現(xiàn)的基礎(chǔ)就是加密技術(shù)。 以往的書信 或文件是根據(jù)親筆簽名或印章來證明其真實性的。 但在計算機網(wǎng)絡(luò)中傳送的報文又如何蓋章 呢？這就是數(shù)字簽名所要解決的問題。 數(shù)字簽名必

9、須保證以下幾點： 接收者能夠核實發(fā)送者 對報文的簽名； 送者事后不能抵賴對報文的簽名； 接收者不能偽造對報文的簽名。 現(xiàn)在己有 多種實現(xiàn)數(shù)字簽名的方法，采用較多的就是公開密鑰算法。4. 數(shù)字證書(1)認證中心在電子交易中， 數(shù)字證書的發(fā)放不是靠交易雙方來完成的， 而是由具有權(quán)威性和公正性 的第三方來完成的。 認證中心就是承擔(dān)網(wǎng)上安全電子交易認證服務(wù)、 簽發(fā)數(shù)字證書并確認用 戶身份的服務(wù)機構(gòu)。(2)數(shù)字證書數(shù)字證書是用電子手段來證實一個用戶的身份及他對網(wǎng)絡(luò)資源的訪問權(quán)限。 在網(wǎng)上的電 子交易中， 如雙方出示了各自的數(shù)字證書， 并用它來進行交易操作， 那么交易雙方都可不必 為對方身份的真?zhèn)螕?dān)心。5. 消息摘要 (Message Digest)消息摘要方法也稱為 Hash編碼法或MDS編碼法。它是由 Ron Rivest所發(fā)明的。消息摘要是一個惟一對應(yīng)一個消息的值。它由單向Hash加密算法對所需加密的明文直接作這篇論文 .用，生成一串 128bit 的密文，這一串密文又被稱為 “數(shù)字指紋 ”( Finger Print )。所謂單向是指 不能被解密， 不同的明文摘要成密文， 其結(jié)果是絕不會相同的， 而同樣的明文其摘要必定是 一致的，因此，這串摘要成為了驗證明文是否是 “真身”的數(shù)字 “指紋”了。