浅谈电子商务中的安全问题

浅谈电子商务中的安全问题　魏家森　（沈阳师范大学科信软件学院　辽宁沈阳　１　１　００３４）　学术论坛　本文简要分析了电子商务安全的概念与特点，以及有关的安全协议，并阐述了当前电子商务安全的主要技术及解决５－案关键词：电子商务　技术　安全协议　方案　中图分类号：ＴＰ２３　文献标识码：Ａ　文章编号：１６　７　２－３７９１（２０１　ｏ）ｏｌ（ｂ）一ｏ１８６—０１　。苎兰毒：　着Ｉｎ～ｔｅｒｎｅ，ｔ．／￣发展，电子商务已逐渐成为人们进行商务活动的新模式。其安全问题便成为了电子商务能否快速发展壮大的重　．。　。电子商务是指、企业和个人利用现　（３）安全超文本传输协议（Ｓ—ＨＴＴＰ，　司就负责数字签名软件与Ｍａｃｉｎｔｏｓｈ操作系统　代电子计算机与网络技术实现商业交换和行　Ｓｅｃｕｒｅ　ｈｙｐｅｒｔｅｘｔ　ｔｒａｎｓｆｅｒ　ｐｒｏｔｏｃｏ１）是一个　的集成，在Ａｐｐｌｅ的协作软件ＰｏｗｅｒＴａｌｋ上还　政管理的全过程。由于因特网的全球性、开　ｈｔｔｐｓ　ＵＲＩ　ｓｃｈｅｍｅ的可选方案，也是为互联　增加了签名拖放功能，用户只要把需要加密的　放性、共享性使得任何人都可以自由的接入　网的ＨＴＴＰＪ／￣Ｉ密通讯而设计。Ｓ　ＨＴＴＰ定义于　因特网，特别是“黑客”们更可肆无忌惮的　ＲＦＣ　２６６０。是经过超文本传输协议改造而来　使用各种攻击方式来进行破坏、窃取等犯法　的。　行为。由于金钱和财富的诱惑，使得无数的　“黑客”屡屡以身试法。因此如何保证电子　３保障电子商务安全的主要技术　商务交易的安全性便显得尤为重要了。　（１）加密技术。加密技术是电子商务采　取的主要安全保密措施，是最常用的安全保　１电子商务安全的概念　密手段，利用技术手段把重要的数据变为乱码　电子商务安全从整体上可分为两大部　（加密）传送，到达目的地后再用相同或不　分：计算机网络安全和商务交易安全。计算　同的手段还原（解密）。加密技术包括两个　机网络安全包括：计算机网络设备安全、计　元素：算法和密钥。算法是将普通的文本　算机网络系统安全、数据库安全等。其特征　（或者可以理解的信息）与一窜数字（密　是针对计算机网络本身可能存在的安全问　钥）的结合，产生不可理解的密文的步骤，　题，实施网络安全增强方案，已保证计算机　密钥是用来对数据进行编码和解码的－・种算　网络自身的安全为目标。商务交易安全则紧　法。在安全保密中，可通过适当的密钥加密　紧围绕传统商务在互联网络上应用时产生的　技术和管理机制来保证网络的信息通讯安　各种安全问题，在计算机网络安全的基础上。保　全。密钥加密技术的密码分为对称密钥体　障以电子交易和电子支付为核心的电子商务　制和非对称密钥两种。相应地，对数据加密　过程的顺利进行。　的技术分为两类，即对称加密（私人密钥加密）　电子商务安全具有四大特点：（１）电子商　和非对称加密（公开密钥加密）。对称加密以数　务安全是一个系统概念；（２）电子商务安全是相　据加密标准（ＤＮＳ，Ｄａｔａ　Ｅｎｃｒｙｐｔｉｏｎ　Ｓｔａｎｄａｒｄ）　对的；（３）电子商务安全是有代价的；（４）电子商　算法为典型代表，非对称加密通常以ＲＳＡ　务安全是发展的、动态的。　（Ｒｉｖｅｓｔ　Ｓｈａｍｉｒ　Ａｄｌｅｍａｎ）算法为代表。对称　加密的加密密钥和解密密钥相同，而非对称加　２安全协议与安全标准　密的加密密钥和解密密钥不同，加密密钥可以　（１）安全套接层协议（Ｓｅｃｕｒｅ　Ｓｏｃｋｅｔｓ　公开而解密密钥需要保密。　Ｌａｙｅｒ，ＳＳＬ）。是由美国Ｎｅｔｓｃａｐｅ公司于ｌ９９５年　（２）数字签名技术。数字签名的算法很多，　开发和倡导的，是目前安全电子商务交易中使　应用最为广泛的三种是：Ｈａｓｈ签名、ＤＳＳ签名、　用最多的协议之一。ＳＳＬ协议主要用于提高应　ＲＳＡ签名。①Ｈａｓｈ签名，Ｈａｓｈ签名不属于强计　用程序之间的数据安全系数。　算密集型算法，应用较广泛。很多少量现金付款　（２）安全电子交易规范（Ｓｅｃｕｒｅ　Ｅｌｅｃｔｒｏｎｉｃ　系统，如ＤＥＣ的Ｍｉｌｌｉｃｅｎｔ；￣ＮＣｙｂｅｒＣａｓｈ的　Ｔｒａｎｓａｃｔｉｏｎ，ＳＥＴ）。安全电子交易协议是由美　ＣｙｂｅｒＣｏｉｎ等都使用Ｈａｓｈ签名。使用较快的算　国Ｖｉｓａ￣ＮＭａｓｔｅｒＣａｒｄ两大信用卡组织提出的　法，可以降低服务器资源的消耗，减轻服　应用于Ｉｎｔｅｍｅｔ上的以信用卡为基础的电子支　务器的负荷。Ｈａｓｈ的主要局限是接收方必须持　付系统协议。它采用公钥密码和Ｘ．５０９数　有用户密钥的副本以检验签名，因为双方都　字证书标准，主要应用于Ｂ　ｔｏ　Ｃ模式中保障　知道生成签名的密钥，较容易攻破，存在伪造签　支付信息的安全性。ＳＥＴ协议本身比较复杂，设　名的可能。如果或用户计算机中有一个被　计比较严格，安全性高，它能保证信息传输的机　攻破，那么其安全性就受到了威胁。②ＤＳＳ￣Ｉ　密性、真实性、完整性和不可否认性。ＳＥＴ协议　ＲＳＡ签名，ＤＳＳ￣ＮＲＳＡ采用了公钥算法，不存在　是ＰＫＩ框架下的一个典型实现，同时也在不断　Ｈａｓｈ的局限性。ＲＳＡ是最流行的一种加密标　升级和完善，￣ｎＳＥＴ　２．０将支持借记卡电子交　准，许多产品的内核中都有ＲＳＡ的软件和类　易。　库，早在Ｗｅｂ飞速发展之前，ＲＳＡ数据安全公　８６　科技资讯ＳＣＩＥＮＣＥ＆ＴＥＣＨＮＯＬＯＧＹ　ＩＮＦＯＲＭＡＴＩＯＮ　数据拖到相应的图标上，就完成了电子形式的　数字签名。ＲＳＡ与Ｍｉｃｒｏｓｏｆｔ、ＩＢＭ、Ｓｕｎ和Ｄｉ　一　ｔａｌ都签订了许可协议，使在其生产线上加入了　类似的签名特性。与ＤＳＳ不同，ＲＳＡ既可以用　来加密数据，也可以用于身份认证。和Ｈａｓｈ签　名相比，在公钥系统中，由于生成签名的密钥　只存储于用户的计算机中，安全系数大一些。　（３）身份认证。身份认证又叫身份识别，它　是通信和数据系统正确识别通信用户或终端　的个人身份的重要途径。计算机系统和计算机　网络是一个虚拟的数字世界。如何保证以数字　身份进行操作的操作者就是这个数字身份合　法拥有者，也就是说保证操作者的物理身份与　数字身份相对应，就成为一个很重要的问题。身　份认证技术的诞生就是为了解决这个问题。身　份认证包括口令认证、持证认证、生物识别等几　个方面。　４解决方案　电子商务时代信息安全已直接影响企业　的生存与发展，成为每一个企业决策者所关心　的重要问题。　（１）国外电子商务安全解决方案。例：全球　著名的ＩＢＭ公司已成功为１６００余家企业实施　了电子商务安全解决方案，为企业的网上应用　与网上交易构建了高度安全的运行环境。ＩＢＭ　公司数据安全解决方案主要包含存储、备份和　灾难恢复三方面。具备以下特征：①保密性，防　止重要信息暴露给未经授权的人；②完整性：　防止数据被非法篡改；③可用性：防护设计被员　工意外损坏和外部攻击者破坏。　（２）国内电子商务安全解决方案。例：联想　公司在分析电子政务安全隐患、安全风险和安　全需求的基础上，针对其主要的及尚未成熟的　的方案部分，开发了联想电子商务安全整体解　决方案。包括联想物理隔离解决方案、基础平台　安全解决方案、应用平台解决方案和安全管理　解决方案。　参考文献　【１］赵立平．电子商务概论［Ｍ］．上海：复旦大学　出版社，２０００．