導(dǎo)語(yǔ)：淺談電子商務(wù)安全策略一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

[摘要]隨著Internet的不斷發(fā)展，在世界范圍內(nèi)掀起了一股電子商務(wù)熱潮。電子商務(wù)代表著未來貿(mào)易方式的發(fā)展方向，其應(yīng)用和推廣將給社會(huì)和經(jīng)濟(jì)帶來極大的效益。本文討論了電子商務(wù)應(yīng)用中所存在的安全問題，對(duì)電子商務(wù)的策略和安全性技術(shù)進(jìn)行了分析。

[關(guān)鍵詞]電子商務(wù)安全密碼認(rèn)證協(xié)議

隨著Internet的全面普及，基于互聯(lián)網(wǎng)的電子商務(wù)也應(yīng)運(yùn)而生，電子商務(wù)是網(wǎng)絡(luò)技術(shù)應(yīng)用的全新發(fā)展方向，電子商務(wù)自然非常便捷、高效和低成本，成為一種全新的商務(wù)模式，被許多經(jīng)濟(jì)專家認(rèn)為是新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)。同時(shí)，這種電子商務(wù)模式對(duì)管理水平、信息傳遞技術(shù)都提出了更高的要求，其中安全體系的構(gòu)建又顯得尤為重要，電子商務(wù)是建立在一個(gè)非常開放的互聯(lián)網(wǎng)基礎(chǔ)上，如何辨別對(duì)方身份，如何保證交易信息的安全，是大家最關(guān)心的問題。如何建立一個(gè)安全、便捷的電于商務(wù)應(yīng)用環(huán)境，對(duì)信息提供足夠的保護(hù)，也已成為電子商務(wù)的核心問題。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過程中系統(tǒng)的安全性，即保證基于互聯(lián)網(wǎng)的電子交易過程與傳統(tǒng)交易的方式一樣安全可靠。

一、電子商務(wù)安全的要素

1.有效性。電子商務(wù)以電子形式取代了紙張,那么如何保證這種電子形式的貿(mào)易信息的有效性則是開展電子商務(wù)的前提。因此,要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤、黑客及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。

2.機(jī)密性。電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)開放的網(wǎng)絡(luò)環(huán)境上的，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。

3.完整性。電子商務(wù)簡(jiǎn)化了貿(mào)易過程,減少了人為的干預(yù),同時(shí)也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)、數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同，它將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略。因此,要預(yù)防對(duì)信息的隨意生成、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。

4.可靠性/不可抵賴性/鑒別。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方這一問題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在傳統(tǒng)的貿(mào)易中,貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。電子商務(wù)方式下,通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的各方提供可靠的標(biāo)識(shí)。

5.審查能力。根據(jù)機(jī)密性和完整性的要求,應(yīng)對(duì)數(shù)據(jù)審查的結(jié)果進(jìn)行記錄。

二、電子商務(wù)安全的主要問題與技術(shù)

電子商務(wù)實(shí)質(zhì)是電子方式的貿(mào)易活動(dòng)，它利用簡(jiǎn)單快捷低成本的電子通訊方式，使買賣雙方進(jìn)行各種商貿(mào)活動(dòng)的新型貿(mào)易形式。它不僅改變了企業(yè)本身的生產(chǎn)、經(jīng)營(yíng)、管理活動(dòng)，而且將導(dǎo)致人類經(jīng)濟(jì)、社會(huì)和文化的一次新的革命。

電子商務(wù)安全的主要問題主要有以下幾個(gè)方面的問題：

1.篡改。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)剡^程中，可能被他人非法的修改，刪除或重放（指只能使用一次的信息被多次使用），從而使信息失去了真實(shí)性和完整性。

2.信息破壞。包括網(wǎng)絡(luò)硬件和軟件的問題而導(dǎo)致信息傳遞的丟失與謬誤；以及一些惡意程序的破壞而導(dǎo)致電子商務(wù)信息遭到破壞。

3.身份識(shí)別。如果不進(jìn)行身份識(shí)別，第三方就有可能假冒交易一方的身份，以破壞交易，敗壞被假冒一方的聲譽(yù)或盜竊被假冒一方的交易成果等。而不進(jìn)行身份識(shí)別，交易的一方可不為自己的行為負(fù)責(zé)任，進(jìn)行否認(rèn)，相互欺詐。

4.信息泄密。主要包括兩個(gè)方面，即交易雙方進(jìn)行交易的內(nèi)容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。

由于電子商務(wù)涉及到金融、企業(yè)商家等各個(gè)方面的利益，它必須采用行之有效的手段來保證電子商務(wù)系統(tǒng)的安全運(yùn)行。安全性技術(shù)是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素，也是目前大家十分關(guān)注的問題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性，但現(xiàn)在幾乎網(wǎng)絡(luò)的各個(gè)層次都制定了安全協(xié)議和具備了相應(yīng)的安全技術(shù)，以保證電子商務(wù)的安全性。電子商務(wù)的安全性策略可分為兩大部分，一部分是計(jì)算機(jī)網(wǎng)絡(luò)安全，第二部分是商務(wù)交易安全。電子商務(wù)中的安全性技術(shù)主要有以下幾種：

1.密碼技術(shù)。密碼技術(shù)是一種主動(dòng)的信息安全防范措施，它是將明文轉(zhuǎn)換成為無意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。

目前，獲得廣泛應(yīng)用的兩種加密技術(shù)是對(duì)稱密鑰加密體制和非對(duì)稱密鑰加密體制。在對(duì)稱密鑰加密體制中，信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)。它的最優(yōu)是加/解密速度快、參與方采用相同的加密算法共享的專用密鑰。如果進(jìn)行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機(jī)密性和報(bào)文完整性就可以通過使用對(duì)稱加密方法對(duì)機(jī)密信息進(jìn)行加密以及通過隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來實(shí)現(xiàn)。適合于對(duì)大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。目前常用的對(duì)稱加密算法有：美國(guó)國(guó)家標(biāo)準(zhǔn)局提出DES算法、由瑞士聯(lián)邦理工學(xué)院的IDEA算法等等。非對(duì)稱密鑰加密體制，密鑰被分解為一對(duì)，并使用一對(duì)密鑰來分別完成加密和解密操作，一個(gè)公開，即公開密鑰，另一個(gè)由用戶自己秘密保存，即私用密鑰。信息發(fā)送者用公開密鑰去加密，而信息接收者則用私用密鑰去解密。公鑰機(jī)制靈活，但加密和解密速度卻比對(duì)稱密鑰加密慢得多。一般用公鑰來進(jìn)行加密，用私鑰來進(jìn)行簽名；同時(shí)私鑰用來解密，公鑰用來驗(yàn)證簽名。算法的加密強(qiáng)度主要取決于選定的密鑰長(zhǎng)度。目前常用的非對(duì)稱加密算法有：麻省理工學(xué)院的RSA算法、美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)的SHA算法等等。

2.認(rèn)證技術(shù)。安全認(rèn)證的主要作用是進(jìn)行信息認(rèn)證。信息認(rèn)證的目的為:(1)確認(rèn)信息發(fā)送者的身份;（2）驗(yàn)證信息的完整性，即確認(rèn)信息在傳送或存儲(chǔ)過程中未被篡改過。認(rèn)證技術(shù)主要有安全認(rèn)證技術(shù)和安全認(rèn)證機(jī)構(gòu)兩個(gè)方面。

傳統(tǒng)的對(duì)稱密鑰算法具有加密強(qiáng)度高、運(yùn)算速度快的優(yōu)點(diǎn)，但密鑰的傳遞與管理問題限制了它的一些應(yīng)用。在非對(duì)稱密鑰加密體制下，算法的加密強(qiáng)度主要取決于選定的密鑰長(zhǎng)度。隨著認(rèn)證中心(或稱CA中心)的出現(xiàn)，使得開放網(wǎng)絡(luò)的安全問題得到了比較好的解決。所謂CA（CertificateAuthority）認(rèn)證機(jī)構(gòu)，它是采用PKI（PublicKeyInfrastructure）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，利用數(shù)字證書、非對(duì)稱和對(duì)稱加密算法、數(shù)字簽名、數(shù)字信封等加密技術(shù)，建立起安全程度極高的加解密和身份認(rèn)證系統(tǒng)，確保電子交易有效、安全地進(jìn)行，從而使信息除發(fā)送方和接收方外，不被其他方知悉（保密性）；保證傳輸過程中不被篡改（完整性和一致性）；發(fā)送方確信接收方不是假冒的（身份的真實(shí)性和不可偽裝性）；發(fā)送方不能否認(rèn)自己的發(fā)送行為（不可抵賴性）。電子商務(wù)安全性的解決，大大地推動(dòng)了電子商務(wù)的發(fā)展。在電子交易中，無論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書的發(fā)放，都不是靠交易雙方自己能完成的，而需要有一個(gè)具有權(quán)威性和公正性的第三方來完成。CA認(rèn)證機(jī)構(gòu)作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)，專門負(fù)責(zé)發(fā)放并管理所有參與網(wǎng)上交易的實(shí)體所需的數(shù)字證書。它作為一個(gè)權(quán)威機(jī)構(gòu)，對(duì)密鑰進(jìn)行有效地管理，頒發(fā)證書證明密鑰的有效性，并將公開密鑰同某一個(gè)實(shí)體（包括消費(fèi)者、商戶、銀行，甚至設(shè)備、域名、IP地址等）聯(lián)系在一起。它的作用就像現(xiàn)實(shí)生活中頒發(fā)證件的機(jī)構(gòu)，如公安機(jī)關(guān)。認(rèn)證中心（CA）就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書的管理。

有了數(shù)字證書，你就可以以你身份在網(wǎng)上支持?jǐn)?shù)字證書應(yīng)用的場(chǎng)合下進(jìn)行各種網(wǎng)上活動(dòng)。比如，發(fā)送安全電子郵件，數(shù)字證書登錄系統(tǒng)，各種文件、表單的數(shù)字簽名，專門的數(shù)據(jù)加密等等。當(dāng)然，如果證書是頒發(fā)給服務(wù)器，則可以用來保障該網(wǎng)站（域名）或IP的真實(shí)性。

3.安全認(rèn)證協(xié)議。目前電子商務(wù)中經(jīng)常使用的有安全套接層SSL（SecureSocketsLayer）協(xié)議和安全電子交易SET（SecureElectronicTransaction）協(xié)議兩種安全認(rèn)證協(xié)議。

(1)安全套接層（SSL）協(xié)議。SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務(wù)器之間的安全連接技術(shù)。SSL協(xié)議的概念可以被概括為：它是一個(gè)保證任何安裝了安全套接層的客戶和服務(wù)器間事務(wù)安全的協(xié)議，該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。目的是為用戶提供Internet和企業(yè)內(nèi)聯(lián)網(wǎng)的安全通信服務(wù)。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如HTTP、FTP、TELNET等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL協(xié)議握手流程由兩個(gè)階段組成：服務(wù)器認(rèn)證和用戶認(rèn)證。

SSL采用了公開密鑰和專有密鑰兩種加密：在建立連接過程中采用公開密鑰；在會(huì)話過程中使用專有密鑰。加密的類型和強(qiáng)度則在兩端之間建立連接的過程中判斷決定。它保證了客戶和服務(wù)器間事務(wù)的安全性。

SSL協(xié)議提供“通道安全性”有以下三個(gè)性質(zhì):

a.通道是保密的。一個(gè)簡(jiǎn)單的握手確定密鑰之后,所有的消息被加密。

b.通道是被認(rèn)證的。通話的服務(wù)器端總是被認(rèn)證,客戶端可選認(rèn)證。

c.通道是可靠的。用MAC對(duì)傳送的消息進(jìn)行完整性檢查。

中國(guó)目前多家銀行均采用SSL協(xié)議，如在目前中國(guó)的電子商務(wù)系統(tǒng)中能完成實(shí)時(shí)支付，用的最多的招行一網(wǎng)通采用的就是SSL協(xié)議。所以，從目前實(shí)際使用的情況看，SSL還是人們最信賴的協(xié)議。

（2)安全電子交易（SET）協(xié)議。SET協(xié)議是針對(duì)開放網(wǎng)絡(luò)上安全、有效的銀行卡交易，由維薩（Visa）公司和萬(wàn)事達(dá)（Mastercard）公司聯(lián)合研制的，為Internet上卡支付交易提供高層的安全和反欺詐保證。由于它得到了IBM、HP、Microsoft等很多大公司的支持，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，目前已獲得IETF標(biāo)準(zhǔn)的認(rèn)可。這是一個(gè)為Internet上進(jìn)行在線交易而設(shè)立的一個(gè)開放的、以電子貨幣為基礎(chǔ)的電子付款規(guī)范。

SET在保留對(duì)客戶信用卡認(rèn)證的前提下，又增加了對(duì)商家身份的認(rèn)證，這對(duì)于需要支付貨幣的交易來講是至關(guān)重要的。SET將建立一種能在Internet上安全使用銀行卡購(gòu)物的標(biāo)準(zhǔn)。安全電子交易規(guī)范是一種為基于信用卡而進(jìn)行的電子交易提供安全措施的規(guī)則，SET協(xié)議保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和防抵賴性，且SET協(xié)議采用了雙重簽名來保證各參與方信息的相互隔離，使商家只能看到持卡人的訂購(gòu)數(shù)據(jù)，而銀行只能取得持卡人的信用卡信息。所以它是一種能廣泛應(yīng)用于Internet上的安全電子付款協(xié)議，它能夠?qū)⑵毡閼?yīng)用的信用卡的使用場(chǎng)所從目前的商店擴(kuò)展到消費(fèi)者家里，擴(kuò)展到消費(fèi)者個(gè)人計(jì)算機(jī)中。

4.其他安全技術(shù)。電子商務(wù)安全中，常用的方法還有網(wǎng)絡(luò)中采用防火墻技術(shù)、虛擬專用網(wǎng)（VPN）技術(shù)、防病毒保護(hù)等。如果單純依靠某個(gè)單項(xiàng)電子商務(wù)安全技術(shù)是不夠的，還必須與其他安全措施綜合使用才能為用戶提供更為可靠的電子商務(wù)安全基石。