導語：電子商務安全試析論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

一、電子商務安全的具體技術(shù)表現(xiàn)

(一)數(shù)據(jù)的私有性和安全性

如果不采用特別的保護措施，包括電子郵件等在internet中開放傳輸?shù)臄?shù)據(jù)都可能被第三者監(jiān)視和閱讀?？紤]到巨大的傳輸量和難以計數(shù)的傳輸途徑，想任意竊聽一組數(shù)據(jù)傳輸是不可能，但是一些設置在web服務器的黑客程序卻可以查找和收集特定類型的數(shù)據(jù)，這些數(shù)據(jù)包括信用卡、存款的賬號和相應的口令。同時，因為internet的開放性設計，數(shù)據(jù)私有性和安全性還包括數(shù)據(jù)傳輸之外的問題，例如：連入internet的數(shù)據(jù)存儲網(wǎng)絡驅(qū)動器的安全性。所以，任何存儲在web服務器上的數(shù)據(jù)必須采取保護措施。

(二)數(shù)據(jù)的完整性

對完整性的安全威脅也叫主動搭線竊取。當未經(jīng)授權(quán)方改變了信息流時就構(gòu)成了對完整性的安全威脅。未保護的銀行交易很易受到對完整性的攻擊。當然，破壞了完整性也就意味著破壞了保密性，因為能改變信息的竊取者肯定能閱讀此信息。完整性和保密性間的差別在于：對保密性的安全威脅是指某人看到了他不應看到的信息。而對完整性的安全威脅是指某人改動了關(guān)鍵的傳輸。破壞他人網(wǎng)站就是破壞完整性的例子。破壞他人網(wǎng)站是指以電子方式破壞某個網(wǎng)站的網(wǎng)頁。破壞他人網(wǎng)站的行為相當于破壞他人財產(chǎn)或在公共場所涂鴉。當某人用自己的網(wǎng)頁替換某個網(wǎng)站的正常內(nèi)容時，就說發(fā)生了破壞他人網(wǎng)站的行為。由于internct的開放體系，如果具備了特定的知識和工具，則完全可以更改傳輸中的數(shù)據(jù)。同時，要采取適當?shù)拇嫒≡L問控制，以保證數(shù)據(jù)存取系統(tǒng)的安全。在電子商務中務必保存數(shù)據(jù)最初的格式和內(nèi)容。

(三)認證

在猖獗的網(wǎng)絡欺詐或者反悔中，網(wǎng)絡交易者隱身在電腦屏幕背后，身份難以識別的問題是其重要淵源。建立有效的網(wǎng)上交易身份認證機制，提升交易雙方的信用度是有效控制網(wǎng)絡欺詐的重要途徑，對于電子商務的健康發(fā)展有著重要作用。交易方的信用問題已經(jīng)成為制約電子商務發(fā)展的重要瓶頸之一。在現(xiàn)實社會中，即便有著諸多因素的制約，仍然普遍地存在著信用缺乏的現(xiàn)象，建立完善的信用機制已經(jīng)成為社會各界的共識。在電子商務的具體實現(xiàn)中，首先要確認當前的通訊、交易和存取要求是合法的。例如，internet中的計算機系統(tǒng)的身份是其由IP地址確認的。黑客通過IP欺騙，使用虛假的IP地址，從而達到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發(fā)匿名郵件，或者使用不真實的郵件用戶名。因此，在電子商務中必須建立嚴格的身份認證機制，以確保參加交易各方的身份真實有效。

(四)不可否認性

不可否認主要包含數(shù)據(jù)的原始記錄和發(fā)送記錄，確認數(shù)據(jù)已經(jīng)完成發(fā)送和接收，防止接收用戶更改原始記錄，防止用戶在已經(jīng)收到數(shù)據(jù)以后否認收到數(shù)據(jù)，并拖延自己的下一步工作。為了保證交易過程的可操作性，必須采取可靠的方法確保交易過程的真實性，保證參加電子交易的各方承認交易過程的合法性。

簡言之，在internet上實現(xiàn)電子商務面臨的任務：(1)私有性，即保證只有發(fā)送者和接收者可以接觸到信息；(2)完整性，即信息在傳輸過程中未經(jīng)任何改動；(3)身份認證，即接收方可以確信信息來自發(fā)信者，而不是第三者冒名發(fā)送，發(fā)送方可以確信接收方的身份是真實的，而不至于發(fā)往與交易無關(guān)的第三方；(4)不可否認性，在交易數(shù)據(jù)發(fā)送完成以后，雙方都不能否認自己曾經(jīng)發(fā)出或接收過信息。

電子商務面臨的上述問題主要是由對系統(tǒng)的非法入侵造成的。首先是網(wǎng)絡黑客，他們通過發(fā)現(xiàn)web服務器、操作系統(tǒng)或者主頁部件在配置方面的漏洞，攻擊網(wǎng)絡系統(tǒng)。其次是內(nèi)部入侵，這主要是由企業(yè)IT部門的員工造成的，保護網(wǎng)絡的物理安全(如主控機房)及嚴格的口令管理制度，是防范該類問題的關(guān)鍵。還有惡意代碼(如計算機病毒)，它們在企業(yè)的傳播會給電子商務系統(tǒng)造成嚴重的損失。另外，值得關(guān)注的是計算機系統(tǒng)本身的問題，例如，由于電源造成的系統(tǒng)宕機，以及廣域網(wǎng)絡的通訊，這些都會直接造成服務的突然中止，影響電子商務的形象。我們還應關(guān)注系統(tǒng)管理方面的問題，有時電子商務出現(xiàn)的問題既非黑客也非系統(tǒng)本身的毛病，而是源于對敏感數(shù)據(jù)處理不善或者是安全系統(tǒng)(如防火墻)的不正確配置。用戶的身份認證是計算機系統(tǒng)安全的基礎工作，數(shù)字簽名加密等技術(shù)在這里可以充分起到作用。

二、電子商務安全系統(tǒng)關(guān)鍵技術(shù)

(一)ssLVPN技術(shù)

SSL(安全套接層)協(xié)議是一種在Internet上保證發(fā)送信息安全的通用協(xié)議。它處于應用層。SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了在應用程序協(xié)議(如HTTP、Telnet和FTP等)和TCP/IP協(xié)議之間進行數(shù)據(jù)交換的安全機制，為TCP/IP連接提供數(shù)據(jù)加密、服務器認證以及可選的客戶機認證。SSL協(xié)議包括握手協(xié)議、記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)議負責確定用于客戶機和服務器之間的會話加密參數(shù)。記錄協(xié)議用于交換應用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯誤時終止兩個主機之間的會話。

VPN(虛擬專用網(wǎng))則主要應用于虛擬連接網(wǎng)絡，它可以確保數(shù)據(jù)的機密性并且具有一定的訪問控制功能。VPN是一項非常實用的技術(shù)，它可以擴展企業(yè)的內(nèi)部網(wǎng)絡，允許企業(yè)的員工、客戶以及合作伙伴利用Internet訪問企業(yè)網(wǎng)，而成本遠遠低于傳統(tǒng)的專線接人。過去，VPN總是和IPSec聯(lián)系在一起，因為它是VPN加密信息實際用到的協(xié)議。IPSec運行于網(wǎng)絡層，IPSeeVPN則多用于連接兩個網(wǎng)絡或點到點之間的連接。所謂的SSLVPN，其實是YPN設備廠商為了與IPsecVPN區(qū)別所創(chuàng)造出來的名詞，指的是使用者利用瀏覽器內(nèi)建的SecureSocketLayer封包處理功能，用瀏覽器連回公司內(nèi)部SSLVPN服務器，然后透過網(wǎng)絡封包轉(zhuǎn)向的方式，讓使用者可以在遠程計算機執(zhí)行應用程序，讀取公司內(nèi)部服務器數(shù)據(jù)。它采用標準的安全套接層(ssL)對傳輸中的數(shù)據(jù)包進行加密，從而在應用層保護了數(shù)據(jù)的安全性。高質(zhì)量的SSLVPN解決方案可保證企業(yè)進行安全的全局訪問。在不斷擴展的互聯(lián)網(wǎng)Web站點之間、遠程辦公室、傳統(tǒng)交易大廳和客戶端間，SSLVPN克服了IPSecVPN的不足，用戶可以輕松實現(xiàn)安全易用、無需客戶端安裝且配置簡單的遠程訪問，從而降低用戶的總成本并增加遠程用戶的工作效率。而同樣在這些地方，設置傳統(tǒng)的IPSecVPN非常困難，甚至是不可能的，這是由于必須更改網(wǎng)絡地址轉(zhuǎn)換(NAT)和防火墻設置。(二)加密技術(shù)

數(shù)據(jù)加密技術(shù)作為一項基本技術(shù)，是電子商務的基石，是電子商務最基本的信息安全防范措施。其實質(zhì)是對信息進行重新編碼，從而達到隱藏信息內(nèi)容，使非法用戶無法獲取真實信息的一種技術(shù)手段，確保數(shù)據(jù)的保密性?；诩?解密所使用的密鑰是否相同，可分為對稱加密和非對稱加密兩類。

(1)對稱加密。對稱加密的加密密鑰和解密密鑰相同，即在發(fā)送方和接收方進行安全通信之前，商定一個密鑰，用這個密鑰對傳輸數(shù)據(jù)進行加密、解密。對稱加密的突出特點是加解密速度快，效率高，適合對大量數(shù)據(jù)加密。缺點是密鑰的傳輸與交換面臨安全問題，且若和大量用戶通信時，難以安全管理大量密鑰。目前，常用的對稱加密算法有DES、3DES、IDEA、Blowfish等。其中，DES(DataEncryptionStandard)算法由IBM公司設計，是迄今為止應用最廣泛的一種算法，也是一種最具代表性的分組加密體制。DES是一種對二元數(shù)據(jù)進行加密的算法，數(shù)據(jù)分組長度為64bit，密文分組長度也是64bit，沒有數(shù)據(jù)擴展，密鑰長度為64bit，其中有8bit奇偶校驗，有效密鑰長度為56bit。加密過程包括16輪的加密迭代，每輪都采用一種乘積密碼方式(代替和移位)。DES整個體制是公開的，系統(tǒng)的安全性全靠密鑰的保密。DES算法的入口參數(shù)有3個：Key、Data、Mode。其中，Key為8個字節(jié)共64位，是DES算法的工作密鑰。Data也是8個字節(jié)64位，是需被加密或解密的數(shù)據(jù)。Mode為DES的工作方式，分為加密或解密兩種。DES算法的步驟為：如Mode為加密，則用Key去對數(shù)據(jù)進行加密，生成Data的密碼形式(64位)作為DES輸出結(jié)果。如Mode為解密，則用Key去把密碼形式的數(shù)據(jù)Data解密，還原為Data的明碼形式(64位)作為DES的輸出結(jié)果。DES是一種世界公認的較好的加密算法，具有較高的安全性，到目前為止除了用窮舉搜索法對DES算法進行攻擊外，尚未發(fā)現(xiàn)更有效的方法。

(2)非對稱加密。非對稱加密的最大特點是采用兩個密鑰將加密和解密能力分開。一個公開作為加密密鑰；一個為用戶專用，作為解密密鑰，通信雙方無需事先交換密鑰就可進行保密通信。而要從公開的公鑰或密文分析出明文或密鑰，在計算上是不可行的。若以公開鑰作為加密密鑰，以用戶專用鑰作為解密密鑰，則可實現(xiàn)多個用戶加密的信息只能由一個用戶解讀。反之，以用戶專用鑰作為加密密鑰而以公開鑰作為解密密鑰，則可實現(xiàn)由一個用戶加密的消息而使多個用戶解讀，前者可用于保密通信，后者可用于數(shù)字簽字。非對稱加密體制的出現(xiàn)是密碼學史上劃時代的事件，為解決計算機信息網(wǎng)中的安全提供了新的理論技術(shù)基礎。其優(yōu)點是很好地解決了對稱加密中密鑰數(shù)量過多難以管理的不足，且保密性能優(yōu)于對稱加密算法；缺點是算法復雜，加密速度不是很理想。

目前，RSA算法是最著名且應用最廣泛的公鑰算法，其安全性基于模運算的整數(shù)因子分解的困難性。

算法內(nèi)容簡要描述如下：①獨立選取兩大素數(shù)p和q，計算n=p×q；其歐拉函數(shù)值z=(p－1)×(q－1)。②隨機選一整數(shù)e，1≤e由于RSA涉及大數(shù)計算，無論是硬件或軟件實現(xiàn)的效率都比較低，不適用對長的明文加密，常用來對密鑰加密，即與對稱密碼體制結(jié)合使用。

(三)網(wǎng)上交易身份認證機制

網(wǎng)上交易身份認證對于建立電子商務業(yè)界的信用機制起著重要作用，因此如何確認網(wǎng)上交易者的身份便成為諸多電子商務網(wǎng)站迫切希望解決的問題。

(1)在目前網(wǎng)絡法律制度還不健全的時代，自律機制非常重要，網(wǎng)絡交易的有效性和真實性在一定程度上能夠反映這個國家的信用機制的完善程度。相對而言，國外的電子商務信用體系相對較高，其交易身份認證多與信用卡等銀行信用記錄掛鉤，而我國則更多的是通過手機和身份證等方式進行。

(2)一些網(wǎng)上交易平臺為了幫助交易雙方打消顧慮，順利進行交易，提供第三方介入的支付方式，以保護雙方的合法利益，這種機制對于維護網(wǎng)上交易的誠信起到了很好的作用。

(3)電子郵件在電子商務交易中對子商務交易者的身份認證機制起著重要作用。電子郵件一旦重復則易造成無法注冊，甚至很多網(wǎng)站要求用戶兩次輸入有效的電子郵件以進行確認，以確保之后的所有信息能夠順利進行，所有的網(wǎng)站均將用戶的電子郵件作為聯(lián)系用戶和確認用戶諸多信息的重要聯(lián)系方式，其便捷性毋庸置疑。但是，在電子郵件收費的模式基本上發(fā)展前景不甚明朗的今天其有效性和真實性還值得商榷。

(4)用戶注冊中所提交的資料即身份認證過程中會涉及到很多可以列為用戶隱私權(quán)保護的信息，因此，在進行身份認證時還需要考慮隱私權(quán)保護問題?，F(xiàn)在幾乎所有的電子商務網(wǎng)站上都有隱私權(quán)法律聲明，或者在用戶填寫過程中就通過鏈接的形式彈出窗口聲明用戶的這些資料將被用于那些用途。盡管如此，由于網(wǎng)絡上沒有絕對的安全，如果由于技術(shù)上的原因?qū)е掠脩舻纳矸菡J證資料泄露給他人，甚至被他人用于牟利或者其他非法目的，網(wǎng)站是否應該承擔責任、應該承擔什么樣的責任，也是身份認證機制應該考慮的問題。

電子商務的安全問題是利害攸關(guān)的，安全遭到破壞會使他人信息泄露或?qū)е滦畔E用。電子商務安全策略必須明確保密、完整、不可否認的要求。總之，如何建立電子商務安全策略，并逐步完善這個策略，需要政府、電子商務企業(yè)、學者等的共同努力，任重而道遠。

摘要電子商務越來越深入我們的商務活動，但是電子商務模式對管理水平、信息傳遞技術(shù)都提出了更高的要求，其中安全體系的構(gòu)建又顯得尤為重要。如何建立一個安全的電子商務應用環(huán)境，對信息提供足夠的保護，是商家和用戶都十分關(guān)注的話題。本文介紹了電子商務安全的具體特性及常用的安全技術(shù)。

關(guān)鍵詞電子商務；安全；SSL；PKI認證