[摘要] 近些年來電子商務(wù)越來越流行，而確保電子商務(wù)正常進(jìn)行的數(shù)據(jù)的可靠性、真實(shí)性、保密性越來越受到人們的關(guān)注。這些問題都可以歸結(jié)到信息安全技術(shù)之中，本文簡要介紹了電子商務(wù)及在電子商務(wù)中信息安全的基本原理，并指出了目前信息安全技術(shù)中的弱點(diǎn)。 一、前言 隨著通信網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和快速普及，人們的消費(fèi)觀念和整個(gè)商務(wù)系統(tǒng)也發(fā)生了巨大了變化，人們更希望通過網(wǎng)絡(luò)的便利性來進(jìn)行網(wǎng)絡(luò)采購和交易，從而導(dǎo)致了電子商務(wù)（Electronic Commerce）的出現(xiàn)，電子商務(wù)的發(fā)展給人們的工作和生活帶來了新的嘗試和便利性，但并沒有像人們想象的那樣普及和深入，一個(gè)很重要的原因就是電子商務(wù)的安全性。美國密執(zhí)安大學(xué)一個(gè)調(diào)查機(jī)構(gòu)通過對23000名因特網(wǎng)用戶的調(diào)查顯示，超過60%的人由于擔(dān)心電子商務(wù)的安全問題而不愿進(jìn)行網(wǎng)上購物。所以，研究和分析電子商務(wù)的安全性問題，充分借鑒國外的先進(jìn)技術(shù)和經(jīng)驗(yàn)，開發(fā)和研究出具有獨(dú)立知識產(chǎn)權(quán)的電子商務(wù)安全產(chǎn)品，這些都成為目前我國發(fā)展電子商務(wù)的關(guān)鍵。 二、電子商務(wù)中的安全隱患可分為如下幾類 1.信息的截獲和竊取。如果沒有采用加密措施或加密強(qiáng)度不夠，攻擊者可能通過互聯(lián)網(wǎng)、公共電話網(wǎng)、搭線、電磁波輻射范圍內(nèi)安裝截收裝置或在數(shù)據(jù)包通過的網(wǎng)關(guān)和路由器上屆截獲數(shù)據(jù)等方式，獲取輸?shù)臋C(jī)密信息，或通過對信息流量和流向、通信頻度和長度等參數(shù)的分析，推出有用信息，如消費(fèi)者的銀行帳號、密碼以及企業(yè)的商業(yè)機(jī)密等。 2.信息的篡改。當(dāng)攻擊者熟悉了網(wǎng)絡(luò)信息格式以后，通過各種技術(shù)方法和手段對網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途修改，并發(fā)往目的地，從而破壞信息的完整性。這種破壞手段主要有三方面：改變信息流的次序，更改信息的內(nèi)容，如購買商品的出貨地址；刪除某個(gè)消息或消息的某些部分；在消息中插入一些信息，讓收方讀不懂或接收錯(cuò)誤的信息。 3.信息假冒。當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息以后，主要用兩種方式進(jìn)行欺騙：一是偽造電子郵件，虛開網(wǎng)站和商店，發(fā)大量的電子郵件，竊取商家的商品信息和用戶信用等信息。另一種為假冒他人身份，冒充他人消費(fèi)或栽贓、冒充網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限、通行字、密鑰等信息等。 4.交易抵賴。它包括多個(gè)方面，如發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容、購買者做了定貨單不承認(rèn)、商家賣出的商品因價(jià)格差而不承認(rèn)原有交易等。 三、電子商務(wù)安全需求 1.機(jī)密性。電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國家的商業(yè)機(jī)密，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取，一般通過密碼技術(shù)來對傳輸?shù)男畔⑦M(jìn)行加密處理來實(shí)現(xiàn)。 2.完整性。在電子商務(wù)中由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐等行為，可能會影響貿(mào)易各方信息的完整性，這將影響到貿(mào)易各方的交易和經(jīng)營策略，因此保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。完整性一般可通過提取信息消息摘要的方式來獲得。 3.認(rèn)證性。由于網(wǎng)絡(luò)電子商務(wù)交易系統(tǒng)的特殊性，要求對人或?qū)嶓w的身份進(jìn)行鑒別，即交易雙方能夠在相互不見面的情況下確認(rèn)對方的身份，鑒別服務(wù)一般通過證書機(jī)構(gòu)CA和證書來實(shí)現(xiàn)。 4.不可抵賴性。在無紙化的電子商務(wù)方式下，如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方，這一問題是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。因此，要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識。不可抵賴性可通過對發(fā)送的消息進(jìn)行數(shù)字簽名來獲取。 5.有效性。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。因此要對網(wǎng)絡(luò)故障、硬件故障及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅等加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。 四、電子商務(wù)安全中的主要技術(shù) 1.網(wǎng)絡(luò)安全技術(shù)。網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ)，它所涉及到最重要的就是防火墻技術(shù)。防火墻是建立在通信技術(shù)和信息安全技術(shù)之上，它用于在網(wǎng)絡(luò)之間建立一個(gè)安全屏障，根據(jù)指定的策略對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾、分析和審計(jì)，并對各種攻擊提供有效的防范，主要用于Internet接入和專用網(wǎng)與公用網(wǎng)之間的安全連接。目前國內(nèi)使用的防火墻產(chǎn)品都是國外廠商提供的，由于他們對加密技術(shù)的限制和保護(hù)，國內(nèi)無法得到急需的安全而實(shí)用的網(wǎng)絡(luò)安全系統(tǒng)和數(shù)據(jù)加密軟件。因此我國也應(yīng)研制開發(fā)并采用自己的防火墻系統(tǒng)和數(shù)據(jù)加密軟件，以滿足用戶和市場的巨大需要。 VPN也使一項(xiàng)保證網(wǎng)絡(luò)安全的技術(shù)之一，它是指在公共網(wǎng)絡(luò)中建立一個(gè)專用網(wǎng)絡(luò)，數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，其各地的分支機(jī)構(gòu)就可以互相之間安全傳遞信息。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。 2.加密技術(shù)。加密技術(shù)是保證電子商務(wù)安全的重要手段，它包括私鑰加密和公鑰加密。私鑰加密又稱對稱密鑰加密，即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)，目前常用的私鑰加密算法包括DES和IDEA等。對稱加密技術(shù)的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。公鑰密鑰加密，又稱不對稱密鑰加密系統(tǒng)，它需要使用一對密鑰來分別完成家密和解密操作，一個(gè)公開發(fā)布，稱為公開密鑰（Public-Key）；另一個(gè)由用戶自己秘密保存，稱為私有密鑰（Private-Key）。信息發(fā)送者人用公開密鑰去加密，而信息接收者則用私有密鑰去解密，常用的算法是RSA、ElGamal等。為了充分利用公鑰密碼和對稱密碼算法的優(yōu)點(diǎn)，克服其缺點(diǎn)，提出混合密碼系統(tǒng)，即所謂的電子信封（envelope）技術(shù)。發(fā)送者自動(dòng)生成對稱密鑰，用對稱密鑰加密鑰發(fā)送的信息，將生成的密文連同用接收方的公鑰加密后的對稱密鑰一起傳送出去。收信者用其秘密密鑰解密被加密的密鑰來得到對稱密鑰，并用它來解密密文。 3.數(shù)字簽名。在網(wǎng)絡(luò)環(huán)境中，可以用電子數(shù)字簽名作為模擬，數(shù)字簽名中很常用的就是散列（HASH）函數(shù)，從而為電子商務(wù)提供不可否認(rèn)服務(wù)。把HASH函數(shù)和公鑰算法結(jié)合起來，可以在提供數(shù)據(jù)完整性的同時(shí)，也可以保證數(shù)據(jù)的真實(shí)性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改，而真實(shí)性則保證是由確定的合法者產(chǎn)生的HASH。把這兩種機(jī)制結(jié)合起來就可以產(chǎn)生所謂的數(shù)字簽名（Digital Signature）。將報(bào)文按雙方約定的HASH算法計(jì)算得到一個(gè)固定位數(shù)的報(bào)文摘要（Mes-sage Digest）值。只要改動(dòng)報(bào)文的任何一位，重新計(jì)算出的報(bào)文摘要就會與原先值不符。然后把該報(bào)文的摘要值用發(fā)送者的私人密鑰加密，將該密文同原報(bào)文一起發(fā)送給接收者，所產(chǎn)生的報(bào)文即稱數(shù)字簽名。數(shù)字簽名相的優(yōu)點(diǎn)：它不僅與簽名者的私有密鑰有關(guān)，而且與報(bào)文的內(nèi)容有關(guān)，因此不能將簽名者對一份報(bào)文的簽名復(fù)制到另一份報(bào)文上，同時(shí)也能防止篡改報(bào)文的內(nèi)容。 4.認(rèn)證機(jī)構(gòu)和數(shù)字證書。對數(shù)字簽名和公開密鑰加密技術(shù)來說，都會面臨公開密鑰的分發(fā)問題。必須有一項(xiàng)技術(shù)來解決公鑰與合法擁有者身份的綁定問題。數(shù)字證書是解決這一問題的有效方法。它通常是一個(gè)簽名文檔，標(biāo)記特定對象的公開密鑰。電子證書由一個(gè)認(rèn)證中心（CA）簽發(fā)，認(rèn)證中心類似于現(xiàn)實(shí)生活中公證人的角色，它具有權(quán)威性，是一個(gè)普遍可信的第三方。當(dāng)通信雙方都信任同一個(gè)CA時(shí)，兩者就可以得到對方的公開密鑰從而能進(jìn)行秘密通信、簽名和檢驗(yàn)。證書機(jī)構(gòu)CA（Certification Authority）是一個(gè)可信的第三方實(shí)體，其主要職責(zé)是保證用戶的真實(shí)性。網(wǎng)絡(luò)用戶的電子身份（electronic identity）是由CA來發(fā)布的，也就是說他是被CA所信任的，該電子身份就成為數(shù)字證書。護(hù)照頒發(fā)機(jī)構(gòu)和證書機(jī)構(gòu)CA都是由策略和物理元素構(gòu)成。在護(hù)照頒發(fā)機(jī)構(gòu)，有一套由政府確定的政策來判定那些人可信任為公民，以及護(hù)照的頒發(fā)過程。一個(gè)CA系統(tǒng)也可以看成由許多人組成的一個(gè)組織，它用于指定網(wǎng)絡(luò)安全策略，并決定組織中的那些人可以發(fā)給一個(gè)在網(wǎng)絡(luò)上使用的電子身份。 五、結(jié)論 安全是電子商務(wù)的核心和靈魂，沒有安全保障的電子商務(wù)應(yīng)用只是虛偽的炒作或欺騙，任何獨(dú)立的個(gè)人或團(tuán)體都不會愿意讓自己的敏感信息在不安全的電子商務(wù)流程中傳輸。一句話：網(wǎng)絡(luò)應(yīng)用，安全為本。只要我國堅(jiān)持在吸收、引進(jìn)的前提下，組織各方面力量，獨(dú)立研制和開發(fā)具有獨(dú)立知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全和電子商務(wù)安全產(chǎn)品，逐步掌握電子商務(wù)安全的核心技術(shù)，并從宏觀上進(jìn)行調(diào)節(jié)和控制，我國的電子商務(wù)安全現(xiàn)狀一定會得到極大的改善，為我國電子商務(wù)的真正發(fā)展構(gòu)筑一道牢不可破的堅(jiān)固屏障。