[摘要] 近些年來(lái)電子商務(wù)越來(lái)越流行，而確保電子商務(wù)正常進(jìn)行的數(shù)據(jù)的可靠性、真實(shí)性、保密性越來(lái)越受到人們的關(guān)注。這些問(wèn)題都可以歸結(jié)到信息安全技術(shù)之中，本文簡(jiǎn)要介紹了電子商務(wù)及在電子商務(wù)中信息安全的基本原理，并指出了目前信息安全技術(shù)中的弱點(diǎn)。 一、前言 隨著通信網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和快速普及，人們的消費(fèi)觀念和整個(gè)商務(wù)系統(tǒng)也發(fā)生了巨大了變化，人們更希望通過(guò)網(wǎng)絡(luò)的便利性來(lái)進(jìn)行網(wǎng)絡(luò)采購(gòu)和交易，從而導(dǎo)致了電子商務(wù)（Electronic Commerce）的出現(xiàn)，電子商務(wù)的發(fā)展給人們的工作和生活帶來(lái)了新的嘗試和便利性，但并沒(méi)有像人們想象的那樣普及和深入，一個(gè)很重要的原因就是電子商務(wù)的安全性。美國(guó)密執(zhí)安大學(xué)一個(gè)調(diào)查機(jī)構(gòu)通過(guò)對(duì)23000名因特網(wǎng)用戶(hù)的調(diào)查顯示，超過(guò)60%的人由于擔(dān)心電子商務(wù)的安全問(wèn)題而不愿進(jìn)行網(wǎng)上購(gòu)物。所以，研究和分析電子商務(wù)的安全性問(wèn)題，充分借鑒國(guó)外的先進(jìn)技術(shù)和經(jīng)驗(yàn)，開(kāi)發(fā)和研究出具有獨(dú)立知識(shí)產(chǎn)權(quán)的電子商務(wù)安全產(chǎn)品，這些都成為目前我國(guó)發(fā)展電子商務(wù)的關(guān)鍵。 二、電子商務(wù)中的安全隱患可分為如下幾類(lèi) 1.信息的截獲和竊取。如果沒(méi)有采用加密措施或加密強(qiáng)度不夠，攻擊者可能通過(guò)互聯(lián)網(wǎng)、公共電話(huà)網(wǎng)、搭線、電磁波輻射范圍內(nèi)安裝截收裝置或在數(shù)據(jù)包通過(guò)的網(wǎng)關(guān)和路由器上屆截獲數(shù)據(jù)等方式，獲取輸?shù)臋C(jī)密信息，或通過(guò)對(duì)信息流量和流向、通信頻度和長(zhǎng)度等參數(shù)的分析，推出有用信息，如消費(fèi)者的銀行帳號(hào)、密碼以及企業(yè)的商業(yè)機(jī)密等。 2.信息的篡改。當(dāng)攻擊者熟悉了網(wǎng)絡(luò)信息格式以后，通過(guò)各種技術(shù)方法和手段對(duì)網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途修改，并發(fā)往目的地，從而破壞信息的完整性。這種破壞手段主要有三方面：改變信息流的次序，更改信息的內(nèi)容，如購(gòu)買(mǎi)商品的出貨地址；刪除某個(gè)消息或消息的某些部分；在消息中插入一些信息，讓收方讀不懂或接收錯(cuò)誤的信息。 3.信息假冒。當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息以后，主要用兩種方式進(jìn)行欺騙：一是偽造電子郵件，虛開(kāi)網(wǎng)站和商店，發(fā)大量的電子郵件，竊取商家的商品信息和用戶(hù)信用等信息。另一種為假冒他人身份，冒充他人消費(fèi)或栽贓、冒充網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限、通行字、密鑰等信息等。 4.交易抵賴(lài)。它包括多個(gè)方面，如發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息或內(nèi)容、購(gòu)買(mǎi)者做了定貨單不承認(rèn)、商家賣(mài)出的商品因價(jià)格差而不承認(rèn)原有交易等。 三、電子商務(wù)安全需求 1.機(jī)密性。電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取，一般通過(guò)密碼技術(shù)來(lái)對(duì)傳輸?shù)男畔⑦M(jìn)行加密處理來(lái)實(shí)現(xiàn)。 2.完整性。在電子商務(wù)中由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐等行為，可能會(huì)影響貿(mào)易各方信息的完整性，這將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略，因此保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。完整性一般可通過(guò)提取信息消息摘要的方式來(lái)獲得。 3.認(rèn)證性。由于網(wǎng)絡(luò)電子商務(wù)交易系統(tǒng)的特殊性，要求對(duì)人或?qū)嶓w的身份進(jìn)行鑒別，即交易雙方能夠在相互不見(jiàn)面的情況下確認(rèn)對(duì)方的身份，鑒別服務(wù)一般通過(guò)證書(shū)機(jī)構(gòu)CA和證書(shū)來(lái)實(shí)現(xiàn)。 4.不可抵賴(lài)性。在無(wú)紙化的電子商務(wù)方式下，如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方，這一問(wèn)題是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。因此，要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。不可抵賴(lài)性可通過(guò)對(duì)發(fā)送的消息進(jìn)行數(shù)字簽名來(lái)獲取。 5.有效性。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。因此要對(duì)網(wǎng)絡(luò)故障、硬件故障及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅等加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。 四、電子商務(wù)安全中的主要技術(shù) 1.網(wǎng)絡(luò)安全技術(shù)。網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ)，它所涉及到最重要的就是防火墻技術(shù)。防火墻是建立在通信技術(shù)和信息安全技術(shù)之上，它用于在網(wǎng)絡(luò)之間建立一個(gè)安全屏障，根據(jù)指定的策略對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過(guò)濾、分析和審計(jì)，并對(duì)各種攻擊提供有效的防范，主要用于Internet接入和專(zhuān)用網(wǎng)與公用網(wǎng)之間的安全連接。目前國(guó)內(nèi)使用的防火墻產(chǎn)品都是國(guó)外廠商提供的，由于他們對(duì)加密技術(shù)的限制和保護(hù)，國(guó)內(nèi)無(wú)法得到急需的安全而實(shí)用的網(wǎng)絡(luò)安全系統(tǒng)和數(shù)據(jù)加密軟件。因此我國(guó)也應(yīng)研制開(kāi)發(fā)并采用自己的防火墻系統(tǒng)和數(shù)據(jù)加密軟件，以滿(mǎn)足用戶(hù)和市場(chǎng)的巨大需要。 VPN也使一項(xiàng)保證網(wǎng)絡(luò)安全的技術(shù)之一，它是指在公共網(wǎng)絡(luò)中建立一個(gè)專(zhuān)用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專(zhuān)線，連接上本地的公眾信息網(wǎng)，其各地的分支機(jī)構(gòu)就可以互相之間安全傳遞信息。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問(wèn)、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。 2.加密技術(shù)。加密技術(shù)是保證電子商務(wù)安全的重要手段，它包括私鑰加密和公鑰加密。私鑰加密又稱(chēng)對(duì)稱(chēng)密鑰加密，即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)，目前常用的私鑰加密算法包括DES和IDEA等。對(duì)稱(chēng)加密技術(shù)的最大優(yōu)勢(shì)是加/解密速度快，適合于對(duì)大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。公鑰密鑰加密，又稱(chēng)不對(duì)稱(chēng)密鑰加密系統(tǒng)，它需要使用一對(duì)密鑰來(lái)分別完成家密和解密操作，一個(gè)公開(kāi)發(fā)布，稱(chēng)為公開(kāi)密鑰（Public-Key）；另一個(gè)由用戶(hù)自己秘密保存，稱(chēng)為私有密鑰（Private-Key）。信息發(fā)送者人用公開(kāi)密鑰去加密，而信息接收者則用私有密鑰去解密，常用的算法是RSA、ElGamal等。為了充分利用公鑰密碼和對(duì)稱(chēng)密碼算法的優(yōu)點(diǎn)，克服其缺點(diǎn)，提出混合密碼系統(tǒng)，即所謂的電子信封（envelope）技術(shù)。發(fā)送者自動(dòng)生成對(duì)稱(chēng)密鑰，用對(duì)稱(chēng)密鑰加密鑰發(fā)送的信息，將生成的密文連同用接收方的公鑰加密后的對(duì)稱(chēng)密鑰一起傳送出去。收信者用其秘密密鑰解密被加密的密鑰來(lái)得到對(duì)稱(chēng)密鑰，并用它來(lái)解密密文。 3.數(shù)字簽名。在網(wǎng)絡(luò)環(huán)境中，可以用電子數(shù)字簽名作為模擬，數(shù)字簽名中很常用的就是散列（HASH）函數(shù)，從而為電子商務(wù)提供不可否認(rèn)服務(wù)。把HASH函數(shù)和公鑰算法結(jié)合起來(lái)，可以在提供數(shù)據(jù)完整性的同時(shí)，也可以保證數(shù)據(jù)的真實(shí)性。完整性保證傳輸?shù)臄?shù)據(jù)沒(méi)有被修改，而真實(shí)性則保證是由確定的合法者產(chǎn)生的HASH。把這兩種機(jī)制結(jié)合起來(lái)就可以產(chǎn)生所謂的數(shù)字簽名（Digital Signature）。將報(bào)文按雙方約定的HASH算法計(jì)算得到一個(gè)固定位數(shù)的報(bào)文摘要（Mes-sage Digest）值。只要改動(dòng)報(bào)文的任何一位，重新計(jì)算出的報(bào)文摘要就會(huì)與原先值不符。然后把該報(bào)文的摘要值用發(fā)送者的私人密鑰加密，將該密文同原報(bào)文一起發(fā)送給接收者，所產(chǎn)生的報(bào)文即稱(chēng)數(shù)字簽名。數(shù)字簽名相的優(yōu)點(diǎn)：它不僅與簽名者的私有密鑰有關(guān)，而且與報(bào)文的內(nèi)容有關(guān)，因此不能將簽名者對(duì)一份報(bào)文的簽名復(fù)制到另一份報(bào)文上，同時(shí)也能防止篡改報(bào)文的內(nèi)容。 4.認(rèn)證機(jī)構(gòu)和數(shù)字證書(shū)。對(duì)數(shù)字簽名和公開(kāi)密鑰加密技術(shù)來(lái)說(shuō)，都會(huì)面臨公開(kāi)密鑰的分發(fā)問(wèn)題。必須有一項(xiàng)技術(shù)來(lái)解決公鑰與合法擁有者身份的綁定問(wèn)題。數(shù)字證書(shū)是解決這一問(wèn)題的有效方法。它通常是一個(gè)簽名文檔，標(biāo)記特定對(duì)象的公開(kāi)密鑰。電子證書(shū)由一個(gè)認(rèn)證中心（CA）簽發(fā)，認(rèn)證中心類(lèi)似于現(xiàn)實(shí)生活中公證人的角色，它具有權(quán)威性，是一個(gè)普遍可信的第三方。當(dāng)通信雙方都信任同一個(gè)CA時(shí)，兩者就可以得到對(duì)方的公開(kāi)密鑰從而能進(jìn)行秘密通信、簽名和檢驗(yàn)。證書(shū)機(jī)構(gòu)CA（Certification Authority）是一個(gè)可信的第三方實(shí)體，其主要職責(zé)是保證用戶(hù)的真實(shí)性。網(wǎng)絡(luò)用戶(hù)的電子身份（electronic identity）是由CA來(lái)發(fā)布的，也就是說(shuō)他是被CA所信任的，該電子身份就成為數(shù)字證書(shū)。護(hù)照頒發(fā)機(jī)構(gòu)和證書(shū)機(jī)構(gòu)CA都是由策略和物理元素構(gòu)成。在護(hù)照頒發(fā)機(jī)構(gòu)，有一套由政府確定的政策來(lái)判定那些人可信任為公民，以及護(hù)照的頒發(fā)過(guò)程。一個(gè)CA系統(tǒng)也可以看成由許多人組成的一個(gè)組織，它用于指定網(wǎng)絡(luò)安全策略，并決定組織中的那些人可以發(fā)給一個(gè)在網(wǎng)絡(luò)上使用的電子身份。 五、結(jié)論 安全是電子商務(wù)的核心和靈魂，沒(méi)有安全保障的電子商務(wù)應(yīng)用只是虛偽的炒作或欺騙，任何獨(dú)立的個(gè)人或團(tuán)體都不會(huì)愿意讓自己的敏感信息在不安全的電子商務(wù)流程中傳輸。一句話(huà)：網(wǎng)絡(luò)應(yīng)用，安全為本。只要我國(guó)堅(jiān)持在吸收、引進(jìn)的前提下，組織各方面力量，獨(dú)立研制和開(kāi)發(fā)具有獨(dú)立知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)安全和電子商務(wù)安全產(chǎn)品，逐步掌握電子商務(wù)安全的核心技術(shù)，并從宏觀上進(jìn)行調(diào)節(jié)和控制，我國(guó)的電子商務(wù)安全現(xiàn)狀一定會(huì)得到極大的改善，為我國(guó)電子商務(wù)的真正發(fā)展構(gòu)筑一道牢不可破的堅(jiān)固屏障。