[摘 要]文章主要从技术角度阐述了电子商务信息安全问题, 详细说明了电子商务信息存在的问题, 并提出了相应的 技术解决方案。 [关键词]电子商务 信息安全 数据加密 网络安全 1、电子商务信息安全问题 由于Internet 本身的开放性, 使电子商务系统面临着各种 各样的安全威胁。目前电子商务主要存在的安全隐患有以下几 个方面: 1. 1 身份冒充问题 攻击者通过非法手段盗用合法用户的身份信息, 仿冒合法 用户的身份与他人进行交易, 进行信息欺诈与信息破坏, 从而获 得非法利益。主要表现有: 冒充他人身份; 冒充他人消费、栽赃; 冒充主机欺骗合法主机及合法用户等。 1. 2 网络信息安全问题 主要表现在攻击者在网络的传输信道上, 通过物理或逻辑 的手段, 进行信息截获、篡改、删除、插入。截获, 攻击者可能通过 分析网络物理线路传输时的各种特征, 截获机密信息或有用信 息, 如消费者的账号、密码等。篡改, 即改变信息流的次序, 更改 信息的内容; 删除, 即删除某个信息或信息的某些部分; 插入, 即 在信息中插入一些信息, 让收方读不懂或接受错误的信息。 1. 3 拒绝服务问题 攻击者使合法接入的信息、业务或其他资源受阻。主要表现 为散布虚假资讯, 扰乱正常的资讯通道。包括: 虚开网站和商店, 给用户发电子邮件, 收订货单; 伪造大量用户, 发电子邮件, 穷尽 商家资源, 使合法用户不能正常访问网络资源, 使有严格时间要 求的服务不能及时得到响应。 1. 4 交易双方抵赖问题 某些用户可能对自己发出的信息进行恶意的否认, 以推卸 自己应承担的责任. 如: 发布者事后否认曾经发送过某条信息或 内容; 收信者事后否认曾经收到过某条信息或内容; 购买者做了 订货单不承认; 商家卖出的商品质量差但不承认原有的交易。在 网络世界里谁为交易双方的纠纷进行公证、仲裁。 1. 5 计算机系统安全问题 计算机系统是进行电子商务的基本设备, 如果不注意安全 问题, 它一样会威胁到电子商务的信息安全。计算机设备本身存 在物理损坏, 数据丢失, 信息泄露等问题。计算机系统也经常会 遭受非法的入侵攻击以及计算机病毒的破坏。同时, 计算机系统 存在工作人员管理的问题, 如果职责不清, 权限不明同样会影响 计算机系统的安全。 2、电子商务安全机制 2. 1 加密和隐藏机制 加密使信息改变, 攻击者无法读懂信息的内容从而保护信 息; 而隐藏则是将有用的信息隐藏在其他信息中, 使攻击者无法 发现, 不仅实现了信息的保密, 也保护了通信本身。 2. 2 认证机制 网络安全的基本机制, 网络设备之间应互相认证对方身份, 以保证正确的操作权力赋予和数据的存取控制。网络也必须认 证用户的身份, 以保证正确的用户进行正确的操作并进行正确 的审计。 2. 3 审计机制 审计是防止内部犯罪和事故后调查取证的基础, 通过对一 些重要的事件进行记录, 从而在系统发现错误或受到攻击时能 定位错误和找到攻击成功的原因。审计信息应具有防止非法删 除和修改的措施。 2. 4 完整性保护机制 用于防止非法篡改, 利用密码理论的完整性保护能够很好 地对付非法篡改。完整性的另一用途是提供不可抵赖服务, 当信 息源的完整性可以被验证却无法模仿时, 收到信息的一方可以 认定信息的发送者, 数字签名就可以提供这种手段。 2. 5 权力控制和存取控制机制 主机系统必备的安全手段, 系统根据正确的认证, 赋予某用 户适当的操作权力, 使其不能进行越权的操作。该机制一般采用 角色管理办法, 针对系统需要定义各种角色, 如经理、会计等, 然 后对他们赋予不同的执行权利。 2. 6 业务填充机制 在业务闲时发送无用的随机数据, 增加攻击者通过通信流 量获得信息的困难。同时, 也增加了密码通信的破译难度。发送 的随机数据应具有良好模拟性能, 能够以假乱真。 3、电子商务安全关键技术 安全问题是电子商务的核心, 为了满足安全服务方面的要 求, 除了网络本身运行的安全外, 电子商务系统还必须利用各种 安全技术保证整个电子商务过程的安全与完整, 并实现交易的 防抵赖性等, 综合起来主要有以下几种技术。 3. 1 防火墙技术 现有的防火墙技术包括两大类: 数据包过滤和代理服务技 术。其中最简单和最常用的是包过滤防火墙, 它检查接受到的每 个数据包的头, 以决定该数据包是否发送到目的地。由于防火墙 能够对进出的数据进行有选择的过滤, 所以可以有效地避免对 其进行的有意或无意的攻击, 从而保证了专用私有网的安全。将 包过滤防火墙与代理服务器结合起来使用是解决网络安全问题 的一种非常有效的策略。防火墙技术的局限性主要在于: ①防火 墙技术只能防止经由防火墙的攻击, 不能防止网络内部用户对 于网络的攻击。②防火墙不能保证数据的秘密性, 也不能保证网 络不受病毒的攻击, 它只能有效地保护企业内部网络不受主动 攻击和入侵。 3. 2 虚拟专网技术(V PN ) V PN 的实现过程使用了安全隧道技术、信息加密技术、用 户认证技术、访问控制技术等。V PN 具投资小、易管理、适应性 强等优点。V PN 可帮助远程用户、公司分支机构、商业伙伴及供 应商与公司的内部网之间建立可信的安全连接, 并保证数据的 安全传输, 以此达到在公共的Internet 上或企业局域网之间实 现完全的电子交易的目的。 3. 3 数据加密技术 加密技术是保证电子商务系统安全所采用的最基本的安全 措施, 它用于满足电子商务对保密性的需求。加密技术分为常规 密钥密码体系和公开密钥密码体系两大类。如果进行通信的交 易各方能够确保在密钥交换阶段未曾发生私有密钥泄露, 可通 过常规密钥密码体系的方法加密机密信息, 并随报文发送报文 摘要和报文散列值, 以保证报文的机密性和完整性。目前常用的 常规密钥密码体系的算法有: 数据加密标准DES、三重DES、国 际数据加密算法IDEA 等, 其中DES 使用最普遍, 被ISO 采用为 数据加密的标准。在公开密钥密码体系中, 加密密钥是公开信 息, 而解密密钥是需要保护的, 加密算法和解密算法也都是公开 的。典型的公开密钥密码体系有: 基于数论中大数分解的RSA体系、基于N P 完全理论的M erkel- Hellman 背包体系和基于编 码理论的M cEliece 体系。在以上两类加密体系中, 常规密钥密 码体系的特点是加密速度快、效率高, 被广泛用于大量数据的加 密, 但该方法的致命缺点是密钥的传输易被截获, 难以安全管理 大量的密钥, 因此大范围应用存在一定问题。而公开密钥密码体 系很好地解决了上述不足, 保密性能也优于常规密钥密码体系, 但公开密钥密码体系复杂, 加密速度不够理想。目前电子商务实 际运用中常将两者结合使用。 3. 4 安全认证技术 安全认证技术主要有: ①数字摘要技术, 可以验证通过网络 传输收到的明文是否被篡改, 从而保证数据的完整性和有效性。 ②数字签名技术, 能够实现对原始报文的鉴别和不可否认性, 同 时还能阻止伪造签名。③数字时间戳技术, 用于提供电子文件发 表时间的安全保护。④数字凭证技术, 又称为数字证书, 负责用 电子手段来证实用户的身份和对网络资源访问的权限。⑤认证 中心, 负责审核用户的真实身份并对此提供证明, 而不介入具体 的认证过程, 从而缓解了可信第三方的系统瓶颈问题, 而且只须 管理每个用户的一个公开密钥, 大大降低了密钥管理的复杂性, 这些优点使得非对称密钥认证系统可用于用户众多的大规模网 络系统。⑥智能卡技术, 它不但提供读写数据和存储数据的能 力, 而且还具有对数据进行处理的能力, 可以实现对数据的加密 和解密, 能进行数字签名和验证数字签名, 其存储器部分具有外 部不可读特性。采用智能卡, 可使身份识别更有效、安全, 但它仅 仅为身份识别提供一个硬件基础, 如果要使身份认证更安全, 还 需要与安全协议的配合。 3. 5 电子商务安全协议 不同交易协议的复杂性、开销、安全性各不相同, 同时不同 的应用环境对协议目标的要求也不尽相同。目前比较成熟的协 议有: ①N etbill 协议, 是由J. D. Tygar 等设计和开发的关于数 字商品的电子商务协议, 该协议假定了一个可信赖的第三方, 将 商品的传送和支付链接到一个原子事务中。②匿名原子交易协 议, 由J. D. Tygar 首次提出, 具有匿名性和原子性, 对著名的数 字现金协议进行了补充和修改, 改进了传统的分布式系统中常 用的两阶段提交, 引入了除客户、商家和银行之外的独立第四方 —— 交易日志(T ransact ion log) 以取代两阶段提交协议中的协 调者(Coo rdinato r)。③安全电子交易协议SET, 由V ISA 公司和 M asterCard 公司联合开发设计。SET 用于划分与界定电子商务 活动中消费者、网上商家、交易双方银行、信用卡组织之间的权 利义务关系, 它可以对交易各方进行认证, 防止商家欺诈。SET 协议开销较大, 客户、商家、银行都要安装相应软件。④安全套接 字层协议SSL , 是目前使用最广泛的电子商务协议, 它由 N etscape 公司于1996 年设计开发。它位于运输层和应用层之 间, 能很好地封装应用层数据, 不用改变位于应用层的应用程 序, 对用户透明。然而, SSL 并不专为支持电子商务而设计, 只支 持双方认证, 只能保证传送信息传送过程中不因被截而泄密, 不 能防止商家利用获取的信用卡号进行欺诈。⑤JEP I (Jo int Elect ronic Payment Init iat ive) , 是为了解决众多协议间的不兼 容性而提出来的, 是现有HTTP 协议的扩展, 在普遍HTTP 协议 之上增加了PEP ( P ro toco l Extension P ro toco l ) 和U PP (U niversal Payment P reamble) 两层结构, 其目的不是提出一种 新的电子支付手段, 而是在允许多种支付系统并存的情况下, 帮 助商家和顾客双方选取一个合适的支付系统。 4、结束语 信息安全是电子商务发展的基础, 随着电子商务的发展, 通 过各种网络的交易手段也会更加多样化, 安全问题变得更加突 出。为了解决好这个问题, 必须有安全技术作保障。目前, 防火墙 技术、网络扫描技术, 数据加密技术和计算系统安全技术发挥着 重要的作用, 此外, 需要完善法律制度、管理制度和诚信制度, 保 证电子商务信息安全, 加快电子商务的发展。 参考文献 [ 1 ]肖德琴. 电子商务安全保密技术与应用. 华南理工大学 出版社, 2003. 9 [2 ]黄红兵. 电子商务安全面临的问题及解决策略[J ]. 商场 现代化, 2005 (18) [ 3 ]B ruce Schneier. 吴世忠, 祝世雄等译. 应用密码学. 机械 工业出版社, 2004. 10 [ 4 ]王锋, 杨坚争. 电子商务交易风险与安全保障[M ]. 北 京: 科学出版社, 2005. 09: 67- 69