[關鍵詞]電子商務,安全風險,安全技術,策略
首先,安全是實施電子商務的關鍵。
傳統交易是面對面的,更容易保證交易雙方的信任關系和交易過程的安全性。然而,電子商務活動中的交易是通過互聯網進行的,買賣雙方並不見面,因而缺乏傳統交易中的信任感和安全感。美國密歇根大學的壹個調查機構對23000名互聯網用戶進行的調查顯示,超過60%的人因為電子商務的安全性而不願意進行網上購物。任何個人、企業、商業機構、銀行都不會通過不安全的網絡進行商業交易,導致商業機密信息或個人隱私泄露,從而導致巨大的利益損失。中國互聯網絡信息中心(CNNIC)發布的《中國互聯網絡發展狀況統計報告》顯示,在電子商務中,52.26%的用戶最關心交易的安全性和可靠性。可見,電子商務中的網絡安全和交易安全是實現電子商務的關鍵。
二,電子商務中的安全風險和安全需求
1,電子商務中的安全隱患有:(1)篡改。電子交易信息在網絡傳輸過程中可能被他人非法修改、刪除或重放(指只能使用壹次的信息被多次使用),從而使信息失去真實性和完整性。(2)信息破壞。包括網絡硬件和軟件問題,導致信息傳遞的丟失和謬誤;而壹些惡意程序的破壞導致電子商務信息的破壞。(3)識別。第三方在沒有身份識別的情況下,有可能冒充交易壹方的身份,從而破壞交易,敗壞被假冒方的名譽或者竊取被假冒方的交易結果。沒有身份證明,交易的壹方就無法對自己的行為負責,互相否定和欺騙。(4)信息泄露。主要包括兩個方面,即雙方交易的內容被第三方竊取或壹方提供給另壹方的文件被第三方非法使用。
2.電子商務的安全需求:電子商務的安全需求可以分為兩個方面。壹方面,計算機和網絡系統的安全要求表現為對系統硬件和軟件的安全性和可靠性的要求,以及系統抵禦非法用戶入侵的要求。另壹方面是電子商務信息安全的要求。(1)信息的保密性:是指信息在存儲、傳輸和處理過程中不會被他人竊取。(2)信息完整性:包括信息在存儲中不會被篡改或破壞,傳輸過程中接收到的信息與發送的原始信息的壹致性。(3)信息的不可否認性:是指信息的發送者不能否認已經發出的信息,接收者也不能否認已經收到的信息。(4)交易者身份的真實性:是指交易雙方確實存在,並非假冒。(5)系統可靠性:指計算機和網絡系統的硬件和軟件的可靠性,信息是否會因計算機故障或意外原因而出錯、失效或丟失。
第三,電子商務的安全技術
根據電子商務的這些安全需求,常用的安全技術有:密鑰加密技術、信息摘要技術、數字簽名、數字證書和CA認證。
1.密鑰加密技術:有對稱密鑰加密技術和非對稱密鑰加密技術。
(1)對稱密鑰加密技術:對稱密鑰加密技術采用DES(數據加密標準)算法,要求加密和解密雙方擁有相同的密鑰,密鑰長度壹般為64位或56位。這種加密方式可以解決信息保密的問題,但也帶來了壹些新的問題:壹是在首次通信前,雙方必須通過網絡以外的方式傳遞統壹的密鑰;第二,當通信對象數量增加時,需要相應數量的密鑰,使得密鑰的管理和使用更加困難;第三,對稱加密是基於保密的。在管理和分發密鑰的過程中,任何壹方的泄露都會導致密鑰失效,存在潛在的危險且管理復雜。
(2)非對稱密鑰加密技術:為了克服對稱密鑰加密技術中的密鑰管理和分發問題,1976 Diffie、Hellman和Merkle分別提出了公鑰密碼體制的思想:要求密鑰成對出現,壹個用於加密,壹個用於解密,不可能從壹個推導出另壹個。根據這壹思想,自1976以來,人們提出了許多公鑰加密算法。公鑰加密算法也稱為非對稱密鑰算法。加密和解密使用兩個密鑰,壹個是公鑰,另壹個是私鑰。私鑰只有自己知道並嚴格保管,而公鑰和加密算法可以通過網絡等渠道發布。公鑰加密算法主要有RSA、Fertezza、ElGama等。非對稱加密技術采用RSA算法,該算法由Rivest、Shanir和Adle-man發明。算法如下:公鑰n=pq(p和Q是兩個不同的大素數,必須保密,N的長度大於512bit),壹個數E與(P-1)互質(Q-1),私鑰D = E-1。通信時,發送方用接收方的公鑰加密明文發送,接收方用自己的私鑰解密,既解決了信息保密問題,又克服了對稱加密中的密鑰管理和分發問題。
2.信息抽象技術:密鑰加密技術只能解決信息的保密性問題,信息的完整性可以通過信息抽象技術來保證。Messagedigest又稱哈希算法,是Ron Rivest發明的壹種單向加密算法,是指通過哈希算法從原文中得到壹個固定長度(128位)的哈希值。不同的原文生成的消息摘要必然不同,同壹原文生成的消息摘要必然相同,所以消息摘要類似於人的“指紋”,可以用來鑒別原文的真偽。信息摘要的使用過程如下:1。使用哈希算法獲取原文的信息摘要;2.將信息摘要與原文壹起發送;3.接收者將散列算法應用於接收到的原始文本以生成摘要;4.將接收方生成的摘要與發送方發送的摘要進行比較。如果相同,說明原文在傳輸過程中沒有被修改;否則說明原文被修改了。
3.數字簽名:數字簽名是密鑰加密和信息匯總的結合,可以保證信息的完整性和不可否認性。數字簽名的流程如下:1。發送方用自己的私鑰加密消息摘要;2.發送方將加密的消息摘要與原始文本壹起發送;3.接收者用發送者的公鑰解密接收到的加密摘要;4.接收方使用哈希算法得到接收方的信息摘要;5.將解密的摘要與接收方的消息摘要進行比較,表明同壹消息完整,發送方身份真實;否則,意味著消息已被發送者修改或未發送。
因為私鑰是自己保管的,別人無法復制,發送者也無法否認用自己的私鑰加密的信息,所以數字簽名解決了信息完整性和不可否認性的問題。數字簽名加密不同於密鑰加密。密鑰加密是指發送方用接收方的公鑰加密,接收方用自己的私鑰解密,是多對壹的關系。數字簽名中的加密是發送方用自己的私鑰對摘要進行加密,接收方用發送方的公鑰對數字簽名進行解密,是壹對多的關系,說明公司的任何貿易夥伴都可以驗證數字簽名的真實性。
4.數字證書和CA認證:非對稱加密技術和數字簽名技術都使用公鑰。當交易的壹方通過公開渠道獲得另壹方的公鑰時,就存在這樣的問題:這個公鑰是否真的屬於另壹方,其他人是否會冒用另壹方頒發的公鑰。那麽,如何確認網上交易雙方的真實身份,需要使用認證中心CA頒發的數字證書。
(1)數字證書:數字證書類似於現實生活中的身份證。它是標識網絡用戶身份信息的壹系列數據,用於在網絡應用中識別通信雙方的身份。數字證書采用公鑰體制,即使用壹對匹配的密鑰進行加密和解密。每個用戶都有壹個只有他自己才有的私鑰,用它來解密和數字簽名;同時,它具有可以公開的公鑰,用於信息加密和簽名驗證。在發送機密文檔時,發送方使用接收方的公鑰對數據進行加密,接收方使用自己的私鑰對數據進行解密,使信息安全、正確地到達目的地。用戶可以使用自己的私鑰來處理信息,因為私鑰只有自己擁有,所以可以生成別人無法偽造的文件,這就形成了數字簽名。同時,由於數字簽名與信息的內容有關,如果簽名的文件被更改,數字簽名的驗證過程就會失效,從而保證了文件的完整性。
(2)數字證書內容:主要包括以下內容:1,證書所有者名稱;2.證書所有者的公鑰;3.公鑰有時間限制;4.頒發數字證書的單位;5.頒發數字證書的單位的數字簽名;6.數字證書的序列號等。
(3)證書頒發機構(CA): CA(證書頒發機構是頒發數字證書的第三方機構。在電子交易中,商家、顧客和銀行的身份必須由認證中心進行認證。所以認證中心主要有以下功能:1。頒發證書:驗證申請人信息的真實性,並根據驗證情況決定是否頒發數字證書。2.管理證書:檢查證書、吊銷證書和更新證書。3.證書搜索:查找或下載個人(單位)的數字證書。4.驗證證書:它可以幫助確定數字證書是否已被持有者撤銷。
電子商務的未來是光明的,但道路仍然是曲折的。安全性是阻礙電子商務廣泛應用的最大問題。完善包括數字簽名在內的安全技術措施,確定CA認證權歸屬非常重要。