浅析电子商务交易的安全问题网经社电子商务研究中心电商门户互联网+智库

当前位置：100EC>行业研究>浅析电子商务交易的安全问题

浅析电子商务交易的安全问题

作者：来源：发布时间：2011年02月24日 10:49:12

(电子商务研究中心讯)　　[摘要]电子商务交易的核心问题是安全问题。本文针对电子商务交易中存在的主要安全问题,阐明了目前解决电子商务交易的安全问题的主要技术及措施。

　　一、引言

　　电子商务是在Internet开放的网络环境下,实现消费者在线购物、企业之间的在线交易和网上电子支付的一种新型的交易方式。由于电子商务具有低成本、高效益、全球性等特点使其很快遍及全世界。电子商务已成为世界经济最具活力的增长点,它的应用将给社会和经济发展带来巨大的变革。然而,目前世界通过电子商务方式完成的贸易额只占同期全球贸易额中的一小部分。究其原因,电子商务是一个复杂的系统工程,它的应用还依靠相应的社会问题和技术问题的逐步解决与完善。其中,电子商务的安全问题是制约电子商务发展的最关键问题。

　　二、电子商务交易的安全威胁与安全需求

　　1.安全威胁。电子商务交易中,比较容易受到以下的安全威胁,这些安全威胁经常都会对电子商务造成非常严重的后果:一是交易信息的窃取与篡改,即网络交易中用明文传输的数据被非法入侵者截获并破译之后,进行非法篡改、删除或插入,使信息的完整性遭受破坏。二是信息的假冒,即网络非法攻击者通过假冒合法用户或者模拟虚假信息来实施诈骗行为。

　　2.安全需求。电子商务交易过程有以下的安全需求,分别是信息的保密性、完整性和不可否认性。电子商务信息的保密性,指的是信息不泄露给非授权用户、实体或过程,或供其利用的特性。电子商务信息的完整性,指的是数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。电子商务信息的不可否认性,指的是避免发生交易中的某一方在进行某种交易行为之后,否认自己曾经进行过该商务行为;或者某一方否认自己曾经接收到对方发出的交易信息。

　　三、电子商务交易的主要安全技术

　　1.加密技术是电子商务的最基本的安全技术。在目前技术条件下,加密技术通常分为对称加密和非对称加密两类。

　　(1)对称密钥加密:采用相同的加密算法,并且加密和解密都使用相同的密钥。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密机密信息,并随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的最核心环节。目前常用的对称加密算法有DES、PCR、IDEA、3DES等。其中DES使用最常用,被国际标准化组织采用作为数据加密的标准。

　　(2)非对称密钥加密:非对称加密不同于对称加密,其密钥对被分为公开密钥和私有密钥。密钥对生成后,公开密钥对外公开,而私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的发布者,而发布者在得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法有RSA算法。该算法已被国际标准化组织的数据加密技术分委员会推荐为非对称密钥数据加密标准。

　　在对称和非对称两类加密方法中,对称加密的优点是加密速度快(通常比非对称加密快10倍以上)、效率高,被广泛用于大量数据的加密。但该方法的致命缺点是密钥的传输与交换也面临着安全问题,密钥易被截取,而且,若和大量用户进行通信,难以安全管理大量的密钥对,因此对称加密大范围应用存在一定问题。而非对称密钥则相反,其优点是解决了对称加密中密钥数量过多难管理和费用高的不足,也不必担心传输中私有密钥的泄露,保密性能优于对称加密技术。但非对称的缺点是加密算法复杂,加密速度不很理想。目前.电子商务实际运用中常常是两者结合使用。

　　2.身份认证技术。目前电子商务交易中仅有加密技术不足以保证交易安全,身份认证技术是保证电子商务安全的另一重要技术手段。身份认证的实现包括数字签名技术、数字证书技术等。

　　(1)数字签名技术

　　对信息加密只解决了信息传输过程中的保密问题,而防止他人对传输的信息进行篡改或破坏,保证信息的完整性,以及保证信息发送者对发送信息的不可抵赖性,需要采用其它的手段,这一手段就是数字签名。数字签名技术即进行身份认证的技术。在数字化文档上的数字签名类似于纸张上的手写签名,是不可伪造的。接收者能够验证文档确实来自签名者,并且签名后文档没有被修改过,从而保证信息的真实性和完整性。

　　目前的数字签名是建立在公共密钥体制基础上,它是公用密钥加密技术的另一类应用。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:信息是由签名者发送的;信息自签发后到收到为止未作过任何修改。目前数字签名方法主要有三种,即:RSA签名、DSS签名和Hash签名。这三种算法可单独使用,也可综合在一起使用。

　　(2)数字证书技术

　　在公共密钥体制中,私钥只有信息发送者知道,而与之匹配的公钥是公开的,它能保证传输信息的保密性,但没有解决公钥的分发方式。数字签名保证了信息是由签名者发送的以及信息自签发后到收到为止未曾作过任何修改,但不能保证签名者身份的真实性。因此需要有一种措施来管理公钥分发,保证公钥以及与公钥有关的实体身份信息的真实性。这一措施就是数字证书。数字证书是一般由具有权威性、可信任性的第三方机构即认证机构CA所颁发。数字证书是公共密钥体制中的密钥管理媒介,并将公钥和实体身份信息绑定在一起,并包含认证机构的数字签名。数字证书在电子商务中用于公钥的分发、传递,证明电子商务实体身份与公钥相匹配。

　　四、总结

　　加密技术和身份认证技术是电子商务交易安全的基础技术,加密技术用于对信息的加密,保证信息的机密性。数字签名和数字信封技术应用了加密技术,建立在公共密钥体制基础上。数字签名技术对信息进行数字签名,保证信息的完整性和不可抵赖性。数字证书技术是对加密技术和数字签名进行支持的技术,用于管理公钥分发,保证公钥以及与公钥有关的实体身份信息的真实性。因此,电子证书必须由权威的第三方认证中心签发。（文/陈平兰唐振武编选：网经社）

浙江网经社信息科技公司拥有17年历史，作为中国领先的数字经济新媒体、服务商，提供“媒体+智库”、“会员+孵化”服务；（1）面向电商平台、头部服务商等PR条线提供媒体传播服务；（2）面向各类企事业单位、政府部门、培训机构、电商平台等提供智库服务；（3）面向各类电商渠道方、品牌方、商家、供应链公司等提供“千电万商”生态圈服务；（4）面向各类初创公司提供创业孵化器服务。

网经社“电数宝”电商大数据库（DATA.100EC.CN，免费注册体验全库）基于电商行业17年沉淀，包含100+上市公司、新三板公司数据，150+独角兽、200+千里马公司数据，4000+起投融资数据以及10万+互联网APP数据，全面覆盖“头部+腰部+长尾”电商，旨在通过数据可视化形式帮助了解电商行业，挖掘行业市场潜力，助力企业决策，做电商人研究、决策的“好参谋”。