1、引言
电子商务是通过电信网络进行电子支付来得到信息产品或递送实物产品的承诺。相对于传统商务模式来说,电子商务具有高效、便携、低成本等特点。伴随着通信技术与计算机网络技术的飞速发展,电子商务的发展空前繁荣,受到全球范围的广泛关注,给人类生活带来了巨大的影响。电子商务所依赖的Internet具有虚拟性、动态性、高度开放性等特点,使电子商务面临众多的威胁与安全隐患,严重制约其进一步发展和应用。因此,安全问题成为电子商务发展的主要障碍和关键,电子商务安全技术也成为各界关注、研究的热点。
2、安全问题
目前电子商务所面临的安全问题主要包括以下几个方面。
(1)窃取信息
数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。
(2)篡改信息
攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。
(3)身份仿冒
攻击者运用非法手段盗用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。
(4)抵赖
某些用户对发出或收到的信息进行恶意否认,以逃避应承担的责任。
(5)病毒
网络化,特别是Internet的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。
(6)其他安全威胁
电子商务的安全威胁种类繁多,有故意的也有偶然的,存在于各种潜在方面。例如:业务流分析,操作人员的不慎重所导致的信息泄露,媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。
3、安全要求
从电子商务的安全要素出发分析电子商务的安全性问题,主要包括以下几个方面。
(1)有效性
有效性是开展电子商务的前提,要求对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定时刻、确定地点是有效的。
(2)机密性
电子商务是建立在一个较为开放的网络环境上(尤其Internet具有更大开放性),维护商业机密是电子商务全面推广应用的重要保障,必须预防非法的信息存取和信息在传输中被非法窃取。
(3)完整性
保持贸易各方信息的完整性是电子商务应用的基础,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
(4)可靠性/不可抵赖性/可鉴别性
如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题是保证电子商务顺利进行的关键。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
(5)审查能力
根据机密性和完整性的要求,应对数据审查的结果进行记录。
4、安全技术
(1)加密技术
数据加密技术作为一项基本技术,是电子商务的基石,是电子商务最基本的信息安全防范措施。其实质是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获取真实信息的一种技术手段,确保数据的保密性。
基于加/解密所使用的密钥是否相同可分为对称加密和非对称加密两类。
●对称加密
对称加密的加密密钥和解密密钥相同,即在发送方和接收方进行安全通信之前,商定一个密钥,用这个密钥对传输数据进行加密、解密。对称加密的突出特点是加解密速度快,效率高,适合对大量数据加密;缺点是密钥的传输与交换面临安全问题,且若和大量用户通信时,难以安全管理大量密钥。目前常用的对称加密算法有DES、3DES、IDEA、Blowfish等。
其中,DES(Data Encryption Standard)算法由IBM公司设计,是迄今为止应用最广泛的一种算法,也是一种最具代表性的分组加密体制。DES是一种对二元数据进行加密的算法,数据分组长度为64bit,密文分组长度也是64bit,没有数据扩展,密钥长度为64bit,其中有8bit奇偶校验,有效密钥长度为56bit。加密过程包括16轮的加密迭代,每轮都采用一种乘积密码方式(代替和移位)。DES整个体制是公开的,系统的安全性全靠密钥的保密。DES算法的入口参数有3个:Key、Data、Mode。其中,Key为8个字节共64位,是DES算法的工作密钥;Data也是8个字节64位,是需被加密或解密的数据;Mode为DES的工作方式,分为加密或解密两种。DES算法的步骤为:如Mode为加密,则用Key去对数据进行加密,生成Data的密码形式(64位)作为DES输出结果;如Mode为解密,则用Key去把密码形式的数据Data解密,还原为Data的明码形式(64位)作为DES的输出结果。DES是一种世界公认的较好的加密算法,具有较高的安全性,到目前为止除了用穷举搜索法对DES算法进行攻击外,尚未发现更有效的方法。