一、引言
电子商务作为新经济的代言人,集中了当今世界最先进的技术,实现着最快捷的传播和沟通方式。在世界经济一体化中,它改变着人们的思维观念、消费方式和创业模式。电子商务的出现和发展让所有的传统产业面临着巨大的挑战,以互联网为代表的新经济必将成为未来社会发展的主流。由于因特网的开放性,网络安全问题也越来越引起人们的普遍关注。据报道,中国已经成为受到互联网攻击最严重的国家。而电子商务往往和金融系统有着千丝万缕的联系,因而也成为了网络黑客重点攻击的目标。据权威机构调查表明,国内电子商务发展的最大隐患就是网络交易的安全问题。这也是当前发展电子商务最迫切需要解决的问题。
二、电子商务信息安全机制问题
在电子商务领域,最核心的安全问题就是电子交易的安全。如何解决电子交易过程中所面临的身份验证、保护信息机密性、防止信息的非法篡改以及防止交易抵赖等问题,成为了保护电子交易安全机制的关键问题。
(一)身份验证在传统交易方式中,验证双方的真实身份并不是一件非常困难的事情。交易是双方面对面所进行的的活动,因此可以通过查看身份证、出示交易印章等方式验证对方的真实身份。但是在电子交易环境中,双方未曾谋面、相隔遥远,更容易出现假冒、欺诈等违法行为。因此电子商务安全的首要问题就是验证交易双方的身份。
(二)信息机密性电子商务的交易过程通常都是直接在互联网上进行的,如前所述互联网的开放性虽然带来通信与交流的便捷,但也给黑客提供了窃取个人或组织机密信息的可能性。当电子交易双方通过网络交换信息的时候,他们之间传递的机密信息就有可能窃取。进而威胁到个人的隐私或企业单位的经济利益,甚至可能导致商业的巨额损失。因此电子交易双方必须解决如何保护传递的敏感信息,使黑客即使截获了数据也无法破译,进而无法获得真实的通信内容。
(三)信息完整性在电子商务交易过程中,攻击者除了可以破译通信内容,直接威胁通信的机密性之外,还可以通过篡改通信内容实现网络的主动攻击。通过篡改通信内容,是交易双方产生误判,从而使攻击者实现非法目的。因此电子交易双方如何鉴别通信数据是否被篡改过,也成为了保护通信安全的一个重要环节。
(四)信息的不可抵赖性在商务活动中,商业形式千变万化,为了防止交易双方的抵赖行为,人们往往要订立合同,在合同内明确双方同意的条款内容,并要求双方签字盖章。这些手段都是为了防止交易抵赖。但这样的手段在电子交易中就无法实施。电子交易的双方由于互不见面,某方完全有可能出于个人的私利,否认参与过整个交易过程。从而使对方遭受巨大的经济损失。因此,如何防止交易抵赖,保证交易的严肃性和公正性,成为电子商务发展所亟待解决的急切问题。
三、电子商务信息的安全机制
(一)对称和非对称加密机制为了保护电子交易的机密性,我们必须对双方的数据进行加密,防止被截获的数据被轻松破译。加密算法有对称和非对称两种。对称加密算法主要特点是:电子交易双方都必须要拥有共同的共享密钥(即加密密钥和解密密钥相同),并且对称加密算法的运算速度很高,适合大量数据的加密和解密工作。但是对称算法存在的一个重大问题在于:如何安全的传递密钥给通信对方。因为共享密钥是需要在不安全的互联网上直接传递的,如果密钥被截获,那整个加密体制就完全崩溃。非对称加密机制是利用两个不同的密钥来完成数据的加密和解密工作(即公约和私钥),公约和私钥是成对产生的,但公约和私钥相互之间无法直接推算出来。因此,为了保护信息的机密性,我们如果公约来加密的数据,则必须用相应的私钥才能解密;反之,用私钥来加密的数据则只能用对应的公约来解密。公约是完全公开的,任何人均可以获得,而私钥则必须由持有人妥善保管。这样的非对称机制的主要特点在于,为了保护信息的机密性,发送方用对方的公约加密,接收方用自己的私钥解密,在加密数据的传递过程中,即使被截获,截获者也因为无法获得接受者的私钥而无法解密。同时非对称机制可鉴别发送方的身份,使交易不可抵赖,发送方需要用自己的私钥加密数据,将加密数据传递给接收方。接收方如果能够用发送方的公钥解密,则可以充分证明这些数据一定是来自发送方,而不是某个自称发送方的假冒者,因为用发送方的公约能够解密,则完全可以说明数据一定是发送方的私钥加了密。而发送方的私钥只有持有人才知道,因而可以推导出这些数据一定是发送方本人亲自发送的。从而有效地解决了身份验证和防止交易抵赖问题。但非对称体制的缺点在于,加密和解密的运算量非常大,计算速度往往比对称体制慢上百倍。因此实际在电子商务应用中,往往是把对称和非对称加密体制结合起来使用,即发送方用对称体制的共享密钥对数据加密,然后用非对称体制的接收方的公钥对共享密钥加密,然后传给接收方,接收方用自己的私钥将共享密钥解密,再用共享密钥对大量的数据解密。这样的安全设计,既充分发挥了对称体制运算速度快的优势,也利用了非对称传递数据安全的优势。
(二)散列运算防止信息被篡改为了防止电子商务信息被篡改,发送方需要对数据进行散列运算,将散列值(即摘要)连同数据本身发给对方,接收方也将数据重新计算散列值,并将新散列值与传递而来的散列值对照,如果两个散列值相同,则证明数据在传递过程中没有被篡改。因此接受方只要对照散列值,就可以判断电子商务信息信息是否被篡改过。从而有效地解决了信息的完整性问题。
四、结论
通过分析可知,为了保证电子交易的机密性、完整性和身份验证以及防止交易抵赖,我们可以采用综合运用对称和非对称加密体制以及散列运算,从而让电子交易能够在安全有保证的环境中进行,做好电子商务信息安全机制非常重要。
作者:刘蔚洋 单位:重庆市轻工业学校经贸科
