电子商务交易安全与网络安全

随着电子商务在全球范围内迅勐发展,电子商务中的安全问题日渐突出,由于电子商务涉及的领域包括密码学、计算机网络、操作系统、数据库、安全协议、通信技术、电子技术等,是一个多种技术的集合体,所以其安全问题更复杂,面临的挑战和威胁更严峻。电子商务安全简单可分为两类:交易安全和网络安全。本章将简单介绍交易安全,重点介绍网络安全。

一、交易安全

交易安全需求包含4个方面:机密性、完整性、认证性和不可抵赖性。理论上在保证网络安全的基础上,现在成熟的技术基本可以实现这4个方面的安全需求。

1.机密性

为了保证交易传输的安全性,网络传输数据采用加密技术传输。现在,专用密钥加密(如3DES、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、PGP和EU)可用来保证传输的机密性。公钥加密(非对称加密算法)的特征是收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导解密密钥,它能抵抗到目前为止已知的所有密码攻击。

2.完整性

为了防止数据传输的意外差错、信息丢失或欺骗行为,可能导致交易各方信息的差异,可通过提取数字认证技术来保障。数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。随着商家在电子商务中越来越多地使用加密技术,人们希望有一个可信的第三方,以便对有关数据进行数字认证。目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性。

3.认证性

企业或个人的交易通常都是在虚拟的网络环境中进行,所以对个人或企业实体进行身份确认就成为电子商务中很重要的一环。一般采用证书机构(CA)和证书来实现。CA是提供交易双方身份认证并保证交易安全进行的第三方服务机构,它承担网上安全电子交易认证服务,能签发数字证书,并能确认用户的身份。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。

4.不可抵赖性

电子交易通信过程的各个环节都必须是不可否认的,可通过对发送的消息进行数字签名来实现。“数字签名”是通过密码技术实现电子交易安全的形象说法,是电子签名的主要实现形式。它力图解决互联网交易面临的几个根本问题:数据保密、数据不被篡改、交易方能互相验证身份、交易发起方对自己的数据不能否认。“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。

二、网络安全

电子商务市场规模飞速发展,从2004年的49亿元激增至2014年的12.3万亿元。在如此大的市场规模下,必然有越来越多的企业要进入电子商务领域分一杯羹。而在其蓬勃发展的表象背后,安全现状令人担忧。表19-1中的事件是近几年部分电商暴露的一些安全问题,而这些仅仅是冰山一角,还有很多未被公开的。

表19-1 部分电商暴露的安全问题

电子商务交易安全与网络安全

电子商务交易安全与网络安全