【摘要】本文分析了電子商務(wù)所面臨的網(wǎng)絡(luò)安全問(wèn)題，并探討了加強(qiáng)網(wǎng)絡(luò)安全保護(hù)電子交易的相關(guān)技術(shù)與實(shí)現(xiàn)方式，并分析了如何在電子商務(wù)交易中避免交易抵賴(lài)行為、驗(yàn)證雙方身份以及保護(hù)通信安全的相關(guān)安全措施。

【關(guān)鍵詞】電子商務(wù) 網(wǎng)絡(luò)安全 安全機(jī)制

一、引言

電子商務(wù)作為新經(jīng)濟(jì)的代言人，集中了當(dāng)今世界最先進(jìn)的技術(shù)，實(shí)現(xiàn)著最快捷的傳播和溝通方式。在世界經(jīng)濟(jì)一體化中，它改變著人們的思維觀(guān)念、消費(fèi)方式和創(chuàng)業(yè)模式。電子商務(wù)的出現(xiàn)和發(fā)展讓所有的傳統(tǒng)產(chǎn)業(yè)面臨著巨大的挑戰(zhàn)，以互聯(lián)網(wǎng)為代表的新經(jīng)濟(jì)必將成為未來(lái)社會(huì)發(fā)展的主流。

由于因特網(wǎng)的開(kāi)放性，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越引起人們的普遍關(guān)注。據(jù)報(bào)道，中國(guó)已經(jīng)成為受到互聯(lián)網(wǎng)攻擊最嚴(yán)重的國(guó)家。而電子商務(wù)往往和金融系統(tǒng)有著千絲萬(wàn)縷的聯(lián)系，因而也成為了網(wǎng)絡(luò)黑客重點(diǎn)攻擊的目標(biāo)。據(jù)權(quán)威機(jī)構(gòu)調(diào)查表明，國(guó)內(nèi)電子商務(wù)發(fā)展的最大隱患就是網(wǎng)絡(luò)交易的安全問(wèn)題。這也是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問(wèn)題。

二、電子商務(wù)安全問(wèn)題

在電子商務(wù)領(lǐng)域，最核心的安全問(wèn)題就是電子交易的安全。如何解決電子交易過(guò)程中所面臨的身份驗(yàn)證、保護(hù)信息機(jī)密性、防止信息的非法篡改以及防止交易抵賴(lài)等問(wèn)題，成為了保護(hù)電子交易安全的關(guān)鍵問(wèn)題。

（一）身份驗(yàn)證

在傳統(tǒng)交易方式中，驗(yàn)證雙方的真實(shí)身份并不是一件非常困難的事情。交易是雙方面對(duì)面所進(jìn)行的的活動(dòng)，因此可以通過(guò)查看身份證、出示交易印章等方式驗(yàn)證對(duì)方的真實(shí)身份。但是在電子交易環(huán)境中，雙方未曾謀面、相隔遙遠(yuǎn)，更容易出現(xiàn)假冒、欺詐等違法行為。因此電子商務(wù)安全的首要問(wèn)題就是驗(yàn)證交易雙方的身份。

（二）信息機(jī)密性

電子商務(wù)的交易過(guò)程通常都是直接在互聯(lián)網(wǎng)上進(jìn)行的，如前所述互聯(lián)網(wǎng)的開(kāi)放性雖然帶來(lái)通信與交流的便捷，但也給黑客提供了竊取個(gè)人或組織機(jī)密信息的可能性。當(dāng)電子交易雙方通過(guò)網(wǎng)絡(luò)交換信息的時(shí)候，他們之間傳遞的機(jī)密信息就有可能竊取。進(jìn)而威脅到個(gè)人的隱私或企業(yè)單位的經(jīng)濟(jì)利益，甚至可能導(dǎo)致商業(yè)的巨額損失。因此電子交易雙方必須解決如何保護(hù)傳遞的敏感信息，使黑客即使截獲了數(shù)據(jù)也無(wú)法破譯，進(jìn)而無(wú)法獲得真實(shí)的通信內(nèi)容。

（三）信息完整性

在電子商務(wù)交易過(guò)程中，攻擊者除了可以破譯通信內(nèi)容，直接威脅通信的機(jī)密性之外，還可以通過(guò)篡改通信內(nèi)容實(shí)現(xiàn)網(wǎng)絡(luò)的主動(dòng)攻擊。通過(guò)篡改通信內(nèi)容，是交易雙方產(chǎn)生誤判，從而使攻擊者實(shí)現(xiàn)非法目的。因此電子交易雙方如何鑒別通信數(shù)據(jù)是否被篡改過(guò)，也成為了保護(hù)通信安全的一個(gè)重要環(huán)節(jié)。

（四）信息的不可抵賴(lài)性

在商務(wù)活動(dòng)中，商業(yè)形式千變?nèi)f化，為了防止交易雙方的抵賴(lài)行為，人們往往要訂立合同，在合同內(nèi)明確雙方同意的條款內(nèi)容，并要求雙方簽字蓋章。這些手段都是為了防止交易抵賴(lài)。但這樣的手段在電子交易中就無(wú)法實(shí)施。電子交易的雙方由于互不見(jiàn)面，某方完全有可能出于個(gè)人的私利，否認(rèn)參與過(guò)整個(gè)交易過(guò)程。從而使對(duì)方遭受巨大的經(jīng)濟(jì)損失。因此，如何防止交易抵賴(lài)，保證交易的嚴(yán)肅性和公正性，成為電子商務(wù)發(fā)展所亟待解決的急切問(wèn)題。

三、電子商務(wù)的安全機(jī)制

（一）對(duì)稱(chēng)和非對(duì)稱(chēng)加密機(jī)制

為了保護(hù)電子交易的機(jī)密性，我們必須對(duì)雙方的數(shù)據(jù)進(jìn)行加密，防止被截獲的數(shù)據(jù)被輕松破譯。加密算法有對(duì)稱(chēng)和非對(duì)稱(chēng)兩種。對(duì)稱(chēng)加密算法主要特點(diǎn)是：電子交易雙方都必須要擁有共同的共享密鑰（即加密密鑰和解密密鑰相同），并且對(duì)稱(chēng)加密算法的運(yùn)算速度很高，適合大量數(shù)據(jù)的加密和解密工作。但是對(duì)稱(chēng)算法存在的一個(gè)重大問(wèn)題在于：如何安全的傳遞密鑰給通信對(duì)方。因?yàn)楣蚕砻荑€是需要在不安全的互聯(lián)網(wǎng)上直接傳遞的，如果密鑰被截獲，那整個(gè)加密體制就完全崩潰。

非對(duì)稱(chēng)加密機(jī)制是利用兩個(gè)不同的密鑰來(lái)完成數(shù)據(jù)的加密和解密工作（即公約和私鑰），公約和私鑰是成對(duì)產(chǎn)生的，但公約和私鑰相互之間無(wú)法直接推算出來(lái)。因此，為了保護(hù)信息的機(jī)密性，我們?nèi)绻s來(lái)加密的數(shù)據(jù)，則必須用相應(yīng)的私鑰才能解密；反之，用私鑰來(lái)加密的數(shù)據(jù)則只能用對(duì)應(yīng)的公約來(lái)解密。公約是完全公開(kāi)的，任何人均可以獲得，而私鑰則必須由持有人妥善保管。這樣的非對(duì)稱(chēng)機(jī)制的主要特點(diǎn)在于，為了保護(hù)信息的機(jī)密性，發(fā)送方用對(duì)方的公約加密，接收方用自己的私鑰解密，在加密數(shù)據(jù)的傳遞過(guò)程中，即使被截獲，截獲者也因?yàn)闊o(wú)法獲得接受者的私鑰而無(wú)法解密。同時(shí)非對(duì)稱(chēng)機(jī)制可鑒別發(fā)送方的身份，使交易不可抵賴(lài)，發(fā)送方需要用自己的私鑰加密數(shù)據(jù)，將加密數(shù)據(jù)傳遞給接收方。接收方如果能夠用發(fā)送方的公鑰解密，則可以充分證明這些數(shù)據(jù)一定是來(lái)自發(fā)送方，而不是某個(gè)自稱(chēng)發(fā)送方的假冒者，因?yàn)橛冒l(fā)送方的公約能夠解密，則完全可以說(shuō)明數(shù)據(jù)一定是發(fā)送方的私鑰加了密。而發(fā)送方的私鑰只有持有人才知道，因而可以推導(dǎo)出這些數(shù)據(jù)一定是發(fā)送方本人親自發(fā)送的。從而有效地解決了身份驗(yàn)證和防止交易抵賴(lài)問(wèn)題。

但非對(duì)稱(chēng)體制的缺點(diǎn)在于，加密和解密的運(yùn)算量非常大，計(jì)算速度往往比對(duì)稱(chēng)體制慢上百倍。因此實(shí)際在電子商務(wù)應(yīng)用中，往往是把對(duì)稱(chēng)和非對(duì)稱(chēng)加密體制結(jié)合起來(lái)使用，即發(fā)送方用對(duì)稱(chēng)體制的共享密鑰對(duì)數(shù)據(jù)加密，然后用非對(duì)稱(chēng)體制的接收方的公鑰對(duì)共享密鑰加密，然后傳給接收方，接收方用自己的私鑰將共享密鑰解密，再用共享密鑰對(duì)大量的數(shù)據(jù)解密。

這樣的安全設(shè)計(jì)，既充分發(fā)揮了對(duì)稱(chēng)體制運(yùn)算速度快的優(yōu)勢(shì)，也利用了非對(duì)稱(chēng)傳遞數(shù)據(jù)安全的優(yōu)勢(shì)。

（二）散列運(yùn)算防止信息被篡改

為了防止信息被篡改，發(fā)送方需要對(duì)數(shù)據(jù)進(jìn)行散列運(yùn)算，將散列值（即摘要）連同數(shù)據(jù)本身發(fā)給對(duì)方，接收方也將數(shù)據(jù)重新計(jì)算散列值，并將新散列值與傳遞而來(lái)的散列值對(duì)照，如果兩個(gè)散列值相同，則證明數(shù)據(jù)在傳遞過(guò)程中沒(méi)有被篡改。因此接受方只要對(duì)照散列值，就可以判斷信息是否被篡改過(guò)。從而有效地解決了信息的完整性問(wèn)題。

四、結(jié)論

通過(guò)分析可知，為了保證電子交易的機(jī)密性、完整性和身份驗(yàn)證以及防止交易抵賴(lài)，我們可以采用綜合運(yùn)用對(duì)稱(chēng)和非對(duì)稱(chēng)加密體制以及散列運(yùn)算，從而讓電子交易能夠在安全有保證的環(huán)境中進(jìn)行。

參考文獻(xiàn)

[1]宋劍杰，陳春橋.電子商務(wù)項(xiàng)目化教程[M].北京：北京交通大學(xué)出版社，2011，234-271.

[2]馮思泉，藺玉珂.網(wǎng)絡(luò)操作系統(tǒng)項(xiàng)目教程[M].北京：中國(guó)水利水電出版社，2014，157-166.

[3]李玉海，桂學(xué)勤.電子商務(wù)安全問(wèn)題及其解決方案[J].電子商務(wù)，2006，12：51-55.

[4]劉俊杰，閆宏生.電子商務(wù)安全技術(shù)淺析[J].科技信息，2011，26：84-95.

作者簡(jiǎn)介：劉蔚洋（1982-），女，重慶人，助教，管理學(xué)士，主要研究方向：電子商務(wù)。