1.保密。電子商務信息作為壹種貿易手段,直接代表著個人、企業或國家的商業秘密。傳統的紙張貿易是通過郵寄密封信件或通過可靠的通信渠道發送商業消息來保密。電子商務是建立在壹個相對開放的網絡環境上的(尤其是互聯網是壹個更加開放的網絡),保守商業秘密是電子商務全面普及應用的重要保證。因此,必須防止在傳輸過程中非法獲取信息和非法竊取信息。保密性通常是通過加密技術對傳輸的信息進行加密來實現的。
2.正直。電子商務簡化了貿易過程,減少了人為幹預,同時也帶來了維護貿易各方商務信息完整性和統壹性的問題。由於數據輸入中的意外錯誤或欺詐行為,交易方的信息可能會有所不同。此外,數據傳輸過程中的信息丟失、信息重復或信息傳輸順序的不同,也會導致交易各方之間的信息差異。交易方信息的完整性會影響交易方的交易和經營策略,維護交易方信息的完整性是電子商務應用的基礎。因此,要防止信息的隨意生成、修改和刪除,防止數據傳輸過程中信息的丟失和重復,保證信息傳輸順序的統壹。完整性通常可以通過提取信息電文的摘要來獲得。
3.認證。由於網上電子商務交易系統的特殊性,企業或個人的交易通常是在虛擬的網絡環境中進行的,因此個人或企業實體的身份識別成為電子商務中非常重要的壹部分。識別壹個人或實體的身份,以保證身份的真實性,即交易雙方無需見面即可確認對方的身份。這意味著當某人或某個實體聲稱擁有特定的身份時,認證服務將提供壹種方法來驗證其聲明的正確性,這通常是通過證書頒發機構CA和證書來實現的。
4.不可否認。電子商務可能直接關系到兩個交易方之間的商業交易,如何確定待交易的交易方是交易所的預期交易方,是保證電子商務順利進行的關鍵。在傳統的紙質貿易中,交易雙方通過在交易合同、契約或貿易單據等書面文件上書寫自己的簽名或印章來識別自己的交易夥伴,以確定合同、契約和單據的可靠性,防止抵賴行為的發生。這就是人們常說的“白紙黑字”。在無紙化的電子商務模式下,無法通過手寫簽名和印章來識別交易者。因此,在交易信息傳遞過程中,需要為參與交易的個人、企業或國家提供可靠的身份識別。通過對發送的消息進行數字簽名,可以獲得不可否認性。
5.有效性。電子商務以電子形式取代了紙質,因此如何保證這種電子形式的貿易信息的有效性是發展電子商務的前提。作為壹種貿易形式,電子商務信息的有效性將直接影響個人、企業或國家的經濟利益和聲譽。因此,需要控制和預防由網絡故障、操作錯誤、應用錯誤、硬件故障、系統軟件錯誤和計算機病毒引起的潛在威脅,以確保交易數據在特定時間和地點有效。
電子商務安全的主要技術
電子商務安全是信息安全的上層應用,包含的技術非常廣泛,主要分為網絡安全技術和密碼技術兩大類,其中密碼技術又可分為加密、數字簽名和認證技術。
1.網絡安全技術
網絡安全是電子商務安全的基礎,壹個完整的電子商務系統應該建立在安全的網絡基礎設施上。網絡安全涉及多個方面的比較,如操作系統安全、防火墻技術、虛擬專用網VPN技術以及各種反黑客技術和漏洞檢測技術。其中最重要的是防火墻技術。
防火墻是基於通信技術和信息安全技術的。它用於在網絡之間建立安全屏障,根據指定的策略過濾、分析和審計網絡數據,並對各種攻擊提供有效的預防。主要用於互聯網接入和專網與公網的安全連接。
目前國內使用的防火墻產品都是國外壹些大廠提供的,國內防火墻技術的研究和產品開發相對薄弱,起步較晚。由於國外加密技術的限制和保護,國內無法獲得急需的安全實用的網絡安全系統和數據加密軟件。因此,即使是國外優秀的防火墻產品也不能完全在國內市場使用。同時,由於政治、軍事和經濟原因,中國應該開發和采用自己的防火墻系統和數據加密軟件,以滿足用戶和市場的巨大需求,這也將在中國信息安全基礎設施建設中發揮巨大作用。
VPN也是保證網絡安全的技術之壹。是指在公網中建立壹個私有網絡,數據通過建立的虛擬安全通道在公網中傳播。企業只需租用壹條本地數據線,接入本地公共信息網,分支機構之間就可以安全地相互傳遞信息;同時,企業也可以利用公共信息網的撥號接入設備,讓自己的用戶撥入公共信息網,然後就可以連接到企業網。使用VPN具有節約成本、遠程訪問、擴展性強、易於管理、完全可控等優點,是目前和未來企業網絡發展的趨勢。
2.加密技術
加密技術是保證電子商務安全的重要手段,許多密碼算法現已成為網絡安全和商務信息安全的基礎。加密算法使用密鑰對敏感信息進行加密,然後將加密的數據和密鑰(以安全的方式)發送給接收方。接收方可以使用相同的算法和傳遞的密鑰對數據進行解密,從而獲取敏感信息,保證網絡數據的機密性。通過使用另壹種稱為數字簽名的加密技術,可以同時保證網絡數據的完整性和真實性。密碼技術的使用可以滿足電子商務安全的需要,保證商務交易的機密性、完整性、真實性和不可否認性。
雖然密碼學只是在第二次世界大戰期間才開始流行,現在廣泛應用於網絡安全和電子商務安全,但其起源可以追溯到幾千年前,其思想仍在使用,只是在處理過程中增加了數學復雜度。
加密技術包括私鑰加密和公鑰加密。私鑰加密,也稱為對稱密鑰加密,是指信息的發送方和接收方使用壹個密鑰來加密和解密數據。目前常用的私鑰加密算法有DES和IDEA。對稱加密技術最大的優點是加密/解密速度快,適合加密大量數據,但密鑰管理比較困難。對稱加密技術要求雙方事先交換密鑰。當系統中有許多用戶時,例如,在網上購物的環境中,商家需要與成千上萬的購物者進行交易。如果采用簡單的舊密鑰加密技術,商家需要管理成千上萬的密鑰與不同的對象進行通信。除了存儲開銷,密鑰管理幾乎是壹個不可能的問題。另外,雙方如何交換密鑰?通過傳統手段?通過互聯網?任何壹種都會遇到密鑰傳輸的安全問題。此外,在環境中,密鑰通常是頻繁變化的,更極端的是,每次傳輸使用不同的密鑰,因此對稱技術的密鑰管理和分發遠遠不能滿足要求。
公鑰加密,也稱為非對稱密鑰加密系統,需要使用壹對密鑰分別完成家庭秘密和解密操作。壹種是公開發布,稱為公鑰。另壹種由用戶自己秘密保管,稱為私鑰。信息的發送方使用公鑰加密,而信息的接收方使用私鑰解密。加密過程通過數學手段保證不可逆,即用公鑰加密的信息只能用與公鑰配對的私鑰解密。常用的算法有RSA,ElGamal等。公鑰機制靈活,但加解密速度比對稱密鑰加密慢很多。
為了充分利用公鑰密碼和對稱密碼的優點,克服它們的缺點,解決每次更換密鑰的問題,提出了壹種混合密碼體制,即所謂的電子信封技術。發送方自動生成對稱密鑰,將密鑰發送的信息與對稱密鑰相加,將生成的密文與用接收方公鑰加密的對稱密鑰壹起發送。接收者用其秘密密鑰解密加密的密鑰以獲得對稱密鑰,並使用它來解密密文。這就保證了每次傳輸都可以用發送方選擇的不同密鑰進行,更好地保證了數據通信的安全性。
使用混合密碼體制可以同時提供機密性保證和訪問控制。使用對稱加密算法對大量輸入數據進行加密可以提供機密性保證,然後使用公鑰對對稱密鑰進行加密。如果要使信息對多個接收者可用,可以用每個接收者的公鑰對其對稱密鑰進行加密,從而提供訪問控制功能。
3.數字簽名
哈希函數,也稱為消息摘要、哈希函數或哈希函數,常用於數字簽名。它的輸入是壹個可變長度的輸入,並返回壹個固定長度的字符串,這個字符串稱為輸入哈希值(消息摘要)。
在日常生活中,通常會對文件進行簽名以確保其真實性和有效性,並且可以約束簽名人以防止其抵賴,同時發送文件和簽名作為日後驗證的依據。在網絡環境中,電子數字簽名可以作為模擬,從而為電子商務提供不可否認的服務。
將哈希函數與公鑰算法相結合,既能提供數據完整性,又能保證數據的真實性。完整性保證傳輸的數據沒有被修改,真實性保證是某個法人生成的哈希,而不是別人偽造的。這兩種機制的結合可以產生所謂的數字簽名。
根據雙方同意的散列算法計算消息,以獲得固定數量的消息摘要值。從數學上講,只要消息的任何壹位發生變化,重新計算的消息摘要就壹定會與原始值不壹致。這確保了消息不會被更改。然後用發送方的私鑰對消息的抽象值進行加密,再將密文和原消息壹起發送給接收方,生成的消息稱為數字簽名。
接收方收到數字簽名後,使用相同的哈希算法計算消息的摘要值,然後將其與發送方公鑰解密的消息摘要值進行比較。如果相等,則說明消息確實來自發送方,因為只有用發送方的簽名私鑰加密的信息才能用發送方的公鑰解密,從而保證了數據的真實性。
與手寫簽名相比,數字簽名在安全性上有以下優點:數字簽名不僅與簽名人的私鑰有關,而且與消息的內容有關,因此不可能將簽名人的簽名從壹條消息復制到另壹條消息,同時可以防止對消息內容的篡改。
4.認證機構和數字證書
數字簽名和公鑰加密技術都會面臨公鑰分發的問題,即如果將壹個用戶的公鑰以安全可靠的方式發送給需要的另壹方。這就要求管理這些公鑰的系統必須是可信的。在這樣的系統中,如果愛麗絲想發送壹些加密的數據給鮑勃,愛麗絲需要知道鮑勃的公鑰。如果Bob想要驗證Alice發送的文檔的數字簽名,Bob需要知道Alice的公鑰。
電子商務中的安全措施包括以下幾類:
(1)保證交易雙方身份的真實性:常用的處理技術是身份認證,依靠可信機構(CA認證中心)頒發證書來識別對方。目的是保證身份的準確性,區分參與者身份的真實性,防止偽裝攻擊。
(2)保證信息的機密性:保護信息不被泄露或披露給未經授權的人或組織,常用的處理技術是數據加密和解密,其安全性取決於所使用的算法和密鑰的長度。常見的加密方法有對稱密鑰加密技術(如DES算法)和公鑰加密技術(如RSA算法)。
(3)保證信息的完整性:常用數據哈希等技術來實現。哈希算法用於保護數據不被未授權用戶建立、嵌入、刪除、篡改和重放。典型哈希算法是美國國家安全局開發的單向哈希算法之壹。
(4)保證信息的真實性:常用的處理方法是數字簽名技術。目的是解決通信雙方之間可能存在的欺詐行為,如發送方對其發送的信息的否認,接收方對其接收的信息的否認等。,而不是對付未知的攻擊者,其基礎是公鑰加密技術。目前,有許多可用的數字簽名算法,如RSA數字簽名和ELGamal數字簽名。
(5)保證信息的不可否認性:通常需要引入壹個認證中心(CA)進行管理,由CA頒發密鑰,傳輸的文件的副本及其簽名發送給CA保存,作為可能出現的爭議的仲裁依據。
(6)保證存儲信息的安全:規範內部管理,使用訪問控制權限和日誌,加密存儲敏感信息。使用WWW服務器支持電子商務活動時,要註意數據備份和恢復,采用防火墻技術保護內部網絡的安全。