電子商務安全缺陷及策略綜述

導語：電子商務安全缺陷及策略綜述一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1引言

近年來隨著計算機技術和網絡通信技術的不斷進步，特別是得益于互聯網(Internet)的飛速發展，使得全球電子商務的發展呈現出持續高速增長的趨勢。電子商務這種新的商務模式，從深層次上改變了全球的經濟結構和環境。根據美國研究機構For-resterResearch報告顯示，全球電子商務交易額逐年攀升。截至2009年年底，全球電子商務交易額則達到161357億美元，同比增長25%，2010年，全球電子商務交易額達到194697億美元，同比增長20．7%。2009年，世界B2B電子商務交易額占電子商務總額的90%以上，B2C和C2C電子商務交易額共占到總交易額的10%以內。另據我國電子商務協會的報告稱，2011年全球電子商務市場規模將達到40．6萬億美元。我國的電子商務隨著政策的大力支持和資金的不斷投入，得到了迅猛的發展。中國電子商務研究中心最新數據顯示，截止到2010年12月，中國電子商務市場交易額已逾4．5萬億，同比增長22%。其中，B2B電子商務交易額達到3．8萬億，同比增長15．8%，網上零售市場交易規模達5131億元，同比增長97．3%，較2009年近翻一番，約占全年社會商品零售總額的3%。電子商務把互聯網和零售業很好地融合起來，未來的發展前景十分廣闊。據波士頓咨詢集團的最新報告顯示，中國電子商務市場規模到2015年有望達到2萬億元人民幣(約合3150億美元)。就在我們看到電子商務不斷發展的后，又不得不著重考慮挑戰其安全性的諸多問題，尤其是電子商務的數據處于公共互聯網之上，互聯網固有的開放性和系統的安全漏洞及安全體系建設的滯后等不利因素也對其構成了嚴重的威脅。因此，信息安全和網絡安全就成為電子商務大力發展的關鍵所在，也是必須考慮的核心問題。

2電子商務的安全問題

從電子商務交易的計算機終端到服務器的整個數據鏈路上，時時刻刻都存在著各種安全威脅，主要表現在以下幾個方面:

(1)用戶終端的系統漏洞及計算機病毒等惡意程序的攻擊用戶終端的計算機沒有及時安裝系統和軟件的漏洞、補丁，就可能存在著極大的安全隱患，攻擊者就可以利用這些已知和未知的缺陷發動攻擊，加上木馬、蠕蟲等計算機病毒和惡意程序的攻擊，以及用戶缺乏計算機和網絡安全知識，使得計算機終端用戶的安全性處于最薄弱的環節。

(2)惡意破壞網絡設備和服務器攻擊者對提供交易服務的服務器發動攻擊，如DDOS攻擊就很難防范，致使交易停止，長時間難以正常運行。或者利用服務器的漏洞和軟件程序的缺陷進行攻擊，獲取服務器的口令，盜取用戶的機密資料，使用戶蒙受損失。攻擊者對整個電子交易數據的網絡硬件和軟件進行惡意非法攻擊，導致服務中斷、停止，使用戶不能正常交易。

(3)網絡數據在傳輸過程中被竊取攻擊者通過各種非正常手段(竊聽、重放、流量分析等)，在互聯網上截獲用戶的機密信息，加以分析得到有用數據信息，導致用戶產生不可估量的損失，也破壞了網絡數據的保密安全性。

(4)惡意篡改合法用戶的網絡數據攻擊者截獲到用戶的有用信息以后，會對數據進行惡意篡改，惡意破壞信息數據的完整性。

(5)盜用合法用戶身份進行非法交易攻擊者仿冒合法用戶的身份后，與第三方進行正常交易，使合法用戶產生損失。這種利用假冒身份認證的非法手段，直接導致電子商務的不可靠性。

(6)電子商務的法律和道德問題用戶一旦進行了交易后，就應該具有法律保障效應，即具不可否認性，但也存在著非法假冒和惡意否認身份的問題，缺乏誠信導致商業欺詐的行為。

3電子商務交易的技術和安全性分析

3．1電子商務中使用的關鍵安全技術

(1)數據加密數據加密技術是電子商務領域所采用的關鍵安全技術，也是主要的安全防御技術。數據加密技術原理是采用加密(數學)算法對原始信息(明文)進行再整合，使得攻擊者接收到加密數據(密文)以后變成無意義的內容，從而在整體數據傳輸鏈上，保證了數據的高保密性和完整性。完整的一條信息傳遞過程如圖1所示。圖1數據加、解密傳遞過程按照加密密鑰和解密密鑰是否相同，可將數據加密技術分為兩種:對稱加密和非對稱加密。對稱加密對稱加密又稱為專用密鑰加密，就是雙方協商使用相同的密鑰(Key)來完成加密、解密過程，并且密鑰是保密的。在這種加密算法中，所采用的加密算法等于解密算法，因此密鑰的安全管理就顯得特別重要，成為安全與否的核心因素。對稱加密的特點是具有高保密性，加、解密速度快，效率高，因此適用于數據量比較大的加密操作。常見的對稱加密算法主要有DES［1］、3DES、IDEA、RC4、RC5和Blowfish等。對稱加密主要有如下安全問題:①在網絡中建立通道傳輸數據過程中，可能導致密鑰泄露，讓攻擊者有機可趁。②電子商務交易存在著多個交易對，每確立一對交易對關系，就要維護一個專用密鑰，給密鑰的安全管理和維護帶來極大的難度。③難以對交易雙方的身份進行準確識別，因此缺乏數字實名驗證的可行性。非對稱加密非對稱加密又稱為公開密鑰加密。在這種加密算法中密鑰被分成一對，即一把公鑰和一把私鑰，公鑰不需要保密可以公開，私鑰必須嚴格保密，且加密密鑰和解密密鑰并不相同。這種加密算法順利地解決了密鑰的管理和維護及數字實名驗證的問題，安全性大大優于對稱加密，是現在普遍采用的加密技術。非對稱加密的特點是高安全性和保密性，密鑰安全管理和維護量小，可以實現數字實名驗證。問題是這種加密算法過于復雜，計算量太大，導致加、解密的速度不是很理想。普遍采用的非對稱加密算法主要有RSA、ELGamma、橢圓曲線加密算法等。

(2)數字簽名數字簽名技術［2］是基于非對稱加密技術而產生的，具有數字認證、身份核查的功能。數字簽名技術具有以下的特點。①發送方事后不可抵賴發送的包含自己簽名的報文。②接收方能對發送方簽名的身份予以核查。③接收方不能篡改發送方的報文。④接收方不能偽造發送方的數字簽名。數字簽名技術的實現過程為:發送方從報文文本中生成一個128位的散列值(或報文摘要)，并用自己的私鑰對這個散列值進行加密，形成發送方的數字簽名;然后，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方;報文接收方首先從接收到的原始報文中計算出128位的散列值(或報文摘要)，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同，那么接收方就能確認該數字簽名是發送方的［3］。

(3)數字證書數字證書是由認證中心(CA，CertificateAuthori-ty)［4］簽發的，用以確認用戶身份信息并獲取訪問網絡資源的權限。數字證書是現在電子商務交易普遍采用的技術之一，普遍遵守X．509國際通用標準，一般含有證書持有人的名稱、公鑰信息、數字簽名、CA機構的名稱、數字簽名、證書的序列號和有效期、版本信息等。CA是發放和管理數字證書的第三方可信任機構，具有權威性。交易雙方使用數字證書來進行商務活動。

(4)數字時間戳數字時間戳［5］是系統自動生成的，用來確認電子商務交易發生的日期和時間，防止惡意篡改交易數據的一種有效的手段。它由專業的第三方認證機構形成，采用加密形式的文件。數字時間戳服務(DTS，DigitalTimeStampService)是一種專門提供電子交易文件的日期和時間服務。具體過程為:需要數字時間戳的申請者向DTS發送請求(含加戳數據的散列值)，DTS收到文件后從自己的時間源中獲取一個時間值，把時間值加入到含數據散列值的文件中，并對數據文件進行加密(用時間的私鑰進行數字簽名)，最后發送給申請者。

3．2電子商務的安全層次結構

電子商務的安全層次結構如圖2所示。各層次之間并非相互獨立，而是由層次安全構成了電子商務的整體高安全性。

(1)電子商務的安全認證在電子商務交易中，認證是交易安全中很重要的步驟，即實現對用戶身份唯一性和數據報文完整性的雙重認證。在公鑰基礎設施(PKI，PublicKeyInfrastructure)中，由CA驗證申請者的身份及發放可證明申請者身份的數字證書，建立用戶和商家的信任關系，并驗證交易數據報文的完整性，從而安全完成電子商務交易。

(2)電子商務的安全協議目前，典型的電子商務安全協議有SSL和SET［6］。安全套接層(SSL，SecuritySocketLayer)協議是美國網景公司開發，用于提供互聯網安全通信服務的協議，使得傳輸的數據報文保密性更強。SSL協議存在著一些安全問題(客戶和商家的資料安全性不高，缺乏可信任的第三方身份認證機構，證書不能自動及時更新等)。相對SSL來說，SET(Se-curityElectronicTransaction，安全電子交易系統)更安全、更可靠、更可信。SET協議由Visa和Master-Card等公司聯合開發的，在互聯網上實現安全電子交易的國際標準和協議。SET協議解決了在公共互聯網上信用卡支付的安全性問題，滿足持卡人、商家、銀行、認證機構等多方電子支付安全需求。筆者重點分析了SET協議的安全性，SET協議的安全性有以下幾點:①數據報文和個人信息的保密性由于電子交易的數據都在公共互聯網上傳輸，所以SET協議對傳輸的數據進行了加密(如DES)處理，防止交易數據和個人信息被竊取或篡改，造成經濟損失。②數據報文的完整性SET協議采用數字簽名技術來確保數據報文的完整性。使用安全Hash(SHA－1)算法實現數字簽名算法，SHA－1可將一個任意長度(最大264bits)的消息，生成一個160位的消息摘要。由此得知，發生消息摘要相同的概率相當低。現在還采用雙重簽名技術來保護數據報文的真實性和完整性，用戶一次簽名同時生成兩個數字簽名消息，達到雙重簽名的效果。一個雙重簽名是通過計算兩個消息的消息摘要產生的，并將兩個摘要連接在一起形成一個總摘要，并用用戶的私鑰加密摘要。每個消息的接收者取出自己的消息，重新生成消息摘要來驗證消息。③采用數字信封技術保證數據不被竊取為保證電子商務交易數據傳輸的高安全性，密鑰應定期及時更換，SET協議使用數字信封技術來及時更換密鑰。經常更換密鑰的機制保證電子交易數據不會被竊取。④持卡人和商家的相互身份驗證在SET協議中采用PKI體系，CA負責管理和發放證書。SET協議中，CA起著非常重要的作用，SET協議通過數字證書來鑒別交易雙方的真實身份，并建立起可信任關系，為順利完成電子交易打下基礎。SET體系中用戶擁有一對簽名密鑰(持卡人保管)和一對加密密鑰(CA托管)，它們都擁有自己的數字證書。SET協議采用數據加密、數字簽名、數字信封等安全技術，而且支持對交易雙方的相互身份驗證，從而能夠保證網絡交易數據的真實性、保密性、完整性、不可抵賴性。另外還對交易雙方的私人信息進行保密，使得SET協議具有高安全性。

4電子商務的安全對策研究

(1)加強網絡安全建設，構建高安全的電子交易環境在電子商務交易的整個過程中，都離不開網絡安全，特別是內部網絡的安全。采用防火墻隔離內、外網，構筑起安全的屏障;采用技術來形成緩沖，采用前置服務器來承擔交易風險;采用訪問控制技術來限制非法用戶的訪問，并設置不同用戶的訪問權限;采用VPN［7］、IPSEC體系等安全虛擬專用網絡進行電子交易;采用EDI、電子支付和XML等相關技術提高安全性;采用入侵檢測技術并通過安全策略來防范外網威脅;改進并完善網絡拓撲結構和網絡協議，提高抗攻擊的能力。

(2)采用高安全加密算法和新安全體系結構采用橢圓曲線、混合加密等高安全加密算法，發揮不同加密算法的長處，進一步提高數據在互聯網上傳輸的安全性，保證交易數據報文和個人信息不被泄密。安全體系結構決定了電子商務交易的安全性，在現有的安全體系結構基礎上進行改進和完善，或者設計新安全體系架構，能夠應對電子交易的新安全威脅。

(3)加強安全制度管理，用法律手段來保障電子交易的安全通過制訂和實施安全管理制度，加強從業人員的安全防范和風險意識，避免不必要的經濟損失。健全和完善電子商務交易的法律體系，目前各部、委、辦頒布并實施了相應的法律法規，約束和規范電子交易的行為，構建起一個健康、安全的電子交易環境。

5結束語

通過上面的分析，筆者意識到以下幾點:

(1)電子商務交易安全架構是一個復雜的系統性工程，并非僅靠技術和協議的簡單組合就能完成的，而是一個由技術系統(網絡和通信技術、加密技術、認證技術和協議等)、法律法規體系、管理制度、從業人員的安全防范和風險意識等因素構成，所以必須站在整個系統安全的高度去思考和分析安全問題，全方位地構筑起電子交易的安全屏障，切實防范安全風險和威脅。

(2)通過對電子商務交易的層次化分析，使我們深入了解電子交易的安全性，所以我們在分析電子商務的安全問題時，應該把安全問題分層化處理，有針對性解決安全問題。

(3)電子商務安全新問題會不斷出現，新安全技術體系也處于發展之中，這對矛盾關系永遠沒有盡頭，處于長期對立的狀態。特別是當前電子商務交易呈現繁榮景象，安全問題更值得深入探討與研究。