導語：電子商務安全試析論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

一、電子商務安全的具體技術表現

(一)數據的私有性和安全性

如果不采用特別的保護措施，包括電子郵件等在internet中開放傳輸的數據都可能被第三者監視和閱讀。考慮到巨大的傳輸量和難以計數的傳輸途徑，想任意竊聽一組數據傳輸是不可能，但是一些設置在web服務器的黑客程序卻可以查找和收集特定類型的數據，這些數據包括信用卡、存款的賬號和相應的口令。同時，因為internet的開放性設計，數據私有性和安全性還包括數據傳輸之外的問題，例如：連入internet的數據存儲網絡驅動器的安全性。所以，任何存儲在web服務器上的數據必須采取保護措施。

(二)數據的完整性

對完整性的安全威脅也叫主動搭線竊取。當未經授權方改變了信息流時就構成了對完整性的安全威脅。未保護的銀行交易很易受到對完整性的攻擊。當然，破壞了完整性也就意味著破壞了保密性，因為能改變信息的竊取者肯定能閱讀此信息。完整性和保密性間的差別在于：對保密性的安全威脅是指某人看到了他不應看到的信息。而對完整性的安全威脅是指某人改動了關鍵的傳輸。破壞他人網站就是破壞完整性的例子。破壞他人網站是指以電子方式破壞某個網站的網頁。破壞他人網站的行為相當于破壞他人財產或在公共場所涂鴉。當某人用自己的網頁替換某個網站的正常內容時，就說發生了破壞他人網站的行為。由于internct的開放體系，如果具備了特定的知識和工具，則完全可以更改傳輸中的數據。同時，要采取適當的存取訪問控制，以保證數據存取系統的安全。在電子商務中務必保存數據最初的格式和內容。

(三)認證

在猖獗的網絡欺詐或者反悔中，網絡交易者隱身在電腦屏幕背后，身份難以識別的問題是其重要淵源。建立有效的網上交易身份認證機制，提升交易雙方的信用度是有效控制網絡欺詐的重要途徑，對于電子商務的健康發展有著重要作用。交易方的信用問題已經成為制約電子商務發展的重要瓶頸之一。在現實社會中，即便有著諸多因素的制約，仍然普遍地存在著信用缺乏的現象，建立完善的信用機制已經成為社會各界的共識。在電子商務的具體實現中，首先要確認當前的通訊、交易和存取要求是合法的。例如，internet中的計算機系統的身份是其由IP地址確認的。黑客通過IP欺騙，使用虛假的IP地址，從而達到隱瞞自己身份盜用他人身份的目的。在日常電子郵件的使用中可以很容易地發匿名郵件，或者使用不真實的郵件用戶名。因此，在電子商務中必須建立嚴格的身份認證機制，以確保參加交易各方的身份真實有效。

(四)不可否認性

不可否認主要包含數據的原始記錄和發送記錄，確認數據已經完成發送和接收，防止接收用戶更改原始記錄，防止用戶在已經收到數據以后否認收到數據，并拖延自己的下一步工作。為了保證交易過程的可操作性，必須采取可靠的方法確保交易過程的真實性，保證參加電子交易的各方承認交易過程的合法性。

簡言之，在internet上實現電子商務面臨的任務：(1)私有性，即保證只有發送者和接收者可以接觸到信息；(2)完整性，即信息在傳輸過程中未經任何改動；(3)身份認證，即接收方可以確信信息來自發信者，而不是第三者冒名發送，發送方可以確信接收方的身份是真實的，而不至于發往與交易無關的第三方；(4)不可否認性，在交易數據發送完成以后，雙方都不能否認自己曾經發出或接收過信息。

電子商務面臨的上述問題主要是由對系統的非法入侵造成的。首先是網絡黑客，他們通過發現web服務器、操作系統或者主頁部件在配置方面的漏洞，攻擊網絡系統。其次是內部入侵，這主要是由企業IT部門的員工造成的，保護網絡的物理安全(如主控機房)及嚴格的口令管理制度，是防范該類問題的關鍵。還有惡意代碼(如計算機病毒)，它們在企業的傳播會給電子商務系統造成嚴重的損失。另外，值得關注的是計算機系統本身的問題，例如，由于電源造成的系統宕機，以及廣域網絡的通訊，這些都會直接造成服務的突然中止，影響電子商務的形象。我們還應關注系統管理方面的問題，有時電子商務出現的問題既非黑客也非系統本身的毛病，而是源于對敏感數據處理不善或者是安全系統(如防火墻)的不正確配置。用戶的身份認證是計算機系統安全的基礎工作，數字簽名加密等技術在這里可以充分起到作用。

二、電子商務安全系統關鍵技術

(一)ssLVPN技術

SSL(安全套接層)協議是一種在Internet上保證發送信息安全的通用協議。它處于應用層。SSL用公鑰加密通過SSL連接傳輸的數據來工作。SSL協議指定了在應用程序協議(如HTTP、Telnet和FTP等)和TCP/IP協議之間進行數據交換的安全機制，為TCP/IP連接提供數據加密、服務器認證以及可選的客戶機認證。SSL協議包括握手協議、記錄協議以及警告協議三部分。握手協議負責確定用于客戶機和服務器之間的會話加密參數。記錄協議用于交換應用數據。警告協議用于在發生錯誤時終止兩個主機之間的會話。

VPN(虛擬專用網)則主要應用于虛擬連接網絡，它可以確保數據的機密性并且具有一定的訪問控制功能。VPN是一項非常實用的技術，它可以擴展企業的內部網絡，允許企業的員工、客戶以及合作伙伴利用Internet訪問企業網，而成本遠遠低于傳統的專線接人。過去，VPN總是和IPSec聯系在一起，因為它是VPN加密信息實際用到的協議。IPSec運行于網絡層，IPSeeVPN則多用于連接兩個網絡或點到點之間的連接。所謂的SSLVPN，其實是YPN設備廠商為了與IPsecVPN區別所創造出來的名詞，指的是使用者利用瀏覽器內建的SecureSocketLayer封包處理功能，用瀏覽器連回公司內部SSLVPN服務器，然后透過網絡封包轉向的方式，讓使用者可以在遠程計算機執行應用程序，讀取公司內部服務器數據。它采用標準的安全套接層(ssL)對傳輸中的數據包進行加密，從而在應用層保護了數據的安全性。高質量的SSLVPN解決方案可保證企業進行安全的全局訪問。在不斷擴展的互聯網Web站點之間、遠程辦公室、傳統交易大廳和客戶端間，SSLVPN克服了IPSecVPN的不足，用戶可以輕松實現安全易用、無需客戶端安裝且配置簡單的遠程訪問，從而降低用戶的總成本并增加遠程用戶的工作效率。而同樣在這些地方，設置傳統的IPSecVPN非常困難，甚至是不可能的，這是由于必須更改網絡地址轉換(NAT)和防火墻設置。(二)加密技術

數據加密技術作為一項基本技術，是電子商務的基石，是電子商務最基本的信息安全防范措施。其實質是對信息進行重新編碼，從而達到隱藏信息內容，使非法用戶無法獲取真實信息的一種技術手段，確保數據的保密性。基于加/解密所使用的密鑰是否相同，可分為對稱加密和非對稱加密兩類。

(1)對稱加密。對稱加密的加密密鑰和解密密鑰相同，即在發送方和接收方進行安全通信之前，商定一個密鑰，用這個密鑰對傳輸數據進行加密、解密。對稱加密的突出特點是加解密速度快，效率高，適合對大量數據加密。缺點是密鑰的傳輸與交換面臨安全問題，且若和大量用戶通信時，難以安全管理大量密鑰。目前，常用的對稱加密算法有DES、3DES、IDEA、Blowfish等。其中，DES(DataEncryptionStandard)算法由IBM公司設計，是迄今為止應用最廣泛的一種算法，也是一種最具代表性的分組加密體制。DES是一種對二元數據進行加密的算法，數據分組長度為64bit，密文分組長度也是64bit，沒有數據擴展，密鑰長度為64bit，其中有8bit奇偶校驗，有效密鑰長度為56bit。加密過程包括16輪的加密迭代，每輪都采用一種乘積密碼方式(代替和移位)。DES整個體制是公開的，系統的安全性全靠密鑰的保密。DES算法的入口參數有3個：Key、Data、Mode。其中，Key為8個字節共64位，是DES算法的工作密鑰。Data也是8個字節64位，是需被加密或解密的數據。Mode為DES的工作方式，分為加密或解密兩種。DES算法的步驟為：如Mode為加密，則用Key去對數據進行加密，生成Data的密碼形式(64位)作為DES輸出結果。如Mode為解密，則用Key去把密碼形式的數據Data解密，還原為Data的明碼形式(64位)作為DES的輸出結果。DES是一種世界公認的較好的加密算法，具有較高的安全性，到目前為止除了用窮舉搜索法對DES算法進行攻擊外，尚未發現更有效的方法。

(2)非對稱加密。非對稱加密的最大特點是采用兩個密鑰將加密和解密能力分開。一個公開作為加密密鑰；一個為用戶專用，作為解密密鑰，通信雙方無需事先交換密鑰就可進行保密通信。而要從公開的公鑰或密文分析出明文或密鑰，在計算上是不可行的。若以公開鑰作為加密密鑰，以用戶專用鑰作為解密密鑰，則可實現多個用戶加密的信息只能由一個用戶解讀。反之，以用戶專用鑰作為加密密鑰而以公開鑰作為解密密鑰，則可實現由一個用戶加密的消息而使多個用戶解讀，前者可用于保密通信，后者可用于數字簽字。非對稱加密體制的出現是密碼學史上劃時代的事件，為解決計算機信息網中的安全提供了新的理論技術基礎。其優點是很好地解決了對稱加密中密鑰數量過多難以管理的不足，且保密性能優于對稱加密算法；缺點是算法復雜，加密速度不是很理想。

目前，RSA算法是最著名且應用最廣泛的公鑰算法，其安全性基于模運算的整數因子分解的困難性。

算法內容簡要描述如下：①獨立選取兩大素數p和q，計算n=p×q；其歐拉函數值z=(p－1)×(q－1)。②隨機選一整數e，1≤e由于RSA涉及大數計算，無論是硬件或軟件實現的效率都比較低，不適用對長的明文加密，常用來對密鑰加密，即與對稱密碼體制結合使用。

(三)網上交易身份認證機制

網上交易身份認證對于建立電子商務業界的信用機制起著重要作用，因此如何確認網上交易者的身份便成為諸多電子商務網站迫切希望解決的問題。

(1)在目前網絡法律制度還不健全的時代，自律機制非常重要，網絡交易的有效性和真實性在一定程度上能夠反映這個國家的信用機制的完善程度。相對而言，國外的電子商務信用體系相對較高，其交易身份認證多與信用卡等銀行信用記錄掛鉤，而我國則更多的是通過手機和身份證等方式進行。

(2)一些網上交易平臺為了幫助交易雙方打消顧慮，順利進行交易，提供第三方介入的支付方式，以保護雙方的合法利益，這種機制對于維護網上交易的誠信起到了很好的作用。

(3)電子郵件在電子商務交易中對子商務交易者的身份認證機制起著重要作用。電子郵件一旦重復則易造成無法注冊，甚至很多網站要求用戶兩次輸入有效的電子郵件以進行確認，以確保之后的所有信息能夠順利進行，所有的網站均將用戶的電子郵件作為聯系用戶和確認用戶諸多信息的重要聯系方式，其便捷性毋庸置疑。但是，在電子郵件收費的模式基本上發展前景不甚明朗的今天其有效性和真實性還值得商榷。

(4)用戶注冊中所提交的資料即身份認證過程中會涉及到很多可以列為用戶隱私權保護的信息，因此，在進行身份認證時還需要考慮隱私權保護問題。現在幾乎所有的電子商務網站上都有隱私權法律聲明，或者在用戶填寫過程中就通過鏈接的形式彈出窗口聲明用戶的這些資料將被用于那些用途。盡管如此，由于網絡上沒有絕對的安全，如果由于技術上的原因導致用戶的身份認證資料泄露給他人，甚至被他人用于牟利或者其他非法目的，網站是否應該承擔責任、應該承擔什么樣的責任，也是身份認證機制應該考慮的問題。

電子商務的安全問題是利害攸關的，安全遭到破壞會使他人信息泄露或導致信息濫用。電子商務安全策略必須明確保密、完整、不可否認的要求。總之，如何建立電子商務安全策略，并逐步完善這個策略，需要政府、電子商務企業、學者等的共同努力，任重而道遠。

摘要電子商務越來越深入我們的商務活動，但是電子商務模式對管理水平、信息傳遞技術都提出了更高的要求，其中安全體系的構建又顯得尤為重要。如何建立一個安全的電子商務應用環境，對信息提供足夠的保護，是商家和用戶都十分關注的話題。本文介紹了電子商務安全的具體特性及常用的安全技術。

關鍵詞電子商務；安全；SSL；PKI認證