[摘要] 隨著Internet的不斷發展，在世界范圍內掀起了一股電子商務熱潮。電子商務代表著未來貿易方式的發展方向，其應用和推廣將給社會和經濟帶來極大的效益。本文討論了電子商務應用中所存在的安全問題，對電子商務的策略和安全性技術進行了分析。 [關鍵詞] 電子商務安全密碼認證協議

隨著Internet的全面普及，基于互聯網的電子商務也應運而生，電子商務是網絡技術應用的全新發展方向，電子商務自然非常便捷、高效和低成本，成為一種全新的商務模式，被許多經濟專家認為是新的經濟增長點。同時，這種電子商務模式對管理水平、信息傳遞技術都提出了更高的要求，其中安全體系的構建又顯得尤為重要，電子商務是建立在一個非常開放的互聯網基礎上，如何辨別對方身份，如何保證交易信息的安全，是大家最關心的問題。如何建立一個安全、便捷的電于商務應用環境，對信息提供足夠的保護，也已成為電子商務的核心問題。實現電子商務的關鍵是要保證商務活動過程中系統的安全性，即保證基于互聯網的電子交易過程與傳統交易的方式一樣安全可靠。 一、電子商務安全的要素 1.有效性。電子商務以電子形式取代了紙張，那么如何保證這種電子形式的貿易信息的有效性則是開展電子商務的前提。因此，要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤、黑客及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數據在確定的時刻、確定的地點是有效的。 2.機密性。電子商務作為貿易的一種手段，其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個開放的網絡環境上的，維護商業機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。 3.完整性。電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護貿易各方商業信息的完整、統一的問題。由于數據輸入時的意外差錯、數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同，它將影響到貿易各方的交易和經營策略。因此，要預防對信息的隨意生成、修改和刪除，同時要防止數據傳送過程中信息的丟失和重復并保證信息傳送次序的統一。 4.可靠性/不可抵賴性/鑒別。電子商務可能直接關系到貿易雙方的商業交易，如何確定要進行交易的貿易方正是進行交易所期望的貿易方這一問題則是保證電子商務順利進行的關鍵。在傳統的貿易中，貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴，確定合同、契約、單據的可靠性并預防抵賴行為的發生。電子商務方式下，通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的各方提供可靠的標識。 5.審查能力。根據機密性和完整性的要求，應對數據審查的結果進行記錄。 二、電子商務安全的主要問題與技術 電子商務實質是電子方式的貿易活動，它利用簡單快捷低成本的電子通訊方式，使買賣雙方進行各種商貿活動的新型貿易形式。它不僅改變了企業本身的生產、經營、管理活動，而且將導致人類經濟、社會和文化的一次新的革命。 電子商務安全的主要問題主要有以下幾個方面的問題： 1.篡改。電子的交易信息在網絡上傳輸地過程中，可能被他人非法的修改，刪除或重放（指只能使用一次的信息被多次使用），從而使信息失去了真實性和完整性。 2.信息破壞。包括網絡硬件和軟件的問題而導致信息傳遞的丟失與謬誤；以及一些惡意程序的破壞而導致電子商務信息遭到破壞。 3.身份識別。如果不進行身份識別，第三方就有可能假冒交易一方的身份，以破壞交易，敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等。而不進行身份識別，交易的一方可不為自己的行為負責任，進行否認，相互欺詐。 4.信息泄密。主要包括兩個方面，即交易雙方進行交易的內容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。 由于電子商務涉及到金融、企業商家等各個方面的利益，它必須采用行之有效的手段來保證電子商務系統的安全運行。安全性技術是保證電子商務健康有序發展的關鍵因素，也是目前大家十分關注的問題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性，但現在幾乎網絡的各個層次都制定了安全協議和具備了相應的安全技術，以保證電子商務的安全性。電子商務的安全性策略可分為兩大部分，一部分是計算機網絡安全，第二部分是商務交易安全。電子商務中的安全性技術主要有以下幾種： 1.密碼技術。密碼技術是一種主動的信息安全防范措施，它是將明文轉換成為無意義的密文，阻止非法用戶理解原始數據，從而確保數據的保密性。 目前，獲得廣泛應用的兩種加密技術是對稱密鑰加密體制和非對稱密鑰加密體制。在對稱密鑰加密體制中，信息的發送方和接收方用一個密鑰去加密和解密數據。它的最優是加/解密速度快、參與方采用相同的加密算法共享的專用密鑰。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機密性和報文完整性就可以通過使用對稱加密方法對機密信息進行加密以及通過隨報文一起發送報文摘要或報文散列值來實現。適合于對大數據量進行加密，但密鑰管理困難。目前常用的對稱加密算法有：美國國家標準局提出DES算法、由瑞士聯邦理工學院的IDEA算法等等。非對稱密鑰加密體制，密鑰被分解為一對，并使用一對密鑰來分別完成加密和解密操作，一個公開發布，即公開密鑰，另一個由用戶自己秘密保存，即私用密鑰。信息發送者用公開密鑰去加密，而信息接收者則用私用密鑰去解密。公鑰機制靈活，但加密和解密速度卻比對稱密鑰加密慢得多。一般用公鑰來進行加密，用私鑰來進行簽名；同時私鑰用來解密，公鑰用來驗證簽名。算法的加密強度主要取決于選定的密鑰長度。目前常用的非對稱加密算法有：麻省理工學院的RSA算法、美國國家標準和技術協會的SHA算法等等。 2.認證技術。安全認證的主要作用是進行信息認證。信息認證的目的為:(1)確認信息發送者的身份;（2）驗證信息的完整性，即確認信息在傳送或存儲過程中未被篡改過。認證技術主要有安全認證技術和安全認證機構兩個方面。 傳統的對稱密鑰算法具有加密強度高、運算速度快的優點，但密鑰的傳遞與管理問題限制了它的一些應用。在非對稱密鑰加密體制下，算法的加密強度主要取決于選定的密鑰長度。