其中,加密密鑰(公鑰)可以在網絡服務器��、報刊等場合公開����,而解密密鑰(私鑰)則屬用戶的私有密鑰��,由公開的加密密鑰導出私有的解密密鑰在技術上是不可實現的�。
與對稱密鑰加密相比,采用非對稱密鑰加密方式密鑰管理較方便��,且保密性比較強�,但加解密實現速度比較慢,不適用于通信負荷較重的應用����。
2.2身份驗證技術
2.2.1認證系統�����。網上安全交易的基礎是數字證書。數字證書類似于現實生活中的身份證���,用于在網絡上鑒別個人或組織的真實身份。數字證書的頒發機構叫做Certificate Authority���,通常簡稱為CA�。要建立安全的電子商務系統,首先必須建立一個穩固����、健全的CA���,否則�����,一切網上的交易都沒有安全保障。傳統的對稱密鑰算法具有加密強度高���、運算速度快的優點,但密鑰的傳遞與管理問題限制了它的應用���。為解決此問題,20世紀70年代密碼界出現了公開密鑰算法���,該算法使用一對密鑰即一個私鑰和一個公鑰,其對應關系是唯一的����,公鑰對外公開�,私鑰個人秘密保存�。一般用公鑰來進行加密,用私鑰來進行簽名;同時私鑰用來解密�,公鑰用來驗證簽名��。算法的加密強度主要取決于選定的密鑰長度。其中RSA(Rivets Shamir Adelman)算法是公開密鑰算法中研究最為深入,使用最為廣泛的算法���,為大多數國家(地區)的官方或非官方所采用。
整個認證系統是一個大的網絡環境�,系統從功能上基本可以劃分為CA�����、RA(證書的登記機構��,Register Authority)和WP(證書的分頁系統�����,Web Publisher)。
2.2.2SSL協議。SSL協議(Secure Socket Layer����,安全套接層)是由網景(Netscape)公司推出的一種安全通信協議�,該協議主要目的是解決TCP/IP 協議不能確認用戶身份的問題�����,在Socket上使用非對稱的加密技術��,以保證網絡通信服務的安全性��。SSL協議包括兩個子協議:SSL記錄協議和SSL握手協議。SSL記錄協議是建立在可靠的傳輸協議(例如:TCP)上,用來封裝高層的協議。SSL握手協議準許服務器端與客戶端在開始傳輸數據前���,能夠通過特定的加密算法相互鑒別。
SSL協議易于實現。它獨立于應用層協議�,可以完成所需的安全交易操作���,主要是使用公開密鑰體制和X.509 數字證書保護信息的機密性和完整性�����,但它不能保證信息的不可抵賴性。中國目前多家銀行均采用SSL協議����,從實際使用的情況來看,SSL協議還是最值得信賴的協議。但是由于SSL協議當初并不是為支持電子商務而設計的,所以在電子商務系統的應用中還存在很多弊端���,在涉及多方的電子交易中,只能提供交易中客戶與服務器間的雙方認證,而電子商務往往是用戶��、網站���、銀行三家協作完成���,SSL協議并不能協調各方間的安全傳輸和信任關系�����。
2.2.3SET協議����。SET(Secure Electronic Transaction)安全電子交易協議是由美國Visa和MasterCard兩大信用卡組織提出的應用于 Internet上的以信用卡為基礎的電子支付系統協議����。它采用公鑰密碼體制和X.509數字證書標準,主要應用于B to C模式中保障支付信息的安全性�����。
SET協議提供對消費者����、商戶和銀行的認證,協議本身比較復雜,設計比較嚴格,安全性高����,確保電子交易的機密性����、數據完整性�����、身份的合法性和抗否認性,特別是保證了不會將持卡人的信用卡號泄露給商戶�。其核心技術主要有公開密匙加密��、電子數字簽名、電子信封��、電子安全證書等���。
SET協議自誕生以來�,通過大量的現場試驗和應用,取得了業界普遍的支持��,目前已經呈現出良好的發展勢頭��。盡管SET協議存在一些缺點���,但是它體現出了進行電子交易最基本的原則����,因此在不斷完善的過程中會逐步擴大其應用范圍����。它的交易規范成為了未來電子商務發展的方向���。
2.3其它安全技術
防火墻技術:防火墻主要是用來隔離內部網和外部網����,對內部網的應用系統加以保護�����。目前的防火墻分為兩大類:一類是簡單的包過濾技術,它是在網絡層對數據包實施有選擇的通過���。依據系統內事先設定的過濾邏輯,檢查數據流中每個數據包后�����,根據數據包的源地址����、目的地址、所用的TCP端口和TCP鏈路狀態等因素來確定是否允許數據包通過。另一類是應用網管和代理服務器,可針對特別的網絡應用服務協議及數據過濾協議����,并且能夠對數據包分析并形成相關的報告�����。
數字簽名:數字簽名是公開密鑰加密技術的另一種應用�����,報文的發送方從報文文本中生成一個128位的散列值,發送方用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名��,通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性�。
3保障電子商務信息安全的環境性措施
目前,基于Internet 的電子商務應用才初見端倪����,許多內外部環境還不夠完善����,相應的法律�、法規����,相關的標準還都沒有建立,跨部門���、跨地區的協調存在較大問題?��;谏鲜龇治鼍椭袊娮由虅盏陌l展提幾點建設性意見。
3.1構造中國電子商務體系
積極參與國際合作�����,融合國際電子商務框架�����,構造適合中國國情的電子商務體系�����。作為一個主權國家,為了維護國家的利益和經濟安全,在電子商務相關技術方面一定要注重自主知識產權技術的開發���,不能全部依賴進口。因此,必須大力支持對電子商務技術的研究開發工作�����。
3.2加強法律法規建設
政府部門應盡快組織力量,結合電子商務的客觀需要,對現有的與電子商務相關的法律法規,如:《刑法》��、《合同法》�����、《著作權法》等進行修改。在這些法律中���,可以適當增加對網絡犯罪處罰的條款,增加對網絡作品著作權保護的條款�����;對電子商務發展中亟需解決的有關問題�,如:在電子支付、稅收管理、安全認證、網絡與信息安全��、知識產權保護�����、消費者權益保護等可由相關主管部門先制定部門規章��,必要時,由國務院發布行政法規�,待條件成熟時�,再按程序上升為法律���。
3.3加快網絡基礎設施建設��,推動企業信息化進程
信息基礎設施是電子商務發展的物質基礎和載體����。發展信息基礎設施需要政府和業界的共同努力�,尤其是政府的大力投資和宏觀調控。
3.4普及計算機網絡知識和電子商務常識����,提高全民族電子商務意識
普及信息技術的教育,培養信息技術人才���。增強企業和公眾對電子商務的信心。
3.5加快銀行���、稅務以及郵政等物流環節的信息化建設
建立企業到企業(B to B)、企業到客戶(B to C)的商務溝通����,實現網上資金流動�,解決目前有形商品交易環節中的流通困難����。
參考文獻:
[1] 周均. 電子商務信息安全的政策法律研究[J]. 科技文獻信息管理,2004(4):57.
[2] 楊穎. 電子商務安全問題分析[J]. 中國科技信息���,2005(20):53.
[3] 成漢健. 電子商務安全問題分析[J]. 商場現代化,2005(1):65.
[4] 張賢. 電子商務安全問題[J]. 中國科技信息���,2006(3):14.
?
