一、前言
随着信息化的不断发展,电子商务越来越成为人们关注的一个话题,它代表了人类文明发展的潮流,是传统经济活动转型和发展的方向。然而,电子商务的发展并不是一帆风顺,它还存在不少问题,其中,制约其发展的最大的瓶颈是我们始终未能从技术上保证电子商务交易的绝对安全。很多别有用心的人利用互联网交易的自由性进行网上诈骗,破坏了电子商务的秩序,给用户带来了巨大的损失。如何保证电子交易的安全成为人们最关心的一个问题。
二、电子商务中的安全问题
在电子商务系统中,存在的安全问题主要包括:客户端的安全、服务器端安全、信息传输中的安全和结算过程中的安全。
⒈ 客户端的安全问题
对于广大的电子商务的客户来说最关心的自然是自己隐私信息的安全。他们对于客户端的安全有着相当苛刻的要求。但是很多的时候,他们又不知道该怎么去保护自己的隐私权。在一个信息化程度很高的社会里,隐私权可能只是一种很奢侈要求。比如美国最近的实验表明,在美国一般只需花费不到100美元的价格就可以获得一个普通人的全部资料——从社会保险证号到个人的电子账号。所有的这些信息完全可以用来以其本人的身份来申请住房贷款。这种情况下使得电子商务的潜在客户对电子商务的安全性有着相当的恐惧。而人们在网上经常探讨的客户端的安全隐患中很常见的是Cookie的问题。除了Cookie之外,人们还会经常关心的问题是活动内容和电子邮件的安全问题。
⒉ 服务端的安全问题
相对于客户端,服务端的特点是其本身的安全措施较为严密。而且其操作人员的素质也较高。但是服务端的内容也远比客户端丰富,这在很大程度上又提高了服务端的安全风险。而且电子商务运营商服务端上往往还包含着客户的个人信息数据库。一旦这些服务器出现了安全漏洞,那将不仅是电子商务运营商的问题,服务端上存储的客户信息将会给相应的电子商务客户带来灾难性后果。电子商务活动中的服务端威胁一般包含有服务器、数据库、通用网关接口和一般应用程序等几个方面的威胁。
⒊ 信息传输中的安全问题
电子商务的信息传输是迄今为止计算机安全中最为大家关注的环节。它不同于客户端和服务器端,它的安全问题主要是数据传输的安全问题。这些问题起源于互联网初期的设计思想。由于最初美国军方在设计互联网的时候只是希望保持各计算机节点在受到攻击时仍能够保持有效的数据传输。而其数据传输的安全性并没有受到重视,使得这个问题直到现在也没有得到很好的解决。如果攻击者是一个有丰富的专业知识的人员,他们也有很多机会去破坏信息的完整性。比如说他们可以将电子商务客户发送的商业信息破坏掉。但这还不是最糟糕的结果,这种破坏还不会给交易双方带来什么实质性损失。而如果攻击者愿意的话,他们甚至可以将修改过的信息再传给电子商务的交易双方。那样的话,整个电子商务的秩序将被彻底的破坏掉。
4.结算过程中的安全问题
电子结算系统的出现可以极大的提高结算工作的效率,降低结算的成本。不仅是数字产品,包括很多的传统商品也可以采用电子结算的方式。这种方式可以很大的降低经营处理成本。但是采用电子结算系统又会带来一定的安全问题。很重要的就是电子现金的安全问题。电子现金使用过程中威胁不只来自于交易系统以外。在交易系统内部它也是存在安全问题的。比如说,我们应该怎样防止电子现金的拥有者重复消费这些电子现金。由于电子现金的特殊性使其复制过程很简单。如果在用户复制并且将他们使用出去之后才发现这些复制品的话,那电子结算系统的安全性已经被破坏了。
三、认证系统
为了解决以上在电子商务系统中存在安全问题,一般采用认证系统来完成,主要任务是提供一个不能伪造的数字证书,保证电子商务的安全性,认证包括CA认证中心、RA业务受理中心以及大量的业务受理点。
1.数字证书:
因为电子商务并不是面对面的交易,所以交易双方都必须用证书来证明自己的身份,另一方面,证书有发放证书持有者的公钥的作用。这样,通过数字证书,交易双方来证明对方的相关交易信息,对交易数据进行加密。
2.CA认证
在电子商务系统中,进行交易的各方都是由证书授权中心即CA中心分发并签名的。一个完整的、安全的电子商务系统必须建立一个安全的的认证体系。一般来说,CA认证中心具有以下作用:
a .负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果。
b. 提供安全电子交易的认证服务。
c. 为RA、支付网关等发证书。
d. 管理数字证书废除表。
3.RA中心
RA中心是业务受理中心,它负责与全国CT CA认证中心通信、接收证书业务受理点的各种请求、审核较高级别的证书申请、本省证书备份及CRL备份、本省CRL查询、本省CA系统的监控统计。接受用户申请、审核用户资料、将证书灌入IC卡或磁盘并分发、证书收费、收费统计。RA的CRL服务器与CA中心CRL服务器的数据库保持同步 (实时复制在本地申请的用户证书状态信息),接收CA 中心证书管理服务器发送的数据更新信息,并更新数据; 接收并处理客户端使用CRL/OCSP协议发送的证书状态实时查询请求。
4.支付网关
支付网关具有以下功能 :
a、管理自己的证书、密钥;
b、与用户端的电子钱包、网上商城的电子柜员机交换证书;
c、接收电子收银台发出的付款书,对付款书验证其有效性,并产生一个应答信息发向业务网关;
d、按照有效付款书的内容进行转帐;
e、记录付款书,管理付款记录;
f、将公网传来的数据包解密,按照银行内部的通信协议ISO8583将数据重新打包;
g、接收银行内部的传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。支付网关完成通信、协议转换和数据加解密功能,并且可以保护银行内部的网络。
5.系统安全
通过使用公开密钥和对称密钥加密,保证了数据传输的保密性。通过使用数字签名技术来确定数据是否被篡改、保证数据的一致性和完整性,并可以保证交易的不可抵赖。通过验证证书的数字签名,确定发送者的身份合法性及是否有权执行此次操作。
五、小结
在电子商务系统中,安全尤为重要,采用智能卡后,认证算法保存在智能卡中,密码不在实际网络中传输,保证了传输过程中的安全,同时,由于智能卡不能复制,也保证了客户端的安全。当然,随着网络安全技术的发展,新的认证方式的出现将更加有力的保证电子商务的安全。
[参考文献]:
[1] 基于DSP的PC加密卡的实现,计算机应用与软件,11期
[2] 网络安全技术,计算机应用与软件,11期
[3] 电子拍卖的安全性需求与实现技术,网络安全技术与应用,2002.11期
[4] 电子商务与安全,求索网—电子商务
[5] 数据传输过程中的安全,于 淼
[6] 攀西项目中的安全解决方案,公众软件公司
