導(dǎo)語(yǔ)：電子商務(wù)中的安全機(jī)制探討一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要主要針對(duì)電子商務(wù)中交易雙方所面臨的各種風(fēng)險(xiǎn)，從技術(shù)角度探討了電子商務(wù)所涉及的安全機(jī)制以及值得關(guān)注的幾個(gè)安全問(wèn)題。

關(guān)鍵詞計(jì)算機(jī)安全安全機(jī)制安全策略

1電子商務(wù)安全概述

網(wǎng)絡(luò)安全通常分成三類，即保密、完整和即需。保密是指防止未授權(quán)的數(shù)據(jù)暴露并確保數(shù)據(jù)源的可靠性；完整是防止未經(jīng)授權(quán)的數(shù)據(jù)修改；即需則意味著防止延遲或拒絕服務(wù)。目前，電子商務(wù)在經(jīng)濟(jì)發(fā)展中起著不可替代的作用，所以網(wǎng)絡(luò)安全的這三類問(wèn)題成為研究的焦點(diǎn)。

由于Internet的全球性、開(kāi)放性、無(wú)縫連通性、共享性、動(dòng)態(tài)性的發(fā)展，使得任何人都可以自由地進(jìn)入Internet進(jìn)行商務(wù)活動(dòng)，這其中也可能有惡意者(如黑客)混跡其中。作為建立在網(wǎng)絡(luò)之上的電子商務(wù)系統(tǒng)，要面對(duì)的就是網(wǎng)絡(luò)固有的攻擊。網(wǎng)絡(luò)的安全危害會(huì)來(lái)源于以下幾個(gè)方面：對(duì)客戶機(jī)安全的威脅；對(duì)通信信道安全的威脅；對(duì)服務(wù)器安全的威脅。

2電子商務(wù)的安全機(jī)制

由于電子商務(wù)最終要涉及客戶機(jī)向商務(wù)服務(wù)器發(fā)出訂單信息和結(jié)算信息，而商務(wù)服務(wù)器則要向認(rèn)證機(jī)構(gòu)認(rèn)證并向客戶機(jī)返回訂單確認(rèn)信息。

如果信息中途被任何人改變，將會(huì)給買賣雙方帶來(lái)災(zāi)難性的后果，因此保證交易的完整性是極為重要的。要保證交易的完整性，除了考慮物理安全、人員安全、安全管理、介質(zhì)安全等因素之外，還必須解決好技術(shù)上的安全問(wèn)題。現(xiàn)在就如何建立電子商務(wù)的安全機(jī)制進(jìn)行探討。

在電子商務(wù)的防護(hù)機(jī)制中，應(yīng)當(dāng)有相應(yīng)的權(quán)限設(shè)置。通過(guò)身份驗(yàn)證等方式來(lái)防止別人隨意地盜取信息。也可以通過(guò)數(shù)據(jù)文件的雙重加密提高防護(hù)的安全等級(jí)。在數(shù)據(jù)的完整性方面，就是要保證數(shù)據(jù)不被修改或盜取。安全機(jī)制在這里可以分為加密機(jī)制、數(shù)字鑒別機(jī)制、訪問(wèn)控制機(jī)制、認(rèn)證交換機(jī)制、信息流認(rèn)證機(jī)制、路由控制機(jī)制等。

2.1加密機(jī)制

加密是提供數(shù)據(jù)保密的最常用方法。應(yīng)用各種加密和信息隱匿技術(shù)，保護(hù)信息不被泄露或披露給未經(jīng)授權(quán)的人或組織。按密鑰類型劃分，加密算法可分為對(duì)稱密鑰加密算法和非對(duì)稱密鑰兩種；按密碼體制分，可分為序列密碼和分組密碼算法兩種。用加密的方法與其他技術(shù)相結(jié)合，可以提供數(shù)據(jù)的保密性和完整性。除了對(duì)話層不提供加密保護(hù)外，加密可在其他各層上進(jìn)行。與加密機(jī)制伴隨而來(lái)的是密鑰管理機(jī)制。

2.2數(shù)字簽名機(jī)制

數(shù)字簽名是解決網(wǎng)絡(luò)通信中特有的安全問(wèn)題的有效方法。可以保證身份的精確性，分辨參與者所聲稱身份的真?zhèn)危乐箓窝b攻擊。特別是避免通信雙方發(fā)生如下安全問(wèn)題：

否認(rèn)：發(fā)送者事后不承認(rèn)自己發(fā)送過(guò)某份文件。

偽造：接收者偽造一份文件，聲稱該文件發(fā)自原發(fā)送者。

冒充：網(wǎng)上的某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送信息。

篡改：接收者對(duì)收到的信息進(jìn)行部分篡改。

2.3訪問(wèn)控制機(jī)制

訪問(wèn)控制是按事先確定的規(guī)則決定主體對(duì)客體的訪問(wèn)是否合法。可以保護(hù)系統(tǒng)資源(信息、計(jì)算機(jī)和通信資源)不被未經(jīng)授權(quán)人或以未授權(quán)方式接入、使用、修改、毀壞和發(fā)出指令等。訪問(wèn)控制是對(duì)認(rèn)證的強(qiáng)化。

當(dāng)一個(gè)主體試圖非法使用一個(gè)未經(jīng)授權(quán)使用的客體時(shí)，該機(jī)制將拒絕這一企圖，并附帶向?qū)徲?jì)跟蹤系統(tǒng)報(bào)告這一事件。審計(jì)跟蹤系統(tǒng)將產(chǎn)生報(bào)警信號(hào)或形成部分追蹤審計(jì)信息。

2.4數(shù)據(jù)完整性機(jī)制

數(shù)據(jù)完整性包括兩種形式，一種是數(shù)據(jù)單元的完整性，另一種是數(shù)據(jù)單元序列的完整性。數(shù)據(jù)單元完整性包括兩個(gè)過(guò)程，一個(gè)過(guò)程發(fā)生在發(fā)送實(shí)體，另一個(gè)過(guò)程發(fā)生在接收實(shí)體。保證數(shù)據(jù)完整性的一般方法是：發(fā)送實(shí)體在一個(gè)數(shù)據(jù)單元上加一個(gè)標(biāo)記，這個(gè)標(biāo)記是數(shù)據(jù)本身的函數(shù)，如一個(gè)分組校驗(yàn)，或密碼校驗(yàn)函數(shù)，它本身是經(jīng)過(guò)加密的。接收實(shí)體是一個(gè)對(duì)應(yīng)的標(biāo)記，并將所產(chǎn)生的標(biāo)記與接收的標(biāo)記相比較，以確定在傳輸過(guò)程中數(shù)據(jù)是否被修改過(guò)。

數(shù)據(jù)單元序列的完整性是要求數(shù)據(jù)編號(hào)的連續(xù)性和時(shí)間標(biāo)記的正確性，以保護(hù)數(shù)據(jù)不被未授權(quán)者建立、嵌入、刪除、篡改、重放。如果數(shù)據(jù)被破壞將會(huì)給經(jīng)濟(jì)帶來(lái)毀滅性的打擊。

2.5交換鑒別機(jī)制

交換鑒別是以交換信息的方式來(lái)確認(rèn)實(shí)體身份的機(jī)制。用于交換鑒別的技術(shù)有：

口令：由發(fā)送方實(shí)體提供，接收方實(shí)體檢測(cè)。

密碼技術(shù)：將交換的數(shù)據(jù)加密，只有合法用戶才能解密，得出有意義的明文。在許多情況下，這種技術(shù)與下列技術(shù)一起使用：時(shí)間標(biāo)記和同步時(shí)鐘；雙方或三方“握手”；數(shù)字簽名和公證機(jī)構(gòu)。

利用實(shí)體的特征或所有權(quán)，常采用的技術(shù)是指紋識(shí)別和身份卡等。

2.6業(yè)務(wù)流量填充機(jī)制

這種機(jī)制主要是對(duì)抗非法者在線路中監(jiān)聽(tīng)數(shù)據(jù)并對(duì)其進(jìn)行流量和流向分析。采用的方法一般由保密裝置在無(wú)信息傳輸時(shí)，連續(xù)發(fā)出偽隨機(jī)序列，使得非法者不知哪些是有用信息、哪些是無(wú)用信息。

2.7路由控制機(jī)制

在一個(gè)大型網(wǎng)絡(luò)中，從源節(jié)點(diǎn)到目的節(jié)點(diǎn)可能有多條線路，有些線路可能是安全的，而另一些線路是不安全的。路由控制機(jī)制可使信息發(fā)送者選擇特殊的路由，以保證數(shù)據(jù)安全。

2.8公證機(jī)制

在一個(gè)大型網(wǎng)絡(luò)中，有許多節(jié)點(diǎn)或端節(jié)點(diǎn)。在使用這個(gè)網(wǎng)絡(luò)時(shí)，并不是所有用戶都是誠(chéng)實(shí)的、可信的，同時(shí)也可能由于系統(tǒng)故障等原因使信息丟失、遲到等，這很可能引起責(zé)任問(wèn)題。為了解決這個(gè)問(wèn)題，就需要有一個(gè)各方都信任的實(shí)體，也就是公證機(jī)構(gòu)，如同一個(gè)國(guó)家設(shè)立的公證機(jī)構(gòu)一樣，提供公證服務(wù)，仲裁出現(xiàn)的問(wèn)題。

一旦引入公證機(jī)制，通信雙方進(jìn)行數(shù)據(jù)通信時(shí)必須經(jīng)過(guò)這個(gè)機(jī)構(gòu)來(lái)轉(zhuǎn)換，以確保公證機(jī)構(gòu)能得到必要的信息，供以后仲裁。

除上述安全機(jī)制外，目前比較流行的技術(shù)XML(extensibleMarkupLan?鄄guage，可擴(kuò)展標(biāo)記語(yǔ)言)在世界范圍內(nèi)正受到廣泛關(guān)注，它在很大程度上是因?yàn)槟芙鉀Q電子商務(wù)的技術(shù)問(wèn)題。但如何在XML中注入安全機(jī)制，使之更加有效地服務(wù)于電子商務(wù)，也正在引起人們的重視。

3電子商務(wù)中值得關(guān)注的問(wèn)題

為使電子商務(wù)順利實(shí)施，除了需要建立一個(gè)完整的安全保障體系外，還有幾個(gè)認(rèn)識(shí)上的問(wèn)題值得注意。

首先，對(duì)于任何一個(gè)系統(tǒng)來(lái)說(shuō)，安全都是相對(duì)的，而不是絕對(duì)的，我們不能追求一個(gè)永遠(yuǎn)也攻不破的安全技術(shù)。如果要使以后的網(wǎng)站永遠(yuǎn)不受攻擊，不出安全問(wèn)題是很難的，所以作為網(wǎng)站的管理者要始終保持清醒的頭腦，針對(duì)出現(xiàn)的隱患和問(wèn)題不斷研究新的安全措施。

其次，安全問(wèn)題不僅僅是個(gè)技術(shù)性的問(wèn)題，更重要的還有管理，而且它還與社會(huì)道德、行業(yè)管理以及人們的行為模式都緊密地聯(lián)系在一起。根據(jù)FBI在2001年所做的一份統(tǒng)計(jì)報(bào)告顯示，來(lái)自企業(yè)內(nèi)部的信息安全事件的比例驚人，高達(dá)70%，其中主要的問(wèn)題有：?jiǎn)T工濫用Internet、來(lái)自內(nèi)部的未授權(quán)存取資料、專利信息被竊取、內(nèi)部人員的財(cái)務(wù)欺騙和資料或網(wǎng)絡(luò)被破壞等。因此要保證電子商務(wù)的安全，就要加強(qiáng)企業(yè)內(nèi)部管理，制定相應(yīng)的規(guī)章制度。

總之，用經(jīng)濟(jì)學(xué)的觀點(diǎn)來(lái)看網(wǎng)絡(luò)安全問(wèn)題，安全是發(fā)展的、動(dòng)態(tài)的，今天安全明天就不一定很安全。因?yàn)榫W(wǎng)絡(luò)的攻防是此消彼長(zhǎng)，道高一尺、魔高一丈的事情，尤其是安全技術(shù)，它的敏感性、競(jìng)爭(zhēng)性以及對(duì)抗性都是很強(qiáng)的，這就需要不斷地檢查、評(píng)估和調(diào)整相應(yīng)的安全策略。沒(méi)有一勞永逸的安全，也沒(méi)有一蹴而就的安全，要在實(shí)踐中不斷研究探索、逐步完善電子商務(wù)的各種安全機(jī)制。隨著我國(guó)經(jīng)濟(jì)在世界經(jīng)濟(jì)發(fā)展中地位的不斷提高，保證電子商務(wù)正常、健康地發(fā)展，是網(wǎng)絡(luò)工作者的責(zé)任和義務(wù)。保證電子商務(wù)的安全性，保證經(jīng)濟(jì)信息安全、快捷的傳送，一定能加快我國(guó)經(jīng)濟(jì)的發(fā)展，進(jìn)而提高我國(guó)經(jīng)濟(jì)的科學(xué)技術(shù)水平。

參考文獻(xiàn)

1瞿裕忠.電子商務(wù)應(yīng)用開(kāi)發(fā)技術(shù)[M].北京：高等教育出版社，2000

2龔儉.計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[M].南京：東南大學(xué)出版社，2000

3李旭華.計(jì)算機(jī)病毒機(jī)制與防范技術(shù)[M].重慶：重慶大學(xué)出版社，2002

4王茜，楊德禮.電子商務(wù)的安全體系結(jié)構(gòu)及技術(shù)研究[J].計(jì)算機(jī)工程，2003(1)