法律知识
登录        电话咨询
浅析电子商务交易中的信息安全
发布日期:2012-01-06    作者:110网律师
 [摘要]信息安全是电子商务交易安全的核心,而对电子商务交易活动,I的信息安全威胁,除了要解决好物理和网络
层而的安全外,卞要应做好信息加密和数字签名上作。
    [关键词]电子商务信息安全加密技术数字签名
    电子商务是指利用快捷、低成木的网络通讯方式,在信息女全技
术和商务立法保障卜,买卖双方不需谋而仪利用网络平台就可进行各
种商贸话动。电子商务作为一种新兴的贸易手段和形式,具有不受地
域时空限制,交易而)’,交易费用和成木低,及时性和互通性好的特
点,使得电子商务受到全球范ni的)’泛关汁,成为zmo_纪n:界各国新
的经济增长点。正是由于电子商务是通过开放式而井不女全的工nternet
来实现交易信息的收集和传输,数抓在收集和传输的过程中,极易遭
到黑客对数抓进行的窃听(攻击数抓的机密性)、篡改(攻击数抓的
完整性)或伪造(攻击数抓的真实性),甚至发起对商务系统的拒绝
服务攻击(攻击系统的可用性),使商务应用系统无法正常访问和使
用。另外,与传统商务话动相比,电子商务交易双方井未谋而,无法
确认交易双方身份的真实性,很难预防和杜绝交易欺诈行为的发生,
因此要建立交易双方的信仃关系和女全感是相当困难的。当au电子商
务交易中的女全威胁主要来自外部和内部人员的恶意攻击和入侵,也
即是我们通常所说的“黑客”攻击。信息女全问题是当au电子商务交
易话动中的关键问题,’自自接关系到电子交易各方的利益。
    一、电子商务交易中的信息女全风险
    1.交易信息被窃取。由于未采用加密措施,数抓信息在网络上以
明文形式传送,入侵者在数抓包经过的网关或路由器上采取搭线、电
磁窃取和分析业务流m:等获取有用情报。通过多次窃取和分析,可以
找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信
息泄露,其结果是交易双方进行交易的内容被第三方窃取,交易一方
提供给另一方的文件被第三方非法使用。
    2.交易信息被篡改。当入侵者掌握了信息的格式和规律后,就可
以随心所欲地通过各种技术手段和方法(通过路由器或网关均可完成
这一过程),将网络上传送的信息数抓在中途修改,然后再发向日的
地,破坏了商业信息的真实性和完整性。
    3.交易信息被假冒。由于掌握了数抓的格式,少I`可以篡改通过的
信息,攻击者可以冒充合法用户发送假冒的信息或主动获取信息,破
坏信息的接受和发送,攻击系统的真实性而远端用户通常很难分辨。
一种是伪造电子邮件,骗取门单,如伪造用户发大m:电子邮件,耗尽
商家系统资源,使合法用户不能正常访问等另一种是假冒他人身份,
女{}冒充领导发布命令、调阅密件,冒充他人消费,冒充系统答理员,
.片用合法资源等。
    4.交易信息被破坏。由于攻击者可以接入网络,掌握网上的机要
信息甚至可以潜入网络内部,从而而临着信息被恶意破坏的危险,如
利用各种计算机病毒,就可以使电子商务交易信息被破坏。
    一、为了确保电子商务交易中的信息女全,当BU必须解决的主要
问题
    而对电子商务交易话动中的信息女全威胁,除了要解决好物理和
网络层而的女全外,主要应做好信息加密和数字签名下作。
    1.利用加密传输技术,确保交易信息的机密}h'I-. o在电子商务交易
过程中,对用户银行账户、信用卡写、密码、身份证写等重要而敏感
的信息,必须进行加密和女全传输,以防i1:敏感信息被人窃取和泄密。
当前,可使用对称密钥或」卜对称密钥技术对电子商务双方交易信息进
行女全加密。对称密钥加密即数抓的发送者和接收者使用相同的密钥
来进行加密或解密,即加密密钥和解密密钥为同一密钥的密码算法,
故又称为单钥密码算法。」卜对称密钥加密,是指加密密钥和解密密钥
为两个不同密钥的密码算法,故又称为双钥密码算法或公钥密码算
法。在电子商务应用中,商户可以公开其公钥,而保留其私钥;客户
可以用商家的公钥对要发送的信息进行加密,然后将密文传送给商
户,商户就可用自己的私钥对密文进行解密,这样就在相当程度上确
保双方交易信息的女全,在加密传输中,即使别人截获了信息,也无
法在短时间内得到其内容。
    2.利用数字签名技术确保交易的有效}h'I-. o在传统贸易中,贸易双
方是通过在交易合同、契约或贸易单抓等书而文件上手写签名或盖印
章来鉴别贸易伙伴,少i确定合同、契约、的一抓在法律上的有效性,同
时预防抵赖行为的发生。电子商务以电子门的一取代了传统的纸质合
同、契约或贸易单抓,如何保障电子门单在法律上的有效性,采用数
字签名应是一种切实可行的方法。数字签名是公钥加密技术与数字摘
要的一种综合运用,利用数字签名技术,其作用类似于传统商务话动
中的手写签名或盖印章,它可以确认以卜几点:保证信息是由签名者
自己签名发送的,签名者不能否认或难以否认;保证信息自签发后到
收到为i1_未曾作过子州}J修改,签发的文件是真实文件;由CA机构担
保经验证的信息发送者的真实身份所有信息发送和接收行为都是可
以追查的;信息经数字证书提供的密钥加密后可以可靠保密地传播。
这样,电子商务交易对信息女全的需求就被全部满足了。但以数字证
书为核心的交易信息女全体系的形成数字证书还只是在技术层而解决
了信息女全的问题,要真正在商务话动中得到应用,还需要在社会法
律层而进行必要的配套,因此,一个完善的女全体系应该由卜而几个
要点构成:存在政府认可的具有公信力的第三方认证机构;数字证书
采用通行的}J、准井与国际接仇电子商务应用中的硬件平台和软件平
台支持数字证书的技术和应用;数字证书的法律地位得到有关立法的
承Ju电子商务的参与者主动或被动地应用数字证书作为保障自己和
他人利益、隐私的下具。
    总之,只有在立法机构、政府、信息产品供应商、电子商务参与
者及其他社会力m:的川司努力卜,女全、高效、71-放的电子商务才能
真正成为我国市场经济发展的强大动力。
    参考文献:
    n]刘叶匕赵德安:电子电子商务安全的探讨[J7 . } I,国安全科
学学报,Zoos, (z>:109-113
    [2]刘钟理:论电子商务交易信息安全体系的建立[J].湖南则经
高等专科学校学报,2004, (3) :83-85
相关法律知识
咨询律师
孙焕华律师 
北京朝阳区
已帮助 42 人解决问题
电话咨询在线咨询
杨丽律师 
北京朝阳区
已帮助 126 人解决问题
电话咨询在线咨询
陈峰律师 
辽宁鞍山
已帮助 2475 人解决问题
电话咨询在线咨询
更多律师
©2004-2014 110网 客户端 | 触屏版丨电脑版  
万名律师免费解答咨询!
法律热点