1.保密。電子商務信息作為壹種貿易手段,直接代表著個人、企業或國家的商業秘密。傳統的紙張貿易是通過郵寄密封信件或通過可靠的通信渠道發送商業消息來保密。電子商務是建立在壹個相對開放的網絡環境上的(尤其是互聯網是壹個更加開放的網絡),保守商業秘密是電子商務全面普及應用的重要保證。因此,必須防止在傳輸過程中非法獲取信息和非法竊取信息。保密性通常是通過加密技術對傳輸的信息進行加密來實現的。
2.正直。電子商務簡化了貿易過程,減少了人為幹預,同時也帶來了維護貿易各方商務信息完整性和統壹性的問題。由於數據輸入中的意外錯誤或欺詐行為,交易方的信息可能會有所不同。此外,數據傳輸過程中的信息丟失、信息重復或信息傳輸順序的不同,也會導致交易各方之間的信息差異。交易方信息的完整性會影響交易方的交易和經營策略,維護交易方信息的完整性是電子商務應用的基礎。因此,要防止信息的隨意生成、修改和刪除,防止數據傳輸過程中信息的丟失和重復,保證信息傳輸順序的統壹。完整性通常可以通過提取信息電文的摘要來獲得。
3.認證。由於網上電子商務交易系統的特殊性,企業或個人的交易通常是在虛擬的網絡環境中進行的,因此個人或企業實體的身份識別成為電子商務中非常重要的壹部分。識別壹個人或實體的身份,以保證身份的真實性,即交易雙方無需見面即可確認對方的身份。這意味著當某人或某個實體聲稱擁有特定的身份時,認證服務將提供壹種方法來驗證其聲明的正確性,這通常是通過證書頒發機構CA和證書來實現的。
4.不可否認。電子商務可能直接關系到兩個交易方之間的商業交易,如何確定待交易的交易方是交易所的預期交易方,是保證電子商務順利進行的關鍵。在傳統的紙質交易中,交易雙方通過手寫簽署或蓋章交易合同、契約或貿易單據等書面文件來識別交易對象,以確定合同、契約、單據的可靠性,防止抵賴行為的發生。這就是人們常說的“白紙黑字”。在無紙化的電子商務模式下,無法通過手寫簽名和印章來識別交易者。因此,在交易信息傳遞過程中,需要為參與交易的個人、企業或國家提供可靠的身份識別。通過對發送的消息進行數字簽名,可以獲得不可否認性。
5.有效性。電子商務以電子形式取代了紙質,因此如何保證這種電子形式的貿易信息的有效性是發展電子商務的前提。作為壹種貿易形式,電子商務信息的有效性將直接影響個人、企業或國家的經濟利益和聲譽。因此,需要控制和預防由網絡故障、操作錯誤、應用錯誤、硬件故障、系統軟件錯誤和計算機病毒引起的潛在威脅,以確保交易數據在特定時間和地點有效。
電子商務安全的主要技術
電子商務安全是信息安全的上層應用,包含的技術非常廣泛,主要分為網絡安全技術和密碼技術兩大類,其中密碼技術又可分為加密、數字簽名和認證技術。
1.網絡安全技術
網絡安全是電子商務安全的基礎,壹個完整的電子商務系統應該建立在安全的網絡基礎設施上。網絡安全涉及多個方面的比較,如操作系統安全、防火墻技術、虛擬專用網VPN技術以及各種反黑客技術和漏洞檢測技術。其中最重要的是防火墻技術。
防火墻是基於通信技術和信息安全技術的。它用於在網絡之間建立安全屏障,根據指定的策略過濾、分析和審計網絡數據,並對各種攻擊提供有效的預防。主要用於互聯網接入和專網與公網的安全連接。
VPN也是保證網絡安全的技術之壹。是指在公網中建立壹個私有網絡,數據通過建立的虛擬安全通道在公網中傳播。企業只需租用壹條本地數據線,接入本地公共信息網,分支機構之間就可以安全地相互傳遞信息;同時,企業也可以利用公共信息網的撥號接入設備,讓自己的用戶撥入公共信息網,然後就可以連接到企業網。使用VPN具有節約成本、遠程訪問、擴展性強、易於管理、完全可控等優點,是目前和未來企業網絡發展的趨勢。
2.加密技術
加密技術是保證電子商務安全的重要手段,許多密碼算法現已成為網絡安全和商務信息安全的基礎。加密算法使用密鑰對敏感信息進行加密,然後將加密的數據和密鑰(以安全的方式)發送給接收方。接收方可以使用相同的算法和傳遞的密鑰對數據進行解密,從而獲取敏感信息,保證網絡數據的機密性。通過使用另壹種稱為數字簽名的加密技術,可以同時保證網絡數據的完整性和真實性。密碼技術的使用可以滿足電子商務安全的需要,保證商務交易的機密性、完整性、真實性和不可否認性。
雖然密碼學只是在第二次世界大戰期間才開始流行,現在廣泛應用於網絡安全和電子商務安全,但其起源可以追溯到幾千年前,其思想仍在使用,只是在處理過程中增加了數學上的復雜性。
加密技術包括私鑰加密和公鑰加密。私鑰加密,也稱為對稱密鑰加密,是指信息的發送方和接收方使用壹個密鑰來加密和解密數據。目前常用的私鑰加密算法有DES和IDEA。對稱加密技術最大的優點是加密/解密速度快,適合加密大量數據,但密鑰管理比較困難。
公鑰加密,也稱為非對稱密鑰加密系統,需要使用壹對密鑰分別完成家庭秘密和解密操作。壹種是公開發布,稱為公鑰。另壹種由用戶自己秘密保管,稱為私鑰。信息的發送方使用公鑰加密,而信息的接收方使用私鑰解密。加密過程通過數學手段保證不可逆,即用公鑰加密的信息只能用與公鑰配對的私鑰解密。常用的算法有RSA,ElGamal等。公鑰機制靈活,但加解密速度比對稱密鑰加密慢很多。
為了充分利用公鑰密碼和對稱密碼的優點,克服它們的缺點,解決每次更換密鑰的問題,提出了壹種混合密碼體制,即所謂的電子信封技術。發送方自動生成對稱密鑰,將密鑰發送的信息與對稱密鑰相加,將生成的密文與用接收方公鑰加密的對稱密鑰壹起發送。接收者用其秘密密鑰解密加密的密鑰以獲得對稱密鑰,並使用它來解密密文。這就保證了每次傳輸都可以用發送方選擇的不同密鑰進行,更好地保證了數據通信的安全性。
使用混合密碼體制可以同時提供機密性保證和訪問控制。使用對稱加密算法對大量輸入數據進行加密可以提供機密性保證,然後使用公鑰對對稱密鑰進行加密。如果要使信息對多個接收者可用,可以用每個接收者的公鑰對其對稱密鑰進行加密,從而提供訪問控制功能。
3.數字簽名
哈希函數,也稱為消息摘要、哈希函數或哈希函數,常用於數字簽名。它的輸入是壹個可變長度的輸入,並返回壹個固定長度的字符串,這個字符串稱為輸入哈希值(消息摘要)。
在日常生活中,通常會對文件進行簽名以確保其真實性和有效性,並且可以約束簽名人以防止其抵賴,同時發送文件和簽名作為日後驗證的依據。在網絡環境中,電子數字簽名可以作為模擬,從而為電子商務提供不可否認的服務。
與手寫簽名相比,數字簽名在安全性上有以下優點:數字簽名不僅與簽名人的私鑰有關,而且與消息的內容有關,因此不可能將簽名人的簽名從壹條消息復制到另壹條消息,同時可以防止對消息內容的篡改。
4.認證機構和數字證書