1.竊取、篡改交易信息,即網絡交易中明文傳輸的數據被非法入侵者截獲、破譯後,被非法篡改、刪除或插入,損害信息的完整性。
二是信息冒充,即非法網絡攻擊者通過冒充合法用戶或模擬虛假信息實施詐騙。
預防和改進措施:加強數據保密性、完整性和不可否認性的措施。
電子商務信息的保密性是指信息不會泄露給未經授權的用戶、實體或過程或被其使用的特性。電子商務信息的完整性是指數據未經授權不得更改的特性。也就是說,信息在存儲或傳輸過程中保持不變、不被破壞和丟失。電子商務信息的不可否認性是指避免交易中的某壹方在進行了某種交易行為後否認自己進行了該商務行為;或者壹方否認收到過另壹方發送的交易信息。
主要安全技術:
1.加密技術是電子商務最基本的安全技術。在目前的技術條件下,加密技術通常分為對稱加密和非對稱加密。
(1)對稱密鑰加密:采用相同的加密算法,加密和解密使用相同的密鑰。如果通信雙方能夠確保私鑰在密鑰交換階段沒有被泄露,就可以使用對稱加密方法對機密信息進行加密,並將消息摘要和消息哈希值隨消息壹起發送,以保證消息的機密性和完整性。密鑰安全交換是關系到對稱加密有效性的核心環節。目前常用的對稱加密算法有DES、PCR、IDEA、3DES等。其中,DES是國際標準化組織最常用和采用的數據加密標準。
(2)非對稱密鑰加密:非對稱加密不同於對稱加密,其密鑰對分為公鑰和私鑰。生成密鑰對後,公鑰就公開了,而私鑰則保存在密鑰發行人手中。任何獲得公鑰的用戶都可以使用該密鑰對信息進行加密並發送給公鑰的發布者,發布者在獲得加密信息後會用公鑰對應的私鑰對其進行解密。目前常用的非對稱加密算法是RSA算法。該算法已經被國際標準化組織的數據加密技術小組委員會推薦為非對稱密鑰數據加密標準。
在對稱和非對稱加密方法中,對稱加密具有加密速度快(通常比非對稱加密快10倍)、效率高的優點,廣泛應用於大量數據的加密。但這種方式的致命缺點是密鑰的傳輸和交換也面臨安全問題,密鑰容易被截獲。而且,如果與大量用戶通信,很難安全地管理大量的密鑰對,因此對稱加密的廣泛應用存在壹定的問題。而非對稱密鑰的優勢在於解決了對稱加密中密鑰數量太大難以管理、成本高的問題,並且無需擔心私鑰在傳輸中泄露,因此安全性能優於對稱加密技術。但不對稱的缺點是加密算法復雜,加密速度不理想。目前電子商務的實際應用往往是兩者的結合。
2.身份認證技術。目前,僅有加密技術不足以保證電子商務交易的安全,身份認證技術是保證電子商務安全的又壹重要技術手段。身份認證的實現包括數字簽名技術、數字證書技術等。
(1)數字簽名技術
加密信息只是解決了信息傳輸過程中的保密性問題,還需要其他手段防止他人篡改或破壞傳輸的信息,保證信息的完整性,保證信息發送者的不可抵賴性。這意味著是數字簽名。數字簽名技術是身份認證技術。數字化文檔上的數字簽名類似於紙上的手寫簽名,無法偽造。接收者可以驗證文檔確實來自簽名者,並且文檔在簽名後沒有被修改,從而保證信息的真實性和完整性。
目前的數字簽名是基於公鑰體制的,是公鑰加密技術的另壹種應用。數字簽名和書面文檔簽名有相似之處。使用數字簽名,可以確認以下兩點:信息是由簽名者發送的;該信息自發布之日起至收到之日止未被修改。目前,主要有三種數字簽名方法,即:RSA簽名、DSS簽名和Hash簽名。這三種算法可以單獨使用,也可以壹起使用。
(2)數字證書技術
在公鑰-私鑰系統中,私鑰只有信息的發送方知道,匹配的公鑰是公開的,可以保證傳輸信息的機密性,但沒有解決公鑰的分發方法。數字簽名保證信息是由簽名者發送的,並且信息從發出到被接收沒有被修改過,但是它不能保證簽名者身份的真實性。因此,需要壹種措施來管理公鑰的分發,並確保公鑰和與公鑰相關的實體身份信息的真實性。這個措施就是數字證書。數字證書壹般由權威、可信、任性的第三方機構頒發,即CA。數字證書是公鑰系統中的密鑰管理介質,它將公鑰與實體身份信息綁定在壹起,包含認證機構的數字簽名。數字證書用於電子商務中公鑰的分發和傳輸,證明電子商務實體的身份與公鑰相匹配。