浅议电子商务中的信息安全问题［摘要］电子商务对人类社会经济产生了重大影响，在创造巨大经济效益的同时，也从根本上改变了整个社会商务活动发展进程。我国电子商务在曲折进程中，已有很大程度的发展,同时也存在诸多问题。本文客观地分析了电子商务的安全需求、安全技术发展现状及存在的问题，对加快电子商务的发展步伐提出了一些重要思考。［关键词］电子商务；安全需求；安全技术；协议技术电子商务所经过的网络的安全性能提出特殊要求，对电子邮件数据实现了端到端的安全保障。1）电子商务领域常用的加密技术数字摘要(digitaldigest)这一加密方法亦称安全Hash编码法，由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹(FingerPrint)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“真身”的“指纹”了。数字签名(digitalsignature)数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)，用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密，如果两个散列值相同，那么接收方就能确认该数字签名是发送方的，通过数字签名能够实现对原始报文的鉴别。概括的说，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字时间戳(digitaltime-stamp)交易文件中，时间是十分重要的信息。在电子交易中，需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。时间戳(time-stamp)是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要(digest)；DTS收到文件的日期和时间；DTS的数字签名。数字证书(digitalcertificate,digitalID)数字证书又称为数字凭证，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。目前，最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书，证书作为网上交易参与各方的身份识别，就好象每个公民都用身份证来证明身份一样。认证中心作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任，是一个负责发放和管理数定证书的权威机构。因而网络中所有用户可以将自己的公钥交给这个中心，并提供自己的身份证明信息，证明自己是相应公钥的拥有者，认证中心审查用户提供的信息后，如果确认用户是合法的，就给用户一个数字证书。这样，每个成员只需和认证中心打交道，就可以查到其他成员的公钥信息了。对于在网上进行交易的双方来说，数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型：个人凭证、企业凭证、软件凭证；大部分认证中心提供前两类凭证。[]2.身份认证技术为解决Internet的安全问题，初步形成了一套完整的Internet安全解决方案，即被广泛采用的公钥基础设施体系结构。PKI体系结构采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息捆绑在一起，在Internet网上验证用户的身份，PKI体系结构把公钥密码和对称密码结合起来，在Internet网上实现密钥的自动管理，保证网上数据的机密性、完整性。1）认证系统的基本原理利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性，可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA，CA为用户发放电子证书，用户之间利用证书来保证信息安全性和双方身份的合法性。2）认证系统结构整个系统是一个大的网络环境，系统从功能上基本可以划分为CA、RA和WebPublisher。核心系统跟CA放在一个单独的封闭空间中，为了保证运行的绝对安全，其人员及制度都有严格的规定，并且系统设计为一离线网络。CA的功能是在收到来自RA的证书请求时，颁发证书。证书的登记机构RegisterAuthority，简称RA，分散在各个网上银行的地区中心。RA与网银中心有机结合，接受客户申请，并审批申请，把证书正式请求通过建设银行企业内部网发送给CA中心。证书的公布系统WebPublisher，简称WP，置于Internet网上，是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA颁发之后，CA用E－mail通知用户