淺談安全技術(shù)在電子商務(wù)中的應(yīng)用

　　摘要：目前電子商務(wù)領(lǐng)域所使用的安全技術(shù)：數(shù)據(jù)加密技術(shù)，身份認證技術(shù)，網(wǎng)上支付平臺及支付網(wǎng)關(guān)，指出了它們分別的使用范圍及其優(yōu)缺點，但必須強調(diào)說明的是，電子商務(wù)的安全運行，僅從技術(shù)角度防范是遠遠不夠的，還必須完善電子商務(wù)立法。

　　1、電子商務(wù)的主要安全要素

　　目前電子商務(wù)(ElectronicCommerce：是利用計算機技術(shù)、網(wǎng)絡(luò)技術(shù)和遠程通信技術(shù)，實現(xiàn)整個商務(wù)(買賣)過程中的電子化、數(shù)字化和網(wǎng)絡(luò)化。人們不再是面對面的、看著實實在在的貨物、靠紙介質(zhì)單據(jù)(包括現(xiàn)金)進行買賣交易。而是通過網(wǎng)絡(luò)，通過網(wǎng)上琳瑯滿目的商品信息、完善的物流配送系統(tǒng)和方便安全的資金結(jié)算系統(tǒng)進行交易。)工程正在全國迅速發(fā)展。實現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動過程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看,傳統(tǒng)的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當困難。電子商務(wù)交易雙方(銷售者和消費者)都面臨安全威脅。電子商務(wù)的安全要素主要體現(xiàn)在以下幾個方面：

　　信息有效性、真實性

　　電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。

　　信息機密性

　　電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

　　信息完整性

　　電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預，同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲及電子商務(wù)完整性檢查的正確和可靠。

　　信息可靠性、不可抵賴性和可鑒別性

　　可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^;不可否認要求即是能建立有效的責任機制，防止實體否認其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預防抵賴行為的發(fā)生。

　　在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標識。在1nternet上每個人都是匿名的。原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。

　　2、電子商務(wù)的安全技術(shù)討論

　　2.1電子商務(wù)的安全技術(shù)之一-----數(shù)據(jù)加密技術(shù)

　　加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。

　　面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過加密的數(shù)據(jù)包傳送、認證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。在網(wǎng)絡(luò)層上實現(xiàn)的加密技術(shù)對于網(wǎng)絡(luò)應(yīng)用層的用戶通常是透明的。此外，通過適當?shù)拿荑�管理機制，使用這一方法還可以在公用的互聯(lián)網(wǎng)絡(luò)上建立虛擬專用網(wǎng)絡(luò)并保障虛擬專用網(wǎng)上信息的安全性。

　　面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法，例如使用kerberos服務(wù)的telnet、nfs、rlogion等，以及用作電子郵件加密的pem(privacyenhancedmail)和pgp(prettygoodprivacy)。這一類加密技術(shù)的優(yōu)點在于實現(xiàn)相對較為簡單，不需要對電子信息(數(shù)據(jù)包)所經(jīng)過的網(wǎng)絡(luò)的安全性能提出特殊要求，對電子郵件數(shù)據(jù)實現(xiàn)了端到端的安全保障。

　　1)常用的加密技術(shù)分類：

　　對稱密鑰密碼算法

　　對稱(傳統(tǒng))密碼體制是從傳統(tǒng)的簡單換位代替密碼發(fā)展而來的，自1977年美國頒布des密碼算法作為美國數(shù)據(jù)加密標準以來，對稱密鑰密碼體制得到了迅猛發(fā)展，得到了世界各國關(guān)注和使用。對稱密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類。

　　不對稱型加密算法

　　也稱公用密鑰算法，其特點是有二個密鑰即公用密鑰和私有密鑰，只有二者配合使用才能完成加密和解密的全過程。

　　由于不對稱算法擁有二個密鑰，因此它特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密，在Internet中得到了廣泛應(yīng)用。其中公用密鑰在網(wǎng)上公布，為數(shù)據(jù)源對數(shù)據(jù)加密使用，而用于解密的相應(yīng)私有密鑰則由數(shù)據(jù)的收信方妥善保管。

　　不可逆加密算法

　　其特征是加密過程不需要密鑰，并且經(jīng)過加密的數(shù)據(jù)無法被解密，只有同樣的輸入數(shù)據(jù)經(jīng)過同樣的不可逆加密算法才能得到相同的加密數(shù)據(jù)。不可逆加密算法不存在密鑰保管和分發(fā)問題，適合于分布式網(wǎng)絡(luò)系統(tǒng)上使用，但是其加密計算工作量大，所以通常用于數(shù)據(jù)量有限的情形的加密，例如計算機系統(tǒng)中的口令的加密。

　　2)電子商務(wù)領(lǐng)域常用的加密技術(shù)

　　數(shù)字摘要(digitaldigest)

　　這一加密方法亦稱安全Hash編碼法，由RonRivest所設(shè)計。該編碼法采用單向Hash函數(shù)將需加密的明文"摘要"成一串128bit的密文，這一串密文亦稱為數(shù)字指紋(FingerPrint)，它有固定的長度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是"真身"的"指紋"了。

　　數(shù)字簽名(digitalsignature)

　　數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來使用。在書面文件上簽名是確認文件的一種手段，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實;二是因為簽名不易仿冒，從而確定了文件是真的這一事實。

　　數(shù)字時間戳(digitaltime-stamp)

　　交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務(wù)(DTS)就能提供電子文件發(fā)表時間的安全保護。

　　數(shù)字時間戳服務(wù)(DTS)是網(wǎng)上安全服務(wù)項目，由專門的機構(gòu)提供。時間戳(time-stamp)是一個經(jīng)加密后形成的憑證文檔，它包括三個部分：1)需加時間戳的文件的摘要(digest),2)DTS收到文件的日期和時間，3)DTS的數(shù)字簽名。

　　數(shù)字證書(digitalcertificate,digitalID)

　　數(shù)字證書又稱為數(shù)字憑證，是用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問的權(quán)限。

　　數(shù)字憑證有三種類型：

　　·個人憑證(PersonalDigitalID)

　　·企業(yè)(服務(wù)器)憑證(ServerID)

　　·軟件(開發(fā)者)憑證(DeveloperID)

　　上述三類憑證中前二類是常用的憑證，第三類則用于較特殊的場合，大部分認證中心提供前兩類憑證。

　　3)與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論：

　　SSL協(xié)議(SecureSocketsLayer)安全套接層協(xié)議

　　------面向連接的協(xié)議，當初不是為電子商務(wù)而設(shè)計

　　SSL協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用WebServer方式。

　　SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如HTTP、FTP、TELNET等)以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩�性。SSL協(xié)議獨立于應(yīng)用層協(xié)議，因此，在電子交易中被用來安全傳送信用卡號碼。

　　SSL的應(yīng)用及局限：中國目前多家銀行均采用SSL協(xié)議，從目前實際使用的情況來看，SSL還是人們最信賴的協(xié)議。但是SSL當初并不是為支持電子商務(wù)而設(shè)計的，所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端。它是一個面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認證，而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系;還有，購貨時用戶要輸入通信地址，這樣將可能使得用戶收到大量垃圾信件。

　　SET協(xié)議(SecureElectronicTransaction)安全電子交易

　　------專門為電子商務(wù)而設(shè)計的協(xié)議，但仍然不能解決電子商務(wù)所遇到全部問題

　　電子商務(wù)在提供機遇和便利的同時，也面臨著一個最大的挑戰(zhàn)，即交易的安全問題。在網(wǎng)上購物的環(huán)境中，持卡人希望在交易中保密自己的帳戶信息，使之不被人盜用;商家則希望客戶的定單不可抵賴，并且，在交易過程中，交易各方都希望驗明其他方的身份，以防止被欺騙。針對這種情況，由美國Visa和MasterCard兩大信用卡組織聯(lián)合國際上多家科技機構(gòu)，共同制定了應(yīng)用于Internet上的以銀行卡為基礎(chǔ)進行在線交易的安全標準，這就是"安全電子交易"(SET)。它采用公鑰密碼體制和X.509數(shù)字證書標準，主要應(yīng)用于保障網(wǎng)上購物信息的安全性。由于SET提供了消費者、商家和銀行之間的認證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家等優(yōu)點，因此它成為了目前公認的信用卡/借記卡的網(wǎng)上交易的國際安全標準。

　　SET的局限性：SET是專門為電子商務(wù)而設(shè)計的協(xié)議，雖然它在很多方面優(yōu)于SSL協(xié)議，但仍然不能解決電子商務(wù)所遇到的全部問題。

　　2.2電子商務(wù)的安全技術(shù)之二------身份認證技術(shù)

　　為解決Internet的安全問題，世界各國對其進行了多年的研究，初步形成了一套完整的Internet安全解決方案，即目前被廣泛采用的PKI(PublicKeyInfrastructure公鑰基礎(chǔ)設(shè)施)體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書管理公鑰，通過第三方的可信機構(gòu)CA，把用戶的公鑰和用戶的其他標識信息(如名稱、e-mail、身份證號等)捆綁在一起，在Internet網(wǎng)上驗證用戶的身份，PKI體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來，在Internet網(wǎng)上實現(xiàn)密鑰的自動管理，保證網(wǎng)上數(shù)據(jù)的機密性、完整性。

　　在電子交易中，無論是數(shù)字時間戳服務(wù)(DTS)還是數(shù)字證書(DigitalID)的發(fā)放，都不是靠交易的自己能完成的，而需要有一個具有權(quán)威性和公正性的第三方(thirdparty)來完成。認證中心(CertificateAuthority)就是承擔網(wǎng)上安全電子交易認證服務(wù)、能簽發(fā)數(shù)字證書、并能確認用戶身份的服務(wù)機構(gòu)。認證中心通常是企業(yè)性的服務(wù)機構(gòu)，主要任務(wù)是受理數(shù)字憑證的申請、簽發(fā)及對數(shù)字憑證的管理。認證中心依據(jù)認證操作規(guī)定(CertificationPracticeStatement)來實施服務(wù)操作。

　　1)認證系統(tǒng)的基本原理

　　利用RSA公開密鑰算法在密鑰自動管理、數(shù)字簽名、身份識別等方面的特性，可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統(tǒng)。這個可信的第三方認證系統(tǒng)也稱為CA，CA為用戶發(fā)放電子證書，用戶之間(比如網(wǎng)銀服務(wù)器和某客戶之間)利用證書來保證信息安全性和雙方身份的合法性。

　　2)認證系統(tǒng)結(jié)構(gòu)

　　整個系統(tǒng)是一個大的網(wǎng)絡(luò)環(huán)境，系統(tǒng)從功能上基本可以劃分為CA、RA和WebPublisher。

　　核心系統(tǒng)根CA放在一個單獨的封閉空間中，為了保證運行的絕對安全，其人員及制度都有嚴格的規(guī)定，并且系統(tǒng)設(shè)計為一離線網(wǎng)絡(luò)。CA的功能是在收到來自RA的證書請求時，頒發(fā)證書。一般的個人證書發(fā)放過程都是自動進行，無須人工干預。

　　證書的登記機構(gòu)RegisterAuthority，簡稱RA，分散在各個網(wǎng)上銀行的地區(qū)中心。RA與網(wǎng)銀中心有機結(jié)合，接受客戶申請，并審批申請，把證書正式請求通過建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心。RA與CA雙方的通信報文也通過RSA進行加密，確保安全。系統(tǒng)的分布式結(jié)構(gòu)適于新業(yè)務(wù)網(wǎng)點的開設(shè)，具有較好的擴充性。通信協(xié)議為TCP/IP。

　　證書的公布系統(tǒng)WebPublisher，簡稱WP，置于Internet網(wǎng)上，是普通用戶和CA直接交流的界面。對用戶來講它相當于一個在線的證書數(shù)據(jù)庫。用戶的證書由CA頒發(fā)之后，CA用E-mail通知用戶，然后用戶須用瀏覽器從這里下載證書。

　　證書鏈服務(wù)(有時也稱"交叉認證")是一個CA擴展其信任范圍或被認可范圍的一種實現(xiàn)機制。如果企業(yè)或機構(gòu)已經(jīng)建立了自己的CA系統(tǒng)，通過第三方認證中心對該機構(gòu)或企業(yè)的CA簽發(fā)CA證書，能夠使得該企業(yè)或機構(gòu)的CA發(fā)放的證書被所有信任第三方認證中心的瀏覽器、郵件客戶所信任。

　　3)中國金融認證中心CFCA的建設(shè)情況

　　中國對電子商務(wù)的發(fā)展也給予了應(yīng)有的重視。中國金融認證中心CFCA(ChinaFinancialCertificateAuthority)。已于2000年6月29日開始對社會各界提供證書服務(wù)，系統(tǒng)進入運行狀態(tài)。中國金融認證中心作為一個權(quán)威的、可信賴的、公正的第三方信任機構(gòu)，為參與電子商務(wù)各方的各種認證需求提供證書服務(wù)，建立彼此的信任機制，為全國范圍內(nèi)的電子商務(wù)及網(wǎng)上銀行等網(wǎng)上支付業(yè)務(wù)提供多種模式的認證服務(wù)，在不遠的將來實現(xiàn)與國外CA的交叉認證。

　　2.3電子商務(wù)的安全技術(shù)之三網(wǎng)上支付平臺及支付網(wǎng)關(guān)

　　網(wǎng)上支付平臺分為CTEC支付體系(基于CTCA/GDCS)和SET支付體系(基于CTCA/SET)。網(wǎng)上支付平臺支付型電子商務(wù)業(yè)務(wù)提供各種支付手段，包括基于SET標準的信用卡支付方式、以及符合CTEC標準的各種支付手段。

　　目前，在國內(nèi)可以提供網(wǎng)上支付功能服務(wù)或者網(wǎng)上支付網(wǎng)關(guān)接口的銀行有：

　　中國工商銀行牡丹卡中國銀行長城借記卡

　　中國銀行長城信用卡招商銀行一網(wǎng)通卡

　　中國建設(shè)銀行龍卡MASTER/VISA/JCB卡(適用全球)

　　上述除中國銀行長城借記卡則采用了SET1.2的加密方式外，其余全部采用SSL-128加密方式。

　　支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間，其主要功能為：將公網(wǎng)傳來的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包;接收銀行系統(tǒng)內(nèi)部的傳回來的響應(yīng)消息，將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式，并對其進行加密。即支付網(wǎng)關(guān)主要完成通信、協(xié)議轉(zhuǎn)換和數(shù)據(jù)加解密功能，并且可以保護銀行內(nèi)部網(wǎng)絡(luò)。此外，支付網(wǎng)關(guān)還具有密鑰保護和證書管理等其它功能。

　　3、小結(jié)

　　本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù)：數(shù)據(jù)加密技術(shù)，身份認證技術(shù)，網(wǎng)上支付平臺及支付網(wǎng)關(guān)，指出了它們分別的使用范圍及其優(yōu)缺點，但必須強調(diào)說明的是，電子商務(wù)的安全運行，僅從技術(shù)角度防范是遠遠不夠的，還必須完善電子商務(wù)立法，以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題，從而引導和促進我國電子商務(wù)快速健康發(fā)展。

【淺談安全技術(shù)在電子商務(wù)中的應(yīng)用】相關(guān)文章：

論信息安全技術(shù)在電子商務(wù)中的應(yīng)用03-13

淺談電子商務(wù)在鋼鐵物流中的應(yīng)用12-09

淺談電子商務(wù)中的安全題目．03-21

計算機安全技術(shù)在電子商務(wù)中的應(yīng)用探討03-01

網(wǎng)絡(luò)安全技術(shù)在電子商務(wù)中的應(yīng)用研究11-19

信息技術(shù)在電子商務(wù)中的應(yīng)用03-21

Ｗｅｂ　２．０技術(shù)在電子商務(wù)中的應(yīng)用03-21

淺談ＲＴＫ技術(shù)在公路測量中應(yīng)用問題03-19

淺談CAD技術(shù)在工程設(shè)計中的應(yīng)用03-18