電子商務安全協(xié)議、技術(shù)與體系研究

[摘 要] 電子商務在交易的范圍、速度、成本、效率等方面具有傳統(tǒng)商務無可比擬的優(yōu)勢，國家提出在“十一五”期間要大力發(fā)展電子商務，但是電子商務的安全問題成為制約其健康快速發(fā)展的瓶頸，本文擬從安全協(xié)議、安全技術(shù)和安全體系等三個方面綜合研究電子商務安全問題的解決途徑。a

[關(guān)鍵詞] 電子商務 安全協(xié)議 安全技術(shù) 安全體系

一、引言

電子商務是網(wǎng)絡(luò)化的新型經(jīng)濟活動，正以前所未有的速度迅猛發(fā)展，已經(jīng)成為主要發(fā)達國家增強經(jīng)濟競爭實力，贏得全球資源配置優(yōu)勢的有效手段?！笆晃濉笔俏覈l(fā)展電子商務的戰(zhàn)略機遇期。抓住機遇，加快發(fā)展電子商務，是貫徹落實科學發(fā)展觀，以信息化帶動工業(yè)化，以工業(yè)化促進信息化，走新型工業(yè)化道路的客觀要求和必然選擇。

但是要實現(xiàn)電子商務的健康發(fā)展要解決的問題還很多，其中相對于傳統(tǒng)商務來講，最大的問題就是安全問題。一方面是交易環(huán)境的安全問題，電子商務是基于Internet進行交易的，Internet應用的基本目的就是資源共享，其開放性直接影響到電子商務的安全性，網(wǎng)絡(luò)很容易受到攻擊和破壞，計算機系統(tǒng)的安全問題如非法入侵、數(shù)據(jù)非法截取等也很難完全防范，再者網(wǎng)絡(luò)和計算機系統(tǒng)本身的可靠性也會對電子商務的安全問題造成一定的影響。另一方面是交易對象的安全性、交易過程的安全性和貨幣支付過程的安全性問題。

二、安全協(xié)議

1.安全套接層協(xié)議（SSL）

安全套接層協(xié)議是網(wǎng)景（Netscape）公司提出的基于WEB應用的安全協(xié)議，它包括:服務器認證、客戶認證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。SSL主要使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸。

在電子商務中采用單一的SSL協(xié)議來保證交易的安全是不夠的，但采用“SSL+表單簽名”模式能夠為電子商務提供較好的安全性保證。

2.安全電子交易協(xié)議（SET）

SET協(xié)議是由VISA和Master Card兩大信用卡公司聯(lián)合推出的規(guī)范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份，以及可操作性。SET中的核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。SET協(xié)議比SSL協(xié)議復雜，因為前者不僅加密兩個端點間的單個會話，它還可以加密和認定三方間的多個信息。

在處理過程中，通信協(xié)議、請求信息的格式、數(shù)據(jù)類型的定義等，SET都有明確的規(guī)定。在操作的每一步，消費者、在線商店、支付網(wǎng)關(guān)都通過CA來驗證通信主體的身份，以確保通信的對方不是冒名頂替。所以，也可以簡單地認為，SET規(guī)范充分發(fā)揮a了認證中心的作用，以維護在任何開放網(wǎng)絡(luò)上的電子商務參與者所提供信息的真實性和保密性。

3.安全超文本傳輸協(xié)議(HTTPS)

安全超文本傳輸協(xié)議基于提供保密、認證、完整性和不可否認等服務，保證在WEB上交換的媒體文本的案例。

由于Internet的開放性造成了在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)的公開性，為了保證在網(wǎng)絡(luò)傳輸過程中的數(shù)據(jù)的安全，需要進行數(shù)據(jù)加密。實際是上使服務器支持SSL協(xié)議，客戶只有在通過服務器方認可的認證授權(quán)中心(CA)進行身份驗證后，才能登錄該網(wǎng)站，并且在網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)均通過隨機產(chǎn)生的密鑰加密。

4.安全交易技術(shù)協(xié)議(STT)

由Microsoft公司提出，VISA和Microsoft共同開發(fā)的網(wǎng)絡(luò)支付規(guī)范。STT將認證和解密在瀏覽器中公開，用以提高安全控制能力。

三、安全技術(shù)

1.數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是研究數(shù)據(jù)加密、解密及交換的科學，涉及數(shù)學、計算機科學、電子與通信等諸多學科。加密算法能夠?qū)⑿畔⑦M行偽裝，使得任何未經(jīng)過授權(quán)的人都無法了解其內(nèi)容。主要包括以下對稱密鑰加密和非對稱密鑰加密兩種加密法。

2.數(shù)字摘要

數(shù)字摘要的工作原理是為了解決信息的完整性而采取的技術(shù)。就是利用hash函數(shù)對信息進行計算得出一個數(shù)字摘要，然后將信息和數(shù)字摘要一同發(fā)送給接收者，接收者在利用相同hash函數(shù)對信息進行計算也得出一個數(shù)字摘要，然后把發(fā)送者的數(shù)字摘要和接收者得出的數(shù)字摘要進行對比，如果兩個數(shù)字摘要相同，則說明信息是原信息，在傳送途中沒有被篡改；反之，如果兩個數(shù)字摘要不同，則說明信息在傳送途中被非法篡改了。

3.數(shù)字信封

數(shù)字信封的工作原理是使用HASH函數(shù)對對稱密鑰來加密數(shù)據(jù)，然后將此對稱密鑰用接受者的公鑰加密，將其和加密數(shù)據(jù)一起發(fā)送給接受者，它體現(xiàn)的是保密性。

4.數(shù)字簽名

數(shù)字簽名是指將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接受者。接受者只有用發(fā)送者的公鑰才能解密被加密的摘要。它體現(xiàn)的是不可抵賴性和完整性。

5.數(shù)字時間戳

數(shù)字時間戳的工作原理它是用來證明消息的收發(fā)時間的。用戶首先將需要加世界戳的文件經(jīng)加密后形成文檔，然后將摘要發(fā)送給專門提供數(shù)字時間戳服務的權(quán)威機構(gòu)，該機構(gòu)對原摘要加上時間后，進行電子簽名，用私鑰加密，并發(fā)送給原用戶。它體現(xiàn)的是知識產(chǎn)權(quán)的保護問題。

6.數(shù)字證書

數(shù)字證書是一種權(quán)威性的電子文檔。它提供了一種在Internet上驗證您身份的方式，其作用類似于日常生活中的身份證。它是由一個由權(quán)威機構(gòu)CA證書授權(quán)(Certificate Authority)中心發(fā)行的，人們可以在互聯(lián)網(wǎng)交往中用它來識別對方的身份。當然在數(shù)字證書認證的過程中，證書認證中心（CA）作為權(quán)威的、公正的、可信賴的第三方，其作用是至關(guān)重要的。

基于數(shù)字證書的應用角度分類，數(shù)字證書可以分為以下幾種:

（1）服務器證書

服務器證書被安裝于服務器設(shè)備上，用來證明服務器的身份和進行通信加密。服務器證書可以用來防止假冒站點。

（2）電子郵件證書

電子郵件證書可以用來證明電子郵件發(fā)件人的真實性。它并不證明數(shù)字證書上面CN一項所標識的證書所有者姓名的真實性，它只證明郵件地址的真實性。

（3）客戶端個人證書

客戶端證書主要被用來進行身份驗證和電子簽名。

安全的客戶端證書被存儲于專用的Usbkey中。使用該證書需要物理上獲得其存儲介質(zhì)Usbkey，且需要知道key的保護密碼，這也被稱為雙因子認證。這種認證手段是目前在Internet最安全的身份認證手段之一。

四、安全體系

1.技術(shù)體系

電子商務的安全控制體系結(jié)構(gòu)是保證電子商務中數(shù)據(jù)安全的一個完整的邏輯結(jié)構(gòu)，它由網(wǎng)絡(luò)服務層、加密技術(shù)層、安全認證層、交易協(xié)議層、商務系統(tǒng)層組成，具體結(jié)構(gòu)見下圖，各層次之間相互依賴、相互關(guān)聯(lián)構(gòu)成統(tǒng)一整體。各層之間通過控制技術(shù)的遞進，實現(xiàn)電子商務系統(tǒng)的安全。

電子商務系統(tǒng)是依賴網(wǎng)絡(luò)實現(xiàn)的商務系統(tǒng)，需要利用Internet基礎(chǔ)設(shè)施和標準，所以構(gòu)成電子商務安全框架的底層是網(wǎng)絡(luò)服務層。它是各種電子商務應用系統(tǒng)的基礎(chǔ)，并提供信息傳送的載體和用戶接入的手段及安全通信服務，保證網(wǎng)絡(luò)最基本的運行安全。

網(wǎng)絡(luò)服務層是電子商務系統(tǒng)基本、靈活的網(wǎng)絡(luò)服務平臺。為確保電子商務系統(tǒng)全面安全，必須建立完善的加密技術(shù)和認證機制。加密技術(shù)是保證電子商務系統(tǒng)安全所采用的最基本的安全措施，它用于滿足電子商務對保密性的需求。安全認證層中的認證技術(shù)是保證電子商務安全的又一必要手段，它對加密技術(shù)層中提供的多種加密算法進行綜合運用，進一步滿足電子商務對完整性、抗否認性、可靠性的要求。

在電子商務安全框架體系中，加密技術(shù)層、安全認證層、交易協(xié)議層，即專為電子交易數(shù)據(jù)的安全而構(gòu)筑。其中，交易協(xié)議層是加密技和安全認證層的安全控制技術(shù)的綜合運用和完善。它為電子商務安全交易提供保障機制和交易標準。

基于安全技術(shù)層次提供的安全措施，商務系統(tǒng)層就可以滿足電子商務對安全的需求。商務系統(tǒng)層包括如B2B、B2C、B2G等各類電子商務應用系統(tǒng)及商業(yè)的解決方案。用于保障電子商務的安全控制技術(shù)很多，層次各不相同，但并非是把所有安全技術(shù)簡單的組合就可以得到可靠的安全，需要對各技術(shù)層次合理結(jié)合與改進，才能從技術(shù)上實現(xiàn)有效的電子商務安全。為滿足電子商務在安全服務方面的要求，基于Internet的電子商務系統(tǒng)層除使用保證網(wǎng)絡(luò)本身運行的安全技術(shù)，還用到依據(jù)電子商務自身特點定制的一些重要安全技術(shù)。

網(wǎng)絡(luò)的安全性是電子商務實施的前提保證，而交易安全是電子商務實施成功與否的關(guān)鍵。電子商務系統(tǒng)必須具備保證交易能正常進行的網(wǎng)絡(luò)安全性、保證交易人利益的保密性和可靠性及確保交易安全的完整性和不可抵賴性。

2.信用和法律體系

技術(shù)體系能夠在很大程度上保障電子商務的安全性，但技術(shù)總會存在漏洞，存在被破解的可能，因此還應同時建立信用和法律體系，與技術(shù)體系協(xié)同保障電子商務的安全性。

信用體系主要指建立信用制度，從道德角度來保障電子商務的安全性，電子商務網(wǎng)站中現(xiàn)行的信用等級評價系統(tǒng)就屬于信用體系的實際應用。而法律體系則從法律角度來保障電子商務的安全性，主要指的是電子商務方面的立法，1996年聯(lián)合國貿(mào)法會通過了《電子商務示范法》，世界各國尤其是發(fā)達國家已經(jīng)制定相應電子簽名法、電子合同法等法律，并就電子支付中的法律問題、電子交易過程中法律責任歸屬問題等進行了明確地界定，我國也在計算機信息系統(tǒng)安全保護、商用密碼管理等與電子商務相關(guān)的方面制定了相應的法律。

五、結(jié)束語

電子商務作為在信息社會出現(xiàn)的對傳統(tǒng)商務的有效補充，無論是對個人還是國家都帶來了很大的影響，我們應該揚長避短，深入研究電子商務安全協(xié)議和安全技術(shù)，全面構(gòu)建電子商務技術(shù)體系、信用和法律體系的堅實安全后盾，為電子商務的健康快速發(fā)展保駕護航，進而實現(xiàn)個人和國家的和諧發(fā)展。

參考文獻:

[1] (美)Eric Rescorla:SSL與TLS[M].北京:中國電力出版社，2002，10

[2]梁晉等:電子商務核心技術(shù)——安全電子交易協(xié)議的理論與設(shè)計[M].陜西:西安電子科技大學出版社，2000，8

[3]韓寶明 杜 鵬劉 華:電子商務安全與支付[M]．人民郵電出版社，2006，7

[4]王忠誠:電子商務安全[M].機械工業(yè)出版，2006，5

[5]楊堅爭 趙 雯 楊立釩:電子商務安全與電子支付[M]．北京：機械工業(yè)出版社，2007，2

[6]梅紹祖:電子商務法規(guī)[M].北京:中國財政經(jīng)濟出版社，2005，10