電子商務(wù)安全技術(shù)分析與應(yīng)用

尤 銳

一、電子商務(wù)的基本概念

電子商務(wù)這一名詞來源于英文ELECTRONIC COMMERCE，通常簡寫為EC。其內(nèi)容可以概括為電子運行和商業(yè)活動兩個方面。在互聯(lián)網(wǎng)技術(shù)日益成熟和普及的基礎(chǔ)上，人們逐漸實現(xiàn)了網(wǎng)絡(luò)選擇商品，在線談判、在線交易和電子支付等一系列商貿(mào)運營方式。這涉及很多商務(wù)活動內(nèi)容，除了買、賣雙方之外還有銀行金融機(jī)構(gòu)、認(rèn)證機(jī)構(gòu)、第三方擔(dān)保人、商品配送企業(yè)等等部門和個人。在整個電子交易活動中交易雙方并不見面，而是將現(xiàn)實商務(wù)交易活動轉(zhuǎn)變成網(wǎng)絡(luò)交易形式，用戶的很多個人信息、企業(yè)的重要資料都是存儲在網(wǎng)上或計算機(jī)系統(tǒng)中，這對于電子商務(wù)的安全性提出了很高的要求，諸如電子數(shù)據(jù)加密、網(wǎng)絡(luò)防火墻、電子簽名的身份認(rèn)證方式等安全技術(shù)發(fā)揮著不可或缺的作用。

二、電子商務(wù)安全要素分析

（一）網(wǎng)絡(luò)信息有效性

電子商務(wù)以互聯(lián)網(wǎng)無形的交易形式代替了人們面對面的商談交易，保證交易雙方提供信息的真實有效成了電子交易活動有效開展的前提條件。網(wǎng)上電子交易信息的有效性直接影響著個人、企業(yè)、政府的現(xiàn)實利益和商業(yè)利益。為此必須對網(wǎng)絡(luò)故障、系統(tǒng)錯誤和電腦病毒、黑客入侵等隱性網(wǎng)絡(luò)安全威脅加以控制，確保電子信息不被竊取、篡改，保證信息的安全有效性。

（二）網(wǎng)絡(luò)信息的完整性

電子商務(wù)活動打破了地域限制，讓人們直接的信息交流和商業(yè)活動更加便利，減少了很多手續(xù)，但同時也對網(wǎng)絡(luò)信息的完整性提出了更高的要求，因為交易雙方不能面對面的交易，僅能從網(wǎng)絡(luò)信息上了解對方的情況。這時如果出現(xiàn)數(shù)據(jù)錄入錯誤或是有意的欺詐就很可能出現(xiàn)交易糾紛。另外商家在網(wǎng)上信息的丟失、信息反復(fù)修改、傳送信息量的層次差異均會影響人們的判斷，所以信息完整性是網(wǎng)絡(luò)交易的必備條件，是實現(xiàn)電子交易的基礎(chǔ)。

（三）網(wǎng)絡(luò)信息的可靠性和可鑒別性

網(wǎng)絡(luò)電子交易成功的前提是交易雙方互相之間的信任和了解。要想交易雙方真正認(rèn)為對方是自己期望的合作對象，如現(xiàn)實生活中的合同資料、簽字、蓋章等手續(xù)顯然是不可能在網(wǎng)上實現(xiàn)的，這就要求在電子交易活動中為雙方提供信息可靠性的擔(dān)保，提高網(wǎng)絡(luò)交易信息的可鑒別性。對此需要提供必要的電子安全技術(shù)保障，為網(wǎng)絡(luò)商業(yè)活動的參與者提供安全服務(wù)，如信息鑒別、訪問控制、保密性等內(nèi)容。

三、電子商務(wù)安全技術(shù)分析

（一）防火墻技術(shù)

防火墻技術(shù)是在現(xiàn)代計算機(jī)系統(tǒng)中普遍使用的安全訪問保障技術(shù)，其技術(shù)構(gòu)成包括代理服務(wù)器技術(shù)與訪問分組過濾技術(shù)。其中分組過濾是由路由器支持的網(wǎng)絡(luò)資源分組；代理服務(wù)器則是設(shè)置高層的網(wǎng)絡(luò)管理員來代理訪問請求，為外來訪問者提供信息服務(wù)。這種技術(shù)能夠?qū)Ρ緟^(qū)域內(nèi)的網(wǎng)絡(luò)安全提供保障，防止來自外網(wǎng)的惡意程序和用戶惡意侵害對計算機(jī)系統(tǒng)進(jìn)行破壞，保證系統(tǒng)內(nèi)的信息安全、完整性，使系統(tǒng)能夠正常工作。

（二）數(shù)據(jù)加密技術(shù)

在電子商務(wù)活動中主要采用數(shù)據(jù)加密技術(shù)為用戶提供信息安全保障，使用這種技術(shù)指導(dǎo)用戶將明文信息轉(zhuǎn)變?yōu)閮H有用戶知道的密文，這樣就能有效地防止非法用戶盜取信息資源，現(xiàn)在普遍應(yīng)用的數(shù)據(jù)加密技術(shù)分為對稱密鑰加密和非對稱密鑰加密技術(shù)兩種。下面我們來分別了解它們的技術(shù)特點。

1.對稱密鑰加密技術(shù)。所謂的對稱密鑰加密是指在對系統(tǒng)進(jìn)行加密和解密的操作中，使用的都是同一個密鑰，通常也被稱為單鑰加密。這種技術(shù)的加密和解密操作比較方便，使用時進(jìn)入系統(tǒng)速度很快，但是如果用戶數(shù)量較多時，很可能出現(xiàn)密鑰分配困難的問題。對稱密鑰加密技術(shù)一般是采用DES計算方式。

2.非對稱密鑰加密技術(shù)。采用非對稱密鑰加密技術(shù)后的系統(tǒng)，解密技術(shù)要求更高，只有用戶個人的私鑰才能夠?qū)ο到y(tǒng)進(jìn)行解密，否則系統(tǒng)將拒絕提供任何信息服務(wù)。這種技術(shù)的優(yōu)勢在于密鑰專屬使用、管理便捷，安全保密性更好；缺陷是操作步驟繁瑣，登錄困難、速度慢。其主要采用的算法是RSA計算格式。

（三）安全認(rèn)證技術(shù)

1.數(shù)字摘要。采用數(shù)字摘要技術(shù)主要是將客戶需要進(jìn)行加密的信息以散列函數(shù)（Hash）的形式生成為長度固定的密文。這種技術(shù)一般只是被用于檢查通過網(wǎng)絡(luò)傳輸?shù)男畔⑹欠癖淮鄹幕騼?nèi)容丟失。確保信息的有效性。

2.數(shù)字信封。數(shù)字信封技術(shù)是在數(shù)據(jù)加密技術(shù)基礎(chǔ)上形成的，在進(jìn)行數(shù)字信封傳送時信息的發(fā)送者會使用自己的對稱密鑰進(jìn)行信息加密，然后再使用接受者的密鑰進(jìn)行信息解密。這樣的傳送方式可以保證只有限定好的接受者才能獲取信息內(nèi)容，旁人即使攔截成功也根本無法看到詳細(xì)內(nèi)容。這樣就有效地提高了信息傳輸?shù)陌踩浴５菙?shù)字信封同樣存在著弊病，那就是無論信息的發(fā)送者還是接受者均必須保證密鑰工作正常，傳送成功，否則很可能造成信息丟失，所以在使用時必須特別注意密鑰的工作狀態(tài)。

3.數(shù)字簽名。應(yīng)用數(shù)字簽名技術(shù)可以為數(shù)字摘要加密文件提供真實性的憑證，通過數(shù)字簽名可以確定文件是由規(guī)定的發(fā)送方傳送的，提高了信息的可信度，也讓信息發(fā)送者對發(fā)送內(nèi)容的真實性承擔(dān)責(zé)任。

4.數(shù)字時間戳。在電子商務(wù)活動中一些文件材料需要通過網(wǎng)絡(luò)進(jìn)行傳輸，數(shù)字時間戳這項技術(shù)服務(wù)為這些材料的日期時間安全提供了保障。它自數(shù)字簽名技術(shù)演化而來，經(jīng)過時間戳加密后的文檔具有了時間有效性的憑證。

5.數(shù)字認(rèn)證證書。數(shù)字證書是一種數(shù)字信息真實性的憑證，通過證書認(rèn)證的用戶可以訪問系統(tǒng)的內(nèi)容，要求系統(tǒng)為其提供信息服務(wù)。這種技術(shù)主要被應(yīng)用于數(shù)字資源存儲豐富的數(shù)據(jù)庫服務(wù)中，證書的種類包括個人證書、企業(yè)證書和網(wǎng)關(guān)證書三種。運用認(rèn)證證書技術(shù)可以防止信息資源的非法盜取使用，保障信息來源的安全、可靠。

6.CA認(rèn)證技術(shù)。CA認(rèn)證技術(shù)主要為電子交易雙方提供第三方信任擔(dān)保的應(yīng)用技術(shù)，這種技術(shù)是由電子商務(wù)認(rèn)證中心提供的具有較強(qiáng)的權(quán)威性和可信度的安全服務(wù)。在密鑰操作中負(fù)責(zé)對密鑰合法性進(jìn)行檢查。使用CA技術(shù)可以實現(xiàn)對電子商務(wù)活動中數(shù)字證書的生產(chǎn)、分派和管理，并提供證書真實性的檢驗服務(wù)，在數(shù)字認(rèn)證技術(shù)中居于中心位置。

四、電子商務(wù)安全技術(shù)的實際應(yīng)用

（一）網(wǎng)上交易支付平臺和安全協(xié)議

網(wǎng)上支付是現(xiàn)代電子商務(wù)系統(tǒng)中活動最為頻繁、應(yīng)用最為廣泛的經(jīng)濟(jì)活動。運用電子商務(wù)安全技術(shù)消費者、商家和金融機(jī)構(gòu)之間可以進(jìn)行商品、資金的交換服務(wù)。消費者可以使用支付寶、信用卡、借記卡等網(wǎng)上支付手段，將貨款支付信息通過安全的電子通道，傳送給銀行或其他金融機(jī)構(gòu)，要求其支付相應(yīng)的資金，實現(xiàn)網(wǎng)上交易。目前比較常見的支付平臺包括CTEC支付系統(tǒng)和SET支付系統(tǒng)。

網(wǎng)上支付需要有安全高效的信息傳送渠道，目前應(yīng)用比較多的是SSL安全協(xié)議，這是一種基于數(shù)字加密技術(shù)發(fā)展起來的，持有數(shù)字認(rèn)證證書的瀏覽器及WWW遠(yuǎn)程服務(wù)器。主要作用是傳輸安全通信協(xié)議，構(gòu)建電子商務(wù)服務(wù)和銀行之間網(wǎng)上支付信息安全通道，可以有效地提高數(shù)據(jù)安全，能夠保護(hù)用戶的個人信息不會輕易泄漏。但是SSL協(xié)議還不能完全保證信息在網(wǎng)上不被攔截，如果是大宗交易，那么交易雙方需要預(yù)先采取密鑰加密技術(shù)，并設(shè)定好認(rèn)證證書。以確保信息安全和雙方之間的信任。另外，現(xiàn)在很多人都喜歡用信用卡進(jìn)行網(wǎng)上支付。對此國際上主要的信用卡公司VISA與Mater Card共同推出了SET協(xié)議，用于建立規(guī)范的網(wǎng)上信用卡交易模式，通過SET協(xié)議可以保障支付信息的安全性、完整性，商戶或持卡人的信息不被泄漏。在規(guī)范網(wǎng)絡(luò)交易時采用數(shù)字認(rèn)證技術(shù)，通過數(shù)字證書來檢驗持卡人的真實姓名、確定持卡人為本人，限定交易以預(yù)先設(shè)定的支付方式來付款，其中涉及密鑰加密技術(shù)、電子數(shù)字簽名技術(shù)、電子信封和安全認(rèn)證等多項數(shù)字認(rèn)證技術(shù)，這樣可以有效保障持卡人和商家的利益。

（二）電子商務(wù)活動的CA認(rèn)證

CA（Certificate Authority）是數(shù)字認(rèn)證證書的頒發(fā)、認(rèn)證機(jī)構(gòu)，在網(wǎng)上交易中商家們?yōu)榱吮ＷC對方身份不被冒充，需要向CA發(fā)出請求，CA可以對交易的持卡人或商家進(jìn)行調(diào)查、檢驗和甄別。其工作內(nèi)容包括，接受商家的注冊請求，批準(zhǔn)、頒發(fā)證書。屬于可信度較高的第三方擔(dān)保人。通常的網(wǎng)絡(luò)交易是商家、持卡人和銀行相互間的合作，這時銀行自然是可信任的機(jī)構(gòu)，那么銀行就可以充當(dāng)CA的認(rèn)證角色，對商家和持卡人進(jìn)行證書驗證，確保交易安全、有效。

五、電子商務(wù)安全技術(shù)的新發(fā)展

（一）XML-PKI技術(shù)

XML（eXtensible Markup Language）是一種具備擴(kuò)展功能的計算機(jī)標(biāo)記語言，在電子商務(wù)的語言描述中應(yīng)用很廣，為提高商務(wù)信息交流的保密性發(fā)揮了積極作用。XML-PKI技術(shù)是將XML語言和PKI技術(shù)進(jìn)行有機(jī)結(jié)合，增加了電子商務(wù)安全認(rèn)證的保密水平，但作為一種新技術(shù)，目前還存在很多安全技術(shù)難關(guān)。

（二）數(shù)字水印技術(shù)

數(shù)字水印技術(shù)是一種躋身于數(shù)據(jù)中，在不影響宿主可用性的基礎(chǔ)上，隱匿在宿主數(shù)據(jù)中，對數(shù)據(jù)信息進(jìn)行識別的數(shù)字信號?，F(xiàn)在研發(fā)出來的數(shù)字水印技術(shù)很多是融合了密碼學(xué)中加密設(shè)置技術(shù)的，水印在隱藏到數(shù)據(jù)之后，用戶如果需要提取數(shù)據(jù)就需要提供相應(yīng)的密鑰，否則不能提取信息。水印的形式?jīng)]有嚴(yán)格限制，可以是一段文字、符號、序列號等，主要是隱身在數(shù)據(jù)中而存在，同原來數(shù)據(jù)緊密地結(jié)合在一起，具有很強(qiáng)的隱蔽性，這樣能夠顯著提升重要數(shù)據(jù)的安全性。為信息提供版權(quán)保護(hù)。

電子商務(wù)是未來國際經(jīng)濟(jì)貿(mào)易往來的主要發(fā)展趨勢，隨著電子商務(wù)應(yīng)用范圍的不斷拓展，其安全技術(shù)的研究也在不斷地開發(fā)、完善之中。要想提高電子商務(wù)的安全性，首先需要明確網(wǎng)絡(luò)系統(tǒng)中存在那些安全隱患，進(jìn)而根據(jù)數(shù)據(jù)信息的安全等級和技術(shù)要求采取相應(yīng)的保護(hù)措施。目前的網(wǎng)絡(luò)電子商務(wù)安全技術(shù)已經(jīng)取得很大進(jìn)步。但是，僅僅靠技術(shù)上的革新還遠(yuǎn)遠(yuǎn)不夠，政府部門還應(yīng)針對電子商務(wù)發(fā)展現(xiàn)實情況，完善電子商務(wù)的立法工作，規(guī)范網(wǎng)絡(luò)商業(yè)行為，從法律機(jī)制上為電子商務(wù)提供安全保障。

[1]張華.電子商務(wù)安全認(rèn)證技術(shù)的研究與應(yīng)用[J].中國科技信息，2006(18).

[2]黨安靜.淺談電子商務(wù)的安全技術(shù)[J].科技信息(科學(xué)教研)，2008(19).

[3]范婕，賈偉，趙衛(wèi)東.PKI技術(shù)在電子商務(wù)安全中的應(yīng)用及其安全性分析[J].科技情報開發(fā)與經(jīng)濟(jì)，2008(34).