淺談安全技術(shù)在電子商務(wù)中的應用

　　摘要：目前電子商務(wù)領(lǐng)域所使用的安全技術(shù)：數據加密技術(shù)，身份認證技術(shù)，網(wǎng)上支付平臺及支付網(wǎng)關(guān)，指出了它們分別的使用范圍及其優(yōu)缺點(diǎn)，但必須強調說(shuō)明的是，電子商務(wù)的安全運行，僅從技術(shù)角度防范是遠遠不夠的，還必須完善電子商務(wù)立法。

　　1、電子商務(wù)的主要安全要素

　　目前電子商務(wù)(ElectronicCommerce：是利用計算機技術(shù)、網(wǎng)絡(luò )技術(shù)和遠程通信技術(shù)，實(shí)現整個(gè)商務(wù)(買(mǎi)賣(mài))過(guò)程中的電子化、數字化和網(wǎng)絡(luò )化。人們不再是面對面的、看著(zhù)實(shí)實(shí)在在的貨物、靠紙介質(zhì)單據(包括現金)進(jìn)行買(mǎi)賣(mài)交易。而是通過(guò)網(wǎng)絡(luò )，通過(guò)網(wǎng)上琳瑯滿(mǎn)目的商品信息、完善的物流配送系統和方便安全的資金結算系統進(jìn)行交易。)工程正在全國迅速發(fā)展。實(shí)現電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統的安全性，即應保證在基于Internet的電子交易轉變的過(guò)程中與傳統交易的方式一樣安全可靠。從安全和信任的角度來(lái)看,傳統的買(mǎi)賣(mài)雙方是面對面的,因此較容易保證交易過(guò)程的安全性和建立起信任關(guān)系。但在電子商務(wù)過(guò)程中，買(mǎi)賣(mài)雙方是通過(guò)網(wǎng)絡(luò )來(lái)聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當困難。電子商務(wù)交易雙方(銷(xiāo)售者和消費者)都面臨安全威脅。電子商務(wù)的安全要素主要體現在以下幾個(gè)方面：

　　信息有效性、真實(shí)性

　　電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿易的一種形式，其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟利益和聲譽(yù)。

　　信息機密性

　　電子商務(wù)作為貿易的一種手段，其信息直接廠(chǎng)代表著(zhù)個(gè)人、企業(yè)或國家的商業(yè)機密。傳統的紙面貿易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報文來(lái)達到保守機密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò )環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應用的重要保障。

　　信息完整性

　　電子商務(wù)簡(jiǎn)化了貿易過(guò)程，減少了人為的干預，同時(shí)也帶來(lái)維護商業(yè)信息的完整、統一的問(wèn)題。由于數據輸入時(shí)的意外差錯或欺詐行為，可能導致貿易各方信息的差異。此外，數據傳輸過(guò)程中信息的丟失、信息重復或信息傳送的次序差異也會(huì )導致貿易各方信息的不同。因此，電子商務(wù)系統應充分保證數據傳輸、存儲及電子商務(wù)完整性檢查的正確和可靠。

　　信息可靠性、不可抵賴(lài)性和可鑒別性

　　可靠性要求即是能保證合法用戶(hù)對信息和資源的使用不會(huì )被不正當地拒絕;不可否認要求即是能建立有效的責任機制，防止實(shí)體否認其行為;可控性要求即是能控制使用資源的人或實(shí)體的使用方式。在傳統的紙面貿易中，貿易雙方通過(guò)在交易合同、契約或貿易單據等書(shū)面文件上手寫(xiě)簽名或印章來(lái)鑒別貿易伙伴，確定合同、契約、單據的可靠性并預防抵賴(lài)行為的發(fā)生。

　　在無(wú)紙化的電子商務(wù)方式下，通過(guò)手寫(xiě)簽名和印章進(jìn)行貿易方的鑒別已是不可能的。因此，要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標識。在1nternet上每個(gè)人都是匿名的。原發(fā)方在發(fā)送數據后不能抵賴(lài);接收方在接收數據后也不能抵賴(lài)。

　　2、電子商務(wù)的安全技術(shù)討論

　　2.1電子商務(wù)的安全技術(shù)之一-----數據加密技術(shù)

　　加密技術(shù)用于網(wǎng)絡(luò )安全通常有二種形式，即面向網(wǎng)絡(luò )或面向應用服務(wù)。

　　面向網(wǎng)絡(luò )的加密技術(shù)通常工作在網(wǎng)絡(luò )層或傳輸層，使用經(jīng)過(guò)加密的數據包傳送、認證網(wǎng)絡(luò )路由及其他網(wǎng)絡(luò )協(xié)議所需的信息，從而保證網(wǎng)絡(luò )的連通性和可用性不受損害。在網(wǎng)絡(luò )層上實(shí)現的加密技術(shù)對于網(wǎng)絡(luò )應用層的用戶(hù)通常是透明的。此外，通過(guò)適當的密鑰管理機制，使用這一方法還可以在公用的互聯(lián)網(wǎng)絡(luò )上建立虛擬專(zhuān)用網(wǎng)絡(luò )并保障虛擬專(zhuān)用網(wǎng)上信息的安全性。

　　面向網(wǎng)絡(luò )應用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法，例如使用kerberos服務(wù)的telnet、nfs、rlogion等，以及用作電子郵件加密的pem(privacyenhancedmail)和pgp(prettygoodprivacy)。這一類(lèi)加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現相對較為簡(jiǎn)單，不需要對電子信息(數據包)所經(jīng)過(guò)的網(wǎng)絡(luò )的安全性能提出特殊要求，對電子郵件數據實(shí)現了端到端的安全保障。

　　1)常用的加密技術(shù)分類(lèi)：

　　對稱(chēng)密鑰密碼算法

　　對稱(chēng)(傳統)密碼體制是從傳統的簡(jiǎn)單換位代替密碼發(fā)展而來(lái)的，自1977年美國頒布des密碼算法作為美國數據加密標準以來(lái)，對稱(chēng)密鑰密碼體制得到了迅猛發(fā)展，得到了世界各國關(guān)注和使用。對稱(chēng)密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類(lèi)。

　　不對稱(chēng)型加密算法

　　也稱(chēng)公用密鑰算法，其特點(diǎn)是有二個(gè)密鑰即公用密鑰和私有密鑰，只有二者配合使用才能完成加密和解密的全過(guò)程。

　　由于不對稱(chēng)算法擁有二個(gè)密鑰，因此它特別適用于分布式系統中的數據加密，在Internet中得到了廣泛應用。其中公用密鑰在網(wǎng)上公布，為數據源對數據加密使用，而用于解密的相應私有密鑰則由數據的收信方妥善保管。

　　不可逆加密算法

　　其特征是加密過(guò)程不需要密鑰，并且經(jīng)過(guò)加密的數據無(wú)法被解密，只有同樣的輸入數據經(jīng)過(guò)同樣的不可逆加密算法才能得到相同的加密數據。不可逆加密算法不存在密鑰保管和分發(fā)問(wèn)題，適合于分布式網(wǎng)絡(luò )系統上使用，但是其加密計算工作量大，所以通常用于數據量有限的情形的加密，例如計算機系統中的口令的加密。

　　2)電子商務(wù)領(lǐng)域常用的加密技術(shù)

　　數字摘要(digitaldigest)

　　這一加密方法亦稱(chēng)安全Hash編碼法，由RonRivest所設計。該編碼法采用單向Hash函數將需加密的明文"摘要"成一串128bit的密文，這一串密文亦稱(chēng)為數字指紋(FingerPrint)，它有固定的長(cháng)度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是"真身"的"指紋"了。

　　數字簽名(digitalsignature)

　　數字簽名將數字摘要、公用密鑰算法兩種加密方法結合起來(lái)使用。在書(shū)面文件上簽名是確認文件的一種手段，簽名的作用有兩點(diǎn)，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實(shí);二是因為簽名不易仿冒，從而確定了文件是真的這一事實(shí)。

　　數字時(shí)間戳(digitaltime-stamp)

　　交易文件中，時(shí)間是十分重要的信息。在書(shū)面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性?xún)热�。在電子交易中，同樣需對交易文件的日期和時(shí)間信息采取安全措施，而數字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護。

　　數字時(shí)間戳服務(wù)(DTS)是網(wǎng)上安全服務(wù)項目，由專(zhuān)門(mén)的機構提供。時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：1)需加時(shí)間戳的文件的摘要(digest),2)DTS收到文件的日期和時(shí)間，3)DTS的數字簽名。

　　數字證書(shū)(digitalcertificate,digitalID)

　　數字證書(shū)又稱(chēng)為數字憑證，是用電子手段來(lái)證實(shí)一個(gè)用戶(hù)的身份和對網(wǎng)絡(luò )資源的訪(fǎng)問(wèn)的權限。

　　數字憑證有三種類(lèi)型：

　　·個(gè)人憑證(PersonalDigitalID)

　　·企業(yè)(服務(wù)器)憑證(ServerID)

　　·軟件(開(kāi)發(fā)者)憑證(DeveloperID)

　　上述三類(lèi)憑證中前二類(lèi)是常用的憑證，第三類(lèi)則用于較特殊的場(chǎng)合，大部分認證中心提供前兩類(lèi)憑證。

　　3)與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論：

　　SSL協(xié)議(SecureSocketsLayer)安全套接層協(xié)議

　　------面向連接的協(xié)議，當初不是為電子商務(wù)而設計

　　SSL協(xié)議主要是使用公開(kāi)密鑰體制和X.509數字證書(shū)技術(shù)保護信息傳輸的機密性和完整性，它不能保證信息的不可抵賴(lài)性，主要適用于點(diǎn)對點(diǎn)之間的信息傳輸，常用WebServer方式。

　　SSL協(xié)議在應用層收發(fā)數據前，協(xié)商加密算法、連接密鑰并認證通信雙方，從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協(xié)議(如HTTP、FTP、TELNET等)以保證應用層數據傳輸的安全性。SSL協(xié)議獨立于應用層協(xié)議，因此，在電子交易中被用來(lái)安全傳送信用卡號碼。

　　SSL的應用及局限：中國目前多家銀行均采用SSL協(xié)議，從目前實(shí)際使用的情況來(lái)看，SSL還是人們最信賴(lài)的協(xié)議。但是SSL當初并不是為支持電子商務(wù)而設計的，所以在電子商務(wù)系統的應用中還存在很多弊端。它是一個(gè)面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶(hù)與服務(wù)器間的雙方認證，而電子商務(wù)往往是用戶(hù)、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調各方間的安全傳輸和信任關(guān)系;還有，購貨時(shí)用戶(hù)要輸入通信地址，這樣將可能使得用戶(hù)收到大量垃圾信件。

　　SET協(xié)議(SecureElectronicTransaction)安全電子交易

　　------專(zhuān)門(mén)為電子商務(wù)而設計的協(xié)議，但仍然不能解決電子商務(wù)所遇到全部問(wèn)題

　　電子商務(wù)在提供機遇和便利的同時(shí)，也面臨著(zhù)一個(gè)最大的挑戰，即交易的安全問(wèn)題。在網(wǎng)上購物的環(huán)境中，持卡人希望在交易中保密自己的帳戶(hù)信息，使之不被人盜用;商家則希望客戶(hù)的定單不可抵賴(lài)，并且，在交易過(guò)程中，交易各方都希望驗明其他方的身份，以防止被欺騙。針對這種情況，由美國Visa和MasterCard兩大信用卡組織聯(lián)合國際上多家科技機構，共同制定了應用于Internet上的以銀行卡為基礎進(jìn)行在線(xiàn)交易的安全標準，這就是"安全電子交易"(SET)。它采用公鑰密碼體制和X.509數字證書(shū)標準，主要應用于保障網(wǎng)上購物信息的安全性。由于SET提供了消費者、商家和銀行之間的認證，確保了交易數據的安全性、完整可靠性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家等優(yōu)點(diǎn)，因此它成為了目前公認的信用卡/借記卡的網(wǎng)上交易的國際安全標準。

　　SET的局限性：SET是專(zhuān)門(mén)為電子商務(wù)而設計的協(xié)議，雖然它在很多方面優(yōu)于SSL協(xié)議，但仍然不能解決電子商務(wù)所遇到的全部問(wèn)題。

　　2.2電子商務(wù)的安全技術(shù)之二------身份認證技術(shù)

　　為解決Internet的安全問(wèn)題，世界各國對其進(jìn)行了多年的研究，初步形成了一套完整的Internet安全解決方案，即目前被廣泛采用的PKI(PublicKeyInfrastructure公鑰基礎設施)體系結構。PKI體系結構采用證書(shū)管理公鑰，通過(guò)第三方的可信機構CA，把用戶(hù)的公鑰和用戶(hù)的其他標識信息(如名稱(chēng)、e-mail、身份證號等)捆綁在一起，在Internet網(wǎng)上驗證用戶(hù)的身份，PKI體系結構把公鑰密碼和對稱(chēng)密碼結合起來(lái)，在Internet網(wǎng)上實(shí)現密鑰的自動(dòng)管理，保證網(wǎng)上數據的機密性、完整性。

　　在電子交易中，無(wú)論是數字時(shí)間戳服務(wù)(DTS)還是數字證書(shū)(DigitalID)的發(fā)放，都不是靠交易的自己能完成的，而需要有一個(gè)具有權威性和公正性的第三方(thirdparty)來(lái)完成。認證中心(CertificateAuthority)就是承擔網(wǎng)上安全電子交易認證服務(wù)、能簽發(fā)數字證書(shū)、并能確認用戶(hù)身份的服務(wù)機構。認證中心通常是企業(yè)性的服務(wù)機構，主要任務(wù)是受理數字憑證的申請、簽發(fā)及對數字憑證的管理。認證中心依據認證操作規定(CertificationPracticeStatement)來(lái)實(shí)施服務(wù)操作。

　　1)認證系統的基本原理

　　利用RSA公開(kāi)密鑰算法在密鑰自動(dòng)管理、數字簽名、身份識別等方面的特性，可建立一個(gè)為用戶(hù)的公開(kāi)密鑰提供擔保的可信的第三方認證系統。這個(gè)可信的第三方認證系統也稱(chēng)為CA，CA為用戶(hù)發(fā)放電子證書(shū)，用戶(hù)之間(比如網(wǎng)銀服務(wù)器和某客戶(hù)之間)利用證書(shū)來(lái)保證信息安全性和雙方身份的合法性。

　　2)認證系統結構

　　整個(gè)系統是一個(gè)大的網(wǎng)絡(luò )環(huán)境，系統從功能上基本可以劃分為CA、RA和WebPublisher。

　　核心系統根CA放在一個(gè)單獨的封閉空間中，為了保證運行的絕對安全，其人員及制度都有嚴格的規定，并且系統設計為一離線(xiàn)網(wǎng)絡(luò )。CA的功能是在收到來(lái)自RA的證書(shū)請求時(shí)，頒發(fā)證書(shū)。一般的個(gè)人證書(shū)發(fā)放過(guò)程都是自動(dòng)進(jìn)行，無(wú)須人工干預。

　　證書(shū)的登記機構RegisterAuthority，簡(jiǎn)稱(chēng)RA，分散在各個(gè)網(wǎng)上銀行的地區中心。RA與網(wǎng)銀中心有機結合，接受客戶(hù)申請，并審批申請，把證書(shū)正式請求通過(guò)建設銀行企業(yè)內部網(wǎng)發(fā)送給CA中心。RA與CA雙方的通信報文也通過(guò)RSA進(jìn)行加密，確保安全。系統的分布式結構適于新業(yè)務(wù)網(wǎng)點(diǎn)的開(kāi)設，具有較好的擴充性。通信協(xié)議為T(mén)CP/IP。

　　證書(shū)的公布系統WebPublisher，簡(jiǎn)稱(chēng)WP，置于Internet網(wǎng)上，是普通用戶(hù)和CA直接交流的界面。對用戶(hù)來(lái)講它相當于一個(gè)在線(xiàn)的證書(shū)數據庫。用戶(hù)的證書(shū)由CA頒發(fā)之后，CA用E-mail通知用戶(hù)，然后用戶(hù)須用瀏覽器從這里下載證書(shū)。

　　證書(shū)鏈服務(wù)(有時(shí)也稱(chēng)"交叉認證")是一個(gè)CA擴展其信任范圍或被認可范圍的一種實(shí)現機制。如果企業(yè)或機構已經(jīng)建立了自己的CA系統，通過(guò)第三方認證中心對該機構或企業(yè)的CA簽發(fā)CA證書(shū)，能夠使得該企業(yè)或機構的CA發(fā)放的證書(shū)被所有信任第三方認證中心的瀏覽器、郵件客戶(hù)所信任。

　　3)中國金融認證中心CFCA的建設情況

　　中國對電子商務(wù)的發(fā)展也給予了應有的重視。中國金融認證中心CFCA(ChinaFinancialCertificateAuthority)。已于2000年6月29日開(kāi)始對社會(huì )各界提供證書(shū)服務(wù)，系統進(jìn)入運行狀態(tài)。中國金融認證中心作為一個(gè)權威的、可信賴(lài)的、公正的第三方信任機構，為參與電子商務(wù)各方的各種認證需求提供證書(shū)服務(wù)，建立彼此的信任機制，為全國范圍內的電子商務(wù)及網(wǎng)上銀行等網(wǎng)上支付業(yè)務(wù)提供多種模式的認證服務(wù)，在不遠的將來(lái)實(shí)現與國外CA的交叉認證。

　　2.3電子商務(wù)的安全技術(shù)之三網(wǎng)上支付平臺及支付網(wǎng)關(guān)

　　網(wǎng)上支付平臺分為CTEC支付體系(基于CTCA/GDCS)和SET支付體系(基于CTCA/SET)。網(wǎng)上支付平臺支付型電子商務(wù)業(yè)務(wù)提供各種支付手段，包括基于SET標準的信用卡支付方式、以及符合CTEC標準的各種支付手段。

　　目前，在國內可以提供網(wǎng)上支付功能服務(wù)或者網(wǎng)上支付網(wǎng)關(guān)接口的銀行有：

　　中國工商銀行牡丹卡中國銀行長(cháng)城借記卡

　　中國銀行長(cháng)城信用卡招商銀行一網(wǎng)通卡

　　中國建設銀行龍卡MASTER/VISA/JCB卡(適用全球)

　　上述除中國銀行長(cháng)城借記卡則采用了SET1.2的加密方式外，其余全部采用SSL-128加密方式。

　　支付網(wǎng)關(guān)位于公網(wǎng)和傳統的銀行網(wǎng)絡(luò )之間，其主要功能為：將公網(wǎng)傳來(lái)的數據包解密，并按照銀行系統內部的通信協(xié)議將數據重新打包;接收銀行系統內部的傳回來(lái)的響應消息，將數據轉換為公網(wǎng)傳送的數據格式，并對其進(jìn)行加密。即支付網(wǎng)關(guān)主要完成通信、協(xié)議轉換和數據加解密功能，并且可以保護銀行內部網(wǎng)絡(luò )。此外，支付網(wǎng)關(guān)還具有密鑰保護和證書(shū)管理等其它功能。

　　3、小結

　　本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù)：數據加密技術(shù)，身份認證技術(shù)，網(wǎng)上支付平臺及支付網(wǎng)關(guān)，指出了它們分別的使用范圍及其優(yōu)缺點(diǎn)，但必須強調說(shuō)明的是，電子商務(wù)的安全運行，僅從技術(shù)角度防范是遠遠不夠的，還必須完善電子商務(wù)立法，以規范飛速發(fā)展的電子商務(wù)現實(shí)中存在的各類(lèi)問(wèn)題，從而引導和促進(jìn)我國電子商務(wù)快速健康發(fā)展。

【淺談安全技術(shù)在電子商務(wù)中的應用】相關(guān)文章：

論信息安全技術(shù)在電子商務(wù)中的應用03-13

淺談電子商務(wù)在鋼鐵物流中的應用12-09

淺談電子商務(wù)中的安全題目．03-21

計算機安全技術(shù)在電子商務(wù)中的應用探討03-01

網(wǎng)絡(luò )安全技術(shù)在電子商務(wù)中的應用研究11-19

信息技術(shù)在電子商務(wù)中的應用03-21

Ｗｅｂ�。玻�０技術(shù)在電子商務(wù)中的應用03-21

淺談ＲＴＫ技術(shù)在公路測量中應用問(wèn)題03-19

淺談CAD技術(shù)在工程設計中的應用03-18