趙永堅(jiān) 何樹(shù)華 周 超 黃 海

摘要：電子商務(wù)安全性制約著電子交易活動(dòng)的發(fā)展。本文通過(guò)分析現(xiàn)有電子商務(wù)的安全保障機(jī)制?；谝延邪踩胧┨剿鞲咝Ц踩陌踩Ｕ戏桨浮?/p>

關(guān)鍵詞：電子商務(wù)；數(shù)字加密；安全：漏洞；SSL

1引言

隨著電子商務(wù)逐漸走入人們的日常生活，人們對(duì)它的信賴程度與其本身具有的安全可靠性成正比，據(jù)普查有六成網(wǎng)民不信任網(wǎng)上購(gòu)物。能否提高電子商務(wù)的安全性，保障交易可靠已成為網(wǎng)站商家與消費(fèi)者共同關(guān)注的問(wèn)題。在廣大網(wǎng)絡(luò)平臺(tái)上建立一套交易雙方信賴的安全保障制度，充分加強(qiáng)網(wǎng)絡(luò)交易的安全可靠性、信息保密性，方可提高人們對(duì)網(wǎng)絡(luò)交易的支持和利用。

2電子商務(wù)安全的威脅與漏洞

電子交易安全要求有信息的保密性，交易者身份的確定性，交易操作的不可否認(rèn)性和交易信息的不可修改性。相應(yīng)產(chǎn)生的威脅與漏洞有：(1)源于外部侵入的威脅。外部侵入者通過(guò)對(duì)網(wǎng)絡(luò)的侵犯而獲悉交易雙方的交易信息，竊取商機(jī)。(2)源于信息不完整性產(chǎn)生的漏洞。在交易過(guò)程中產(chǎn)生的差錯(cuò)導(dǎo)致交易信息的不完整，可能導(dǎo)致交易活動(dòng)無(wú)法進(jìn)行。(3)源于交易雙方對(duì)交易信息的抵賴威脅。交易雙方可能對(duì)交易信息進(jìn)行篡改，偽造證據(jù)，擾亂交易的公平性。

3目前電子商務(wù)的安全保障和電子交易的手段

3.1現(xiàn)有電子商務(wù)最常見(jiàn)的安全機(jī)制有SSL及SET兩種。分別如下：

(1)SSL協(xié)議：位于TCD／IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通信提供安全支持。它分為兩層，其中SSL記錄協(xié)議(SSL RecordProtocol)，建立在可靠的傳輸協(xié)議之上，為高層提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議(SSL Handshake Protocol)，建立在SSL記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開(kāi)始之前，通信雙方進(jìn)行身份認(rèn)證，協(xié)商加密算法，交換加密密鑰。

(2)SET協(xié)議：是一種基于消息流的協(xié)議，它主要用來(lái)保證公共網(wǎng)絡(luò)上銀行卡支付交易的安全性。它定義了加密信息的格式和完成一筆交易過(guò)程中各方傳輸信息的規(guī)則。

3.2現(xiàn)有保障電子交易安全的手段

(1)密碼技術(shù)：常用的有：①公共密鑰和私用密鑰，亦稱為RSA編碼法，它利用兩個(gè)很大的質(zhì)數(shù)相乘所產(chǎn)生的乘積來(lái)加密。②數(shù)字摘要(dIgital dlgest)即安全Hash編碼法或MD5，它采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數(shù)字指紋(Finger Print)，它有固定的長(zhǎng)度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這摘要便可成為驗(yàn)證明文是否是“真身”的“指紋”了。

(2)數(shù)字簽名(digital signature)：數(shù)字簽名是以保障基于網(wǎng)絡(luò)交易平臺(tái)替代傳統(tǒng)功能的電子技術(shù)手段，結(jié)合了密碼技術(shù)和數(shù)字摘要。它通過(guò)密碼技術(shù)保證數(shù)據(jù)保密，不被篡改。和驗(yàn)證身份以實(shí)現(xiàn)電子交易安全。

(3)數(shù)字時(shí)間戳：能提供電子文件發(fā)表時(shí)間的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)(DTS)是網(wǎng)上安全服務(wù)項(xiàng)目，由專門的機(jī)構(gòu)提供。時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔。

(4)數(shù)字憑證：數(shù)字憑證又稱為數(shù)字證書。是用電子手段來(lái)證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問(wèn)的權(quán)限。數(shù)字憑證可用于電子郵件、電子商務(wù)、群件、電子基金轉(zhuǎn)移等各種用途。

(5)認(rèn)證中心(CA=Certification Authority)：就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書、并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字憑證的申請(qǐng)、簽發(fā)及對(duì)數(shù)字憑證的管理。

4探索與搜尋更為有效方案，進(jìn)一步提高安全可靠性。

通過(guò)以上對(duì)現(xiàn)有電子商務(wù)安全性的分析可以發(fā)現(xiàn)有許多可改進(jìn)方案，比如：

(1)較多的電子商務(wù)平臺(tái)建立在SSL協(xié)議基礎(chǔ)之上，然而SSL2O在設(shè)計(jì)上有著很多缺陷，仍容易受到網(wǎng)絡(luò)攻擊。因此在SSL協(xié)議之上再通過(guò)VPN(虛擬專用網(wǎng))，聯(lián)合SSL的獨(dú)特性以及VPN所能提供的安全遠(yuǎn)程訪問(wèn)控制能力，保證交易信息安全。

(2)在電子交易平臺(tái)提供數(shù)據(jù)證書驗(yàn)證交易者的身份真實(shí)性，然而安全技術(shù)的強(qiáng)度普遍不夠，受到了外國(guó)密碼政策的限制，因此強(qiáng)度普遍不夠，自主探索加密算法尤為重要。

(3)盡管電子商務(wù)蓬勃發(fā)展，但網(wǎng)絡(luò)信息安全在全球還沒(méi)有形成一個(gè)完整的體系，有關(guān)電子商務(wù)安全的產(chǎn)品真正通過(guò)認(rèn)證的相當(dāng)少，對(duì)安全技術(shù)普遍了解的較少。所以在安全認(rèn)證方面應(yīng)轉(zhuǎn)向信用體系較高的CA認(rèn)證。

(4)電子商務(wù)網(wǎng)站的安全管理存在很大隱患，因此應(yīng)加強(qiáng)電子商務(wù)網(wǎng)站的安全管理。避免內(nèi)部人員濫用資源，使用完善的防火墻技術(shù)，建立網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度。

5結(jié)論及展望

隨著網(wǎng)絡(luò)的發(fā)展，未來(lái)電子商務(wù)將以高安全穩(wěn)定性而競(jìng)爭(zhēng)。為了支撐更廣大的商務(wù)活動(dòng)，只有不斷努力探索提高安全性方案。不斷提高服務(wù)的安全性，否則會(huì)制約電子商務(wù)的發(fā)展，成為發(fā)展的瓶頸。安全性必能為電子商務(wù)發(fā)展提供重要保障。