[摘 要] 電子商務(wù)在交易的范圍、速度、成本、效率等方面具有傳統(tǒng)商務(wù)無可比擬的優(yōu)勢，國家提出在“十一五”期間要大力發(fā)展電子商務(wù)，但是電子商務(wù)的安全問題成為制約其健康快速發(fā)展的瓶頸，本文擬從安全協(xié)議、安全技術(shù)和安全體系等三個(gè)方面綜合研究電子商務(wù)安全問題的解決途徑。a

[關(guān)鍵詞] 電子商務(wù) 安全協(xié)議 安全技術(shù) 安全體系

一、引言

電子商務(wù)是網(wǎng)絡(luò)化的新型經(jīng)濟(jì)活動(dòng)，正以前所未有的速度迅猛發(fā)展，已經(jīng)成為主要發(fā)達(dá)國家增強(qiáng)經(jīng)濟(jì)競爭實(shí)力，贏得全球資源配置優(yōu)勢的有效手段?！笆晃濉笔俏覈l(fā)展電子商務(wù)的戰(zhàn)略機(jī)遇期。抓住機(jī)遇，加快發(fā)展電子商務(wù)，是貫徹落實(shí)科學(xué)發(fā)展觀，以信息化帶動(dòng)工業(yè)化，以工業(yè)化促進(jìn)信息化，走新型工業(yè)化道路的客觀要求和必然選擇。

但是要實(shí)現(xiàn)電子商務(wù)的健康發(fā)展要解決的問題還很多，其中相對于傳統(tǒng)商務(wù)來講，最大的問題就是安全問題。一方面是交易環(huán)境的安全問題，電子商務(wù)是基于Internet進(jìn)行交易的，Internet應(yīng)用的基本目的就是資源共享，其開放性直接影響到電子商務(wù)的安全性，網(wǎng)絡(luò)很容易受到攻擊和破壞，計(jì)算機(jī)系統(tǒng)的安全問題如非法入侵、數(shù)據(jù)非法截取等也很難完全防范，再者網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)本身的可靠性也會對電子商務(wù)的安全問題造成一定的影響。另一方面是交易對象的安全性、交易過程的安全性和貨幣支付過程的安全性問題。

二、安全協(xié)議

1.安全套接層協(xié)議（SSL）

安全套接層協(xié)議是網(wǎng)景（Netscape）公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括:服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。SSL主要使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴性，主要適用于點(diǎn)對點(diǎn)之間的信息傳輸。

在電子商務(wù)中采用單一的SSL協(xié)議來保證交易的安全是不夠的，但采用“SSL+表單簽名”模式能夠?yàn)殡娮由虅?wù)提供較好的安全性保證。

2.安全電子交易協(xié)議（SET）

SET協(xié)議是由VISA和Master Card兩大信用卡公司聯(lián)合推出的規(guī)范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計(jì)的，以保證支付信息的機(jī)密、支付過程的完整、商戶及持卡人的合法身份，以及可操作性。SET中的核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。SET協(xié)議比SSL協(xié)議復(fù)雜，因?yàn)榍罢卟粌H加密兩個(gè)端點(diǎn)間的單個(gè)會話，它還可以加密和認(rèn)定三方間的多個(gè)信息。

在處理過程中，通信協(xié)議、請求信息的格式、數(shù)據(jù)類型的定義等，SET都有明確的規(guī)定。在操作的每一步，消費(fèi)者、在線商店、支付網(wǎng)關(guān)都通過CA來驗(yàn)證通信主體的身份，以確保通信的對方不是冒名頂替。所以，也可以簡單地認(rèn)為，SET規(guī)范充分發(fā)揮a了認(rèn)證中心的作用，以維護(hù)在任何開放網(wǎng)絡(luò)上的電子商務(wù)參與者所提供信息的真實(shí)性和保密性。

3.安全超文本傳輸協(xié)議(HTTPS)

安全超文本傳輸協(xié)議基于提供保密、認(rèn)證、完整性和不可否認(rèn)等服務(wù)，保證在WEB上交換的媒體文本的案例。

由于Internet的開放性造成了在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)的公開性，為了保證在網(wǎng)絡(luò)傳輸過程中的數(shù)據(jù)的安全，需要進(jìn)行數(shù)據(jù)加密。實(shí)際是上使服務(wù)器支持SSL協(xié)議，客戶只有在通過服務(wù)器方認(rèn)可的認(rèn)證授權(quán)中心(CA)進(jìn)行身份驗(yàn)證后，才能登錄該網(wǎng)站，并且在網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)均通過隨機(jī)產(chǎn)生的密鑰加密。

4.安全交易技術(shù)協(xié)議(STT)

由Microsoft公司提出，VISA和Microsoft共同開發(fā)的網(wǎng)絡(luò)支付規(guī)范。STT將認(rèn)證和解密在瀏覽器中公開，用以提高安全控制能力。

三、安全技術(shù)

1.數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是研究數(shù)據(jù)加密、解密及交換的科學(xué)，涉及數(shù)學(xué)、計(jì)算機(jī)科學(xué)、電子與通信等諸多學(xué)科。加密算法能夠?qū)⑿畔⑦M(jìn)行偽裝，使得任何未經(jīng)過授權(quán)的人都無法了解其內(nèi)容。主要包括以下對稱密鑰加密和非對稱密鑰加密兩種加密法。

2.數(shù)字摘要

數(shù)字摘要的工作原理是為了解決信息的完整性而采取的技術(shù)。就是利用hash函數(shù)對信息進(jìn)行計(jì)算得出一個(gè)數(shù)字摘要，然后將信息和數(shù)字摘要一同發(fā)送給接收者，接收者在利用相同hash函數(shù)對信息進(jìn)行計(jì)算也得出一個(gè)數(shù)字摘要，然后把發(fā)送者的數(shù)字摘要和接收者得出的數(shù)字摘要進(jìn)行對比，如果兩個(gè)數(shù)字摘要相同，則說明信息是原信息，在傳送途中沒有被篡改；反之，如果兩個(gè)數(shù)字摘要不同，則說明信息在傳送途中被非法篡改了。

3.數(shù)字信封

數(shù)字信封的工作原理是使用HASH函數(shù)對對稱密鑰來加密數(shù)據(jù)，然后將此對稱密鑰用接受者的公鑰加密，將其和加密數(shù)據(jù)一起發(fā)送給接受者，它體現(xiàn)的是保密性。

4.數(shù)字簽名

數(shù)字簽名是指將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接受者。接受者只有用發(fā)送者的公鑰才能解密被加密的摘要。它體現(xiàn)的是不可抵賴性和完整性。

5.數(shù)字時(shí)間戳

數(shù)字時(shí)間戳的工作原理它是用來證明消息的收發(fā)時(shí)間的。用戶首先將需要加世界戳的文件經(jīng)加密后形成文檔，然后將摘要發(fā)送給專門提供數(shù)字時(shí)間戳服務(wù)的權(quán)威機(jī)構(gòu)，該機(jī)構(gòu)對原摘要加上時(shí)間后，進(jìn)行電子簽名，用私鑰加密，并發(fā)送給原用戶。它體現(xiàn)的是知識產(chǎn)權(quán)的保護(hù)問題。

6.數(shù)字證書

數(shù)字證書是一種權(quán)威性的電子文檔。它提供了一種在Internet上驗(yàn)證您身份的方式，其作用類似于日常生活中的身份證。它是由一個(gè)由權(quán)威機(jī)構(gòu)CA證書授權(quán)(Certificate Authority)中心發(fā)行的，人們可以在互聯(lián)網(wǎng)交往中用它來識別對方的身份。當(dāng)然在數(shù)字證書認(rèn)證的過程中，證書認(rèn)證中心（CA）作為權(quán)威的、公正的、可信賴的第三方，其作用是至關(guān)重要的。

基于數(shù)字證書的應(yīng)用角度分類，數(shù)字證書可以分為以下幾種:

（1）服務(wù)器證書

服務(wù)器證書被安裝于服務(wù)器設(shè)備上，用來證明服務(wù)器的身份和進(jìn)行通信加密。服務(wù)器證書可以用來防止假冒站點(diǎn)。

（2）電子郵件證書

電子郵件證書可以用來證明電子郵件發(fā)件人的真實(shí)性。它并不證明數(shù)字證書上面CN一項(xiàng)所標(biāo)識的證書所有者姓名的真實(shí)性，它只證明郵件地址的真實(shí)性。

（3）客戶端個(gè)人證書

客戶端證書主要被用來進(jìn)行身份驗(yàn)證和電子簽名。

安全的客戶端證書被存儲于專用的Usbkey中。使用該證書需要物理上獲得其存儲介質(zhì)Usbkey，且需要知道key的保護(hù)密碼，這也被稱為雙因子認(rèn)證。這種認(rèn)證手段是目前在Internet最安全的身份認(rèn)證手段之一。

四、安全體系

1.技術(shù)體系

電子商務(wù)的安全控制體系結(jié)構(gòu)是保證電子商務(wù)中數(shù)據(jù)安全的一個(gè)完整的邏輯結(jié)構(gòu)，它由網(wǎng)絡(luò)服務(wù)層、加密技術(shù)層、安全認(rèn)證層、交易協(xié)議層、商務(wù)系統(tǒng)層組成，具體結(jié)構(gòu)見下圖，各層次之間相互依賴、相互關(guān)聯(lián)構(gòu)成統(tǒng)一整體。各層之間通過控制技術(shù)的遞進(jìn)，實(shí)現(xiàn)電子商務(wù)系統(tǒng)的安全。

電子商務(wù)系統(tǒng)是依賴網(wǎng)絡(luò)實(shí)現(xiàn)的商務(wù)系統(tǒng)，需要利用Internet基礎(chǔ)設(shè)施和標(biāo)準(zhǔn)，所以構(gòu)成電子商務(wù)安全框架的底層是網(wǎng)絡(luò)服務(wù)層。它是各種電子商務(wù)應(yīng)用系統(tǒng)的基礎(chǔ)，并提供信息傳送的載體和用戶接入的手段及安全通信服務(wù)，保證網(wǎng)絡(luò)最基本的運(yùn)行安全。

網(wǎng)絡(luò)服務(wù)層是電子商務(wù)系統(tǒng)基本、靈活的網(wǎng)絡(luò)服務(wù)平臺。為確保電子商務(wù)系統(tǒng)全面安全，必須建立完善的加密技術(shù)和認(rèn)證機(jī)制。加密技術(shù)是保證電子商務(wù)系統(tǒng)安全所采用的最基本的安全措施，它用于滿足電子商務(wù)對保密性的需求。安全認(rèn)證層中的認(rèn)證技術(shù)是保證電子商務(wù)安全的又一必要手段，它對加密技術(shù)層中提供的多種加密算法進(jìn)行綜合運(yùn)用，進(jìn)一步滿足電子商務(wù)對完整性、抗否認(rèn)性、可靠性的要求。

在電子商務(wù)安全框架體系中，加密技術(shù)層、安全認(rèn)證層、交易協(xié)議層，即專為電子交易數(shù)據(jù)的安全而構(gòu)筑。其中，交易協(xié)議層是加密技和安全認(rèn)證層的安全控制技術(shù)的綜合運(yùn)用和完善。它為電子商務(wù)安全交易提供保障機(jī)制和交易標(biāo)準(zhǔn)。

基于安全技術(shù)層次提供的安全措施，商務(wù)系統(tǒng)層就可以滿足電子商務(wù)對安全的需求。商務(wù)系統(tǒng)層包括如B2B、B2C、B2G等各類電子商務(wù)應(yīng)用系統(tǒng)及商業(yè)的解決方案。用于保障電子商務(wù)的安全控制技術(shù)很多，層次各不相同，但并非是把所有安全技術(shù)簡單的組合就可以得到可靠的安全，需要對各技術(shù)層次合理結(jié)合與改進(jìn)，才能從技術(shù)上實(shí)現(xiàn)有效的電子商務(wù)安全。為滿足電子商務(wù)在安全服務(wù)方面的要求，基于Internet的電子商務(wù)系統(tǒng)層除使用保證網(wǎng)絡(luò)本身運(yùn)行的安全技術(shù)，還用到依據(jù)電子商務(wù)自身特點(diǎn)定制的一些重要安全技術(shù)。

網(wǎng)絡(luò)的安全性是電子商務(wù)實(shí)施的前提保證，而交易安全是電子商務(wù)實(shí)施成功與否的關(guān)鍵。電子商務(wù)系統(tǒng)必須具備保證交易能正常進(jìn)行的網(wǎng)絡(luò)安全性、保證交易人利益的保密性和可靠性及確保交易安全的完整性和不可抵賴性。

2.信用和法律體系

技術(shù)體系能夠在很大程度上保障電子商務(wù)的安全性，但技術(shù)總會存在漏洞，存在被破解的可能，因此還應(yīng)同時(shí)建立信用和法律體系，與技術(shù)體系協(xié)同保障電子商務(wù)的安全性。

信用體系主要指建立信用制度，從道德角度來保障電子商務(wù)的安全性，電子商務(wù)網(wǎng)站中現(xiàn)行的信用等級評價(jià)系統(tǒng)就屬于信用體系的實(shí)際應(yīng)用。而法律體系則從法律角度來保障電子商務(wù)的安全性，主要指的是電子商務(wù)方面的立法，1996年聯(lián)合國貿(mào)法會通過了《電子商務(wù)示范法》，世界各國尤其是發(fā)達(dá)國家已經(jīng)制定相應(yīng)電子簽名法、電子合同法等法律，并就電子支付中的法律問題、電子交易過程中法律責(zé)任歸屬問題等進(jìn)行了明確地界定，我國也在計(jì)算機(jī)信息系統(tǒng)安全保護(hù)、商用密碼管理等與電子商務(wù)相關(guān)的方面制定了相應(yīng)的法律。

五、結(jié)束語

電子商務(wù)作為在信息社會出現(xiàn)的對傳統(tǒng)商務(wù)的有效補(bǔ)充，無論是對個(gè)人還是國家都帶來了很大的影響，我們應(yīng)該揚(yáng)長避短，深入研究電子商務(wù)安全協(xié)議和安全技術(shù)，全面構(gòu)建電子商務(wù)技術(shù)體系、信用和法律體系的堅(jiān)實(shí)安全后盾，為電子商務(wù)的健康快速發(fā)展保駕護(hù)航，進(jìn)而實(shí)現(xiàn)個(gè)人和國家的和諧發(fā)展。

參考文獻(xiàn):

[1] (美)Eric Rescorla:SSL與TLS[M].北京:中國電力出版社，2002，10

[2]梁晉等:電子商務(wù)核心技術(shù)——安全電子交易協(xié)議的理論與設(shè)計(jì)[M].陜西:西安電子科技大學(xué)出版社，2000，8

[3]韓寶明 杜 鵬劉 華:電子商務(wù)安全與支付[M]．人民郵電出版社，2006，7

[4]王忠誠:電子商務(wù)安全[M].機(jī)械工業(yè)出版，2006，5

[5]楊堅(jiān)爭 趙 雯 楊立釩:電子商務(wù)安全與電子支付[M]．北京：機(jī)械工業(yè)出版社，2007，2

[6]梅紹祖:電子商務(wù)法規(guī)[M].北京:中國財(cái)政經(jīng)濟(jì)出版社，2005，10