摘要：電子商務(wù)是利用計算機網(wǎng)絡(luò)開展的商務(wù)活動。近年來，隨著電子技術(shù)的發(fā)展，“網(wǎng)上購物”、“電子錢包”等已漸成時尚，但安全問題始終是影響電子商務(wù)發(fā)展的關(guān)鍵因素。安全問題威脅著交易中每一方的利益，客戶由此產(chǎn)生的疑慮會影響到交易的成敗，甚至?xí)绊戨娮由虅?wù)的進一步的發(fā)展。

關(guān)鍵詞：電子商務(wù) 安全 網(wǎng)上交易

中圖分類號：F626.5 文獻標志碼：Ａ文章編號：１６７３－２９１Ｘ（２０11）26－０279－06

一、電子商務(wù)安全的基本理論

（一）電子商務(wù)的概念

電子商務(wù)出現(xiàn)于20世紀90年代，發(fā)展的時間并不長，但與傳統(tǒng)商務(wù)相比，電子商務(wù)具有驚人的發(fā)展速度。CNN公布的資料表明，1999年度全球電子商務(wù)銷售額突破1 400億美元。但是，究竟什么是電子商務(wù)呢？實際上，迄今為止，電子商務(wù)還沒有一個被廣泛接受的概念。

世界貿(mào)易組織（WTO）給電子商務(wù)下的定義為：電子商務(wù)是指以電子方式進行的商品和服務(wù)之生產(chǎn)、分配、市場營銷、銷售或交付。

經(jīng)濟合作發(fā)展組織（OECD）認為：電子商務(wù)是指商業(yè)交易，它包括組織與個人在基于文字、聲音、可視化圖像等在內(nèi)的數(shù)字化數(shù)據(jù)傳輸與處理方面的商業(yè)活動。

世界各國對電子商務(wù)的理解也不盡相同。盡管電子商務(wù)的定義在內(nèi)容上各有側(cè)重，但是我認為電子商務(wù)的內(nèi)涵一般應(yīng)至少包括下列三方面內(nèi)容：

（1）使用電子工具，借助互聯(lián)網(wǎng)傳輸信息。

（2）在公開環(huán)境下交易。

（3）依靠一定的技術(shù)規(guī)范和技術(shù)標準，利用數(shù)據(jù)化的信息來進行交易。

電子商務(wù)使用的網(wǎng)絡(luò)類型主要有三種形式：EDI網(wǎng)絡(luò)、INTRANET網(wǎng)絡(luò)和INTERNET網(wǎng)絡(luò)。由于EDI是專線網(wǎng)絡(luò)，而INTRANET是企業(yè)內(nèi)部網(wǎng)，其安全性較好，對傳統(tǒng)法律規(guī)范體系的沖擊相對于INTERNET要小的多，因而本文主要討論的電子商務(wù)主要是指借助于INTERNET網(wǎng)絡(luò)的電子商務(wù)。

（二）電子商務(wù)的安全的內(nèi)容及要求

電子商務(wù)作為一種新的經(jīng)濟交易方式，它只是在表現(xiàn)形式上與傳統(tǒng)商業(yè)不同，但是這并沒有改變其商業(yè)屬性，這就要求電子商務(wù)的運作必須遵循商業(yè)活動的一般規(guī)律，否則，電子商務(wù)是無法發(fā)展的。

安全與效率，是一切經(jīng)濟交易必須考慮的兩個問題。電子商務(wù)的存在與發(fā)展也必須滿足這兩個要求。對于電子商務(wù)而言，其高效性已經(jīng)得到了人們充分的認可。但是，安全性呢？電子商務(wù)作為一種新生事物，世界各國都尚未形成成熟的安全運營模式。如何在網(wǎng)絡(luò)環(huán)境下，構(gòu)建與傳統(tǒng)法律價值接近的規(guī)則體系，已經(jīng)越來越為人們所關(guān)注。

從傳統(tǒng)商業(yè)與電子商務(wù)的不同特點來看，要滿足電子商務(wù)的安全性要求，至少要有下面幾個問題需要解決。

1.交易前交易雙方身份的認證問題。電子商務(wù)是建立在互聯(lián)網(wǎng)絡(luò)平臺上的虛擬空間中的商務(wù)活動，交易的當(dāng)事人可能處在不同的國家，他們并不直接見面，雙方只能通過數(shù)據(jù)、符號、信號等進行判斷、選擇，具體的商業(yè)行為也依靠電子信號和數(shù)據(jù)的交流，交易的當(dāng)事人再也無法用傳統(tǒng)商務(wù)中的方法來保障交易的安全。

2.交易中電子合同的法律效力問題以及完整性保密性問題。在傳統(tǒng)國際貿(mào)易法中，合同形式要求為書面，而電子商務(wù)中的合同是電子合同，與傳統(tǒng)的書面形式存在很大的不同，其法律效力如何取決于法律的有關(guān)規(guī)定。而且，由于電子商務(wù)所依賴的互聯(lián)網(wǎng)平臺本身具有開放性的特點，交易雙方的數(shù)據(jù)如何避免被他人截取和篡改，以保證其完整性和保密性，這都是電子商務(wù)發(fā)展必須面對和解決的問題。

3.交易后電子記錄的證據(jù)力問題。在英美法系，傳聞證據(jù)規(guī)則限制了電子記錄的證據(jù)力。在我國，訴訟法中并未對電子記錄的證據(jù)力作出明確規(guī)定，甚至也沒有將其單列出來作為證據(jù)的一種。

上述這些問題，已經(jīng)對傳統(tǒng)法律制度造成了沖擊，也是實現(xiàn)電子商務(wù)安全所必須解決的問題。筆者將針對這些問題，從技術(shù)安全、組織安全、法律安全三個角度，對電子商務(wù)的安全運營問題進行解析。

二、電子商務(wù)安全性的現(xiàn)狀及存在的問題

（一）電子商務(wù)安全的現(xiàn)狀

1.基礎(chǔ)技術(shù)相對薄弱

國外有關(guān)電子商務(wù)的安全技術(shù)，其結(jié)構(gòu)或加密算法等都不錯，但由于受到本國密碼政策的限制，公開的算法對于他們來說幾乎不能保密了，潛在安全隱患極大。比較遺憾的是我國至今還沒有自己研發(fā)成功的較為成熟的算法。

2.體系結(jié)構(gòu)不完整

電子商務(wù)安全以前大都擔(dān)當(dāng)著“救火隊”的角色，頭痛醫(yī)頭，腳痛醫(yī)腳。這種“治標不治本”的做法下，問題總是層出不窮。近年來，人們已經(jīng)開始著手從體系結(jié)構(gòu)來解決問題，應(yīng)當(dāng)說在理論上已取得了明顯的進展，但到實踐運用還需要更大的努力。

3.支持產(chǎn)品不過硬

目前，市場上有關(guān)電子商務(wù)安全的產(chǎn)品數(shù)量不少，但真正通過認證的相當(dāng)少。主要是因為不少安全措施是從網(wǎng)上“移植”來的。另外，不少電子商務(wù)安全技術(shù)的廠商對網(wǎng)絡(luò)技術(shù)很熟悉，但對安全技術(shù)普遍了解得不多，很難開發(fā)出真正實用的、足夠的安全技術(shù)和產(chǎn)品。目前，構(gòu)成我國信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)、硬件、軟件等產(chǎn)品幾乎完全建立在以美國為首的少數(shù)幾個發(fā)達國家的核心信息技術(shù)之上。

4.多種“威脅”紛雜交織、頻頻發(fā)生

電子商務(wù)面臨的安全威脅主要來源于三個方面：一是非人為、自然力造成的數(shù)據(jù)丟失、設(shè)備失效、線路阻斷；二是人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失；三是來自外部和內(nèi)部人員的惡意攻擊和侵入。最后一種是當(dāng)前電子商務(wù)所面臨的最大威脅，極大地影響了電子商務(wù)的順利發(fā)展。因此，它是電子商務(wù)安全對策最需要解決的問題。

“黑客”攻擊電子商務(wù)系統(tǒng)的手段可以大致歸納為以下5種：

（1）中斷：采取破壞硬件、線路或文件系統(tǒng)等，攻擊系統(tǒng)的可用性。

（2）竊?。翰扇〈罹€、電磁竊取和分析業(yè)務(wù)流量等獲取有用情報，攻擊系統(tǒng)的機密性。

（3）篡改：結(jié)合其他手段修改秘密文件或核心內(nèi)容，攻擊內(nèi)容完整性。

（4）偽造：采取偽造假身份注入系統(tǒng)、假冒合法人接入系統(tǒng)、破壞消息的接受和發(fā)送，攻擊系統(tǒng)的真實性。

（5）轟炸：采取施放電子郵件炸彈等，攻擊系統(tǒng)的健壯性。

（二）電子商務(wù)安全的問題

1.網(wǎng)絡(luò)的安全性問題

（1）利用IP欺騙進行攻擊

黑客偽造LAN主機的IP地址，并根據(jù)這個偽造的地址進行不正當(dāng)?shù)拇嫒?。他先使被信任的主機喪失工作能力，同時采用目標主機發(fā)出的TCP序列號，猜測出他的數(shù)據(jù)序列號，然后偽裝成被信任的主機，同時建立起與目標主機基于地址經(jīng)驗的應(yīng)用連接。如果成功，黑客可以進行非授權(quán)操作，偷盜、篡改信息。

（2）捕獲用戶的姓名和口令

黑客通過軟件程序跟蹤檢測軟件，可檢測到用戶的登錄名、密碼，在獲得用戶賬戶的讀寫權(quán)之后，可以對其內(nèi)容胡亂加以修改，毀壞數(shù)據(jù)，甚至輸入病毒，使整個數(shù)據(jù)庫陷于癱瘓。

（3）使用“拒絕服務(wù)”

黑客發(fā)送大量的“請求服務(wù)”指令，使得WEB服務(wù)器或路由器過載而停止服務(wù)，使網(wǎng)絡(luò)處于癱瘓的狀態(tài)。

（4）非法竊聽

黑客通過搭線竊聽，截收線路上傳輸?shù)男畔?，或者彩電磁竊聽，截收無線電傳輸?shù)男畔ⅲ赃M行敲詐等非法活動。

（5）網(wǎng)絡(luò)協(xié)議安全性問題

2.交易中電子合同的法律效力問題以及完整性保密問題

在傳統(tǒng)國際貿(mào)易法中，合同形式要求為書面形式，而電子商務(wù)中的合同是電子合同，與傳統(tǒng)的書面形式存在很大的不同，其法律效力如何取決于法律的有關(guān)規(guī)定。而且，由于電子商務(wù)所依賴的互聯(lián)網(wǎng)平臺本身具有開放性的特點，交易雙方的數(shù)據(jù)如何避免被他人截取和篡改，以保證其完整性和保密性，這都是電子商務(wù)發(fā)展必須面對和解決的問題。

3.交易中的安全性問題

（1）網(wǎng)上詐騙

網(wǎng)上詐騙是世界上第二種最為常見的的投資詐騙形式，它有以下幾種形式：

①親和團體詐騙。利用團體內(nèi)部成員對宗教、種族及專業(yè)性團體進行詐騙。

②不正當(dāng)銷售行為詐騙。向不適宜的投資者推銷、欺騙性報價及市場操縱。

③電話推銷行為詐騙。利用“電話交易所”，強行兜售非法或欺騙性的投資產(chǎn)品。

④高技術(shù)產(chǎn)品服務(wù)詐騙。利用不合法的優(yōu)惠條件來誤導(dǎo)高技術(shù)投資者，許諾高額利潤，對高技術(shù)產(chǎn)品的風(fēng)險輕描淡寫。

⑤提供投資拍電影或其他娛樂產(chǎn)品行騙，欺騙投資者，對投資者隱瞞風(fēng)險。

（2）冒名頂替

這是指盜用他人身份來謀取錢財。他們大多會使用一個假身份來向用戶販賣實際上并不存在的商品，借機獲得用戶的信用卡等信息，然后設(shè)法將用戶的錢取光。

（3）抵賴

在進行網(wǎng)上交易時，交易雙方不見面，互不知道對方的年齡、性別、住址、公司狀況，當(dāng)交易的一方不守信用時，他可能對已經(jīng)實施的操作進行抵賴，或誣陷對方實施了其實沒有實施的操作，這種抵賴往往都是惡意的。如“賣股票500股被改成5 000股，請賠償損失”，其實，對方可能沒改動任何數(shù)字。

三、改善電子商務(wù)安全性問題的技術(shù)措施及建議

（一）利用電子商務(wù)安全技術(shù)改善電子商務(wù)安全

1.采用包過濾路由器

使用包過濾路由器（Router）除了可以完成不同網(wǎng)段間的尋址外，還可以濾除不受歡迎的一些主機的地址和服務(wù)。因為INTERNET/INTRANET的基礎(chǔ)協(xié)議是TCP/IP協(xié)議。網(wǎng)絡(luò)中的每臺機器都有一個唯一的IP地址，通過該地址可以訪問網(wǎng)絡(luò)中的任何一臺機器。除此之外，通信雙方必須有一致的協(xié)議（如FTP、HTTP、Gopher、Telnet等）才能彼此理解所傳送的數(shù)據(jù)包，這些協(xié)議是用機器的端口來標識的，而相應(yīng)的服務(wù)也用端口來表示（如Gopher的端口為70、WWW的端口為80、FTP的端口為20或21），這樣，包過濾路由器就通過IP地址和端口地址以及允許、禁止兩種狀態(tài)來控制網(wǎng)絡(luò)對某個特定主機或服務(wù)的訪問。

2.防火墻技術(shù)

防火墻是近年來發(fā)展的最重要的安全技術(shù)，所謂防火墻就是在內(nèi)部網(wǎng)與外部網(wǎng)之間的界面上構(gòu)造一個保護層并強制所有的連接都必須進過此保護層在進行檢查和連接。只有被授權(quán)的通信才能通過此保護層從而保護內(nèi)部網(wǎng)資源免遭非法入侵。它的主要功能是加強網(wǎng)絡(luò)之間的訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)即被保護網(wǎng)絡(luò)。電子商務(wù)中的防火墻主要是為了防止黑客利用不安全的服務(wù)對傳輸數(shù)據(jù)和信息進行攻擊，阻止未授權(quán)的用戶對信息資源的非法訪問，甚至是對網(wǎng)絡(luò)實施檢查，決定網(wǎng)絡(luò)之間的通信權(quán)限，監(jiān)視網(wǎng)絡(luò)的進行狀態(tài)。

防火墻作為最成熟、最早產(chǎn)品化的網(wǎng)絡(luò)安全機制，其最初的設(shè)計就是防范外部攻擊，改進的防火墻技術(shù)更可有效地控制內(nèi)部和病毒的破壞。在設(shè)計防火墻時必須考慮防火墻的姿態(tài)、機構(gòu)的整體安全策略、費用、基本構(gòu)件和拓撲結(jié)構(gòu)以及維護和管理方案。所有的防火墻設(shè)計都要遵照兩條基本原則：未被允許的必須禁止，未被禁止的均允許。另外，在選擇防火墻的使用時，也要考慮諸多原則，包括網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)應(yīng)用系統(tǒng)需求、用戶及通信流量規(guī)模方面的需求以及可靠性、可用性和易用性等方面的需求。

3.采用防火墻體系

該技術(shù)運行于OSI的應(yīng)用層，因此具有應(yīng)用層的全部信息。由于防火墻的地位十分重要，所以一般采用兩級的安全機制，即第一級由包過濾路由器承擔(dān)，第二級由防火墻承擔(dān)。帶有兩級防線的防火墻主要有以下幾種形式：

（1）單堡壘主機、單路由器、一層網(wǎng)絡(luò)的隔離形式

這種配置的特點是堡壘主機配兩個網(wǎng)絡(luò)接口，外部網(wǎng)絡(luò)接口接受來自包過濾路由器的數(shù)據(jù)，數(shù)據(jù)必須經(jīng)過包過濾路由器的過濾規(guī)則才能轉(zhuǎn)發(fā)給堡壘主機，由于堡壘主機與包過濾路由器之間還有一個網(wǎng)絡(luò)，外界對堡壘主機的非法侵入將更加困難。

（2）分級管理的雙堡壘主機形式

所謂分級管理，是指在第一個堡壘主機與包過濾路由器之間的網(wǎng)絡(luò)中接入一部分機器，將常用的不需保密的低保密級的數(shù)據(jù)放在此層，而把保密級較高的數(shù)據(jù)放在第二級堡壘主機之后，這種配置除具有原單層主機的包過濾及時和堡壘主機的優(yōu)勢外，當(dāng)包過濾機制和第一級堡壘主機均被攻破時，由于第二層堡壘主機采用不同的安全策略，不會造成對堡壘主機的連續(xù)突破，從而保證了內(nèi)部網(wǎng)絡(luò)的安全。目前，這種方案是較高級別的安全方案。

4.采用虛擬專用網(wǎng)（VPN）技術(shù)

VPN是用于Internet交易的一種專用網(wǎng)絡(luò)，它可以在兩個系統(tǒng)之間建立安全的隧道。在VPN中，雙方的數(shù)據(jù)通信量要大得多，而且通信的雙方彼此都很熟悉。這就可以使用復(fù)雜的專用加密和認證技術(shù)，只要通信的雙方默認即可。撥號VPN使用隧道技術(shù)使遠程訪問服務(wù)器把用戶數(shù)據(jù)打包到IP信息包中，這些信息通過電信服務(wù)商的網(wǎng)絡(luò)進行傳遞，在Internet中要穿過不同的網(wǎng)絡(luò)，最后到達隧道終點。然后拆數(shù)據(jù)包，轉(zhuǎn)換成最初的形式。隧道技術(shù)使用點對點通信協(xié)議代替了交換連接，通過路由網(wǎng)絡(luò)來連接路由地址，這代替了電話交換網(wǎng)絡(luò)使用的電話號碼連接，允許授權(quán)移動用戶或已授權(quán)的用戶在任何時間任何地點訪問內(nèi)企業(yè)網(wǎng)絡(luò)。

（二）網(wǎng)上交易中安全問題的解決方法

1.數(shù)字認證

數(shù)字認證是一種新興的安全性解決方法。隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展，基礎(chǔ)設(shè)施的改善，多媒體技術(shù)運用的進一步普及，數(shù)字認證方法正被越來越多地用于網(wǎng)絡(luò)信息的安全傳輸中。在發(fā)送文件時，或在交易信息處理的過程中，通過把影響、聲音等各種證明發(fā)送者身份的數(shù)據(jù)傳送給接收端，可大大加強信息的可靠性，這包括電子數(shù)字簽名、電子信封、電子證書、以數(shù)字方式簽署和電子付款表格等，這種接收方能確認發(fā)送者的真實身份和確保交易信息不被篡改。

2.數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是電子商務(wù)的最基本安全措施。目前技術(shù)條件下，通常加密技術(shù)分為對稱加密和非對稱加密兩大類。

（1）對稱密鑰加密（Private Key）

采用相同的加密算法，并只交換共享的專用密鑰（加密和解密都使用相同的密鑰）。如果進行通信的交易各方能夠確保專用密鑰交換階段未曾發(fā)生泄露，則可以通過對稱加密方法加密信息，及隨報文發(fā)送報文摘要和報文散列值，來保證報文的機密性和完整性。密鑰安全交換是關(guān)系到對稱加密有效性的核心環(huán)節(jié)。

（2）非對稱密鑰加密

不同于對稱加密，非對稱加密的密鑰被分解為：公開密鑰和私有密鑰。密鑰對生成后，公開密鑰以非保密方式對外公開，只對應(yīng)于生成該密鑰的發(fā)布者，私有密鑰則保存在密鑰發(fā)布方手里。任何得到公開密鑰的用戶都可以使用該密鑰加密信息發(fā)送給該公開密鑰的發(fā)布者，而發(fā)布者得到加密信息后，使用與公開密鑰相應(yīng)對的私有密鑰進行解密。目前，常用的非對稱加密算法是有RSA算法。

3.病毒防范技術(shù)

電子商務(wù)系統(tǒng)一方面提高交易效率，另一方面也為計算機病毒的傳播創(chuàng)造了條件。病毒對網(wǎng)絡(luò)交易的順利進行和交易數(shù)據(jù)的妥善保存造成極大的威脅。計算機病毒是指隱藏在計算機數(shù)據(jù)源中，利用系統(tǒng)數(shù)據(jù)源進行繁殖并生成影響計算機正常運行且能通過系統(tǒng)數(shù)據(jù)共享途徑進行傳染的一組計算機指令或程序代碼，主要通過軟盤、硬盤、優(yōu)盤和網(wǎng)絡(luò)渠道傳播，可能導(dǎo)致系統(tǒng)癱瘓甚至完全崩潰的嚴重后果。從事網(wǎng)上交易的企業(yè)和個人都應(yīng)當(dāng)注重病毒防范技術(shù)，排除病毒的干擾。因此，防范計算機病毒，避免計算機系統(tǒng)遭受病毒的侵襲，及時清除計算機病毒將病毒危害降低到最低程度是反病毒技術(shù)刻不容緩的任務(wù)。一般我們要給自己的計算機安裝防病毒軟件，認真執(zhí)行病毒定期清理制度，并設(shè)置控制權(quán)限，通過建立系統(tǒng)保護機制，來預(yù)防、檢測和消除病毒，謹慎打開陌生地址的電子郵件，還要高度警惕網(wǎng)絡(luò)陷阱。

（三）電子商務(wù)安全技術(shù)的實現(xiàn)

1.IDEA數(shù)據(jù)加密算法

IDEA數(shù)據(jù)加密算法是由中國學(xué)者來學(xué)嘉博士和著名的密碼專家James L. Massey于1990年聯(lián)合提出的。它的明文和密文都是64比特，但密鑰成為128比特。IDEA是作為迭代的分組密碼實現(xiàn)的，使用128位的密鑰和8個循環(huán)。這比DES提供了更多的安全性，但是在選擇用于IDEA的密鑰時，應(yīng)該排除哪些稱為“弱密鑰”的密鑰。DES只有四個弱密鑰和12個次弱密鑰，而IDEA中的弱密鑰數(shù)相當(dāng)可觀，有2的51次方個。但是，如果密鑰的總數(shù)非常大，達到2的128次方個，那么仍有2的77次方個密鑰可供選擇。IDEA被認為是極為安全的。使用128位的密鑰，蠻力攻擊中需要進行的測試次數(shù)與DES相比會明顯增大，甚至允許對弱密鑰測試。而且，它本身也顯示了它尤其能抵抗專業(yè)形式的分析性攻擊。

2.用OPEN SSL實現(xiàn)CA認證

（1）SSL（Secure Socket Layer）協(xié)議及其主要技術(shù)

1996年由美國Netscape公司開發(fā)和倡導(dǎo)的SSL協(xié)議，它是目前安全電子商務(wù)交易中使用最多的協(xié)議之一，它被許多世界知名廠商的Intranet和Internet網(wǎng)絡(luò)產(chǎn)品所支持。

SSL應(yīng)用在Client和Server間安全的WebHTTP通信，UEL以開始替代http，并使用443端口進行通信。它主要使用加密機制、數(shù)字簽名、數(shù)字摘要、身份認證、CA技術(shù)提供Client和Server之間的秘密性、完整性、認證性三種基本的安全服務(wù)。

（2）用Open SSL工具實現(xiàn)安全認證

目前，國外主流的電子商務(wù)安全協(xié)議在核心密碼上都有出口限制，只允許40位或56位的RC4和512位的RSA算法出口等。這樣的算法強度引進后無法滿足我國電子商務(wù)實際應(yīng)用當(dāng)中的安全需求。但是，完全自主定義和開發(fā)一套安全標準體系不是一蹴而就的事情，需要人、財、物的長期投入。

在SSL未提供源代碼的情況下，由澳大利亞軟件工程師Eric Young與Tim Hudson聯(lián)合開發(fā)的OPENSSL恰好解決了這一難題。它不僅能實現(xiàn)SSL的所有功能，支持目前所有基于SSL V2/V3和TSL V1的應(yīng)用軟件，而且由于源代碼公開和提供了各種加密算法，完全可以滿足國外安全協(xié)議引進后的本地化改造需求。

下面就用OPENSSL提供的強大功能在FreeBSD平臺下進行手工簽署證書的過程。

①先建立一個CA的證書，首先為CA創(chuàng)建一個RSA私用密鑰：

# OpenSLL genrsa -des3 -out ca.key 1024

該指令中g(shù)enrsa表示生成RSA私有密鑰文件。

-des3表示用DES3加密該文件。

-out ca.key表示生成文件ca.key。

1024是我們的RSA key的長度。

生成server.key的時候會要你輸入一個密碼，這個密鑰用來保護你的ca.key文件，這樣即使人家偷走你的ca.key文件，也打不開。拿不到你的私有密鑰。

運行該指令后系統(tǒng)提示輸入PEM pass phrase，也就是ca.key文件的加密密碼，我們設(shè)為12345678。

②用下列命令查看它的內(nèi)容：

# OpenSSL.rsa -nout -text -in ca.key

該指令中rsa表示對RSA私有密鑰的處理。

-nout表示不打印出key的編碼版本信息。

-text表示打印出私有密鑰的各個組成部分。

-in ca.key表示對ca.key文件的處理。

對RSA算法進行分析可以知道，RSA的私有密鑰其實就是三個字，其中兩個是質(zhì)數(shù)prime numbers。產(chǎn)生RSA私有密鑰的關(guān)鍵就是產(chǎn)生這兩個質(zhì)數(shù)。還有一些其他的參數(shù)，引導(dǎo)著整個私有密鑰產(chǎn)生的過程。

③利用CA的RSA密鑰創(chuàng)建一個自簽署的CA證書

# OpenSSL req -new -x509 -days 365 -key ca.key -out ca.crt

該指令中req用來創(chuàng)建和處理CA證書，它還能夠建立自簽名證書，做Root CA。

-new產(chǎn)生一個新的CSR，他會要輸入創(chuàng)建證書請求CSR的一些必須的信息。

-x509將產(chǎn)生自簽名的證書，一般用來做測試用，或者自己做個Root CA用。

-days 365制定我們自己的CA給人家簽證書的有效期為365天。

-key ca.key指明我們的私有密鑰文件名為ca.key。

-out ca.crt指出輸出的文件名為ca.crt。

執(zhí)行該指令時系統(tǒng)要求用戶輸入一些用戶信息，如下所示：（框內(nèi)為輸入的內(nèi)容）

Using configuration from /etc/ssl/OpenSSL.cnf

Enter PEM pass phrase：12345678

You are about to be asked to enter information that will be incorporated

Into your certificate request.

What you are about to enter is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank.

For some fields there will be a default value，

If you enter ，the field will be left blank.

……

Country Name （2 letter code） [AU]：CN （兩個字母的國家代號）

State or Province Name（full name）[Some-State]：JIANG SU （省份名稱）

Locality Name（eg，city）[]：ZHANGJIAGANG （城市名稱）

Organization Name（eg，company）[Internet Widgits Pry Ltd]：FAMILY NETWORK（公司名稱）

0rganizational Unit Name（eg，section）[]：HOME （部門名稱）

Common Name（eg，YOUR name）[]：TJL （你的姓名）

Email Address [ ]：TJL@WX88．NET （Email地址）

④用下列命令查看生成證書的內(nèi)容：

# OpenSSL x509 -noout -text -in ca.crt

該指令中x509表示證書處理工具。

-noout表示不打印毫key的編碼版本信息。

-text表示以文本方式顯示內(nèi)容。

-in Ca.crt表示對ca.crt文件進行處理

系統(tǒng)顯示證書內(nèi)容為：

Certificate：

Data：

Version：3（Ox2）

Serial Number：0（OxO）

Signature Algorithm：md5WithRSAEncryption

Issuer：C=CN， ST=JIANG SU，L=ZHANGJIAGANG，O=FAMILY NETWORK，OU=HOME，CN=TJL/Emai1=TJL@WX88．NE

Validity

Not Before：Feb 24 14：49：27 2003 GMT

Not After：Feb 2l 14：49：27 2013 GMI

Subject：C=CN，ST=JIANG SU，L=ZHANGJIAGANG，O=FAMILY NETWORK，OU=HOME，CN=TJL/Email=TJL@WX88.NET

Subject Public Key Info：

Public Key Algorithm：rsaEncryption

RSA Public Key：（1024 bit）

ModulUS（1024 bit）：

00：da：20：09：11：19：lf：12：fO：98：Oc：fc：9l：ac：3e：

......

22：el：ea：04：Of：dc：e9：bd：9f

Exponent：65537（Oxt0001）

X509v3 extensions：

X509v3 Subject Key Identifier：

03：BO：14：8C：5D：C6：F8：F4：BO：96：AO：CC：7C：8F：9B：00：BB：78：E6：A6

X509v3 Authority Key Identifier：

keyid：03：BO：14：8C：5D：C6：F8：F4：BO：96：AO：CC：7C：8F：9B：00：BB：78：E6：A6

DirName：/C=CN/ST=JIANG SU/L=ZHANGJIAGANG/0=FAMTLY

NETWORK/0U=HOME/CN=TJL/email=TJL@WX88．NET

serial：00

X509v3 Basic Constraints：

CA：TRUE

Signature Algorithm：md5WithRSAEncryption

8d：e8：46：82：40：b4：18：a2：12：9f：7a：66：e5：fc：Oc：3f：77：5a：

......

04：13

從上面的輸出內(nèi)容可以看出這個證書基本包含了X.509數(shù)字證書的內(nèi)容，從發(fā)行者Issuer和接受者Subject的信息也可以看出是個自簽署的證書。

下面創(chuàng)建服務(wù)器證書簽署請求（使用指令和系統(tǒng)顯示信息基本和以上類似）：

⑤首先為Apache創(chuàng)建一個RSA私用密鑰：

# OpenSSL genrsa -des3 -out server．key 1024

這里也要設(shè)定口令pass phrase，生成server．key文件。

⑥用下列命令查看它昀內(nèi)容：

# OpenSSL rsa -noout -text -in server.key

⑦用server.key生成證書簽署請求CSR：

# OpenSSL req -new -key server．Key -out server．Csr

這里也要輸入一些請求證書的信息，和上面的內(nèi)容類似。

⑧生成證書請求后，下面可以簽署證書了，需要用到Open SSL源代碼中的一個腳本sign．sh，簽署后就可以得到數(shù)字證書server.crt。

# sign.sh server．csr

⑨啟動安全Web服務(wù)

最后在apache服務(wù)器中進行ca認證沒置，拷貝server．crt和server．key到/usr/local/apache/conf

修改httpd.conf將下面的參數(shù)改為：

SSLCertificateFILE/usr/local/apache/conf/server.crt

SSLCertificateKeyFile/usr/local/apache/conf/server.key

可以啟動帶安全連接的Apache試一下了。

#/usr/local/apache/bin/apachectl startssl

提示輸入pass phrase（就是前面為服務(wù)器設(shè)置的口令）

⑩進行安全連接

通過另一臺電腦（IP地址為192.168.0.1）的IE瀏覽器與這臺Apache服務(wù)器（IP地址為192.168.0.2）連接并且選擇https協(xié)議，即：https：//192.168．0．2：443。出現(xiàn)安全連接警告窗口，因為我的服務(wù)器證書是自己手工簽署的，不是經(jīng)過真正的CA頒發(fā)的證書，是個無效證書，所以按確定后如現(xiàn)安全證書無效的警告窗口。按“是” 繼續(xù)，注意這里瀏覽器地址欄內(nèi)輸入的是https而不是http，另外此時在狀態(tài)欄內(nèi)出現(xiàn)了一把小鎖，這說明SSL協(xié)議超作用了，服務(wù)器和瀏覽器之間建立了一個安全連接，這樣我們使用開放源代碼的工具Open SSL來完成了電子商務(wù)的CA認證過程，同時這也只是使用現(xiàn)成的工具來完成的，在實際使用中還要分析它的源代碼，修改源代碼，來達到自己的安全需要。

（四）通過政府的效力加強我國電子商務(wù)的安全系數(shù)

1．對電子商務(wù)進行專門立法

電子商務(wù)是一個新生事物，很多方面不同于傳統(tǒng)商務(wù)，與傳統(tǒng)的法律規(guī)范體系也存在著諸多不相容之處，而且，傳統(tǒng)的法律規(guī)范體系中還有許多電子商務(wù)方面的空白。這一情況已經(jīng)在實踐中引起了不少的問題。

我國的電子商務(wù)是近年才發(fā)展起來的，目前規(guī)范電子商務(wù)相關(guān)的法律法規(guī)極為有限。在法律的層次上只有1997年《中華人民共和國刑法》和1999年《中華人民共和國合同法》對相關(guān)問題作了簡單規(guī)定。例如，我國1997年修訂的《刑法》中增加了關(guān)于計算機犯罪的條文，1999年通過的《合同法》對電子合同的書面形式、生效時間地點等作了規(guī)定。但是，這種規(guī)定太過簡單，遠遠不能滿足電子商務(wù)發(fā)展的需要。例如，對于電子認證的效力、虛假電子認證等重要的問題，我國法律還沒有規(guī)定，這已經(jīng)成為阻礙我國電子商務(wù)發(fā)展的重要問題。

因此，我國應(yīng)大力加強電子商務(wù)法制化建設(shè)，制定專門的《電子商務(wù)法》，對電子商務(wù)當(dāng)事人的權(quán)利義務(wù)、電子合同法律關(guān)系、電子簽名、電子認證、網(wǎng)上知識產(chǎn)權(quán)的保護、電子支付等問題進行專門規(guī)定，使之適應(yīng)電子商務(wù)發(fā)展的需要。在刑法中，對電子商務(wù)領(lǐng)域的犯罪進行規(guī)定。從而在法律上，為電子商務(wù)提供一個良好的發(fā)展環(huán)境。

2.建設(shè)我國的電子商務(wù)認證機構(gòu)體系

電子商務(wù)認證機構(gòu)是電子商務(wù)中的重要部門，其擔(dān)負著維護電子交易安全的責(zé)任。因此，要完善我國的電子商務(wù)安全運營，必須建立我國的電子商務(wù)認證體系。

在目前存在的三種電子商務(wù)認證機構(gòu)模式中，當(dāng)事人自由約定的電子商務(wù)認證體系不適合我國的實際情況。我國電子商務(wù)剛剛發(fā)展起來，不完善的地方很多，很多普通的消費者對電子商務(wù)還不很了解，根本無法在自由約定時，提出對自己有利的條件。而且，在交易雙方的力量對比懸殊的情況下，弱勢一方很難通過談判來取得公平的結(jié)果。再進一步說，這種模式的認證結(jié)果通用性很差，不適合我國剛起步的電子商務(wù)的發(fā)展。

近年來，我國的電子商務(wù)認證機構(gòu)的發(fā)展很快。1999年3月19日，中國人民銀行組織12家商業(yè)銀行共建金融認證中心系統(tǒng)；1999年8月，我國首套擁有自主知識產(chǎn)權(quán)的電子商務(wù)安全認證系統(tǒng)通過了國家密碼管理委員會和信息產(chǎn)業(yè)部組織的技術(shù)鑒定。但另一方面，我國的電子商務(wù)認證系統(tǒng)還遠不成熟，仍有許多需要完善的地方。我們必須對此給予充分的重視，以便為電子商務(wù)的安全發(fā)展提供組織保障。

3.大力推進電子簽名等技術(shù)的發(fā)展，從技術(shù)上為電子商務(wù)提供安全保障

電子商務(wù)的產(chǎn)生、發(fā)展是科技發(fā)展的結(jié)果，其安全運營也要依靠技術(shù)給予的保障。因此，為加強電子商務(wù)的安全性，我們必須大力推進科技的發(fā)展，使技術(shù)滿足電子商務(wù)的安全運營要求。在電子商務(wù)中廣泛使用的電子簽名，就涉及許多復(fù)雜的技術(shù)問題。為使電子簽名具有與傳統(tǒng)簽名相同的法律效力，我們必須使電子簽名具有像手寫簽名那樣的獨特性。這一問題的解決，需要技術(shù)發(fā)展才能實現(xiàn)。

目前，解決電子簽名效力的途徑主要有：

（1）修改法律或者進行法律解釋，使簽名涵蓋電子簽名。但對于何種電子簽名才具有法律效力，立法要兼顧技術(shù)中立、開放與安全，使之適應(yīng)技術(shù)發(fā)展的需要。

（2）電子商務(wù)的當(dāng)事人在合同中約定電子簽名方法及效力。

（3）依靠技術(shù)進步，這是最根本的方法。技術(shù)安全、成本低廉的電子簽名方式是電子商務(wù)安全的有力保障。

收稿日期：2011-07-05

作者簡介：路橋（1974-），男，遼寧新民人，碩士，講師，從事計算機應(yīng)用與網(wǎng)絡(luò)經(jīng)濟研究。

參考文獻：

[1] 張小兵.我國電子商務(wù)發(fā)展現(xiàn)狀及存在問題與對策[J].商業(yè)研究，2004，（2）.

[2] 徐偉.電子商務(wù)網(wǎng)上支付的安全保障問題[D].合肥：合肥聯(lián)合大學(xué)，2008，3.

[3] 高媛，歐陽志明，石曉軍.電子商務(wù)[M].北京：企業(yè)管理出版社，2005.

[4] 包曉聞，張海堂.電子商務(wù)——21世紀世界商務(wù)發(fā)展的潮流[M].北京：經(jīng)濟科學(xué)出版社，2008.

[5] 韓寶明.電子商務(wù)安全與支付[M].北京：人民郵電出版社，2009.

[6] 閆心麗.淺析電子商務(wù)安全[J].內(nèi)蒙古電大學(xué)刊，2005，（5）.

[7] 祁明.電子商務(wù)安全與保密[M].北京：高等教育出版社，2005.

Study on the electronic commerce safety

LU Qiao

(North-east finance and economy university，Dalian116023，China)

Abstract: Electronic commerce is the use of computer network of commercial activities. In recent years， with the technological development， net shopping， \"\" electronic wallet \"come into fashion， but safety is always impact of e-commerce development of key factors.The security threat of each party's interests， the customer and doubts on the deal， even affect the success of the further development of e-commerce.

Key words: electronic commerce; safety; online transactions

[責(zé)任編輯海 川]