張航

（廣州涉外經(jīng)濟職業(yè)技術(shù)學(xué)院，廣東 廣州 510520）

隨著網(wǎng)絡(luò)科技以及計算技術(shù)的迅猛發(fā)展，人們在網(wǎng)絡(luò)的基礎(chǔ)之上逐漸建立了一種商業(yè)運行模式，即電子商務(wù)。廣義上的電子商務(wù)是指在網(wǎng)絡(luò)通訊以及計算機的基礎(chǔ)之上，利用相應(yīng)的電子工具所從事的商業(yè)活動過程；而狹義上的電子商務(wù)是指利用Web所提供的網(wǎng)絡(luò)來進行商業(yè)交易。而目前，電子商務(wù)也已經(jīng)日趨完善和成熟，尤其是伴隨著全球經(jīng)濟的一體化快速發(fā)展，電子商務(wù)已經(jīng)在世界范圍內(nèi)得到了廣泛的應(yīng)用。電子商務(wù)既能像傳統(tǒng)商務(wù)一樣方便、可靠和具有安全的服務(wù)，同時又具有其獨特的優(yōu)勢：極大的提高了通訊速度；可以全天候服務(wù)；具有交互式的銷售渠道；降低了交易成本；提高了服務(wù)質(zhì)量；可提供完整的產(chǎn)品信息等。

由于電子商務(wù)是一個十分復(fù)雜的系統(tǒng)工程，其過程的實現(xiàn)需要解決眾多的社會問題以及技術(shù)問題。而電子商務(wù)安全則成為了眾多技術(shù)中的關(guān)鍵，以及世界關(guān)注和研究的熱點。本文主要論述了電子商務(wù)的安全體系結(jié)構(gòu)，電子商務(wù)中常用的幾種安全技術(shù)以及電子商務(wù)的安全協(xié)議。

1 電子商務(wù)的安全體系結(jié)構(gòu)

根據(jù)電子商務(wù)的功能層次進行體系劃分，可以將其分為網(wǎng)上商業(yè)活動（客戶和服務(wù)商通過網(wǎng)絡(luò)進行的活動）；電子商務(wù)應(yīng)用系統(tǒng)（將商務(wù)活動的所有相關(guān)數(shù)據(jù)處理成商務(wù)活動可以識別的數(shù)據(jù)）；應(yīng)用系統(tǒng)的支持系統(tǒng)（為應(yīng)用系統(tǒng)提供所需要的數(shù)據(jù)庫和文檔等）；網(wǎng)絡(luò)平臺（提供電子商務(wù)所需要的數(shù)據(jù)）。

電子商務(wù)系統(tǒng)可以作為一個中樞系統(tǒng)將服務(wù)商、客戶以及銀行有機的聯(lián)系在一起，從而實現(xiàn)具體的操作。因此，電子商務(wù)的系統(tǒng)應(yīng)該是由服務(wù)商的服務(wù)器（由服務(wù)商端代理、數(shù)據(jù)庫管理系統(tǒng)以及web服務(wù)器系統(tǒng)等眾多部分組成），銀行（銀行代理、數(shù)據(jù)庫管理系統(tǒng)等）以及客戶（主要是利用因特網(wǎng)與商戶、銀行進行商務(wù)交易）。

而作為實現(xiàn)電子商務(wù)順利進行的關(guān)鍵環(huán)節(jié)——電子商務(wù)的安全體系結(jié)構(gòu)發(fā)揮著重要的作用。上面提到的銀行、客戶以及服務(wù)商都是安全體系的組成部分，而且它們都需要安全代理服務(wù)器。同時，為了更好的維持各個組分之間安全性的相互一致，通常安全體系還包括CA認證系統(tǒng)。CA認證系統(tǒng)遵守相同的協(xié)議，可以進行協(xié)調(diào)工作，并可以保證電子交易過程中數(shù)據(jù)的完整性、保密性以及確定性等。

除了CA認證系統(tǒng)之外，在電子商務(wù)中還存在不同層次的安全機制。用戶在使用網(wǎng)絡(luò)進行商務(wù)交易時，首先應(yīng)該具有身份認證、消息認證和安全操作協(xié)議等的需求。在進行電子商務(wù)交易的過程中，必須對有關(guān)的數(shù)據(jù)進行加密、認證等處理。

2 電子商務(wù)中常用的幾種安全技術(shù)

首先，加密技術(shù)。這是一種電子商務(wù)中采用最為廣泛的方法，其主要的目的是為了能夠保證秘密數(shù)據(jù)不被外泄，以及有效的提高電子商務(wù)系統(tǒng)數(shù)據(jù)的安全性和保密性。通?？梢詫⒓用芗夹g(shù)分為對稱加密和不對稱加密兩類：（1）對稱加密：指的是對信息的加密以及解密過程都使用相同的密鑰，也被稱為密鑰加密。在交易的過程中雙方采用相同的算法，并只交換專用的密鑰。在此前提下，密鑰的安全交換是對稱加密有效進行的關(guān)鍵環(huán)節(jié)。目前，最為常用的對稱加密算法包括DES（DataEncryption Standard是使用最為廣泛的）、IDEA、3DES、RC4等。（2） 非對稱加密：每一個通訊實體擁有一對密鑰，通常使用其中一個進行加密，另一個進行解密。目前，RSA(RivestShamir Adleman)算法是一種最為常用的非對稱加密算法。

其次，安全認證技術(shù)。這是一種有效的防止信息被篡改、刪除、重放和偽造的方法，它可以對已發(fā)送的消息進行驗證，以便接受者能夠辨別信息的真假。而認證的實現(xiàn)過程主要包括數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時間戳和認證中心等技術(shù)。（1）數(shù)字摘 要：通常使用SHA算法，將需要加密的數(shù)據(jù)“摘要”成一定長度的密文。需要注意的是該密文和明文具有相同的摘要。所以，利用數(shù)字摘要可以保證數(shù)據(jù)的有效性以及完整性。（2）數(shù)字信封：該技術(shù)主要的是體現(xiàn)的是保密性，其工作原理是使用HASH函數(shù)將對稱密鑰進行加密，在此基礎(chǔ)上對密鑰進行公鑰加密，將其和加密數(shù)據(jù)一起發(fā)送給接受者。（3）數(shù)字簽名：主要應(yīng)用于身份認證、數(shù)據(jù)完整性等方面。是對非對稱加密和數(shù)字摘要技術(shù)的綜合應(yīng)用。（4）數(shù)字時間戳：在電子商務(wù)過程中，需要對交易的文件和時間信息進行適當?shù)陌踩用艽胧?，而?shù)字時間戳服務(wù)(DTS)則是專門用于對電子文件發(fā)表時間進行安全保護的。（5）數(shù)字憑證：目前常用的數(shù)字憑證包括個人憑證、企業(yè)憑證以及軟件憑證。其工作的原理就是應(yīng)用電子手段來驗證某一個用戶的身份以及對于某個網(wǎng)絡(luò)的訪問權(quán)限等。（6）認證中心(CA，Certificate Authorities)：認證中心是作為第三方的一個權(quán)威性和公正性的認證機構(gòu)，其主要職責是發(fā)放數(shù)字時間戳服務(wù)(DTS)和數(shù)字憑證(Digital ID)。（7）智能卡：智能卡是一種嵌入微處理芯片和存儲器集成電路卡，可以對數(shù)據(jù)進行加密和解密。在電子商務(wù)中，智能卡具有以下幾點優(yōu)勢：增加了私有密鑰和電子證書的安全性；可以進行個人密碼的設(shè)置；可以減輕客戶端系統(tǒng)的負擔等。

3 電子商務(wù)的安全交易協(xié)議

電子商務(wù)除了必須具備相應(yīng)的各種安全控制技術(shù)之外，還必須具有一套完善的安全交易協(xié)議。目前，我國常用的安全協(xié)議主要包括：一是安全電子交易協(xié)議（SET）。其主要是為了解決用戶、商家和銀行之間的交易而設(shè)計的，目的是能夠確保支付信息的保密性，過程的完整性，尤其是商戶和用戶的合法身份；二是安全套接層協(xié)議（SSL）。主要包括服務(wù)器認證、SSL鏈路上數(shù)據(jù)的完整性以及保密性。在點對點之間的信息傳輸中有著廣泛的應(yīng)用，但是在實際的應(yīng)用中建議使用“SSL+表單簽名”模式，以保證電子商務(wù)交易的安全性；三是安全交易技術(shù)協(xié)議(STT)。該技術(shù)將解密和認證公開在網(wǎng)頁中，以有效的提高安全控制力；四是安全超文本傳輸協(xié)議(HTTPS)。HTTPS是基于提供保密、認證以及完整性等服務(wù)，以確保在網(wǎng)頁上交換的媒體文本。

[1]林維達，劉桂蘭.計算機安全與計算機病毒[J].微型機與應(yīng)用，1998.

[2]梁晉，等.電子商務(wù)核心技術(shù)-安全電子交易協(xié)議的理論與設(shè)計[M].西安:西安電子科技大學(xué)出版社，2000，8.

[3]覃征，謝國彤.商務(wù)體系結(jié)構(gòu)及系統(tǒng)設(shè)計[M].西安：西安交通大學(xué)出版社，2001.

[4]唐禮勇，陳鐘.電子商務(wù)技術(shù)及其安全問題[J].計算機工程與應(yīng)用，2000，36(7):18～22.

[5]王少鋒，王克宏.電子商務(wù)技術(shù)的發(fā)展與研究 [J].計算機工程與應(yīng)用，2000，36(4):36～38.