淺談電子商務(wù)中的安全題目．

摘要：電子商務(wù)的安全題目是電子商務(wù)的核心題目。本文分析了電子商務(wù)中存在的安全隱患，及其對安全性的要求，并闡述目前解決電子商務(wù)安全的主要技術(shù)及相關(guān)措施。
　　關(guān)鍵詞：電子商務(wù)；安全措施；探討

　　
　　1 引言
　　
　　電子商務(wù)是通過電子方式處理和傳遞數(shù)據(jù)，它涉及很多方面的活動，包括貨物電子貿(mào)易和服務(wù)、在線數(shù)據(jù)傳遞、電子資金劃拔、電子證券交易、貿(mào)易拍賣、合作設(shè)計和工程、在線資料、公***品獲得等內(nèi)容。電子商務(wù)的發(fā)展勢頭非常驚人，但它的產(chǎn)值在全球生產(chǎn)總值中卻只占極小的份額，其原因就在于電子商務(wù)的安全題目，根據(jù)美國一個調(diào)查機構(gòu)對近30000名因特網(wǎng)用戶的調(diào)查顯示，由于擔(dān)心電子商務(wù)的安全性題目，超過60%的網(wǎng)民不愿意進行網(wǎng)上交易， 因此，如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護，已經(jīng)成為影響到電子商務(wù)健康發(fā)展的關(guān)鍵性課題。
　　
　　2 電子商務(wù)對安全的要求
　　
　　對電子商務(wù)活動安全性的需求以及可使用的網(wǎng)絡(luò)安全措施，主要包含如下幾方面。
　　(1)如何確定通訊中的貿(mào)易伙伴的真實性？常用的處理技術(shù)是身份認(rèn)證，依靠某個可信賴的機構(gòu)發(fā)放證書，雙方交換信息之前通過CA獲取對方的證書，并以此識別對方。
　　(2)如何保證電子單證的秘密性，防范電子單證的內(nèi)容被第三方讀取?常用的處理技術(shù)是數(shù)據(jù)加密和解密。
　　(3)如何保證被傳輸?shù)臉I(yè)務(wù)單證不會丟失，或者發(fā)送方可以察覺所發(fā)單證的丟失?對于固定且具有頻繁貿(mào)易往來的伙伴，可以采用單證傳輸?shù)男蛄行詸z驗；也可采用雙方約定的方法（即在規(guī)定的時間內(nèi)，通過某種方式進行確認(rèn)）。
　　(4)如何確定電子單證的內(nèi)容未被篡改；單證傳輸完整性主要采用散列技術(shù)來防止非法用戶對單證的篡改，通過散列算法對被傳輸?shù)膯巫C進行處理，產(chǎn)生一個依靠于該單證的短小的散列值，并將該散列值附接在單證之后傳輸給接收方。以便接收方采用相同的散列算法對接收的單證進行檢驗。
　　(5)如何確定電子單證的真實性？鑒別單證真實性的主要手段是數(shù)字簽名技術(shù)，其基礎(chǔ)是數(shù)據(jù)加密中的公然密鑰加密技術(shù)，實用中常結(jié)合單證完整性一起考慮，利用發(fā)送方的密鑰對散列值進行加密。
　　(6)如何解決或者仲裁收發(fā)雙方對交換的單證所產(chǎn)生的爭議，包括發(fā)方或收方可能的否認(rèn)或抵賴?通常要求引進認(rèn)證中心進行治理，由CA發(fā)放密鑰，傳輸?shù)膯巫C及其簽名的備份發(fā)至CA保存，作為可能爭議的仲裁依據(jù)。
　　(7)如何保證存儲信息的安全性?如何規(guī)范內(nèi)部治理？如何使用訪問控制權(quán)限和日志以及敏感信息加密存儲?當(dāng)使用WWW服務(wù)器支持電子商務(wù)活動時，應(yīng)留意數(shù)據(jù)的備份和恢復(fù)，并采用防火墻技術(shù)來保護內(nèi)部網(wǎng)絡(luò)的安全性。
　　
　　3 電子商務(wù)采用的主要安全技術(shù)
　　
　　為了確保電子商務(wù)在交易過程中信息有效、真實、可靠且保密，目前主要采用的安全技術(shù)有加密技術(shù)、身份認(rèn)證技術(shù)和交易的安全認(rèn)證協(xié)議。安全認(rèn)證協(xié)議用來保證電子商務(wù)中交易的安全性，如set、ssl、s/mime、s-http等。下面我們主要來先容這些技術(shù)。
　　3.1 加密技術(shù)
　　加密技術(shù)是電子商務(wù)系統(tǒng)所采取的最基本的安全措施，加密的主要目的是防止信息的非授權(quán)泄漏。密碼算法是一些數(shù)學(xué)公式、法則或程序，算法中的可變參數(shù)是密鑰。根據(jù)密碼算法所使用的加密密鑰和解密密鑰是否相同，能否由加密密鑰推導(dǎo)出解密密鑰，可以將密碼算法分為對稱密碼算法和非對稱密碼算法。一般來說，在一個加密系統(tǒng)中，信息使用加密密鑰加密后，接收方使用解密密鑰對密文解密得到原文。
　　3.1.1 對稱加密/對稱密鑰加密
　　在對稱加密方法中，對信息的加密和解密都使用相同的密鑰，即一把鑰匙開一把鎖。這樣可以簡化加密的處理，每個交易方都不必彼此研究和交換專用的加密算法。假如進行通訊的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄漏，那么機密性和報文完整性就可以得以保證。這樣密鑰安全交換是關(guān)系到對稱加密有效的核心環(huán)節(jié)。而對稱加密技術(shù)存在著在通訊的交易各方之間確保密鑰安全交換的題目。對稱加密方式存在的另一個題目是無法鑒別貿(mào)易發(fā)起方或貿(mào)易終極方。由于貿(mào)易雙方共享同一把專用密鑰，貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。目前常用的對稱加密算法有DES、PCR、IDEA等。其中DES使用最普遍，被采用為數(shù)據(jù)加密的標(biāo)準(zhǔn)。
　　3.1.2 非對稱加密/公然密鑰加密
　　在非對稱加密體系中,密鑰被分解為一對(即一把公然密鑰或加密密鑰和一把私有密鑰或解密密鑰)。密鑰對天生后，公然密鑰以非保密方式對外公然，只對應(yīng)于天生該密鑰的發(fā)布者；私有密鑰則保存在密鑰發(fā)布方手中。任何得到公然密鑰的用戶都可使用該密鑰加密信息發(fā)送給該公然密鑰的發(fā)布者，而發(fā)布者得到加密信息后，使用與公然密鑰相應(yīng)對的私有密鑰進行解密。由此可知，公然密鑰用于對機密性的加密，私有密鑰則用于對加密信息的解密。目前常用的非對稱加密算法是RSA算法。它是非對稱加密領(lǐng)域內(nèi)最為著名的算法，但是它存在的主要題目是算法的運算速度較慢，并且也難以做到一次一密。因此，在實際的應(yīng)用中通常不采用這一算法對信息量大的信息進行加密。對于加密量大的應(yīng)用，公然密鑰加密算法通常用于對稱加密方法密鑰的加密。
　　3.2 身份認(rèn)證技術(shù)
　　身份認(rèn)證技術(shù)保證電子商務(wù)安全不可缺少的又一重要技術(shù)手段。常見的安全認(rèn)證技術(shù)有數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時間戳、數(shù)字證書等技術(shù)。
　　3.2.1 數(shù)字摘要
　　數(shù)字摘要是一種防止數(shù)據(jù)被改動的方法，它采用單向HASH函數(shù)將需要加密的文件中若干重要元素進行某種變換運算得到固定長度的摘要碼，并在傳輸信息時將之加進文件一同送給接收方，接收方收到文件后，用相同的方法進行變換運算，若得到的結(jié)果與發(fā)送來的摘要碼相同，則可斷定文件未被篡改，反之亦然。在數(shù)字摘要中HASH函數(shù)的輸進可以是任意大小的文件消息，而輸出是一個固定長度的摘要。且摘要有這樣一個性質(zhì)，假如改變了輸進消息中的任何東西，甚至只有一位，輸出的摘要將會發(fā)生不可猜測的改變，故而常用數(shù)字摘要來判定信息是否被篡改的一項重要技術(shù)。
　　3.2.2 數(shù)字信封
　　在大批數(shù)據(jù)加密中所使用的對稱密碼是隨機產(chǎn)生的，而接收方也需要此密碼才能對消息進行正確的解密。對稱密鑰的傳遞需要加密進行，即發(fā)送方用接收方的公鑰加密此對稱密鑰。這樣只有接收方用自己的私鑰才能正確地解密此對稱密鑰，從而正確地解密消息。這種加密傳送密鑰的方法稱為數(shù)字信封。數(shù)字信封技術(shù)可以保證接收方的唯一性。即使信息在傳送途中被監(jiān)聽或截獲，由干第三方并沒有接收方的密鑰，也不能對信息進行正確的解密。
　　3.2.3 數(shù)字簽名
　　數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別與驗證，保證報文的完整性、權(quán)威性和發(fā)送者對所發(fā)報文的不可抵賴性。在實際生活中，簽名通常采用書面形式，由甲乙雙方完成，在網(wǎng)絡(luò)環(huán)境下，可以用電子簽名作為模擬。
　　數(shù)字簽名是將數(shù)字摘要和公鑰算法兩種加密方法結(jié)合起來使用，其可以在提供數(shù)據(jù)完整性的同時保證數(shù)據(jù)的真實性。完整性保證傳輸?shù)臄?shù)據(jù)未被篡改，真屬性則保證傳輸過來的數(shù)據(jù)是由正當(dāng)者產(chǎn)生的，而不是由其他人假冒。如假設(shè)用戶A要寄信給用戶B，他們互相知道對方的公鑰，A用自己的私鑰將簽名內(nèi)容加密，附加在郵件中，再用B的公鑰將整個郵件加密（留意這里的次序，假如先加密再簽名的話，別人可以將簽名往掉后簽上自己的簽名，從而篡改了簽名）。這樣這份密文被B收到后，B用自己的私鑰將郵件解密，得到A的原文和數(shù)字簽名，然后用A的公鑰解密簽名，這樣一來就保兩方面的安全了。
　3.2.4 數(shù)字時間戳
　　在電子商務(wù)的交易文件中，時間是一條重要的信息，文件的簽署日期和簽名一樣均是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。為了防止在電子交易中，文件簽署的時間信息被修改，數(shù)字時間戳提供了相應(yīng)的安全保護。數(shù)字時間戳服務(wù)（DTS）是由專門的機構(gòu)提供的。數(shù)字時間戳是一個經(jīng)加密處理后形成的憑證文檔，它包括三個部分：需加時間戳的文件摘要；DTS機構(gòu)收到文件的日期和時間；DTS機構(gòu)的數(shù)字簽名。
　　3.2.5 數(shù)字證書
　　數(shù)字證書是由證書授權(quán)中心CA治理和發(fā)放的。CA是數(shù)字證書的最高治理機構(gòu)，是安全電子交易的核心環(huán)節(jié)。它作為電子商務(wù)交易中中立的、受信任的、可仲裁的第三方，也是為了解決電子商務(wù)中，交易雙方的信息和身份驗證題目，從根本上保障電子商務(wù)交易活動順利進行而設(shè)立的。在交易支付的過程中，參與各方為了證實自己的身份，需到第三方即認(rèn)證中心（CA）往認(rèn)證。數(shù)字證書就是認(rèn)證中心為交易各方頒發(fā)的身份憑證。它是一個經(jīng)CA數(shù)字簽名的、包含證書申請者（公然密鑰擁有者）個人信息及其公然密鑰的文件。任何交易雙方只有申請到相應(yīng)的數(shù)字證書，才能參加安全電子商務(wù)的網(wǎng)上交易。
　　3.3 安全認(rèn)證協(xié)議
　　目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用，即安全套接層SSL協(xié)議和安全電子交易SET協(xié)議。
　　3.3.1 SSL協(xié)議
　　SSL安全協(xié)議的中文全稱是“加密套接字協(xié)議層”，最初由Netscape公司推出的一種基于RSA和保密密鑰的安全通訊協(xié)議，是目前使用最廣泛的電子商務(wù)協(xié)議。該協(xié)議位于HTTP協(xié)議層和TCP協(xié)議層之間，向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序，提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。該協(xié)議在應(yīng)用程序進行數(shù)據(jù)交換前，通過交換SSL初始握手信息來實現(xiàn)有關(guān)安全特性的審查。SSL協(xié)議可內(nèi)置于用戶瀏覽器和商家的服務(wù)器中，能方便而低開銷地進行信息加密，多用于WEB信用卡的傳送。這樣利用它能夠?qū)π庞每ê蛡�人信息提供較強的保護。
　　SSL協(xié)議運行的基點是商家對客戶信息保密的承諾�？蛻舻男畔⑼�往首先傳到商家，商家閱讀后再傳到銀行；這樣，客戶資料的安全性便受到威脅。另外，整個過程只有商家對客戶的認(rèn)證，缺少客戶對商家的認(rèn)證，不能防止商家利用獲取的信用卡號進行欺詐。隨著電子商務(wù)與廠商的迅速增加，對廠商的認(rèn)證題目越來越突出，SSL協(xié)議的缺點則越加明顯。SSL協(xié)議逐漸被新的SET協(xié)議所取代。
　　3.3.2 SET 協(xié)議
　　SET協(xié)議的中文全稱“安全電子交易協(xié)議”，它向基于信用卡進行電子化交易的應(yīng)用提供了實現(xiàn)安全措施的規(guī)則。它是由Vsia國際組織 和Mastercard組織聯(lián)合國際上多家科技機構(gòu)，共同制定的應(yīng)用于INTERNET上的以銀行卡為基礎(chǔ)進行在線交易的安全技術(shù)標(biāo)準(zhǔn)。它采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)，主要應(yīng)用于保障網(wǎng)上購物信息的安全性。SET主要由3個文件組成,分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。SET協(xié)議在保存對客戶信用卡認(rèn)證的條件下，又增加了對商家身份的認(rèn)證。它可以對交易各方進行認(rèn)證，可防止商家身份的欺詐。為了進一步加強安全性，使用兩組密鑰對分別用于加密和簽名，通過雙簽名機制將訂購信息同賬戶信息鏈在一起簽名。由于設(shè)計較為公道，得到了諸如微軟公司、IBM公司、Netscape公司等至公司的支持，已成為實際上產(chǎn)業(yè)技術(shù)標(biāo)準(zhǔn)。
　　SET協(xié)議的不足之處在于協(xié)議復(fù)雜，且只適用于用戶安裝了“電子錢包”的場合。根據(jù)統(tǒng)計，在一個典型的SET交易過程中，需驗證數(shù)字證書9次，驗證數(shù)字簽名6次；需傳送證書7次，進行5次簽名、4次對稱加密和4次非對稱加密；整個交易過程可能會花費1.5～2分鐘。
　　
　　4 電子商務(wù)安全需要進一步完善的配套措施
　　
　　電子商務(wù)要真正成為一種主導(dǎo)的商務(wù)模式，尤其對發(fā)展中的中國來說，發(fā)展電子商務(wù)，就必須從以下幾個方面來完善配套措施：
　　(1)突破關(guān)鍵技術(shù)受制于人的瓶頸。當(dāng)前不僅國內(nèi)幾乎所有的主機、交換機、路由器、網(wǎng)絡(luò)操縱系統(tǒng)都來自國外，而且美國對出口別國的產(chǎn)品實行密鑰信前控制和長密鑰限制，因此我們必須依靠自身的氣力研制自己的加密算法，以保證中國電子商務(wù)的正常發(fā)展。
　　(2)我國應(yīng)盡快對電子商務(wù)的有關(guān)細(xì)則進行立法。當(dāng)前大多數(shù)人信息安全意識淡薄，以銀行和金融界來看，大家對安全方面的重視還不夠，由于有關(guān)電子商務(wù)的立法和治理剛剛開始，有人開玩笑說“電子商務(wù)目前是個‘三無’行業(yè)：無法可依、無安全可言、無規(guī)可循”，當(dāng)然這種說法欠妥，但目前我國關(guān)于網(wǎng)絡(luò)安全的法律的確還有待完善。
　　(3)大力開發(fā)大型商務(wù)網(wǎng)站、發(fā)展與之相配套的物流公司。目前我國的電子商務(wù)沒有真正深進商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域，這必將影響我國電子商務(wù)進一步的發(fā)展。
　　參考文獻：
　　[1]周明,黃元江,李建設(shè).株洲工學(xué)院學(xué)報[J].電子商務(wù)中的安全技術(shù)研究,2005.1.
　　[2]張娟.甘肅科技縱橫[M].電子商務(wù)網(wǎng)絡(luò)安全技術(shù)探究,2005.4.
　　[3]趙乃真.電子商務(wù)技術(shù)與應(yīng)用[M].中國鐵道出版社,2003.
　　[4]謝丹夏.電子與信息化[M].電子商務(wù)中的安全技術(shù).
　　[5]常連定,趙剛. 科技情報開發(fā)與經(jīng)濟[M].我國電子商務(wù)發(fā)展存在的題目及應(yīng)對策略,2005.10.

【淺談電子商務(wù)中的安全題目．】相關(guān)文章：

淺談安全技術(shù)在電子商務(wù)中的應(yīng)用03-27

電子商務(wù)安全題目及策略03-20

淺談電子商務(wù)在鋼鐵物流中的應(yīng)用12-09

電子商務(wù)中數(shù)據(jù)挖掘方法淺談03-01

淺談電子商務(wù)中的中介組織03-21

淺談勞動合同中的若干題目03-22

淺談電子商務(wù)系統(tǒng)開發(fā)過程中的安全設(shè)計03-01

中國電子商務(wù)發(fā)展中的題目與對策03-22

淺談技工院校中電子商務(wù)專業(yè)的建設(shè)03-26