淺談電子商務(wù)的安全

摘要：本文主要從概念上闡述了電子商務(wù)安全性的相關(guān)問題，分析了電子商務(wù)對安全環(huán)境的要求，同時給出了當前常用的相對應(yīng)的技術(shù)方法。為電子商務(wù)的建立給出了基礎(chǔ)概念上的理解。

關(guān)鍵詞：電子商務(wù) 安全需求 安全技術(shù) 安全協(xié)議

電子商務(wù)通常被分為狹義的電子商務(wù)和廣義的電子商務(wù)。狹義的電子商務(wù)為Electronic Commerce（EC），是指通過使用互聯(lián)網(wǎng)等電子工具在全球范圍內(nèi)進行的商務(wù)貿(mào)易活動。是以計算機網(wǎng)絡(luò)為基礎(chǔ)所進行的各種商務(wù)活動，包括商品和服務(wù)的提供者、廣告商、消費者、中介商等有關(guān)各方行為的總和。廣義的電子商務(wù)為Electronic Business（EB），是指通過電子手段進行的商業(yè)事務(wù)活動。通過使用互聯(lián)網(wǎng)等電子工具，使公司內(nèi)部、供應(yīng)商、客戶和合作伙伴之間，利用電子業(yè)務(wù)共享信息，實現(xiàn)企業(yè)間業(yè)務(wù)流程的電子化，配合企業(yè)內(nèi)部的電子化生產(chǎn)管理系統(tǒng)，提高企業(yè)的生產(chǎn)、庫存、流通和資金等各個環(huán)節(jié)的效率。EC的概念集中于電子交易，EB的涵蓋范圍則大了很多。而人們一般提到的電子商務(wù)是指狹義上的電子商務(wù)。無論廣義還是狹義的電子商務(wù)概念，電子商務(wù)都離不開互聯(lián)網(wǎng)這個平臺。電子商務(wù)的存在和發(fā)展是以網(wǎng)絡(luò)技術(shù)為前提。電子商務(wù)系統(tǒng)的構(gòu)建、運行及維護都離不開技術(shù)的支持，而安全成為電子商務(wù)平臺首先需要解決的問題。

電子商務(wù)幾個主要的安全需求及其對應(yīng)的常用技術(shù)：

①真實性、有效性。真實性、有效性是指能對信息的真實性、有效性進行鑒別。EC作為一種貿(mào)易形式，其信息的真實性、有效性將直接關(guān)系到個人、企業(yè)和國家的經(jīng)濟利益和聲譽。保證信息的真實性、有效性成了EC的前提。因此，要對EC過程中的潛在威脅加以控制和防范，保障信息在確定的時刻、確定的地點是有效的。

②可靠性、不可抵賴性及鑒別。如何確定對方正是交易所期望的一方，這一問題是保證EC順利進行的關(guān)鍵。在電子化的EC方式下，通過傳統(tǒng)方法鑒別是不可能的。因此，要在交易信息的傳輸過程中為參與交易的雙方或多方提供可靠的標識。

針對以上兩點，目前常見的安全技術(shù)是數(shù)字簽名和數(shù)字證書。

數(shù)字簽名是加密技術(shù)的一類應(yīng)用，可以防止他人對傳輸文件進行破壞，以及確定發(fā)信人的身份。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別，保證數(shù)據(jù)的可靠性和不可抵賴性。數(shù)字簽名與書面文件簽名具有相同功效，它代表了文件的特征。如果文件發(fā)生改變，數(shù)字簽名也將發(fā)生變化，不同的文件將得到不同的數(shù)字簽名。接收方通過比對數(shù)字簽名來確定發(fā)送方的身份是否正確。

數(shù)字證書。在電子商務(wù)活動中，調(diào)用每項服務(wù)時需要用戶證實身份，同時也需要這些服務(wù)器向客戶證實他們自己的身份，而保障身份平安的最有效技術(shù)就是PKI技術(shù)。

CA認證技術(shù)是PKI技術(shù)中的一部分，也是目前國內(nèi)應(yīng)用最廣泛的一種認證技術(shù)。CA（Certification Authorty）是一個確保信任度的權(quán)威實體，主要職責是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)用戶電子身份證書，任何相信該CA的人，按照第三方信任原則，都應(yīng)當相信持有該證書的用戶。CA也采取一系列相應(yīng)的辦法來防止電子證書被偽造或篡改。CA的靈活性也是它能迅速得到市場認可的一個關(guān)鍵，它不需要支持任何通用的國際標準，并能很好地和其他廠家的CA兼容。

③機密性。機密性是指保證信息不會泄漏給非授權(quán)方。EC作為一種貿(mào)易手段，其信息屬于商業(yè)機密。網(wǎng)絡(luò)交易必須保證發(fā)送者和接受者之間交換信息的私密。而EC是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上（Internet上尤其如此），因此，維護商業(yè)機密是EC全面推廣應(yīng)用的重要保障，必須預防非法的信息存取和信息在傳輸過程中被非法竊取。

④數(shù)據(jù)的完整性。數(shù)據(jù)的完整性即防止數(shù)據(jù)非授權(quán)的輸入、修改、刪除或破壞，保證數(shù)據(jù)的一致性。數(shù)據(jù)的完整性將影響各方的交易和經(jīng)營策略，保持數(shù)據(jù)的完整性是EC的基礎(chǔ)，人為的錯誤或數(shù)據(jù)傳輸過程中的數(shù)據(jù)丟失、數(shù)據(jù)重發(fā)或數(shù)據(jù)傳送次序變化都會導致交易各方數(shù)據(jù)不同。因此，要預防對數(shù)據(jù)的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中的錯誤、重復信息并保證數(shù)據(jù)傳送次序的統(tǒng)一。

針對以上兩點，目前常見的技術(shù)有以下幾種：

防火墻。網(wǎng)絡(luò)防火墻作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間最基本的安全屏障，早已被廣泛應(yīng)用。目前防火墻的常見技術(shù)有兩種：包過濾和代理。包過濾是根據(jù)事先設(shè)定好的規(guī)則，對通過的每一個數(shù)據(jù)包進行檢測，并且只允許符合規(guī)則的數(shù)據(jù)通過。這種技術(shù)可以對防火墻兩端的數(shù)據(jù)流通規(guī)則進行靈活有效的設(shè)置。既能夠阻止外部的非法訪問，也可以阻止內(nèi)部數(shù)據(jù)的非法流出，極大提高了自身數(shù)據(jù)的安全性。此技術(shù)有兩個基本準則：一是未被允許的就是禁止的；二是未被禁止的就是允許的。基于這兩種準則，防火墻可以根據(jù)需要對數(shù)據(jù)流進行逐項檢測，然后根據(jù)設(shè)置采取不同的響應(yīng)動作。代理是另一種防火墻技術(shù)，它通常是運行在一臺主機上的軟件。運行代理軟件的主機被稱為代理服務(wù)器。代理服務(wù)器一般需要與路由器協(xié)同工作，路由器負責將所有的應(yīng)用請求傳送給代理服務(wù)器。代理服務(wù)器根據(jù)自身安裝的代理程序?qū)γ糠N應(yīng)用進行相應(yīng)的處理。代理服務(wù)實際上是一種中介，它隔絕了內(nèi)外網(wǎng)之間的直接通信，所有數(shù)據(jù)通信都必須經(jīng)過代理服務(wù)器處理后轉(zhuǎn)發(fā)。代理服務(wù)通過這種方式，實現(xiàn)對數(shù)據(jù)流的監(jiān)控。在實際應(yīng)用中，我們往往綜合使用這兩種技術(shù)。此外現(xiàn)在還出現(xiàn)了一種地址遷移式防火墻。這種防火墻的起源主要是為了解決上網(wǎng)人數(shù)越來越多，而IPv4地址日益缺乏的矛盾。通過對有限的公網(wǎng)地址和內(nèi)部局域網(wǎng)地址的相互映射，來使得即便只有有限的公網(wǎng)地址資源，也可以保證無限的用戶可以連接網(wǎng)絡(luò)。地址遷移式防火墻實際上融合了分組過濾和應(yīng)用代理的設(shè)計思想，不僅能夠?qū)崿F(xiàn)地址的相互轉(zhuǎn)換，也可以實現(xiàn)包過濾和代理服務(wù)的功能。這種防火墻已經(jīng)成為現(xiàn)在實際應(yīng)用的主流。

加密技術(shù)。加密分為對稱加密體系和非對稱加密體系。加密技術(shù)解決了傳送數(shù)據(jù)的保密問題。兩種加密各有所長，對稱密鑰加密效率高，但密鑰分發(fā)困難、管理不便；非對稱密鑰加密速度慢，但便于分發(fā)管理。我們通常把兩者結(jié)合使用，以達到高效平安的目的。

電子商務(wù)安全協(xié)議。目前在電子商務(wù)中主要的安全協(xié)議有兩種：應(yīng)用層的SET（安全電子交易）和會話層SSL（平安套層）協(xié)議。

SET向基于信用卡進行電子化交易的應(yīng)用提供了實現(xiàn)安全措施的規(guī)則。是一個通過開放網(wǎng)絡(luò)（包括Internet）進行安全資金支付的技術(shù)標準。SET已成為事實上的工業(yè)標準，已獲得IETF標準的認可。

SET的主要目標是：

①保證數(shù)據(jù)傳輸過程的安全性。

②實現(xiàn)定單信息和個人帳號信息的隔離。

③交易雙方相互認證，確定身份的正確性。這一般由第三方機構(gòu)完成，為交易雙方提供信用擔保。

④用統(tǒng)一的協(xié)議和格式實現(xiàn)良好的兼容，使不同用戶的軟件能夠相互兼容和互操作，并且能夠運行在不同的硬件環(huán)境和操作系統(tǒng)上。

SSL協(xié)議由網(wǎng)景公司推出，對計算機之間整個會話進行加密，能夠?qū)π庞每ê蛡€人信息提供較強的保護。目前已成為事實上的工業(yè)標準。

SSL是一個基于傳輸層的安全協(xié)議，在此基礎(chǔ)上可加載任何高層應(yīng)用協(xié)議，可以為各種C/S模式產(chǎn)品提供安全傳輸服務(wù)。SSL協(xié)議會產(chǎn)生一個被稱為握手信息的數(shù)據(jù)包，在進行真正的數(shù)據(jù)交換之前，SSL先交換初始握手信息來對相關(guān)的安全特性進行審查。這種握手信息通過數(shù)字簽名和數(shù)字證書來實現(xiàn)客戶和服務(wù)器雙方身份的驗證，采用加密技術(shù)對數(shù)據(jù)進行加密保護，保證數(shù)據(jù)的保密性和完整性。

除此之外常見的網(wǎng)絡(luò)安全協(xié)議還有PCT和S-HTTP。PCT（專用通信技術(shù)）是微軟公司和Visa機構(gòu)共同研究制定的，該協(xié)議只是對SSL進行少量的改進。S-HTTP（安全的超文本傳輸協(xié)議）協(xié)議主要針對于互聯(lián)網(wǎng)，它可以看做是HTTP協(xié)議的一種升級版。S-HTTP基于SSL技術(shù)，向互聯(lián)網(wǎng)的應(yīng)用提供鑒別、不可抵賴性、機密性和完整性等安全措施。

電子商務(wù)這種新興的商業(yè)運作模式，已經(jīng)推動著全球經(jīng)濟的快速發(fā)展。而商務(wù)信息的安全始終是電子商務(wù)的核心。隨著電子商務(wù)的發(fā)展，電子商務(wù)的安全技術(shù)也將不斷發(fā)展、進步和完善。商務(wù)的發(fā)展沒有盡頭，而技術(shù)的發(fā)展也沒有盡頭。

參考文獻：

[1]（美）埃弗雷姆.特白思戴維.金，杰李等著，王理平，張曉峰譯.電子商務(wù)-管理新視角（第2版）[M].電子工業(yè)出版社，2005年9月.

[2]楊堅爭著.電子商務(wù)基礎(chǔ)與應(yīng)用（第五版）[M].西安電子科技大學出版社，2007年7月.

[3]陳兵主編.網(wǎng)絡(luò)安全與電子商務(wù)[M].北京：北京大學出版社，2002.1.

[4]何長領(lǐng)主編.電子商務(wù)交易[M].北京：人民郵電出版社，2001.

[5]張愛菊主編.電子商務(wù)安全技術(shù)[M].北京：清華大學出版社，2006.12.