淺談電子商務(wù)交易中的網(wǎng)絡(luò)安全技術(shù)

唐思均 李彪 李瑋

摘要：本文分析了當(dāng)前電子商務(wù)面臨的安全問(wèn)題，介紹利用網(wǎng)絡(luò)安全技術(shù)解決安全問(wèn)題的方法。其中闡述數(shù)據(jù)加密技術(shù)、身份識(shí)別技術(shù)、智能化防火墻技術(shù)。

關(guān)鍵詞：電子商務(wù)；計(jì)算機(jī)；網(wǎng)絡(luò)安全

一、電子商務(wù)網(wǎng)絡(luò)的安全隱患

1.計(jì)算機(jī)電腦病毒。隨著互聯(lián)網(wǎng)的發(fā)展，病毒利用互聯(lián)網(wǎng)，傳播速度大大加快，它侵入網(wǎng)絡(luò)，破壞資源，成為了電子商務(wù)中計(jì)算機(jī)網(wǎng)絡(luò)的嚴(yán)重安全威脅。

2.竊取信息。在電子商務(wù)中主要表現(xiàn)為交易信息的泄漏，主要包括兩個(gè)方面：交易雙方進(jìn)行交易的內(nèi)容被第三方竊??；交易一方提供給另<優(yōu)麥電子商務(wù)論文>一方使用的文件被第三方非法使用。

3.竄改資料。電子商務(wù)交易非常重視信息的真實(shí)性和完整性的問(wèn)題。交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^(guò)程中，可能被他人非法修改、刪除或重改，這樣就使信息失去了真實(shí)性和完整性。

4.假冒。通過(guò)假冒交易平臺(tái)，用有利的條件吸引用戶到平臺(tái)進(jìn)行消費(fèi)，騙取支付款項(xiàng)。由于在虛擬的網(wǎng)絡(luò)平臺(tái)，用戶一般難以判斷

二、電子商務(wù)交易中的網(wǎng)絡(luò)安全技術(shù)

1.電子商務(wù)交易中的安全措施

在早期的電子交易中，曾采用過(guò)一些簡(jiǎn)易的安全措施，包括：部分告知（Partial Order）：即在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)如信用卡號(hào)碼及成交數(shù)額等略去，然后再用電話告之，以防泄密。另行確認(rèn)（Order Confirmation）：即當(dāng)在網(wǎng)上傳輸交易信息后，再用電子郵件對(duì)交易做確認(rèn)，才認(rèn)為有效。此外還有其它一些方法，這些方法均有一定的局限性，且操作麻煩，不能實(shí)現(xiàn)真正的安全可靠性。

2.主要的協(xié)議標(biāo)準(zhǔn)有：

近年來(lái)，針對(duì)電子交易安全的要求，IT業(yè)界與金融行業(yè)一起，推出不少有效的安全交易標(biāo)準(zhǔn)和技術(shù)。

安全超文本傳輸協(xié)議（S-HTTP）：依靠密鑰對(duì)的加密，保障Web站點(diǎn)間的交易信息傳輸?shù)陌踩浴?/p>

安全套接層協(xié)議（SSL）：由Netscape公司提出的安全交易協(xié)議，提供加密、認(rèn)證服務(wù)和報(bào)文的完整性。SSL被用于Netscape Communicator和Microsoft IE瀏覽器，以完成需要的安全交易操作。

安全交易技術(shù)協(xié)議（STT，Secure Transaction Technology）：由Microsoft公司提出，STT將認(rèn)證和解密在瀏覽器中分離開(kāi)，用以提高安全控制能力。Microsoft在Internet Explorer中采用這一技術(shù)。

安全電子交易協(xié)議（SET，Secure Electronic Transaction）

1996年6月，由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標(biāo)準(zhǔn)SET發(fā)布公告，并于1997年5月底發(fā)布了SET Specification Version 1.0，它涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認(rèn)證、數(shù)據(jù)簽名等。

3.主要的安全技術(shù)有：

虛擬專用網(wǎng)（VPN）：這是用于Internet交易的一種專用網(wǎng)絡(luò)，它可以在兩個(gè)系統(tǒng)之間建立安全的信道（或隧道），用于電子數(shù)據(jù)交換（EDI）。

數(shù)字認(rèn)證：數(shù)字認(rèn)證可用電子方式證明信息發(fā)送者和接收者的身份、文件的完整性（如一個(gè)發(fā)票未被修改過(guò)），甚至數(shù)據(jù)媒體的有效性（如錄音、照片等）。隨著商家在電子商務(wù)中越來(lái)越多地使用加密技術(shù)，人們都希望有一個(gè)可信的第三方，以便對(duì)有關(guān)數(shù)據(jù)進(jìn)行數(shù)字認(rèn)證。

目前，數(shù)字認(rèn)證一般都通過(guò)單向Hash函數(shù)來(lái)實(shí)現(xiàn)，它可以驗(yàn)證交易雙方數(shù)據(jù)的完整性，Java JDK1.1也能夠支持幾種單向Hash算法。另外，S/MIME協(xié)議已經(jīng)有了很大的進(jìn)展，可以被集成到產(chǎn)品中，以便用戶能夠?qū)νㄟ^(guò)Email發(fā)送的信息進(jìn)行簽名和認(rèn)證。同時(shí)，商家也可以使用PGP（Pretty Good Privacy）技術(shù)，它允許利用可信的第三方對(duì)密鑰進(jìn)行控制。可見(jiàn)，數(shù)字認(rèn)證技術(shù)將具有廣闊的應(yīng)用前景，它將直接影響電子商務(wù)的發(fā)展。

加密技術(shù)：保證電子商務(wù)安全的最重要的一點(diǎn)就是使用加密技術(shù)對(duì)敏感的信息進(jìn)行加密?，F(xiàn)在，一些專用密鑰加密（如3DES、IDEA、RC4和RC5）和公鑰加密（如RSA、SEEK、PGP和EU）可用來(lái)保證電子商務(wù)的保密性、完整性、真實(shí)性和非否認(rèn)服務(wù)。然而，這些技術(shù)的廣泛使用卻不是一件容易的事情。

電子商務(wù)認(rèn)證中心（CA，Certificate Authority）：實(shí)行網(wǎng)上安全支付是順利開(kāi)展電子商務(wù)的前提，建立安全的認(rèn)證中心（CA）則是電子商務(wù)的中心環(huán)節(jié)。建立CA的目的是加強(qiáng)數(shù)字證書和密鑰的管理工作，增強(qiáng)網(wǎng)上交易各方的相互信任，提高網(wǎng)上購(gòu)物和網(wǎng)上交易的安全，控制交易的風(fēng)險(xiǎn)，從而推動(dòng)電子商務(wù)的發(fā)展。

為了推動(dòng)電子商務(wù)的發(fā)展，首先是要確定網(wǎng)上參與交易的各方（例如持卡消費(fèi)戶、商戶、收單銀行的支付網(wǎng)關(guān)等）的身份，相應(yīng)的數(shù)字證書（DC：Digital Certificate）就是代表他們身份的，數(shù)字證書是由權(quán)威的、公正的認(rèn)證機(jī)構(gòu)管理的。各級(jí)認(rèn)證機(jī)構(gòu)按照根認(rèn)證中心（Root CA）、品牌認(rèn)證中心（Brand CA）以及持卡人、商戶或收單銀行（Acquirer）的支付網(wǎng)關(guān)認(rèn)證中心（Holder Card CA，Merchant CA 或 Payment Gateway CA）由上而下按層次結(jié)構(gòu)建立的。

電子商務(wù)安全認(rèn)證中心（CA）的基本功能是：生成和保管符合安全認(rèn)證協(xié)議要求的公共和私有密鑰、數(shù)字證書及其數(shù)字簽名。對(duì)數(shù)字證書和數(shù)字簽名進(jìn)行驗(yàn)證。對(duì)數(shù)字證書進(jìn)行管理，重點(diǎn)是證書的撤消管理，同時(shí)追求實(shí)施自動(dòng)管理（非手工管理）。建立應(yīng)用接口，特別是支付接口。CA是否具有支付接口是能否支持電子商務(wù)的關(guān)鍵。

第一代CA是由SETCO公司（由Visa & MasterCard組建）建立的，以SET協(xié)議為基礎(chǔ)，服務(wù)于BC電子商務(wù)模式的層次性結(jié)構(gòu)。

由于BB電子商務(wù)模式的發(fā)展，要求CA的支付接口能夠兼容支持BB與BC的模式，即同時(shí)支持網(wǎng)上購(gòu)物、網(wǎng)上銀行、網(wǎng)上交易與供應(yīng)鏈管理等職能，要求安全認(rèn)證協(xié)議透明、簡(jiǎn)單、成熟（即標(biāo)準(zhǔn)化），這樣就產(chǎn)生了以公鑰基礎(chǔ)設(shè)施（PKI）為技術(shù)基礎(chǔ)的平面與層次結(jié)構(gòu)混合型的第二代CA體系。

建立在PKI技術(shù)基礎(chǔ)上的第二代安全認(rèn)證體系與支付應(yīng)用接口所使用的主要標(biāo)準(zhǔn)有：由Internet特別工作組頒發(fā)的標(biāo)準(zhǔn)：LDAP（輕型目錄訪問(wèn)協(xié)議）、S/MIME（安全電子郵件協(xié)議）、TLC（傳輸層安全套接層傳輸協(xié)議）、CAT（通用認(rèn)證技術(shù)，Common Authentication Technology）和GSS-API（通用安全服務(wù)接口）等。

由國(guó)際標(biāo)準(zhǔn)化組織（ISO）或國(guó)際電信聯(lián)盟（ITU）批準(zhǔn)頒發(fā)的標(biāo)準(zhǔn)為9594-8/X.509（數(shù)字證書格式標(biāo)準(zhǔn)）。

三、結(jié)束語(yǔ)

電子商務(wù)安全對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)安全提出了雙重要求，其復(fù)雜程度比大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)都高。在電子商務(wù)的建設(shè)過(guò)程中涉及到許多安全技術(shù)問(wèn)題，制定安全技術(shù)規(guī)則和實(shí)施安全技術(shù)手段不僅可以推動(dòng)安全技術(shù)的發(fā)展，同時(shí)也促進(jìn)安全的電子商務(wù)體系的形成。