电子商务安全的技术分析

 随着网络技术的飞速发展，特别是Internet的不断普及，人们的消费观念和生活方式都发生了巨大的变化，人们做许多事情都会首先考虑到借助网络来完成，网络采购和交易便是其形式之一，因而产生了电子商务（Electronic Commerce），并在世界范围内掀起了电子商务的热潮。
 电子商务是互联网应用的重要趋势之一，也是国际金融贸易中越来越重要的经营模式之一，以后会逐渐地成为我们经济生活中一个重要的部分，它的发展给人们的工作和生活带来了新的尝试和前所未有的便利性，但它并没有像人们想象的那样普及和深入，其中一个很重要的原因就是电子商务的安全性，它成为阻碍电子商务发展的瓶颈。美国密执安大学一个调查机构通过对23000名因特网用户的调查显示，超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。任何个人、企业或商业机构以及银行都不会通过一个不安全的网络进行商务交易，这样会导致商业机密信息或个人隐私的泄漏，从而导致巨大的利益损失。所以，研究和分析电子商务安全技术，成为目前发展电子商务的关键。
一、电子商务的安全需要
 电子商务面临威胁的出现导致了对电子商务安全的需求，也是真正实现一个安全电子商务系统所要求做到的各个方面，主要包括机密性、完整性、认证性和不可抵赖性。
1、有效性
 电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
2、机密性
 电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
3、完整性
 电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
4、不可抵赖性
 电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证电子商务顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的"白纸黑字"。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
二、安全电子交易SET
 SET是保证B2C电子商务联机支付安全的一种技术。它是Visa、MasterCard及一些主要计算机厂商共同制定的用于网上安全支付的基础设施。该协议与1997年6月1日正式发布，是国际通用的网上支付标准。
1、SET的主要目标
信息在Internet上安全传输，保证网上传输的数据不被黑客窃取；定单信息和个人帐号信息的隔离，当包含持卡人帐号信息的定单送到商家时，商家只能看到定货信息，而看不到持卡人的帐户信息；持卡人和商家相互认证，以确定通信双方的身份，一般由第三方机构负责为在线通信双方提供信用担保；要求软件遵循相同协议和报文格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。
 2、SET的联机购物和支付过程
 （1）持卡人首先必须取得数字钱包软件。消费者可通过金融机构提供的通用浏览器，从若干经授权的的卖主里联机地获得可激活SET的数字钱包软件。持卡人的数字钱包软件可同商户的SET软件通信，自动核实商户的数字证书，检验商户与可信赖的金融机构间的关系是否有效。
 （2）持卡人要取得数字证书。持卡人要向金融机构申请数字证书。VISA向发卡银行提供数字证书，此后发卡行就可向其持卡人提供数字证书。在支付交易时。在交易支付信息前，持卡人和商户双方的SET软件要相互核实对方的数字证书。
 （3）持卡人通过Internet与商户进行购物对话。当持卡人完成了浏览、选择并决定定购物品时，商户向持卡人发送一份带有商户证书的订货表，持卡人可简单的地选择欲使用的支付卡，然后持卡人的电子钱包软件自动发送相关的证书提出订货请求。
 （4）授权和结算处理。商户安全地接收到定单和支付信息后，通过Internet经支付网关或商户的金融机构，进入金融专用网络，向持卡人的金融机构发出支付授权请求，一旦得到授权，商户就批准这笔交易。清算和结算的处理过程，与在金融专用网中所做的银行卡交易处理过程相同。整个电子交易过程数秒钟内就可完成。
 3、SET的认证
 （1）证书。SET中主要的证书是持卡人证书和商家证书。持卡人证书是支付卡的一种电子化的表示。持卡人证书不包括帐号和终止日期信息，而是用单向哈希算法根据帐号和截止日期生成的一个码，如果知道帐号、截止日期、密码值即可导出这个码值，反之不行。商家证书就像是贴在商家收款台小窗上的付款卡贴画，以表示它可以用什么卡来结算。在SET环境中，一个商家至少应有一对证书，与一个银行打交道；一个商家也可以有多对证书，表示它与多个银行有合作关系，可以接受多种付款方法。除了持卡人证书和商家证书以外，还有支付网关证书、银行证书、发卡机构证书。
 （2）CA。持卡人可从公开媒体上获得商家的公开密钥，但持卡人无法确定商家不是冒充的，于是持卡人请求CA对商家认证。CA对商家进行调查、验证和鉴别后，将包含商家公开密钥的证书经过数字签名传给持卡人。同样，商家也可对持卡人进行验证。
 CA的主要功能包括：接收注册请求，处理、批准/拒绝请求，颁发证书。在实际运作中，CA也可由大家都信任的一方担当，例如在客户、商家、银行三角关系中，客户使用的是由某个银行发的卡，而商家又与此银行有业务关系(有帐号)。在此情况下，客户和商家都信任该银行，可由该银行担当CA角色，接收、处理客户证书和商家证书的验证请求。（3）证书的树形验证结构。在双方通信时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，则可验证CA的身份，依次类推，一直到公认的权威CA处，就可确信证书的有效性。每一个证书与签发证书的实体的签名证书关联。SET证书正是通过信任层次来逐级验证的。例如，C的证书是由B的CA签发的，而B的证书又是由A的CA签发的，A是权威的机构，通常称为根CA。验证到了根CA处，就可确信C的证书是合法的。
三、电子商务需要的安全技术与产品
 目前，国内市场需要较大的网络安全产品还是防火墙，从国内外采购的数量来看，防火墙均居于首位的；其次是通信保密设备；第三是现在电子商务里面应用最多的客户机服务器中的安全模式；第四是局域网或广域网上的安全技术；第五是web安全技术；第六是灾难恢复技术，从银行和金融界的一些情况看，大家对这方面的重视还不够，普遍的电子商务网站对灾难恢复考虑得都不是很好，这也是迫切需要的。
四、电子商务安全技术未来的发展
　　电子商务是一个机遇和挑战共存的新领域，这种挑战不仅来源于传统的习惯、来源于计划体制和市场体制的冲突、更来源于对可使用的安全技术的信赖。总之，用户对电子商务活动安全性的需求，以及可使用的网络安全措施，主要包括在如下几方面：
　　1、判定通信中的贸易伙伴的真实性
　　常用的处理技术是身份认证，依赖某个可信赖的机构发放证书，双方交换信息之前获取对方的证书，并以此识别对方；安全电子交易规范为在Internet上进行安全的电子商务提供了一个开放的标准。
　　2、保证电子单证的秘密性，防范电子单证的内容被第三方读取
 常用处理技术是数据加密和解密，包括对称密钥加密技术和非对称密钥加密技术，单证传输的安全性依赖于使用的算法和密钥长度。规范内部管理，使用访问控制权限和日志，以及敏感信息的加密存储等。当使用WWW服务器支持电子商务活动时，应注意数据的备份和恢复，并采用防火墙技术保护内部网络的安全性。
 随着电子商务的发展，安全问题更加重要和突出，要想解决好这个问题，必须由安全技术和标准作保障。安全是一个“相对的”词汇，电子商务的发展促使对安全技术进行不断探索研究和开发应用，以建立一个安全的商务环境。这里介绍的安全技术是电子商务应用中主要涉及的技术，还有一些安全技术尚未列出。要保证电子商务安全可靠，首先要明确它的安全隐患、安全等级和采用安全措施的代价，再选择相应的安全措施。电子商务应用的安全方案已逐步形成，电子商务时代即将到来。
参考文献
1、李广建：《电子商务技术》，XX师范大学继续教育与教师培训学院，2005年4月
2、张卓其、史明坤：《网上支付与网上金融服务》，东北财经大学出版社，2002年5月

相关论文