導(dǎo)語：電子商務(wù)及其安全技術(shù)(1)一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著因特網(wǎng)的飛速發(fā)展，電子商務(wù)正得到越來越廣泛的應(yīng)用。電子商務(wù)的安全性是影響其成敗的一個關(guān)鍵因素。本文首先討論了電子商務(wù)應(yīng)用中所存在的問題，繼而對電子商務(wù)的安全性技術(shù)進(jìn)行了分析。最后，對中國電子商務(wù)未來的發(fā)展進(jìn)行了探討并提出了一些建議。

關(guān)鍵詞：電子商務(wù)在線支付安全性安全套接層協(xié)議安全電子交易協(xié)議

1引言

Internet給整個社會帶來了巨大的變革，成為驅(qū)動所有產(chǎn)業(yè)發(fā)展的動力。電子商務(wù)是在Internet開放環(huán)境下的一種新型的商業(yè)運營模式，是網(wǎng)絡(luò)技術(shù)應(yīng)用的全新發(fā)展方向。在此首先對電子商務(wù)中存在的問題及其安全性技術(shù)加以分析，然后對中國電子商務(wù)未來的發(fā)展提出了一些建議，以使更多的人士關(guān)注電子商務(wù)技術(shù)，盡快解決現(xiàn)存的問題，推動電子商務(wù)的發(fā)展。

2電子商務(wù)及其存在的問題

電子商務(wù)是指利用簡單快捷低成本的電子通訊方式，使買賣雙方進(jìn)行各種商貿(mào)活動的新型貿(mào)易形式。它改變了傳統(tǒng)貿(mào)易形式，不僅改變了企業(yè)本身的生產(chǎn)、經(jīng)營、管理活動，而且將導(dǎo)致人類經(jīng)濟(jì)、社會和文化的一次新的革命。但目前電子商務(wù)的發(fā)展中還存在許多問題：

1）安全協(xié)議問題：對安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范，相對制約了國際性的商務(wù)活動。

2）安全管理問題：在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

3）電子商務(wù)沒有真正深入商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域。

4）技術(shù)人才短缺問題：電子商務(wù)是在近幾年才得到了迅猛發(fā)展，許多地方都缺乏足夠的技術(shù)人才來處理所遇到的各種問題。不少電子商務(wù)的開發(fā)商對網(wǎng)絡(luò)技術(shù)很熟悉，但是對安全技術(shù)了解得偏少，因而難以開發(fā)出真正實用的、安全性的產(chǎn)品。

5）法律問題：電子交易衍生了一系列法律問題，例如網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問題，急需為電子商務(wù)提供法律保障。

6）稅收問題：電子商務(wù)的發(fā)展在促進(jìn)貿(mào)易增加稅收的同時又對稅收制度及其管理手段提出了新要求。

3電子商務(wù)中的安全性技術(shù)

安全性技術(shù)是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素，也是目前大家十分關(guān)注的問題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性，但現(xiàn)在幾乎網(wǎng)絡(luò)的各個層次都制訂了安全協(xié)議和具備了相應(yīng)的安全技術(shù)，以保證電子商務(wù)的安全性。

3.1安全的網(wǎng)絡(luò)平臺

安全可靠的網(wǎng)絡(luò)是實現(xiàn)電子商務(wù)的基礎(chǔ)，常用的方法是在網(wǎng)絡(luò)中采用防火墻技術(shù)，虛擬專用網(wǎng)（VPN）技術(shù)，防病毒保護(hù)等。防火墻技術(shù)是通過IP過濾和服務(wù)器軟件方法保護(hù)企業(yè)內(nèi)部網(wǎng)(Intranet)中數(shù)據(jù)，只有授權(quán)用戶才能獲準(zhǔn)進(jìn)入企業(yè)內(nèi)部網(wǎng)的系統(tǒng)。虛擬專用網(wǎng)（VPN）技術(shù)通過IP隧道等方法來保證企業(yè)協(xié)作網(wǎng)（Extranet）中企業(yè)間數(shù)據(jù)和企業(yè)內(nèi)部網(wǎng)的遠(yuǎn)程分支機構(gòu)和外出職工對中央系統(tǒng)的遠(yuǎn)程訪問數(shù)據(jù)的安全傳遞。單純依靠這些方法保護(hù)網(wǎng)絡(luò)的安全性是不夠的，還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務(wù)基石，例如現(xiàn)在的加密技術(shù)、數(shù)字簽名技術(shù)、電子認(rèn)證技術(shù)等。

3.2在線支付的安全技術(shù)

電子商務(wù)的另一個關(guān)鍵問題是要保證在線支付的安全，它是網(wǎng)上購物的重要保證。目前采用的在線支付協(xié)議有兩種：安全套接層SSL（SecureSocketsLayer）協(xié)議和安全電子交易SET（SecureElectronicTransaction）協(xié)議。

3.2.1SSL協(xié)議

SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證，數(shù)字證書是從認(rèn)證機構(gòu)（CertificateAuthority，CA）獲得的，通常包含有唯一標(biāo)識證書所有者的名稱、唯一標(biāo)識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后，雙方就可以用保密密鑰進(jìn)行安全的會話了。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如HTTP、FTP、TELNET等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL協(xié)議握手流程由兩個階段組成：服務(wù)器認(rèn)證和用戶認(rèn)證。

1）服務(wù)器認(rèn)證

客戶端向服務(wù)器發(fā)送一個“Hello”信息，以便開始一個新的會話連接；服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務(wù)器在響應(yīng)客戶的“Hello”信息時將包含生成主密鑰所需的信息；客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。這樣通過主密鑰引出的密鑰對一系列數(shù)據(jù)進(jìn)行加密來認(rèn)證服務(wù)器，從而建立安全的通信通道。

2）用戶認(rèn)證

經(jīng)認(rèn)證的服務(wù)器發(fā)送一個提問給客戶，客戶則返回數(shù)字簽名后的提問和其公開密鑰，從而向服務(wù)器提供認(rèn)證。

SSL協(xié)議支持各種加密算法，實現(xiàn)簡單，獨立于應(yīng)用層協(xié)議，且被大部分瀏覽器和Web服務(wù)器內(nèi)置，便于在電子交易中應(yīng)用。但SSL是一個面向連接的協(xié)議，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，在涉及多方的電子交易中，SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系，為此，Mastercard和Visa共同在網(wǎng)絡(luò)應(yīng)用層開發(fā)了SET協(xié)議。

3.2.2SET協(xié)議

SET協(xié)議是一個能保證通過開放網(wǎng)絡(luò)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)。它采用的技術(shù)包括，對稱密鑰加密、公共密鑰加密、哈希算法、數(shù)字簽名技術(shù)以及公共密鑰授權(quán)機制等。

SET使訂單信息和信用卡信息的隔離。在把包含信用卡號碼信息的訂單送到商家時，商家只能看到訂單信息，卻看不到信用卡號碼信息，并且需要持卡人和商家相互認(rèn)證，確定通信雙方身份，一般由認(rèn)證中心為雙方提供信用擔(dān)保。

整個電子支付的過程包括：瀏覽、購買、付款合法性驗證以及獲取付款等過程。信用卡持卡客戶通過瀏覽器從商家的商品目錄尋找所需商品，他擁有支付網(wǎng)關(guān)交換密鑰的私人密鑰，可以發(fā)送初始化請求給商家；商家收到客戶的初始化請求后，為請求報文分配一個唯一的交易標(biāo)識號，并用商家的私人密鑰進(jìn)行數(shù)字簽名，然后將初始化響應(yīng)報文與商家和支付網(wǎng)關(guān)的證書一起傳給客戶；客戶收到該初始化響應(yīng)后，驗證商家和支付網(wǎng)關(guān)的證書，確認(rèn)商家和支付網(wǎng)關(guān)的身份，再根據(jù)商家的公開密鑰確認(rèn)初始化響應(yīng)中的商家簽名；然后，客戶產(chǎn)生訂單信息（OrderingInformation）和支付命令（PaymentInstruction），用私人密鑰對訂單信息和支付命令進(jìn)行雙重簽名；并產(chǎn)生一個隨機的對稱密鑰，用它對雙重簽名后的支付命令加密，然后再用支付網(wǎng)關(guān)交換密鑰的公開密鑰（publickey-exchangekey）對客戶帳號和對稱密鑰加密；客戶將加密后的訂單信息和支付命令發(fā)給商家；商家確認(rèn)客戶證書，用客戶的公開密鑰對訂單信息上的雙重簽名解密，以確保訂單在傳輸過程中無誤，并且其中的簽名是客戶的；然后，商家處理訂單信息請求，將支付命令傳給支付網(wǎng)關(guān)并請求授權(quán)，同時還產(chǎn)生一個包括商家的簽名證書和指明客戶的訂單已被接收等信息的購買響應(yīng)報文，并對該報文數(shù)字簽名后發(fā)給客戶；客戶用商家的公開密鑰來證實購買響應(yīng)上的簽名是商家的，并保存收到的購買響應(yīng)。如果交易被授權(quán)，商家將執(zhí)行訂單上規(guī)定的送貨等服務(wù)。商家使用訂貨單，要求支付網(wǎng)關(guān)付款。

SET定義了一個完備的電子交易流程，較好地解決了電子交易中各方間復(fù)雜的信任關(guān)系和安全連接，確保了電子交易中信息的真實性、保密性、防抵賴性和不可更改性。但由于SET協(xié)議龐大而又復(fù)雜，銀行、商家和客戶均需改造才能實現(xiàn)互操作，使得SET協(xié)議被普遍使用還需有一個過程。在我國，大多尚處在對SSL協(xié)議的應(yīng)用上，要完全實現(xiàn)SET協(xié)議安全支付還要有一個過程。

3.3其它安全問題

對于電子商務(wù)的安全性來講，有了防火墻與安全協(xié)議和規(guī)范還不夠，一方面，網(wǎng)絡(luò)本身的物理差錯是難以避免的；另一方面，Internet主干網(wǎng)和DNS服務(wù)器的可靠性，撥號連接質(zhì)量與速度還不能滿足人們的需求；另外，惡意代碼對網(wǎng)絡(luò)系統(tǒng)的威脅，單純依敕技術(shù)是很難解決的，從某種意義上講，依靠管理加強內(nèi)部人員的安全防范意識等比安全技術(shù)更為重要。因此，要加強電子商務(wù)的安全性應(yīng)從多方面入手。

4對我國電子商務(wù)的發(fā)展的幾點建議

1）提高服務(wù)的安全性。電子商務(wù)飛快的發(fā)展速度，致使其安全技術(shù)和安全管理都跟不上，這已成為越來越突出的問題，但不能因為安全問題而制約了電子商務(wù)的發(fā)展，使安全成為發(fā)展的瓶頸，發(fā)展是首位的，沒有發(fā)展安全就無從談起。

2）加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)普及程度。發(fā)展電子商務(wù)的目的在于降低交易成本，提高交易效率，因此應(yīng)積極發(fā)展高速寬帶通信信道，重點建設(shè)光纜和衛(wèi)星通信，同時積極利用現(xiàn)有通信線路發(fā)展ISDN和ADSL接入，利用有線電視線路，試驗發(fā)展HFC接入網(wǎng)。

3）盡快完善有關(guān)網(wǎng)絡(luò)安全等方面的法律。我國政府在《中華人民共和國合同法》中規(guī)定了以電子媒體為載體的合同具有法律約束力，對推廣電子商務(wù)有很大的促進(jìn)作用，但是在諸多方面還需順應(yīng)網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷完善。

4）加快銀行、稅務(wù)以及郵政等物流環(huán)節(jié)的信息化建設(shè)步伐，建立企業(yè)到企業(yè)（BtoB）、企業(yè)到客戶(BtoC)的商務(wù)溝通，實現(xiàn)網(wǎng)上資金流動，解決目前有形商品交易環(huán)節(jié)中的流通因難。

5）轉(zhuǎn)變?nèi)藗兠鎸γ娼灰椎南M習(xí)慣。

5結(jié)束語

目前，基于Internet的電子商務(wù)應(yīng)用還剛剛開始，許多方面都還不夠完善，并且，我國和發(fā)達(dá)國家之間的差距很大，這就要求我們密切關(guān)注電子商務(wù)的動向，探討電子商務(wù)中存在的技術(shù)問題，加大推廣力度，以把握住網(wǎng)絡(luò)經(jīng)濟(jì)時代這一良好的發(fā)展時機。

參考文獻(xiàn)

[1]SETSecureElectronicTransactionSpecification，/set―

specifications.html

[2]古月.走近電子商務(wù).計算機與生活,1999,11:8~14

[3]龔炳錚等.從信息增值到電子商務(wù).計算機世界，2000,11,20（D45期）

Electroniccommerceanditssecurity

（CaulationCentreofZhumadianTeacher’sCollege,Zhumadian,463000,China）

AbstractWiththerapiddevelopmentoftheInternet,electroniccommerce(EC)isgettingmoreandmoreapplications.ItssecurityisakeyfactorforEC’ssuccess.ThispaperfirstdiscussesthechallengestoEC’susage,andthenmainlyanalyzesthesecuritytechnologyofEC.Attheend,thefuturedevelopmentofECinChinaisdiscussedandsomesuggestionsareproposed.

Keywordselectroniccommerce;onlinepayment;security;SSL;SET