[摘 要] 電子商務(wù)是商務(wù)發(fā)展的內(nèi)在要求及技術(shù)發(fā)展的外在推動下應(yīng)運而生的，安全性是第一位要考慮的問題，是由一系列安全機制工作組成。本文主要從技術(shù)角度詳細分析了其中存在的安全隱患和威脅，詳述了安全性需求和實現(xiàn)網(wǎng)絡(luò)的安全技術(shù)策略，并探討了保證交易安全的兩個協(xié)議，即安全電子交易協(xié)議SET和安全套接層協(xié)議SSL，并對兩種協(xié)議做出了相應(yīng)的分析和比較。 [關(guān)鍵詞] 安全體系 加密 數(shù)字證書 電子商務(wù) 安全交易標準 一、引言 當(dāng)前的電子商務(wù)是指通過電子方式的商務(wù)活動。它作為一種全新的業(yè)務(wù)和服務(wù)方式，為全球客戶提供了豐富的商務(wù)信息、便捷的交易過程和廉價的交易成本。但是，電子商務(wù)給人們帶來方便的同時，也把人們引入安全憂慮之中。買方擔(dān)心在網(wǎng)絡(luò)上傳輸?shù)男庞每皞€人資料被截取；賣方則擔(dān)心收到的是被盜用的信用卡號碼，或是交易不認賬等，這些存在的安全漏洞問題已成為阻礙網(wǎng)上交易發(fā)展的首要問題。相對于傳統(tǒng)商務(wù)，電子商務(wù)對管理機制、實施平臺和信息傳遞技術(shù)都提出了更高的要求，其中安全體系的構(gòu)建尤為顯得重要，已成為電子商務(wù)能否得到進一步發(fā)展和推廣的關(guān)鍵所在。 二、電子商務(wù)安全體系結(jié)構(gòu) 1.電子商務(wù)中存在的安全隱患和威脅 Internet是電子商務(wù)實現(xiàn)的網(wǎng)絡(luò)基礎(chǔ)，它采用TCP/IP完成不同網(wǎng)絡(luò)與不同計算機之間的通信，正是由于這些特點，使它給電子商務(wù)帶來了很多的安全問題。Internet的安全隱患主要體現(xiàn)在四個方面。 開放性和資源共享是Internet的主要優(yōu)點，但它帶來的問題卻不容忽視。因為當(dāng)甲方在很容易的訪問乙方時，如果沒有采取任何措施，乙方同樣很容易的訪問甲方的計算機。 Internet采用的協(xié)議TCP/IP并未采用任何措施來保護傳輸內(nèi)容不被竊取。它是一種包交換網(wǎng)絡(luò)，每個數(shù)據(jù)包在網(wǎng)絡(luò)上都是透明傳輸?shù)模⑶铱赡芙?jīng)過不同的網(wǎng)絡(luò)，由路由器轉(zhuǎn)發(fā)到達目的計算機。數(shù)據(jù)在傳輸過程中可能會遭到IP窺探、同步信號淹沒、TCP會話竊聽、復(fù)位與結(jié)束信號攻擊等威脅。 Internet底層的操作系統(tǒng)如UNIX，由于源代碼的公開，很容易發(fā)現(xiàn)漏洞，給Internet用戶帶來安全問題。 相比較傳統(tǒng)信函，電子化信息就缺乏可信度，電子信息是否準確很難由其本身來鑒別。在Internet上傳遞電子信息時，難以確認信息發(fā)送者及信息是否被正確無誤地傳遞給對方。 由于Internet存在上述安全隱患，將給電子商務(wù)帶來如下的安全威脅。 由于非法入侵，造成商務(wù)信息被纂改、竊取或丟失。 商業(yè)機密在傳輸過程中被第三方獲悉，被惡意破壞。 虛假身份的交易對象及虛假訂單、合同。 貿(mào)易對象的抵賴。 由計算機系統(tǒng)故障造成的對交易過程和商業(yè)信息安全的破壞。 綜上所述，電子商務(wù)面臨多方面的威脅，存在許多安全隱患。 2.電子商務(wù)的安全性內(nèi)容 要使電子商務(wù)健康、順利發(fā)展，必須解決好以下幾種關(guān)鍵的安全性要求。 (1)保證信息的保密性和完整性。在交易過程中必須保證信息不被非授權(quán)用戶竊取，數(shù)據(jù)在輸入和傳輸過程中能保證數(shù)據(jù)的一致性。 (2)不可否認性。它是指信息發(fā)送方不可否認已經(jīng)發(fā)送的信息，接收方也不可否認已經(jīng)收到的信息。 (3)真實性。商務(wù)活動交易雙方身份是真實的，不是假冒的，不存在的。 (4)系統(tǒng)的可靠性與內(nèi)部網(wǎng)絡(luò)的嚴密性。在計算機失效、程序錯誤、傳輸錯誤、硬件各種及計算機病毒等潛在威脅下，有容錯處理機制、數(shù)據(jù)恢復(fù)能力，確保系統(tǒng)安全、可靠。對企業(yè)內(nèi)部網(wǎng)絡(luò)而言，要保證內(nèi)部網(wǎng)絡(luò)不被入侵。 3.電子商務(wù)安全技術(shù)體系結(jié)構(gòu) 電子商務(wù)的安全技術(shù)體系結(jié)構(gòu)是保證電子商務(wù)中數(shù)據(jù)安全的一個完整邏輯結(jié)構(gòu)，如圖所示。其中，下層是上層的基礎(chǔ)，為上層提供技術(shù)支持。上層是下層的擴展與遞增。各層相互聯(lián)系、相互依賴的構(gòu)成一個整體。通過不同的安全控制技術(shù)，實現(xiàn)各層的安全策略，有效保證了電子商務(wù)系統(tǒng)的安全。

三、電子商務(wù)的安全技術(shù) 1.防火墻技術(shù) 防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封裝機制，內(nèi)部網(wǎng)絡(luò)被認為是安全和可信賴的，而外部網(wǎng)絡(luò)（通常指Internet）被認為是不安全和不可信賴的。防火墻的主要目的是防止不希望的、未經(jīng)授權(quán)的通信進出被保護的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強化內(nèi)部網(wǎng)絡(luò)的安全策略。 防火墻的主要技術(shù)有包過濾技術(shù)、代理服務(wù)器技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和狀態(tài)檢測包過濾技術(shù)，現(xiàn)在最常用的是狀態(tài)檢測包過濾技術(shù)。狀態(tài)檢測防火墻對每個合法網(wǎng)絡(luò)連接保存的信息包括源地址、目的地址、協(xié)議類型、協(xié)議相關(guān)信息、連接狀態(tài)和超時時間等稱為狀態(tài)。通過狀態(tài)檢測，可實現(xiàn)比簡單包過濾防火墻具有更好的安全性。 2.加密技術(shù) 數(shù)字加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M行數(shù)據(jù)加密來保障安全性。利用加密技術(shù)，可以將某些重要的信息和數(shù)據(jù)從一個可以理解的明文轉(zhuǎn)換為復(fù)雜的、不可理解的密文形式，在線路上傳送或在數(shù)據(jù)庫中存儲，其他用戶再將密文還原為明文。 3.信息摘要 密鑰加密技術(shù)只能解決信息的保密性問題，對信息的完整性則可以使用信息摘要技術(shù)來實現(xiàn)。信息摘要又稱為Hash算法，是一種單向加密算法，其加密結(jié)果是不能解密的。通過Hash算法，得到一個固定長度（128位）的散列值，不同的原文產(chǎn)生的信息摘要必不相同，相同的原文產(chǎn)生的信息摘要必定相同。這樣，通過用接收方產(chǎn)生的摘要與發(fā)送方發(fā)來的摘要比較，若兩者相同則表示原文在傳輸過程中沒有被修改，否則說明原文被修改過。 4.數(shù)字簽名 數(shù)字簽名是密鑰加密和信息摘要相結(jié)合的技術(shù)，用于保證信息的完整性和不可否認性。簽名機制的特征是該簽名只有通過簽名者的私有信息才能產(chǎn)生，即一個簽名者的簽名只能惟一地由他自己生成。當(dāng)收發(fā)雙方發(fā)生爭議時，第三方就能根據(jù)消息上的數(shù)字簽名來裁定這條消息是否由發(fā)送方發(fā)出，從而實現(xiàn)不可否認服務(wù)。 5.數(shù)字時間戳 在電子交易中，時間和簽名同等重要。數(shù)字時間戳是由專門機構(gòu)提供的電子商務(wù)安全服務(wù)項目，用于證明信息發(fā)送的時間。 6.數(shù)字證書與CA認證 由于電子商務(wù)在網(wǎng)絡(luò)中完成，互相之間不見面，因此為了保證每個人及機構(gòu)都能惟一且被準確無誤地識別，就需要進行身份認證。身份認證可以通過驗證參與各方的數(shù)字證書來實現(xiàn)，而數(shù)字證書是由認證中心（CA）頒發(fā)的。 所謂CA（Certificate Authority：證書發(fā)行機構(gòu)），是采用PKI（Public Key Infrastructure：公共密鑰體系）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認證服務(wù)，負責(zé)簽發(fā)和管理數(shù)字證書，具有權(quán)威性和公正性的第三方信任機構(gòu)，其作用就像現(xiàn)實生活中頒發(fā)證件的機構(gòu)。 四、電子商務(wù)安全交易標準 要實現(xiàn)安全的電子商務(wù)交易，交易雙方必須遵照統(tǒng)一的安全標準協(xié)議。當(dāng)前，電子商務(wù)的安全機制正走向成熟，并逐漸形成了一些國際規(guī)范，比較有代表性的有安全套接層協(xié)議SSL（Secure Sockets Layer）和安全電子交易協(xié)議SET（Secure Electronic Transaction）。 1.安全套接層協(xié)議SSL SSL協(xié)議是由Netscape公司研制的安全協(xié)議，SSL使用加密的方法建立一個安全的通信通道，以使客戶的信用卡號傳送給商家，商家再將其轉(zhuǎn)發(fā)給銀行，銀行驗證后在通知商家付款成功。該協(xié)議已成為事實上的工業(yè)標準，微軟、IBM公司都提供基于這種簡單加密模式的支付系統(tǒng)。