摘 要：隨著因特網的飛速發展，電子商務正得到越來越廣泛的應用。電子商務的安全性是影響其成敗的一個關鍵因素。本文首先討論了電子商務應用中所存在的問題，繼而對電子商務的安全性技術進行了分析。最后，對中國電子商務未來的發展進行了探討并提出了一些建議。

關鍵詞：電子商務 在線支付 安全性 安全套接層協議 安全電子交易協議

1 引言

Internet給整個社會帶來了巨大的變革，成為驅動所有產業發展的動力。電子商務是在Internet開放環境下的一種新型的商業運營模式，是網絡技術應用的全新發展方向。在此首先對電子商務中存在的問題及其安全性技術加以分析，然后對中國電子商務未來的發展提出了一些建議，以使更多的人士關注電子商務技術，盡快解決現存的問題，推動電子商務的發展。

2 電子商務及其存在的問題

電子商務是指利用簡單快捷低成本的電子通訊方式，使買賣雙方進行各種商貿活動的新型貿易形式。它改變了傳統貿易形式，不僅改變了企業本身的生產、經營、管理活動，而且將導致人類經濟、社會和文化的一次新的革命。但目前電子商務的發展中還存在許多問題：

1） 安全協議問題：對安全協議還沒有全球性的標準和規范，相對制約了國際性的商務活動。

2） 安全管理問題：在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

3） 電子商務沒有真正深入商務領域而僅僅局限于信息領域。

4） 技術人才短缺問題：電子商務是在近幾年才得到了迅猛發展，許多地方都缺乏足夠的技術人才來處理所遇到的各種問題。不少電子商務的開發商對網絡技術很熟悉，但是對安全技術了解得偏少，因而難以開發出真正實用的、安全性的產品。

5） 法律問題：電子交易衍生了一系列法律問題，例如網絡交易糾紛的仲裁、網絡交易契約等問題，急需為電子商務提供法律保障。

6） 稅收問題：電子商務的發展在促進貿易增加稅收的同時又對稅收制度及其管理手段提出了新要求。

3 電子商務中的安全性技術

安全性技術是保證電子商務健康有序發展的關鍵因素，也是目前大家十分關注的問題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性，但現在幾乎網絡的各個層次都制訂了安全協議和具備了相應的安全技術，以保證電子商務的安全性。

3.1 安全的網絡平臺

安全可靠的網絡是實現電子商務的基礎，常用的方法是在網絡中采用防火墻技術，虛擬專用網（VPN）技術，防病毒保護等。防火墻技術是通過IP過濾和代理服務器軟件方法保護企業內部網(Intranet)中數據，只有授權用戶才能獲準進入企業內部網的系統。虛擬專用網（VPN）技術通過IP隧道等方法來保證企業協作網（Extranet）中企業間數據和企業內部網的遠程分支機構和外出職工對中央系統的遠程訪問數據的安全傳遞。單純依靠這些方法保護網絡的安全性是不夠的，還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務基石，例如現在的加密技術、數字簽名技術、電子認證技術等。

3.2 在線支付的安全技術

電子商務的另一個關鍵問題是要保證在線支付的安全，它是網上購物的重要保證。目前采用的在線支付協議有兩種：安全套接層SSL（Secure Sockets Layer）協議和安全電子交易SET（Secure Electronic Transaction）協議。

3.2.1 SSL協議

SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。SSL通過數字簽名和數字證書來實行身份驗證，數字證書是從認證機構（Certificate Authority，CA）獲得的，通常包含有唯一標識證書所有者的名稱、唯一標識證書發布者的名稱、證書所有者的公開密鑰、證書發布者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后，雙方就可以用保密密鑰進行安全的會話了。

SSL協議在應用層收發數據前，協商加密算法、連接密鑰并認證通信雙方，從而為應用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應用協議（如HTTP、FTP、TELNET等）以保證應用層數據傳輸的安全性。

SSL協議握手流程由兩個階段組成：服務器認證和用戶認證。

1）服務器認證

客戶端向服務器發送一個“Hello”信息，以便開始一個新的會話連接；服務器根據客戶的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息；客戶根據收到的服務器響應信息，產生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數據進行加密來認證服務器，從而建立安全的通信通道。

2）用戶認證

經認證的服務器發送一個提問給客戶，客戶則返回數字簽名后的提問和其公開密鑰，從而向服務器提供認證。

SSL協議支持各種加密算法，實現簡單，獨立于應用層協議，且被大部分瀏覽器和Web服務器內置，便于在電子交易中應用。但SSL是一個面向連接的協議，只能提供交易中客戶與服務器間的雙方認證，在涉及多方的電子交易中，SSL協議不能協調各方面的安全傳輸和信任關系，為此，Mastercard和Visa共同在網絡應用層開發了SET協議。

3.2.2 SET協議

SET協議是一個能保證通過開放網絡進行安全資金支付的技術標準。它采用的技術包括，對稱密鑰加密、公共密鑰加密、哈希算法、數字簽名技術以及公共密鑰授權機制等。

SET使訂單信息和信用卡信息的隔離。在把包含信用卡號碼信息的訂單送到商家時，商家只能看到訂單信息，卻看不到信用卡號碼信息，并且需要持卡人和商家相互認證，確定通信雙方身份，一般由認證中心為雙方提供信用擔保。

整個電子支付的過程包括：瀏覽、購買、付款合法性驗證以及獲取付款等過程。信用卡持卡客戶通過瀏覽器從商家的商品目錄尋找所需商品，他擁有支付網關交換密鑰的私人密鑰，可以發送初始化請求給商家；商家收到客戶的初始化請求后，為請求報文分配一個唯一的交易標識號，并用商家的私人密鑰進行數字簽名，然后將初始化響應報文與商家和支付網關的證書一起傳給客戶；客戶收到該初始化響應后，驗證商家和支付網關的證書，確認商家和支付網關的身份，再根據商家的公開密鑰確認初始化響應中的商家簽名；然后，客戶產生訂單信息（Ordering Information）和支付命令（Payment Instruction），用私人密鑰對訂單信息和支付命令進行雙重簽名；并產生一個隨機的對稱密鑰，用它對雙重簽名后的支付命令加密，然后再用支付網關交換密鑰的公開密鑰（public key-exchange key）對客戶帳號和對稱密鑰加密；客戶將加密后的訂單信息和支付命令發給商家；商家確認客戶證書，用客戶的公開密鑰對訂單信息上的雙重簽名解密，以確保訂單在傳輸過程中無誤，并且其中的簽名是客戶的；然后，商家處理訂單信息請求，將支付命令傳給支付網關并請求授權，同時還產生一個包括商家的簽名證書和指明客戶的訂單已被接收等信息的購買響應報文，并對該報文數字簽名后發給客戶；客戶用商家的公開密鑰來證實購買響應上的簽名是商家的，并保存收到的購買響應。如果交易被授權，商家將執行訂單上規定的送貨等服務。商家使用訂貨單，要求支付網關付款。

SET定義了一個完備的電子交易流程，較好地解決了電子交易中各方間復雜的信任關系和安全連接，確保了電子交易中信息的真實性、保密性、防抵賴性和不可更改性。但由于SET協議龐大而又復雜，銀行、商家和客戶均需改造才能實現互操作，使得SET協議被普遍使用還需有一個過程。在我國，大多尚處在對SSL協議的應用上，要完全實現SET協議安全支付還要有一個過程。

3.3 其它安全問題

對于電子商務的安全性來講，有了防火墻與安全協議和規范還不夠，一方面，網絡本身的物理差錯是難以避免的；另一方面，Internet主干網和DNS服務器的可靠性，撥號連接質量與速度還不能滿足人們的需求；另外，惡意代碼對網絡系統的威脅，單純依敕技術是很難解決的，從某種意義上講，依靠管理加強內部人員的安全防范意識等比安全技術更為重要。因此，要加強電子商務的安全性應從多方面入手。

4 對我國電子商務的發展的幾點建議

1） 提高服務的安全性。電子商務飛快的發展速度，致使其安全技術和安全管理都跟不上，這已成為越來越突出的問題，但不能因為安全問題而制約了電子商務的發展，使安全成為發展的瓶頸，發展是首位的，沒有發展安全就無從談起。

2） 加快網絡基礎設施建設和網絡普及程度。發展電子商務的目的在于降低交易成本，提高交易效率，因此應積極發展高速寬帶通信信道，重點建設光纜和衛星通信，同時積極利用現有通信線路發展ISDN和ADSL接入，利用有線電視線路，試驗發展HFC接入網。

3） 盡快完善有關網絡安全等方面的法律。我國政府在《中華人民共和國合同法》中規定了以電子媒體為載體的合同具有法律約束力，對推廣電子商務有很大的促進作用，但是在諸多方面還需順應網絡技術的發展而不斷完善。

4） 加快銀行、稅務以及郵政等物流環節的信息化建設步伐，建立企業到企業（BtoB）、企業到客戶(BtoC) 的商務溝通，實現網上資金流動，解決目前有形商品交易環節中的流通因難。

5） 轉變人們面對面交易的消費習慣。

5 結束語

目前，基于Internet的電子商務應用還剛剛開始，許多方面都還不夠完善，并且，我國和發達國家之間的差距很大，這就要求我們密切關注電子商務的動向，探討電子商務中存在的技術問題，加大推廣力度，以把握住網絡經濟時代這一良好的發展時機。

[1] SET Secure Electronic Transaction Specification ，http://www.setco.org/set―

specifications.html

[2] 古月. 走近電子商務. 計算機與生活，1999，11: 8~14

[3] 龔炳錚等. 從信息增值到電子商務. 計算機世界，2000，11，20（D45期）

Electronic commerce and its security

（Caulation Centre of Zhumadian Teacher’s College， Zhumadian， 463000， China）

Abstract With the rapid development of the Internet， electronic commerce (EC) is getting more and more applications. Its security is a key factor for EC’s success. This paper first discusses the challenges to EC’s usage， and then mainly analyzes the security technology of EC. At the end， the future development of EC in China is discussed and some suggestions are proposed.

Key words electronic commerce; online payment; security; SSL; SET