摘 要：隨著因特網(wǎng)的飛速發(fā)展，電子商務正得到越來越廣泛的應用。電子商務的安全性是影響其成敗的一個關(guān)鍵因素。本文首先討論了電子商務應用中所存在的問題，繼而對電子商務的安全性技術(shù)進行了分析。最后，對中國電子商務未來的發(fā)展進行了探討并提出了一些建議。

關(guān)鍵詞：電子商務 在線支付 安全性 安全套接層協(xié)議 安全電子交易協(xié)議

1 引言

Internet給整個社會帶來了巨大的變革，成為驅(qū)動所有產(chǎn)業(yè)發(fā)展的動力。電子商務是在Internet開放環(huán)境下的一種新型的商業(yè)運營模式，是網(wǎng)絡技術(shù)應用的全新發(fā)展方向。在此首先對電子商務中存在的問題及其安全性技術(shù)加以分析，然后對中國電子商務未來的發(fā)展提出了一些建議，以使更多的人士關(guān)注電子商務技術(shù)，盡快解決現(xiàn)存的問題，推動電子商務的發(fā)展。

2 電子商務及其存在的問題

電子商務是指利用簡單快捷低成本的電子通訊方式，使買賣雙方進行各種商貿(mào)活動的新型貿(mào)易形式。它改變了傳統(tǒng)貿(mào)易形式，不僅改變了企業(yè)本身的生產(chǎn)、經(jīng)營、管理活動，而且將導致人類經(jīng)濟、社會和文化的一次新的革命。但目前電子商務的發(fā)展中還存在許多問題：

1） 安全協(xié)議問題：對安全協(xié)議還沒有全球性的標準和規(guī)范，相對制約了國際性的商務活動。

2） 安全管理問題：在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

3） 電子商務沒有真正深入商務領(lǐng)域而僅僅局限于信息領(lǐng)域。

4） 技術(shù)人才短缺問題：電子商務是在近幾年才得到了迅猛發(fā)展，許多地方都缺乏足夠的技術(shù)人才來處理所遇到的各種問題。不少電子商務的開發(fā)商對網(wǎng)絡技術(shù)很熟悉，但是對安全技術(shù)了解得偏少，因而難以開發(fā)出真正實用的、安全性的產(chǎn)品。

5） 法律問題：電子交易衍生了一系列法律問題，例如網(wǎng)絡交易糾紛的仲裁、網(wǎng)絡交易契約等問題，急需為電子商務提供法律保障。

6） 稅收問題：電子商務的發(fā)展在促進貿(mào)易增加稅收的同時又對稅收制度及其管理手段提出了新要求。

3 電子商務中的安全性技術(shù)

安全性技術(shù)是保證電子商務健康有序發(fā)展的關(guān)鍵因素，也是目前大家十分關(guān)注的問題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性，但現(xiàn)在幾乎網(wǎng)絡的各個層次都制訂了安全協(xié)議和具備了相應的安全技術(shù)，以保證電子商務的安全性。

3.1 安全的網(wǎng)絡平臺

安全可靠的網(wǎng)絡是實現(xiàn)電子商務的基礎，常用的方法是在網(wǎng)絡中采用防火墻技術(shù)，虛擬專用網(wǎng)（VPN）技術(shù)，防病毒保護等。防火墻技術(shù)是通過IP過濾和代理服務器軟件方法保護企業(yè)內(nèi)部網(wǎng)(Intranet)中數(shù)據(jù)，只有授權(quán)用戶才能獲準進入企業(yè)內(nèi)部網(wǎng)的系統(tǒng)。虛擬專用網(wǎng)（VPN）技術(shù)通過IP隧道等方法來保證企業(yè)協(xié)作網(wǎng)（Extranet）中企業(yè)間數(shù)據(jù)和企業(yè)內(nèi)部網(wǎng)的遠程分支機構(gòu)和外出職工對中央系統(tǒng)的遠程訪問數(shù)據(jù)的安全傳遞。單純依靠這些方法保護網(wǎng)絡的安全性是不夠的，還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務基石，例如現(xiàn)在的加密技術(shù)、數(shù)字簽名技術(shù)、電子認證技術(shù)等。

3.2 在線支付的安全技術(shù)

電子商務的另一個關(guān)鍵問題是要保證在線支付的安全，它是網(wǎng)上購物的重要保證。目前采用的在線支付協(xié)議有兩種：安全套接層SSL（Secure Sockets Layer）協(xié)議和安全電子交易SET（Secure Electronic Transaction）協(xié)議。

3.2.1 SSL協(xié)議

SSL協(xié)議是Netscape公司在網(wǎng)絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術(shù)。SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證，數(shù)字證書是從認證機構(gòu)（Certificate Authority，CA）獲得的，通常包含有唯一標識證書所有者的名稱、唯一標識證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后，雙方就可以用保密密鑰進行安全的會話了。

SSL協(xié)議在應用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認證通信雙方，從而為應用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應用協(xié)議（如HTTP、FTP、TELNET等）以保證應用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL協(xié)議握手流程由兩個階段組成：服務器認證和用戶認證。

1）服務器認證

客戶端向服務器發(fā)送一個“Hello”信息，以便開始一個新的會話連接；服務器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息；客戶根據(jù)收到的服務器響應信息，產(chǎn)生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數(shù)據(jù)進行加密來認證服務器，從而建立安全的通信通道。

2）用戶認證

經(jīng)認證的服務器發(fā)送一個提問給客戶，客戶則返回數(shù)字簽名后的提問和其公開密鑰，從而向服務器提供認證。

SSL協(xié)議支持各種加密算法，實現(xiàn)簡單，獨立于應用層協(xié)議，且被大部分瀏覽器和Web服務器內(nèi)置，便于在電子交易中應用。但SSL是一個面向連接的協(xié)議，只能提供交易中客戶與服務器間的雙方認證，在涉及多方的電子交易中，SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系，為此，Mastercard和Visa共同在網(wǎng)絡應用層開發(fā)了SET協(xié)議。

3.2.2 SET協(xié)議

SET協(xié)議是一個能保證通過開放網(wǎng)絡進行安全資金支付的技術(shù)標準。它采用的技術(shù)包括，對稱密鑰加密、公共密鑰加密、哈希算法、數(shù)字簽名技術(shù)以及公共密鑰授權(quán)機制等。

SET使訂單信息和信用卡信息的隔離。在把包含信用卡號碼信息的訂單送到商家時，商家只能看到訂單信息，卻看不到信用卡號碼信息，并且需要持卡人和商家相互認證，確定通信雙方身份，一般由認證中心為雙方提供信用擔保。

整個電子支付的過程包括：瀏覽、購買、付款合法性驗證以及獲取付款等過程。信用卡持卡客戶通過瀏覽器從商家的商品目錄尋找所需商品，他擁有支付網(wǎng)關(guān)交換密鑰的私人密鑰，可以發(fā)送初始化請求給商家；商家收到客戶的初始化請求后，為請求報文分配一個唯一的交易標識號，并用商家的私人密鑰進行數(shù)字簽名，然后將初始化響應報文與商家和支付網(wǎng)關(guān)的證書一起傳給客戶；客戶收到該初始化響應后，驗證商家和支付網(wǎng)關(guān)的證書，確認商家和支付網(wǎng)關(guān)的身份，再根據(jù)商家的公開密鑰確認初始化響應中的商家簽名；然后，客戶產(chǎn)生訂單信息（Ordering Information）和支付命令（Payment Instruction），用私人密鑰對訂單信息和支付命令進行雙重簽名；并產(chǎn)生一個隨機的對稱密鑰，用它對雙重簽名后的支付命令加密，然后再用支付網(wǎng)關(guān)交換密鑰的公開密鑰（public key-exchange key）對客戶帳號和對稱密鑰加密；客戶將加密后的訂單信息和支付命令發(fā)給商家；商家確認客戶證書，用客戶的公開密鑰對訂單信息上的雙重簽名解密，以確保訂單在傳輸過程中無誤，并且其中的簽名是客戶的；然后，商家處理訂單信息請求，將支付命令傳給支付網(wǎng)關(guān)并請求授權(quán)，同時還產(chǎn)生一個包括商家的簽名證書和指明客戶的訂單已被接收等信息的購買響應報文，并對該報文數(shù)字簽名后發(fā)給客戶；客戶用商家的公開密鑰來證實購買響應上的簽名是商家的，并保存收到的購買響應。如果交易被授權(quán)，商家將執(zhí)行訂單上規(guī)定的送貨等服務。商家使用訂貨單，要求支付網(wǎng)關(guān)付款。

SET定義了一個完備的電子交易流程，較好地解決了電子交易中各方間復雜的信任關(guān)系和安全連接，確保了電子交易中信息的真實性、保密性、防抵賴性和不可更改性。但由于SET協(xié)議龐大而又復雜，銀行、商家和客戶均需改造才能實現(xiàn)互操作，使得SET協(xié)議被普遍使用還需有一個過程。在我國，大多尚處在對SSL協(xié)議的應用上，要完全實現(xiàn)SET協(xié)議安全支付還要有一個過程。

3.3 其它安全問題

對于電子商務的安全性來講，有了防火墻與安全協(xié)議和規(guī)范還不夠，一方面，網(wǎng)絡本身的物理差錯是難以避免的；另一方面，Internet主干網(wǎng)和DNS服務器的可靠性，撥號連接質(zhì)量與速度還不能滿足人們的需求；另外，惡意代碼對網(wǎng)絡系統(tǒng)的威脅，單純依敕技術(shù)是很難解決的，從某種意義上講，依靠管理加強內(nèi)部人員的安全防范意識等比安全技術(shù)更為重要。因此，要加強電子商務的安全性應從多方面入手。

4 對我國電子商務的發(fā)展的幾點建議

1） 提高服務的安全性。電子商務飛快的發(fā)展速度，致使其安全技術(shù)和安全管理都跟不上，這已成為越來越突出的問題，但不能因為安全問題而制約了電子商務的發(fā)展，使安全成為發(fā)展的瓶頸，發(fā)展是首位的，沒有發(fā)展安全就無從談起。

2） 加快網(wǎng)絡基礎設施建設和網(wǎng)絡普及程度。發(fā)展電子商務的目的在于降低交易成本，提高交易效率，因此應積極發(fā)展高速寬帶通信信道，重點建設光纜和衛(wèi)星通信，同時積極利用現(xiàn)有通信線路發(fā)展ISDN和ADSL接入，利用有線電視線路，試驗發(fā)展HFC接入網(wǎng)。

3） 盡快完善有關(guān)網(wǎng)絡安全等方面的法律。我國政府在《中華人民共和國合同法》中規(guī)定了以電子媒體為載體的合同具有法律約束力，對推廣電子商務有很大的促進作用，但是在諸多方面還需順應網(wǎng)絡技術(shù)的發(fā)展而不斷完善。

4） 加快銀行、稅務以及郵政等物流環(huán)節(jié)的信息化建設步伐，建立企業(yè)到企業(yè)（BtoB）、企業(yè)到客戶(BtoC) 的商務溝通，實現(xiàn)網(wǎng)上資金流動，解決目前有形商品交易環(huán)節(jié)中的流通因難。

5） 轉(zhuǎn)變?nèi)藗兠鎸γ娼灰椎南M習慣。

5 結(jié)束語

目前，基于Internet的電子商務應用還剛剛開始，許多方面都還不夠完善，并且，我國和發(fā)達國家之間的差距很大，這就要求我們密切關(guān)注電子商務的動向，探討電子商務中存在的技術(shù)問題，加大推廣力度，以把握住網(wǎng)絡經(jīng)濟時代這一良好的發(fā)展時機。

[1] SET Secure Electronic Transaction Specification ，http://www.setco.org/set―

specifications.html

[2] 古月. 走近電子商務. 計算機與生活，1999，11: 8~14

[3] 龔炳錚等. 從信息增值到電子商務. 計算機世界，2000，11，20（D45期）

Electronic commerce and its security

（Caulation Centre of Zhumadian Teacher’s College， Zhumadian， 463000， China）

Abstract With the rapid development of the Internet， electronic commerce (EC) is getting more and more applications. Its security is a key factor for EC’s success. This paper first discusses the challenges to EC’s usage， and then mainly analyzes the security technology of EC. At the end， the future development of EC in China is discussed and some suggestions are proposed.

Key words electronic commerce; online payment; security; SSL; SET