電子商務安全技術的分析與研究

摘要：電子商務實施的關鍵是要保證整個商務過程中系統的安全性。針對這個問題，從電子商務的安全性需求出發，介紹了電子商務安全技術和電子商務安全協議，通過他們來消除電子商務活動中的安全隱患。

關鍵詞：電子商務；安全性；安全技術

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)29-0302-02

Analysis and Research of E-commerce Security Technology

HUANG Xiao-hua

(School of Computer Science and Engineering，Changshu Institute of Technology，Changshu 215500，China)

Abstract: The key of the E-commerce implementation is that it must guarantee the system security in the entire commercial process.In view of this question，according to the requirements of E-commerce security，this paper introduces E-commerce security technology and E-commerce security protocol，eliminating safety hazard in the E-commerce.

Key words: E-commerce; security; security technology

目前，隨著計算機網絡和信息技術的飛速發展，基于Internet的電子商務也日趨走向成熟，在世界范圍內日漸得到普及與應用。相對于傳統商務模式，電子商務具有便捷、高效的優點，極大地提高了商務效率，降低了交易的成本。然而，電子商務的安全問題已成為制約電子商務發展的關鍵要素。解決電子商務中存在的安全問題，建立一個安全可靠的電子商務應用環境，已經成為影響到電子商務發展的關鍵性問題。

1 電子商務的安全性需求

電子商務是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不見面地進行各種商貿活動。電子商務的載體是網絡，網絡資源的共享性、開放性、可匿名性給安全問題帶來了極大的隱患，使得電子商務受到威脅和攻擊的可能性大大增加，交易雙方都面臨安全威脅。因此，要建立交易雙方的安全和信任關系比較困難。電子商務的安全性需求主要體現在以下幾個方面。

1.1 有效性

如何保證電子商務的有效性是開展電子商務的前提。因此，電子商務要對一切潛在的威脅加以預防和控制，保證交易數據在確定的時刻、確定的地點是真實的、有效的。

1.2 保密性

電子商務作為貿易的一種手段，是建立在一個較為開放的網絡環境上的，維護商業機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。

1.3 完整性

由于數據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異。貿易各方信息的完整性將影響到貿易各方的交易和經營策略，保持貿易各方信息的完整性是電子商務應用的基礎。

1.4 可靠性

電子商務要保證合法用戶對信息和資源的使用不會被不正當地拒絕。電子支付系統通過提供對用戶身份的鑒別方法，實現系統對用戶身份的有效確認，確保用戶身份信息的合法可靠。

1.5 不可否認性

在開展電子商務的過程中，通過建立有效的責任機制，使得交易雙方對于自己已經發送或者接收的數據不能事后否認，從而有效防止支付欺詐行為的發生。

2 電子商務安全技術

2.1 數據加密技術

數據加密技術是指將明文經過加密變成無意義的密文，而接收方則將此密文經過解密還原成明文。數據加密技術是一種主動的信息安全防范措施，是其它安全技術的基礎。目前，常用的兩種加密技術是對稱加密和非對稱加密。

2.1.1 對稱加密

對稱加密，又稱私鑰加密。在對稱加密算法中，要求發送方和接收方在安全通信之前商定一個密鑰，發送方用密鑰加密明文后傳送給接收方，接收方用同一密鑰解密，即信息的發送方和接收方用一個密鑰去加密和解密數據。對稱加密算法的安全性依賴于密鑰，泄露密鑰就意味著任何人都能對消息進行加密或解密。它的最大的優勢就是開銷小、加密速度快，所以廣泛應用于對大量數據如文件進行加密。它的局限性在于通信雙方要確保密鑰的安全交換，密鑰的分發和管理非常復雜，而且無法鑒別交易發起方或交易最終方。目前比較常用的對稱加密算法有DES、3DES、Blowfish、IDEA、RC4、RC5、RC6、AES等。

2.1.2 非對稱加密

非對稱加密，又稱公鑰加密。在非對稱加密算法中，需要使用一對密鑰來分別完成加密和解密操作，即對外公開的公開密鑰和用戶自己保存的私有密鑰，信息發送者用公開密鑰去加密，而信息接收者則用私用密鑰去解密。因為公開密鑰是公開存放，所以密鑰的分配和管理問題很容易解決。雖然非對稱加密機制靈活， 但加密和解密速度卻比對稱加密慢得多。在實際應用中，通常將兩種加密技術結合起來。目前比較常用的非對稱加密算法有RSA、ECC、Diffie-Hellman、El Gamal、DSA等。

2.2 安全認證技術

安全認證技術是保證電子商務安全不可或缺的又一重要技術手段。安全認證的主要作用是進行信息認證，目的是為了保證數據在傳輸過程中的保密性、完整性和不可否認性等。常用的安全認證技術主要有數字摘要、數字信封、數字簽名、數字時間戳、數字證書等。

2.2.1 數字摘要

數字摘要是指信息發送方使用Hash函數把原始信息加密成摘要，然后把原始信息和摘要一起發送到接收方；接收方也用Hash函數把原始信息加密為摘要，然后看兩個摘要是否相同，若相同，則表明信息的完整，反之亦然。

2.2.2 數字信封

數字信封是用加密技術來保證只有規定的特定收信人才能閱讀信息內容。在數字信封中，信息發送方采用對稱密鑰來加密信息內容，然后將此對稱密鑰用接收方的公開密鑰來加密（這部分稱數字信封）之后，將它和加密后的信息一起發送給接收方，接收方先用相應的私有密鑰打開數字信封，得到對稱密鑰，然后使用對稱密鑰解開加密信息。

2.2.3 數字簽名

數字簽名是指文件的發送方從文件中生成一個數字摘要，用自己的私鑰對這個數字摘要進行加密，從而形成發送方的數字簽名，然后將這個數字簽名作為附件和原始文件一起發送給接收者；接收方收到信息后就用發送方的公開密鑰對摘要進行解密，如果解出了正確的摘要，即該摘要可以確認原始文件沒有被篡改過，說明這個信息確實為發送者發出的。

2.2.4 數字時間戳

在電子商務活動中，時間是十分重要的信息，文件簽署的日期和簽名都是防止文件被偽造和篡改的關鍵性內容。數字時間戳服務（DTS）就能提供電子文件發表時間的安全保護。數字時間戳是一個經加密處理后形成的憑證文檔，它包括3個部分：需加時間戳的文件摘要，DTS機構收到文件的日期和時間，DTS機構的數字簽名。

2.2.5 數字證書

數字證書又稱數字憑證，是網絡通信中標志通信各方身份信息的一系列數據，提供了一種在Internet上驗證您身份的方式，其作用類似于司機的駕駛執照或日常生活中的身份證。使用數字證書，運用對稱和非對稱加密技術建立起一套嚴密的身份認證系統，可以保證信息除發送方和接收方外不被他人竊取，信息在傳輸過程中不被篡改，發動方能夠通過數字證書來確認接收方的身份，發送方對于自己的信息不能抵賴。數字證書是由證書授權中心（CA）為交易各方頒發的身份憑證，它是一個經CA 數字簽名的、包含證書申請者（公開密鑰擁有者）個人信息及其公開密鑰的文件。一般情況下，證書中還包括密鑰的有效期、發證機關的名稱、證書的序列號等信息。

3 電子商務安全交易協議

電子商務的運行，除了各種安全認證技術外，還需要一套完善的安全交易協議。不同交易協議有著不同的特點和用途，不同的應用環境對協議的目標要求也不盡相同。目前，常用的有SSL 協議、SET協議等。

3.1 SSL協議

SSL協議，即安全套接層協議，是由Netscape公司推出的一種安全通信協議，是對計算機之間整個會話進行加密的協議。它能夠對信用卡和個人信息提供較強的保護。在SSL協議中，采用了公開密鑰和私有密鑰兩種加密方法。SSL協議能夠保護信息傳輸的保密性和完整性，但不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用Web Server方式。SSL協議提供的服務主要有：認證用戶和服務器，確保數據發送到正確的客戶機和服務器；加密數據以防止數據中途被竊取；維護數據的完整性，確保數據在傳輸過程中不被改變。但是，由于SSL協議只進行商家對客戶的認證，缺乏客戶對商家的認證，有利于商家而不利于客戶，所以它一般服務于銀行對企業或企業對企業的電子商務。

3.2 SET協議

SET協議，即安全電子交易協議，是由Visa和MasterCard兩大信用卡組織于1997年5月聯合推出的用于電子商務的行業規范，其實質是一種應用在Internet上、以信用卡基礎的電子付款系統規范，目的是為了保證網絡交易的安全。它通過相應的軟件、數字證書、數字簽名和加密技術，為電子交易各環節提供更大的信任度、更高的安全性和較少的欺詐性，因此它成為了目前公認的信用卡網上交易的國際安全標準。SET協議主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET協議中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。但是，SET協議在相互操作方面存在著一些問題，而且僅限于使用信用卡方式的支付手段。

3.3 SSL 協議與SET協議的比較

SSL 協議和SET協議各有優點和缺點，下面是對兩者優缺點的比較。

1) 用戶接口：SSL協議已被瀏覽器和WEB服務器內置，無需安裝專門軟件。而SET協議中客戶端需安裝專門的軟件，在商家服務器和銀行網絡上也需安裝相應的軟件。

2) 處理速度：SET協議非常復雜、龐大，系統負載重，理速度慢。而SSL協議則簡單得多，處理速度比SET協議快。

3) 認證要求：SSL協議中可以通過數字簽名和數字證書實現瀏覽器和Web服務器之間的身份驗證，但不能實現多方認證，而且SSL中只有商家服務器的認證是必須的，客戶端認證則是可選的。相比之下，SET協議的認證要求較高，所有參與SET交易的成員都必須申請數字證書，并且解決了客戶與銀行、客戶與商家、商家與銀行之間的多方認證問題。

4) 安全性：SET協議由于采用了公鑰加密、信息摘要和數字簽名可以確保信息的保密性、完整性、可靠性和不可否認性。SSL協議雖然采用了公鑰加密、信息摘要和MAC檢測，可以提供保密性、完整性和一定程度的身份鑒別功能，但不能提供完備的抗否認功能。因此，SET協議的安全性比SSL協議要高。

5) 協議層次和功能：SSL協議位于傳輸層，它不具備電子商務的商務性、協調性和集成性功能。而SET協議位于應用層，它不僅規范了整個商務活動的流程，而且制定了嚴格的加密和認證標準，具備商務性、協調性和集成性功能。

6) 在應用領域方面，SSL主要是和Web應用一起工作，而SET是為信用卡交易提供安全，因此如果電子商務應用只是通過Web或是電子郵件，則可以不要SET。但如果電子商務應用是一個涉及多方交易的過程，則使用SET更安全、更通用些。

因此，由于SSL協議的成本低、速度快、使用簡單，目前普及率較高。但隨著電子商務中電子支付安全性要求的提高，SET協議將會成為未來的發展方向。

4 結束語

電子商務改變了傳統的商業模式，給人們生活帶來的便利，但它的安全問題也日益顯現。目前，電子商務安全技術雖然已經有了很大的進展，取得了一定的成績，但還沒有一個完善的安全機制。因此，要保證電子商務的健康發展，還需要多方面的共同努力。

參考文獻：

[1] 祝凌曦.電子商務安全[M].北京:清華大學出版社，2006.

[2] 楊堅爭，趙雯，楊立釩.電子商務安全與電子支付[M].北京:機械工業出版社，2007.

[3] 管有慶，王曉軍，董小燕.電子商務安全技術[M].北京郵電大學出版社，2005.