基于電子商務安全技術的應用研究

摘要：電子商務作為一種新興的商業模式，該文對電子商務領域的安全進行探討，指出目前電子交易中出現的隱患問題，介紹主流的電子商務安全技術，并且構建出基于移動支付的電子支付模型系統。

關鍵詞：電子商務；網絡安全；電子支付

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)23-942-02

The Research for Security Technology Based on E-business

LIANG Li-zhong

(Software College， South China University of Technology， Guangzhou 510641， China)

Abstract：Electronic-business as a new business pattern， the thesis introduces the security ofE-B，by the way，introduce the problems of electronic trade， besides， introduce the security technology of E-B， finally， analyse the model of electronic paying.

Key words: electronic-business; ecurity of network; electronic paying

1 引言

商務交易安全則緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題，在計算機網絡安全的基礎上，保障以電子交易和電子支付為核心的電子商務過程的順利進行。即實現電子商務保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。計算機網絡安全與商務交易安全實際上是密不可分的，兩者相輔相成，缺一不可。沒有計算機網絡安全作為基礎，商務交易安全就猶如空中樓閣，無從談起。沒有商務交易安全保障，即使計算機網絡本身再安全，仍然無法達到電子商務所特有的安全要求。

2 電子商務安全技術

目前，進行電子商務交易的企業所面臨的主要安全問題有：

1）機密性：為防止信息被非授權的人竊聽，需要保證電子商務中涉及的大量機密信息在本地存儲和在網絡的傳輸過程中不被竊取。

2）認證：在電子商務活動中，需要對雙方進行認證，以保證交易雙方身份的正確性。確保要進行交易的貿易方的真實身份確實與對方宣稱的身份一致，是保證電子商務順利進行的關鍵之一。

3）完整性：要防止信息的丟失、偽造、篡改、刪除和傳送次序的混亂，保證電子商務中所傳輸的交易信息不被中途篡改及通過重復發送進行虛假交易等。

4）不可否認性：在電子商務的交易完成后，要保證交易的任何一方無法否認己發生的交易.

針對這些安全問題，加密解密技術、消息認證(Message Authentication)技術、數字簽名技術和數字證書技術被提出來，通過它們及其組合可以增強電子商務的安全性。

Java開發的工具包JDK(Java Development Kit)提供了實現信息加密解密、數字簽名和數字證書的各種類、函數和方法。

2.1 加密/解密

所謂數據加密就是通過對原始的文件或數據(稱為明文)用某種算法進行處理，使其轉變為對未經授權的讀者而言不可理解的一段信息（稱為密文），這段轉變后的信息只能在輸入相應的密鑰之后才能顯示出其本來的內容。通過這樣的途徑來達到保護數據不被未經授權者竊取、閱讀的目的。該過程的逆過程為解密，即將該編碼信息轉化為其原來數據的過程。

電子商務活動中的大量電子信息在網絡上傳輸的時候，都需要保證信息的機密性，這時，加密技術起到關鍵作用。另外，加密技術是其它安全技術的基礎，很多其它安全技術都是以加密技術為基礎的，比如后面提到的數字簽名等.

2.2 消息認證

消息認證(也有稱作報文認證)是用來校驗所接收的消息是否來自所宣稱的發送方，并且該消息沒有被篡改的技術。消息認證用來解決網絡傳輸中的信息偽裝、內容篡改、插入刪除和消息順序的改變等非法攻擊等。

在電子商務活動中，通過消息認證算法和認證協議，如果發生發送方所傳輸的交易信息被偽裝、篡改、插入和刪除，以及交易信息順序被改變等情況，都可以被接收方發現，這樣可以保證信息的完整性，防止電子商務活動中惡意的破壞活動。

2.3 數字簽名

客觀世界中，書信或文件是根據親筆簽名或者印璽來證明其真實性。在計算機網絡中，被傳送報文的簽名者身份的標識是由數字簽名技術來完成的。數字簽名利用一套規則和一個參數對所要簽名的數據進行計算，計算的結果能夠確認簽名者的身份和數據的完整性。

通過數字簽名，接收方能夠核實發送方對信息的簽名，發送方事后不能抵賴對報文的簽名，接收方和其它人由于沒有發送方的私鑰，也就不能偽造對信息的簽名。對于一個用戶來講，實施數字簽名時首先要生成他的密鑰對，并且分別保存。

2.4 數字證書

數字證書是一段包含用戶身份信息、用戶公鑰信息以及證書認證中心(CA)數字簽名的文件，它由證書認證中心管理。認證中心作為權威的、可信賴的、公正的第三方機構，專門負責為各種認證需求提供數字證書服務，它的數字簽名可以確保證書信息的真實性。

網上為安全傳輸信息，傳輸前傳輸的雙方首先互相交換證書，驗證彼此的身份;然后，發送方利用證書中的加密密鑰和簽名密鑰對要傳輸的數字信息進行加密和簽名，這就保證了只有合法的用戶才能接收該信息，同時保證了傳輸信息的機密性、真實性、完整性和不可否認性。從而保證網上信息的安全傳輸。

3 電子支付模型

典型的基于信用卡的網上支付類型有三種：

1）第三方經紀人模型（圖1）

第三方經紀人支付模型特點如下：

① 用戶在第三方付費系統服務器上開一個帳戶；

② 用戶使用這個帳戶付款；

③ 商家自由度大，風險小；

④ 支付是通過雙方都信任的第三方（經紀人）完成。

2）簡單加密支付模型（圖2）

① 用戶只需在銀行開立一個普通信用卡帳戶，在支付時，用戶提供信用卡號碼和密碼；

② 傳輸時要進行加密，只有業務提供商或第三方付費處理系統能夠識別；

③ 一系列的加密、授權、認證以及相關信息傳遞，使交易成本提高，所以這種方式不適合用于小額交易。

3）安全電子交易（SET）模型（圖3）

電子安全交易，簡稱SET，是一個在開放的互聯網上實現安全電子交易的一個國際協議和標準。它采用RSA公開密鑰體系對通信雙方進行認證。

綜合比較以上三種典型電子支付方式：

① 基于第三方經紀人的網上支付模式大大降低了消費者和商戶的風險，比較流行，由于第三方經濟人對帳戶的管理非實名制，給了網上盜取他人銀行帳號洗錢的可能；

② 對于簡單加密的網上電子支付，使用簡便，但保密性不夠強，要注意計算機的病毒尤其是木馬病毒的防止；

③ 基于SET網上電子支付由于交易的參與方均要驗證數字證書，結構過于復雜，安全門檻設置太高，在網絡狀況不好時，處理熟讀慢。因為交易的參與方均要使用文件或移動證書，理論上安全可靠。

④ 現階段國內個人用戶最安全的模式是使用各銀行自行頒發的CA證書，用戶使用網上電子支付時，銀行要驗證客戶的證書。

4 基于移動支付確認的電子支付模型

將簡單加密模型經過改進，在用戶到發卡行申請開戶時，發卡行將用戶行用卡與用戶手機綁定，用戶進行網上支付時，必須得到用戶的手機信息確認。

目前，國內手機用戶數量龐大，屬于普及性的通信產品，短信資費低廉，招商銀行已開通WAP2.0手機銀行業務，中國工商銀行已開通短信銀行業務。

利用手機短消息確認支付信息快捷，但手機屏幕及鍵盤太小，輸入大量信息不便，綜合計算機和手機兩者的優勢，用戶在進行網上支付時，輸入卡號和密碼后，收單行處理后反饋給用戶手機“是否確認”信息，等待用戶確認，如果沒有得到用戶的確認，收單行不予支付。這樣，就保證了用戶資金的安全性。

基于移動支付確認的電子支付模型如圖4所示。

5 結束語

在計算機互聯網絡上實現的電子商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統在保證其計算機網絡硬件平臺和系統軟件平臺安全的基礎上，計算機網絡安全與商務安全的雙重要求，使電子商務安全的復雜程度比大多數計算機網絡更高，因此電子商務安全應作為安全工程，而不是解決方案來實施。

參考文獻：

[1] 劉軍，季常煦，曾潔瓊.電子商務系統的規劃與設計[M].北京：人民郵電出版社，2001.

[2] 吳應良.電子商務原理與應用[M].廣州：華南理工大學出版社，2003.

[3] 孫衛琴，李洪成.Tomcat與Java Web開發技術詳解[M].北京：電子工業出版社，2004.

[4] 趙強，喬新亮.J2EE應用開發[M].北京:電子工業出版社，2003.

[5]（美）Eckel B. Thinking in Java Third Edition[M].北京：機械工業出版社，2006.

[6]（美）Horstmann C S， Cornell G. Core Java VolumeI[M].北京：機械工業出版社，2006.