基于Ｗｅｂ　Ｓｅｒｖｉｃｅ的電子商務(wù)安全的問題

魯　娟　王麗英

[摘要]隨著電子商務(wù)技術(shù)的發(fā)展，網(wǎng)絡(luò)交易安全成為電子商務(wù)發(fā)展的核心和關(guān)鍵問題。基于Web Service的電子商務(wù)安全的問題已經(jīng)成為電子商務(wù)順利發(fā)展的重要市場環(huán)境條件。在分析基于Web Service的電子商務(wù)的主要安全要素的基礎(chǔ)上，具體介紹采用目前電子商務(wù)領(lǐng)域的幾種安全技術(shù)來消除電子商務(wù)活動中的安全隱患。

[關(guān)鍵詞]Web Service 電子商務(wù) 安全技術(shù)

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0120072－01

電子商務(wù)(EC，Electronic Com-merce)是在Internet開放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器/服務(wù)器應(yīng)用方式，實現(xiàn)消費者的網(wǎng)上購物、商戶之間的網(wǎng)上交易和在線電子支付的一種新型的商業(yè)運營模式。隨著計算機和計算機網(wǎng)絡(luò)的應(yīng)用普及，電子商務(wù)不斷被賦予新的含義。電子商務(wù)被認為是通過信息技術(shù)(IT)將企業(yè)、用戶、供應(yīng)商及其它商貿(mào)活動涉及的職能機構(gòu)結(jié)合起來的應(yīng)用，是完成信息流、物流和資金流轉(zhuǎn)移的一種行之有效的方法。隨著Internet的普及以及Web Service的提供，可以以聲、文、圖并茂的方式體現(xiàn)商品的特征。目前電子商務(wù)工程正在全國迅速發(fā)展。如何保證基于web服務(wù)的電子商務(wù)安全的問題是電子商務(wù)發(fā)展的關(guān)鍵，也是人們關(guān)注的焦點。

一、電子商務(wù)的安全要素

由于Internet本身的開放性，使網(wǎng)上交易面臨了種種危險，也由此對電子商務(wù)提出了相應(yīng)的安全要求，主要體現(xiàn)在以下幾個方面：

1．有效性：保證網(wǎng)上交易合同的有效性，防止網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。

2．保密性：對交易的內(nèi)容、交易雙方賬號、密碼不被他人識別和盜取。假設(shè)信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務(wù)的信息傳播中一般均有加密的要求。

3．完整性：防止對信息的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的正確。

4．可靠性：網(wǎng)上交易中，要使交易成功，首先要能確認對方的身份，對商家而言要考慮客戶端不能是騙子，而客戶也會擔(dān)心網(wǎng)上的商店不是一個弄虛作假的黑店，通過傳統(tǒng)的手寫簽名和印章進行貿(mào)易方的鑒別已不可能，因此，要在交易信息的傳輸過程中為參與交易的主體提供可靠的標識。

二、電子商務(wù)的安全問題

為了滿足電子商務(wù)的安全要求，應(yīng)對網(wǎng)上交易的安全挑戰(zhàn)，保障電子商務(wù)過程的安全順利進行，具體來說應(yīng)解決以下幾個方面的問題：

1．數(shù)據(jù)保密：防止非授權(quán)用戶獲得并使用該數(shù)據(jù)。

2．數(shù)據(jù)完整性：確保網(wǎng)絡(luò)上的數(shù)據(jù)在傳輸過程中沒有被篡改。

3．身份驗證：對貿(mào)易方的身份進行鑒別，為身份的真實性提供保證。

4．授權(quán)：控制誰能夠訪問網(wǎng)絡(luò)上的信息并且能夠進行何種操作。

5．不可抵賴和不可否認：用戶不能抵賴自己曾做出的行為，也不能否認曾經(jīng)接到對方的信息。即如何保證傳輸數(shù)據(jù)的安全和交易對方的身份確認。

三、電子商務(wù)中的安全技術(shù)

各種電子商務(wù)安全服務(wù)都是通過安全技術(shù)來實現(xiàn)的，目前電子商務(wù)系統(tǒng)中使用的安全技術(shù)包括網(wǎng)絡(luò)安全技術(shù)、加密技術(shù)、數(shù)字簽名、密鑰管理技術(shù)、認證技術(shù)、防火墻技術(shù)以及相關(guān)的一些安全協(xié)議標準等。

1．網(wǎng)絡(luò)安全技術(shù)。計算機網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ)，它所涉及到的方面比較多，如操作系統(tǒng)安全、防火墻技術(shù)、虛擬專用網(wǎng)VPN技術(shù)和入侵檢測、漏洞檢測技術(shù)病毒檢測及清除技術(shù)、內(nèi)容分類識別和過濾技術(shù)、系統(tǒng)安全監(jiān)測報警技術(shù)等。

2．加密技術(shù)。數(shù)據(jù)加密被認為是最可靠的安全保障形式，它可以從根本上滿足信息完整性的要求，是一種主動的信息安全防范措施。數(shù)據(jù)加密原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。目前，獲得廣泛應(yīng)用的兩種加密技術(shù)是對稱密鑰加密體制和非對稱密鑰加密體制。它們的主要區(qū)別在于所使用的加密和解密的密碼是否相同。

3．數(shù)字簽名技術(shù)。數(shù)字簽名(Digital Signature)技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)安全保密系統(tǒng)中，數(shù)字簽名技術(shù)有著特別重要的地位，在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認服務(wù)中都要用到數(shù)字簽名技術(shù)。

4．數(shù)字時間戳技術(shù)。在電子商務(wù)交易的文件中，時間是十分重要的信息，是證明文件有效性的主要內(nèi)容。在簽名時加上一個時間標記，即有數(shù)字時間戳(Digita Time-stamp)的數(shù)字簽名方案；驗證簽名的人或以確認簽名是來自該小組，卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性，其他任何人除了得到該指定人或簽名者本人的幫助，否則不能驗證簽名。

5．認證技術(shù)。為解決Internet的身份認證安全問題，目前廣泛采用的PKI（Public Key Infrastructure公鑰基礎(chǔ)設(shè)施）體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書管理公鑰，通過第三方的可信機構(gòu)CA，把用戶的公鑰和用戶的其他標識信息（如名稱、e-mail、身份證號等）捆綁在一起，在Internet網(wǎng)上驗證用戶的身份，PKI體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來，在Internet網(wǎng)上實現(xiàn)密鑰的自動管理，保證網(wǎng)上數(shù)據(jù)的機密性、完整性。采用認證技術(shù)，除了能鑒別網(wǎng)上交易參與者的真實身份外，還能防冒充、防抵賴、防竊聽、防篡改。對于在網(wǎng)上進行交易的雙方來說，數(shù)字證書對他們之間建立信任是至關(guān)重要的。

6．防火墻技術(shù)。防火墻(Firewall)是近年來發(fā)展的最重要的安全技術(shù)，它的主要功能是加強網(wǎng)絡(luò)之間的訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)（被保護網(wǎng)絡(luò)）。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包，按照一定的安全策略來實施檢查，決定網(wǎng)絡(luò)之間通信的權(quán)限，并監(jiān)視網(wǎng)絡(luò)的運行狀態(tài)。實現(xiàn)防火墻技術(shù)的主要途徑有：數(shù)據(jù)包過濾、應(yīng)用網(wǎng)關(guān)和代理服務(wù)。隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全。

四、小結(jié)

本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù)并指出了它們分別的使用范圍及其優(yōu)缺點，但是，任何技術(shù)手段都不能保證100％的安全。電子商務(wù)是一個充滿機遇和挑戰(zhàn)的新領(lǐng)域，這種挑戰(zhàn)不僅來源于傳統(tǒng)的習(xí)慣，更來源于安全技術(shù)的應(yīng)用。近幾年來，電子商務(wù)安全技術(shù)雖然已經(jīng)取得長足的進步，但是電子商務(wù)要真正成為一種主導(dǎo)的商務(wù)模式，還必須在安全技術(shù)上有更大的突破。

參考文獻：

[1]趙立平，電子商務(wù)概論[M].上海：復(fù)旦大學(xué)出版社，2000.

[2]林聰榕，世界主要國家信息安全的發(fā)展動向[J].中國信息導(dǎo)報，2001，(1).

[3]覃征、謝國彤等編著，商務(wù)體系結(jié)構(gòu)及系統(tǒng)設(shè)計，西安：西安交通大學(xué)出版社，2001.