电子商务安全策略综述

[摘 要] 电子商务是商务发展的内在要求及技术发展的外在推动下应运而生的，安全性是第一位要考虑的问题，是由一系列安全机制工作组成。本文主要从技术角度详细分析了其中存在的安全隐患和威胁，详述了安全性需求和实现网络的安全技术策略，并探讨了保证交易安全的两个协议，即安全电子交易协议SET和安全套接层协议SSL，并对两种协议做出了相应的分析和比较。

[关键词] 安全体系 加密 数字证书 电子商务 安全交易标准

一、引言

当前的电子商务是指通过电子方式的商务活动。它作为一种全新的业务和服务方式，为全球客户提供了丰富的商务信息、便捷的交易过程和廉价的交易成本。但是，电子商务给人们带来方便的同时，也把人们引入安全忧虑之中。买方担心在网络上传输的信用卡及个人资料被截取；卖方则担心收到的是被盗用的信用卡号码，或是交易不认账等，这些存在的安全漏洞问题已成为阻碍网上交易发展的首要问题。相对于传统商务，电子商务对管理机制、实施平台和信息传递技术都提出了更高的要求，其中安全体系的构建尤为显得重要，已成为电子商务能否得到进一步发展和推广的关键所在。

二、电子商务安全体系结构

1.电子商务中存在的安全隐患和威胁

Internet是电子商务实现的网络基础，它采用TCP/IP完成不同网络与不同计算机之间的通信，正是由于这些特点，使它给电子商务带来了很多的安全问题。Internet的安全隐患主要体现在四个方面。

开放性和资源共享是Internet的主要优点，但它带来的问题却不容忽视。因为当甲方在很容易的访问乙方时，如果没有采取任何措施，乙方同样很容易的访问甲方的计算机。

Internet采用的协议TCP/IP并未采用任何措施来保护传输内容不被窃取。它是一种包交换网络，每个数据包在网络上都是透明传输的，并且可能经过不同的网络，由路由器转发到达目的计算机。数据在传输过程中可能会遭到IP窥探、同步信号淹没、TCP会话窃听、复位与结束信号攻击等威胁。

Internet底层的操作系统如UNIX，由于源代码的公开，很容易发现漏洞，给Internet用户带来安全问题。

相比较传统信函，电子化信息就缺乏可信度，电子信息是否准确很难由其本身来鉴别。在Internet上传递电子信息时，难以确认信息发送者及信息是否被正确无误地传递给对方。

由于Internet存在上述安全隐患，将给电子商务带来如下的安全威胁。

由于非法入侵，造成商务信息被纂改、窃取或丢失。

商业机密在传输过程中被第三方获悉，被恶意破坏。

虚假身份的交易对象及虚假订单、合同。

贸易对象的抵赖。

由计算机系统故障造成的对交易过程和商业信息安全的破坏。

综上所述，电子商务面临多方面的威胁，存在许多安全隐患。

2.电子商务的安全性内容

要使电子商务健康、顺利发展，必须解决好以下几种关键的安全性要求。

(1)保证信息的保密性和完整性。在交易过程中必须保证信息不被非授权用户窃取，数据在输入和传输过程中能保证数据的一致性。

(2)不可否认性。它是指信息发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。

(3)真实性。商务活动交易双方身份是真实的，不是假冒的，不存在的。

(4)系统的可靠性与内部网络的严密性。在计算机失效、程序错误、传输错误、硬件各种及计算机病毒等潜在威胁下，有容错处理机制、数据恢复能力，确保系统安全、可靠。对企业内部网络而言，要保证内部网络不被入侵。

3.电子商务安全技术体系结构

电子商务的安全技术体系结构是保证电子商务中数据安全的一个完整逻辑结构，如图所示。其中，下层是上层的基础，为上层提供技术支持。上层是下层的扩展与递增。各层相互联系、相互依赖的构成一个整体。通过不同的安全控制技术，实现各层的安全策略，有效保证了电子商务系统的安全。

三、电子商务的安全技术

1.防火墙技术

防火墙是建立在内外网络边界上的过滤封装机制，内部网络被认为是安全和可信赖的，而外部网络（通常指Internet）被认为是不安全和不可信赖的。防火墙的主要目的是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全策略。

防火墙的主要技术有包过滤技术、服务器技术、应用网关技术和状态检测包过滤技术，现在最常用的是状态检测包过滤技术。状态检测防火墙对每个合法网络连接保存的信息包括源地址、目的地址、协议类型、协议相关信息、连接状态和超时时间等称为状态。通过状态检测，可实现比简单包过滤防火墙具有更好的安全性。

2.加密技术

数字加密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行数据加密来保障安全性。利用加密技术，可以将某些重要的信息和数据从一个可以理解的明文转换为复杂的、不可理解的密文形式，在线路上传送或在数据库中存储，其他用户再将密文还原为明文。

3.信息摘要

密钥加密技术只能解决信息的保密性问题，对信息的完整性则可以使用信息摘要技术来实现。信息摘要又称为Hash算法，是一种单向加密算法，其加密结果是不能解密的。通过Hash算法，得到一个固定长度（128位）的散列值，不同的原文产生的信息摘要必不相同，相同的原文产生的信息摘要必定相同。这样，通过用接收方产生的摘要与发送方发来的摘要比较，若两者相同则表示原文在传输过程中没有被修改，否则说明原文被修改过。

4.数字签名

数字签名是密钥加密和信息摘要相结合的技术，用于保证信息的完整性和不可否认性。签名机制的特征是该签名只有通过签名者的私有信息才能产生，即一个签名者的签名只能惟一地由他自己生成。当收发双方发生争议时，第三方就能根据消息上的数字签名来裁定这条消息是否由发送方发出，从而实现不可否认服务。

5.数字时间戳

在电子交易中，时间和签名同等重要。数字时间戳是由专门机构提供的电子商务安全服务项目，用于证明信息发送的时间。

6.数字证书与CA认证

由于电子商务在网络中完成，互相之间不见面，因此为了保证每个人及机构都能惟一且被准确无误地识别，就需要进行身份认证。身份认证可以通过验证参与各方的数字证书来实现，而数字证书是由认证中心（CA）颁发的。

所谓CA（Certificate Authority：证书发行机构），是采用PKI（Public Key Infrastructure：公共密钥体系）公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，具有权威性和公正性的第三方信任机构，其作用就像现实生活中颁发证件的机构。

四、电子商务安全交易标准

要实现安全的电子商务交易，交易双方必须遵照统一的安全标准协议。当前，电子商务的安全机制正走向成熟，并逐渐形成了一些国际规范，比较有代表性的有安全套接层协议SSL（Secure Sockets Layer）和安全电子交易协议SET（Secure Electronic Transaction）。

1.安全套接层协议SSL

SSL协议是由Netscape公司研制的安全协议，SSL使用加密的方法建立一个安全的通信通道，以使客户的信用卡号传送给商家，商家再将其转发给银行，银行验证后在通知商家付款成功。该协议已成为事实上的工业标准，微软、IBM公司都提供基于这种简单加密模式的支付系统。

2.安全电子交易SET协议

SET协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和MasterCard组织制定的，用于在Internet上进行在线交易时保证信用卡支付安全的开放性安全技术标准。由于得到了微软、IBM、RAS公司的支持与参与，已成为工业事实上的标准。

SET协议采用了RSA公私钥加密系统、数字签名、数字证书认证等技术，保证了支付信息的保密性、完整性和不可否认性。该协议提供了客户、商家和银行之间的身份认证，而交易信息和客户信用卡信息相互隔离，即商家只能获取订单信息，银行只能获得持卡人信用卡支付信息，双方互不干扰，各去所需，构成了SET协议的主要特色，使得SET成为电子商务的安全规范。

3.SET、SSL协议比较

(1)SET是一个专门的安全电子支付协议，而SSL本质上是一个网络安全协议，仅在双方间建立起安全连接。SET是一个多方的消息报文协议，定义了银行、商家和持卡人间必须符合的报文规范，它比SSL在交易过程中的信任度更强。

(2)SSL仅有商家的服务器需要认证，客户端只是选择性认证；而SET在整个交易过程中都受到严密保护，其安全性比SSL高。

(3)SSL协议中若想进行电子商务交易，只需通过浏览器实现，设置成本低廉，其交易只要几十秒就可完成；SET尽管安全性高，但需要专门的软件来实现，客户、商家改造成本高，由于交易过程各方之间进行多次加密传输，每次交易需要数分钟。

综上所述，SSL与SET协议是电子商务中最普遍的两种安全电子支付协议，各有优缺点。SSL虽然简单快捷，但随着电子商务的发展其缺点凸现出来，需采用更先进的支付系统。而SET虽有更强的功能和安全性，但过于复杂，使得大面积推广还有很大障碍，并且成本昂贵，所以，在未来一段时间里将会是SSL和SET两种支付方式并存的局面。

五、结论

电子商务的本质是商务，技术是电子商务得以实现的手段。没有商务需求，技术的研究就失去了应用价值；没有技术实现，电子商务就不能得以实施，所以技术是电子商务的必要条件。而安全则是实现电子商务技术的前提，也是电子商务的必要条件。解决电子商务的安全问题不是一个单一的技术问题，它是由一系列工作组成，需要从电子商务安全管理、安全技术体系和法律等多方面开展工作和研究。

参考文献:

[1]胡道元 闵京华:网络安全[M].北京:清华大学出版社，2006

[2]祝凌曦:电子商务安全[M].北京：北方交通大学，2006.

[3]李晓燕 李福全 郭爱芳:电子商务概论[M].陕西：电子科技大学出版社，2004

[4]何 胜:电子商务中安全支付协议的对比及应用[J].计算机时代,2004(20)

[5]王 茜 杨德礼:电子商务安全体系结构及技术研究[J].计算机工程,2003,29(1)

[6]聂小逢 郑 东 顾 健:认证机构CA的安全体系设计[J].计算机工程，2004，30(12)