关于电子商务安全性初探

论文关键词:电子商务；数据加密；信息认证；安全交易标准

论文摘要:本文针对电子商务安全的要求，分析了电子商务中常用的安全技术,并阐述了数据加密技术、认证技术和电子商务的安全交易标准在电子商务安全中的应用。

所谓电子商务(Electronic Commerce) 是利用计算机技术、网络技术和远程通信技术, 实现整个商务(买卖)过程中的电子化、数字化和网络化。目前，因特网上影响交易最大的阻力就是交易安全问题, 据最新的中国互联网发展统计报告显示, 在被调查的人群中只有2.8%的人对网络的安全性是感到很满意的, 因此，电子商务的发展必须重视安全问题。

一、电子商务安全的要求

1、信息的保密性：指信息在存储、传输和处理过程中，不被他人窃取。

2、信息的完整性：指确保收到的信息就是对方发送的信息，信息在存储中不被篡改和破坏，保持与原发送信息的一致性。

3、 信息的不可否认性：指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。

4、 交易者身份的真实性：指交易双方的身份是真实的，不是假冒的。

5、 系统的可靠性：指计算机及网络系统的硬件和软件工作的可靠性。

在电子商务所需的几种安全性要求中，以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到以下多种安全技术的应用。

二、数据加密技术

将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。解密是加密的逆过程，即将密文还原成明文。

（一）对称密钥加密与DES算法

对称加密算法是指文件加密和解密使用一个相同秘密密钥，也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快，因此被广泛应用于对大量数据的加密过程。

最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。

（二）非对称密钥加密与RSA算法

为了克服对称加密技术存在的密钥管理和分发上的问题，1976年产生了密钥管理更为简化的非对称密钥密码体系，也称公钥密码体系(PublicKeyCrypt-system)，用的最多是RSA算法，它是以三位发明者（Rivest、Shamir、Adleman）姓名的第一个字母组合而成的。

在实践中，为了保证电子商务系统的安全、可靠以及使用效率，一般可以采用由RSA和DES相结合实现的综合保密系统。

三、认证技术

认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份，后者用于保证通信双方的不可抵赖性以及信息的完整性

（一）身份认证

用户身份认证三种常用基本方式

1、口令方式

这种身份认证方法操作十分简单，但最不安全，因为其安全性仅仅基于用户口令的保密性，而用户口令一般较短且容易猜测，不能抵御口令猜测攻击，整个系统的安全容易受到威胁。

2、标记方式

访问系统资源时，用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别，访问系统资源。

3、人体生物学特征方式

某些人体生物学特征，如指纹、声音、DNA图案、视网膜扫描图案等等，这种方案一般造价较高，适用于保密程度很高的场合。

加密技术解决信息的保密性问题，对于信息的完整性则可以用信息认证方面的技术加以解决。在某些情况下，信息认证显得比信息保密更为重要。

（二）数字摘要

数字摘要，也称为安全Hash编码法，简称SHA或MD5 ，是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法，其加密结果是不能解密的。类似于人类的“指纹”，因此我们把这一串摘要而成的密文称之为数字指纹，可以通过数字指纹鉴别其明文的真伪。

（三）数字签名

数字签名建立在公钥加密体制基础上，是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来，形成了实用的数字签名技术。

它的作用:确认当事人的身份，起到了签名或盖章的作用；能够鉴别信息自签发后到收到为止是否被篡改。

（四）数字时间戳

在电子交易中，时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用，是由DTS服务机构提供的电子商务安全服务项目，专门用于证明信息的发送时间。包括三个部分：需加时间戳的文件的数字摘要；DTS机构收到文件摘要的日期和时间； DTS机构的数字签名。

（五）认证中心

认证中心：（Certificate Authority，简称CA），也称之为电子商务认证中心，是承担网上安全电子交易认证服务，能签发数字证书，确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构，主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设（PKI）。

我国现有的安全认证体系(CA)在金融CA方面，根证书由中国人民银行管理，根认证管理一般是脱机管理；品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面，最初主要由中国电信负责建设。

（六）数字证书

数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体（如个人用户、服务器等）的身份以及其公钥的合法性的一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发。

以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

四、电子商务的安全交易标准

（一）安全套接层协议

SSL (secure sockets layer)是由Netscape Communication公司是由设计开发的，其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性，从而实现浏览器和服务器（通常是Web服务器）之间的安全通信。

目前Microsoft和Netscape的浏览器都支持SSL，很多Web服务器也支持SSL。SSL是一种利用公共密钥技术的工业标准，已经广泛用于Internet。

（二）安全电子交易协议

SET (Secure Electronic Transaction)它是由VISA和MasterCard两大信用卡公司发起，会同IBM、Microsoft等信息产业巨头于1997年6月正式制定的用于因特网事务处理的一种标准。采用DES、RC4等对称加密体制加密要传输的信息，并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性，目前已经被广为认可而成了事实上的国际通用的网上支付标准，其交易形态将成为未来电子商务的规范。

五、总结

网络应用以安全为本，只有充分掌握有关电子商务的技术，才能使电子商务更好的为我们服务。然而，如何利用这些技术仍是今后一段时间内需要深入研究的课题。

参考文献:

[1] 万守付，电子商务基础（第二版），人民邮电出版社，2006年6月第2版

[2] 加里.斯奈德, 詹姆斯.佩里著，电子商务( 第二版) [M], 成栋译.机械工业出版社, 2002.