【摘 要】本文闡述了安全性在電子商務(wù)活動中的重要性，對當(dāng)前電子商務(wù)過程中存在的安全問題做了全面的分析，并針對這些安全隱患提出了幾種解決方案，對這些方案在技術(shù)原理、適用環(huán)境等方面進(jìn)行了分析，并對其各種技術(shù)方案存在的缺陷進(jìn)行了說明，這些將對電子商務(wù)的安全防護(hù)起到積極的作用。

　　【關(guān)鍵詞】電子商務(wù) 安全技術(shù) 密鑰 數(shù)字簽名

　　一、引言

　　電子商務(wù)是以電子信息技術(shù)為基礎(chǔ)的商務(wù)運作，是信息技術(shù)的發(fā)展對社會經(jīng)濟(jì)生活產(chǎn)生巨大影響的一個實例，也是網(wǎng)絡(luò)新經(jīng)濟(jì)迅猛發(fā)展的代表。電子商務(wù)的核心內(nèi)容是網(wǎng)上交易，尤其是通過公共的因特網(wǎng)將眾多的社會經(jīng)濟(jì)成員聯(lián)系起來的網(wǎng)上交易更是成為發(fā)展的熱點，電子商務(wù)所具有的廣闊發(fā)展前景，越來越為世人所矚目。但在Internet給人們帶來巨大便利的同時，也把人們引進(jìn)了安全陷阱。目前，阻礙電子商務(wù)廣泛應(yīng)用的首要也是最大的問題就是安全問題。電子商務(wù)中的安全問題如得不到妥善解決，電子商務(wù)應(yīng)用就只能是紙上談兵。從事電子商務(wù)活動的主體都已普遍認(rèn)識到電子商務(wù)的交易安全是電子商務(wù)成功實施的基礎(chǔ)，是企業(yè)制訂電子商務(wù)策略時必須首先要考慮的問題。對于實施電子商務(wù)戰(zhàn)略的企業(yè)來說，保證電子商務(wù)的安全已成為當(dāng)務(wù)之急。

　　二、電子商務(wù)過程中面臨的主要安全問題

　　從交易角度出發(fā)，電子商務(wù)面臨的安全問題綜合起來包括以下幾個方面：

　　1.有效性

　　電子商務(wù)以電子形式取代了紙張，那么保證信息的有效性就成為開展電子商務(wù)的前提。因此，要對網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。

　　2.真實性

　　由于在電子商務(wù)過程中，買賣雙方的所有交易活動都通過網(wǎng)絡(luò)聯(lián)系，交易雙方可能素昧平生，相隔萬里。要使交易成功，首先要確認(rèn)對方的身份。對于商家而言，要考慮客戶端不能是騙子，而客戶端也會擔(dān)心網(wǎng)上商店是否是一個玩弄欺詐的黑店，因此，電子商務(wù)的開展要求能夠?qū)灰字黧w的真實身份進(jìn)行鑒別。

　　3.機(jī)密性

　　電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機(jī)密。如信用卡的賬號和用戶名被人知悉，就可能被盜用而蒙受經(jīng)濟(jì)損失；訂貨和付款信息被競爭對手獲悉，就可能喪失商機(jī)。因此建立在開放的網(wǎng)絡(luò)環(huán)境電子商務(wù)活動，必須預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。

　　三、電子商務(wù)安全中的幾種技術(shù)手段

　　由于電子商務(wù)系統(tǒng)把服務(wù)商、客戶和銀行三方通過互聯(lián)網(wǎng)連接起來，并實現(xiàn)了具體的業(yè)務(wù)操作。因此，電子商務(wù)安全系統(tǒng)可以由三個安全代理服務(wù)器及CA認(rèn)證系統(tǒng)構(gòu)成，它們遵循共同的協(xié)議，協(xié)調(diào)工作，實現(xiàn)電子商務(wù)交易信息的完整性、保密性和不可抵賴性等要求。其中采用的安全技術(shù)主要有以下幾種：

　　1.防火墻（FireWall）技術(shù)

　　防火墻是一種隔離控制技術(shù)，在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。

　　2.加密技術(shù)

　　數(shù)據(jù)加密技術(shù)是電子商務(wù)中采取的主要安全措施，貿(mào)易方可根據(jù)需要在信息交換的階段使用。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式：對稱加密和非對稱加密，采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng)，而不能簡單地根據(jù)其加密強(qiáng)度來做出判斷。

　?。?）對稱加密

　　在對稱加密方法中，對信息的加密和解密都使用相同的密鑰。也就是說，一把鑰匙開一把鎖。這種加密算法可簡化加密處理過程，貿(mào)易雙方都不必彼此研究和交換專用的加密算法，如果進(jìn)行通信的貿(mào)易方能夠確保私有密鑰在交換階段未曾泄露，那么機(jī)密性和報文完整性就可以得到保證。不過，對稱加密技術(shù)也存在一些不足，如果某一貿(mào)易方有n個貿(mào)易關(guān)系，那么他就要維護(hù)n個私有密鑰。對稱加密方式存在的另一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因為貿(mào)易雙方共享一把私有密鑰。目前廣泛采用的對稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)（DES），它主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬（EFT）領(lǐng)域。DES對64位二進(jìn)制數(shù)據(jù)加密，產(chǎn)生64位密文數(shù)據(jù)。使用的密鑰為64位，實際密鑰長度為56位（8位用于奇偶校驗）。解密時的過程和加密時相似，但密鑰的順序正好相反。

　?。?）非對稱加密/公開密鑰加密

　　在Internet中使用更多的是公鑰系統(tǒng)，即公開密鑰加密。在該體系中，密鑰被分解為一對：公開密鑰PK和私有密鑰SK.這對密鑰中的任何一把都可作為公開密鑰（加密密鑰）向他人公開，而另一把則作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能由生成密鑰對的貿(mào)易方掌握，公開密鑰可廣泛發(fā)布，但它只對應(yīng)于生成該密鑰的貿(mào)易方。在公開密鑰體系中，加密算法E和解密算法D也都是公開的。雖然SK與PK成對出現(xiàn)，但卻不能根據(jù)PK計算出SK.公開密鑰算法的特點如下：用加密密鑰PK對明文X加密后，再用解密密鑰SK解密，即可恢復(fù)出明文，或?qū)憺椋篋SK （EPK （X））=X .加密密鑰不能用來解密，即DPK （EPK （X））≠X在計算機(jī)上可以容易地產(chǎn)生成對的PK和SK.從已知的PK實際上不可能推導(dǎo)出SK.加密和解密的運算可以對調(diào)，即：EPK （DSK （X））=X常用的公鑰加密算法是RSA算法，加密強(qiáng)度很高。具體做法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來。發(fā)送方在發(fā)送數(shù)據(jù)時必須加上數(shù)字簽名，做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名，然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。這些密文被接收方收到后，接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名，然后用發(fā)布方公布的公鑰對數(shù)字簽名進(jìn)行解密，如果成功，則確定是由發(fā)送方發(fā)出的。由于加密強(qiáng)度高，而且不要求通信雙方事先建立某種信任關(guān)系或共享某種秘密，因此十分適合Internet網(wǎng)上使用。

　　3.數(shù)字簽名

　　數(shù)字簽名技術(shù)是實現(xiàn)交易安全核心技術(shù)之一，它實現(xiàn)的基礎(chǔ)就是加密技術(shù)。以往的書信或文件是根據(jù)親筆簽名或印章來證明其真實性的。但在計算機(jī)網(wǎng)絡(luò)中傳送的報文又如何蓋章呢？這就是數(shù)字簽名所要解決的問題。數(shù)字簽名必須保證以下幾點：接收者能夠核實發(fā)送者對報文的簽名；送者事后不能抵賴對報文的簽名；接收者不能偽造對報文的簽名?，F(xiàn)在己有多種實現(xiàn)數(shù)字簽名的方法，采用較多的就是公開密鑰算法。

　　4.數(shù)字證書

　?。?）認(rèn)證中心在電子交易中，數(shù)字證書的發(fā)放不是靠交易雙方來完成的，而是由具有權(quán)威性和公正性的第三方來完成的。認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。

　?。?）數(shù)字證書數(shù)字證書是用電子手段來證實一個用戶的身份及他對網(wǎng)絡(luò)資源的訪問權(quán)限。在網(wǎng)上的電子交易中，如雙方出示了各自的數(shù)字證書，并用它來進(jìn)行交易操作，那么交易雙方都可不必為對方身份的真?zhèn)螕?dān)心。

　　5.消息摘要（Message Digest）

　　消息摘要方法也稱為Hash編碼法或MDS編碼法。它是由Ron Rivest所發(fā)明的。消息摘要是一個惟一對應(yīng)一個消息的值。它由單向Hash加密算法對所需加密的明文直接作用，生成一串128bit的密文，這一串密文又被稱為“數(shù)字指紋”（ Finger Print ）。所謂單向是指不能被解密，不同的明文摘要成密文，其結(jié)果是絕不會相同的，而同樣的明文其摘要必定是一致的，因此，這串摘要成為了驗證明文是否是“真身”的數(shù)字“指紋”了。

　　四、小結(jié)

　　本文詳細(xì)探討了電子商務(wù)安全體系所面臨的問題，并提出了安全防護(hù)的幾種技術(shù)手段，相信隨著時間的推移和技術(shù)的發(fā)展，電子商務(wù)安全體系將越來越完善，足不出戶而通過Internet電子商務(wù)系統(tǒng)實現(xiàn)購物、交易和做生意將成為人們生活的新時尚。

　　參考文獻(xiàn)：

　　[1]徐海來：電子商務(wù)的運作與安全[J].中國信息導(dǎo)報，2000.6：126

　　[2]劉 進(jìn)：電子商務(wù)網(wǎng)上交易系統(tǒng)[M].第一版，北京：機(jī)械工業(yè)出版社，2003：157

　　[3]李延昭：電子商務(wù)的交易安全[J].計算機(jī)世界，2000.9：79 [4]陳國章：電子商務(wù)數(shù)字認(rèn)證教程[M].第一版，北京：機(jī)械工業(yè)出版社，1999：237