電子商務及其安全防范[摘要]隨著因特網的飛速發展，電子商務正得到越來越廣泛的應用，進入21世紀，全球電子商務迎來了新的發展高潮。電子商務的安全性是影響其成敗的一個關鍵因素。本文首先討論了電子商務應用中所存在的問題，繼而對電子商務的安全性技術進行了分析。

[關鍵詞]電子商務；安全性；安全套接層協議；安全電子交易協議

隨著因特網的飛速發展，電子商務正得到越來越廣泛的應用，進入21世紀，全球電子商務迎來了新的發展高潮。電子商務的安全性是影響其成敗的一個關鍵因素。對電子商務中存在的安全問題及安全技術加以分析，才能滿足電子商務安全的基本需求，以推動電子商務的更快發展。

一、電子商務及其存在的問題

電子商務是指利用簡單快捷低成本的電子通信方式，買賣雙方不謀面而進行各種商業和貿易活動的新型貿易形式。它改變了傳統貿易形式，不僅改變了企業本身的生產、經營、管理活動，而且將導致人類經濟、社會和文化的一次新的革命。但目前電子商務的發展中還存在許多問題：

1．安全協議問題。我國大多數尚處在SSL(安全套接層協議)的應用上，SET協議的應用還只是剛剛試驗成功，在信息的安全保密體制上還不成熟，對安全協議還沒有全球性的標準和規范，相對制約了國際性的商務活動。

2．安全管理問題。在安全管理方面還存在很大隱患，究竟誰來管理，怎么管理，采取什么有序的管理辦法，這些問題亟待解決。需要有一個安全可靠的信息網絡普抵御黑客的攻擊。

3．電子商務沒有真正深入商務領域，而僅僅局限于信息領域。現在我國的電子商務好多只是停留在用計算機簡單模擬原來的手工操作流程，提供單純的技術產品為主，不擅長動態信息的跟蹤和獲取，個人用戶比較少，企業用戶還未大量出現。

4．技術人才短缺問題。電子商務是在近幾年才得到了迅猛發展，許多地方都缺乏足夠的技術人才來處理所遇到的各種問題。不少電子商務的開發商對網絡技術很熟悉，但是對安全技術了解得偏少，因而難以開發出真正實用的、安全性的產品。

5．法律問題。電子交易衍生了一系列法律問題，例如網絡交易糾紛的仲裁、網絡交易契約等問題，急需為電子商務提供法律保障。

6．稅收問題。電子商務的發展在促進貿易增加稅收的同時又對稅收制度及其管理手段提出了新要求。

二、電子商務中的安全性技術

安全性技術是保證電子商務健康有序發展的關鍵因素，也是目前大家十分關注的問題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性，但現在幾乎網絡的各個層次都制訂了安全協議和具備了相應的安全技術，以保證電子商務的安全性。

(一)安全的網絡平臺。安全可靠的網絡是實現電子商務的基礎，常用的方法是在網絡中采用防火墻技術，虛擬專用網(VPN)技術，防病毒保護等。防火墻技術是通過IP過濾和代理服務器軟件方法保護企業內部網(Intranet)中數據，只有授權用戶才能獲準進入企業內部網的系統。虛擬專用網(VPN)技術通過IP隧道等方法來保證企業協作網(Extranet)中企業間數據和企業內部網的遠程分支機構和外出職工對中央系統的遠程訪問數據的安全傳遞。單純依靠這些方法保護網絡的安全性是不夠的，還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務基石，例如現在的加密技術、數字簽名技術、電子認證技術等。

(二)密碼術概述。密碼技術雖然在第二次世界大戰期間開始流行，在當前才廣泛應用于網絡安全和電子商務安全之中，但其起源可追溯到幾千年前。其思想目前還在使用，只是在處理過程中增加了數學上的復雜性。現代密碼體制與傳統密碼體制的最大不同就在于：原文的保密性不再依賴于算法本身，而是依賴于密鑰的保密性，其算法本身則是公開的。在網絡上，計算機的數據以數據包的形式發送．為防止信息被竊取，應當對發送的全部信息進行加密。加密傳輸形式是一種將傳送的內容變成一些不規則的數據，只有通過正確的密鑰才可以恢復原文的傳輸形式。

根據密鑰的特點，加密算法可以分為對稱密鑰加密算法和非對稱密鑰加密算法兩類。

1．對稱密鑰加密算法是傳統的加密手段。最著名的對稱密鑰加密算法DES(DataEncryptions七andard)是由IBM公司在70年代發展起來的，并經過政府的加密標準篩選后，于1976年11月被美國政府采用。DES隨后被美國國家標準局和美國國家標準協會承認。在該類算法中，信息的發送方和接收方用同一個秘密密鑰去加密和解密數據，一方用商定好的加密函數和秘密密鑰加密明文，另一方用加密函數的逆函數和同一個秘密密鑰對密文解密，得到原始明文。顯然，通訊雙方需要事先交換秘密密鑰。這類加密算法執行效率高、速度快，適合對大數據量進行加/解密。但由于收發雙方共享一個秘密密鑰，密鑰的傳遞和管理很困難。目前常用的對稱密鑰加密算法有DES算法和工DEA算法等。

2．非對稱密鑰加密算法又稱公開密鑰技術。它需要使用一對密鑰來分別完成加密和解密操作，一個公開發布，稱為公開密鑰(Public-Key)；另一個由用戶自己秘密保存，稱為私有密鑰(Private-Key)。在該類算法中，每個用戶都擁有一對密鑰，一個是公開密鑰，另一個是私有密鑰。經用戶公開密鑰加密的信息只能通過他的私有密鑰來解密，反過來，經用戶私有密鑰加密的信息也只能通過他的公開密鑰來解密。當兩用戶通訊時，雙方都用又于的公開密鑰加密而用自己的私有密鑰解密，就可以實現信息的保密傳輸。常用的公開密鑰算法有RSA算法。

RSA算法是公開密鑰加密算法中比較優秀的算法，已經得到廣泛的應用。公開密鑰加密算法的安全性依賴于一類特殊的數學函數一單向哈希函數，單向哈希函數的性質為：從一個方向求值容易，但逆向計算卻很困難。公開密鑰加密算法的優點是不需在用戶之間傳遞私有密鑰，可以適應開放性的使用環境，但計算復雜度高，加密和解密速度都比對稱密鑰算法慢得多。

3．混合密鑰加密技術。為了充分利用公開密鑰密碼算法和私有密鑰密碼算法的優點，克服其缺點，解決每次傳送更換密鑰的問題，可以采用混合密碼技術，即所謂的電子信封技術口發送者自動生成對稱密鑰，用對稱密鑰加密發送的信息，將生成的密文連同用接收方的公開密鑰加密的對稱密鑰一起傳送出去。收信者用自己的私有密鑰解密被加密的密鑰來得到對稱密鑰，并用它來解密密文。這樣保證每次傳送都可由發送方選定不同密鑰進行，更好的保證了數據通訊的安全性。混合密鑰加密技術的加/解密過程如下：

a．加密方(或發方)：

a)生成明文；

b)用密鑰生成算法產生特定長度的對稱密鑰：

c)使用對稱密鑰加密算法(DES/IDEA)和該對稱密鑰對明文進行加密，形成密文；

d)用收方(RSA)公開密鑰加密對稱密鑰：

e)把加密后的對稱密鑰和密文一同發送給收方。

b．解密方(或收方)：

a)用收方的密鑰解密收到的已加密的密鑰，得到未加密的對稱密鑰；

b)用(a)中得到的對稱密鑰解密密文，得到明文。

從上面分析可以看出，把兩者結合起來使用，就可以綜合發揮兩種加密體制的優點，即DES/IDEA高速簡便性和RSA密鑰管理的方便性和安全性。也就是說，既保證了數據安全，又提高了加密和解密的速度。

(三)在線支付的安全技術。電子商務的另一個關鍵問題是要保證在線支付的安全，它是網上購物的重要保證。目前采用的在線支付協議有兩種：安全套接層SSL(SecureSocketsLayer)協議和安全電子交易SET(SecureElectronicTransac-tion)協議。

SSL協議

SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。SSL通過數字簽名和數字證書來實行身份驗證，數字證書是從認證機構(CertificateAuthority，CA)獲得的，通常包含有唯一標識證書所有者的名稱、唯一標識證書發布者的名稱、證書所有者的公開密鑰、證書發布者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后，雙方就可以用保密密鑰進行安全的會話了。其運行機制是：

①在建立連接過程中采用公開密鑰；

②在會話過程中使用專有密鑰；

③加密的類型和強度則在兩端之間建立連接過程中判斷決定。

采用SSL協議的電子交易過程如下：

①表示客戶購買的信息首先發往商家；②表示商家再將信息轉發銀行；③和⑤表示銀行驗證客戶的信息的合法性后，再通知商家和客戶付款成功；④表示商家再通知客戶購買成功。

這個流程有兩個方面的缺點：首先，客戶的銀行資料信息先送到商家，讓商家閱讀，這樣，客戶銀行資料的安全性就得不到保證；其次，SSL只能保證資料傳遞過程的安全，而傳遞過程是否有人截取就無法保證了。所以，SSL并沒有實現電子支付所要求的保密性、完整性，而多方互相認證也很困難的。

SET協議

SET協議是一個能保證通過開放網絡進行安全資金支付的技術標準。采用這種協議它主要解決了以下問題。

首先是客戶資料雖然通過商家到達銀行，但商家不能閱讀這些資料，解決了客戶資料的安全性問題；其次是協議解決了網上交易存在的客戶與銀行之間、客戶與商家之間、商家與銀行之間的多方認證問題；再其次是由于整個交易過程是建立在Intranet，Extranet和Internet的網絡基礎上的，保證了網上交易的實時性。

SET協議下的交易模式如下：

SET使訂單信息和信用卡信息的隔離。在把包含信用卡號碼信息的訂單送到商家時，商家只能看到訂單信息，卻看不到信用卡號碼信息，并且需要持卡人和商家相互認證，確定通信雙方身份，一般由認證中心為雙方提供信用擔保。

SET定義了一個完備的電子交易流程，較好地解決了電子交易中各方間復雜的信任關系和安全連接，確保了電子交易中信息的真實性、保密性、防抵賴性和不可更改性。但由于SET協議龐大而又復雜，銀行、商家和客戶均需改造才能實現互操作，使得SET協議被普遍使用還需有一個過程。在我國，大多尚處在對SSL協議的應用上，要完全實現SET協議安全支付還要有一個過程。

(3)其它安全問題

對于電子商務的安全性來講，有了防火墻與安全協議和規范還不夠，一方面，網絡本身的物理差錯是難以避免的；另一方面，Internet主干網和DNS服務器的可靠性，撥號連接質量與速度還不能滿足人們的需求；另外，惡意代碼對網絡系統的威脅，單純依賴技術是很難解決的，從某種意義上講，依靠管理加強內部人員的安全防范意識等比安全技術更為重要。因此，要加強電子商務的安全性應從多方面入手。

三、對我國電子商務發展的幾點建議

1．提高服務的安全性

電子商務飛快的發展速度，致使其安全技術和安全管理都跟不上，這已成為越來越突出的問題，但不能因為安全問題而制約了電子商務的發展，使安全成為發展的瓶頸，發展是首位的，沒有發展安全就無從談起。

2．加快網絡基礎設施建設和網絡普及程度

發展電子商務的目的在于降低交易成本，提高交易效率，因此應積極發展高速寬帶通信信道，重點建設光纜和衛星通信，同時積極利用現有通信線路發展ISDN和ADSL接入，利用有線電視線路，試驗發展HFC接入網。

3．盡快完善有關網絡安全等方面的法律

我國政府在《中華人民共和國合同法》中規定了以電子媒體為載體的合同具有法律約束力，對推廣電子商務有很大的促進作用，但是在諸多方面還需順應網絡技術的發展而不斷完善。

4．加快銀行、稅務以及郵政等物流環節的信息化建設步伐，建立企業到企業(BtoB)、企業到客戶(BtoC)的商務溝通，實現網上資金流動，解決目前有形商品交易環節中的流通因難。

5．轉變人們面對面交易的消費習慣

目前，基于Internet的電子商務應用還剛剛開始，許多方面都還不夠完善，并且，我國和發達國家之間的差距很大