淺論電子商務安全技術

摘要：近年來，由于電子商務技術的廣泛應用和推廣，給不少企業帶來了便利的條件和創造了無限商機。但是隨著因特網的共享和開放直接影響了電子商務的信息安全。本文介紹了電子商務可可以采用數字簽名、數字證書和加密技術等技術和SET協議、SSL協議提高電子商務信息的安全系數，并對其今后的發展提供了自己的看法。

關鍵詞：電子商務 加密技術 數字認證 信息安全

0 導言

作為新興的信息時代的產物——電子商務，正在逐步的改變著人們的生活方式和經濟活動方式。它的高效性和低成本正在逐步成為新興的商業理念和商業模式。但是由于電子商務這種技術是建立在Interne這個開放式的平臺上，所以電子商務在網絡上傳輸的任何信息都不可避免的會被他人竊取。因此，要想繼續發張電子商務這門技術，首先要保證其安全性。安全的電子交易協議在電子商務安全體系中起著決定性的作用。

1 電子商務中的安全協議

現在國際上主要采用的電子商務安全協議主要有以下幾種：基于信用卡交易的安全電子協議（SET）、安全電子郵件協議（PEM、S/MIME）、用于接入控制的安全套接層協議（SSL）、安全HTTP（S—HTTP）協議等。本文將重點介紹SET協議和SSL協議的優缺點。

1.1 安全套接層協議（SSL）的優缺點

SSL協議因為它實施起來比較簡單，對現有網絡系統的修改也不是太大，再加上它的速度快，成本低等優點在目前得到廣泛的應用。安全套接層協議（SSL）運用密鑰技術來保證數據的完整性和機密性。在運用過程中，發送方用接收方的公鑰將所要發送的信息加密之后再進行傳送，而接收方利用私鑰進行解密之后來獲取信息。這樣一來，即使信息被竊取，因為沒有解密的密鑰，也是沒有辦法獲取可讀信息的。通過這種方式SSL充分保證了用戶所輸入的信用卡號碼和其他信息只會由向他提供服務的商家所獲取。為了獲得這次交易的書面證據，客戶也可以打印屏幕上所顯示的已經被授權的訂單，然而SSL也有兩個主要缺點：

1.1.1 SSL提供的保密連接存在較大的漏洞

SSL除了能保證傳輸過程中的安全之外，不能提供其他任何安全保證，不能讓客戶明明白白的知道商家接收信用卡支付是已經通過授權的，換句話說，商家、客戶和銀行之間缺少彼此之間的認證。因此不不法分子很有可能借此漏洞進行一些欺詐行為。在Internet這個公開公平的平臺上，陌生的店鋪會經常出現，如果不能保證它是真實可信的，那么消費者怎么去相信這些商家不會進行欺詐行為呢？退一步說，即使是一個真實可靠的網上商家，如果在收到消費者的信用卡號碼之后沒有采取措施保證它的安全性，那么信用卡號碼也會很容易被一些網絡黑客竊取的。

1.1.2 SSL不能提供很好的隱私保護

在SSL的交易過程中，消費者需要將所有的信息都傳輸給商家，消費者的信息包括支付信息和定單信息。在這個過程中商家可以看到消費者的所有信息，包括信用卡卡號信息。而消費者不希望商家看到除定單信息以外的其他隱私信息，同樣，消費者也希望銀行只看到支付信息，看不到其他信息，比如訂購了什么東西等等。所以說在SSL交易過程中客戶的隱私得不到很好的保障。

1.2 安全電子協議（SET）的優缺點

1.2.1 SET協議的優點

從SET的整個交易流程來看，SET比SSL設計更加嚴密，安全性也更高。SET利用數字簽名、對稱加密、Hash算法、數字信封、公鑰加密和第三方認證機構等來保證電子交易過程中信息的安全。SET的雙重數字簽名和第三方認證機構這兩項技術的應用彌補了SSL的缺陷。

①提供了持卡人、商家和支付網關的三方認證。SET這項技術解決了銀行、商家和持卡人之間互相認證的難題。這項服務的目的就是要驗證交易流程確實是交易者本人所操作，為達到身份認證的目的SET協議使用了數字證書的技術。這種技術的操作流程是：發送方（比如持卡人）發送數字簽名（這是用自己的私鑰把交易信息加密后形成的），接著接收方（比如商家）就會借助認證中心公開的密鑰來驗證對方證書的真假，在確定沒有任何出入之后再把證書里的公開密鑰進行簽名的認證，這樣便可以達到鑒別身份的作用。特別是，使用了最值得信任的第三方機構即認證中心，讓其進行對公開密鑰的簽發，這樣就確保身份鑒別這項工作在相對開放的網路環境里達到真正的安全，放心。

②雙重數字簽名技術可以更好的保護隱私權。從SSL里商家可以得到消費者的很多信息，如信用卡的基本信息，也能看到消費者的訂單信息，這就造成了一種后果，交易中有很大的潛在風險。而SET技術則規避了這一風險，其采用的雙重簽名技術能夠給商家提供訂單支付的信息，從商家這方面來說，商家只可以查到具體的訂單的信息，但是不可以查到消費者銀行的賬號等支付的信息，而銀行方面，也只可以查到跟支付相關的信息，但是不可以查到客戶訂單的信息。如此一來，就達到了更好的保護消費者隱私的目的。

1.2.2 SET協議的不足

①它不能保證交易時商品的原子性。由于一些商家存在欺詐行為，SET協議并不能完全保證消費者付了錢之后就一定能得到商家的貨品。同時由于商家的不誠信，也不能保證所購商品和商家所發商品就是同一商品（比如一些商家實際發出的商品跟實際訂單上的商品差距很大）。

②SET沒有提供商家的信用機制。消費者在消費過程中，并不知道哪家商家可靠，有誠信，在互聯網這么大的平臺上存在著各種不同商家，其中又有一些商家采取投機取巧的欺詐行為。但是消費者并不知道哪家商家可靠，這樣就會使一些消費者付了錢而得不到自己想要的商品，消費者的合法權益就會受到侵犯。

2 電子商務系統中的安全技術

2.1 數據加密技術

2.1.1 數字摘要

這種加密策略又被叫做安全Hash編碼法，這種編碼方法是采用單向Hash函數把加密的明文摘要稱為一串128bit的密文，這就是人們常說的數字指紋，它有一鮮明的特點是，同樣的明文的摘要肯定是一樣的，而反過來講不同的結果就代表了不同明文摘要。這樣一來，要驗證明文是不是真身的\"指紋\"就是這串摘要了。

2.1.2 數字簽名

這種技術是把公用密鑰算法，數字摘要這兩種加密策略互相結合起來應用。作為確認文件的一種方式，書面文件簽名常常被人們用到，書面文件簽名是為了達到兩個目的：第一，簽名不是很容易被模仿假冒，從而確定了書面文件的真實性；第二是確定文件已經簽署，誰能否認自己的簽名呢？

2.2 網上支付平臺及支付網關

網上支付有兩大系統：SET支付系統（基于CTCA/SET）及CTEC支付系統（基于CTCA/GDCS）。網上支付平臺給各種電子商務的業務提供支付的方法，這其中包含符合CTEC標準的各式支付方法和基于SET標準的信用卡支付方式。

支付網關所處的位置是在傳統銀行網絡與公網之間，它的主要作用是接收銀行系統內部傳回的響應的消息，把數據轉換成公網傳送的數據格式，并且對他進行加密；把公網傳來的數據包解密同時遵循銀行系統內部的通信協議把數據重新打包。這樣，支付網關的作用就得到了發揮，即數據加密功能，完成通信、協議轉換，與此同時有達到了保護銀行內部網絡的目的。除了這些用途，支付網關也具備證書管理及密鑰保護等別的作用。

3 電子商務信息安全還有待完善和提高

3.1 提高網絡信息安全意識

尋求有效的方法和途徑達到在全社會普及網絡安全知識的目的，把學會維護網絡安全作為一種基本技能，進而進一步提高每個公民的網絡安全的意識。要把信息安全防護及信息資源共享在思想上有機的統一到一起，明確維護信息安全就是促發展保生存的正確觀念。

3.2 加強網絡安全管理

首先就要制定有效的防范措施，規范每個崗位的職責，名確職位責任，建立完善的信息安全領導機構。

3.3 加快網絡安全專業人才的培養

要使高素質的人才在高水平的教研環境里快速的提高和成長，于內，要加大對有良好基礎的科研教育基地的投入與支持，與此同時要加強與國際先進國家的經驗技術交流，要及時的掌握國際領先的安全防范技術措施及手段，確保交流在比較高的層次上的主動性，尤其要加強對內部人員的網絡安全培訓。

3.4 開展網絡安全立法和執法

結合我國的國情對現行法律體系進行補充和修改，達到完善法律體系的目的使其更加科學，同時借鑒并吸取先進的國外網絡信息安全立法的先進經驗；與此同時在國內要建立有益于信息安全案件的訴訟與公檢法機關的辦案制度，提升執法質量及效率。對以下行為進行依法處罰：違犯國家法律法規的行為，對計算機應用程序，信息存儲系統或者在數據傳輸過程中進行干擾，增加或刪除，修改的行為。

3.5 強化網絡技術創新

要建立具有中國特色的信息安全體系，首先要組織現有信息安全研究，應用的人員，為其創造更加優良的環境；更重要的是要創新思想，掙脫約束，要充分的利用現有的所有的國內外資源，為其服務。要作為重點研究的是內核編程技術與關鍵芯片和安全理論基礎。

4 結束語

前邊全文簡單的分析了當前電子商務領域使用的安全技術：支付網關及網上支付平臺，身份認證技術和數據加密技術，分別指出了他們各自的優缺點和使用范圍，但是需要強調闡釋的是，整個電子商務流程的安全運行僅僅靠技術上的提高，從技術的角度出發進行防范是不行的，另一方面一定要完善我國電子商務的法律法規推進立法，從法律層面上規范飛快發展的電子商務存在的缺陷，進一步達到推得動并且引導我國電子商務迅速，健康，長遠發展的目的。

參考文獻：

[1]任南，汪鑫.C2C電子商務信用評價體系改進研究，[J]價值工程.2011/17.

[2]王華.電子商務下逆向物流發展研究，[J]價值工程.2011/04.

[3]蔡軍.基于虛擬價值鏈的電子商務模式研究，[J]價值工程.2011/29.