電子商務的安全體系結構及技術研究

張航

（廣州涉外經濟職業技術學院，廣東 廣州 510520）

隨著網絡科技以及計算技術的迅猛發展，人們在網絡的基礎之上逐漸建立了一種商業運行模式，即電子商務。廣義上的電子商務是指在網絡通訊以及計算機的基礎之上，利用相應的電子工具所從事的商業活動過程；而狹義上的電子商務是指利用Web所提供的網絡來進行商業交易。而目前，電子商務也已經日趨完善和成熟，尤其是伴隨著全球經濟的一體化快速發展，電子商務已經在世界范圍內得到了廣泛的應用。電子商務既能像傳統商務一樣方便、可靠和具有安全的服務，同時又具有其獨特的優勢：極大的提高了通訊速度；可以全天候服務；具有交互式的銷售渠道；降低了交易成本；提高了服務質量；可提供完整的產品信息等。

由于電子商務是一個十分復雜的系統工程，其過程的實現需要解決眾多的社會問題以及技術問題。而電子商務安全則成為了眾多技術中的關鍵，以及世界關注和研究的熱點。本文主要論述了電子商務的安全體系結構，電子商務中常用的幾種安全技術以及電子商務的安全協議。

1 電子商務的安全體系結構

根據電子商務的功能層次進行體系劃分，可以將其分為網上商業活動（客戶和服務商通過網絡進行的活動）；電子商務應用系統（將商務活動的所有相關數據處理成商務活動可以識別的數據）；應用系統的支持系統（為應用系統提供所需要的數據庫和文檔等）；網絡平臺（提供電子商務所需要的數據）。

電子商務系統可以作為一個中樞系統將服務商、客戶以及銀行有機的聯系在一起，從而實現具體的操作。因此，電子商務的系統應該是由服務商的服務器（由服務商端代理、數據庫管理系統以及web服務器系統等眾多部分組成），銀行（銀行代理、數據庫管理系統等）以及客戶（主要是利用因特網與商戶、銀行進行商務交易）。

而作為實現電子商務順利進行的關鍵環節——電子商務的安全體系結構發揮著重要的作用。上面提到的銀行、客戶以及服務商都是安全體系的組成部分，而且它們都需要安全代理服務器。同時，為了更好的維持各個組分之間安全性的相互一致，通常安全體系還包括CA認證系統。CA認證系統遵守相同的協議，可以進行協調工作，并可以保證電子交易過程中數據的完整性、保密性以及確定性等。

除了CA認證系統之外，在電子商務中還存在不同層次的安全機制。用戶在使用網絡進行商務交易時，首先應該具有身份認證、消息認證和安全操作協議等的需求。在進行電子商務交易的過程中，必須對有關的數據進行加密、認證等處理。

2 電子商務中常用的幾種安全技術

首先，加密技術。這是一種電子商務中采用最為廣泛的方法，其主要的目的是為了能夠保證秘密數據不被外泄，以及有效的提高電子商務系統數據的安全性和保密性。通?？梢詫⒓用芗夹g分為對稱加密和不對稱加密兩類：（1）對稱加密：指的是對信息的加密以及解密過程都使用相同的密鑰，也被稱為密鑰加密。在交易的過程中雙方采用相同的算法，并只交換專用的密鑰。在此前提下，密鑰的安全交換是對稱加密有效進行的關鍵環節。目前，最為常用的對稱加密算法包括DES（DataEncryption Standard是使用最為廣泛的）、IDEA、3DES、RC4等。（2） 非對稱加密：每一個通訊實體擁有一對密鑰，通常使用其中一個進行加密，另一個進行解密。目前，RSA(RivestShamir Adleman)算法是一種最為常用的非對稱加密算法。

其次，安全認證技術。這是一種有效的防止信息被篡改、刪除、重放和偽造的方法，它可以對已發送的消息進行驗證，以便接受者能夠辨別信息的真假。而認證的實現過程主要包括數字摘要、數字信封、數字簽名、數字時間戳和認證中心等技術。（1）數字摘 要：通常使用SHA算法，將需要加密的數據“摘要”成一定長度的密文。需要注意的是該密文和明文具有相同的摘要。所以，利用數字摘要可以保證數據的有效性以及完整性。（2）數字信封：該技術主要的是體現的是保密性，其工作原理是使用HASH函數將對稱密鑰進行加密，在此基礎上對密鑰進行公鑰加密，將其和加密數據一起發送給接受者。（3）數字簽名：主要應用于身份認證、數據完整性等方面。是對非對稱加密和數字摘要技術的綜合應用。（4）數字時間戳：在電子商務過程中，需要對交易的文件和時間信息進行適當的安全加密措施，而數字時間戳服務(DTS)則是專門用于對電子文件發表時間進行安全保護的。（5）數字憑證：目前常用的數字憑證包括個人憑證、企業憑證以及軟件憑證。其工作的原理就是應用電子手段來驗證某一個用戶的身份以及對于某個網絡的訪問權限等。（6）認證中心(CA，Certificate Authorities)：認證中心是作為第三方的一個權威性和公正性的認證機構，其主要職責是發放數字時間戳服務(DTS)和數字憑證(Digital ID)。（7）智能卡：智能卡是一種嵌入微處理芯片和存儲器集成電路卡，可以對數據進行加密和解密。在電子商務中，智能卡具有以下幾點優勢：增加了私有密鑰和電子證書的安全性；可以進行個人密碼的設置；可以減輕客戶端系統的負擔等。

3 電子商務的安全交易協議

電子商務除了必須具備相應的各種安全控制技術之外，還必須具有一套完善的安全交易協議。目前，我國常用的安全協議主要包括：一是安全電子交易協議（SET）。其主要是為了解決用戶、商家和銀行之間的交易而設計的，目的是能夠確保支付信息的保密性，過程的完整性，尤其是商戶和用戶的合法身份；二是安全套接層協議（SSL）。主要包括服務器認證、SSL鏈路上數據的完整性以及保密性。在點對點之間的信息傳輸中有著廣泛的應用，但是在實際的應用中建議使用“SSL+表單簽名”模式，以保證電子商務交易的安全性；三是安全交易技術協議(STT)。該技術將解密和認證公開在網頁中，以有效的提高安全控制力；四是安全超文本傳輸協議(HTTPS)。HTTPS是基于提供保密、認證以及完整性等服務，以確保在網頁上交換的媒體文本。

[1]林維達，劉桂蘭.計算機安全與計算機病毒[J].微型機與應用，1998.

[2]梁晉，等.電子商務核心技術-安全電子交易協議的理論與設計[M].西安:西安電子科技大學出版社，2000，8.

[3]覃征，謝國彤.商務體系結構及系統設計[M].西安：西安交通大學出版社，2001.

[4]唐禮勇，陳鐘.電子商務技術及其安全問題[J].計算機工程與應用，2000，36(7):18～22.

[5]王少鋒，王克宏.電子商務技術的發展與研究 [J].計算機工程與應用，2000，36(4):36～38.