淺談電子商務交易中的網絡安全技術

唐思均 李彪 李瑋

摘要：本文分析了當前電子商務面臨的安全問題，介紹利用網絡安全技術解決安全問題的方法。其中闡述數據加密技術、身份識別技術、智能化防火墻技術。

關鍵詞：電子商務；計算機；網絡安全

一、電子商務網絡的安全隱患

1.計算機電腦病毒。隨著互聯網的發展，病毒利用互聯網，傳播速度大大加快，它侵入網絡，破壞資源，成為了電子商務中計算機網絡的嚴重安全威脅。

2.竊取信息。在電子商務中主要表現為交易信息的泄漏，主要包括兩個方面：交易雙方進行交易的內容被第三方竊取；交易一方提供給另<優麥電子商務論文>一方使用的文件被第三方非法使用。

3.竄改資料。電子商務交易非常重視信息的真實性和完整性的問題。交易信息在網絡上傳輸的過程中，可能被他人非法修改、刪除或重改，這樣就使信息失去了真實性和完整性。

4.假冒。通過假冒交易平臺，用有利的條件吸引用戶到平臺進行消費，騙取支付款項。由于在虛擬的網絡平臺，用戶一般難以判斷

二、電子商務交易中的網絡安全技術

1.電子商務交易中的安全措施

在早期的電子交易中，曾采用過一些簡易的安全措施，包括：部分告知（Partial Order）：即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去，然后再用電話告之，以防泄密。另行確認（Order Confirmation）：即當在網上傳輸交易信息后，再用電子郵件對交易做確認，才認為有效。此外還有其它一些方法，這些方法均有一定的局限性，且操作麻煩，不能實現真正的安全可靠性。

2.主要的協議標準有：

近年來，針對電子交易安全的要求，IT業界與金融行業一起，推出不少有效的安全交易標準和技術。

安全超文本傳輸協議（S-HTTP）：依靠密鑰對的加密，保障Web站點間的交易信息傳輸的安全性。

安全套接層協議（SSL）：由Netscape公司提出的安全交易協議，提供加密、認證服務和報文的完整性。SSL被用于Netscape Communicator和Microsoft IE瀏覽器，以完成需要的安全交易操作。

安全交易技術協議（STT，Secure Transaction Technology）：由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft在Internet Explorer中采用這一技術。

安全電子交易協議（SET，Secure Electronic Transaction）

1996年6月，由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標準SET發布公告，并于1997年5月底發布了SET Specification Version 1.0，它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。

3.主要的安全技術有：

虛擬專用網（VPN）：這是用于Internet交易的一種專用網絡，它可以在兩個系統之間建立安全的信道（或隧道），用于電子數據交換（EDI）。

數字認證：數字認證可用電子方式證明信息發送者和接收者的身份、文件的完整性（如一個發票未被修改過），甚至數據媒體的有效性（如錄音、照片等）。隨著商家在電子商務中越來越多地使用加密技術，人們都希望有一個可信的第三方，以便對有關數據進行數字認證。

目前，數字認證一般都通過單向Hash函數來實現，它可以驗證交易雙方數據的完整性，Java JDK1.1也能夠支持幾種單向Hash算法。另外，S/MIME協議已經有了很大的進展，可以被集成到產品中，以便用戶能夠對通過Email發送的信息進行簽名和認證。同時，商家也可以使用PGP（Pretty Good Privacy）技術，它允許利用可信的第三方對密鑰進行控制。可見，數字認證技術將具有廣闊的應用前景，它將直接影響電子商務的發展。

加密技術：保證電子商務安全的最重要的一點就是使用加密技術對敏感的信息進行加密。現在，一些專用密鑰加密（如3DES、IDEA、RC4和RC5）和公鑰加密（如RSA、SEEK、PGP和EU）可用來保證電子商務的保密性、完整性、真實性和非否認服務。然而，這些技術的廣泛使用卻不是一件容易的事情。

電子商務認證中心（CA，Certificate Authority）：實行網上安全支付是順利開展電子商務的前提，建立安全的認證中心（CA）則是電子商務的中心環節。建立CA的目的是加強數字證書和密鑰的管理工作，增強網上交易各方的相互信任，提高網上購物和網上交易的安全，控制交易的風險，從而推動電子商務的發展。

為了推動電子商務的發展，首先是要確定網上參與交易的各方（例如持卡消費戶、商戶、收單銀行的支付網關等）的身份，相應的數字證書（DC：Digital Certificate）就是代表他們身份的，數字證書是由權威的、公正的認證機構管理的。各級認證機構按照根認證中心（Root CA）、品牌認證中心（Brand CA）以及持卡人、商戶或收單銀行（Acquirer）的支付網關認證中心（Holder Card CA，Merchant CA 或 Payment Gateway CA）由上而下按層次結構建立的。

電子商務安全認證中心（CA）的基本功能是：生成和保管符合安全認證協議要求的公共和私有密鑰、數字證書及其數字簽名。對數字證書和數字簽名進行驗證。對數字證書進行管理，重點是證書的撤消管理，同時追求實施自動管理（非手工管理）。建立應用接口，特別是支付接口。CA是否具有支付接口是能否支持電子商務的關鍵。

第一代CA是由SETCO公司（由Visa & MasterCard組建）建立的，以SET協議為基礎，服務于BC電子商務模式的層次性結構。

由于BB電子商務模式的發展，要求CA的支付接口能夠兼容支持BB與BC的模式，即同時支持網上購物、網上銀行、網上交易與供應鏈管理等職能，要求安全認證協議透明、簡單、成熟（即標準化），這樣就產生了以公鑰基礎設施（PKI）為技術基礎的平面與層次結構混合型的第二代CA體系。

建立在PKI技術基礎上的第二代安全認證體系與支付應用接口所使用的主要標準有：由Internet特別工作組頒發的標準：LDAP（輕型目錄訪問協議）、S/MIME（安全電子郵件協議）、TLC（傳輸層安全套接層傳輸協議）、CAT（通用認證技術，Common Authentication Technology）和GSS-API（通用安全服務接口）等。

由國際標準化組織（ISO）或國際電信聯盟（ITU）批準頒發的標準為9594-8/X.509（數字證書格式標準）。

三、結束語

電子商務安全對計算機網絡安全與商務安全提出了雙重要求，其復雜程度比大多數計算機網絡都高。在電子商務的建設過程中涉及到許多安全技術問題，制定安全技術規則和實施安全技術手段不僅可以推動安全技術的發展，同時也促進安全的電子商務體系的形成。