【摘 要】本文闡述了安全性在電子商務活動中的重要性，對當前電子商務過程中存在的安全問題做了全面的分析，并針對這些安全隱患提出了幾種解決方案，對這些方案在技術原理、適用環(huán)境等方面進行了分析，并對其各種技術方案存在的缺陷進行了說明，這些將對電子商務的安全防護起到積極的作用。

　　【關鍵詞】電子商務 安全技術 密鑰 數字簽名

　　一、引言

　　電子商務是以電子信息技術為基礎的商務運作，是信息技術的發(fā)展對社會經濟生活產生巨大影響的一個實例，也是網絡新經濟迅猛發(fā)展的代表。電子商務的核心內容是網上交易，尤其是通過公共的因特網將眾多的社會經濟成員聯系起來的網上交易更是成為發(fā)展的熱點，電子商務所具有的廣闊發(fā)展前景，越來越為世人所矚目。但在Internet給人們帶來巨大便利的同時，也把人們引進了安全陷阱。目前，阻礙電子商務廣泛應用的首要也是最大的問題就是安全問題。電子商務中的安全問題如得不到妥善解決，電子商務應用就只能是紙上談兵。從事電子商務活動的主體都已普遍認識到電子商務的交易安全是電子商務成功實施的基礎，是企業(yè)制訂電子商務策略時必須首先要考慮的問題。對于實施電子商務戰(zhàn)略的企業(yè)來說，保證電子商務的安全已成為當務之急。

　　二、電子商務過程中面臨的主要安全問題

　　從交易角度出發(fā)，電子商務面臨的安全問題綜合起來包括以下幾個方面：

　　1.有效性

　　電子商務以電子形式取代了紙張，那么保證信息的有效性就成為開展電子商務的前提。因此，要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數據在確定的時刻、確定的地點是有效的。

　　2.真實性

　　由于在電子商務過程中，買賣雙方的所有交易活動都通過網絡聯系，交易雙方可能素昧平生，相隔萬里。要使交易成功，首先要確認對方的身份。對于商家而言，要考慮客戶端不能是騙子，而客戶端也會擔心網上商店是否是一個玩弄欺詐的黑店，因此，電子商務的開展要求能夠對交易主體的真實身份進行鑒別。

　　3.機密性

　　電子商務作為貿易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。如信用卡的賬號和用戶名被人知悉，就可能被盜用而蒙受經濟損失；訂貨和付款信息被競爭對手獲悉，就可能喪失商機。因此建立在開放的網絡環(huán)境電子商務活動，必須預防非法的信息存取和信息在傳輸過程中被非法竊取。

　　三、電子商務安全中的幾種技術手段

　　由于電子商務系統(tǒng)把服務商、客戶和銀行三方通過互聯網連接起來，并實現了具體的業(yè)務操作。因此，電子商務安全系統(tǒng)可以由三個安全代理服務器及CA認證系統(tǒng)構成，它們遵循共同的協議，協調工作，實現電子商務交易信息的完整性、保密性和不可抵賴性等要求。其中采用的安全技術主要有以下幾種：

　　1.防火墻（FireWall）技術

　　防火墻是一種隔離控制技術，在某個機構的網絡和不安全的網絡（如Internet）之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止專利信息從企業(yè)的網絡上被非法輸出。

　　2.加密技術

　　數據加密技術是電子商務中采取的主要安全措施，貿易方可根據需要在信息交換的階段使用。在網絡應用中一般采取兩種加密形式：對稱加密和非對稱加密，采用何種加密算法則要結合具體應用環(huán)境和系統(tǒng)，而不能簡單地根據其加密強度來做出判斷。

　?。?）對稱加密

　　在對稱加密方法中，對信息的加密和解密都使用相同的密鑰。也就是說，一把鑰匙開一把鎖。這種加密算法可簡化加密處理過程，貿易雙方都不必彼此研究和交換專用的加密算法，如果進行通信的貿易方能夠確保私有密鑰在交換階段未曾泄露，那么機密性和報文完整性就可以得到保證。不過，對稱加密技術也存在一些不足，如果某一貿易方有n個貿易關系，那么他就要維護n個私有密鑰。對稱加密方式存在的另一個問題是無法鑒別貿易發(fā)起方或貿易最終方。因為貿易雙方共享一把私有密鑰。目前廣泛采用的對稱加密方式是數據加密標準（DES），它主要應用于銀行業(yè)中的電子資金轉賬（EFT）領域。DES對64位二進制數據加密，產生64位密文數據。使用的密鑰為64位，實際密鑰長度為56位（8位用于奇偶校驗）。解密時的過程和加密時相似，但密鑰的順序正好相反。

　?。?）非對稱加密/公開密鑰加密

　　在Internet中使用更多的是公鑰系統(tǒng)，即公開密鑰加密。在該體系中，密鑰被分解為一對：公開密鑰PK和私有密鑰SK.這對密鑰中的任何一把都可作為公開密鑰（加密密鑰）向他人公開，而另一把則作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能由生成密鑰對的貿易方掌握，公開密鑰可廣泛發(fā)布，但它只對應于生成該密鑰的貿易方。在公開密鑰體系中，加密算法E和解密算法D也都是公開的。雖然SK與PK成對出現，但卻不能根據PK計算出SK.公開密鑰算法的特點如下：用加密密鑰PK對明文X加密后，再用解密密鑰SK解密，即可恢復出明文，或寫為：DSK （EPK （X））=X .加密密鑰不能用來解密，即DPK （EPK （X））≠X在計算機上可以容易地產生成對的PK和SK.從已知的PK實際上不可能推導出SK.加密和解密的運算可以對調，即：EPK （DSK （X））=X常用的公鑰加密算法是RSA算法，加密強度很高。具體做法是將數字簽名和數據加密結合起來。發(fā)送方在發(fā)送數據時必須加上數字簽名，做法是用自己的私鑰加密一段與發(fā)送數據相關的數據作為數字簽名，然后與發(fā)送數據一起用接收方密鑰加密。這些密文被接收方收到后，接收方用自己的私鑰將密文解密得到發(fā)送的數據和發(fā)送方的數字簽名，然后用發(fā)布方公布的公鑰對數字簽名進行解密，如果成功，則確定是由發(fā)送方發(fā)出的。由于加密強度高，而且不要求通信雙方事先建立某種信任關系或共享某種秘密，因此十分適合Internet網上使用。

　　3.數字簽名

　　數字簽名技術是實現交易安全核心技術之一，它實現的基礎就是加密技術。以往的書信或文件是根據親筆簽名或印章來證明其真實性的。但在計算機網絡中傳送的報文又如何蓋章呢？這就是數字簽名所要解決的問題。數字簽名必須保證以下幾點：接收者能夠核實發(fā)送者對報文的簽名；送者事后不能抵賴對報文的簽名；接收者不能偽造對報文的簽名?，F在己有多種實現數字簽名的方法，采用較多的就是公開密鑰算法。

　　4.數字證書

　?。?）認證中心在電子交易中，數字證書的發(fā)放不是靠交易雙方來完成的，而是由具有權威性和公正性的第三方來完成的。認證中心就是承擔網上安全電子交易認證服務、簽發(fā)數字證書并確認用戶身份的服務機構。

　　（2）數字證書數字證書是用電子手段來證實一個用戶的身份及他對網絡資源的訪問權限。在網上的電子交易中，如雙方出示了各自的數字證書，并用它來進行交易操作，那么交易雙方都可不必為對方身份的真?zhèn)螕摹?

　　5.消息摘要（Message Digest）

　　消息摘要方法也稱為Hash編碼法或MDS編碼法。它是由Ron Rivest所發(fā)明的。消息摘要是一個惟一對應一個消息的值。它由單向Hash加密算法對所需加密的明文直接作用，生成一串128bit的密文，這一串密文又被稱為“數字指紋”（ Finger Print ）。所謂單向是指不能被解密，不同的明文摘要成密文，其結果是絕不會相同的，而同樣的明文其摘要必定是一致的，因此，這串摘要成為了驗證明文是否是“真身”的數字“指紋”了。

　　四、小結

　　本文詳細探討了電子商務安全體系所面臨的問題，并提出了安全防護的幾種技術手段，相信隨著時間的推移和技術的發(fā)展，電子商務安全體系將越來越完善，足不出戶而通過Internet電子商務系統(tǒng)實現購物、交易和做生意將成為人們生活的新時尚。

　　參考文獻：

　　[1]徐海來：電子商務的運作與安全[J].中國信息導報，2000.6：126

　　[2]劉 進：電子商務網上交易系統(tǒng)[M].第一版，北京：機械工業(yè)出版社，2003：157

　　[3]李延昭：電子商務的交易安全[J].計算機世界，2000.9：79 [4]陳國章：電子商務數字認證教程[M].第一版，北京：機械工業(yè)出版社，1999：237