浅谈电子商务的安全

浅谈电子商务的安全

本文主要从概念上阐述了电子商务安全性的相关问题，分析了电子商务对安全环境的要求，同时给出了当前常用的相对应的技术方法。为电子商务的建立给出了基础概念上的理解。

标签：电子商务安全需求安全技术安全协议

电子商务通常被分为狭义的电子商务和广义的电子商务。狭义的电子商务为Electronic Commerce（EC），是指通过使用互联网等电子工具在全球范围内进行的商务贸易活动。是以计算机网络为基础所进行的各种商务活动，包括商品和服务的提供者、广告商、消费者、中介商等有关各方行为的总和。广义的电子商务为Electronic Business（EB），是指通过电子手段进行的商业事务活动。通过使用互联网等电子工具，使公司内部、供应商、客户和合作伙伴之间，利用电子业务共享信息，实现企业间业务流程的电子化，配合企业内部的电子化生产管理系统，提高企业的生产、库存、流通和资金等各个环节的效率。EC的概念集中于电子交易，EB的涵盖范围则大了很多。而人们一般提到的电子商务是指狭义上的电子商务。无论广义还是狭义的电子商务概念，电子商务都离不开互联网这个平台。电子商务的存在和发展是以网络技术为前提。电子商务系统的构建、运行及维护都离不开技术的支持，而安全成为电子商务平台首先需要解决的问题。

电子商务几个主要的安全需求及其对应的常用技术：

①真实性、有效性。真实性、有效性是指能对信息的真实性、有效性进行鉴别。EC作为一种贸易形式，其信息的真实性、有效性将直接关系到个人、企业和国家的经济利益和声誉。保证信息的真实性、有效性成了EC的前提。因此，要对EC过程中的潜在威胁加以控制和防范，保障信息在确定的时刻、确定的地点是有效的。

②可靠性、不可抵赖性及鉴别。如何确定对方正是交易所期望的一方，这一问题是保证EC顺利进行的关键。在电子化的EC方式下，通过传统方法鉴别是不可能的。因此，要在交易信息的传输过程中为参与交易的双方或多方提供可靠的标识。

针对以上两点，目前常见的安全技术是数字签名和数字证书。

数字签名是加密技术的一类应用，可以防止他人对传输文件进行破坏，以及确定发信人的身份。通过数字签名能够实现对原始报文的鉴别，保证数据的可靠性和不可抵赖性。数字签名与书面文件签名具有相同功效，它代表了文件的特征。如果文件发生改变，数字签名也将发生变化，不同的文件将得到不同的数字签名。接收方通过比对数字签名来确定发送方的身份是否正确。

数字证书。在电子商务活动中，调用每项服务时需要用户证实身份，同时也

需要这些服务器向客户证实他们自己的身份，而保障身份平安的最有效技术就是PKI技术。

CA认证技术是PKI技术中的一部分，也是目前国内应用最广泛的一种认证技术。CA（Certification Authorty）是一个确保信任度的权威实体，主要职责是颁发证书、验证用户身份的真实性。由CA签发用户电子身份证书，任何相信该CA的人，按照第三方信任原则，都应当相信持有该证书的用户。CA也采取一系列相应的办法来防止电子证书被伪造或篡改。CA的灵活性也是它能迅速得到市场认可的一个关键，它不需要支持任何通用的国际标准，并能很好地和其他厂家的CA兼容。

③机密性。机密性是指保证信息不会泄漏给非授权方。EC作为一种贸易手段，其信息属于商业机密。网络交易必须保证发送者和接受者之间交换信息的私密。而EC是建立在一个较为开放的网络环境上（Internet上尤其如此），因此，维护商业机密是EC全面推广应用的重要保障，必须预防非法的信息存取和信息在传输过程中被非法窃取。

④数据的完整性。数据的完整性即防止数据非授权的输入、修改、删除或破坏，保证数据的一致性。数据的完整性将影响各方的交易和经营策略，保持数据的完整性是EC的基础，人为的错误或数据传输过程中的数据丢失、数据重发或数据传送次序变化都会导致交易各方数据不同。因此，要预防对数据的随意生成、修改和删除，同时要防止数据传送过程中的错误、重复信息并保证数据传送次序的统一。

针对以上两点，目前常见的技术有以下几种：

防火墙。网络防火墙作为内部网络与外部网络之间最基本的安全屏障，早已被广泛应用。目前防火墙的常见技术有两种：包过滤和代理。包过滤是根据事先设定好的规则，对通过的每一个数据包进行检测，并且只允许符合规则的数据通过。这种技术可以对防火墙两端的数据流通规则进行灵活有效的设置。既能够阻止外部的非法访问，也可以阻止内部数据的非法流出，极大提高了自身数据的安全性。此技术有两个基本准则：一是未被允许的就是禁止的；二是未被禁止的就是允许的。基于这两种准则，防火墙可以根据需要对数据流进行逐项检测，然后根据设置采取不同的响应动作。代理是另一种防火墙技术，它通常是运行在一台主机上的软件。运行代理软件的主机被称为代理服务器。代理服务器一般需要与路由器协同工作，路由器负责将所有的应用请求传送给代理服务器。代理服务器根据自身安装的代理程序对每种应用进行相应的处理。代理服务实际上是一种中介，它隔绝了内外网之间的直接通信，所有数据通信都必须经过代理服务器处理后转发。代理服务通过这种方式，实现对数据流的监控。在实际应用中，我们往往综合使用这两种技术。此外现在还出现了一种地址迁移式防火墙。这种防火墙的起源主要是为了解决上网人数越来越多，而IPv4地址日益缺乏的矛盾。通过对有限的公网地址和内部局域网地址的相互映射，来使得即便只有有限的公网地址资源，也可以保证无限的用户可以连接网络。地址迁移式防火墙实际上融合了分组过滤和应用代理的设计思想，不仅能够实现地址的相互转换，也可以实现包

过滤和代理服务的功能。这种防火墙已经成为现在实际应用的主流。

加密技术。加密分为对称加密体系和非对称加密体系。加密技术解决了传送数据的保密问题。两种加密各有所长，对称密钥加密效率高，但密钥分发困难、管理不便；非对称密钥加密速度慢，但便于分发管理。我们通常把两者结合使用，以达到高效平安的目的。电子商务安全协议。目前在电子商务中主要的安全协议有两种：应用层的SET（安全电子交易）和会话层SSL（平安套层）协议。

SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。是一个通过开放网络（包括Internet）进行安全资金支付的技术标准。SET已成为事实上的工业标准，已获得IETF标准的认可。

SET的主要目标是：

①保证数据传输过程的安全性。

②实现定单信息和个人帐号信息的隔离。

③交易双方相互认证，确定身份的正确性。这一般由第三方机构完成，为交易双方提供信用担保。

④用统一的协议和格式实现良好的兼容，使不同用户的软件能够相互兼容和互操作，并且能够运行在不同的硬件环境和操作系统上。

SSL协议由网景公司推出，对计算机之间整个会话进行加密，能够对信用卡和个人信息提供较强的保护。目前已成为事实上的工业标准。

SSL是一个基于传输层的安全协议，在此基础上可加载任何高层应用协议，可以为各种C/S模式产品提供安全传输服务。SSL协议会产生一个被称为握手信息的数据包，在进行真正的数据交换之前，SSL先交换初始握手信息来对相关的安全特性进行审查。这种握手信息通过数字签名和数字证书来实现客户和服务器双方身份的验证，采用加密技术对数据进行加密保护，保证数据的保密性和完整性。

除此之外常见的网络安全协议还有PCT和S-HTTP。PCT（专用通信技术）是微软公司和Visa机构共同研究制定的，该协议只是对SSL进行少量的改进。S-HTTP（安全的超文本传输协议）协议主要针对于互联网，它可以看做是HTTP 协议的一种升级版。S-HTTP基于SSL技术，向互联网的应用提供鉴别、不可抵赖性、机密性和完整性等安全措施。

电子商务这种新兴的商业运作模式，已经推动着全球经济的快速发展。而商务信息的安全始终是电子商务的核心。随着电子商务的发展，电子商务的安全技术也将不断发展、进步和完善。商务的发展没有尽头，而技术的发展也没有尽头。