【摘 要】本文闡述了安全性在電子商務(wù)活動(dòng)中的重要性,，對(duì)當(dāng)前電子商務(wù)過程中存在的安全問題做了全面的分析,，并針對(duì)這些安全隱患提出了幾種解決方案，對(duì)這些方案在技術(shù)原理,、適用環(huán)境等方面進(jìn)行了分析,，并對(duì)其各種技術(shù)方案存在的缺陷進(jìn)行了說明,，這些將對(duì)電子商務(wù)的安全防護(hù)起到積極的作用。

　　【關(guān)鍵詞】電子商務(wù) 安全技術(shù) 密鑰 數(shù)字簽名

　　一,、引言

　　電子商務(wù)是以電子信息技術(shù)為基礎(chǔ)的商務(wù)運(yùn)作,，是信息技術(shù)的發(fā)展對(duì)社會(huì)經(jīng)濟(jì)生活產(chǎn)生巨大影響的一個(gè)實(shí)例，也是網(wǎng)絡(luò)新經(jīng)濟(jì)迅猛發(fā)展的代表,。電子商務(wù)的核心內(nèi)容是網(wǎng)上交易,，尤其是通過公共的因特網(wǎng)將眾多的社會(huì)經(jīng)濟(jì)成員聯(lián)系起來的網(wǎng)上交易更是成為發(fā)展的熱點(diǎn)，電子商務(wù)所具有的廣闊發(fā)展前景,，越來越為世人所矚目,。但在Internet給人們帶來巨大便利的同時(shí)，也把人們引進(jìn)了安全陷阱,。目前,，阻礙電子商務(wù)廣泛應(yīng)用的首要也是最大的問題就是安全問題。電子商務(wù)中的安全問題如得不到妥善解決,，電子商務(wù)應(yīng)用就只能是紙上談兵,。從事電子商務(wù)活動(dòng)的主體都已普遍認(rèn)識(shí)到電子商務(wù)的交易安全是電子商務(wù)成功實(shí)施的基礎(chǔ)，是企業(yè)制訂電子商務(wù)策略時(shí)必須首先要考慮的問題,。對(duì)于實(shí)施電子商務(wù)戰(zhàn)略的企業(yè)來說,，保證電子商務(wù)的安全已成為當(dāng)務(wù)之急。

　　二,、電子商務(wù)過程中面臨的主要安全問題

　　從交易角度出發(fā),，電子商務(wù)面臨的安全問題綜合起來包括以下幾個(gè)方面：

　　1.有效性

　　電子商務(wù)以電子形式取代了紙張，那么保證信息的有效性就成為開展電子商務(wù)的前提,。因此,，要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤,、應(yīng)用程序錯(cuò)誤,、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻,、確定的地點(diǎn)是有效的。

　　2.真實(shí)性

　　由于在電子商務(wù)過程中,，買賣雙方的所有交易活動(dòng)都通過網(wǎng)絡(luò)聯(lián)系,，交易雙方可能素昧平生，相隔萬里,。要使交易成功,，首先要確認(rèn)對(duì)方的身份。對(duì)于商家而言,，要考慮客戶端不能是騙子,，而客戶端也會(huì)擔(dān)心網(wǎng)上商店是否是一個(gè)玩弄欺詐的黑店,，因此，電子商務(wù)的開展要求能夠?qū)灰字黧w的真實(shí)身份進(jìn)行鑒別,。

　　3.機(jī)密性

　　電子商務(wù)作為貿(mào)易的一種手段,，其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密,。如信用卡的賬號(hào)和用戶名被人知悉,，就可能被盜用而蒙受經(jīng)濟(jì)損失,；訂貨和付款信息被競(jìng)爭(zhēng)對(duì)手獲悉,，就可能喪失商機(jī)。因此建立在開放的網(wǎng)絡(luò)環(huán)境電子商務(wù)活動(dòng),，必須預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取,。

　　三、電子商務(wù)安全中的幾種技術(shù)手段

　　由于電子商務(wù)系統(tǒng)把服務(wù)商,、客戶和銀行三方通過互聯(lián)網(wǎng)連接起來,，并實(shí)現(xiàn)了具體的業(yè)務(wù)操作。因此,，電子商務(wù)安全系統(tǒng)可以由三個(gè)安全代理服務(wù)器及CA認(rèn)證系統(tǒng)構(gòu)成,，它們遵循共同的協(xié)議，協(xié)調(diào)工作,，實(shí)現(xiàn)電子商務(wù)交易信息的完整性,、保密性和不可抵賴性等要求。其中采用的安全技術(shù)主要有以下幾種：

　　1.防火墻（FireWall）技術(shù)

　　防火墻是一種隔離控制技術(shù),，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障,，阻止對(duì)信息資源的非法訪問，也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出,。

　　2.加密技術(shù)

　　數(shù)據(jù)加密技術(shù)是電子商務(wù)中采取的主要安全措施,，貿(mào)易方可根據(jù)需要在信息交換的階段使用。在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式：對(duì)稱加密和非對(duì)稱加密,，采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng),，而不能簡(jiǎn)單地根據(jù)其加密強(qiáng)度來做出判斷。

　?。?）對(duì)稱加密

　　在對(duì)稱加密方法中,，對(duì)信息的加密和解密都使用相同的密鑰。也就是說,，一把鑰匙開一把鎖,。這種加密算法可簡(jiǎn)化加密處理過程，貿(mào)易雙方都不必彼此研究和交換專用的加密算法,，如果進(jìn)行通信的貿(mào)易方能夠確保私有密鑰在交換階段未曾泄露,，那么機(jī)密性和報(bào)文完整性就可以得到保證,。不過，對(duì)稱加密技術(shù)也存在一些不足,，如果某一貿(mào)易方有n個(gè)貿(mào)易關(guān)系,，那么他就要維護(hù)n個(gè)私有密鑰。對(duì)稱加密方式存在的另一個(gè)問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方,。因?yàn)橘Q(mào)易雙方共享一把私有密鑰,。目前廣泛采用的對(duì)稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)（DES），它主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬（EFT）領(lǐng)域,。DES對(duì)64位二進(jìn)制數(shù)據(jù)加密,，產(chǎn)生64位密文數(shù)據(jù)。使用的密鑰為64位,，實(shí)際密鑰長(zhǎng)度為56位（8位用于奇偶校驗(yàn)）,。解密時(shí)的過程和加密時(shí)相似，但密鑰的順序正好相反,。

　?。?）非對(duì)稱加密/公開密鑰加密

　　在Internet中使用更多的是公鑰系統(tǒng)，即公開密鑰加密,。在該體系中,，密鑰被分解為一對(duì)：公開密鑰PK和私有密鑰SK.這對(duì)密鑰中的任何一把都可作為公開密鑰（加密密鑰）向他人公開，而另一把則作為私有密鑰（解密密鑰）加以保存,。公開密鑰用于加密,，私有密鑰用于解密，私有密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握,，公開密鑰可廣泛發(fā)布,，但它只對(duì)應(yīng)于生成該密鑰的貿(mào)易方。在公開密鑰體系中,，加密算法E和解密算法D也都是公開的,。雖然SK與PK成對(duì)出現(xiàn)，但卻不能根據(jù)PK計(jì)算出SK.公開密鑰算法的特點(diǎn)如下：用加密密鑰PK對(duì)明文X加密后,，再用解密密鑰SK解密,，即可恢復(fù)出明文，或?qū)憺椋篋SK （EPK （X））=X .加密密鑰不能用來解密,，即DPK （EPK （X））≠X在計(jì)算機(jī)上可以容易地產(chǎn)生成對(duì)的PK和SK.從已知的PK實(shí)際上不可能推導(dǎo)出SK.加密和解密的運(yùn)算可以對(duì)調(diào),，即：EPK （DSK （X））=X常用的公鑰加密算法是RSA算法，加密強(qiáng)度很高,。具體做法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來,。發(fā)送方在發(fā)送數(shù)據(jù)時(shí)必須加上數(shù)字簽名，做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名,，然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密,。這些密文被接收方收到后,，接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名，然后用發(fā)布方公布的公鑰對(duì)數(shù)字簽名進(jìn)行解密,，如果成功,，則確定是由發(fā)送方發(fā)出的。由于加密強(qiáng)度高,，而且不要求通信雙方事先建立某種信任關(guān)系或共享某種秘密,，因此十分適合Internet網(wǎng)上使用。

　　3.數(shù)字簽名

　　數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全核心技術(shù)之一,，它實(shí)現(xiàn)的基礎(chǔ)就是加密技術(shù),。以往的書信或文件是根據(jù)親筆簽名或印章來證明其真實(shí)性的。但在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的報(bào)文又如何蓋章呢,？這就是數(shù)字簽名所要解決的問題,。數(shù)字簽名必須保證以下幾點(diǎn)：接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名,；送者事后不能抵賴對(duì)報(bào)文的簽名,；接收者不能偽造對(duì)報(bào)文的簽名。現(xiàn)在己有多種實(shí)現(xiàn)數(shù)字簽名的方法,，采用較多的就是公開密鑰算法,。

　　4.數(shù)字證書

　　（1）認(rèn)證中心在電子交易中,，數(shù)字證書的發(fā)放不是靠交易雙方來完成的,，而是由具有權(quán)威性和公正性的第三方來完成的。認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù),、簽發(fā)數(shù)字證書并確認(rèn)用戶身份的服務(wù)機(jī)構(gòu),。

　　（2）數(shù)字證書數(shù)字證書是用電子手段來證實(shí)一個(gè)用戶的身份及他對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限,。在網(wǎng)上的電子交易中,，如雙方出示了各自的數(shù)字證書，并用它來進(jìn)行交易操作,，那么交易雙方都可不必為對(duì)方身份的真?zhèn)螕?dān)心,。

　　5.消息摘要（Message Digest）

　　消息摘要方法也稱為Hash編碼法或MDS編碼法。它是由Ron Rivest所發(fā)明的,。消息摘要是一個(gè)惟一對(duì)應(yīng)一個(gè)消息的值,。它由單向Hash加密算法對(duì)所需加密的明文直接作用，生成一串128bit的密文,，這一串密文又被稱為“數(shù)字指紋”（ Finger Print ）,。所謂單向是指不能被解密，不同的明文摘要成密文,，其結(jié)果是絕不會(huì)相同的,，而同樣的明文其摘要必定是一致的,，因此，這串摘要成為了驗(yàn)證明文是否是“真身”的數(shù)字“指紋”了,。

　　四,、小結(jié)

　　本文詳細(xì)探討了電子商務(wù)安全體系所面臨的問題，并提出了安全防護(hù)的幾種技術(shù)手段,，相信隨著時(shí)間的推移和技術(shù)的發(fā)展,，電子商務(wù)安全體系將越來越完善，足不出戶而通過Internet電子商務(wù)系統(tǒng)實(shí)現(xiàn)購(gòu)物,、交易和做生意將成為人們生活的新時(shí)尚,。

　　參考文獻(xiàn)：

　　[1]徐海來：電子商務(wù)的運(yùn)作與安全[J].中國(guó)信息導(dǎo)報(bào)，2000.6：126

　　[2]劉 進(jìn)：電子商務(wù)網(wǎng)上交易系統(tǒng)[M].第一版,，北京：機(jī)械工業(yè)出版社,，2003：157

　　[3]李延昭：電子商務(wù)的交易安全[J].計(jì)算機(jī)世界，2000.9：79 [4]陳國(guó)章：電子商務(wù)數(shù)字認(rèn)證教程[M].第一版,，北京：機(jī)械工業(yè)出版社,，1999：237