電子商務(wù)的安全體系結(jié)構(gòu)及技術(shù)研究

張航

（廣州涉外經(jīng)濟(jì)職業(yè)技術(shù)學(xué)院，廣東 廣州 510520）

隨著網(wǎng)絡(luò)科技以及計(jì)算技術(shù)的迅猛發(fā)展，人們?cè)诰W(wǎng)絡(luò)的基礎(chǔ)之上逐漸建立了一種商業(yè)運(yùn)行模式，即電子商務(wù)。廣義上的電子商務(wù)是指在網(wǎng)絡(luò)通訊以及計(jì)算機(jī)的基礎(chǔ)之上，利用相應(yīng)的電子工具所從事的商業(yè)活動(dòng)過程；而狹義上的電子商務(wù)是指利用Web所提供的網(wǎng)絡(luò)來進(jìn)行商業(yè)交易。而目前，電子商務(wù)也已經(jīng)日趨完善和成熟，尤其是伴隨著全球經(jīng)濟(jì)的一體化快速發(fā)展，電子商務(wù)已經(jīng)在世界范圍內(nèi)得到了廣泛的應(yīng)用。電子商務(wù)既能像傳統(tǒng)商務(wù)一樣方便、可靠和具有安全的服務(wù)，同時(shí)又具有其獨(dú)特的優(yōu)勢(shì)：極大的提高了通訊速度；可以全天候服務(wù)；具有交互式的銷售渠道；降低了交易成本；提高了服務(wù)質(zhì)量；可提供完整的產(chǎn)品信息等。

由于電子商務(wù)是一個(gè)十分復(fù)雜的系統(tǒng)工程，其過程的實(shí)現(xiàn)需要解決眾多的社會(huì)問題以及技術(shù)問題。而電子商務(wù)安全則成為了眾多技術(shù)中的關(guān)鍵，以及世界關(guān)注和研究的熱點(diǎn)。本文主要論述了電子商務(wù)的安全體系結(jié)構(gòu)，電子商務(wù)中常用的幾種安全技術(shù)以及電子商務(wù)的安全協(xié)議。

1 電子商務(wù)的安全體系結(jié)構(gòu)

根據(jù)電子商務(wù)的功能層次進(jìn)行體系劃分，可以將其分為網(wǎng)上商業(yè)活動(dòng)（客戶和服務(wù)商通過網(wǎng)絡(luò)進(jìn)行的活動(dòng)）；電子商務(wù)應(yīng)用系統(tǒng)（將商務(wù)活動(dòng)的所有相關(guān)數(shù)據(jù)處理成商務(wù)活動(dòng)可以識(shí)別的數(shù)據(jù)）；應(yīng)用系統(tǒng)的支持系統(tǒng)（為應(yīng)用系統(tǒng)提供所需要的數(shù)據(jù)庫(kù)和文檔等）；網(wǎng)絡(luò)平臺(tái)（提供電子商務(wù)所需要的數(shù)據(jù)）。

電子商務(wù)系統(tǒng)可以作為一個(gè)中樞系統(tǒng)將服務(wù)商、客戶以及銀行有機(jī)的聯(lián)系在一起，從而實(shí)現(xiàn)具體的操作。因此，電子商務(wù)的系統(tǒng)應(yīng)該是由服務(wù)商的服務(wù)器（由服務(wù)商端代理、數(shù)據(jù)庫(kù)管理系統(tǒng)以及web服務(wù)器系統(tǒng)等眾多部分組成），銀行（銀行代理、數(shù)據(jù)庫(kù)管理系統(tǒng)等）以及客戶（主要是利用因特網(wǎng)與商戶、銀行進(jìn)行商務(wù)交易）。

而作為實(shí)現(xiàn)電子商務(wù)順利進(jìn)行的關(guān)鍵環(huán)節(jié)——電子商務(wù)的安全體系結(jié)構(gòu)發(fā)揮著重要的作用。上面提到的銀行、客戶以及服務(wù)商都是安全體系的組成部分，而且它們都需要安全代理服務(wù)器。同時(shí)，為了更好的維持各個(gè)組分之間安全性的相互一致，通常安全體系還包括CA認(rèn)證系統(tǒng)。CA認(rèn)證系統(tǒng)遵守相同的協(xié)議，可以進(jìn)行協(xié)調(diào)工作，并可以保證電子交易過程中數(shù)據(jù)的完整性、保密性以及確定性等。

除了CA認(rèn)證系統(tǒng)之外，在電子商務(wù)中還存在不同層次的安全機(jī)制。用戶在使用網(wǎng)絡(luò)進(jìn)行商務(wù)交易時(shí)，首先應(yīng)該具有身份認(rèn)證、消息認(rèn)證和安全操作協(xié)議等的需求。在進(jìn)行電子商務(wù)交易的過程中，必須對(duì)有關(guān)的數(shù)據(jù)進(jìn)行加密、認(rèn)證等處理。

2 電子商務(wù)中常用的幾種安全技術(shù)

首先，加密技術(shù)。這是一種電子商務(wù)中采用最為廣泛的方法，其主要的目的是為了能夠保證秘密數(shù)據(jù)不被外泄，以及有效的提高電子商務(wù)系統(tǒng)數(shù)據(jù)的安全性和保密性。通?？梢詫⒓用芗夹g(shù)分為對(duì)稱加密和不對(duì)稱加密兩類：（1）對(duì)稱加密：指的是對(duì)信息的加密以及解密過程都使用相同的密鑰，也被稱為密鑰加密。在交易的過程中雙方采用相同的算法，并只交換專用的密鑰。在此前提下，密鑰的安全交換是對(duì)稱加密有效進(jìn)行的關(guān)鍵環(huán)節(jié)。目前，最為常用的對(duì)稱加密算法包括DES（DataEncryption Standard是使用最為廣泛的）、IDEA、3DES、RC4等。（2） 非對(duì)稱加密：每一個(gè)通訊實(shí)體擁有一對(duì)密鑰，通常使用其中一個(gè)進(jìn)行加密，另一個(gè)進(jìn)行解密。目前，RSA(RivestShamir Adleman)算法是一種最為常用的非對(duì)稱加密算法。

其次，安全認(rèn)證技術(shù)。這是一種有效的防止信息被篡改、刪除、重放和偽造的方法，它可以對(duì)已發(fā)送的消息進(jìn)行驗(yàn)證，以便接受者能夠辨別信息的真假。而認(rèn)證的實(shí)現(xiàn)過程主要包括數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳和認(rèn)證中心等技術(shù)。（1）數(shù)字摘 要：通常使用SHA算法，將需要加密的數(shù)據(jù)“摘要”成一定長(zhǎng)度的密文。需要注意的是該密文和明文具有相同的摘要。所以，利用數(shù)字摘要可以保證數(shù)據(jù)的有效性以及完整性。（2）數(shù)字信封：該技術(shù)主要的是體現(xiàn)的是保密性，其工作原理是使用HASH函數(shù)將對(duì)稱密鑰進(jìn)行加密，在此基礎(chǔ)上對(duì)密鑰進(jìn)行公鑰加密，將其和加密數(shù)據(jù)一起發(fā)送給接受者。（3）數(shù)字簽名：主要應(yīng)用于身份認(rèn)證、數(shù)據(jù)完整性等方面。是對(duì)非對(duì)稱加密和數(shù)字摘要技術(shù)的綜合應(yīng)用。（4）數(shù)字時(shí)間戳：在電子商務(wù)過程中，需要對(duì)交易的文件和時(shí)間信息進(jìn)行適當(dāng)?shù)陌踩用艽胧?，而?shù)字時(shí)間戳服務(wù)(DTS)則是專門用于對(duì)電子文件發(fā)表時(shí)間進(jìn)行安全保護(hù)的。（5）數(shù)字憑證：目前常用的數(shù)字憑證包括個(gè)人憑證、企業(yè)憑證以及軟件憑證。其工作的原理就是應(yīng)用電子手段來驗(yàn)證某一個(gè)用戶的身份以及對(duì)于某個(gè)網(wǎng)絡(luò)的訪問權(quán)限等。（6）認(rèn)證中心(CA，Certificate Authorities)：認(rèn)證中心是作為第三方的一個(gè)權(quán)威性和公正性的認(rèn)證機(jī)構(gòu)，其主要職責(zé)是發(fā)放數(shù)字時(shí)間戳服務(wù)(DTS)和數(shù)字憑證(Digital ID)。（7）智能卡：智能卡是一種嵌入微處理芯片和存儲(chǔ)器集成電路卡，可以對(duì)數(shù)據(jù)進(jìn)行加密和解密。在電子商務(wù)中，智能卡具有以下幾點(diǎn)優(yōu)勢(shì)：增加了私有密鑰和電子證書的安全性；可以進(jìn)行個(gè)人密碼的設(shè)置；可以減輕客戶端系統(tǒng)的負(fù)擔(dān)等。

3 電子商務(wù)的安全交易協(xié)議

電子商務(wù)除了必須具備相應(yīng)的各種安全控制技術(shù)之外，還必須具有一套完善的安全交易協(xié)議。目前，我國(guó)常用的安全協(xié)議主要包括：一是安全電子交易協(xié)議（SET）。其主要是為了解決用戶、商家和銀行之間的交易而設(shè)計(jì)的，目的是能夠確保支付信息的保密性，過程的完整性，尤其是商戶和用戶的合法身份；二是安全套接層協(xié)議（SSL）。主要包括服務(wù)器認(rèn)證、SSL鏈路上數(shù)據(jù)的完整性以及保密性。在點(diǎn)對(duì)點(diǎn)之間的信息傳輸中有著廣泛的應(yīng)用，但是在實(shí)際的應(yīng)用中建議使用“SSL+表單簽名”模式，以保證電子商務(wù)交易的安全性；三是安全交易技術(shù)協(xié)議(STT)。該技術(shù)將解密和認(rèn)證公開在網(wǎng)頁中，以有效的提高安全控制力；四是安全超文本傳輸協(xié)議(HTTPS)。HTTPS是基于提供保密、認(rèn)證以及完整性等服務(wù)，以確保在網(wǎng)頁上交換的媒體文本。

[1]林維達(dá)，劉桂蘭.計(jì)算機(jī)安全與計(jì)算機(jī)病毒[J].微型機(jī)與應(yīng)用，1998.

[2]梁晉，等.電子商務(wù)核心技術(shù)-安全電子交易協(xié)議的理論與設(shè)計(jì)[M].西安:西安電子科技大學(xué)出版社，2000，8.

[3]覃征，謝國(guó)彤.商務(wù)體系結(jié)構(gòu)及系統(tǒng)設(shè)計(jì)[M].西安：西安交通大學(xué)出版社，2001.

[4]唐禮勇，陳鐘.電子商務(wù)技術(shù)及其安全問題[J].計(jì)算機(jī)工程與應(yīng)用，2000，36(7):18～22.

[5]王少鋒，王克宏.電子商務(wù)技術(shù)的發(fā)展與研究 [J].計(jì)算機(jī)工程與應(yīng)用，2000，36(4):36～38.