尤 锐

一、电子商务的基本概念

电子商务这一名词来源于英文ELECTRONIC COMMERCE，通常简写为EC。其内容可以概括为电子运行和商业活动两个方面。在互联网技术日益成熟和普及的基础上，人们逐渐实现了网络选择商品，在线谈判、在线交易和电子支付等一系列商贸运营方式。这涉及很多商务活动内容，除了买、卖双方之外还有银行金融机构、认证机构、第三方担保人、商品配送企业等等部门和个人。在整个电子交易活动中交易双方并不见面，而是将现实商务交易活动转变成网络交易形式，用户的很多个人信息、企业的重要资料都是存储在网上或计算机系统中，这对于电子商务的安全性提出了很高的要求，诸如电子数据加密、网络防火墙、电子签名的身份认证方式等安全技术发挥着不可或缺的作用。

二、电子商务安全要素分析

（一）网络信息有效性

电子商务以互联网无形的交易形式代替了人们面对面的商谈交易，保证交易双方提供信息的真实有效成了电子交易活动有效开展的前提条件。网上电子交易信息的有效性直接影响着个人、企业、政府的现实利益和商业利益。为此必须对网络故障、系统错误和电脑病毒、黑客入侵等隐性网络安全威胁加以控制，确保电子信息不被窃取、篡改，保证信息的安全有效性。

（二）网络信息的完整性

电子商务活动打破了地域限制，让人们直接的信息交流和商业活动更加便利，减少了很多手续，但同时也对网络信息的完整性提出了更高的要求，因为交易双方不能面对面的交易，仅能从网络信息上了解对方的情况。这时如果出现数据录入错误或是有意的欺诈就很可能出现交易纠纷。另外商家在网上信息的丢失、信息反复修改、传送信息量的层次差异均会影响人们的判断，所以信息完整性是网络交易的必备条件，是实现电子交易的基础。

（三）网络信息的可靠性和可鉴别性

网络电子交易成功的前提是交易双方互相之间的信任和了解。要想交易双方真正认为对方是自己期望的合作对象，如现实生活中的合同资料、签字、盖章等手续显然是不可能在网上实现的，这就要求在电子交易活动中为双方提供信息可靠性的担保，提高网络交易信息的可鉴别性。对此需要提供必要的电子安全技术保障，为网络商业活动的参与者提供安全服务，如信息鉴别、访问控制、保密性等内容。

三、电子商务安全技术分析

（一）防火墙技术

防火墙技术是在现代计算机系统中普遍使用的安全访问保障技术，其技术构成包括代理服务器技术与访问分组过滤技术。其中分组过滤是由路由器支持的网络资源分组；代理服务器则是设置高层的网络管理员来代理访问请求，为外来访问者提供信息服务。这种技术能够对本区域内的网络安全提供保障，防止来自外网的恶意程序和用户恶意侵害对计算机系统进行破坏，保证系统内的信息安全、完整性，使系统能够正常工作。

（二）数据加密技术

在电子商务活动中主要采用数据加密技术为用户提供信息安全保障，使用这种技术指导用户将明文信息转变为仅有用户知道的密文，这样就能有效地防止非法用户盗取信息资源，现在普遍应用的数据加密技术分为对称密钥加密和非对称密钥加密技术两种。下面我们来分别了解它们的技术特点。

1.对称密钥加密技术。所谓的对称密钥加密是指在对系统进行加密和解密的操作中，使用的都是同一个密钥，通常也被称为单钥加密。这种技术的加密和解密操作比较方便，使用时进入系统速度很快，但是如果用户数量较多时，很可能出现密钥分配困难的问题。对称密钥加密技术一般是采用DES计算方式。

2.非对称密钥加密技术。采用非对称密钥加密技术后的系统，解密技术要求更高，只有用户个人的私钥才能够对系统进行解密，否则系统将拒绝提供任何信息服务。这种技术的优势在于密钥专属使用、管理便捷，安全保密性更好；缺陷是操作步骤繁琐，登录困难、速度慢。其主要采用的算法是RSA计算格式。

（三）安全认证技术

1.数字摘要。采用数字摘要技术主要是将客户需要进行加密的信息以散列函数（Hash）的形式生成为长度固定的密文。这种技术一般只是被用于检查通过网络传输的信息是否被篡改或内容丢失。确保信息的有效性。

2.数字信封。数字信封技术是在数据加密技术基础上形成的，在进行数字信封传送时信息的发送者会使用自己的对称密钥进行信息加密，然后再使用接受者的密钥进行信息解密。这样的传送方式可以保证只有限定好的接受者才能获取信息内容，旁人即使拦截成功也根本无法看到详细内容。这样就有效地提高了信息传输的安全性。但是数字信封同样存在着弊病，那就是无论信息的发送者还是接受者均必须保证密钥工作正常，传送成功，否则很可能造成信息丢失，所以在使用时必须特别注意密钥的工作状态。

3.数字签名。应用数字签名技术可以为数字摘要加密文件提供真实性的凭证，通过数字签名可以确定文件是由规定的发送方传送的，提高了信息的可信度，也让信息发送者对发送内容的真实性承担责任。

4.数字时间戳。在电子商务活动中一些文件材料需要通过网络进行传输，数字时间戳这项技术服务为这些材料的日期时间安全提供了保障。它自数字签名技术演化而来，经过时间戳加密后的文档具有了时间有效性的凭证。

5.数字认证证书。数字证书是一种数字信息真实性的凭证，通过证书认证的用户可以访问系统的内容，要求系统为其提供信息服务。这种技术主要被应用于数字资源存储丰富的数据库服务中，证书的种类包括个人证书、企业证书和网关证书三种。运用认证证书技术可以防止信息资源的非法盗取使用，保障信息来源的安全、可靠。

6.CA认证技术。CA认证技术主要为电子交易双方提供第三方信任担保的应用技术，这种技术是由电子商务认证中心提供的具有较强的权威性和可信度的安全服务。在密钥操作中负责对密钥合法性进行检查。使用CA技术可以实现对电子商务活动中数字证书的生产、分派和管理，并提供证书真实性的检验服务，在数字认证技术中居于中心位置。

四、电子商务安全技术的实际应用

（一）网上交易支付平台和安全协议

网上支付是现代电子商务系统中活动最为频繁、应用最为广泛的经济活动。运用电子商务安全技术消费者、商家和金融机构之间可以进行商品、资金的交换服务。消费者可以使用支付宝、信用卡、借记卡等网上支付手段，将货款支付信息通过安全的电子通道，传送给银行或其他金融机构，要求其支付相应的资金，实现网上交易。目前比较常见的支付平台包括CTEC支付系统和SET支付系统。

网上支付需要有安全高效的信息传送渠道，目前应用比较多的是SSL安全协议，这是一种基于数字加密技术发展起来的，持有数字认证证书的浏览器及WWW远程服务器。主要作用是传输安全通信协议，构建电子商务服务和银行之间网上支付信息安全通道，可以有效地提高数据安全，能够保护用户的个人信息不会轻易泄漏。但是SSL协议还不能完全保证信息在网上不被拦截，如果是大宗交易，那么交易双方需要预先采取密钥加密技术，并设定好认证证书。以确保信息安全和双方之间的信任。另外，现在很多人都喜欢用信用卡进行网上支付。对此国际上主要的信用卡公司VISA与Mater Card共同推出了SET协议，用于建立规范的网上信用卡交易模式，通过SET协议可以保障支付信息的安全性、完整性，商户或持卡人的信息不被泄漏。在规范网络交易时采用数字认证技术，通过数字证书来检验持卡人的真实姓名、确定持卡人为本人，限定交易以预先设定的支付方式来付款，其中涉及密钥加密技术、电子数字签名技术、电子信封和安全认证等多项数字认证技术，这样可以有效保障持卡人和商家的利益。

（二）电子商务活动的CA认证

CA（Certificate Authority）是数字认证证书的颁发、认证机构，在网上交易中商家们为了保证对方身份不被冒充，需要向CA发出请求，CA可以对交易的持卡人或商家进行调查、检验和甄别。其工作内容包括，接受商家的注册请求，批准、颁发证书。属于可信度较高的第三方担保人。通常的网络交易是商家、持卡人和银行相互间的合作，这时银行自然是可信任的机构，那么银行就可以充当CA的认证角色，对商家和持卡人进行证书验证，确保交易安全、有效。

五、电子商务安全技术的新发展

（一）XML-PKI技术

XML（eXtensible Markup Language）是一种具备扩展功能的计算机标记语言，在电子商务的语言描述中应用很广，为提高商务信息交流的保密性发挥了积极作用。XML-PKI技术是将XML语言和PKI技术进行有机结合，增加了电子商务安全认证的保密水平，但作为一种新技术，目前还存在很多安全技术难关。

（二）数字水印技术

数字水印技术是一种跻身于数据中，在不影响宿主可用性的基础上，隐匿在宿主数据中，对数据信息进行识别的数字信号。现在研发出来的数字水印技术很多是融合了密码学中加密设置技术的，水印在隐藏到数据之后，用户如果需要提取数据就需要提供相应的密钥，否则不能提取信息。水印的形式没有严格限制，可以是一段文字、符号、序列号等，主要是隐身在数据中而存在，同原来数据紧密地结合在一起，具有很强的隐蔽性，这样能够显著提升重要数据的安全性。为信息提供版权保护。

电子商务是未来国际经济贸易往来的主要发展趋势，随着电子商务应用范围的不断拓展，其安全技术的研究也在不断地开发、完善之中。要想提高电子商务的安全性，首先需要明确网络系统中存在那些安全隐患，进而根据数据信息的安全等级和技术要求采取相应的保护措施。目前的网络电子商务安全技术已经取得很大进步。但是，仅仅靠技术上的革新还远远不够，政府部门还应针对电子商务发展现实情况，完善电子商务的立法工作，规范网络商业行为，从法律机制上为电子商务提供安全保障。

[1]张华.电子商务安全认证技术的研究与应用[J].中国科技信息，2006(18).

[2]党安静.浅谈电子商务的安全技术[J].科技信息(科学教研)，2008(19).

[3]范婕，贾伟，赵卫东.PKI技术在电子商务安全中的应用及其安全性分析[J].科技情报开发与经济，2008(34).