关于电子商务中的安全技术的探讨

电子商务是一个机遇和挑战共存的新领域，这种挑战在很大程度上来源于对可使用的安全技术的信赖。

在开放的网络（如Internet）上处理交易，如何保证传输数据的安全成为电子商务能否普及的最重要因素之一。

一．电子商务对安全的要求 　　归纳起来，对电子商务活动安全性的需求以及可使用的网络安全措施，主要包含如下几方面： 　　1．如何确定通信中的贸易伙伴的真实性？常用的处理技术是身份认证，依赖某个可信赖的机构（认证中心－CA）发放证书，双方交换信息之前通过CA获取对方的证书，并以此识别对方。

1997年5月，由Visa、MasterCard等联合推出，并得到IBM、Netscape、Microsoft、Oracle等公司支持的安全电子交易（SET）规范为在Internet上进行安全的电子商务提供了一个开放的标准。

电子认证是SET的主要功能。

2．如何保证电子单证的秘密性，防范电子单证的内容被第三方读取？常用的处理技术是数据加密和解密。

常见的加密技术包括对称密钥加密技术（加密/解密使用相同的密钥，或者可以从一个密钥推导出另一个密钥，典型的加密算法包括DES、Triple DES、IDEA、RC4和RC5）和非对称密钥加密技术（也称公开密钥加密技术，加密/解密使用不同的密钥，典型的加密算法为RSA、SEEK、PGP和EU等）。

单证传输的安全性依赖于使用的算法和密钥的长度。

3．如何保证被传输的业务单证不会丢失，或者发送方可以察觉所发单证的丢失？对于固定且具有频繁贸易往来的伙伴，可以采用单证传输的序列性检验（即为单证分配序列号，或者增加时间戳）；也可采用双方约定的方法，即在规定的时间内，通过某种方式进行确认，包括采用特定的确认报文（如：订单确认报文），或者电子邮件确认和电话确认等。

4．如何确定电子单证的内容未被篡改？单证传输完整性主要采用散列技术来防止非法用户对单证的篡改，通过散列算法对被传输的单证进行处理，产生一个依赖于该单证的短小的散列值（通常在100～200比特之间），并将该散列值附接在单证之后传输给接收方，以便接收方采用相同的散列算法对接收的单证进行检验。

散列算法保证对于不同的单证产生相同的散列值的概率极小。

典型的散列算法为美国国家安全局开发的单向散列算法——SHA－1，该算法产生长度为160比特的散列值以及MD2和MD5等。

5．如何确定电子单证的真实性（即单证来源于期望的发送方）？鉴别单证真实性的主要手段是数字签名技术，其基础是数据加密中的公开密钥加密技术，实用中常结合单证完整性一起考虑，利用发送方的密钥对散列值进行加密。

目前可用的数字签名算法很多，如：RSA数字签名、ELGamal数字签名等。

6．如何解决或者仲裁收发双方对交换的单证所产生的争议，包括发方或收方可能的否认或抵赖？通常要求引入认证中心进行管理，由CA发放密钥，传输的单证及其签名的备份发至CA保存，作为可能争议的仲裁依据。

7．如何保证存储信息的安全性？如何规范内部管理？如何使用访问控制权限和日志以及敏感信息加密存储？当使用WWW服务器支持电子商务活动时，应注意数据的备份和恢复，并采用防火墙技术（有些专家建议直接采用物理分割WWW服务器和内部网络的连接）保护内部网络的安全性。

为了达到商务活动的要求，电子商务需要有规定顾客、商家和各金融机构之间的责权关系的政策，给出参与各方的数据存储和通信过程以及数据流动的支付协议。

二、电子商务中的安全技术主要指密码技术和交易的安全机制。

密码技术有：对称密码技术、公钥密码技术、数字签名技术、Hash函数、公钥认证技术、双重签名加密技术等。

在一个加密系统中，信息使用加密密钥加密后，接收方使用解密密钥对密文解密得到原文。

数字签名用来保证信息传输过程中信息的完整和提供信息发送者的身份认证。

双重数字签名是保证在电子交易过程中三方安全的传输信息的技术。

认证技术分实体认证和信息认证。

实体认证是对参与通信实体的身份认证，信息认证是指对信息体进行认证，以决定该信息的合法性。

安全机制用来保证电子商务中交易的安全性，如SET、SSL、S/MIME、S—HTTP等，这里我们主要介绍常用的SET标准。

安全电子交易SET是一种电子支付过程标准，用以保护网上支付卡交易的每一个环节，由VISA和Master Card合作产生，同时采用IBM、GTE、Microsoft、Netscape、RSA、SAIC、Terisa、VeriSign等多个公司的技术，是专为网上支付卡业务安全所制定的唯一有意义的标准，保证电子支付卡交易的安全进行，加密付款信息被安全地发送。

SET标准主要由三个文件组成：SET业务描述、SET程序员指南和SET协议描述。

SET结合强大的加密功能和保证支付过程中每一步保密性和可靠性的一系列认证过程，主要包括四个方面： 　　· 信息的保密性：SET通过综合使用对称密钥加密技术、公钥加密技术与Hash函数实现信息的保密性； 　　· 确认能力：SET使用一种认证技术将持卡人和一个专用帐号连接在一起，确认能力通过数字签名和认证实现； 　　· 数据的完整性：SET使用Secure Hash和数字签名方法来确保交易的完整性； 　　· 多方的操作性：SET协议使用的协议和信息格式来保证在不同的软硬件平台上运行。