1.3 電子商務(wù)安全技術(shù)

電子商務(wù)安全是信息安全的上層應(yīng)用，它包括的技術(shù)范圍比較廣，主要分為密碼技術(shù)、網(wǎng)絡(luò)安全技術(shù)、安全協(xié)議、公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）技術(shù)四大類。實(shí)際上安全協(xié)議和PKI技術(shù)都是源于密碼技術(shù)。

1.3.1 密碼技術(shù)

密碼技術(shù)是保證電子商務(wù)安全的重要手段，是信息安全的核心技術(shù)。它主要包括加密技術(shù)、簽名認(rèn)證技術(shù)和密鑰管理技術(shù)三大技術(shù)。

1．加密技術(shù)

加密技術(shù)是保證電子商務(wù)安全的重要手段。所謂加密就是使用數(shù)學(xué)方法來重新組織數(shù)據(jù)，使得除了合法的接收者外，任何其他人要想恢復(fù)原先的“報(bào)文”或讀懂變化后的“報(bào)文”是非常困難的。許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)。密碼算法利用秘密密鑰（Private Keys）來對敏感信息進(jìn)行加密，然后把加密好的數(shù)據(jù)和密鑰（要通過安全方式）發(fā)送給接收者，接收者可利用同樣的算法和傳遞來的密鑰對數(shù)據(jù)進(jìn)行解密，從而獲取敏感信息并保證了網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性。

2．密鑰管理技術(shù)

密鑰管理包括密鑰的產(chǎn)生、存儲(chǔ)、裝入、分配、保護(hù)、丟失、銷毀以及保密等內(nèi)容。其中分配和存儲(chǔ)是最棘手的問題。密鑰管理不僅影響系統(tǒng)的安全性，而且涉及系統(tǒng)的可靠性、有效性和經(jīng)濟(jì)性。在用密碼技術(shù)保護(hù)的現(xiàn)代信息系統(tǒng)中，密碼算法安全主要取決于對密鑰的保護(hù)，而不是對算法或硬件本身的保護(hù)，即密碼算法的安全性完全寓于密鑰中。

3．?dāng)?shù)字簽名

數(shù)字簽名（Digital Signature）是公開密鑰加密技術(shù)的一種應(yīng)用，是指用發(fā)送方的私有密鑰加密報(bào)文摘要，然后將其與原始的信息附加在一起，合稱為數(shù)字簽名。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報(bào)文的鑒別與驗(yàn)證，保證報(bào)文的完整性、權(quán)威性和發(fā)送者對所發(fā)報(bào)文的不可抵賴性。數(shù)字簽名機(jī)制提供了一種鑒別方法，保證了網(wǎng)絡(luò)數(shù)據(jù)的完整性和真實(shí)性。數(shù)字簽名普遍用于銀行電子支付、電子貿(mào)易等領(lǐng)域，以解決偽造、抵賴、冒充、篡改等問題。

1.3.2 網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ)，一個(gè)完整的電子商務(wù)系統(tǒng)應(yīng)建立在安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上。網(wǎng)絡(luò)安全涉及的方面比較多，如操作系統(tǒng)安全、防火墻技術(shù)、虛擬專用網(wǎng)（Virtual Private Network，VPN）技術(shù)、各種反黑客技術(shù)和漏洞檢測技術(shù)，其中最重要的就是防火墻技術(shù)。

防火墻是建立在通信技術(shù)和信息安全技術(shù)之上，它用于在網(wǎng)絡(luò)之間建立一個(gè)安全屏障，根據(jù)指定的策略對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾、分析和審計(jì)，并對各種攻擊提供有效的防范，主要用于Internet接入和專用網(wǎng)與公用網(wǎng)之間的安全連接。

VPN也是一項(xiàng)保證網(wǎng)絡(luò)安全的技術(shù)之一。它是指在公共網(wǎng)絡(luò)中建立一個(gè)專用網(wǎng)絡(luò)，數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，其各地的分支機(jī)構(gòu)就可以互相安全地傳遞信息；同時(shí)，企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公眾信息網(wǎng)上，就可以進(jìn)入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。

1.3.3 安全協(xié)議

安全協(xié)議是許多分布式系統(tǒng)安全的基礎(chǔ)，是電子商務(wù)系統(tǒng)運(yùn)行的安全通信標(biāo)準(zhǔn)。目前國際上流行的電子商務(wù)所采用的協(xié)議主要包括以下四個(gè)方面。

1．電子支付協(xié)議

電子支付協(xié)議是指在電子交易過程中實(shí)現(xiàn)交易各方支付信息正確、安全、保密地進(jìn)行網(wǎng)絡(luò)通信的規(guī)范和約定。這些協(xié)議分為不同的類型。一方面，對應(yīng)不同的支付工具，有不同的協(xié)議，例如，基于銀行卡的支付協(xié)議、基于支票的支付協(xié)議以及基于電子貨幣的支付協(xié)議；另一方面，對應(yīng)TCP/IP的各層也有不同的安全協(xié)議。

目前在電子支付中常用的安全協(xié)議有：安全套接層協(xié)議（Secure Sockets Layer，SSL）和安全電子交易協(xié)議（Secure Electronic Transaction，SET）。SSL協(xié)議提供的服務(wù)有認(rèn)證用戶和服務(wù)器；確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器；提供數(shù)據(jù)加密防止數(shù)據(jù)中途被竊取；維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。SET協(xié)議是以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全標(biāo)準(zhǔn)，為交易涉及的各方之間提供安全的通信信道服務(wù)；通過采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)信任服務(wù)；提供交易各方信息的機(jī)密性服務(wù)。

2．安全超文本傳輸協(xié)議（S-HTTP）

超文本傳輸協(xié)議（Hypertext Transfer Protocol，HTTP）是一種詳細(xì)規(guī)定了瀏覽器和萬維網(wǎng)服務(wù)器之間互相通信的規(guī)則，按照特定的方式，瀏覽器與服務(wù)器之間通過該協(xié)議傳送相關(guān)數(shù)據(jù)。

安全超文本傳輸協(xié)議（Secure Hypertext Transfer Protocol，S-HTTP）是一種結(jié)合HTTP而設(shè)計(jì)的安全通信協(xié)議。S-HTTP能與HTTP信息模型共存，并易于與HTTP應(yīng)用程序相整合。不僅為HTTP客戶機(jī)和服務(wù)器提供了多種安全機(jī)制，而且為客戶機(jī)和服務(wù)器提供了相同的性能（同等對待請求和應(yīng)答，也同等對待客戶機(jī)和服務(wù)器），同時(shí)維持了HTTP的事務(wù)模型和實(shí)施特征。

S-HTTP客戶機(jī)和服務(wù)器能與某些加密信息格式標(biāo)準(zhǔn)相結(jié)合，支持多種兼容方案并且與HTTP相兼容。使用S-HTTP的客戶機(jī)能夠與沒有使用S-HTTP的服務(wù)器連接，反之亦然。S-HTTP不需要客戶端公用密鑰認(rèn)證（或公用密鑰），但它支持對稱密鑰的操作模式，支持端對端安全事務(wù)通信。S-HTTP還提供了完整且靈活的加密算法、模態(tài)及相關(guān)參數(shù)。

3．安全電子郵件協(xié)議

安全電子郵件協(xié)議（PEM）是指通過網(wǎng)絡(luò)發(fā)送信件通信的規(guī)范和約定。安全多媒體Internet郵件擴(kuò)展協(xié)議S/MIME，主要用于保障電子郵件的安全傳輸。例如，微軟的Outlook Express使用該協(xié)議，采用數(shù)字標(biāo)識(shí)、數(shù)字憑證、數(shù)字簽名以及非對稱密鑰系統(tǒng)等技術(shù)，構(gòu)成一種簽名加密的郵件收發(fā)方式。

4．Internet EDI協(xié)議

還有用于公對公交易的Internet EDI（UN/EDIFACT）協(xié)議，它將貿(mào)易、運(yùn)輸、保險(xiǎn)、銀行和海關(guān)等行業(yè)的信息，用一種國際公認(rèn)的標(biāo)準(zhǔn)格式，形成結(jié)構(gòu)化的事務(wù)處理的報(bào)文數(shù)據(jù)格式，通過計(jì)算機(jī)通信網(wǎng)絡(luò)，使各有關(guān)部門、公司與企業(yè)之間進(jìn)行數(shù)據(jù)交換與處理，并完成以貿(mào)易為中心的全部業(yè)務(wù)過程。

此外，也可以在Internet上建設(shè)虛擬專網(wǎng)，利用VPN為企業(yè)、政府提供一些基本的安全服務(wù)，如企業(yè)、政府間的公文、報(bào)表傳送、電子報(bào)稅業(yè)務(wù)等。這些協(xié)議分別在不同的協(xié)議層上進(jìn)行，在Internet上提供安全的電子商務(wù)服務(wù)。

1.3.4 PKI技術(shù)

PKI（Public Key Infrastructure）是利用公鑰算法原理和技術(shù)為網(wǎng)上通信提供通用安全服務(wù)的基礎(chǔ)設(shè)施。它為電子商務(wù)、電子政務(wù)、網(wǎng)上銀行證券等提供一整套安全基礎(chǔ)平臺(tái)。

PKI采用證書管理公鑰，通過第三方的可信機(jī)構(gòu)CA，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息捆綁在一起，在互聯(lián)網(wǎng)上驗(yàn)證用戶的身份。PKI把公鑰密碼和對稱密碼結(jié)合起來，在互聯(lián)網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理，保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。

PKI的核心元素是數(shù)字證書，核心執(zhí)行者是認(rèn)證機(jī)構(gòu)。數(shù)字證書服務(wù)的應(yīng)用和實(shí)施是廣泛開展電子商務(wù)的前提，電子商務(wù)的深入開展離不開數(shù)字證書技術(shù)和認(rèn)證機(jī)構(gòu)的正確督導(dǎo)。