电子商务安全技术分析

电子商务安全技术分析(1) 本文主要从安全要素、安全技术、安全电子交易等几个方面全面的阐述了电子商务的安全问题，其中重点分析了安全电子交易规范(SET)，并对电子商务安全的未来进行了分析。

　　一、电子商务的定义和应用

　　电子商务源于英文ELECTRONICCOMMERCE，简写为EC。顾名思义，其内容包含两个方面，一是电子方式，二是商贸活动。电子商务指的是利用简单、快捷、低成本的电子通讯方式，买卖双方不见面地进行各种商贸活动。

　　电子商务可以通过多种电子通讯方式来完成。简单的，比如你通过打电话或发传真的方式来与客户进行商贸活动，似乎也可以称作为电子商务；但是，现在人们所探讨的电子商务主要是以EDI（电子数据交换）和Internet来完成的。尤其是随着Internet技术的日益成熟，电子商务真正的发展将是建立在Internet技术上的。所以也有人把电子商务简称为IC（INTERNETCOMMERCE）。

　　从贸易活动的角度分析，电子商务可以在多个环节实现，由此也可以将电子商务分为两个层次，较低层次的电子商务如电子商情、电子贸易、电子合同等；最完整的也是最高级的电子商务应该是利用Internet网络能够进行全部的贸易活动，即在网上将信息流、商流、资金流和部分的物流完整地实现，也就是说，你可以从寻找客户开始，一直到洽谈、订货、在线付（收）款、开据电子发票以至到电子报关、电子纳税等通过Internet一气呵成。

　　要实现完整的电子商务还会涉及到很多方面，除了买家、卖家外，还要有银行或金融机构、政府机构、认证机构、配送中心等机构的加入才行。由于参与电子商务中的各方在物理上是互不谋面的，因此整个电子商务过程并不是物理世界商务活动的翻版，网上银行、在线电子支付等条件和数据加密、电子签名等技术在电子商务中发挥着重要的不可或缺的作用。

　　二、电子商务安全的主要要求

　　1．有效性

　　EC以电子形式取代了纸张，那么如何保证这种电子形式贸易信息的有效性则是开展EC的前提。EC作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。

　　2．机密性

　　EC作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个开放的网络环境（如Internet）上的，维护商业机密是EC全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。

　　3．完整性

　　EC简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是EC应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

　　4．可靠性

　　EC可能直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方，这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的EC方式下，通过手写签名和印章进行贸易方的鉴别已不可能，因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

　　为了满足电子商务的安全要求，EC系统必须利用安全技术为EC活动参与者提供可靠的安全服务，主要包括：鉴别服务、访问控制服务、机密性服务、不可否认服务等。鉴别服务是对贸易方的身份进行鉴别，为身份的真实性提供保证；访问控制服务通过授权对使用资源的方式进行控制，防止非授权使用资源或控制资源，有助于贸易信息的机密性、完整性和可控性；机密性服务的目标为EC参与者信息在存储、处理和传输过程中提供机密性保证，防止信息被泄露给非授权信息获得者；不可否认服务针对合法用户的威胁，为交易的双方提供不可否认的证据，来解决因否认而产生的争议提供支持。

　三、安全电子交易SET分析

　　安全电子交易（SET，SecureElectronicTransaction）是一个通过开放网络（包括Internet）进行安全资金支付的技术标准，由VISA和MasterCard组织共同制定，1997年5月联合推出。由于它得到了IBM、HP、Microsoft、Netscape、VeriFone、GTE、Terisa和VeriSign等很多大公司的支持，已成为事实上的工业标准，目前已获得IETF标准的认可。

　　SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。SET主要由3个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。SET规范涉及的范围有：加密算法的应用（例如RSA和DES）；证书信息和对象格式；购买信息和对象格式；确认信息和对象格式；划帐信息和对象格式；对话实体之间消息的传输协议。SET1.0版已经公布并可应用于任何银行支付服务。

　　SET主要目标是:①信息在Internet上安全传输，保证网上传输的数据不被黑客窃取；②定单信息和个人帐号信息的隔离，当包含持卡人帐号信息的定单送到商家时，商家只能看到定货信息，而看不到持卡人的帐户信息；③持卡人和商家相互认证，以确定通信双方的身份，一般由第三方机构负责为在线通信双方提供信用担保；④要求软件遵循相同协议和报文格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。

　　1．安全电子商务模型

　　根据安全电子商务的目标和要求，图3.1给出了SET的一般模型