电子商务安全性浅析与探索

赵永坚 何树华 周 超 黄 海

摘要：电子商务安全性制约着电子交易活动的发展。本文通过分析现有电子商务的安全保障机制。基于已有安全措施探索更高效更安全的安全保障方案。

关键词：电子商务；数字加密；安全：漏洞；SSL

1引言

随着电子商务逐渐走入人们的日常生活，人们对它的信赖程度与其本身具有的安全可靠性成正比，据普查有六成网民不信任网上购物。能否提高电子商务的安全性，保障交易可靠已成为网站商家与消费者共同关注的问题。在广大网络平台上建立一套交易双方信赖的安全保障制度，充分加强网络交易的安全可靠性、信息保密性，方可提高人们对网络交易的支持和利用。

2电子商务安全的威胁与漏洞

电子交易安全要求有信息的保密性，交易者身份的确定性，交易操作的不可否认性和交易信息的不可修改性。相应产生的威胁与漏洞有：(1)源于外部侵入的威胁。外部侵入者通过对网络的侵犯而获悉交易双方的交易信息，窃取商机。(2)源于信息不完整性产生的漏洞。在交易过程中产生的差错导致交易信息的不完整，可能导致交易活动无法进行。(3)源于交易双方对交易信息的抵赖威胁。交易双方可能对交易信息进行篡改，伪造证据，扰乱交易的公平性。

3目前电子商务的安全保障和电子交易的手段

3.1现有电子商务最常见的安全机制有SSL及SET两种。分别如下：

(1)SSL协议：位于TCD／IP协议与各种应用层协议之间，为数据通信提供安全支持。它分为两层，其中SSL记录协议(SSL RecordProtocol)，建立在可靠的传输协议之上，为高层提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol)，建立在SSL记录协议之上，用于在实际的数据传输开始之前，通信双方进行身份认证，协商加密算法，交换加密密钥。

(2)SET协议：是一种基于消息流的协议，它主要用来保证公共网络上银行卡支付交易的安全性。它定义了加密信息的格式和完成一笔交易过程中各方传输信息的规则。

3.2现有保障电子交易安全的手段

(1)密码技术：常用的有：①公共密钥和私用密钥，亦称为RSA编码法，它利用两个很大的质数相乘所产生的乘积来加密。②数字摘要(dIgital dlgest)即安全Hash编码法或MD5，它采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹(Finger Print)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。

(2)数字签名(digital signature)：数字签名是以保障基于网络交易平台替代传统功能的电子技术手段，结合了密码技术和数字摘要。它通过密码技术保证数据保密，不被篡改。和验证身份以实现电子交易安全。

(3)数字时间戳：能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网上安全服务项目，由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档。

(4)数字凭证：数字凭证又称为数字证书。是用电子手段来证实一个用户的身份和对网络资源的访问的权限。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。

(5)认证中心(CA=Certification Authority)：就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。

4探索与搜寻更为有效方案，进一步提高安全可靠性。

通过以上对现有电子商务安全性的分析可以发现有许多可改进方案，比如：

(1)较多的电子商务平台建立在SSL协议基础之上，然而SSL2O在设计上有着很多缺陷，仍容易受到网络攻击。因此在SSL协议之上再通过VPN(虚拟专用网)，联合SSL的独特性以及VPN所能提供的安全远程访问控制能力，保证交易信息安全。

(2)在电子交易平台提供数据证书验证交易者的身份真实性，然而安全技术的强度普遍不够，受到了外国密码政策的限制，因此强度普遍不够，自主探索加密算法尤为重要。

(3)尽管电子商务蓬勃发展，但网络信息安全在全球还没有形成一个完整的体系，有关电子商务安全的产品真正通过认证的相当少，对安全技术普遍了解的较少。所以在安全认证方面应转向信用体系较高的CA认证。

(4)电子商务网站的安全管理存在很大隐患，因此应加强电子商务网站的安全管理。避免内部人员滥用资源，使用完善的防火墙技术，建立网络系统的日常维护制度。

5结论及展望

随着网络的发展，未来电子商务将以高安全稳定性而竞争。为了支撑更广大的商务活动，只有不断努力探索提高安全性方案。不断提高服务的安全性，否则会制约电子商务的发展，成为发展的瓶颈。安全性必能为电子商务发展提供重要保障。