探析电子商务的网络安全问题

1、探析电子商务的网络安全问题    摘要 电子商务是在互联网网络快速发展的背景下，提供给普通消费者进行网上购物和网上便捷电子支付的一种新型的商业模式，同时也从根本上加快了整个市场经济下商务活动的发展进程，但同时也存在诸多急待解决的问题。本文从电子商务的定义、网络信息安全的需求、主要网络安全技术等几个方面着手，客观地探讨了电子商务网络安全技术的发展现状及目前存在的问题，并提出了解决电子商务安全的对策及建议。关键词 电子商务 安全技术 协议技术引言电子商务一词来源于英文 ELECTRONICCOMMERCE，简写为EC。它包括的内容有以下两方面，一是电子方式，

2、二是商贸活动。从目前的情况来说，主要是指利用电子互联网络等电子化方式进行的商务活动，反映了商务活动的电子化、网络化两个特点。WTO(世界贸易组织)给出的电子商务定义是：电子商务是指以电子方式进行商品及服务的生产、流通、市场营销、销售或支付。21世纪前10年，我国市场经济体制下的电子商务已经走上了快速发展的轨道，平均每年的增长速度高于45，预计2011年电子商务交易额将达17万亿元。由于网络传递大量的信息，巨额的资金在互联网间结算流动，这就需要网络中的信息要有高度的可靠性和安全保密性。但是来自不同网络环境中网络攻击入侵也越来越频繁，人们也开始提高对这个不安全的网络和不成熟的电子商务的防范心理。就

3、这一点来说，网络中信息安全问题是保证电子商务顺利发展的基础。一、电子商务领域信息安全的需求随着计算机互联网应用技术的高速发展，生活中电子商务的发展必将挑战传统的商务交易模式，电子商务必将成为国际间贸易活动的主要经营模式之一，未来它会逐渐地成为我们经济生活中不可或缺的部分。但电子商务快速发展过程中，其安全问题也越来越引起人们的高度关注，网络交易的安全是确保电子商务良性发展的关键因素，也是各位网络参与者十分关心的话题之一。目前有关电子商务网络安全问题主要包括以下几个方面 1 。(1)信息真实有效性。 电子商务作为商务贸易的一种新的形式，其信息的真实性与有效性将直接关系到个人、企业用户和国家的经济利

4、益和名誉。(2)信息的安全保密性。电子商务是构建在一个较为开放的网络环境中的，商品交易中防止泄密是电子商务活动得到推广应用的重要保障。(3)信息完整性。电子商务形成的系统应能确保数据的完整传输和存储，并且保证电子商务活动的可靠完整性。(4)信息可鉴别性、可靠性和不可抵赖性。 电子商务系统要充分保证数据的发送者在发送数据后不能再抵赖，接收方在接到数据后也不可抵赖。二、主要的几种网络安全技术(1)加密技术加密技术应用在网络安全上主要有以下两种形式：面向网络和面向应用服务。面向网络的加密技术工作在OSI参考模型的网络层或传输层之间，传送并使用经过加密后数据包，使网络路由及其他网络协议所需的信息得到认

5、证，也在一定程度上保证互联网络的连通性和可用性不受损害。面向网络应用服务的加密技术则采用目前较为流行的加密技术，这一种加密技术的优点是可用相对较为简单的方式实现，不用对电子信息（数据包）所经过的网络的安全性能提出较高的要求，实现了对电子邮件数据端到端的安全保证 2。(2)身份认证技术为尽快解决互联网络的安全问题，逐渐形成了一套完整的互联网安全解决方案，也就是目前广泛采用的公钥基础设施（PKI）体系结构。 PKI体系结构应用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（如用户名 e-mail 身份证号等）进行了有效绑定，在网络中进行验证用户的身份，PKI体系结构把公钥

6、密码和对称密码结合起来，在网络上实现自动管理密钥，从而保证电子信息数据的机密性、完整性。电子商务企业用户身份认证的实现是通过IC卡与服务器CA证书相结合完成的。CA证书的用途是认证服务器的身份，IC卡则是认证企业用户的身份，因为个人用户没有提供交易功能，所以只能采用ID号和密码口令的身份确认机制 3 。(3) 数字CA证书为了在网上确认交易双方的身份和保证交易的不可否认性，需要有一份数字证书来进行验证，这里所说的数字证书就是CA证书，它的发行者是认证授权中心（ CA，CertificateAuthority ）， CA中心主要是由社会公认的可靠组织，它来审核个人组织相关情况后，为其发放数字证书

7、，证书包括个人证书和服务器证书两种。建立SSL安全链接并不一定需要有个人证书，不验证客户的个人证书的情况实际上是较多的，验证来访者的合法身份而去验证个人证书。如果只是想建立SSL链接，客户只需用户到相应的站点下载该服务器证书。(4)SSL 协议技术 1 SSL安全套接层协议作为传输协议仍然采用的是 TCP来提供数据的可靠传送和接收,它位于应用层和传输层之间,独立于其它的OSI高层应用,并且能够为高层协议提供相关安全服务。SSL 包括SSL 握手协议和SSL记录协议两个部份。SSL握手协议能协商加密算法和加密密钥能后让客户机与服务器间再传输应用数据,客户机列出自己能支付的所有的算法清单,服务器选

8、择最适合它的算法，SSL 记录层起到了封装不同的上层协议的作用。SSL通过采用公钥和私钥技术保证客户机和Web 服务器通信数据的完整性、保密性和认证性。但该协议无法防止那些心术不正商家的恶意欺骗。(5)SET协议技术 1 SET可保证信用卡进行电子化交易时，保证其应用并提供了相关安全措施规则，是由两大信用卡提供商Visa和MasterCard 共同组织制定的,实现了网上信用卡交易的标准规范模型。SET协议具有较高的安全度,并结合了数据加密标准DES 、S -HTTP、RSA 算法和 SSL ,确保了各项交易的多层加密。 SET协议设计的目的是为了解决用户、 商家、 银行三者间通过信用卡支付安全

9、问题,从根本上保证了交易支付信息的保密性、完整性和整个支付过程的完整性,同时也确保了持卡人与商家的身份认证,具有一定的可操作性。SET包括 SET业务描述、SET协议描述和SET程序员指南3个部分。该协议本身相当的复杂 ,但它能精确地反映出使用信用卡交易各方间存在的各类关系。三、电子商务中存在的网络安全问题 4 从我们的电子商务目前发展的情况来分析，电子商务网站的经营情况表面上一片大好，而事实上却危机四伏。就笔者多年的研究来说，我国的电子商务经营状况不理想的现状急需改变，但依然存在技术和经营管理方面的诸多问题，特别是网络交易的安全问题。(1)现在网络安全还未构成一个完整的体系。从了解的情况分析

10、，目前市场上也出现了许多有关电子商务网络安全方面的产品，但真正符合相关机构资格认证的却还很少。在最近一段时间里，有关电子商务安全产品的生产产家都在申请认证，但能够通过认证的企业却相对较少。其主要存在的客观原因是企业的产品中有许多安全措施都是从网上生搬硬套而开发组成的；此外，许多做电子商务安全技术的企业是熟悉网络技术的，但却对安全相关的技术普遍了解较少，因此这些企业很难开发出真正有价值的、又具有安全性的产品。(2) 电子商务的安全加密技术有待提高。目前，市场上有关电子商务的安全技术从整体上分析，其结构或加密技术还能适应需求，可是相关的程序算法却受制于其它国家的密码政策，因此这些企业相关安全技术的

11、强度不足。如果说用在企业与终端客户进行交易时，这些技术还勉强可以，但对企业与企业网络交易方面就远远不够了。摘要 电子商务是在互联网网络快速发展的背景下，提供给普通消费者进行网上购物和网上便捷电子支付的一种新型的商业模式，同时也从根本上加快了整个市场经济下商务活动的发展进程，但同时也存在诸多急待解决的问题。本文从电子商务的定义、网络信息安全的需求、主要网络安全技术等几个方面着手，客观地探讨了电子商务网络安全技术的发展现状及目前存在的问题，并提出了解决电子商务安全的对策及建议。关键词 电子商务 安全技术 协议技术引言电子商务一词来源于英文 ELECTRONICCOMMERCE，简写为EC。它包括的

12、内容有以下两方面，一是电子方式，二是商贸活动。从目前的情况来说，主要是指利用电子互联网络等电子化方式进行的商务活动，反映了商务活动的电子化、网络化两个特点。WTO(世界贸易组织)给出的电子商务定义是：电子商务是指以电子方式进行商品及服务的生产、流通、市场营销、销售或支付。21世纪前10年，我国市场经济体制下的电子商务已经走上了快速发展的轨道，平均每年的增长速度高于45，预计2011年电子商务交易额将达17万亿元。由于网络传递大量的信息，巨额的资金在互联网间结算流动，这就需要网络中的信息要有高度的可靠性和安全保密性。但是来自不同网络环境中网络攻击入侵也越来越频繁，人们也开始提高对这个不安全的网络

13、和不成熟的电子商务的防范心理。就这一点来说，网络中信息安全问题是保证电子商务顺利发展的基础。一、电子商务领域信息安全的需求随着计算机互联网应用技术的高速发展，生活中电子商务的发展必将挑战传统的商务交易模式，电子商务必将成为国际间贸易活动的主要经营模式之一，未来它会逐渐地成为我们经济生活中不可或缺的部分。但电子商务快速发展过程中，其安全问题也越来越引起人们的高度关注，网络交易的安全是确保电子商务良性发展的关键因素，也是各位网络参与者十分关心的话题之一。目前有关电子商务网络安全问题主要包括以下几个方面 1 。(1)信息真实有效性。 电子商务作为商务贸易的一种新的形式，其信息的真实性与有效性将直接关

14、系到个人、企业用户和国家的经济利益和名誉。(2)信息的安全保密性。电子商务是构建在一个较为开放的网络环境中的，商品交易中防止泄密是电子商务活动得到推广应用的重要保障。(3)信息完整性。电子商务形成的系统应能确保数据的完整传输和存储，并且保证电子商务活动的可靠完整性。(4)信息可鉴别性、可靠性和不可抵赖性。 电子商务系统要充分保证数据的发送者在发送数据后不能再抵赖，接收方在接到数据后也不可抵赖。二、主要的几种网络安全技术(1)加密技术加密技术应用在网络安全上主要有以下两种形式：面向网络和面向应用服务。面向网络的加密技术工作在OSI参考模型的网络层或传输层之间，传送并使用经过加密后数据包，使网络路

15、由及其他网络协议所需的信息得到认证，也在一定程度上保证互联网络的连通性和可用性不受损害。面向网络应用服务的加密技术则采用目前较为流行的加密技术，这一种加密技术的优点是可用相对较为简单的方式实现，不用对电子信息（数据包）所经过的网络的安全性能提出较高的要求，实现了对电子邮件数据端到端的安全保证 2。(2)身份认证技术为尽快解决互联网络的安全问题，逐渐形成了一套完整的互联网安全解决方案，也就是目前广泛采用的公钥基础设施（PKI）体系结构。 PKI体系结构应用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（如用户名 e-mail 身份证号等）进行了有效绑定，在网络中进行验证

16、用户的身份，PKI体系结构把公钥密码和对称密码结合起来，在网络上实现自动管理密钥，从而保证电子信息数据的机密性、完整性。电子商务企业用户身份认证的实现是通过IC卡与服务器CA证书相结合完成的。CA证书的用途是认证服务器的身份，IC卡则是认证企业用户的身份，因为个人用户没有提供交易功能，所以只能采用ID号和密码口令的身份确认机制 3 。(3) 数字CA证书为了在网上确认交易双方的身份和保证交易的不可否认性，需要有一份数字证书来进行验证，这里所说的数字证书就是CA证书，它的发行者是认证授权中心（ CA，CertificateAuthority ）， CA中心主要是由社会公认的可靠组织，它来审核个人

17、组织相关情况后，为其发放数字证书，证书包括个人证书和服务器证书两种。建立SSL安全链接并不一定需要有个人证书，不验证客户的个人证书的情况实际上是较多的，验证来访者的合法身份而去验证个人证书。如果只是想建立SSL链接，客户只需用户到相应的站点下载该服务器证书。(4)SSL 协议技术 1 SSL安全套接层协议作为传输协议仍然采用的是 TCP来提供数据的可靠传送和接收,它位于应用层和传输层之间,独立于其它的OSI高层应用,并且能够为高层协议提供相关安全服务。SSL 包括SSL 握手协议和SSL记录协议两个部份。SSL握手协议能协商加密算法和加密密钥能后让客户机与服务器间再传输应用数据,客户机列出自己

18、能支付的所有的算法清单,服务器选择最适合它的算法，SSL 记录层起到了封装不同的上层协议的作用。SSL通过采用公钥和私钥技术保证客户机和Web 服务器通信数据的完整性、保密性和认证性。但该协议无法防止那些心术不正商家的恶意欺骗。(5)SET协议技术 1 SET可保证信用卡进行电子化交易时，保证其应用并提供了相关安全措施规则，是由两大信用卡提供商Visa和MasterCard 共同组织制定的,实现了网上信用卡交易的标准规范模型。SET协议具有较高的安全度,并结合了数据加密标准DES 、S -HTTP、RSA 算法和 SSL ,确保了各项交易的多层加密。 SET协议设计的目的是为了解决用户、 商家、 银行三者间通过信用卡支付安全问题,从根本上保证了交易支付信息的保密性、完整性和整个支付过程的完整性,同时也确保了持卡人与商家的身份认证,具有一定的可操作性。SET包括 SET业务描述、SET协议描述和SET程序员指南3个部分。该协议本身相当的复杂 ,但它能精确地反映出使用信用卡交易各方间存在的各类关系。三、电子商务中存在的网络安全问题 4 从我们的电子商务目前发展的情况来分析，电子商务网站的经营情况表面上一片大好，而事实上却危机四伏。就笔者多年的研究来说，我国的电子商务经营状况不理想的现状急需改变，