電子商務(wù)安全技術(shù)簡述

電子商務(wù)安全技術(shù)綜述班級：電子商務(wù)09級2班學號：2009175299姓名：李曉瑩2011年10月20日目錄TOC\o"1-5"\h\z一、摘要3二、電子商務(wù)簡介3\o"CurrentDocument"1、電子商務(wù)的定義3\o"CurrentDocument"2、電子商務(wù)的功能4三、電子商務(wù)安全5\o"CurrentDocument"2.1商務(wù)安全中普遍存在著的安全隱患7\o"CurrentDocument"2.2電子商務(wù)的安全交易主要保證7\o"CurrentDocument"2.3銷售者面臨的威脅8\o"CurrentDocument"2.4購買者面臨的威脅8\o"CurrentDocument"四、電子商務(wù)交易中的安全措施8\o"CurrentDocument"五、尾聲11、摘要隨著Internet的發(fā)展，電子商務(wù)已經(jīng)逐漸成為人們進行商務(wù)活動的新模式。越來越多的人通過Internet進行商務(wù)活動。電子商務(wù)（ElectronicCommerce）就是利用電子數(shù)據(jù)交換（EDI）、電子郵件（E-mail）、電子資金轉(zhuǎn)賬（EFT）及Internet的主要技術(shù)在個人間、企業(yè)間和國家間進行無紙化的業(yè)務(wù)信息的交換。隨著互聯(lián)網(wǎng)的全面普及，基于互聯(lián)網(wǎng)的電子商務(wù)也應(yīng)運而生，成為一種全新的商務(wù)模式，被許多經(jīng)濟專家認為是新的經(jīng)濟增長點。利用計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)和英特網(wǎng)實現(xiàn)商務(wù)活動的國際化、信息化和無紙化，已成為全球商務(wù)發(fā)展的趨勢。盡管電子商務(wù)的發(fā)展勢頭非常驚人，但它在全球貿(mào)易額中只占極小的一部分。一個主要的障礙就是如何保證傳輸數(shù)據(jù)的安全和交易雙方的身份確認。如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護，是商家和用戶都十分關(guān)注的話題。電子商務(wù)的發(fā)展前景十分誘人，而其安全問題也變得越來越突出，如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護，已經(jīng)成為商家和用戶都十分關(guān)心的話題。關(guān)鍵字：電子商務(wù)、網(wǎng)絡(luò)安全、商務(wù)交易、安全技術(shù)、CA認證中心、安全協(xié)議、對策引言電子商務(wù)的一個重要技術(shù)特征是利用IT技術(shù)來傳輸和處理商業(yè)信息。因此，電子商務(wù)安全從整體上可分為兩大部分：計算機網(wǎng)絡(luò)安全和商務(wù)交易安全。1988年11月3日，美國數(shù)千名計算機系統(tǒng)操作員和系統(tǒng)管理員上班后都發(fā)現(xiàn)計算機系統(tǒng)不工作了。不幸的是，這次災(zāi)難只是計算機系統(tǒng)受到攻擊的漫長歷史的開始，這類攻擊已經(jīng)延續(xù)到今天的電子商務(wù)時代，也影響到了電子商務(wù)的發(fā)展。在這里，我們從CNNIC發(fā)布的《第十三次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況調(diào)查報告》中摘取一些信息，以便使讀者對我國的網(wǎng)絡(luò)發(fā)展有一些感性的認識。用戶認為，目前網(wǎng)上交易存在的最大問題是：?產(chǎn)品質(zhì)量、售后服務(wù)及廠商信用得不到保障（42.1%）?安全性得不到保障（28.1%）?送貨不及時（7.5%）_可苗若翳務(wù)為電介商務(wù)交易中的大問題，必須得到很好的解決。1、電子商務(wù)的定義電子商務(wù)通常是指通過計算機信息網(wǎng)絡(luò)以及電子數(shù)據(jù)信息流通的方式在全世界范圍內(nèi)進行并完成的各種商務(wù)活動、交易活動，金融活動和相關(guān)的綜合服務(wù)活動。目前我們把電子商務(wù)主要分為三個方面：信息服務(wù)以及交易和支付。它的主要內(nèi)容包括：電子商情廣告；網(wǎng)絡(luò)選購和交易、電子交易憑證的交換；電子支付與結(jié)算以及售后的網(wǎng)上服務(wù)等。主要交易類型有企業(yè)對終端客戶的交易和企業(yè)之間的交易兩種。電子商務(wù)的參與實體主要有四類：顧客（包括消費個人和企業(yè)）、商戶（包括產(chǎn)品的制造商、儲運商和銷售商）、銀行（包括發(fā)卡行、收單行）及認證中心?，F(xiàn)在，我們對電子商務(wù)的運作是在一個范圍比較廣闊的大環(huán)境和大系統(tǒng)中進行的，利用目前所擁有的強大的計算機網(wǎng)絡(luò)技術(shù)全面實現(xiàn)了網(wǎng)上交易的電子化的過程。它將參加電子商務(wù)活動的各方（包括商店，消費者，運輸商，銀行和金融機構(gòu)，信息公司或證券公司以及政府機關(guān)等）聯(lián)系在一起。電子商務(wù)交易能夠順利完成的關(guān)鍵在于可以通過計算機網(wǎng)絡(luò)安全地實現(xiàn)在網(wǎng)上的信息傳輸和在線支付的功能。我們?yōu)榱隧樌瓿呻娮由虅?wù)的交易過程，需要建立全社會的電子商務(wù)服務(wù)系統(tǒng)，建立和發(fā)展比較完善的電子商務(wù)的規(guī)范和法規(guī)，安全和實用的電子交易支付方法和機制等，來確保參加電子商務(wù)交易的各方和所有的合作伙伴都能夠安全可靠地用這種的方式進行全部的商業(yè)活動。電子商務(wù)是在世界范圍內(nèi)Internet技術(shù)跳躍式發(fā)展的直接產(chǎn)物，是網(wǎng)絡(luò)技術(shù)比較全面系統(tǒng)應(yīng)用的全新的發(fā)展方向。而Internet本身所具有的開放性、全球性、低成本、高效率的特點，也成為了電子商務(wù)本身所有的內(nèi)在特征，并且使得電子商務(wù)大大超越了作為一種新的貿(mào)易形式所具有的價值，它不僅會改變企業(yè)本身的生產(chǎn)、經(jīng)營、管理活動，而且將影響到整個社會的經(jīng)濟運行與結(jié)構(gòu)。2、電子商務(wù)的功能我們知道電子商務(wù)可為參與者提供網(wǎng)上交易和管理等的全過程的服務(wù)。依靠互聯(lián)網(wǎng)技術(shù)的特點，使它具有網(wǎng)絡(luò)商務(wù)宣傳、網(wǎng)上咨詢洽談、網(wǎng)上定購和支付以及服務(wù)傳遞、意見征詢等各項功能。大體我們可以概括為以下幾個方面：1、電子商務(wù)可以將傳統(tǒng)的商務(wù)流程電子化、數(shù)字化，它在一方面以電子流代替了實物流，從而可以大量減少在傳統(tǒng)的商務(wù)流程所耗費的人力、物力，有效地降低了成本；另一方面通過互聯(lián)網(wǎng)的溝通，使得交易活動突破了時間和空間的限制，可以在任何時間、任何地點進行，從而大大提高了效率。2、電子商務(wù)通過互聯(lián)網(wǎng)所具有的開放性和全球性的特點，為企業(yè)創(chuàng)造了更多的貿(mào)易機會。3、電子商務(wù)可以使企業(yè)以比較相近的成本進入全球電子化市場，使得大批的中小企業(yè)也有可能擁有和其他大企業(yè)一樣的信息資源，從而提高了中小企業(yè)的參與市場競爭能力。4、電子商務(wù)給傳統(tǒng)的商品交易和流通模式重新定義，它減少了許多傳統(tǒng)交易活動中的中間環(huán)節(jié)，使得生產(chǎn)者和消費者的直接交易成為可能，從而可以在一定程度上改變了整個社會經(jīng)濟運行的方式。5、電子商務(wù)可以打破傳統(tǒng)交易模式上存在的時間和空間的限制，另一方面它又可以交易方提供豐富的信息資源，為各種社會經(jīng)濟要素的重新組合提供了更多的可能。這也將影響到社會的經(jīng)濟布局和結(jié)構(gòu)。3、電子商務(wù)的特性我們依據(jù)網(wǎng)絡(luò)的功能，不難發(fā)現(xiàn)，電子商務(wù)的特性大體可以歸結(jié)為以下幾點：商務(wù)性、方便性、整體性、可擴展性、協(xié)調(diào)性和安全性。1、商務(wù)性。所謂商務(wù)，電子商務(wù)最基本的特性當然為商務(wù)性，即為交易雙方提供買賣交易的服務(wù)、手段和機會。現(xiàn)在，網(wǎng)上購物的普及已經(jīng)為客戶提供了一種比較方便途徑。因而，我們可以說電子商務(wù)對任何規(guī)模的企業(yè)而言，都是一種機遇。我們就電子商務(wù)的商務(wù)性而言，它可以擴展市場，增加企業(yè)產(chǎn)品的客戶數(shù)量；通過將網(wǎng)絡(luò)信息連全企業(yè)的數(shù)據(jù)庫，企業(yè)能記錄下每次訪問、銷售、購買形式和購貨動態(tài)以及客戶對產(chǎn)品的偏愛，這樣企業(yè)方就可以通過統(tǒng)計這些數(shù)據(jù)來獲知客戶最想購買的產(chǎn)品是什么。2、方便性。我們在電子商務(wù)環(huán)境中，人們可以不再受地域的限制，客戶能夠以十分簡捷的方式完成以前較為繁雜的一些商務(wù)活動。如通過網(wǎng)絡(luò)銀行能夠沒有時間限制地存取資金、查詢信息等，同時使得企業(yè)對客戶的服務(wù)質(zhì)量可以大大提高。3、整體性。通過電子商務(wù)，我們能夠規(guī)范事務(wù)處理的工作流程，將人工操作和電子信息處理集合成為一個不可分割的整體，這樣不僅能夠提高人力和物力的利用率，也可以提高系統(tǒng)運行的嚴密性。4、可擴展性。我們要使電子商務(wù)正常運作，必須確保其可擴展性。我們知道網(wǎng)絡(luò)上有數(shù)以百萬計的用戶，而在傳輸過程中，時不時地會出現(xiàn)高峰狀況。打個比方，倘若一家企業(yè)原來設(shè)計企業(yè)網(wǎng)站每天可受理40萬人次訪問，而事實上卻有80萬，就必須盡快配有一臺擴展的服務(wù)器，否則客戶訪問速度將急劇下降，甚至還會拒絕若干次可能帶來豐厚利潤的客戶的來訪，給企業(yè)帶來巨大的經(jīng)濟損失。對于電子商務(wù)來說，可擴展的系統(tǒng)才是穩(wěn)定的系統(tǒng)。如果在出現(xiàn)高峰狀況時能及時擴展，就可以使得系統(tǒng)阻塞的可能性大為下降。電子商務(wù)中，就算損耗極小的時間也可能導(dǎo)致大量客戶流失，因而可擴展性可謂極其重要。5、協(xié)調(diào)性。商務(wù)活動的本身就是一種產(chǎn)品和資源的協(xié)調(diào)過程，它需要客戶與公司內(nèi)部、產(chǎn)品的生產(chǎn)商、批發(fā)商、零售商間的協(xié)調(diào)，在電子商務(wù)環(huán)境中，它更要求銀行、配送中心、通訊部門、技術(shù)服務(wù)等多個部門的通力協(xié)作，因而電子商務(wù)的全過程往往是一氣呵成的。6、安全性。在電子商務(wù)中，安全性是一個至關(guān)重要的核心問題，它要求網(wǎng)絡(luò)能提供一種一端到另一端的安全解決方案，如加密機制、簽名機制、安全管理、三取控制電防若畚霧毒保全等。計算機網(wǎng)絡(luò)安全包括：計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全增強方案，以保證計算機網(wǎng)絡(luò)自身的安全性為目標。商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進行。即實現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。計算機網(wǎng)絡(luò)安全與商務(wù)交易安全實際上是密不可分的，兩者相輔相成，缺一不可。沒有計算機網(wǎng)絡(luò)安全作為基礎(chǔ)，商務(wù)交易安全就猶如空中樓閣，無從談起。沒有商務(wù)交易安全保障，即使計算機網(wǎng)絡(luò)本身再安全，仍然無法達到電子商務(wù)所特有的安全要求。1、計算機網(wǎng)絡(luò)安全1.1計算機網(wǎng)絡(luò)的潛在安全隱患（1）未進行操作系統(tǒng)相關(guān)安全配置不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會存在一些安全問題，只有專門針對操作系統(tǒng)安全性進行相關(guān)的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統(tǒng)缺省安裝后，再配上很強的密碼系統(tǒng)就算作安全了。網(wǎng)絡(luò)軟件的漏洞和“后門”是進行網(wǎng)絡(luò)攻擊的首選目標。（2）未進行CGI程序代碼審計如果是通用的CGI問題，防范起來還稍微容易一些，但是對于網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些CGI程序，很多存在嚴重的CGI問題，對于電子商務(wù)站點來說，會出現(xiàn)惡意攻擊者冒用他人賬號進行網(wǎng)上購物等嚴重后果。（3）拒絕服務(wù)（DoS，DenialofService）攻擊隨著電子商務(wù)的興起，對網(wǎng)站的實時性要求越來越高，DoS或DDoS對網(wǎng)站的威脅越來越大。以網(wǎng)絡(luò)癱瘓為目標的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經(jīng)消失得無影無蹤，使對方?jīng)]有實行報復(fù)打擊的可能。今年2月美國“雅虎”、“亞馬遜”受攻擊事件就證明了這一點。（4）安全產(chǎn)品使用不當雖然不少網(wǎng)站采用了一些網(wǎng)絡(luò)安全設(shè)備，但由于安全產(chǎn)品本身的問題或使用問題，這些產(chǎn)品并沒有起到應(yīng)有的作用。很多安全廠商的產(chǎn)品對配置人員的技術(shù)背景要求很高，超出對普通網(wǎng)管人員的技術(shù)要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統(tǒng)改動，需要改動相關(guān)安全產(chǎn)品的設(shè)置時，很容易產(chǎn)生許多安全問題。（5）缺少嚴格的網(wǎng)絡(luò)安全管理制度網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網(wǎng)絡(luò)安全制度與策略是真正實現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。1.2計算機網(wǎng)絡(luò)安全體系一個全方位的計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術(shù)、身份認證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)、黑客跟蹤技術(shù)，在攻擊者和受保護的資源間建立多道嚴密的安全防線，極大地增加了惡意攻擊的難度，并增加了審核信息的數(shù)量，利用這些審核信息可以跟蹤入侵者。在實施網(wǎng)絡(luò)安全防范措施時：首先要加強主機本身的安全，做好安全配置，及時安裝安全補丁程序，減少漏洞；其次要用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡(luò)系統(tǒng)進行掃描分析，找出可能存在的安全隱患，并及時加以修補；從路由器到用戶各級建立完善的訪問控制措施，安裝防火墻，加強授權(quán)管理和認證；利用RAID5等數(shù)據(jù)存儲技術(shù)加強數(shù)據(jù)備份和恢復(fù)措施；對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施；對在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M行強度的數(shù)據(jù)加密；安裝防病毒軟件，加強內(nèi)部網(wǎng)的整體防病毒措施；建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。網(wǎng)絡(luò)安全技術(shù)是伴隨著網(wǎng)絡(luò)的誕生而出現(xiàn)的，但直到80年代末才引起關(guān)注，90年代在國外獲得了飛速的發(fā)展。近幾年頻繁出現(xiàn)的安全事故引起了各國計算機安全界的高度重視，計算機網(wǎng)絡(luò)安全技術(shù)也因此出現(xiàn)了日新月異的變化。安全核心系統(tǒng)、VPN安全隧道、身份認證、網(wǎng)絡(luò)底層數(shù)據(jù)加密和網(wǎng)絡(luò)入侵主動監(jiān)測等越來越高深復(fù)雜的安全技術(shù)極大地從不同層次加強了計算機網(wǎng)絡(luò)的整體安全性。安全核心系統(tǒng)在實現(xiàn)一個完整或較完整的安全體系的同時也能與傳統(tǒng)網(wǎng)絡(luò)協(xié)議保持一致。它以密碼核心系統(tǒng)為基礎(chǔ)，支持不同類型的安全硬件產(chǎn)品，屏蔽安全硬件以變化對上層應(yīng)用的影響，實現(xiàn)多種網(wǎng)絡(luò)安全協(xié)議，并在此之上提供各種安全的計算機網(wǎng)絡(luò)應(yīng)用?；ヂ?lián)網(wǎng)已經(jīng)日漸融入到人類社會的各個方面中，網(wǎng)絡(luò)防護與網(wǎng)絡(luò)攻擊之間的斗爭也將更加激烈。這就對網(wǎng)絡(luò)安全技術(shù)提出了更高的要求。未來的網(wǎng)絡(luò)安全技術(shù)將會涉及到計算機網(wǎng)絡(luò)的各個層次中，但圍繞電子商務(wù)安全的防護技術(shù)將在未來幾年中成為重點，如身份認證、授權(quán)檢查、數(shù)據(jù)安全、通信安全等將對電子商務(wù)安全產(chǎn)生決定性影響。2、商務(wù)交易安全當許多傳統(tǒng)的商務(wù)方式應(yīng)用在Internet上時，便會帶來許多源于安全方面的問題，如傳統(tǒng)的貸款和借款卡支付/保證方案及數(shù)據(jù)保護方法、電子數(shù)據(jù)交換系統(tǒng)、對日常信息安全的管理等。電子商務(wù)的大規(guī)模使用雖然只有幾年時間，但不少公司都已經(jīng)推出了相應(yīng)的軟、硬件產(chǎn)品。由于電子商務(wù)的形式多種多樣，涉及的安全問題各不相同，但在Internet上的電子商務(wù)交易過程中，最核心和最關(guān)鍵的問題就是交易的安全性。2.1商務(wù)安全中普遍存在著的安全隱患（1）竊取信息由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。（2）篡改信息當入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類工作。（3）假冒由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。（4）惡意破壞由于攻擊者可以接入網(wǎng)絡(luò)，則可能對網(wǎng)絡(luò)中的信息進行修改，掌握網(wǎng)上的機要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴重的。2.2電子商務(wù)的安全交易主要保證（1）信息保密性交易中的商務(wù)信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉，因此在信息傳播中一般均有加密的要求。（2）交易者身份的確定性網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網(wǎng)上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。（3）不可否認性由于商情的千變?nèi)f化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環(huán)節(jié)都必須是不可否認的。不可修改性交易的文件是不可被修改的，否則也必然會損害一方的商業(yè)利益。因此電子交易文件也要能做到不可修改，以保障商務(wù)交易的嚴肅和公正。電子商務(wù)的安全威脅，在傳統(tǒng)交易過程中，買賣雙方是面對面的，因此很容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系的，甚至彼此遠隔千山萬水，因而建立交易雙方的安全和信任關(guān)系相當困難。電子商務(wù)交易雙方(銷售者和購買者)都面臨不同的安全威脅。2.3銷售者面臨的威脅對銷售者而言，面臨的安全威脅主要有以下幾個方面:中央系統(tǒng)安全性被破壞競爭者檢索商品遞送狀況客戶資料被競爭者獲悉被他人假冒而損害公司的信譽消費者提交訂單后不付款(6)虛假訂單(7)獲取他人的機密數(shù)據(jù)2.4購買者面臨的威脅對購買者而言，面臨的安全威脅主要有以下幾個方面:虛假訂單付款后不能收到商品機密性喪失拒絕服務(wù)電子商務(wù)交易中的安全措施在早期的電子交易中，曾采用過一些簡易的安全措施，包括：部分告知(PartialOrder):即在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)如信用卡號碼及成交數(shù)額等略去，然后再用電話告之，以防泄密。另行確認(OrderConfirmation):即當在網(wǎng)上傳輸交易信息后，再用電子郵件對交易做確認，才認為有效。此外還有其它一些方法，這些方法均有一定的局限性，且操作麻煩，不能實現(xiàn)真正的安全可靠性。近年來，針對電子交易安全的要求，IT業(yè)界與金融行業(yè)一起，推出不少有效的安全交易標準和技術(shù)。1、主要的協(xié)議標準有：安全超文本傳輸協(xié)議(S—HTTP)：依靠密鑰對的加密，保障Web站點間的交易信息傳輸?shù)陌踩?。安全套接層協(xié)議(SSL):由Netscape公司提出的安全交易協(xié)議，提供加密、認證服務(wù)和報文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器，以完成需要的安全交易操作。安全交易技術(shù)協(xié)議(STT，SecureTransactionTechnology):由Microsoft公司提出，STT將認證和解密在瀏。覽器中分離開，用以提高安全控制能力。Microsoft在InternetExplorer中米用這一技術(shù)。安全電子交易協(xié)議（SET,SecureElectronicTransaction）1996年6月，由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape>GTE、VeriSign、SAIC、Terisa就共同制定的標準SET發(fā)布公告，并于1997年5月底發(fā)布了SETSpecificationVersion1.0,它涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認證、數(shù)據(jù)簽名等。SET2.0預(yù)計今年發(fā)布，它增加了一些附加的交易要求。這個版本是向后兼容的，因此符合SET1.0的軟件并不必要跟著升級，除非它需要新的交易要求。SET規(guī)范明確的主要目標是保障付款安全，確定應(yīng)用之互通性，并使全球市場接受。所有這些安全交易標準中，SET標準以推廣利用信用卡支付網(wǎng)上交易，而廣受各界矚目，它將成為網(wǎng)上交易安全通信協(xié)議的工業(yè)標準，有望進一步推動Internet電子商務(wù)市場。2、主要的安全技術(shù)有：2.1虛擬專用網(wǎng)（VPN）這是用于Internet交易的一種專用網(wǎng)絡(luò)，它可以在兩個系統(tǒng)之間建立安全的信道（或隧道），用于電子數(shù)據(jù)交換（EDI）。它與信用卡交易和客戶發(fā)送訂單交易不同，因為在VPN中，雙方的數(shù)據(jù)通信量要大得多，而且通信的雙方彼此都很熟悉。這意味著可以使用復(fù)雜的專用加密和認證技術(shù)，只要通信的雙方默認即可，沒有必要為所有的VPN進行統(tǒng)一的加密和認證。現(xiàn)有的或正在開發(fā)的數(shù)據(jù)隧道系統(tǒng)可以進一步增加VPN的安全性，因而能夠保證數(shù)據(jù)的保密性和可用性。2.2數(shù)字認證數(shù)字認證可用電子方式證明信息發(fā)送者和接收者的身份、文件的完整性（如一個發(fā)票未被修改過），甚至數(shù)據(jù)媒體的有效性（如錄音、照片等）。隨著商家在電子商務(wù)中越來越多地使用加密技術(shù)，人們都希望有一個可信的第三方，以便對有關(guān)數(shù)據(jù)進行數(shù)字認證。目前，數(shù)字認證一般都通過單向Hash函數(shù)來實現(xiàn)，它可以驗證交易雙方數(shù)據(jù)的完整性，JavaJDK1.1也能夠支持幾種單向Hash算法。另外，S/MIME協(xié)議已經(jīng)有了很大的進展，可以被集成到產(chǎn)品中，以便用戶能夠?qū)νㄟ^Email發(fā)送的信息進行簽名和認證。同時，商家也可以使用PGP（PrettyGoodPrivacy）技術(shù)，它允許利用可信的第三方對密鑰進行控制?？梢姡瑪?shù)字認證技術(shù)將具有廣闊的應(yīng)用前景，它將直接影響電子商務(wù)的發(fā)展。2.3加密技術(shù)保證電子商務(wù)安全的最重要的一點就是使用加密技術(shù)對敏感的信息進行加密。現(xiàn)在，一些專用密鑰加密（如3DES、IDEA、RC4和RC5）和公鑰加密（如RSA、SEEK、PGP和EU）可用來保證電子商務(wù)的保密性、完整性、真實性和非否認服務(wù)。然而，這些技術(shù)的廣泛使用卻不是一件容易的事情。密碼學界有一句名言：加密技術(shù)本身都很優(yōu)秀，但是它們實現(xiàn)起來卻往往很不理想?，F(xiàn)在雖然有多種加密標準，但人們真正需要的是針對企業(yè)環(huán)境開發(fā)的標準加密系統(tǒng)。加密技術(shù)的多樣化為人們提供了更多的選擇余地，但也同時帶來了一個兼容性問題，不同的商家可能會采用不同的標準。另外，加密技術(shù)向來是由國家控制的，例如SSL的出口受到美國國家安全局（NSA）的限制。目前，美國的商家一般都可以使用128位的SSL，但美國只允許加密密鑰為40位以下的算法出口。雖然40位的SSL也具有一定的加密強度，但它的安全系數(shù)顯然比128位的SSL要低得多。據(jù)報載，最近美國加州已經(jīng)有人成功地破譯了40位的SSL，這已引起了人們的廣泛關(guān)注。美國以外的國家很難真正在電子商務(wù)中充分利用SSL，這不能不說是一種遺憾。上海市電子商務(wù)安全證書管理中心推出128位SSL的算法，彌補國內(nèi)的空缺，并采用數(shù)字簽名等技術(shù)確保電子商務(wù)的安全。2.4電子商務(wù)認證中心（CA，CertificateAuthority）實行網(wǎng)上安全支付是順利開展電子商務(wù)的前提，建立安全的認證中心（CA）則是電子商務(wù)的中心環(huán)節(jié)。建立CA的目的是加強數(shù)字證書和密鑰的管理工作，增強網(wǎng)上交易各方的相互信任，提高網(wǎng)上購物和網(wǎng)上交易的安全，控制交易的風險，從而推動電子商務(wù)的發(fā)展。為了推動電子商務(wù)的發(fā)展，首先是要確定網(wǎng)上參與交易的各方（例如持卡消費戶、商戶、收單銀行的支付網(wǎng)關(guān)等）的身份，相應(yīng)的數(shù)字證書（DC:DigitalCertificate）就是代表他們身份的，數(shù)字證書是由權(quán)威的、公正的認證機構(gòu)管理的。各級認證機構(gòu)按照根認證中心（RootCA）、品牌認證中心（BrandCA）以及持卡人、商戶或收單銀行（Acquirer）的支付網(wǎng)關(guān)認證中心（HolderCardCA，MerchantCA或PaymentGatewayCA）由上而下按層次結(jié)構(gòu)建立的。電子商務(wù)安全認證中心（CA）的基本功能是：（1）生成和保管符合安全認證協(xié)議要求的公共和私有密鑰、數(shù)字證書及其數(shù)字簽名。（2）對數(shù)字證書和數(shù)字簽名進行驗證。（3）對數(shù)字證書進行管理，重點是證書的撤消管理，同時追求實施自動管理（非手工管理）。（4）建立應(yīng)用接口，特別是支付接口。CA是否具有支付接口是能否支持電子商務(wù)的關(guān)鍵。第一代CA是由SETCO公司（由Visa&MasterCard組建）建立的，以SET協(xié)議為基礎(chǔ)，服務(wù)于B□C電子商務(wù)模式的層次性結(jié)構(gòu)。由于B□B電子商務(wù)模式的發(fā)展，要求CA的支付接口能夠兼容支持B□B與B□C的模式，即同時支持網(wǎng)上購物、網(wǎng)上銀行、網(wǎng)上交易與供應(yīng)鏈管理等職能，要求安全認證協(xié)議透明、簡單、成熟（即標準化），這樣就產(chǎn)生了以公鑰基礎(chǔ)設(shè)施（PKI）為技術(shù)基礎(chǔ)的平面與層次結(jié)構(gòu)混合型的第二代CA體系。近年來，PKI技術(shù)無論在理論上還是應(yīng)用上以及開發(fā)各種配套產(chǎn)品上，都已經(jīng)走向成熟，以PKI技術(shù)為基礎(chǔ)的一系列相應(yīng)的安全標準已經(jīng)由Internet特別工作組（IETF）、國際標準化組織（ISO）和國際電信聯(lián)盟（ITU）等國際權(quán)威機構(gòu)批準頒發(fā)實施。建立在PKI技術(shù)基礎(chǔ)上的第二代安全認證體系與支付應(yīng)用接口所使用的主要標準有：由Internet特別工作組頒發(fā)的標準：LDAP（輕型目錄訪問協(xié)議）、S/MIME（安全電子郵件協(xié)議）、TLC（傳輸層安全套接層傳輸協(xié)議）、CAT（通用認證技術(shù)，CommonAuthenticationTechnology）和GSS—API（通用安全服務(wù)接口）等。由國際標準化組織（ISO）或國際電信聯(lián)盟（ITU）批準頒發(fā)的標準為9594—8/X.509（數(shù)字證書格式標準）。五、尾聲在計算機互聯(lián)網(wǎng)絡(luò)上實現(xiàn)的電子商務(wù)交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務(wù)系統(tǒng)在保證其計算機網(wǎng)絡(luò)硬件平臺和系統(tǒng)軟件平臺安全的基礎(chǔ)上，應(yīng)該還具備以下特點：1、強大的加密保證；2、使用者和數(shù)據(jù)的識別和鑒別；3、存儲和加密數(shù)據(jù)的保密；4、聯(lián)網(wǎng)交易和支付的可靠；5、方便的密鑰