商务安全论文范文

前言：我们精心挑选了数篇优质商务安全论文文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

(一)数据的私有性和安全性

如果不采用特别的保护措施，包括电子邮件等在internet中开放传输的数据都可能被第三者监视和阅读。考虑到巨大的传输量和难以计数的传输途径，想任意窃听一组数据传输是不可能，但是一些设置在web服务器的黑客程序却可以查找和收集特定类型的数据，这些数据包括信用卡、存款的账号和相应的口令。同时，因为internet的开放性设计，数据私有性和安全性还包括数据传输之外的问题，例如：连入internet的数据存储网络驱动器的安全性。所以，任何存储在web服务器上的数据必须采取保护措施。

(二)数据的完整性

对完整性的安全威胁也叫主动搭线窃取。当未经授权方改变了信息流时就构成了对完整性的安全威胁。未保护的银行交易很易受到对完整性的攻击。当然，破坏了完整性也就意味着破坏了保密性，因为能改变信息的窃取者肯定能阅读此信息。完整性和保密性间的差别在于：对保密性的安全威胁是指某人看到了他不应看到的信息。而对完整性的安全威胁是指某人改动了关键的传输。破坏他人网站就是破坏完整性的例子。破坏他人网站是指以电子方式破坏某个网站的网页。破坏他人网站的行为相当于破坏他人财产或在公共场所涂鸦。当某人用自己的网页替换某个网站的正常内容时，就说发生了破坏他人网站的行为。由于internct的开放体系，如果具备了特定的知识和工具，则完全可以更改传输中的数据。同时，要采取适当的存取访问控制，以保证数据存取系统的安全。在电子商务中务必保存数据最初的格式和内容。

(三)认证

在猖獗的网络欺诈或者反悔中，网络交易者隐身在电脑屏幕背后，身份难以识别的问题是其重要渊源。建立有效的网上交易身份认证机制，提升交易双方的信用度是有效控制网络欺诈的重要途径，对于电子商务的健康发展有着重要作用。交易方的信用问题已经成为制约电子商务发展的重要瓶颈之一。在现实社会中，即便有着诸多因素的制约，仍然普遍地存在着信用缺乏的现象，建立完善的信用机制已经成为社会各界的共识。在电子商务的具体实现中，首先要确认当前的通讯、交易和存取要求是合法的。例如，internet中的计算机系统的身份是其由IP地址确认的。黑客通过IP欺骗，使用虚假的IP地址，从而达到隐瞒自己身份盗用他人身份的目的。在日常电子邮件的使用中可以很容易地发匿名邮件，或者使用不真实的邮件用户名。因此，在电子商务中必须建立严格的身份认证机制，以确保参加交易各方的身份真实有效。

(四)不可否认性

不可否认主要包含数据的原始记录和发送记录，确认数据已经完成发送和接收，防止接收用户更改原始记录，防止用户在已经收到数据以后否认收到数据，并拖延自己的下一步工作。为了保证交易过程的可操作性，必须采取可靠的方法确保交易过程的真实性，保证参加电子交易的各方承认交易过程的合法性。

简言之，在internet上实现电子商务面临的任务：(1)私有性，即保证只有发送者和接收者可以接触到信息；(2)完整性，即信息在传输过程中未经任何改动；(3)身份认证，即接收方可以确信信息来自发信者，而不是第三者冒名发送，发送方可以确信接收方的身份是真实的，而不至于发往与交易无关的第三方；(4)不可否认性，在交易数据发送完成以后，双方都不能否认自己曾经发出或接收过信息。

电子商务面临的上述问题主要是由对系统的非法入侵造成的。首先是网络黑客，他们通过发现web服务器、操作系统或者主页部件在配置方面的漏洞，攻击网络系统。其次是内部入侵，这主要是由企业IT部门的员工造成的，保护网络的物理安全(如主控机房)及严格的口令管理制度，是防范该类问题的关键。还有恶意代码(如计算机病毒)，它们在企业的传播会给电子商务系统造成严重的损失。另外，值得关注的是计算机系统本身的问题，例如，由于电源造成的系统宕机，以及广域网络的通讯，这些都会直接造成服务的突然中止，影响电子商务的形象。我们还应关注系统管理方面的问题，有时电子商务出现的问题既非黑客也非系统本身的毛病，而是源于对敏感数据处理不善或者是安全系统(如防火墙)的不正确配置。用户的身份认证是计算机系统安全的基础工作，数字签名加密等技术在这里可以充分起到作用。

二、电子商务安全系统关键技术

(一)ssLVPN技术

SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制，为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。

VPN(虚拟专用网)则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定的访问控制功能。VPN是一项非常实用的技术，它可以扩展企业的内部网络，允许企业的员工、客户以及合作伙伴利用Internet访问企业网，而成本远远低于传统的专线接人。过去，VPN总是和IPSec联系在一起，因为它是VPN加密信息实际用到的协议。IPSec运行于网络层，IPSeeVPN则多用于连接两个网络或点到点之间的连接。所谓的SSLVPN，其实是YPN设备厂商为了与IPsecVPN区别所创造出来的名词，指的是使用者利用浏览器内建的SecureSocketLayer封包处理功能，用浏览器连回公司内部SSLVPN服务器，然后透过网络封包转向的方式，让使用者可以在远程计算机执行应用程序，读取公司内部服务器数据。它采用标准的安全套接层(ssL)对传输中的数据包进行加密，从而在应用层保护了数据的安全性。高质量的SSLVPN解决方案可保证企业进行安全的全局访问。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅和客户端间，SSLVPN克服了IPSecVPN的不足，用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问，从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方，设置传统的IPSecVPN非常困难，甚至是不可能的，这是由于必须更改网络地址转换(NAT)和防火墙设置。(二)加密技术

数据加密技术作为一项基本技术，是电子商务的基石，是电子商务最基本的信息安全防范措施。其实质是对信息进行重新编码，从而达到隐藏信息内容，使非法用户无法获取真实信息的一种技术手段，确保数据的保密性。基于加/解密所使用的密钥是否相同，可分为对称加密和非对称加密两类。

(1)对称加密。对称加密的加密密钥和解密密钥相同，即在发送方和接收方进行安全通信之前，商定一个密钥，用这个密钥对传输数据进行加密、解密。对称加密的突出特点是加解密速度快，效率高，适合对大量数据加密。缺点是密钥的传输与交换面临安全问题，且若和大量用户通信时，难以安全管理大量密钥。目前，常用的对称加密算法有DES、3DES、IDEA、Blowfish等。其中，DES(DataEncryptionStandard)算法由IBM公司设计，是迄今为止应用最广泛的一种算法，也是一种最具代表性的分组加密体制。DES是一种对二元数据进行加密的算法，数据分组长度为64bit，密文分组长度也是64bit，没有数据扩展，密钥长度为64bit，其中有8bit奇偶校验，有效密钥长度为56bit。加密过程包括16轮的加密迭代，每轮都采用一种乘积密码方式(代替和移位)。DES整个体制是公开的，系统的安全性全靠密钥的保密。DES算法的入口参数有3个：Key、Data、Mode。其中，Key为8个字节共64位，是DES算法的工作密钥。Data也是8个字节64位，是需被加密或解密的数据。Mode为DES的工作方式，分为加密或解密两种。DES算法的步骤为：如Mode为加密，则用Key去对数据进行加密，生成Data的密码形式(64位)作为DES输出结果。如Mode为解密，则用Key去把密码形式的数据Data解密，还原为Data的明码形式(64位)作为DES的输出结果。DES是一种世界公认的较好的加密算法，具有较高的安全性，到目前为止除了用穷举搜索法对DES算法进行攻击外，尚未发现更有效的方法。

(2)非对称加密。非对称加密的最大特点是采用两个密钥将加密和解密能力分开。一个公开作为加密密钥；一个为用户专用，作为解密密钥，通信双方无需事先交换密钥就可进行保密通信。而要从公开的公钥或密文分析出明文或密钥，在计算上是不可行的。若以公开钥作为加密密钥，以用户专用钥作为解密密钥，则可实现多个用户加密的信息只能由一个用户解读。反之，以用户专用钥作为加密密钥而以公开钥作为解密密钥，则可实现由一个用户加密的消息而使多个用户解读，前者可用于保密通信，后者可用于数字签字。非对称加密体制的出现是密码学史上划时代的事件，为解决计算机信息网中的安全提供了新的理论技术基础。其优点是很好地解决了对称加密中密钥数量过多难以管理的不足，且保密性能优于对称加密算法；缺点是算法复杂，加密速度不是很理想。

目前，RSA算法是最著名且应用最广泛的公钥算法，其安全性基于模运算的整数因子分解的困难性。

算法内容简要描述如下：①独立选取两大素数p和q，计算n=p×q；其欧拉函数值z=(p－1)×(q－1)。②随机选一整数e，1≤e由于RSA涉及大数计算，无论是硬件或软件实现的效率都比较低，不适用对长的明文加密，常用来对密钥加密，即与对称密码体制结合使用。

(三)网上交易身份认证机制

网上交易身份认证对于建立电子商务业界的信用机制起着重要作用，因此如何确认网上交易者的身份便成为诸多电子商务网站迫切希望解决的问题。

(1)在目前网络法律制度还不健全的时代，自律机制非常重要，网络交易的有效性和真实性在一定程度上能够反映这个国家的信用机制的完善程度。相对而言，国外的电子商务信用体系相对较高，其交易身份认证多与信用卡等银行信用记录挂钩，而我国则更多的是通过手机和身份证等方式进行。

(2)一些网上交易平台为了帮助交易双方打消顾虑，顺利进行交易，提供第三方介入的支付方式，以保护双方的合法利益，这种机制对于维护网上交易的诚信起到了很好的作用。

(3)电子邮件在电子商务交易中对子商务交易者的身份认证机制起着重要作用。电子邮件一旦重复则易造成无法注册，甚至很多网站要求用户两次输入有效的电子邮件以进行确认，以确保之后的所有信息能够顺利进行，所有的网站均将用户的电子邮件作为联系用户和确认用户诸多信息的重要联系方式，其便捷性毋庸置疑。但是，在电子邮件收费的模式基本上发展前景不甚明朗的今天其有效性和真实性还值得商榷。

(4)用户注册中所提交的资料即身份认证过程中会涉及到很多可以列为用户隐私权保护的信息，因此，在进行身份认证时还需要考虑隐私权保护问题。现在几乎所有的电子商务网站上都有隐私权法律声明，或者在用户填写过程中就通过链接的形式弹出窗口声明用户的这些资料将被用于那些用途。尽管如此，由于网络上没有绝对的安全，如果由于技术上的原因导致用户的身份认证资料泄露给他人，甚至被他人用于牟利或者其他非法目的，网站是否应该承担责任、应该承担什么样的责任，也是身份认证机制应该考虑的问题。

电子商务的安全问题是利害攸关的，安全遭到破坏会使他人信息泄露或导致信息滥用。电子商务安全策略必须明确保密、完整、不可否认的要求。总之，如何建立电子商务安全策略，并逐步完善这个策略，需要政府、电子商务企业、学者等的共同努力，任重而道远。

第2篇

电子商务可以增加销售额并降低成本的优势，使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键，而安全体系的构建显得尤为重要。

2电子商务的主要安全要素

目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性，即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看，传统的买卖双方是面对面的，因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系，由于距离的限制，因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现，电子商务交易双方（销售者和消费者）都面临安全威胁，电子商务的安全要素主要体现在以下几个方面：

2.1信息真实性、有效性

电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

2.2信息机密性

电子商务作为贸易的一种手段，其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，商业防泄密是电子商务全面推广应用的重要保障。

3.3信息完整性

电子商务简化了贸易过程，减少了人为的干预，同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此，电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

3.4信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝；不可否认要求即是能建立有效的责任机制，防止实体否认其行为；可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生。

在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的，电子商务系统应充分保证原发方在发送数据后不能抵赖；接收方在接收数据后也不能抵赖。

3电子商务安全系统

网络安全是电子商务的基础。为了保证电子商务交易能顺利进行，要求电子商务平台要稳定可靠，能不中断地提供服务。任何系统的中断，如硬件、软件错误，网络故障、病毒等都可能导致电子商务系统不能正常工作，而使贸易数据在确定的时刻和地点的有效性得不到保证，往往会造成巨大的经济损失。

所以就整个电子商务安全系统而言，安全性可以划分为四个层次，

1)网络节点的安全

2)通讯的安全性

3)应用程序的安全性

4)用户的认证管理

其中2、3、4是通过操作系统和Web服务器软件实现，而网络节点的安全性依靠防火墙保证，我们应该首先保证网络节点的安全性。

3.1网络节点的安全

防火墙是一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，它其实就是一个把互联网与内部网（通常指局域网或城域网）隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击，为电子商务的施展提供个相对更安全的平台。

防火墙是在连接Internet和Intranet保证安全最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能，制定正确的安全策略，将能提供一个安全、高效的Intranet系统。应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

3.2通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度，也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制，SSL首先要求服务器向浏览器出示它的证书，证书包括一个公钥，由一家可信证书授权机构（CA中心）签发。浏览器要验征服务器证书的正确性，必须事先安装签发机构提供的基础公共密钥（PKI）。建立SSL链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时）。验证此证书是合法的服务器证书通过后利用该证书对称加密算法（RSA）与服务器协商一个对称算法及密钥，然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

3.3应用程序的安全性

即使正确地配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。程序错误有以下几种形式：程序员忘记检查传送到程序的入口参数；程序员忘记检查边界条件，特别是处理字符串的内存缓冲时；程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行，而不是只有有限的指令子集在特权模式下运行，其他的部分只有缩小的许可；程序员从这个特权程序使用范围内建立一个资源，如一个文件和目录。不是显式地设置访问控制（最少许可），程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令，特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如，缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为，才能发现象这些问题一样的错误。

3.4用户的认证管理

1)身份认证

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。

2)CA证书

要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。认证中心（CA）就是承担网上安全交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。

3)安全套接层SSL协议

安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

SSL通过数字签名和数字证书来实行身份验证，数字证书是从认证机构（CA，CertificateAuthority）获得的，通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后，双方就可以用保密密钥进行安全的会话了。

SSL协议在应用层收发数据前，协商加密算法、连接密钥并认证通信双方，从而为应用层提供了安全的传输通道；在该通道上可透明加载任何高层应用协议（如Http、Ftp、Telnet等）以保证应用层数据传输的安全性。

SSL协议握手流程由两个阶段组成：服务器认证和用户认证。

①服务器认证

客户端向服务器发送一个“Hello”信息，以便开始一个新的会话连接；服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器，从而建立安全的通信通道。

②用户认证

经认证的服务器发送一个提问给客户，客户则返回数字签名后的提问和其公开密钥，从而向服务器提供认证。SSL协议支持各种加密算法，实现简单，独立于应用层协议，且被大部分浏览器和Web服务器内置，便于在电子交易中应用。但SSL是一个面向连接的协议，起初并不是为了支持电子商务而设计的，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议不能协调各方面的安全传输和信任关系。为此，开发出了在网络应用层中专为电子商务而设计的SET协议。

4安全管理

为了确保系统的安全性，除了采用上述技术手段外，还必须建立严格的内部安全机制。对于所有接触系统的人员，按其职责设定其访问系统的最小权限。按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。

建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询。定期检查日志，以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份，且对数据库中存放的数据，数据库系统应视其重要性提供不同级别的数据加密。

第3篇

【关键词】:电子商务信息安全网络

人类社会进入20世纪70年代以来,以微电子技术为基础的计算机技术和通信技术取得了长足的进展,并渗透到经济和社会的各个领域,从而引起了世界范围内的新技术创新浪潮。信息化建设受到各国政府的高度重视,1991年美国提出"信息高速公路"的设想,1993年正式实施"国家信息基础结构:行动计划";1978年法国制定了一项有关"促进社会信息化的计划",从那以后,法国政府不断推进信息革命,每年投入50亿美元巨款改进通信设备;早在1983年,我国政府就把发展信息技术纳入了国家总体科技论文发展战略规划中,1999年,我国政府上网工程迅速推进,国家信息化战略、数字化产品发展战略、电子商务发展框架也都在加紧研究、制定中。目前全球的计算机社会拥有量迅速增加,互联网用户呈几何级数增长,新的经济消费观正在逐步形成。电子商务的社会基础已经形成。Internet技术的应用普及为电子商务奠定了基础条件,万维网及相关技术的推出开创了电子商务应用的新局面,基于Internet的网络环境建设是开创电子商务市场的前提,安全保障等核心技术的实用化是电子商务成功的保证,商贸活动的信息网络化加快了电子商务的发展进程,各种解决方案的推出标志着电子商务即将进入实用化阶段。

从技术的角度看,电子商务的发展经历了启蒙阶段、商业化阶段、社会化阶段,并开始步入智能化时代。回顾企业信息化和电子商务的发展过程,从最初各部门用数据库管理本部门的数据,通过办公自动化(OA)实现企业内部办公文档传递,到建立统一的ERP系统为管理决策提供信息,通过CRM和SCM将企业和客户、供应商等整个供应链上的各个环节联系起来,再到以服务形式提供各式应用,通过第三方ASP实现企业应用服务的外包,这实际上就是一个从数据、信息到服务的纵向发展过程。互联网应用的发展也是这样,从最初企业间使用EDI交换数据,Email通讯传递简单的信息,到通过门户网站、搜索引擎获取所需信息,与世界各地的人在BBS上交流信息,再到如今的通过社会网络SNS拓展自己的交际圈,社会化程度越来越高。随着信息技术和互联网技术的普及和深入应用,电子商务正在以前所未有的速度发展,以其方便性和灵活性向传统商务模型提出了挑战。互联网的飞速发展，使得传统的商业模式产生了深刻的变化，在相当程度上改变着人们的日常生活习惯。基于网络的电子商务作为一种全新的商业模式，已经得到了快速的发展，但网络交易的安全问题始终是阻碍电子商务全面发展的巨大障碍。因此采用先进的网络信息安全防范技术，为电子商务提供完整的安全保障体系，进而推动电子商务高速发展。1．电子商务信息安全要素互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之联接,并借助互联网信息,进行各种网上商务活动。同时,也给那些别有用心的组织或个人提供了窃取别人的各种机密如消费者的银行账号、密码,甚至妨碍或毁坏他人网络系统运行等各种机会。影响电子商务信息安全要素主要有系统的可靠性，交易的真实性，资料的安全性，资料的完整性，交易的不可抵赖性等。概括起来,电子商务面临的安全威胁主要有以下几方面。

1．1系统的中断与瘫痪。网络故障、操作失误、应用程序出错、硬件故障、系统软件设计不完善以及计算机病毒都有可能导致系统不能正常工作。如在划拨货款的过程中突然出现网络中断等。1．2信息被窃取。电子商务作为一种全新的贸易形式,其通讯的信息直接代表着个人、企业或国家的利益。攻击者可能通过因特网、公共电话网、搭线或在电磁波辐射范围内安装截收装置等方式,截获传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数分析,推断出有用的信息、如消费者的银行账号、密码等。1．3信息被篡改。攻击者可能从三个方面破坏信息的完整性。1）篡改。改变信息流的次序,更改信息的内容。2)删除。删除某个消息或消息中的某些部分。3)插入。在信息中插入一些其它干扰信息,让收方读不懂或接收错误的信息。脑知识与技术1．4信息被伪造。1)虚开网站和商店,给用户发电子邮件,接受订单。2）伪造大量用户,发电子邮件,穷尽商家资源、使合法用户不能正常访问网络资源。3)冒充他人身份,进行消费和栽赃等。1．5对交易行为进行抵赖或不承认。1)发信者事后否认曾经发送过某条消息或内容。2)收信者事后否认曾经收到过某条消息或内容。3)购买者不承认确认了的订单。4)商家卖出的商品因价格差而不承认原有的交易。2．电子商务中的信息安全防范技术

2．1数据加密技术加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。按加密密钥与解密密钥的对称性可分为对称型加密、不对称型加密、不可逆加密。在网络安全技术中，加密技术是保障信息安全最关键和最基本的技术手段和理论基础，但是由于大部分数据加密算法都源于美国，且受到美国出口管制法的限制，无法在互联网上大规模使用，从而限制了以加密技术为基础网络安全解决方案的应用。2．2密钥管理技术密钥管理包括确保所产生的密钥具有必要的属性，把密钥提前通知给需要它的特定系统，确保密钥按要求得到保护以阻止暴露和／或替代。其中，对称密钥管理是基于共同保守秘密来实现的，采用对称加密技术的双方必须保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄漏和更改密钥的程序。使用公开密钥的交易双方可以使用证书(公开密钥证书)来交换公开密钥。国际电联指定的X509对37福建电脑2008年第11期数字证书进行了定义，数字证书能够起到标识交易双方的作用，是目前电子商务广泛使用的技术之一。2．3身份认证技术网上安全交易的基础是数字证书。要建立安全的电子商务系统,必须首先建立一个稳固、健全的数字证书和认证中心(CA)。数字签名是利用数字技术实现在网络传送文件时，附加个人标记，完成传统意义上手书签名或印章的作用，以表示确认、负责、经手等。使用数字签名可以保证交易中的认证性和不可否认性。数字签名可以防范：接收方伪造、发送者或接收者否认、第三方冒充、接收方篡改。常见的数字签名技术有：RSA数字签名、DSA数字签名、椭圆曲线数入侵检测技术通常通过基于应用的监控技术、基于主机的监控技术、基于目标的监控技术和基于网络的监控技术四种检测技术来抵御攻击。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。认证机制是保护电子商务安全的第一条防线。任何一个在架构设计上、代码开发中以及认证的实现时所出现的小的漏洞或不足，都有可能使电子商务处在被攻击的风险中。因此，加强对认证攻击的充分认识和了解，并在系统开发时选择合适的防御措施，就可以从根本上对某些攻击进行有效的屏蔽，减少后期频繁维护所付出的代价，达到事半功倍的效果。2．4网络安全扫描技术安全扫描技术是对网络的各个环节提供可靠的分析结果，并为系统管理员提供可靠性和安全性分析报告等。包括端口扫描技术和漏洞扫描技术等。2．5病毒防范技术计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。病毒经过系统穿透或违反授权攻击成功后，攻击者通常要在系统中植入木马或逻辑炸弹等程序，为以后攻击系统、网络提供方便条件。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测，工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。2．6电子认证技术为了保证电子商务安全因素的顺利实现，在电子商务中使用了基于公钥体系的安全系统。基于公钥体系的加密系统是按对生成的，每对密钥由公钥和私钥组成，实际应用中，公钥是以证书性质存放的，一个最基本而又是最关键的问题是公钥的分发，也就是证书的分发，如果证书不能得到有效安全的分发，所有的上层应用软件就不能得到安全的保障，解决问题的方法就是建立认证机构体系CA。2．7防火墙技术防火墙(Firewall)是近年来发展最重要的安全技术，它是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段，核心思想是在不安全的网络环境中构造一个相对安全的子网环境。它所保护的对象是网络中有明确闭合边界的一个网块，而它所防范的对象是来自被保护网块外部的安全威胁。目前的防火墙分为两大类，一类是简单的包过滤技术，它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和服务器，其显著的优点是较容易提供细颗粒度的存取控制，其可针对特别的网络应用服务协议及数据过滤协议，并且能够对数据包分析并形成相关的报告。通过应用防火墙技术，可以做到通过过滤不安全的服务，极大地提高网络安全和减少网络中主机的风险。但防火墙是一种基于网络边界的被动安全技术，对内部未授权访问难以有效控制，因此较适合于内部网络相对独立，且与外部网络的互连途径有限、网络服务种类相对集中的网络。2．8入侵检测技术入侵检测技术是一种利用入侵者留下的痕迹，如试图登录的失败记录等信息来有效地发现来自外部或内部的非法入侵的技术。它以探测与控制为技术本质，起着主动防御的作用，是网络安全中极其重要的部分。

3．企业实现电子商务的安全策略安全问题是企业应用电子商务最担心的问题,如何保障电子商务活动的安全,一直是电子商务的核心研究领域。作为一个安全的电子商务系统,必须采用相应的网络安全策略。安全策略包括网络安全问题的总原则、对安全使用的要求以及如何保障网络的安全运行。3.1制定安全策略时首先确定的最重要的原则拒绝访问明确准许以外的所有服务。当前一些电子商务企业的安全策略存在两个误区:首先,企业所采取的操作系统的标准安全策略存在问题,这一标准安全策略只能提供一道脆弱的防线,很容易被攻破;其次,为满足多种安全需求,许多企业以零碎的方式实施节点式解决方案,这虽然对电子商务的某些领域提供了有限的保护,但同时使系统管理更为复杂。阻止外来系统入侵只是电子商务安全的一个方面。成功的电子商务安全策略,必须涵盖身份识别与认证、隐私与欺骗控制、管理与审计等传统领域。3.2安全策略制定时还应注意的问题3.2.1将需保护的对象分类,确定需保护的资源及其保护级别;规定可以访问资源的实体和可执行的动作;规定审计功能,记录用户活动及资源使用情况。3.2.2系统的安全应从物理上、技术上、管理制度上以及安全教育上全方位采取措施,相互弥补和完善,尽可能地排除安全漏洞。3.2.3根据企业的实际需要确定内部网的服务类型,规定内部用户和外部用户能够使用的服务种类,建立网管站,并制定出切实可行的安全管理制度。此外还需完善电子商务企业内部安全管理体制,增强相关人员的安全意识。

4．结束语电子商务尚是一个机遇和挑战共存的新领域,这种挑战不仅来源于传统的习惯,来源于计划经济体制和市场经济体制的冲突,更来源于对可使用的安全技术的信赖。企业在应用电子商务时,应采取一系列的安全技术和安全策略。这种种安全措施的采用,一定能保证企业进行安全的电子商务活动。

参考文献：

1.韩磊石松:浅谈电子商务中信息安全问题[J].临沂师范学院学报，2001；(8)：136-139

2.黄发文:计算机网络安全技术初探[J].计算机应用研究，2002(5):46-48

3.林柏钢.网络与信息安全教程[M].机械工业出版社,2005.

4.曹淑艳.电子商务应用基础[M].北京:清华大学出版社,2002.

第4篇

中国如今的电子商务市场一直保持着40-50%的市场增长率，它的交易规模已经占到了中国消费总额的5%，并开始表现出明显的GDP拉动力。从2009年起，中国的电子商务表现出来星火燎原般的势态，可以预测的是：中国的电子商务，必将成就中国另一轮的经济飞跃。

2绪论

伴随着互联网和信息技术的飞速发展，电子商务从零到有，并逐步向高水平、规范化发展。十年来中国电子商务始终保持40-50%的高速发展，2009年的中国电子商务并为受到全球金融危机的影响，相反却在金融危机中爆发出更强的生命力和适应力。2009年中国电子商务市场规模超过35000亿元，同比增长48.5%，高于2008年的41.2%。

电子商务的安全法律是指为了保障电子商务在交易过程中的安全性，由国家政府相关部门出台的对交易过程进行保护的法律。目前，我国就电子商务安全问题已经进行了初步的法律立项实施，但是依然存在较大的漏洞和隐患，需要国家相关部门进一步加强。

安全管理是有效降低我国电子商务交易过程中存在风险的重要手段，特别是在交易过程中，交易双方进行电子合同签订，安全中心不仅要监督买方的及时付款，同时还要监督卖方是否提供与合同一致的货物。在这些交易环节中，由于网络虚拟交易的缘故，存在非常大的安全管理隐患。为了有效防止这些安全隐患的爆发，降低风险带来的损失和伤害，需要国家政府出善的法律保护制度，形成一套互相关联、互相约束的管理制度体系。

3.电子商务安全

3.1电子商务安全概述

电子商务的运行和交易是基于计算机网络平台而展开的，所以安全问题大体上可以分为计算机网络安全和电子商务系统本身交易安全。没有网络，电子商务就不可能存在，网络作为基础，其安全性与电子商务安关系密切，在网络安全的前提下，电子商务系统特有的设计加以保障，两者相辅相成实现电子商务的整体安全。通俗的说，电子商务的安全就是“电子”和“商务”双重要求下的安全。

3.2国内电子商务安全问题现状

3.2.1信息安全环境

2010年，由中国互联网络信息中心(CNNIC)和国家互联网应急中心(CNCERT)在京联合的《2009年中国网民网络信息安全状况调查系列报告》中显示，2009年，52%的网民曾遭遇过网络安全事件，网民处理安全事件所支出的相关服务费用共计153亿元人民币。电子商务发展所面临的信息安全问题严重。根据相关调查显示，90%以上的网民计算机遭遇过病毒、木马、黑客的攻击，电子商务交易的安全环境已经受到了严重影响。

3.2.2技术与意识现状

电子商务的安全需要信息技术和使用者意识的同步跟进和提高，才能使交易真正安全。目前国内两方面因素同时存在，导致电子商务交易安全性下降。一是技术方面：国内防御杀毒软件整体水平较低，查杀效率和效果不佳，部分电子商务平台设计存在缺陷，为电子交易安全埋下隐患。二是网民、使用者意识方面：相比于高发的网络安全事件，仍有4.4%的网民个人计算机未安装任何安全软件；不足8%的手机网民安装手机安全防护软件，网民安全意识仍有待进一步提升；

盗版软件使用泛滥；软件认知低，不懂得区分使用；交易双方欠缺诚信，即使交易在设计较为完善的电子商务平台上进行，依然存在欺骗行为。

3.2.3电子商务诚信环境

随着互联网的发展，网络购物（B2B、B2C）作为电子商务的其中分支之一，已经成为了一种消费时尚、热门购物渠道。据中国互联网络信息中心的数据显示：2009年我国网购市场交易规模为2500亿元，较2008年翻了一番。而2010年网络购物的市场规模应该已超过4300亿元。网购人群也大幅度增长，2009年至少在网上买过一次东西的中国网民数历史性地突破了1亿人，达到1.08亿人，增长46%。而在2010年，使用过网络购物的互联网用户更是接近2亿人。网络购物已经成为发展最迅速，与网民利益最相关的网络应用。

与此相比，电子商务诚信环境却不如人意，甚至随着电子商务的发展而出现恶化的局势。2010年，有近28%的互联网用户遭遇过虚假钓鱼网站、诈骗交易、交易劫持、网银被盗等针对网络购物的安全攻击。目前对我国网络购物用户威胁影响最严重的还是钓鱼网站，在网购用户所遭遇的安全威胁中有72.4%是钓鱼网站的欺骗行为，2010年1-10月，平均每天新增的与网络购物相关的钓鱼网站约为1500个。钓鱼网站的典型的诈骗方式主要分为三大类：低价诱惑、交谈诈骗、电话诈骗。

3.2.4电子商务信用管理现状

因为电子商务交易的特殊性，交易双方不曾谋面，所以关于电子商务的信用管理就显得尤为重要。为防止电子商务的欺诈行为给网民带来经济上的损失，网络企业以及第三方电子商务平台都相继实行信誉管理方法，如信誉评价和信誉等级系统的建立，网络诚信公约(自律)等等，但由于电子商务发展较晚，管理经验不足，这些方法和系统存在较多的问题，有待提升。如中国电子商务诚信评价中心推出“中国电子商务诚信评价规范”，其中的诚信红蓝标识制度，认知度极低，据调查发现，有97%人不知红蓝标识的含义。就目前而言，在线信誉评估、等级系统，在设计完善的提前下，可以较为有效的降低了交易风险，因为其交易双方的历史信用表现，信用等级都是公开信息，可以作为买卖双方交易选择的参考，且其失信成本远远大于其利益获得，好的信用必然可以提升销售量，这也从侧面迫使销售者提供最好的服务，避免了双方欺诈行为。交易讲究的诚信，信誉系统能最有效地维持双方可信的商务关系。如目前国内最大的网购平台淘宝网，它的网商信誉评价和信誉等级系统相对成熟，这种评价系统“为消费者提供了诚信、安全的购物保障，大大提升了网络购物体验”。但它依然存在相当多的问题，信用评价流程不合理，在买到相对低劣的产品时，你选择退货的同时就丧失了评价的权利，两者只能选其一，那到底是留着不需要的产品而去评价，还是选择退货？恶意中差评现象猖獗，甚至出现恶意差评师这一职业，严重影响公平竞争。另外对于返修产品缺乏保障，笔者就遇到过产品寄回返修，迟迟没有反应，损害消费者利益。信用可信度有待验证，专业刷钻组织的出现，使得信用体系的可靠性降低。

4电子商务安全立法现状

电子商务因其带来的经济效益和流行发展趋势而备受关注，其安全立法问题也得到了国际性组织和各国政府的高度重视,尽快营造全球范围内的电子商务安全法律环境已成为国际社会的共识。要创造一个适应和规范电子商务安全交易、发展的法律境,政府部门职责首当其冲，在电子商务发展的监管和安全立法中发挥其主导作用。及时了解电子商务即时情况，制定出台相应的安全保障法律法规,鼓励、引导、电子商务健康发展,规范、维持必要的网络市场秩序，这已经成为当前世界各国立法工作的重要任务。电子商务的广泛性和无界性使得世界各国纷纷出台相应法律、行为准则和规范办法来推动本国电子商务安全、健康的发展，旨在抓住信息技术的机遇,提高自身竞争力，从而会的优势,同时也减少电子商务的交易纠纷、欺诈行为，保障了交易的安全性,为电子商务在全球范围内的发展扫平障碍。

4.1当前电子商务安全法律、制度尚不完善

电子商务因其基础网络这个开放又隐蔽的环境，而显得比较特殊，其商贸交易行为需要有专门的法律来规范和秩序的维持，目前我国已经相继出台了部分法律法规、行为准则，设立了相应的部门来规范、监管和保证电子商务的安全。但与国际电子商务立法现状和国内电子商务现实状况相比，显得比较尴尬。我国电子商务安全法律体系仍然存在较多空白，强针对性的立法需要加快，先行法规则亟需进一步改进和完善。电子商务安全法律的不足之处有：电子交易流程行为规范、用户隐私保护、法律效力不足，法律滞后，情况描述不清，没有有效惩戒措施，难以对电子商务中的失信者和破坏者造成较强的约束力。因此强快电子商务安全法律立法和改进已经迫在眉睫。

4.2现有电子商务安全法律

现行电子商务安全法律，具有较强针对性质的较少，大多分散各类法规之中，或是零星提及电子交易安全问题，目前电子商务交易安全的法律法规主要有以下四类：

（1）综合性的法律。如：《民法通则》和《刑法》中有关对商贸交易的安全保障条文。

（2）对交易主体进行规范的相关法律。如《公司法》、《国有企业法》、《集体企业法》、《私营企业法》、《外资企业法》等；

（3）规范交易行为的有关法律，包括经济合同法、产品质量法、价格法、消费者权益保障法，反不正当竞争法等等

（4）对监督交易行为进行规范的法律，如会计法、票据法、银行法等。

国务院颁布的《中华人民共和国计算机信息网络国际联网管理暂行规定》和公安部颁发的《计算机信息网络国际联网安全保护管理办法》是两个对电子商务具有重大影响的行政法规。

另外《中华人民共和国电子签名法》的颁布也具有重要意义。该法赋予电子签名与手写签名或盖章具有同等的法律效力，明确了电子认证服务的市场准入制度，标志着我国的信息化立法迈出重要步伐。

4.3电子商务安全立法困难的原因

电子商务发展壮大为商贸交易带来极大便捷和迅速优越性，成为了经济的强劲增长点，为全球经济的发展营造了良好的氛围,与此同时，因为其特点，也对社会各个领域特别是立法带来了困难和压力。

首先电子商务的立法，需要考虑国家和地区之间的差异，协调困难。电子商务基于网络，而网络却已经全球联通、跨越了地域的界限。它所面对的不只是一个地区、一个国家的市场,而是全球一体化的大市场。各国由于社会制度、政治状况、经济发展程度等不同而导致了现行法律法规的不同，要制定可以有效协调、高度一体化的商业和法律规则,谈何容易。

其次是电子商务交易处理、传输的实质就是对信号脉冲的传输和对数字流的处理,这种虚拟的平台上，双方的不曾谋面，使得信息资源对商家的商业信用提出了更高的要求。在信息得到广泛传播的同时,由于互联网既开放又隐蔽的特性使得信息的真伪有待验证，恶意的攻击、恶意的失信难以发现，即使发现也难以揪出终端背后的那个失信或破坏者，有法难断或者有法却找不到应受惩罚的人，而且对于包括制作版权、著作权、商标使用权、数据库等在内的知识产权保护也成为无法回避的问题。电子商务横跨领域之广、利益关联群体之多，和其有别于传统商务模式的无形化给税收体制及税收管理模式也带来了巨大的挑战。

再次,电子信息领域，技术日新月异，电子商务领域的技术进步速度已经超国家适时地调整其法律框架的能力。法律的变革无法做到像电子技术更新一样的快,也由于新的意想不到的问题的不断出现，使得适时的法律调整总跟不上电子商务高速发展的步伐。这是需要我们对于现行法律框架从根本上进行反思，困难而想而知。

5电子商务安全立法的对策研究

5.1电子商务安全需求分析

5.1.1主要内容

电子商务是网上公开直接虚拟交易的商务模式，它直接通过网络进行交易、支付、谈判、下单等，在这个过程中蕴藏了大量的商务信息，所以，电子商务的安全问题引起了网民、企业、行业、国家的广泛观众。根据电子商务的交易模式以及重要性分析，电子商务的安全需求主要包括以下几个方面：

1、信息的完整性；

2、信息的保密性；

3、信息的不可否认性；

4、交易双方的真实身份信息；

5、系统的可靠性；

6、资金的安全性。

5.1.2涉及领域

通过吸收国外成功的经验，结合我国自身电子商务发展特色以及社会主义国情特色，我国电子商务安全性的立法主要涉及以下几大方面：

1、保护消费者的合法权益；

2、交易双方的个人真实信息；

3、保密和信息的合法性访问；

4、数字签名以及第三方认证；

5、计算机犯罪和侵犯问题的有效控制。

5.2电子商务安全立法定位与模式

电子商务的安全法律保障问题，从其整体情况来看，主要表现为两大层次：第一，电子商务首先表现的是商品交易模式，它的安全需要通过民商法来进行规范保护；第二，电子商务是通过计算机及网络技术实现的，它的安全很大程度上依赖于计算机及网络的自身安全程度，这需要网络的安全管理法律来加以约束和保护。从第一点的角度来看，电子商务安全法律隶属于商法的范围。

因此，在立法过程中，重点还是需要从商法的角度，结合其依托计算机网络技术的特色，从全面化的角度出发，制定出高效规范的电子商务安全法律。

从电子商务安全立法的模式角度出发，电子商务的安全法律主要有以下两种选择：第一，在电子商务交易活动的法律中加入电子商务安全性法律内容；第二，另外指定电子商务安全单行法。这两种模式都有各自的优点和缺点，前者的立法成本低但是保护力度不够强，后者的立法程序复杂，所需资源多，但是保护力度大。在实际操作中，到底选择哪种模式，也是当下法律界正在研究分析的重点问题。本文提出的建议是分为两步走：先采用第一种模式，等条件成熟后而且又加强的需要，再进行第二种模式的立法。这样不仅可以快速成立相关法律体系，同时也可有效解决资源浪费的问题。

5.3我国电子商务安全性立法的对策分析

5.3.1健全电子商务法律，注重法律的滞后性

健全的电子商务立法体系不仅要包括有网络服务和网络管理的法律制度，同时还需要电子商务主体的立法和市场管理制度，以及电子商务交易支付的法律制度、网上商务行为制度、电子税法制度、客户个人隐私权保护法。只有建立系统性的法律制度，才能真正发挥电子商务安全法的作用。

在加强电子商务安全法建设的同时，同时也应该注重法律的滞后性带来的法律效力减弱。法律的滞后性首先表现为法律立法的程序，这是个严格的过程，需要问题显现的非常明白，并对该问题进行有充分的调研数据后，才可能形成立法的基本条件和背景，这个过程是繁琐的，是复杂的，是需要长时间的。另外，法律要建立起威信，必须较长的时间，在这段长时间里，网络的发展是非常快的，会发生不同程度内容的问题，而且这些问题会经常超过法律设定的范围，这些问题在客观上都表现为电子商务法律的滞后性，使得法律无法体现超前性，大大降低了法律的约束作用。

5.3.2加强立法部门对于电子商务的学习了解

立法部门在实际的工作经验中，可能只是了解法律相关体系知识，对于电子商务交易模式、支付模式等相关内容可能存在误解或者不了解的情况，这容易导致立法部门在立法的过程中，过于偏向法律的可行性，而忽略了电子商务法律的可行性。所以，加强立法部门对于电子商务的学习了解，使其真正深入了解电子商务整体运营过程以及涉及内容、存在的漏洞、需要加强的节点以及关联的群体等内容，从根本上制定高效可行规范的电子商务安全法律，从而降低因误解带来的时间拖延、资源耗费等其他损失。

另外，加强立法部门对于电子商务的学习了解的同时，应加强立法部门工作人员对于电子商务立法的重视度，从思想上加强工作人员对于电子商务安全立法的注重，从而加快电子商务安全立法的实施进度。

5.2.3系统化完善，架构法律体系

我国电子商务的飞速发展，对电子商务中的安全问题提出了更高的要求。在建立我国电子商务安全法律时，应多加考虑它与其他法律之间的关联度，从而架构其整体法律体系，进一步完善安全法律的有效性。具体内容如下：

1、在中国民法基本法原有的基础上，增加交易安全的理念和内容；

2、在计算机与网络安全管理的立法上，应针对电子商务在网络虚拟环境下运行的特点，加强电子商务交易安全保护的法律措施。

3、在商事单行法的立法上，可以适当突破现有民法的一些制度，基于商法的特殊性及独立性，满足电子商务较高的安全保护需求。

4、在法律解释上，全面清理我国最高人民法院作出的司法解释，剔除掉不利于电子商务安全的言论，对电子商务的安全问题进行重新正确的认识和解释。

5.2.4配套奖惩措施，提高安全法律威信度

奖惩措施是任何制度得以有效实施的保障制度，这里的奖惩措施具有两个重要的含义：

第一，是对电子商务安全制度在实施过程出现的良性事件和恶性事件进行适当的奖励和惩罚，或是进行高度的奖励和惩罚，从而在加强良性循环的同时，对制度实施过程中的恶性事件作出严厉的惩罚，起到杀一儆百的作用，从而有效提高电子商务安全立法的实施力度和效果。

第二，是对进行非法盗取电子商务信息或是破坏电子商务交易的不法分子进行严厉的法律制裁，以及对保护电子商务安全的良好事迹进行表扬。我国目前针对盗取电子商务信息或是破坏电子商务交易的不法分子还未建立有效的不法分子，才会使得这些不法分子妄想钻空子、踩地雷，这也是导致我国电子商务安全出现问题的一大关键因素。因此，建立电子商务奖惩措施，有利于提高对不法分子的控制以及提高人民对电子商务安全的保护意识。

5.2.5借鉴国外成功经验，结合自身特色国情

电子商务是全球性的电子商务，它是无国界、无种族之分的。所以，我国在建立电子商务安全法律时，可立足于国际立法的趋同性取向，借鉴国外成功的电子商务安全法律制度经验，并且结合我国的自身特色国情。中国的电子商务安全法律，只有争取与国际立法接轨，才能参与全球性的经济竞争。例如，新加坡在制定《电子&交易法案》时几乎全部采用了《电子商务示范法》的相关内容，同时根据《电子商务示范法》的总体精神以及自身国情，增加了部分内容。所以，我国在制定电子商务安全法律时，应尽量吸收国外原有的成果，再结合我国的特色国情，在降低立法成本、节省立法时间的同时，也提高电子商务安全法律的高效性和实用性。

6总结和展望

电子商务的安全问题是关系到电子商务能否继续发展的关键因素。随着我国计算机网络科学的逐步发展，某些非法分子对于电子商务安全模式已经越来越熟悉，如果电子商务再不加强安全防范以及法律法规的严加约束，电子商务的安全将成为我国经济法律的一大问题，这对我国经济、网民、电子商务企业来说都是非常不利的。因此，尽快建立我国的电子商务安全立法，建立有效可行的电子商务安全法律法规，从国家政治制度角度出发，为我国的电子商务发展进行强而有力的安全管束，以促进我国电子商务行业稳步健康的发展。随着我国电子商务的飞速发展，已经在我国人民生活中扮演的越来越重要的角色，电子商务的安全立法问题已经成为我国法政界、金融界和学术界共同关注的热点问题，因此，研究我国电子商务安全立法工作，建立科学高效的电子商务安全法律，为我国的电子商务的稳步健康发展奠定良好的基础，具有非常重要的理论意义和实践意义。

本文研究的主要贡献在于：探讨了我国电子商务安全现状以及立法存在的问题与对策。本研究以电子商务基本概念和特色为理论基础，通过对我国电子商务的安全现状进行分析，从而形成本研究的整体背景，接着分析我国安全立法的现状以及存在的问题，最后结合自身所学知识，提出改善我国电子商务安全法律的对策，希望对电子商务安全立法工作的开展能提供一些帮助。但是由于水平的限制以及实际经验的不足，加上我国目前电子商务法律问题整体上处于不成熟与多样化的阶段，使得本文在研究过程中遇到一些困难，加上文字功底不够等等，影响到了研究的效果，使得论文尚有以下不足之处：

1、研究过程中，对于我国电子商务安全现状只选取了几个主要的现状进行描述，考虑到本研究报告的篇幅问题，并没有对全部的现状进行描述。

2、在对我国电子商务安全立法的现状进行分析时，只对我国电子商务安全问题的难点以及现状进行代表性的描述，并未形成系统化的描述。

第5篇

[关键词]电子商务安全网络安全商务安全

2003年对中国来说是个多事之秋，先是SARS肆虐后接高温威胁。但对电子商务来说，却未必不是好事：更多的企业、个人及其他各种组织，甚至包括政府都在积极地推动电子商务的发展，越来越多的人投入到电子商务中去。电子商务是指发生在开放网络上的商务活动，现在主要是指在Internet上完成的电子商务。

Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础，而开放性本身又会使网上交易面临种种危险。一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面，而应该是利用Web技术使Web站点与公司的后端数据库系统相连接，向客户提供有关产品的库存、发货情况以及账款状况的实时信息，从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与Internet连接，使小到本企业的商业机密、商务活动的正常运转，大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此，安全性始终是电子商务的核心和关键问题。

电子商务的安全问题，总的来说分为二部分：一是网络安全，二是商务安全。计算机网络安全的内容包括：计算机网络设备安全，计算机网络系统安全，数据库安全，工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性，完整性，可鉴别性，不可伪造性和不可依赖性。

一、网络安全问题

一般来说，计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面，计算机系统硬件和通信设施极易遭受自然环境的影响（如温度、湿度、电磁场等）以及自然灾害和人为（包括故意破坏和非故意破坏）的物理破坏；另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击；同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作，造成计算机网络系统内信息的损坏、丢失和安全事故。

二、计算机网络安全体系

一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术，在攻击者和受保护的资源间建立多道严密的安全防线，极大地增加了恶意攻击的难度，并增加了审核信息的数量，利用这些审核信息可以跟踪入侵者。

在实施网络安全防范措施时，首先要加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞；其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在的安全隐患，并及时加以修补；从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证；利用RAID5等数据存储技术加强数据备份和恢复措施。

对敏感的设备和数据要建立必要的物理或逻辑隔离措施；对在公共网络上传输的敏感信息要进行强度的数据加密；安装防病毒软件，加强内部网的整体防病毒措施；建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

网络安全技术是伴随着网络的诞生而出现的，但直到80年代末才引起关注，90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视，计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础，支持不同类型的安全硬件产品，屏蔽安全硬件以变化对上层应用的影响，实现多种网络安全协议，并在此之上提供各种安全的计算机网络应用。

互联网已经日渐融入到人类社会的各个方面中，网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中，但围绕电子商务安全的防护技术将在未来的几年中成为重点，如身份认证，授权检查，数据安全，通信安全等将对电子商务安全产生决定性影响。

三、商务安全要求

作为一个成功的电子商务系统，首先要消除客户对交易过程中安全问题的担心才能够吸引用户通过WEB购买产品和服务。使用者担心在网络上传输的信用卡及个人资料被截取，或者是不幸遇到“黑店”，信用卡资料被不正当运用；而特约商店也担心收到的是被盗用的信用卡号码，或是交易不认账，还有可能因网络不稳定或是应用软件设计不良导致被黑客侵入所引发的损失。由于在消费者、特约商店甚至与金融单位之间，权责关系还未彻底理清，以及每一家电子商场或商店的支付系统所使用的安全控管都不尽相同，于是造成使用者有无所适从的感觉，因担忧而犹豫不前。因些，电子商务顺利开展的核心和关键问题是保证交易的安全性，这是网上交易的基础，也是电子商务技术的难点。

用户对于安全的需求主要包括以下几下方面：

1.信息的保密性。交易中的商务信息均有保密的要求。如信用卡的账号和用户被人知悉，就可能被盗用；定货和付款信息被竞争对手获悉，就可能丧失商机。因此在电子商务中的信息一般都有加密的要求。

2.交易者身份的确定性。网上交易的双方很可能素昧平生，相隔千里。因此，要使交易能够成功，首先要想办法确认对方的身份。对商家而言，要考虑客户端是否是骗子，而客户也会担心网上的商店是否是黑店。因此，能方便而可靠地确认对方身份是交易的前提。

3.交易的不可否认性。交易一旦达成，是不能被否认的，否则必然会损害一方的利益。因此电子交易过程中通信的各个环节都必须是不可否认的。主要包括：源点不可否认：信息发送者事后无法否认其发送了信息。接收不可否认：信息接收方无法否认其收到了信息。回执不可否认：发送责任回执的各个环节均无法推脱其应负的责任。

4.交易内容的完整性。交易的文件是不可以被修改的，否则必然会损害交易的严肃性和公平性。

5.访问控制。不同访问用户在一个交易系统中的身份和职能是不同的，任何合法用户只能访问系统中授权和指定的资源，非法用户将拒绝访问系统资源。

四、电子商务安全交易标准

近年来，针对电子交易安全的要求，IT业界与金融行业一起，推出不少有效的安全交易标准和技术。主要的协议标准有：

1.安全超文本传输协议（S—HTTP）：依靠对密钥的加密，保障Web站点间的交易信息传输的安全性。

2.安全套接层协议（SSL）：由Netscape公司提出的安全交易协议，提供加密、认证服务和报文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE浏览器，以完成需要的安全交易操作。

3.安全交易技术协议（STT，SecureTransactionTechnology）：由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft在InternetExplorer中采用这一技术。

4.安全电子交易协议（SET，SecureElectronicTransaction）:1996年6月，由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET公告，并于1997年5月底了SETSpecificationVersion1.0，它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET2.0预计今年，它增加了一些附加的交易要求。这个版本是向后兼容的，符合SET1.0的软件并不必要跟着升级，除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全，确定应用之互通性，并使全球市场接受。

所有这些安全交易标准中，SET标准以推广利用信用卡支付网上交易，而广受各界瞩目，它将成为网上交易安全通信协议的工业标准，有望进一步推动Internet电子商务市场。

五、商务安全的关键CA认证

怎样解决电子商务安全问题呢？国际通行的做法是采用CA安全认证系统。CA是CertificateAuthority的缩写，是证书授权的意思。在电子商务系统中，所有实体的证书都是由证书授权中心即CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA机构应包括两大部门：一是审核授权部门，它负责对证书申请者进行资格审查，决定是否同意给该申请者发放证书，并承担因审核错误引起的一切后果，因此它应由能够承担这些责任的机构担任；另一个是证书操作部门，负责为已授权的申请者制作、发放和管理证书，并承担因操作运营所产生的一切后果，包括失密和为没有获得授权者发放证书等，它可以由审核授权部门自己担任，也可委托给第三方担任。

CA体系主要解决几大问题：1.解决网络身份证的认证以保证交易各方身份是真实的；2.解决数据传输的安全性以保证在网络中流动的数据没有受到破坏或篡改；3.解决交易的不可抵赖性以保证对方在网上说的话是真实的。

需要注意的是，CA认证中心并不是安全机构，而是一个发放”身份证”的机构，相当于身份的”公证处”。因此，企业开展电子商务不仅要依托于CA认证机构，还需要一个专业机构作为外援来解决配置什么安全产品、怎样设置安全策略等问题。外援的最合适人选当然非那些提供信息安全软硬件产品的厂商莫属了。好的IT厂商，会让用户在部署安全策略时少走许多弯路。在选择外援时，用户为了节省成本，避免损失，应该把握几个基本原则：1.要知道自己究竟需要什么;2.要了解厂商的信誉;3.要了解厂商推荐的安全产品;4.用户要有一双”火眼金睛”，对项目的实施效果能够正确加以评估。有了这些基本的安全思路，用户可以少走许多弯路。

六、相应法律法规

电子商务要健康有序地发展，就像传统商务一样，也必须有相应的法律法规作后盾。商务过程中不可避免地会产生一些矛盾，电子商务也一样。在电子商务中，合同的意义和作用没有发生改变，但其形式却发生了极大的变化，1.订立合同的双方或多方是互不见面的。所有的买方和卖方在虚拟市场上运作，其信用依靠密码的辨认或认证机构的认证。2.传统合同的口头形式在贸易上常常表现为店堂交易，并将商家所开具的发票作为合同的依据。而在电子商务中标的额较小、关系简单的交易没有具体的合同形式，表现为直接通过网络订购、付款，例如利用网络直接购买软件。3.表示合同生效的传统签字盖章方式被数字签名所代替。

电子商务合同形式的变化，对于世界各国都带来了一系列法律新问题。电子商务作为一种新的贸易形式，与现存的合同法发生矛盾是非常容易理解的事情。但对于法律法规来说，就有一个怎样修改并发展现存合同法，以适应新的贸易形式的问题。

小结

在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上，应该还具备以下特点：强大的加密保证；使用者和数据的识别和鉴别；存储和加密数据的保密；连网交易和支付的可靠；方便的密钥管理；数据的完整、防止抵赖。电子商务对计算机网络安全与商务安全的双重要求，使电子商务安全的复杂程度比大多数计算机网络更高，因此电子商务安全应作为安全工程，而不是解决方案来实施。

参考文献：

[1]《电子商务基础》尚建成主编高等教育出版社出版2000.9

第6篇

关键词：电子商务信息安全安全技术

伴随经济的迅猛发展，电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势，必须保证电子商务中信息交流的安全。

一、电子商务的信息安全问题

电子商务信息安全问题主要有：

1.信息的截获和窃取：如果采用加密措施不够，攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据，获取机密信息或通过对信息流量、流向、通信频度和长度分析，推测出有用信息。2.信息的篡改：当攻击者熟悉网络信息格式后，通过技术手段对网络传输信息中途修改并发往目的地，破坏信息完整性。3.信息假冒：当攻击者掌握网络信息数据规律或解密商务信息后，假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖：交易抵赖包括多方面，如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。

二、信息安全要求

电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:

1.信息保密性：维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中，要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性：贸易各方信息的完整性是电子商务应用的基础，影响到交易和经营策略。要保证网络上传输的信息不被篡改，预防对信息随意生成、修改和删除，防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性：保证信息有效性是开展电子商务前提，关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防，以保证贸易数据在确定时刻和地点有效。4.信息可靠性：确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁，通过控制与预防确保系统安全可靠。

三、信息安全技术

1.防火墙技术。防火墙在网络间建立安全屏障，根据指定策略对数据过滤、分析和审计，并对各种攻击提供防范。安全策略有两条：一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流，再审查要求通过信息，符合条件就通过；二是“凡是未被禁止就是允许”。防火墙先转发所有信息，然后逐项剔除有害内容。

防火墙技术主要有：(1)包过滤技术：在网络层根据系统设定的安全策略决定是否让数据包通过，核心是安全策略即过滤算法设计。(2)服务技术：提供应用层服务控制，起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术：在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术：把过滤和服务两种方法结合形成新防火墙，所用主机称为堡垒主机，提供服务。(5)审计技术：通过对网络上发生的访问进程记录和产生日志，对日志统计分析，对资源使用情况分析，对异常现象跟踪监视。(6)路由器加密技术：加密路由器对通过路由器的信息流加密和压缩，再通过外部网络传输到目的端解压缩和解密。2.加密技术。为保证数据和交易安全，确认交易双方的真实身份，电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有：(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开；得到公开密钥的贸易方乙对信息加密后再发给贸易方甲：贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方，保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹，有固定长度且不同明文摘要成密文结果不同，而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点：一是因为自己签名难以否认，从而确认文件已签署；二是因为签名不易仿冒，从而确定文件为真。(4)数字时间戳:电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容，数字时间戳服务能提供电子文件发表时间的安全保护。

3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份，验证信息完整性，确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识，用电子手段证实用户身份及对网络资源的访问权限，可控制被查看的数据库，提高总体保密性。交易支付过程中，参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放，都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构，受理数字证书的申请、签发及对数字证书管理。

4.防病毒技术。(1)预防病毒技术，通过自身常驻系统内存，优先获取系统控制权，监视系统中是否有病毒，阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术，通过对计算机病毒特征进行判断的侦测技术，如自身校验、关键字、文件长度变化。(3)消除病毒技术，通过对计算机病毒分析，开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度，可以清除处于潜伏期的病毒，防止病毒突然爆发，使计算机始终处于良好工作状态。

四、结语

信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术，提高电子商务系统的安全性和可靠性。但电子商务的安全运行，仅从技术角度防范远远不够，还必须完善电子商务立法，以规范存在的各类问题，引导和促进我国电子商务快速健康发展。

参考文献:

[1]谭卫:电子商务中安全技术的研究.哈尔滨工业大学,2006

第7篇

关键词:电子商务;身份认证;防火墙

一、有关电子商务的安全性要求

1.对电子商务活动安全性的要求:

(1)服务的有效性要求。电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。

(2)交易信息的保密性要求。电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。

(3)数据完整性要求。数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。

(4)身份认证的要求。电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。

2.电子商务的主要安全要素

(1)信息真实性、有效性。电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

(2)信息机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。

(3)信息完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

(4)信息可靠性、可鉴别性和不可抵赖性。可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。

在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在internet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。

二、电子商务采用的主要安全技术

1.网络节点的安全

防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。

防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。

2.通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。[论/文/网LunWenNet/Com]

3.应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现像这些问题一样的错误。

4.用户的认证管理

(1)身份认证。电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。

(2)CA证书。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。

(3)安全套接层SSL协议。安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,CertificateAuthority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。

SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Ht2tp、Ftp、Telnet等)以保证应用层数据传输的安全性。SSL协议握手流程由两个阶段组成:服务器认证和用户认证。

三、电子商务安全需要进一步完善的配套措施

电子商务要真正成为一种主导的商务模式,尤其对发展中的中国来说,发展电子商务,就必须从以下几个方面来完善配套措施:

(1)突破关键技术受制于人的瓶颈。

(2)我国应尽快对电子商务的有关细则进行立法。

(3)大力开发大型商务网站,发展与之相配套的物流公司。

(4)为了确保系统的安全性,除了采用技术手段外,还必须建立严格的内部安全机制。

(5)建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。

(6)对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。

安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。[论\文\网LunWenNet\Com]

参考文献:

[1]吴洋.电子商务安全方法研究[D].天津:天津大学,2006.

[2]李艳.电子商务信息安全策略研究[J].甘肃科技,2005(6).

[3]成卫青,龚俭.网络安全评估[J].计算机工程,2003(2).

[4]甘悦.浅议电子商务信息安全体系的构建[J].西北成人教育学报,2007(2).

[5]周明,黄元江,李建设.电子商务中的安全技术研究[J].株洲工学院学报,2005(1).

[6]张娟.电子商务网络安全技术探究[J].甘肃科技纵横,2005(4).

[7]赵乃真.电子商务技术与应用[M].北京:中国铁道出版社,2003.

第8篇

关键词：通用对象请求体系结构，电子商务，安全性，平台

SecurityinCORBA-basedElectronicCommerceSystems

LIUHai-Yan,TIANXin-Yan,TIANXin-Yu

Abstract:Electroniccommerceprovidesbusinesswithnewwaysofadvertisingandsellinggoods,services,andinformationtolargegroupsofcustomersindynamicopenelectroniccommerceenvironments.Thisarticleaddressesthetechnologiesforrealizingelectroniccommerceapplications,focusingontherelevanceoftheCORBAframeworkforthesesolutions.

KeyWords：CORBA，electroniccommerce,security,platform

1.电子商务介绍

通俗的说，所谓电子商务，就是在网上开展商务活动－当企业将它的主要业务通过企业内部网（Intranet）、外部网（Extranet）以及Internet与企业的职员、客户供销商以及合作伙伴直接相连时，其中发生的各种活动就是电子商务。电子商务是基于Internet/Intranet或局域网、广域网、包括了从销售、市场到商业信息管理的全过程。

目前，电子商务只是在对通用方针和平台意见一致的参与者间的封闭组织内进行。例如，电子数据交换（EDI）被用来在一个机构的多个分支之间，或者在建立了契约联系的机构之间安全地传输数据。而在这些早期阶段，电子商务系统只处理某几个方面的完全商务事务。

当客户可以通过他们的Web浏览器来使用的第一批基于web的商店出现时，建立了电子商务的一个更全面的概念作为Internet上传递货物和价格的方式。现在，大多数电子商务系统是基于web的，并且允许客户通过他们的web浏览器购买货物并用信用卡结帐。然而，基于web的应用程序的局限功能使得很难向客户提供全范围的服务。

未来，电子商务解决方案的需求将超过当前级别。将来的系统将必须通过多个自治的服务提供商来满足动态开放式环境中的需求，电子商务将成为一个包含多个交易实体间复杂的交互作用的分布式过程。在一个开放式市场中，有许多独立的货物和服务的供应商，并且可能有通过合并第三方提供的服务来提供服务的调解者。客户本身也可能合并随选（on-demand）产品或者服务来实现合成包。因此，现代的电子商务系统必须能集成不同种类参与系统和不同政策领域中互相不信任的用户。

2．背景及未来电子商务安全性问题

Internet的爆发增长，使得通过为一大群顾客和供应商提供一个通用通讯环境的方法可以发挥电子商务的独一无二的潜力。今天，网上有数以千计的面向消费者和面向交易的商务站点，并且这个数目正在快速增长。

从消费者的观点来看，这个大型系统积极的方面是：用户可以从相当大的产品范围内选择，并且寻找最合适的产品。提供者可以从大量的可能顾客和减少事务花费来获益。

然而，电子商务成为世界新热点,但其安全性也随着信息化的深入也随之要求愈高了。快速和不受控制的增长产生了组织和技术天性方面的不同问题。市场依旧是封闭的，并且常常没有完全符合顾客和提供者的需求。今天的电子商务系统在私人拥有的平台上运行，因此应用程序并不能互操作，也不能建立在对方的基础上。安全性和支付系统仍然不成熟，并且常常是不相称的。只有用标准的电子商务框架才能解决这些问题。

未来的电子商务系统的主要安全性问题是它们必须通过复杂的组件技术和信托关系在一个动态并开放的，从而也是不受控制的环境中操作。多数电子商务使用的电子支付系统必须很容易使用的，也必须透明地提供鉴定、完整性保护、机密性保护和认可。另外，客户和提供者之间的通讯连接必须保持数据的机密性和完整性，首先保护客户的隐私，其次是确保客户购买的服务不能被篡改。

很不幸，今天的（基于web的）电子商务系统不能迎合这些关于功能性和安全性的需求。下面的段落描述如何用CORBA来解决一些问题。

3．CORBA概述

通用对象请求体系结构（CORBA）是对象管理组织（OMG）1995年首先开发出来的一个规范。其核心部分是对象请求（ORB），是一个便于实现不同硬件和软件平台上的互操作和集成的软件总线。从软件开发者的观点来看，ORB抽象了分布式系统中远程方法调用的内在的复杂性。CORBA可以抽象网络通讯、平台的差异、编程语言等的差异，并且可以透明地提供电子商务所需的安全。另外，CORBA指定了大量CORBA服务，例如名字服务、事务服务、时间服务或安全，这些服务分别着重于分布式系统中的某些特殊方面。

图1用一种简单方式说明了CORBA的工作机理：在最初的绑定阶段，客户端应用程序通过ORB库（①，②）连接到一个活化组件或名字服务上，然后依次查询实现库中的目标对象引用（③）并当目标对象还没有运行起来时，启动这个对象（④，⑤）。目标对象引用然后就被传回客户端ORB库（⑥）。客户无论何时通过对象代码桩（⑧）调用目标方的方法（⑦），ORB库都要透明地连接到目标ORB库上（⑨），然后目标ORB库通过目标代码骨架（⑩，⑾）将请求传递给目标对象。应答通过⑾和⑦之间的链送回。

CORBA的灵活方法调用系统允许客户动态绑定到服务方上，从而使得服务灵活动态地合成，以及交互作用的调和、互操作性和购物会话过程中的状态保持都很方便。

CORBA还使得电子商务系统支持合成产品的概念和由多个提供者的相应项构成的服务包的概念。例如，一个旅行社可以提供一个包括飞机票、旅店预约、汽车租赁和旅游向导等的旅行包。

很不幸的，实际上多数CORBA的实现并没有完全遵照规范，许多服务至今仍不可用。这对安全尤其不幸，因为安全对任何基于CORBA的电子商务系统是绝对必需的。而且，不同厂商的CORBA实现并不总能完全互操作，尤其当使用别的CORBA服务时。没有定制的CORBA安全部分地或者完全不遵照使得互操作成为可能的规范。

4．CORBA安全性概述

CORBA安全性规范包括一个安全模式和为应用程序、管理程序和实现程序提供的接口和工具。规范中的通用安全互操作部分定义了通用安全性机制，使得可以安全互操作。

分布式对象系统的CORBA安全模式建立在表1所示的安全性特征的基础上。

机密性（Confidentiality）

完整性(Integrity)

可说明性(Accountability)

表1：安全性特征

CORBA安全服务规范定义了不同的对象接口，这些接口提供了下面的安全功能来增强上面提及的安全性特征（见表2）。

安全性管理：方法和范围（SecurityAdministration：PoliciesandDomains）

鉴定(Authentication)

安全性上下文制定（Securitycontextestablishment）

存取控制（Accesscontrol）

通讯保护（完整性，机密性）

Communicationsprotection(integrity,confidentiality)

安全性审计(Securityaudit)

认可(Non-repudiation)

表2：CORBA安全服务规范中的安全

实际上，特别是在电子商务中，CORBA安全服务规范中的安全服务将不可避免的过于沉重和复杂。个别电子商务系统可能有不同于最初由OMG预想中CORBA系统的特别安全性需求。值得指出的是，在这个阶段，CORBA安全是围绕分布式计算环境（DCE）而设计的，典型地都工作在类似于校园的封闭式环境中，下层平台和政策都可控制（也就是说，可以安装和管理DCE底层安全性结构）。在这种环境中，基本的安全需求是保护系统，防止未验证的使用和修改。

5．电子商务安全需求

今天的电子商务系统中，一些安全需求与类似于DCE的环境大相径庭。在DCE中，客户必须信任服务器和系统，但需保护服务器以防未验证的客户。电子商务环境中，也需要防止有恶意的会员。因此，系统必须保护客户以防恶意的服务器和另外的客户，也要保护服务器以防未验证的客户。互相不信任的参与者这个概念并不是DCE所固有的。

在传统的环境中，通过所有权来指定系统的责任，并用通过这些所有权的范围来定义信任边界。在开放式系统中，信任边界、所有权和责任范围可能不同，这引发了不同的问题。例如，商家可能负责购物过程的安全性，而不能控制客户系统。另外，也常常不能规定客户软件所运行的平台（例如，CORBA产品，Java版本，操作系统）或安全政策（例如，操作系统安全性配置）。另一方面，客户可能负责一段它并不理解的而后台透明运作的软件，而这个软件可能是由一个后来和客户发生纠纷的供应商提供的。这造成了系统中可信部分如何在供应商和客户间分配的问题。

交易的合伙人之间的契约关系应该指明风险分派，责任分派和解决纠纷的原则。就电子商务来说，我们现在必须处理可能来自一些不可信任源，并且运行在不安全的下层操作系统上的硬件和软件，因此建立这种契约关系的困难就更大了。这样的软件偶尔会失效或者恶意地运作，并且太复杂而不能成为多数终端用户的责任。

在更技巧性的层上，事务和支付需求更强的完整性和机密性保护，同时需要保证电子兑现的匿名性。也可能存在购物时可以在浏览器端下载轻量的客户应用程序的需求。在这些情况下，客户机装不上大的安全基本设施。客户端的安全政策也许也不允许购物软件永久安装在客户机上。为了使开放的电子商务能实际运作起来，安全电子商务产品需要不定制就可使用，也需要银行掩饰电子支付系统潜在的安全漏洞。

6．CORBA和电子商务安全性

CORBA安全服务规范提供了消息层完整性和负责者的鉴定/认可，这两项对电子商务应用程序都很关键。然而，OMG的电子商务域任务组织（OMG－ECDTF）为电子商务系统识别另外几种安全需求。CORBA规范中并没有下面的需求，或者由于它们仍未被提出，或者由于它们超出了CORBA所能达到的范围：

l事务审核：CORBA安全规范提供了审核数据产生，但没有提供所需数据和粒度。

l基于角色的存取控制：尽管好的粒度或者灵敏的商务交易中需要单独的存取控制，但电子商务把基于角色的存取控制作为主要形式。CORBA安全性没有提供基于角色的存取控制。

l认可：CORBA规定根据的生成，但是不提供存储根据、恢复根据和确认根据的工具。电子商务所需的完全的认可功能包括根据生成、确认、存储、恢复和递送权力。这个服务可以提供创造、起源、接收、服从、赞成、递送和行为的认可。

l完整性：应该提供将数据变成完整性所保护的数据、将完整性所保护的数据转变回原始数据、检查是否遗失完整性的功能。另外，也需要着手一些另外的完整性问题。例如，需要有一些用来防止恶意的软件，例如防止计算机病毒所做未验证的修改的机制。除消息层完整性以外，CORBA没有提供任何电子商务系统需要的其他层上的完整。

l授权：CORBA提供了使得个别责任变得容易的“扮演的授权”。然而，电子商务需要别的授权选项，例如简易授权，复合授权，组合特权授权（不允许把这些特权来追溯回某些中间节点），和追溯授权（提供了链中的授权追溯）。目前，CORBA并不要求提供这些授权模式。

l授权在安全性审核中发挥作用。它支持将一条复杂的对象请求链追溯回最初的用户。

l安全性审核库管理：审核服务可以用来保证所有的用户对他们发起的安全相关事项负责任，并保证建立、保持和保护安全相关事项的审核跟踪。另外，必须提供警告设施，并且收集、剖面、过滤、分析和查询审核数据也是可能的。CORBA目前没有提供任何审核管理功能。

l安全性管理：电子商务安全性管理应该关心以下三个范畴：管理功能的安全性、安全服务管理和安全机制管理。当前，CORBA并没有提供任何安全性管理工具。

7．基于CORBA的电子商务

CORBA作为电子商务系统的底层结构有许多优点，本节概述其中几个优点。

开放式电子商务系统的两个主要需求是互操作性和完整性。所有的客户和供应商应用程序都应该可以在一个灵活的、动态的、开放的框架中，越过不同平台，不同编程语言和商业布局来互操作。CORBA可以从开放的电子商务环境的复杂性中抽象出来。CORBA方便了电子商务系统和其它系统之间的交互作用，比如股票管理系统、会计系统、行销系统等，并使得和以前的应用程序的之间集成变得容易，例如，一个旧的股票数据库系统。

从软件开发者的观点来看，CORBA使得一切都变得比较简单，尤其是如果打算进行不同的商店配置时。CORBA抽象了网络和动态的远程商店调用，允许应用程序开发者集中精力在实际的程序上，而不是集中在底层结构的内部工作方式上。应用程序开发者可以再利用已存在系统中的部分(例如安全性系统)来开发新程序。CORBA的灵活结构也使得开发者可以实现整个商业街的一部分来迎合特殊的贸易需求，并为进一步增强系统和容易地升级这部分商业街软件提供坚实的基础。将来，个别基于CORBA的可定制的商业街组件就可用了，可以购买它，并可以很容易的将之即插即用进已存在的商业街中，来增强或升级商店系统，。

为了使得商店组件的动态互用性运转起来，一套定义良好的标准服务需要在电子商务环境下可用。例如，用来描述对象（例如货物、服务、合同、发票或帐单等）的语义需要广泛定义。因此，OMG和商业网（CommerceNet）共同定义了一系列电子商务服务的需求，也就是说，语义数据工具，选择/商议工具和支付服务。语义数据工具提供了对电子市场参与者之间语义信息交换的支持，商议服务提供了一组从事商业事务的参与者，在服务或工具的选择和配置上相互协定的支持，而电子支付工具关注支付协议的调用。

实际上，CORBA还是经常被认为是一项不成熟的技术，尤其是CORBA没有实现许多服务，例如安全。除了与不成熟的ORB实现相关的问题外，软件开发者也往往没有完全训练到可以熟练编写基于CORBA的组件的地步。就本地程序来说，基于CORBA的应用程序开发几乎与普通的应用程序开发相同，因此并没有真正造成问题，但是例如实现一个透明的提供了ORB层安全性的安全就需要专业知识。

目前，对基于CORBA的电子商务系统的评价使得这些开发足以为一些公司盈利了。例如，银行配置基于CORBA的个人银行业，或者股票交易系统可能因为它是顾客的最主要地边缘技术的服务提供者而获益。

8．结论

许多CORBA的核心概念对电子商务系统是有用的，例如，互操作性和综合性，平台、编程语言和安全机制等的灵活性，底层组件布局和网络的抽象，安全的透明性，安全性的自动增强。

第9篇

[关键词]电子商务支付手段安全

一、前言

电子商务全球化的发展趋势中，电子商务交易的信用危机也悄然袭来，虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种违法违规行为屡屡发生，这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康发展。限制电子商务的发展主要因素就是电子支付手段的安全性。

二、主要的电子支付手段及其安全性分析

1.电子信用卡

(1)支付方式:信用卡支付是电子支付中最常用的工具，方法是在Internet环境下通过标准的SET协议进行网络支付，用户在网上发送信用卡号和密码，加密后发送到银行进行支付。支付过程中要进行用户、商家及付款要求的合法性验证。

(2)安全策略:电子信用卡，是通过用户在网上输入账号/密码+数字签名，这些信息都是通过SET或者SSL协议的支付网关平台直接与银行进行相关支付信息的安全交互，进行网络支付，这种支付方式的安全性是可以得到保证的。

(3)安全隐患:单纯从技术上来说，无安全隐患问题。

2.电子支票

(1)支付方式:电子支票是利用数字化手段进行网上支付，支付过程与传统支票的支付过程相似，只是电子支票完全抛开了纸质的媒介，其支票的形式是通过网络传播，并用数字签名代替了传统的签名方式。其交易流程如下:

(2)安全策略:和电子信用卡一样，采用账号/密码+数字签名的方式进行身份验证。其支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输，从而控制安全性，从上面的交易流程，我们可以看到，电子支票的支付在专用系统上有可靠的安全措施的。

(3)安全隐患:专用网络上的应用具有成熟的模式（例如SWIFT(环球银行金融通讯协会、SocietyforWorldwideInterbankFinancialTelecommunication)系统）;公共网络上的点的资金转账仍在实验之中。

3.电子现金

(1)支付方式:电子现金是一种以数字化形式存在的现金货币，它同信用卡不一样，信用卡本身并不是货币，只是一种转账手段，而电子现金本身就是一种货币，是一种以数据形式存在的现金货币。它把现金数值转换成为一系列的加密序列数，通过这些序列数来表示现实中各种金额的币值。可以直接用来购物。电子现金具有如下特点:匿名;节省交易费用;支付灵活方便；安全存储。

(2)安全策略:没有适当的身份认证机制，是匿名的，为防止被伪造，电子现金的传输是经过数字签名的。

(3)安全隐患:①逃税:由于电子现金可以实现跨国交易，税收和洗钱将成为潜在的问题。电子现金不像真实的现金一样，流通时不会留下任何记录，税务部门很难追查，所以即使将来调整了国际税收规则，由于其不可跟踪性，电子现金很可能被不法分子用以逃税。②洗钱:电子现金使洗钱也变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹，如果调查机关想要获取证据，需要检查网上所有的数据并破译所有的密码，这几乎是不可能的。目前惟一的办法是建立一定的密钥托管机制，使政府在一定条件下能够获得私人的密钥，而这又会损害客户的隐私权，但作为预防洗钱等违法行为的措施，许多国家已经开始了这种做法。

③扰乱金融秩序：电子现金的法律地位一直难以确定。这是因为按照货币的实质和网络无国界性来推断，各国中央银行的地位都将受到挑战，因为任何一个有实力、有信誉的全球性公司，都可以发行购买其产品或服务的数字化等价物，从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序，任何国家都不会允许。

④重复消费:由于电子序列号可以被复制，因此需要一个大型的数据库存储用户完成的交易和E-Cash序列号以防止重复消费，这对于软件和硬件的要求都很高，因此很多银行都不支持电子现金业务。

4.移动支付

(1)支付方式:移动支付系统将为每个移动用户建立一个与其手机号码关联的支付账户，为移动用户提供了一个通过手机进行交易支付和身份认证的途径。用户通过拨打电话、发送短信或者使用WAP功能接入移动支付系统，移动支付系统将此次交易的要求传送给MASP，由MASP确定此次交易的金额，并通过移动支付系统通知用户，在用户确认后，付费方式可通过多种途径实现，如直接转入银行、用户电话账单或者实时在专用预付账户上借记，这些都将由移动支付系统来完成。

(2)安全措施：身份验证方式采用个人账号/密码的方式。对交易中的部分敏感信息进行了加密。

(3)安全隐患:①抵赖行为：手机支付的加密方式只是加密了交易过程的部分内容，没有考虑交易双方相互的身份认证和交易的不可否认性，必须把SET协议数据加密模型引入到手机支付中。②手机本身的安全性:手机支付还有其他的问题:大部分手机不具有用户身份认证模块，运算能力低，速度慢，不合适使用数字水印，由于不能进行很好的加密，而且手机信息传输是无线的，所以目前手机支付就存在比较大的安全隐患。

第10篇

关键词：密钥托管证书授权认证公开密钥公钥基础设施托管证书

网络的安全问题得到人们的日益重视。网络面临的威胁五花八门：内部窃密和破坏，截收，非法访问，破坏信息的完整性，冒充，破坏系统的可用性，重演，抵赖等。于是公钥基础设施（PublicKeyInfrastructure，PKI）应运而生。PKI是电子商务和其它信息系统的安全基础，用来建立不同实体间的“信任”关系。它的基础是加密技术，核心是证书服务。用户使用由证书授权认证中心（CertificateAuthority，CA）签发的数字证书，结合加密技术，可以保证通信内容的保密性、完整性、可靠性及交易的不可抵赖性，并进行用户身份的识别。

1．密钥托管KE与密钥托管KEA的概念

在电子商务广泛采用公开密钥技术后，随之而来的是公开密钥的管理问题。对于中央政府来说，为了加强对贸易活动的监管，客观上也需要银行、海关、税务、工商等管理部门紧密协作。为了打击犯罪，还要涉及到公安和国家安全部门。这样，交易方与管理机构就不可避免地产生联系。为了监视和防止计算机犯罪活动，人们提出了密钥托管（KeyEscrow，KE）的概念。KE与CA相接合，既能保证个人通信与电子交易的安全性，又能实现法律职能部门的管理介入，是今后电子商务安全策略的发展方向。

密钥托管技术又称为密钥恢复（KeyRecovery）,是一种能够在紧急情况下提供获取信息解密密集新途径的技术。它用于保存用户的私钥备份，既可在必要时帮助国家司法或安全等部门获取原始明文信息，也可在用户丢失、损坏自己的密钥后恢复密文。

执行密钥托管功能的机制是密钥托管（KeyEscrowAgent，KEA）。KEA与CA是PKI的两个重要组成部分，分别管理用户的私钥与公钥。KEA对用户的私钥进行操作，负责政府职能部门对信息的强制访问，不参与通信过程。CA作为电子商务交易中受信任和具有权威性的第三方，为每个使用公开密钥的客户发放数字证书，负责检验公钥体系中公钥的合法性。因此它参与每次通信过程，但不涉及具体的通信内容。

2．安全密钥托管的步骤

密钥托管最关键，也是最难解决的问题是：如何有效地阻止用户的欺诈行为，即逃脱托管机构的跟踪。为防止用户逃避脱管，密钥托管技术的实施需要通过政府的强制措施进行。用户必须先委托密钥托管进行密钥托管，取得托管证书，才能向CA申请加密证书。CA必须在收到加密公钥对应的私钥托管证书后，再签发相应的公钥证书。

为了防止KEA滥用权限及托管密要的泄漏，用户的私钥被分成若干部分，由不同的密钥托管负责保存。只有将所有的私钥分量合在一起，才能恢复用户私钥的有效性。

（1）用户选择若干个KEA，分给每一个一部分私钥和一部分公钥。根据所得的密钥分量产生相应的托管证书。证书中包括该用户的特定表示符（UniqueIdentify，UID）、被托管的那部分公钥和私钥、托管证书的编号。KEA还要用自己的签名私钥对托管证书进行加密，产生数字签名，并将其附在托管证书上。

（2）用户收到所有的托管证书后，将证书和完整的公钥递交给CA，申请加密证书。

（3）CA验证每个托管证书的真实性，即是否每一个托管都托管了一部分有效的私钥分量，并对用户身份加以确认。完成所有的验证工作后，CA生成加密证书，返回给用户。3．司法部门利用KE对信息的强制访问

所有传送的加密信息都带有包含会话密钥的数据恢复域（DataRecoveryField，DRF），它由时间戳、发送者的加密证书、会话密钥组成，与密文绑定在一起传送给接收方。接收方必须通过DRF才能获得会话密钥。在必要时，司法部门可利用KEA，通过DRF实现对通信内容的强制访问。

在司法部门取得授权后，首先监听并截获可疑信息，利用DRF中发送者的加密证书获得发送者的托管标示符及其对应的托管证书号，然后把自己的授权证书和托管证书号交给相应的密钥托管。KEA验证授权证书的真伪后，返回自己保管的那部分私钥。这样在收集了所有的私钥成分后，司法部门就能恢复出发送者的私钥，再结合接收者的公钥及时间戳，就能破解会话密钥，进而破解整个密文。由于密钥托管不参与通信过程，所以在通信双方毫无察觉的情况下，司法部门就能审查通信内容。

4．结束语

自从1993年美国政府颁布密钥托管加密标准EES，有关密钥托管的研究一直是密码学领域一个持续的研究热点。在电子商务时代，国家为了能够管理和控制电子商务的健康发展，必须强制实施一定形式的密钥托管技术，以便及时发现和阻止非法商务活动，并为司法部门提供取证的方便。

参考文献

[1].卢铁成.信息加密技术四川科学出版社1989

[2].陈伟东，翟起滨.二类基于离散对数问题的信息恢复多签名体制.密码与信息，1998.1

[3].NationalInstituteforStandardsandTechnology.EscrowedEncryptionStandard.FederalInformationProcessingStandardsPublication185，U.S.DeptofCommerce，1994

[4].BellareM，GoldwasserS.Verifiablepartialkeyescrow.In:ProceedingsofFourthAnnualConferenceonComputerandCommunicationsSecurity，ACM，1997

KeyEscrowTechnologyinElectronicCommerceBasedonPKI

第11篇

关键词：校园；电子商务；安全；解决方案

引言

随着网络的不断普及和电子商务的迅猛发展，电子商务这种商务活动新模式已经逐渐改变了人们的经济活动方式、工作方式和生活方式，越来越多的人们开始接受并喜爱网上购物，可是，电子商务发展的瓶颈——安全问题依然是制约人们进行电子商务交易的最大问题，因此，安全问题是电子商务的核心问题，是实现和保证电子商务顺利进行的关键所在。校园电子商务是电子商务在校园环境下的具体应用与实现，其安全性也同样是其发展所不容忽视的关键问题，因此应当着重研究。

一、校园电子商务概述

1.1校园电子商务的概念。

校园电子商务是电子商务在校园这个特定环境下的具体应用，它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。

1.2校园电子商务的特点。

相对于一般电子商务，校园电子商务具有客户群稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点，这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比，校园电子商务的特点有：交易不受时间空间限制、快捷方便、交易成本较低。

二、校园电子商务的安全问题

2.1校园电子商务安全的内容。

校园电子商务安全内容从整体上可分为两大部分：校园网络安全和校园支付交易安全。校园网络安全内容主要包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题，如网上交易信息、网上支付以及配送服务等。

2.2校园电子商务安全威胁。

校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而，网络安全与交易安全并不是孤立的，而是密不可分且相辅相成的，网络安全是基础，是交易安全的保障。校园网也是一个开放性的网络，它也面临许许多多的安全威胁，比如：身份窃取、非授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁，网上交易面临的威胁可以归纳为：信息泄露、篡改信息、假冒和交易抵赖。信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏；篡改信息是非法用户对交易信息插入、删除或修改，破坏信息的完整性；假冒是非法用户冒充合法交易者以伪造交易信息；交易抵赖是交易双方一方或否认交易行为，交易抵赖也是校园电子商务安全面临的主要威胁之一。

2.3校园电子商务安全的基本安全需求。

通过对校园电子商务安全威胁的分析，可以看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。

三、校园电子商务安全解决方案

3.1校园电子商务安全体系结构。

校园电子商务安全是一个复杂的系统工程，因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求，通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划，再结合的电子商务的安全技术，总结校园电子商务安全体系结构，如图所示：

上述安全体系结构中，人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化，它们综合构成了校园电子商务建设的大环境；基础设施层包括校园网、虚拟专网VPN和认证中心；逻辑实体层包括校园一卡通、支付网关、认证服务器和交易服务器；安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制；应用系统层即校园电子商务平台，包括网上交易、支付和配送服务等。

针对上述安全体系结构，具体的方案有：

（1）营造良好校园人文环境。加强大学生的道德教育，培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念，共同营造良好的校园电子商务人文环境，防止人为恶意攻击和破坏。

（2）建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程，校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联，由学校结算中心专门处理与金融机构的业务，可以大大提高校园网上支付的安全性。

（3）建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。

（4）组织物流配送团队。校园师生居住地点相对集中，一般来说就在学校内部或校园附近，只需要很少的人员就可以解决物流配送问题，而不需要委托第三方物流公司，在校园内建立一个物流配送团队就可以准确及时的完成配送服务。

3.2校园网络安全对策。

保障校园网络安全的主要措施有：

（1）防火墙技术。利用防火墙技术来实现校园局域网的安全性，以解决访问控制问题，使只有授权的校园合法用户才能对校园网的资源进行访问，防止来自外部互联网对内部网络的破坏。

（2）病毒防治技术。在任何网络环境下，计算机病毒都具有不可估量的威胁性和破坏力，校园网虽然是局域网，可是免不了计算机病毒的威胁，因此，加强病毒防治是保障校园网络安全的重要环节。

（3）VPN技术。目前，我国高校大都已经建立了校园一卡通工程，如果能利用VPN技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。

3.3交易信息安全对策。

针对校园电子商务中交易信息安全问题，可以用电子商务的安全机制来解决，例如数据加密技术、认证技术和安全协议技术等。通过数据加密，可以保证信息的机密性；通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解决信息的完整性和不可否认性的问题；通过安全协议方法，建立安全信息传输通道来保证电子商务交易过程和数据的安全。

（1）数据加密技术。加密技术是电子商务中最基本的信息安全防范措施，其原理是利用一定的加密算法来保证数据的机密，主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术，加密运算与解密运算使用同样的密钥。不对称加密，即加密密钥不同于解密密钥，加密密钥公之于众，而解密密钥不公开。

（2）认证技术。认证技术是保证电子商务交易安全的一项重要技术，它是网上交易支付的前提，负责对交易各方的身份进行确认。在校园电子商务中，网上交易认证可以通过校园统一身份认证系统（例如校园一卡通系统）来进行对交易各方的身份认证。

（3）安全协议技术。目前，电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析，校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间，能够更好地封装应用层数据，不用改变位于应用层的应用程序，对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道，保证传输数据的安全。

3.4基于一卡通的校园电子商务。

目前，我国高校校园网建设和校园一卡通工程建设逐步完善，使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全，可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时，使用校园一卡通作为校园电子支付载体的安全保障有：

（1）校园网是一个内部网络，它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵，由于有防火墙及反病毒软件等安全防范设施，来自外部网络人员的破坏可能性很小。同时，校园一卡通中心有着良好的安全机制，使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。:

（2）校园一卡通具有统一身份认证系统，能够对参与交易的各方进行身份认证，各方的交易活动受到统一的审计和监控，统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权，使其网上活动受到其身份的限制，有效防止一些恶意事情的发生。同时，由于校内人员身份单一，多为学生，交易中一旦发生纠纷，身份容易确认，纠纷就容易解决。

四、结束语

开展校园电子商务是推进校园信息化建设的重要内容，随着我国校园信息化建设的不断深入，目前已有许多高校开展了校园电子商务，它极大的方便了校园内师生员工的工作、学习、生活。可是与此同时，安全问题成为制约校园电子商务发展的障碍。因此，如何建立一个安全、便捷的校园电子商务应用环境，让师生能够方便可靠的进行校园在线交易和网上支付，是当前校园电子商务发展要着重研究的关键问题。

参考文献：

[1]李洪心。电子商务安全[M].大连：东北财经大学出版社，2008.

[2]杨坚争，赵雯，杨立钒。电子商务安全与电子支付[M].北京：机械工业出版社，2008.

[3]刘克强。电子交易与支付[M].北京：人民邮电出版社，2007.

第12篇

EC以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。

（2）机密性

EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。电子商务

（3）完整性

EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

（4）可靠性/不可抵赖性/鉴别

EC可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的"白纸黑字"。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

第13篇

[关键词]电子商务安全技术密钥数字签名

一、引言

电子商务是以电子信息技术为基础的商务运作，是信息技术的发展对社会经济生活产生巨大影响的一个实例，也是网络新经济迅猛发展的代表。电子商务的核心内容是网上交易，尤其是通过公共的因特网将众多的社会经济成员联系起来的网上交易更是成为发展的热点，

电子商务所具有的广阔发展前景，越来越为世人所瞩目。但在Internet给人们带来巨大便利的同时，也把人们引进了安全陷阱。目前，阻碍电子商务广泛应用的首要也是最大的问题就是安全问题。电子商务中的安全问题如得不到妥善解决，电子商务应用就只能是纸上谈兵。从事电子商务活动的主体都已普遍认识到电子商务的交易安全是电子商务成功实施的基础，是企业制订电子商务策略时必须首先要考虑的问题。对于实施电子商务战略的企业来说，保证电子商务的安全已成为当务之急。

二、电子商务过程中面临的主要安全问题

从交易角度出发，电子商务面临的安全问题综合起来包括以下几个方面：

1.有效性

电子商务以电子形式取代了纸张，那么保证信息的有效性就成为开展电子商务的前提。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。

2.真实性

由于在电子商务过程中，买卖双方的所有交易活动都通过网络联系，交易双方可能素昧平生，相隔万里。要使交易成功，首先要确认对方的身份。对于商家而言，要考虑客户端不能是骗子，而客户端也会担心网上商店是否是一个玩弄欺诈的黑店，因此，电子商务的开展要求能够对交易主体的真实身份进行鉴别。

3.机密性

电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。如信用卡的账号和用户名被人知悉，就可能被盗用而蒙受经济损失；订货和付款信息被竞争对手获悉，就可能丧失商机。因此建立在开放的网络环境电子商务活动，必须预防非法的信息存取和信息在传输过程中被非法窃取。

三、电子商务安全中的几种技术手段

由于电子商务系统把服务商、客户和银行三方通过互联网连接起来，并实现了具体的业务操作。因此，电子商务安全系统可以由三个安全服务器及CA认证系统构成，它们遵循共同的协议，协调工作，实现电子商务交易信息的完整性、保密性和不可抵赖性等要求。其中采用的安全技术主要有以下几种:

1.防火墙(FireWall)技术

防火墙是一种隔离控制技术，在某个机构的网络和不安全的网络(如Internet)之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止专利信息从企业的网络上被非法输出。

2.加密技术

数据加密技术是电子商务中采取的主要安全措施，贸易方可根据需要在信息交换的阶段使用。在网络应用中一般采取两种加密形式：对称加密和非对称加密，采用何种加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来做出判断。

(1)对称加密

在对称加密方法中，对信息的加密和解密都使用相同的密钥。也就是说，一把钥匙开一把锁。这种加密算法可简化加密处理过程，贸易双方都不必彼此研究和交换专用的加密算法，如果进行通信的贸易方能够确保私有密钥在交换阶段未曾泄露，那么机密性和报文完整性就可以得到保证。不过，对称加密技术也存在一些不足，如果某一贸易方有n个贸易关系，那么他就要维护n个私有密钥。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享一把私有密钥。目前广泛采用的对称加密方式是数据加密标准(DES)，它主要应用于银行业中的电子资金转账(EFT)领域。DES对64位二进制数据加密，产生64位密文数据。使用的密钥为64位，实际密钥长度为56位(8位用于奇偶校验)。解密时的过程和加密时相似，但密钥的顺序正好相反。

(2)非对称加密/公开密钥加密

在Internet中使用更多的是公钥系统，即公开密钥加密。在该体系中，密钥被分解为一对：公开密钥PK和私有密钥SK。这对密钥中的任何一把都可作为公开密钥(加密密钥)向他人公开，而另一把则作为私有密钥(解密密钥)加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能由生成密钥对的贸易方掌握，公开密钥可广泛，但它只对应于生成该密钥的贸易方。在公开密钥体系中，加密算法E和解密算法D也都是公开的。虽然SK与PK成对出现，但却不能根据PK计算出SK。

公开密钥算法的特点如下：

用加密密钥PK对明文X加密后，再用解密密钥SK解密，即可恢复出明文，或写为：DSK(EPK(X))=X。

加密密钥不能用来解密，即DPK(EPK(X))≠X

在计算机上可以容易地产生成对的PK和SK。

从已知的PK实际上不可能推导出SK。

加密和解密的运算可以对调，即：EPK(DSK(X))=X

常用的公钥加密算法是RSA算法，加密强度很高。具体做法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数字签名，做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名，然后与发送数据一起用接收方密钥加密。这些密文被接收方收到后，接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名，然后用方公布的公钥对数字签名进行解密，如果成功，则确定是由发送方发出的。由于加密强度高，而且不要求通信双方事先建立某种信任关系或共享某种秘密，因此十分适合Internet网上使用。

3.数字签名

数字签名技术是实现交易安全核心技术之一，它实现的基础就是加密技术。以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢？这就是数字签名所要解决的问题。数字签名必须保证以下几点：接收者能够核实发送者对报文的签名；送者事后不能抵赖对报文的签名；接收者不能伪造对报文的签名。现在己有多种实现数字签名的方法，采用较多的就是公开密钥算法。

4.数字证书

(1)认证中心

在电子交易中，数字证书的发放不是靠交易双方来完成的，而是由具有权威性和公正性的第三方来完成的。认证中心就是承担网上安全电子交易认证服务、签发数字证书并确认用户身份的服务机构。

(2)数字证书

数字证书是用电子手段来证实一个用户的身份及他对网络资源的访问权限。在网上的电子交易中，如双方出示了各自的数字证书，并用它来进行交易操作，那么交易双方都可不必为对方身份的真伪担心。

5.消息摘要(MessageDigest)

消息摘要方法也称为Hash编码法或MDS编码法。它是由RonRivest所发明的。消息摘要是一个惟一对应一个消息的值。它由单向Hash加密算法对所需加密的明文直接作用，生成一串128bit的密文，这一串密文又被称为“数字指纹”(FingerPrint)。所谓单向是指不能被解密，不同的明文摘要成密文，其结果是绝不会相同的，而同样的明文其摘要必定是一致的，因此，这串摘要成为了验证明文是否是“真身”的数字“指纹”了。

四、小结

本文详细探讨了电子商务安全体系所面临的问题，并提出了安全防护的几种技术手段，相信随着时间的推移和技术的发展，电子商务安全体系将越来越完善，足不出户而通过Internet电子商务系统实现购物、交易和做生意将成为人们生活的新时尚。

参考文献：

[1]徐海来:电子商务的运作与安全[J].中国信息导报,2000.6:126

[2]刘进:电子商务网上交易系统[M].第一版，北京:机械工业出版社,2003:157

第14篇

1．1电子商务安全支付的主要特征

我们谈到的电子商务支付的主要特征是与传统支付方式相比较，通过归纳总结，我们可以轻易的得出以下四点：首先，电子支付是在一定的技术基础上通过数字的流转来完成的信息传输，简单说来，它的各种支付方式都是通过数字化的方式进行，这与传统支付方式中利用现金的流转、票据的转让或者银行的汇总等通过实体货币来进行款项支付的方式又明显不同。其次，在现阶段说来，电子商务支付的发生环境在于因特网，或者说在于一个开放的系统平台，但传统支付方式却是在相对封闭的系统下进行。再次，在通信手段和支付设施上，电子商务支付与传统商务支付无疑有较大的区别。一般说来，电子商务支付总是采用最先进的例如Intemet或Extranet等等通信手段，对于软、硬件设施的要求也更高，开展电子支付必须要求联网的微机、相关的软件以及配套设施。但传统支付只是使用传统通信媒介，发生支付的条件限制也并不多。最后，虽然电子支付相对于传统支付要求更高，但却也令消费者享受到了更加方便、快捷、高效、经济的服务。设想一下，当用户拥有一台可以上网的计算机就可以在炎炎夏日足不出户的完成支付，购买等活动，而传统支付却还要顶着烈日出行，由此看来，电子商务支付更加人性化。同时，使用电子商务支付，相比于传统支付，所产生的支付费用仅为后者的几十分之一甚至几百分之一，这又体现了电子商务支付的经济化。

1．2电子商务安全支付的几大方式

以下，我们主要从信用卡支付、电子现金支付、电子支票支付以及微支付四个方面介绍，但需要注意的是，电子商务支付的方式并不局限于这几种。通过信用卡支付的类型可分为四种，分别是无安全措施的信用卡支付、通过第三方人的支付、简单加密信用卡的支付以及阿安全电子交易SET信用卡的支付。卖方在卖方发生购买之后，如果信用卡信息通过电话、传真等非网上传送方式进行传送，活着通过无任何安全措施的互联网传送，且卖方与银行之间均是利用各自现有的银行商家专用网络授权来检查信用卡的真伪则为地中信用卡支付类型。第二种支付类型在卖方和买方之间启用了第三方，如此一来卖方并不能得到买方信用卡信息，从而有效避免信用卡信息由于在网上的多次传输而导致的信息被窃取现象。第三种则足在买方向浏览器窗口或其他电子商务设备输入信用卡信息时，系统将自动对信用卡信息实施简单加密工作，由此，信用卡信息可以在加密情况下向卖方传输。第四种支付类型涉及到两大信用卡组织Visa和MasterCard，为了解决用户、商家以及银行三方使用信用卡支付交易，他们联合推出了SET协议。该协议在不仅有对客户信用卡的认证，还加入了对于商家身份的认证，由此可以令支付信息更加机密、支付过程愈加完整。电子现金支付方式通过一种表示现金的加密序列数实现，现实中各种金额的币值被数字化形式代替，电子现金支付方式也无需与银行连接。由此具有灵活多用、匿名快捷的特点，在提高效率和方便用户的使用方面具有极大的优势。但电子现金支付手段在运用时偶尔要涉及到一中新款硬件——智能卡，当然，我们也可以使用数字方式的现金，或者现金转卡及采用Mondex卡转卡的方式。但不得不提到的是我们在使用时要充分注意它的合法性。电子支票支付方式出现较晚，但这并不影响人们对他的使用。它是用写在屏幕上的支票进行的支付活动，但与纸质支票几乎具有相等的功能。电子支票由账户的开户人于网络上生成，其中包含内容与纸质支票相同，使用方式亦与纸质支票相同，在双方签名和认证之后可由金融机构进行账户存储。微支付，顾名思义，处理小量金钱。微支付在使用时，一方面要求实现商品的发送与支付的同时发生，另一方面，商品销售与处理或运输为了保持成本的低廉又设置了障碍，因此，这一支付方式在保证交易的发送速度与低成本上的应用十分重要，亦有很多商家致力于发展别的协议来支持微支付，因这一支付方式不为SET何SSL所支持。

2发展电子商务安全支付的必要性

2．1电子商务是贸易发展的必然趋势

根据CNNIC调查数据显示，至2007年6月，中国网民已达1．62亿，中国网站已达131万个，年增长率为66．4％，虽然网民数量较美国还有落后，但我们那时已经相信，随着中国经济的飞速发展，中国的13亿人口在互联网时代必然能做出巨大贡献，而今，这一预测也确实化作了现实，如今的互联网，对于中国百姓而言已越来越普遍。互联网的高速发展导致了一种全新的商务模式的出现——电子商务。近两年来，单从网上购物的角度，就出现了淘宝、天猫、当当、京东、易迅等网站，且有马云的淘宝在前，这些网站正做的风生水起，淘宝每年的双十一大丰收更是我们十分关注的话题。电子商务在我国虽然起步晚，但作为现代物流业的主要内容之一，电子商务在我国的发展却不可谓不快，尤其是在近些年的发展中，由此我们虽然不能认定电子商务将会取代传统商务，但却可以做出推断，电子商务作为一种相对较新的贸易方式，在未来的几年中，将会有更加突破性的发展。

2．2电子支付是电子商务的要素

电子商务是基于Internet的商务活动，这一模式下的商务活动具有随时随地、方便易用的特点。但同时我们不禁开始思考，这一网上商务活动在涉及到支付手段时，该如何处理，诚然，我们不可能过多依赖于货到付款或者别的方式，因此，若问电子商务因何能够得到突然的飞速发展，网上支付的兴起便是一个不可忽略的原因。在电子商务时代，企业与客户都需要一个在保证高效快捷的同时又有一定的安全保障，但传统支付结算方式在当时虽然相对安全，但却无法克制方便、跨时空的障碍，这曾一度成为了电子商务发展的瓶颈所在。由此，为了满足企业与客户的需要，网上支付油然而生，它以金融电子化网络为基础，以商业电子化工具和各类交易卡为媒介，以现代计算机技术和通信技术为手段，以电子信息为传递形式。但在目前，虽然电子商务支付手段有了一定的发展，但却避免不了它的一系列问题的存在。

3电子商务安全支付方式在发展中存在的问题

3．1信用和安全问题

网络银行要想获得长远稳定的发展，必须要有一个良好的信用机制，但遗憾的是我国在这方面与发达国家相差较大。试想一个信用机制不够牢固的电子支付平台又如何能让客户放心使用呢，尤其是在买卖双方互不见面的Internet商务模式中。虽然市场经济一直强调其发展的两大支柱在于社会保障体系与社会信用体系，但无疑的是，我国还未在企业与个人中建立完善的信用体系，由此导致现金交易仍然占据主导地位。无论在哪个国家的哪种电子交易方式下，网络安全问题总是令消费者十分担心和在意。而令人不甚满意的是，这一问题在世界各国均存在，我国自然也不例外，浙江就曾经发生过“银行卡”案件。如果消费者在每次使用银行卡后，对方都能通过电脑得到你的全部财务记录，该是多么可怕的事情，事实上，这一现象也令很多消费者对使用银行卡进行网络购物望而却步，因为消费者不知道这些进去你账户的人会是怎样的电脑专家或金融高手，但他们却知道自己对金融与电子商务的掌握程度有多深。

3．2电子支付与认证统一上的问题

在前文中，我们曾简单提及到SET与SSL两种安全协议，前者是一一套在线交易的安全标准，由VISA和MASTER和多加科技机构共同制定。后者是一种安全通信协议，由网景公司推出，主要在于对信用卡和个人信息的保护，针对计算机之间整个会话过程的加密。国际上并未确定该由这两种协议中的哪一方作为未来发展方向，而这一现象的产生也是由于这两种协议自身的优缺点导致。SET协议比SSL协议复杂，但在理论上，也占据着更高的安全性，因为它不仅加密两个端点之间的单人对话，也加密认定三方面的信息，但SSL却只是加密第一项。但是SET却由于过于复杂而对消费者、商户和银行方面的要求过高，由此在推行中难免遇到一些阻力，但SSL却并不受此项因素干扰，它相对便捷，同时又能满足人们现实中的安全需求。

3．3相关法律不够完善

相比于发达国家，我国电子商务起步较晚，发展较慢，因此导致了电子商务立法的滞后，这给网上银行的发展带来了一定的影响。而在相关法规的完善问题上，目前还有下列一些问题需要解决。首先是关于电子支付的定义和特征。由于其是借助网络发生的一种行为，与传统支付相异，因此，在资金转移方面必须要有相关法律坐镇。其次是关于电子支付权利上的问题。电子支付的当事人•58•涉及到多方，包括付款方、收款方以及银行，某些时候还会涉及到中介机构。因此需要有相关法律来确定各当事人在支付活动中享受的权利和需履行的责任。再者是关于电子支付的伪造、更该及涂销问题。在进行电子商务支付的活动中，我们不得不提防网络黑客对于数据的破坏、伪造、更改以及涂销问题，因为这一现象给社会带来的恶劣影响十分突出。在电子支付活动中，所拥有的证据都为电子证据，即通过网络运作确定的各方权利义务或实施合同款项的支付、结算、货物交接或追踪的信息。为此，国内已有学者认为可将电子证据纳入民诉法中第63条规定的“视听资料”一类，同时在立法与司法中对于电子证据可作为被采纳证据做出明确规定。

3．4银行业科技水平与国际先进技术存在差异

在我国，虽然有“手机银行”与“网络银行”这两种支付手段，但归根结底，它们都不过是利用电子终端设备的金融工具，通过利用高技术手段的工具并不能再金融服务的功能上做出一些实质性的突破，况且还面临着安全方面的缺陷，因此，为了在电子商务及电子商务支付的道路上达到世界先进水平，我们有必要加强加快新型金融工具的开发。

4电子商务安全支付方式进一步发展的对策

4．1加强网络基础设施和现代化系统建设

在政府政策方面，我国需要继续对“三金”工程和国家现代化支付系统的建设，通过对金融网络基础设施投入的加大，我们可以成立专业的金融数据网络公司来实现对于管理数据通信网的管理，进而实现金融系统在通信服务上安全化、快捷化、高效化以及经济化，实现我国的金融电子化，实现我国国有商业银行服务水平和国际竞争力的提供。在银行方面，需要从硬件和软件两个角度进行。在硬件上，银行要投入足够的资金进行先进电子设备的购买，包括柜员机和大型计算机、包括局域网和广域网等深入到银行内部各个领域的电子设备，以提高电子化网点和营业网点的电子覆盖率。在软件上，银行方面要加大开发力度，对全国性和全行性的网络系统做系列应用系统软件的研发。

4．2加强对社会整体信用制度和在线支付安全问题的管理

要想实现在线支付的进一步发展，首先要有广大客户来源。因此，我们需要解决客户对于在线支付的安全问题，提升他们对于该系统的信任程度。首先，我们需要提升网络安全技术，最好普及CA认证。我们知道，客户在支付时如果出现信息的丢失或者出错，且不论这给他们带来的损失是否是第三方可以承担的，单从客户信任度这一角度来看，电子支付就会失去它的使用群体。因此，我们可以通过防火墙技术、数据加密传输技术、身份鉴别技术、病毒防治技术等安全技术来提高网络信息的安全性，令顾客在使用这一平台时无后顾之忧，进而产生对这一支付方式的青睐。其次，电子商务支付机构需要充分发挥网络的低成本、高效率的特点来进行反馈信息的及时收集，我们只有在了解“客户的声音”之后才能对他们的抱怨和建议做出及时的解决，同时也能加强我们本身对于市场份额的保持力，进而争取更多客户。最后，支付系统如果可以实现与第三方的密切合作，则对于客户建立网络信任具有极大的促进作用。而这一结论亦是根据相应调查数据得到，据调查，支付系统如果在主页上标明其与某知名第三方安全认证机构有合作关系则更容易获得客户信任。这一方式也可以运用在其与银行或信用度相对较高的网站的合作中，这代表了支付渠道的安全性。

4．3加强在线支付主体方——银行自身制度的创新

在我国国民经济体系中，商业银行占据着在线支付经营的主体方。为了发展电子商务支付，商业银行应该对其优势进行充分利用实现自身制度的创新。在其自身制度的创新上，我们不得不首先提出关于其经营方式的转轨问题。纵观现今我国电子商务的发展态势，我们不难得出在线支付业务的需求十分巨大，这为传统银行提供了新的发展方向，因此，银行如果可以将传统营销渠道和网络营销渠道进行有机结合，必然可以谋求自身更大的发展空间。其次需要提到的是对金融业务体系的重构，由于电子商务的自身特性，它要求在线支付主体进行一定的整合与协同，因此，参与在线支付的各银行应加强合作，以建立金融门户的形式实现资源共享，由此，网络将被作为银行和证券、保险、基金等金融企业合作的平台。通过“一体化”的全方位服务来推进我国电子商务的发展。

4．4加快相应法律和支付系统的完善进度

一个完善严格的法律环境是进行电子商务支付发展的必备条件，因此，我国需要加快这一方面的步伐，建立出相应法律法规体系。但仍需注意的是在线支付往往设计国际交际，因此，各国政府与金融业需要进行必要的合作和谈判，共同制定和完善相应法规。例如国际商会指定的《电子贸易和结算规则》即可作为我国在线支付立法的借•64•鉴。此外，在对电子商务活动进行监管的过程中，一旦发现问题要做及时的查处，追究相关人员法律责任，以此保证一个健康、有序的电子商务与在线支付的发展。

5总结

第15篇

1.1系统中的安全隐患

当前的电子商务的系统中的安全隐患有三个层面，包括引用系统安全隐患、网络系统安全隐患和操作系统安全隐患。针对这三个层面，就要求我们密切保护网络的安全，使用者自身也要保护自己的个人信息，如不在公共网络保存自己的账号密码，当然还应该定期检查信息的储存空间以及整理各个系统的资源。

1.2信息被窃取和篡改

在电子商务交易的进行中，如果密码过于简单或者使用者在公共网络中保存了账户密码，就致使黑客或者其他的入侵者更轻而易举地截取重要的信息，进而通过分析这些信息，获取规律，导致全部内容的窃取。更有甚者，入侵者会对使用者的传输内容进行篡改，或者对信息内容进行恶意的破坏，就会给用户造成更大的损失。因此，应对这种现状，应该改善加密技术，同时使用者应进行复杂的加密。

1.3计算机病毒

由于电子商务广泛普及，使得数据以及信息交易的内容都是通过网络来进行传播的。虽然使交易更为方便快捷，但同时，也提供给了计算机病毒一种更为迅速的传播方式。一旦出现计算机病毒，就会导致计算机的各个资源被篡改，计算机的功能被破坏使得无法正常运行工作，甚至还会传染给其他的计算机。

1.4认证安全存在漏洞

我们正处在一个便携性的信息化时代，电子商务规模逐渐扩大，但是网络交易的认证安全上存在着很多漏洞。当前还存在一些电子商务交易中仍未解决的问题，譬如，网络用户IP地址的频繁盗用，使得IP地址存在很大的冲突，进而导致网络的很多账号被盗取。

1.5电子邮件的伪造

伪造者在交易用户进行合法交易的过程中，会伪造大量的电子邮件，使得网络拥堵，导致商家的资源严重短缺，致使合法用户无法进行访问行为，这就使得响应的时间增长，交易过程变得混乱。

1.6否认交易行为

电子商务中，交易者否定自己发送给对方的交易信息内容，又或者不承认接收到原本接收到的内容。交易双方中有一方单方面的撕毁了协议。

1.7管理层面存在漏洞

电子商务的非面对面交易的存在形式，必不可免地使得电子商务的管理存在局限性。不明确的管理制度和不到位的管理措施，以及众多的单位和用户疏于管理电子商务的交易，给网络黑客以及计算机病毒的攻击提供了便利。基于此，就需要电子商务的交易双方设置更为健全的软硬件和网络操作系统，同时应当提高安全防范意识，及时清理电脑的垃圾信息，预防病毒的侵入。

2计算机安全技术在电子商务中的应用

电子商务迅猛发展，同时它的发展空间和发展前景也是不容忽视的。为了确保电子商务的长足发展，就需要重视电子商务中存在的安全隐患问题，只有更好地解决这些安全隐患，才能降低对计算机造成的风险和影响。综合运用多种计算机安全技术能够更大程度地确保电子商务交易的安全进行。

2．1身份识别技术

身份识别技术能保护合法的用户拥有应用网络资源的权利，方便统一管理用户，避免了入侵者的攻击和破坏。当然身份识别是针对参与交易双方进行的，只有这样，才能保证电子商务交易的有序进行，保护了双方的合法权益。

2.2数据加密技术

对电子商务交易中涉及的重要信息和数据进行加密，常用的加密方法包括公开密钥加密和专用密钥加密。这种技术能够维持电子商务交易的顺利进行，同时，还能避免入侵者对重要信息的攻击和破坏。提高了信息和数据的安全性和可靠性。

2．3数据加密技术

众所周知，在电子商务中由于非面对面交易，不可避免地会出现许多不确定的因素。数据加密技术能够有效预防和打击多种不确定因素的入侵。在交易过程的最初阶段即信息初步的互换过程就能使用数据加密技术。具体的实施流程是，在电子商务交易的过程之中，交易生成的那一方会有两个密钥，其中一个作为公共密钥，交易的另一方通过该密钥将重要数据和信息进行加密后，确保发送的数据的安全性和准备性，最后才进行最终的电子商务交易。

2．4访问控制技术

该技术主要就是使用防火墙技术针对不安全的层面进行预防和保护。具体来说，能够控制数据或者信息等内容的访问权限，只允许这些内容的读取，而不允许进行修改，这种访问控制技术，预防了入侵者的不良攻击和破坏，维护了电子商务交易的有序进行。

3结语