北京大学计算机系   谢丹夏

1.引言：

对我国来说，电子商务尚是一个机遇和挑战并存的新领域，这种挑战在很大程度上来源于对有关安全技术的信赖。在开放的网络（如Internet）上处理交易，如何保证传输数据的安全成为电子商务能否普及最重要的因素之一。

2．电子商务对安全的要求及一般性对策  

    归纳用户对电子商务活动安全性的需求，以及可使用的网络安全措施主要包括如下几个方面。

    ⑴　如何确定通信中的贸易伙伴的真实性，常用的处理技术是身份认证，依赖某个可信赖的机构（认证中心－CA）发放证书，双方交换信息之前通过CA获取对方的证书，并以此识别对方。

⑵　如何保证电子单证的秘密性，防范电子单证的内容被第三方读取；常用的处理技术是数据加密和解密。常见的加密技术包括对称密钥加密技术（典型的加密算法包括DES、Triple DES、IDEA、RC4和RC5）和非对称密钥加密技术（典型的加密算法为RSA、SEEK、PGP和EU等）。

⑶　如何保证被传输的业务单证不会丢失，或者发送方可以察觉所发单证的丢失；对于固定且具有频繁贸易往来的伙伴，可以采用单证传输的序列性检验（即为单证分配序列号，或者增加时间戳）；也可采用双方约定的方法（即在规定的时间内，通过某种方式进行确认。

⑷　如何确定电子单证的内容未被篡改；单证传输完整性主要采用散列技术来防止非法用户对单证的篡改，通过散列算法对被传输的单证进行处理，产生一个依赖于该单证的短小的散列值,并将该散列值附接在单证之后传输给接收方。以便接收方采用相同的散列算法对接收的单证进行检验。

⑸　如何确定电子单证的真实性，即单证来源于期望的发送方；鉴别单证真实性的主要手段是数字签名技术，其基础是数据加密中的公开密钥加密技术，实用中常结合单证完整性一起考虑，利用发方的秘密密钥对散列值进行加密。

    ⑹　如何解决或者仲裁收发双方对交换的单证所产生的争议，包括发方或者收方可能的否认或抵赖。通常要求引入认证中心进行管理，由CA发放密钥，传输的单证及其签名的备份发至CA保存，作为可能争议的仲裁依据。

    ⑺　如何保证存储信息的安全性。规范内部管理，使用访问控制权限和日志，以及敏感信息的加密存储等。当使用WWW服务器支持电子商务活动时，应注意数据的备份和恢复，并采用防火墙技术（有些专家建议直接采用物理分割WWW服务器和内部网络的连接）保护内部网络的安全性。........................

电子商务 (Electronic Commerce ,EC) 就是借助于公共网络，如Internet或开放式计算机网络（Open Computer Network）进行网上交易，快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。这种商务过程包括商品和服务交易的各个环节,如广告、商品购买、产品推销、信息咨询、商务洽谈、金融服务、商品的支付等商业交易活动。电子商务应用范围相当广泛,以消费者对企业方面来讲包括：电子购物----电子商场、商品展示、线上订购；网络拍卖；电子钱包--电子现金（Electronic Cash）、电子支票（Electronic Cheque）；网络银行--网络转帐、帐单查询、服务申请、开户、金融产品介绍、网络广告。而企业与企业之间则有商品资料库、电子资料交换、生产供求、商务洽谈、帐目清算、技术合作、资金拆借等应用。在企业内部则可利用相关的安全技术建立数字签名、电子公文传送等系统，真正达到安全、迅速的无纸办公以提高管理效率、改善经营质量。
    电子商务一般包括四个部分：1交易的商流：指接受订单、购买、开具发票等销售的工作，也包括维修等售后服务之类的工作；2配送的物流：指商品的配送；3转帐支付的结算：交易双方必然涉及到资金转移的过程，包括付款、与金融机构交互等（应包括资金转移、与资金转移之相关信息，例如所有权转移凭证等）；4信息流：包括商品信息、信息提供、促销、直销等。它和传统的商业系统相比，具有交易花费成本低、资金更安全、资金结算速度快、节省人力物力、方便等特点。
     电子商务的实现，必须解决下面几个关键问题：
1. 安全性（Security）和可靠性（Reliability）：对于在线交易、资金转移和电子    货币的铸造都需要绝对安全和可靠，必须保证交易的保密性、完整性和可用性；
2. 真实性（Reality）：买卖双方能够确认他们收到的电子货币是真实的；
3. 匿名性（Anonymity）：确保消费者、商家和他们之间的交易是无记名的，即不可    追踪的；
4. 可分性（Divisibility）：在Internet上实际运行中，要能够处理各种不同货币单    位和货币种类的交易；
5. 灵活性（Flexibility）：支付系统必须能够处理不同的支付方式，比如信用卡、    电子支票和电子现金等；
6. 互操作性（Interoperability）和方便性（Convertibility）：由于目前存在着不    同的支付系统，因此应该能够考虑异种支付系统的互通，保证交易双方操作的透明    性；
7. 身份确认（Authenticity）：在买卖双方进行交易前，必须相互进行身份的确认；
8. 防重传（Non－Replay）：保证信息被截取后，不能再被重新传输；
9. 不可否认性（Non－Repudiability）：包括信息发送方和接收方两个方面，保证发    送方不可否认他发送的信息，防止接受方否认收到数据。可以有效地防止交易上的    纠纷；
10. 可接受性（Acceptability）：必须有国家的法律支持。
    目前世界各国都在展开电子商务系统的研究，通过电子货币完全取代目前的支票及现金支付模式

此新闻共有3页 1 2 3