1.3 电子商务安全技术

电子商务安全是信息安全的上层应用，它包括的技术范围比较广，主要分为密码技术、网络安全技术、安全协议、公钥基础设施（Public Key Infrastructure，PKI）技术四大类。实际上安全协议和PKI技术都是源于密码技术。

1.3.1 密码技术

密码技术是保证电子商务安全的重要手段，是信息安全的核心技术。它主要包括加密技术、签名认证技术和密钥管理技术三大技术。

1．加密技术

加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来重新组织数据，使得除了合法的接收者外，任何其他人要想恢复原先的“报文”或读懂变化后的“报文”是非常困难的。许多密码算法现已成为网络安全和商务信息安全的基础。密码算法利用秘密密钥（Private Keys）来对敏感信息进行加密，然后把加密好的数据和密钥（要通过安全方式）发送给接收者，接收者可利用同样的算法和传递来的密钥对数据进行解密，从而获取敏感信息并保证了网络数据的机密性。

2．密钥管理技术

密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容。其中分配和存储是最棘手的问题。密钥管理不仅影响系统的安全性，而且涉及系统的可靠性、有效性和经济性。在用密码技术保护的现代信息系统中，密码算法安全主要取决于对密钥的保护，而不是对算法或硬件本身的保护，即密码算法的安全性完全寓于密钥中。

3．数字签名

数字签名（Digital Signature）是公开密钥加密技术的一种应用，是指用发送方的私有密钥加密报文摘要，然后将其与原始的信息附加在一起，合称为数字签名。通过数字签名能够实现对原始报文的鉴别与验证，保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法，保证了网络数据的完整性和真实性。数字签名普遍用于银行电子支付、电子贸易等领域，以解决伪造、抵赖、冒充、篡改等问题。

1.3.2 网络安全技术

网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全涉及的方面比较多，如操作系统安全、防火墙技术、虚拟专用网（Virtual Private Network，VPN）技术、各种反黑客技术和漏洞检测技术，其中最重要的就是防火墙技术。

防火墙是建立在通信技术和信息安全技术之上，它用于在网络之间建立一个安全屏障，根据指定的策略对网络数据进行过滤、分析和审计，并对各种攻击提供有效的防范，主要用于Internet接入和专用网与公用网之间的安全连接。

VPN也是一项保证网络安全的技术之一。它是指在公共网络中建立一个专用网络，数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，其各地的分支机构就可以互相安全地传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。

1.3.3 安全协议

安全协议是许多分布式系统安全的基础，是电子商务系统运行的安全通信标准。目前国际上流行的电子商务所采用的协议主要包括以下四个方面。

1．电子支付协议

电子支付协议是指在电子交易过程中实现交易各方支付信息正确、安全、保密地进行网络通信的规范和约定。这些协议分为不同的类型。一方面，对应不同的支付工具，有不同的协议，例如，基于银行卡的支付协议、基于支票的支付协议以及基于电子货币的支付协议；另一方面，对应TCP/IP的各层也有不同的安全协议。

目前在电子支付中常用的安全协议有：安全套接层协议（Secure Sockets Layer，SSL）和安全电子交易协议（Secure Electronic Transaction，SET）。SSL协议提供的服务有认证用户和服务器；确保数据发送到正确的客户机和服务器；提供数据加密防止数据中途被窃取；维护数据的完整性，确保数据在传输过程中不被改变。SET协议是以银行卡为基础进行在线交易的安全标准，为交易涉及的各方之间提供安全的通信信道服务；通过采用公钥密码体制和X.509数字证书标准信任服务；提供交易各方信息的机密性服务。

2．安全超文本传输协议（S-HTTP）

超文本传输协议（Hypertext Transfer Protocol，HTTP）是一种详细规定了浏览器和万维网服务器之间互相通信的规则，按照特定的方式，浏览器与服务器之间通过该协议传送相关数据。

安全超文本传输协议（Secure Hypertext Transfer Protocol，S-HTTP）是一种结合HTTP而设计的安全通信协议。S-HTTP能与HTTP信息模型共存，并易于与HTTP应用程序相整合。不仅为HTTP客户机和服务器提供了多种安全机制，而且为客户机和服务器提供了相同的性能（同等对待请求和应答，也同等对待客户机和服务器），同时维持了HTTP的事务模型和实施特征。

S-HTTP客户机和服务器能与某些加密信息格式标准相结合，支持多种兼容方案并且与HTTP相兼容。使用S-HTTP的客户机能够与没有使用S-HTTP的服务器连接，反之亦然。S-HTTP不需要客户端公用密钥认证（或公用密钥），但它支持对称密钥的操作模式，支持端对端安全事务通信。S-HTTP还提供了完整且灵活的加密算法、模态及相关参数。

3．安全电子邮件协议

安全电子邮件协议（PEM）是指通过网络发送信件通信的规范和约定。安全多媒体Internet邮件扩展协议S/MIME，主要用于保障电子邮件的安全传输。例如，微软的Outlook Express使用该协议，采用数字标识、数字凭证、数字签名以及非对称密钥系统等技术，构成一种签名加密的邮件收发方式。

4．Internet EDI协议

还有用于公对公交易的Internet EDI（UN/EDIFACT）协议，它将贸易、运输、保险、银行和海关等行业的信息，用一种国际公认的标准格式，形成结构化的事务处理的报文数据格式，通过计算机通信网络，使各有关部门、公司与企业之间进行数据交换与处理，并完成以贸易为中心的全部业务过程。

此外，也可以在Internet上建设虚拟专网，利用VPN为企业、政府提供一些基本的安全服务，如企业、政府间的公文、报表传送、电子报税业务等。这些协议分别在不同的协议层上进行，在Internet上提供安全的电子商务服务。

1.3.4 PKI技术

PKI（Public Key Infrastructure）是利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。它为电子商务、电子政务、网上银行证券等提供一整套安全基础平台。

PKI采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息捆绑在一起，在互联网上验证用户的身份。PKI把公钥密码和对称密码结合起来，在互联网上实现密钥的自动管理，保证网上数据的机密性、完整性。

PKI的核心元素是数字证书，核心执行者是认证机构。数字证书服务的应用和实施是广泛开展电子商务的前提，电子商务的深入开展离不开数字证书技术和认证机构的正确督导。