安全性。也就是说,既保证了数据安全,又提高了加密和解密的速度。 (三)在线支付的安全技术。电子商务的另一个关键问题是要保证在线支付的安全,它是网上购物的重要保证。目前采用的在线支付协议有两种:安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transac-tion)协议。 SSL协议
SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(Certificate Authority,CA)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。其运行机制是: ①在建立连接过程中采用公开密钥; ②在会话过程中使用专有密钥;
③加密的类型和强度则在两端之间建立连接过程中判断决定。 采用SSL协议的电子交易过程如下:
①表示客户购买的信息首先发往商家;②表示商家再将信息转发银行;③和⑤表示银行验证客户的信息的合法性后,再通知商家和客户付款成功;④表示商家再通知客户购买成功。
这个流程有两个方面的缺点:首先,客户的银行资料信息先送到商家,让商家阅读,这样,客户银行资料的安全性就得不到保证;其次,SSL只能保证资料传递过程的安全,而传递过程是否有人截取就无法保证了。所以,SSL并没有实现电子支付所要求的保密性、完整性,而多方互相认证也很困难的。 SET协议
SET协议是一个能保证通过开放网络进行安全资金支付的技术标准。采用这种协议它主要解决了以下问题。
首先是客户资料虽然通过商家到达银行,但商家不能阅读这些资料,解决了客户资料的安全性问题;其次是协议解决了网上交易存在的客户与银行之间、客户与商家之间、商家与银行之间的多方认证问题;再其次是由于整个交易过程是建立在Intranet,Extranet和Internet的网络基础上的,保证了网上交易的实时性。 SET协议下的交易模式如下:
SET使订单信息和信用卡信息的隔离。在把包含信用卡号码信息的订单送到商家时,商家只能看到订单信息,却看不到信用卡号码信息,并且需要持卡人和商家相互认证,确定通信双方身份,一般由认证中心
为双方提供信用担保。
SET定义了一个完备的电子交易流程,较好地解决了电子交易中各方间复杂的信任关系和安全连接,确保了电子交易中信息的真实性、保密性、防抵赖性和不可更改性。但由于SET协议庞大而又复杂,银行、商家和客户均需改造才能实现互操作,使得SET协议被普遍使用还需有一个过程。在我国,大多尚处在对SSL协议的应用上,要完全实现SET协议安全支付还要有一个过程。 (3)其它安全问题
对于电子商务的安全性来讲,有了防火墙与安全协议和规范还不够,一方面,网络本身的物理差错是难以避免的;另一方面,Internet主干网和DNS服务器的可靠性,拨号连接质量与速度还不能满足人们的需求;另外,恶意代码对网络系统的威胁,单纯依赖技术是很难解决的,从某种意义上讲,依靠管理加强内部人员的安全防范意识等比安全技术更为重要。因此,要加强电子商务的安全性应从多方面入手。
三、对我国电子商务发展的几点建议
1.提高服务的安全性
电子商务飞快的发展速度,致使其安全技术和安全管理都跟不上,这已成为越来越突出的问题,但不能因为安全问题而制约了电子商务的发展,使安全成为发展的瓶颈,发展是首位的,没有发展安全就无从谈起。
2.加快网络基础设施建设和网络普及程度
发展电子商务的目的在于降低交易成本,提高交易效率,因此应积极发展高速宽带通信信道,重点建设光缆和卫星通信,同时积极利用现有通信线路发展ISDN和ADSL接入,利用有线电视线路,试验发展HFC接入网。
3.尽快完善有关网络安全等方面的法律 我国政府在《中华人民共和国合同法》中规定了以电子媒体为载体的合同具有法律约束力,对推广电子商务有很大的促进作用,但是在诸多方面还需顺应网络技术的发展而不断完善。
4.加快银行、税务以及邮政等物流环节的信息化建设步伐,建立企业到企业(BtoB)、企业到客户(BtoC)的商务沟通,实现网上资金流动,解决目前有形商品交易环节中的流通因难。 5.转变人们面对面交易的消费习惯
目前,基于Internet的电子商务应用还刚刚开始,许多方面都还不够完善,并且,我国和发达国家之间的差距很大,这就要求我们密切关注电子商务的动向,探讨电子商务中存在的技术问题,加大推广力度,以把握住网络经济时代这一良好的发展时机,让电子商务在我国经济建设中发挥它最大的作用。
参考文献: [1]尚建成.电子商务基础[M].北京:高等教育出版社,2004. [2]肖凌,李之棠.公开密钥基础设施(PKI)[J].计算机工程与应用,2002,(30).