電子商務(wù)是Internet爆炸式發(fā)展的直接產(chǎn)物，是網(wǎng)絡(luò)技術(shù)應(yīng)用的全新發(fā)展方向�，F(xiàn)階段推動電子商務(wù)面臨的最大問題是如何保障電子商務(wù)過程中的安全性，交易的安全是網(wǎng)上貿(mào)易的基礎(chǔ)和保障，同時也是電子商務(wù)技術(shù)的難點。近年來，國際上已實施和制定了一系列的方法來解決網(wǎng)上交易的安全性問題。

一、電子商務(wù)的安全控制要求概述

　　電子商務(wù)發(fā)展的核心和關(guān)鍵問題是交易的安全性。由于Internet本身的開放性，使網(wǎng)上交易面臨了種種危險，也由此提出了相應(yīng)的安全控制要求。1、信息保密性。交易中的商務(wù)信息有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務(wù)的信息傳播中一般均有加密的要求。2、交易者身份的確定性。網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家而言要考慮客戶端不能是騙子，而客戶也會擔心網(wǎng)上的商店不是一個弄虛作假的黑店。因此能方便而可靠地確認對方身份是交易的前提。3、不可否認性。由于商情的千變?nèi)f化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。4、不可修改性。交易的文件是不可被修改的，如其能改動文件內(nèi)容，那么交易本身便是不可靠的，客戶或商家可能會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。

二、電子商務(wù)安全交易的有關(guān)標準和實施方法

　　1、安全交易的雛形。在電子商務(wù)實施初期，曾采用過一些簡易的安全措施，這些措施包括：(1) 部分告知(Partial Order)：即在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)如信用卡號碼及成交數(shù)額等略去，然后再用電話告之，以防泄密。(2) 另行確認(Order Confirmation):即當在網(wǎng)上傳輸交易信息之后，再用電子郵件對交易作確認，才認為有效。(3) 在線服務(wù)(Online Service)：為了保證信息傳輸?shù)陌踩�，用企業(yè)提供的內(nèi)部網(wǎng)來提供聯(lián)機服務(wù)。以上所述的種種方法，均有一定的局限性，且操作麻煩，不能實現(xiàn)真正的安全可靠性。

　　2、安全交易標準的制定。近年來，IT業(yè)界與金融行業(yè)一起，推出不少更有效的安全交易標準。主要有:(1) 安全超文本傳輸協(xié)議(S-HTTP):依靠密鑰對的加密，保障Web站點間的交易信息傳輸?shù)陌踩�性�?2) 安全套接層協(xié)議(SSL協(xié)議:Secure Socket Layer)是由網(wǎng)景(Netscape)公司推出的一種安全通信協(xié)議，是對計算機之間整個會話進行加密的協(xié)議，提供了加密、認證服務(wù)和報文完整性。它能夠?qū)π庞每ê蛡�人信息提供較強的保護。(3) 安全交易技術(shù)協(xié)議(STT:Secure Transaction Technology)：由Microsoft公司提出，STT將認證和解密在瀏覽器中分離開，用以提高安全控制能力。(4) 安全電子交易協(xié)議(SET：Secure Electronic Transaction)：SET協(xié)議是由VISA和MasterCard兩大信用卡公司于1997年5月聯(lián)合推出的規(guī)范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。目前公布的SET正式文本涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整及數(shù)字認證、數(shù)字簽名等。這一標準被公認為全球網(wǎng)際網(wǎng)絡(luò)的標準，其交易形態(tài)將成為未來“電子商務(wù)”的規(guī)范。支付系統(tǒng)是電子商務(wù)的關(guān)鍵，但支持支付系統(tǒng)的關(guān)鍵技術(shù)的未來走向尚未確定。安全套接層(SSL)和安全電子交易(SET)是兩種重要的通信協(xié)議，每一種都提供了通過Internet進行支付的手段。

三、目前安全電子交易的手段

　　在近年來發(fā)表的多個安全電子交易協(xié)議或標準中，均采納了一些常用的安全電子交易的方法和手段。典型的方法和手段有以下幾種:

　　1、密碼技術(shù)。采用密碼技術(shù)對信息加密，是最常用的安全交易手段。在電子商務(wù)中獲得廣泛應(yīng)用的加密技術(shù)有以下兩種：(1)公共密鑰和私用密鑰(public key and private key)這一加密方法亦稱為RSA編碼法，是由Rivest、Shamir和Adlernan三人所研究發(fā)明的。它利用兩個很大的質(zhì)數(shù)相乘所產(chǎn)生的乘積來加密。這兩個質(zhì)數(shù)無論哪一個先與原文件編碼相乘，對文件加密，均可由另一個質(zhì)數(shù)再相乘來解密。但要用一個質(zhì)數(shù)來求出另一個質(zhì)數(shù)，則是十分困難的。因此將這一對質(zhì)數(shù)稱為密鑰對(Key Pair)。(2)數(shù)字摘要(digital digest)這一加密方法亦稱安全Hash編碼法(SHA：Secure Hash Algorithm)或MD5(MD Standards for Message Digest)，由Ron Rivest所設(shè)計。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數(shù)字指紋(Finger Print)，它有固定的長度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這摘要便可成為驗證明文是否是“真身”的“指紋”了。

　　2、數(shù)字簽名(digital signature)。在書面文件上簽名是確認文件的一種手段，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實;二是因為簽名不易仿冒，從而確定了文件是真的這一事實。數(shù)字簽名與書面文件簽名有相同之處，采用數(shù)字簽名，也能確認以下兩點：a. 信息是由簽名者發(fā)送的。b. 信息在傳輸過程中未曾作過任何修改。這樣數(shù)字簽名就可用來防止電子信息因易被修改而有人作偽;或冒用別人名義發(fā)送信息;或發(fā)出(收到)信件后又加以否認等情況發(fā)生。數(shù)字簽名采用了雙重加密的方法來實現(xiàn)防偽、防賴。

　　3、數(shù)字時間戳(digital time-stamp)。交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務(wù)(DTS:digital time-stamp service)就能提供電子文件發(fā)表時間的安全保護。

　　4、數(shù)字憑證(digital certificate， digital ID)數(shù)字憑證又稱為數(shù)字證書，是用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問的權(quán)限。

　　5、認證中心(CA：Certification Authority)。在電子交易中，無論是數(shù)字時間戳服務(wù)(DTS)還是數(shù)字憑證(Digital ID)的發(fā)放，都不是靠交易的雙方自己能完成的，而需要有一個具有權(quán)威性和公正性的第三方(third party)來完成。認證中心(CA)就是承擔網(wǎng)上安全電子交易認證服務(wù)、能簽發(fā)數(shù)字證書、并能確認用戶身份的服務(wù)機構(gòu)。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.nttd-wave.com.cn/

本文標題：談?wù)勲娮由虅?wù)的交易安全

本文網(wǎng)址：http://m.nttd-wave.com.cn/html/consultation/10819415397.html