4.电子商务安全的基本要求

第一、确定贸易伙伴身份的真实性；

第二、确保信息的保密性，如怎样保证用户的信用号不被窃取，如何保证货源定单等信息不被竞争对手获悉等；

第三、保证电子定单等信息的真实性(未被冒充)以及在传输过程中未被篡改；

第四、保证电子定单等信息的不可否认性，即交易的任何一方在未经对方同意的情况下都不能出尔反尔；

第五、在交易双方发生纠纷时能得到合理的仲裁和解决5.2电子商务安全的实现技术网络安全中所包括的安全技术众多，在电子商务中主要应用了网络隔离、数据加密和身份认证等技术。

5.2.1网络隔离

根据功能、保密和安全要求的不同将网络进行分段隔离，细化安全控制体系，将攻击和入侵造成的威胁分别限制在较小的子网内，从而提高网络整体的安全水平。路由器、虚拟局域网（VLAN）、防火墙是当前采用的主要的网络分段手段。防火墙根据网络安全水平和可信任关系将网络划分成一些相对独立的子网，依据既定的安全策略对两侧间的通信进行检查控制，允许特定的用户与数据包穿过，同时隔断非法用户及数据包，从而保护高安全等级的子网，防止“墙”外黑客的攻击，限制入侵蔓延等目的。但防火墙并不是万能的，它在很多方面存在弱点。比如,它无法防止来自防火墙内部攻击，对各种已识别攻击类型的防御有赖于正确的配置，对各种最新攻击类型的防御，取决于防火墙知识库更新的速度和相应的配置更新的速度。同时，防火墙的使用常常会引起网络安全管理的松懈。

5.2.2数据加密技术与数字签名

数据加密技术思想是在加密密钥Ke的控制下按照加密算法E对要保护的数据（即明文M）加密成密文C，记为C＝E（M，Ke）。解密是在解密密钥Kd的控制下按照解密算法D对密文以进行反变换后还原为明文M，记为M＝D（C，Kd）。根据密钥性质的不同，可分为传统密码体制和公开密码体制两大类型。传统密码体制采用对称加密算法，加密解密用一个密钥，即Ke＝Kd。对称加密算法最常用的一种方式资料加密标准（DES）。而公开钥密码体制采用非对称加密算法，使用一对密钥即一个私钥和一个公钥，其对应关系是唯一的，公钥对外公开，私钥个人秘密保存。一般用公钥来进行加密，用私钥来进行签名；同时私钥用来解密，公钥用来验证签名。非对称加密算法常见的有RSA、DSA等。数字签名就是信息发送者用其私钥对从所传报文中提出的特征数据或称数字指纹进行算法解密运运算操作，得到发信者对该数字指纹的签名函数H(m）。签名函数H（m）从技术上标识了发信者对该电文的数字指纹的责任。因为发信者的私钥只有他本人才有，所以他一旦完成了签名便保证了发信人无法抵赖曾发过该信息（即不可抵赖性）。经验无误的签名电文同时也确保信息报文在经签名后被篡改（即完整性）。当信息接收者收到报文后，就可以用发送者的公钥对数字签名的真实性进行验证。算法的加密强度主要取决于选定的密钥长度。

5.2.3身份认证技术

主要利用RSA算法在密钥自动管理、数字签名、身份识别等方面的特性，建立的一个为用户的公开密钥提供担保的可信的第三方认证系统，称之为CA。CA为用户发放电子证书，用户之间利用证书来保证安全性和双方身份的合法性。

5.2.4SSL协议和SET协议

SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和加密密钥的用于浏览器和Web服务器之间的安全连接技术。它在应用层收发数据前，协商加密算法、连接密钥并认证通信双方，从而为应用层提供了安全的传输通道；在该通道上可透明加载任何高层应用协议以保证应用层数据传输的安全性。SSL协议独立于应用层协议，且被大部分的浏览器和Web服务器所内置，便于在电子交易中应用，因此，在电子交易中被用来安全传送信用卡号码。国际著名的CyberCash信用卡支付系统就支持这种简单加密模式，IBM等公司也提供了这种简单加密模式的支付系统。但SSL协议它是一个面向连接的协议，在涉及多方的电子交易中，只能提供交易中客户与服务器间的双方认证，而电子商务往往是用户、网站、银行三家协作完成，SSL协议并不能协调各方间的安全传输和信任关系。因此，为了实现更加完善的电子交易，制订发布了SET协议。SET协议是目前唯一保证信用卡信息能安全可靠地通过因特网传输的新协议。它为在Internet上进行安全的电子商务活动提供了一个开放的标准，为Internet上支付交易提供高层的安全和反欺诈保证。SET协议为基于信用卡进行电子交易的应用提供了安全措施，保证了电子交易的机密性、数据完整性、身份的合法性和抗否认性。SET是专门为电子商务而设计的协议，它在很多方面优于SSL协议，但也存在不能解决电子商务所遇到的全部问题。

6.结束语

电子商务安全技术是具有很强对抗性的敏感技术。在看到其将不断遇到来自方方面面的新的威胁的同时，更要看到其大幅度提高社会经济效率的主导作用，在注重安全的基础上大力发展电子商务。国内重点要努力在一些基础性、关键性技术上取得突破，不断提高安全保障能力，为电子商务发展创建良好的安全环境。