电子商务的安全技术与安全因素

1、 前言当今社会，电子商务已经在很大的程度上改变着人类的思维模式和原有的商业模式。电子商务概念已经深入人心，并成为企业和社会发展的大势所趋。从事电子商务营销的企业已在世界经济领域崭露头角，各国政府对这一市场也很重视，对于电子商务中的信息交互安全，交易体制也在不断的维护和完善。电子商务的发展，网上银行，网上合同，电子签名等的应用越来越广泛，这些给我们生活带来便利的同时带来的安全隐患也时刻影响着我们。就现阶段，对于进一步的发展电子商务，以便更好的应用电子晌午，所面临的最大问题就是如何保障电子商务过程中的安全性，交易的安全是网络经济的基础。所以我们只有解决好了一系列的安全问题，才能使电子商务在我国乃至

2、在全球更稳定的快速发展。第一章 电子商务面临的安全 电子商务是基于互联网来实现的一种经济模式，它作为一种全新的商务的模式为全世界用户提供了丰富的商业信息和便捷的交易方法。但就是在电子商务给我们提供了大量方便的同时他的安全问题也时刻影响着我们。 众所周之，电子商务是通过计算机网络来实现的。近几年来计算机的安全问题早已令人们担忧，不少人的电脑都曾受到病毒，黑客的攻击，它可能使你辛苦存的文件被删除，使你的电脑死机，崩溃。关于网络安全问题，来自网络黑客的攻击越来越多，许多企业网站时有被黑，令电脑使用者防不胜防。大量的事实说明，要使电子商务的快速和稳定的发展，其安全隐患不容忽视。电子商务的安全问题也决不

3、是一堵防火墙，一个电子签名就能轻松解决的问题，它包括了许多方面的问题。安全是电子商务交易中的致命所在，因为它包含的不仅仅个人资金的安全，商家货物和商业秘密的安全，它更包括了国家经济安全，国家经济秩序的稳定。一个没有安全的电子商务就是一个豆腐渣工程，是没有人敢用的经济模式。下面我们简单的介绍下电子商务面临的安全问题。1.1 身份识别问题 在电子商务的交易中，交易双方可能从未见面，大家都是互联网上的两个用户，对其身份了解不像传统交易模式中好确认。如果不进行身份识别，第三方人可能冒充交易者来破坏交易或者冒充一方进行交易。黑客为了获取交易双方的商业秘密，资金等信息，常常采用源IP地址欺骗攻击。入侵者伪

4、装成源自一台内部主机的一个外部地点传送信息包（这些信息包中包含有内部系统的IP地址），在E-mail服务器使用报文传输代理（message transfer agent,MTA）中冒名他人，窃取信息。进行身份识别后，双方可以不必担心交易被骗同时减少交易过程中的疑虑，增加安全度。1.2 信息保密问题 80年代对信息安全理解为信息保密，90年代认识到除了保密以外，还有完整性，还有系统的可用性。在电子商务交易的过程中有信息泄露和信息被篡改的问题，信息泄露包括两个方面；交易双方的信息被第三方窃取，一方传给另一方的文件信息被第三方非法使用。信息被篡改就使交易过程中的文件失去了完整性和真实性。1.3 信息

5、传递问题 信息在网络上传递时，要经过多个环节和渠道。由于计算机技术发展的迅速，原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。计算机病毒的侵袭、“黑客”的非法侵入、线路窃听等很容易使重要数据在传递过程中泄露，从而威胁电子商务交易的安全。另外各种外界的物理性干扰，如通信线路质量较差、地理位置复杂、自然灾害等，都可能影响到数据的真实性和完整性。 第二章 电子商务的安全技术和安全因素电子商务的开展在安全方面上还存在很多问题。面对电子商务中形形色色的安全漏洞，我们必须要采取相应的方法来保障电子商务活动的安全进行。安全问题是企业应用电子商务最担心的问题，而如何保障电子商务活动的

6、安全，将一直是电子商务的核心研究领域。下面就着重探讨电子商务的安全技术。2.1 防火墙技术防火墙是在内部网与外部网之间实施安全防范的系统，可被认为是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。应给予特别注意的是，防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源，这种安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有

7、全面的安全策略，那么防火墙就形同虚设。实现防火墙技术的技术包括四大类：网络级防火墙，应用级网关，电路级网关和规则检查防火墙。1；网络级防火墙：网络级防火墙一般是基于源地址和目的地址，应用或协议以及每个IP包的端口来作出通过与否的判断。它可以动态检查流过的TCP/IP报文头，检查报文头中的报文类型，源IP地址，目的IP地址，源端口，协议端口等，把信息同规则表进行比较，在规则表中定义的各种规则来表明是否同意或拒绝包的通过。包过滤型防火墙检查每一条规则直至发现包中的信息与某规则相符，如果没有一条规则相符合，防火墙将丢弃该包。2；应用级网关：应用级网关也叫代理服务器，它隔离在外部网与内部网之间，内外不

8、能直接交互数据，数据交换由代理服务器“代理”完成。代理服务器比单一的包过滤型防火墙更为可靠，内部客户感觉不到他的存在，可以自由访问外部站点，代理服务器对提供的服务会产生一个详细的记录，如果发现非法入侵会及时报警，这一点非常重要。3；电路级网关：电路级网关又称线路及网关，它工作在会话层。它在两个主机首次建立TCP连接时创立一个电子屏障。它作为服务器接受外来请求，转发请求：与被保护的主机连接时则担当客户机角色，起代理服务的作用。电路级网关的安全性比较高，但它仍不能检查应用层的数据包以消除应用层攻击的威胁。4；规则检查防火墙：该防火墙结合了网络级防火墙，应用级网关，电路级网关的特点。它同包过滤防火墙

9、一样，规则检查放火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也像电路级网关一样，能够检查相连接主机所交换的数字信息是否逻辑有序。当然它也能像应用级网关一样，OSI应用层上减产数据包的内容，查看这些内若能够是否符合公司网络的安全规则。防火墙技术的优点很多，一是通过过滤不安全的服务，极大地提高网络安全和减少子网中主机的风险；二是可以提供对系统的访问控制；三是可以阻击攻击者获取攻击网络系统的有用信息；四是防火墙还可以记录与统计通过它的网络通信，提供关于网络使用的统计数据，根据统计数据来判断可能的攻击和探测；五是防火墙提供制定与执行网络安全策略的手段，它可以对企业内部网实现集中的

10、安全管理。防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击；二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制，因此可能受到黑客的攻击；三是防火墙不能保证数据的秘密性，不能对数据进行鉴别，也不能保证网络不受病毒的攻击。2.2 虚拟专用网络虚拟专用网络是用于Internet电子交易的一种专用网络，它可以在两个系统之间建立安全的通道，是目前相对而言最适合进行电子商务的形式。在虚拟专用网络中交易的双方比较熟悉，而且彼此之间的数据通信量很大。只要交易双方取得一致，在虚拟专用网络中就可以使用比较复杂的专用加密和认证技术，这样就可以大大提高电子商务的安全。2.3 数据加密技术数据加密

11、技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行数据加密来保障其安全性。所谓加密，就是将有关信息进行编码。使它成为一种不可理解的形式。加密后的内容叫做密文。加密技术能避免各种存储介质上的或通过internet传诵的敏感数据被侵袭者窃取。这是一种主动安全防御策略，用很小的代价即可为信息提供相当大的安全保护。一般的数据加密是采用数学方法对原始信息进行在组织，使的加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字，而对于合法接收者来说，因为掌握正确的密钥，可以通过解密过程得到原始的数据。如果按长收发双方的密钥是否相同来分类，可以将加密技术分成为对称密钥加密技术和非对称密钥加

12、密技术。对称密钥加密技术对称密钥加密技术利用一个密钥对数据进行加密，对方接受到数据后，需要用同一密钥来进行解密。对称加密系统早在20世纪70年代就开始在商业网络中运用了，其特点是数据的发送方和接收方使用的是同一把私有密钥，即把明文加密成密文和把密文解密成明文用的是同一把私有密。对称密钥加密技术中最具有代表性的算法是IBM公司提出的DES算法。加密过程如下图： DES主要是利用交乘加解密器的设计原理。数据加密的技巧，就是将原始数据打散打乱，让别人很难组合起原始数据，相对也就能提高保密的效果。DES方法的加密可分为16回合，每一个回合都将上一个回合打散的数据在打散依次，每一回合相当于在原始数据上加

13、了一把锁，最后总共加了16把锁。锁加的越多，相对于保密性就越高，这也就是交乘加解密器的原理。密钥明文密文加密internet密钥密文明文解密 图 对称加密技术DES解密过程和加密过程相似，但生成16个密钥的顺序正好相反。尽管在破译DES方面取得了许多进展，但至今仍未能找到比穷举搜索法更有效的方法。1997年1月，美国RSA数据安全公司的其安全年会上举办了一个密钥挑战竞赛，曾悬赏1万美圆破译长度为56Bit的DES算法。美国克罗拉多州的一个程序员用了96天的时间，在internet数万名志愿者的协同工作下，成功的找到了DES的密钥，获得了RSA公司办法的1万美圆的奖励。这一事件表明依靠inter

14、net的分布式计算能力，用穷举搜索法译DES已成为可能，从而使人们认识到随着计算机能力的增长，必须相应的增加算法的密钥的长度。DES实现容易，使用方便，最主要的优点在于加密速度快，其主要的弱点在于密钥数量大，管理困难，密钥的传输过程必须绝对的安全，一旦密钥泄露则直接影响到信息的安全性。 对称密码技术的主要缺陷是通信双方在进行通信之前需要通过一个安全信道事先交换密钥，这在实际应用中通常是非常困难的。如果事先约定密钥，则进行网络通信的每个人都要保留其他人的密钥，这将是密钥管理变的非常困难。 非对称密钥加密技术 非对称密钥技术又叫公开密钥技术。这种算法需要采用两个在数学上相关的密钥对-公开密钥和私有

15、密钥来对信息进行加解密。 公开密钥加密技术是在1976年由斯坦福大学的Whitfield Diffie和Martin Hellman提出来的。与对称加密系统相比，公开密钥加密技术需要使用一对相关的密钥：一个用来加密，另一个用来解密。该技术的设想是，密钥对是与相应的系统联系在一起的，其中私有密钥是由系统所保密持有的，而公开密钥则是公开的，但知道公开密钥并不能推断出私有密钥。在公开的密钥系统中，加密密钥是公开的，加密算法和解密算法也是公开的，只有解密密钥是需要保密的。用加密密钥对明文加密后，在用解密密钥解密，即可恢复明文。而且加密也解密的运算是可以对调的，加密密钥不能用来解密。交易双方利用该方案实

16、现机密信息交换的过程如下：1， 交易方甲生成一对密钥，将其中的一把作为公开密钥向其他交易方公开。2， 得到了公开密钥的交易乙方使用该密钥对机密信息进行加密后在发送给交易方甲。3， 交易方甲在用自己保存的另一把私有密钥对加密后的信息惊醒解密。4， 交易方甲只能用私有密钥解密由其公开密钥加密后的任何信息。RSA(即Rivest, Shamir Adleman)算法是非对称加密领域内最为著名的算法,但是它存在的主要问题是算法的运算速度较慢，产生的密钥很麻烦，最快的情况DES也比其快上100倍，所以这种技术一般只用于少量信息加密。 国际数据加密算法 国际数据加密算法IDEA是瑞士的著名学者提出的。它在

17、1990年正式公布并在以后得到增强。这种算法是在DES算法的基础上发展出来的，类似于三重DES。发展IDEA也是因为感到DES具有密钥太短等缺点，已经过时。IDEA的密钥为128位，这么长的密钥在今后若干年内应该是安全的。类似于DES，IDEA算法也是一种数据块加密算法，它设计了一系列加密轮次，每轮加密都使用从完整的加密密钥中生成的一个子密钥。与DES的不同处在于，它采用软件实现和采用硬件实现同样快速。由于IDEA是在美国之外提出并发展起来的，避开了美国法律上对加密技术的诸多限制，因此，有关IDEA算法和实现技术的书籍都可以自由出版和交流，可极大地促进IDEA的发展和完善。但由于该算法出现的时

18、间不长，针对它的攻击也还不多，还未经过较长时间的考验。因此，尚不能判断出它的优势和缺陷。2.4 认证技术 信息认证的目的 信息的认证是安全性的很重要的一个方面，信息的认证包括以下几个方面：1， 可信性，信息的来源是可信的，是指接收信息者能够确认所获得的信息不是由冒充着所发出的。2， 完整性，要求信息在传送过程中保持其完整，指信息接收者能够确认所获得的信息在传输过程中没有被修改，延迟和替换。3， 不可抵赖性，要求信息的发送者不能否认自己所发出的信息，同样，信息的接收者不能否认已受到的信息。4， 访问控制，拒绝非法用户访问系统资源，合法用户只能访问系统的授权和指定的资源 数字签名数字签名（Digi

19、talSignature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。在书面文件上签名是确认文件的一种手段，其作用有两点，一是因为自己的签名难以否认，从而确认文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处，也能确认两点，一是信息是由签名者发送的，二是信息自签发后到收到为止未曾做过任何修改。这样，数字签名就可用来防止：电子信息因易于修改而有人作伪；

20、冒用别人名义发送信息；发出（收到）信件后又加以否认。广泛应用的数字签名方法有RSA签名、DSS签名和Hash签名三种。RSA的最大方便是没有密钥分配问题。下面我将简单介绍下这三种签名方法。RSA签名，简化的数字签名技术使用了像RSA这样的可逆的公开密钥加密系统，其数字签名过程中运用了消息的验证模式。签名过程如下：1，发送方用自己的私有密钥对要发送的信息进行加密，形成数字签名；2，发送方将数字签名附加在消息后通过网络传送给接收方；3，接收方用发送方的公开密钥对接收到的签名信息进行解密，得到信息明文；4，接收方将解密得到的消息与接收到的消息进行比较，若两者相同，则说明消息未被篡改过。简化的RSA数

21、字签名过程如图所示 发送方 传递的消息 接收方 消息消息 公钥私钥解密预期的消息签名消息加密密签名 图 RSA数字签名过程 若相同，则签名有效在这一过程中，消息的发送方以验证模式用RSA生成加密的信息，也就是说，加密密钥是发送方的私人密钥。加密后的信息附加在明文上一起传送出去，在接收方那里，接收方必须要知道相应的解密密钥，即发送方的公开密钥，才能用这把密钥来解密经加密后的信息，并将解密后的信息与明文作比较。如果两者相同，则接收方就能确信发送方确实拥有加密密钥，同时还可以确信在传输的过程中消息未被篡改过。DSS数字签名，DSS数字签名是由美国国家标准化研究院和国家安全局共同开发的。由于它是由美国

22、政府颁布实施的，主要用于与美国政府做生意的公司，其他公司则较少使用，它只是一个签名系统，而且美国政府不提倡使用任何削弱政府窃听能力的加密软件，认为这才符合美国的国家利益。Hash签名，Hash签名是最主要的数字签名方法，也称之为数字摘要法（Digital Digest）或数字指纹法（Digital Finger Print）。它与RSA数字签名是单独的签名不同，该数字签名方法是将数字签名与要发送的信息紧密联系在一起，它更适合于电子商务活动。将一个商务合同的个体内容与签名结合在一起，比合同和签名分开传递，更增加了可信度和安全性。数字摘要（Digital Digest）加密方法亦称安全Hash编码

23、法（SHA：Secure Hash Algorithm）或MD5（MD Standard For Message Digest），由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹（Finger Print），它有固定的长度，且不同的明文摘要必定一致。这样这串摘要使可成为验证明文是否是“真身”的“指纹”了。山东大学信息安全所所长王小云博士说：理论上来讲，经过HASH函数产生的指纹，原始数据即使只改变一位，其产生的“指纹”也会截然不同。如果能找到HASH函数的碰撞，就意味着两个不同的文件可以产生相同的“指纹”，这样就可

24、以伪造签名。数字时间戳交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS：digital time-stamp service)就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供。时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：）需加时间戳的文件的摘要(digest)，）DTS收到文件的日期和时间，）DTS的数字签名。时间戳产生的过程为：用户首先将需要加时间戳的文件用H

25、ASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。由Bellcore创造的DTS采用如下的过程：加密时将摘要信息归并到二叉树的数据结构；再将二叉树的根值发表在报纸上，这样更有效地为文件发表时间提供了佐证。注意，书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由认证单位DTS来加的，以DTS收到文件的时间为依据。因此，时间戳也可作为科学家的科学发明文献的时间认证。 数字信封数字信封是数据加密技术的又一类应用，信息发送端用接收端的公钥，将一个通信密钥加密后传送到接收端，只有指定的接收端才能打开信封

26、，取得秘密密钥，用它来解开传送来的信息。数字信封技术可以保证接收方的唯一性。即使信息在传送途中被监听或截获，由于第三方并没有接收方的密钥，也不能对信息进行正确的解密。 数字证书数字证书也叫数字凭证。数据证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。数字证书的内部格式是由CCITT X.509国际标准所规定的，它包含了以下几点：1，凭证拥有者的姓名。2， 凭证拥有者的公共密钥。3， 公共密钥的有效期。4， 颁发数字凭证的单位。5， 数字凭证的序列号（Serial number）。6， 颁发数字凭

27、证单位的数字签名。数字证书通常分为三种类型，即个人证书，企业证书，软件证书。个人证书（PersonalDigital）为某一个用户提供证书，帮助个人在网上安全操作电子交易。个人数字证书是向浏览器申请获得的，认证中心对申请者的电子邮件地址、个人身份及信用卡号等核实后，就发给个人数字证书，并安置在用户所用的浏览器或电子邮件的应用系统中，同时也给申请者发一个通知。企业证书，就是服务器证书（ServerID），是对网上服务器提供的一个证书，拥有Web服务器的企业可以用具有证书的Internet网站（WebSite）来做安全的电子交易。软件证书通常是为网上下载的软件提供证书，证明该软件的合法性。对于一个

28、大型的应用环境，人证中心往往采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。2.5 电子商务交易安全协议 安全套接层协议安全套层协议（secure sockets layer），英语缩写为SSL协议，它是由网景（Netscape）公司1994年推出的一种安全通信协议，是对计算机之间整个会话进行加密的协议，提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器，用以完成需要的安全交易操作。在SSL中

29、，采用了公开密钥和私有密钥两种加密方法。SSL安全协议主要提供三方面的服务。一是用户和服务器的合法性保证，利用证书技术和可靠的第三方CA，可以让客户机和服务器相互识别对方身份。为了验证证书持有者是其合法用户，SSL要求证书的持有者在握手时相互交换数字证书，通过验证来保证对方身份的合法性；二是加密数据以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥，也有公开密钥，在客户机和服务器交换数据之前，先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术，以保证其机密性与数据的完整性，并且经数字证书鉴别；三是维护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供完整的

30、信息服务，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。 安全电子交易协议 安全电子交易协议（SecureElectronicTransactions），英语缩写为SET协议，它是由是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。SET是一个非常复杂的协议，因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息

31、的规则。在基于SET的电子商务交易系统中，主要包括的参与者有：持卡者，它是指付款卡在网络上实现支付的用户，按照在线商店的要求填写定货单，用发卡银行的信用卡付款。发卡银行，它是指发行信用卡给给持卡者的信用机构，并在持卡者申请SET数字证书时，对持卡者进行核实。在线商店，它是指在网络上提供商品销售服务的服务提供者，提供商品或服务，具备使用相应电子货币的条件。收单银行，通过支付网关处理消费者与在线商店之间的交易付款。支付网关，它主要实现支付信息从internet到银行内部网络的转换，并对商家和持卡者进行认证。CA认证中心，它是基于SET电子商务体系结构中，负责确认交易对方的身份和信誉度，以及对消费者

32、的支付手段认证。SET协议在安全性上的体现只要在于，它保证电子商务参与者信息的相互隔离，客户的资料加密或打包后通过商家到达银行，但商家不能看到客户的帐号信息；它保证信息在internet上安全传输，防止信息数据被黑客或者内部人员窃取；它解决了多方的认证问题，不仅要消费者的信用卡认证，而且要对在线商店的信誉度认证；它保证网上交易的实时性，所有的支付过程都在线完成的。安全超文本传输协议 安全超文本传输协议（Secure HyperTextTransferProtocol），英语缩写为S-HTTP。它依靠密钥的加密，保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充，增

33、加了报文的安全性，是基于SSL技术的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。 安全交易技术协议 安全交易技术协议（Secure Transaction Technology），英语缩写STT协议。是由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。 安全协议的现状和展望SSL协议是国际上最早应用电子商务的一种网络安全协议，在一些发达国家有许多网上商店至今仍在使用。在美国几乎所有提供安全交易的在线网址都是靠网景公司的SSL提供安全交易，SSL保护使用公钥编码方案传输的数据。但是SSL运行的基点是商家对客户信息保密的承诺。缺乏

34、客户对商家的认证，在认证交易双方方面几乎无能为力。但由于电子商务现在处于早期发展阶段，使用电子商务的公司一般是大型企业，其信用度较高。这样随着电子商务的发展和推广，电子商务的厂商也会大幅度增加，对厂商认证的问题就会越来越突出，SSL的缺点也就暴露出来了。SET协议被称为电子商务商家免受欺骗的法宝，因此得到许多电子商务软件厂商的支持。在是在国际上处于试用阶段，并无成熟的应用。其原因也是多方面的，银行不会为在线信用卡欺骗付费，而商家缺乏推动SET的动机。目前已经有34个国家的150家金融机构参与制订了SET试用方案，相信不远的将来SET将在基于internet上的电子支付占主导地位。2.6 基于生

35、物特征的验证 生物测定验证利用个人的某些生物特征或行为特征来电子化地验证其身份。生物测定阅读器测量生理特征，并将测得的数值与规定值进行比较。但这种方法与密码不同，当在像因特网这样的不安全系统中进行通信时，它并没有保护信息的能力。常用的生物测定技术包括：指纹识别，声音识别，书写识别，面容识别，视网膜扫描，手形识别。尽管一些生物测定技术具有独特的特性，使得它们非常适合于某些特定范围内的应用，但这种应用范围是非常狭小的，就生物测定技术本身，它们是不足以在保障电子商务的安全中全面充当基本验证方法的因为其安全性的强度和范围都是非常有限的。所以，一般当需要对身份进行特别强的验证时，可以利用生物测定技术来充

36、当基本验证方法的补充，如充当对于数字签名验证时的补充。其实，生物测定技术的应用等价于使用专门的口令，只是这类口令与常规的口令不同，其他人是不能使用的。 第三章 影响电子商务的社会因素 电子商务是一种经济模式，它关系到人们的生活经济和国家的经济发展。所以电子商务的安全建设不仅仅要靠高超的技术手段，而且还要有一个良好的政治法律的保障。需要有相应的法律法规来引导和维护。 3.1 电子商务安全的法律保障体系 主要国家电子商务立法概况 美国电子商务的发展状况代表了世界电子商务发展的前沿水平。1994年1月美国宣布实施国家信息基础设施计划，1997年7月颁布全球电子商务纲要，正式形成美国政府系统话电子商务

37、发展政策和立法规则。全国统一州法委员会于1999年7月通过了统一电子交易法，已经被大多数罩批准生效。2000年9月全国统一州法委员会发布了统一计算机信息交易法，并向各州推荐采纳。 我国电子商务立法概况随着电子商务进程的发展，围绕电子商务的地方规章制定工作也一直在进行，其内容从电子商务经营的工商登记备案，证券等特殊行业的登记许可到CA认证管理，电子商务安全管理等，为我国电子商务发展的政策的完善作出了贡献。地方性的电子商务立法方面，最具有代表性的就是2021年12月6日，广东省颁发了广东省电子交易条例，这是我国第一部直接涉及电子商务交易的地方性法规。2000年4月，北京市工商行政管理局发布了北京市

38、工商管理局网上经营行为备案的通告，意在将在线经营行为纳入工商管理渠道。2022年5月，北京市工商行政管理局又发布了关于网络广告经营者的经营资格进行规范的公告，针对网络广告的现状，对北京网络广告经营者的经营资格作出规范。2021年8月，信息产业部发布了中国互联网络域名管理办法，该办法对于保障中国互联网络域名系统安全运行，规范中国互联网络域名系统具有极为重要的作用。3.2 电子商务安全的人文因素 前面已经提到电子商务的安全是制约电子商务发展的关键因素，在不断提供技术手段来保障安全体系的同时，我们社会政府乃至每个人也都应该加强对电子商务信息安全的对策。 加快网络安全专业人才的培养 我国需要大批信息安

39、全人才来适应新的网络安全保护形势。高素质的人才只有在高水平的研究教育环境中迅速成长，只有在高素质的队伍保障中不断提高。应该加大对有良好基础的科研教育基地的支持和投入，多出人才，多出成果。在人才培养中，要注重加强与国外的经验技术交流，及时掌握国际上最先进的安全防范手段和技术措施，确保在较高层次上处于主动。要加强对内部人员的网络安全培训，防止堡垒从内部攻破。 加强网络安全管理 我国网络安全管理除现有的部门分工外，要建立一个具有高度权威的信息安全领导机构。只有在中央建立起这样一个组织，才能有效地统一、协调各部门的职能，研究未来趋势，制定宏观政策，实施重大决定。对于计算机网络使用单位，要严格执行中华人

40、民共和国计算机信息系统安全保护条例与计算机信息网络安全保护管理办法，建立本单位、本部门、本系统的组织领导管理机构，明确领导及工作人员责任，制定管理岗位责任制及有关措施，严格内部安全管理机制。具体的安全措施如：把好用户入网关、严格设置目录和文件访问的权限，建立对应的属性措施，采用控制台加密封锁，使文件服务器安全可靠；用先进的材料技术，如低阻材料或梯性材料将隔离设备屏蔽起来，降低或杜绝重要信息的泄露，防止病毒信息的入侵；运用现代密码技术，对数据库与重要信息加密；采用防火墙技术，在内部网和外部网的界面上构造保护层。提高对网络信息安全重要性的认识 信息技术的发展，使网络逐渐渗透到社会的各个领域，在未来

41、的军事和经济竞争与对抗中，因网络的崩溃而促成全部或局部的失败，决非不可能。我们在思想上要把信息资源共享与信息安全防护有机统一起来，树立维护信息安全就是保生存、促发展的观念。我国公民中的大多数人还是“机盲”、“网盲”，另有许多人仅知道一些关于网络的肤浅知识，或仅会进行简单的计算机操作，对网络安全没有深刻认识。应该以有效方式、途径在全社会普及网络安全知识，提高公民的网络安全意识与自觉性，学会维护网络安全的基本技能。建立网络风险防范机制 网络建设与经营中，因为安全技术滞后、道德规范苍白、法律疲软等原因，往往会使网络经营陷于困境，这就必须建立网络风险防范机制。为网络安全而产生的防止和规避风险的方法有多

42、种，但总的来讲不外乎危险产生前的预防、危险发生中的抑制和危险发生后的补救。有学者建议，网络经营者可以在保险标的范围内允许标保的财产进行标保，并在出险后进行理赔。建设网络安全研究基地 应该把我国现有的从事信息安全研究、应用的人才很好地组织起来，为他们创造更优良的工作学习环境，调动他们在信息安全创新中的积极性。一是要落实相关政策，在收入、福利、住房、职称等方面采取优惠政策；二是在他们的科研立项、科研经费方面采取倾斜措施；三是创造有利于研究的硬环境，如仪器、设备等；四是提供学习交流的机会。 结论 做为一种全新的商务模式，电子商务将对人类的生产，生活带来重要的影响。电子商务技术是电子商务赖以生存的基础

43、，包括计算机和网络技术，电子商务必须依赖相关的安全标准和技术标准的规范。随着电子商务的深入发展，电子商务的安全体系肯定也会更完善。除了上述所介绍的手法以外，我相信会有更先进，更安全技术的技术问世。足不出户而通过Internet电子商务系统实现购物、交易和做生意将成为人们生活的新时尚。 参考文献1，杨天宇 电子商务概论 复旦大学出版社 2022年1月2，杨坚争 电子商务基础与应用 西安电子科技大学出版社 2022年9月3，张爱菊 电子商务安全技术 青华大学出版社 2022年12月4，屈武江 电子商务安全与支付技术人民大学出版社 2022年9月5，赵廷超 电子商务发展报告 重庆大学出版社 2022年2月6，胡伟雄 电子商务安全认证系统 华中师范大学出版社 2022年7月7，王 锋 电子商务交易风险与安全保障 科学出版社 2022年8月8，肖德琴 电子商务安全保密技术与应用 华南理工大学出版社 2022年9月 附录 数字签名算法，1991年8月，美国国家标准技术局（NIST）发布了其所提议的数字签名标准（DSS），向社会征求意见，该标准定