电子商务安全机制

1、摘要随着 Intemet 的发展，电子商务已经逐渐成为人们进行商务活动 的新模式。相对于传统商务模式电子商务具有便捷、高效的特点与 优点。但目前全球通过电子商务渠道完成的贸易额仍只是同期全球贸 易额中的一小部分。究其原因，电子商务是一个复杂的系统工程。它 的实现还依赖于众多从社会问题到技术问题的逐步解决与完善。 其中 , 电子商务安全是制约电子商务发展的一个核心和关键问题。 电子商务 安全也成为各界关注和研究的热点。 电子商务安全通常分成两类， 即 制度安全、技术安全。制度安全包括支付产业链、法律保障、监督管 理机制、社会信用。技术安全是指应用系统、安全协议、安全认证、 机密技术、网络服务等；

2、目前，电子商务在经济发展中起着不可替代 的作用，所以电子商务安全的这两类问题成为研究的焦点。关键字：电子商务 B2B 制度安全 技术安全AbstractWith the development of Internet , E-commerce has gradually become a new model for business activities. Compared with the traditional business model. E-commerce has the convenient and efficient features and advantages. Howev

3、er, completion of the current global volume of trade through electronic commerce channels, is still only in world trade over the same period a small part. The reason, e-commerce is a complex system engineering. It also depends on the realization of a number of technical issues from social issues to

4、address and improve gradually. Among them, the e-commerce security is a core e-commerce development constraints and key issues. E-commerce security has become a public concern and research focus. E-commerce security is usually divided into two categories, System, including the payment chain security

5、, legal protection,supervision and management mechanism, the social credit. that is the system security, technology security. Means the application of technical security systems, security protocols, security, authentication, confidentiality, technology,network services,etc.; Currently, e-commerce in

6、 economic development plays an irreplaceable role, so the two types of e-commerce security issues become the focus of research.Keywords: e-commerce. B2B. System security. Technology Security绪论1.1 课题背景伴随着 Intemet 的蓬勃发展， 电子商务正以自身高效益、 低成本的优势， 逐步 成为新兴的商业模式和理念。我国电子商务是以B2B为主要交易模式，并且B2B 每笔交易的成交额大，交易货物规范，市场

7、大，加之现在 B2B 的平台、帐号等 条件比B2c完善，所以，目前在我国发展电子商务的主要模式是 B2B。因为B2B 电子商务模式产生于美国， 所以说我们有很多可咀借鉴的成功经验来发展这种商 务模式，但是我们也不能教条的完全照搬他人的经验， 因为发展商务要根据自身 的实际情况来决定，每个国家的经济、政策、法律、法规都不完全一样，因而发 展 B2B 电子商务要因国而异，绝不能盲从，这也是我国初期发展电子商务进入 低潮的主要原因。 近年来， 我们国家逐渐认识到了这种弊端， 所以才会有阿里巴 巴等这样成功的 B2B 电子商务模式的涌现。所以说充分的研究适合我国实际经 济情况的电子商务模式是十分必要的

8、， 也是亟待解决的问题。 这是本文所研究的 重点问题之一。虽然 B2B 电子商务有较快的发展业绩，但是这种结果并不尽人意。影响电子 商务发展的主要因素是其安全性， 安全是保证电子商务交易过程能够顺利完成的 必要条件。 由于电子商务中交易双方不见面， 将会产生许多传统商务模式中不会 出现的问题， 本质上就是交易的安全性。 当前制约电子商务发展的关键因素， 已 不仅仅是产品技术方面的问题， 更多的是出自对安全性的考虑。 只有这个问题解 决了，才能保证电子商务活动的顺利进行。 因而， 研究电子商务交易的安全性是 十分必要的， 因为这是交易成功与否的根本保障， 从某种意义上讲如果没有安全 作为交易的保

9、障，那么，电子商务将无从谈起。电子商务及其安全概述2.2 B2B 电子商务B2B 电子商务及 B2B 定义电子商务，顾名思义是指在 Internet 网上进行商务活动。其主要功能包括网 上的广告、订货、付款、客户服务和货物递交等销售、售前和售后服务，以及市 场调查分析、财务核计及生产安排等多项利用In ternet开发的商业活动。电子商务的一个重要技术特征是利用 Web的技术来传输和处理商业信息。B2B:就是企业对企业的电子商务，除了在线交易和产品展示，B2B的业务更重要的意义在于，将企业内部网，通过 B2B 网站与客户紧密结合起来，通过 网络的快速反应，为客户提供更好的服务，从而促进企业的业

10、务发展。电子商务发展趋势 据调查表明中国电子商务之所以有近年来的蓬勃发展，主要有以下三方面的巨大潜力得到了发挥:1）不断增强的中国经济以及网络建设；2）不断增长的网民数量及上网公司；3）不断提升的电子商务相关服务。电子商务的发展预期将如下图 1 所示:2.3电子商务安全现状网络与技术的局限性。人们无法从网上获得商品的直观印象和感受，搜索到 自己想要的商品并不容易，用户需要花费很多时间才能找到价格满意的商品， 网 络的使用还没有完全普及，网络交易与现实交易相比，虚拟性较强，人们对网上 交易不了解，对网上交易的可靠性持怀疑态度。商业模式的创新问题。目前我国电子商务处于对传统商业模式和海外先进经 营

11、模式的抄袭、模仿的水平上，很少有结合我国国情创新模式， 在商业模式方面 的研究较少，现行管理体制基本上是计划经济时代的产物， 条块分割，设置不合 理，协调性不够，办事效率低下、对新经济适应性较差，对电子商务发展存在阻 滞。金融体系支撑不足。电子商务的进行需要支付与结算的手段，需要有高质、 高效的金融服务及其电子化的配合，目前我国金融服务的水平和电子化程度不 高，网上支付问题很大程度上阻碍了我国电子商务发展的进程，中国金融业亟需适应全球一体化进程并加快变革步伐，改变现有的支付方式。社会化信用体系不健全。目前中国的社会化信用体系很不健全，信用心里不 健康。交易行为缺乏必要的自律和有效的社会监督。信

12、用卡的使用没有普及，现金交易仍然是主要方式，要发展电子商务，必须加速培育市场，创造比较成熟和 规范的社会信用环境，以利于传统商务向电子商务的顺利转变。企业信息化普及率低。企业的信息化程度直接关系到电子商务的基础，中国 的企业正在改制中，现代企业制度尚未普遍建立，企业信息化的进展缓慢，企业 信息化任重道远。交易的安全性。身份确认，确保电子商务记录和事务的长期完整性，防止欺 诈行为，保证业务系统的安全性，人们对于安全和保密技术不能准确理解， 对安 全和保密存在担心和疑问。配送问题。交货延误的现象经常发生，配送的费用较高，缺乏系统化、专业 化、全国性的货物配送企业，缺乏配送销售组织没有形成一套高效、

13、完备的配送 管理系统。电子商务的立法。电子证据的认定，信息的稳定性、真实性和有效性，是有 效解决电子商务中侵权， 纠纷的重要因素， 电子合同的有效性， 需要对电子合同 的数字化印章和签名的法律效力进行规范电子商务安全机制3.1. 制度安全 电子支付安全是一个社会系统工程，它需要构建一个从上到下完整的安全体 系。这个体系的具体内容包括， 完善的法律与制度、 有效的管理与组织流程以及 对风险与责任的合理分配，从而建立用户对支付的消费信心。构建安全的电子支付产业链 加强电子支付产业链的各参与方主体间的权利义务关系和风险责任分配机 制，从产业链各个环节控制风险、强化安全。消费者增强个人信息安全防范意识

14、。在安全问题上，加强支付者对身份验 证或使用密码钥匙的常规了解，通过实施防火墙技术、加密技术、认证技术、防 病毒软件即时升级来保障交易安全， 同时对专业提供网上支付服务和第三方平台 作用的企业也应有足够的认知。 在产品问题上， 当权益受到侵害后， 立即向侵权 者提示并警告， 向法律专家进行咨询， 也可以向有关部门及时投诉。 如果涉嫌诈 骗，及时报案。加快各类银行卡的发行和功能拓展，更新完善电子网络系统，增加金融电 子设备。在设备上，通过购买、租用等方式，选择并拥有诸如硬件设备、系统软 件、网络通信及银行前端等基础设施。 建立有效的管理制度， 包括对相关人员操 作权限的授权制度、 职责分离制度、

15、 外包机构的管理制度、 紧急状态应急制度和 交易数据保管制度等。电子商务企业应构建高安全性的运营支付系统，由于涉及的层面非常广， 需要在架构设计、系统稳定性设计、信息存储、保密设定等多方面采取措施。完 善的技术措施可以规避网络风险。金融监管部门和央行应当加强对电子支付平台的监督管理和检查力度，及时进行风险提示或处理。此外要对第三方支付的账户进行规范;要求第三方严格区分自有资金和中转账户资金 ;要求第三方在开户行存入保证金，一旦出现问 题，银行可以抵御风险。健全的法律保障体系 电子支付的持续发展必须有健全的法律保障体系和服务支持体系。从法律建设上看，只有电子签名法 ;在规章层面上，信息产业部出台

16、了电子认证服 务管理办法，中国电子商务行业协会推出了 网络交易平台服务规范 。电子商 务领域，尤其是电子支付方面的立法还有很大的空白地带。 政府有关部门要制定 有关数字化、 货币发行、支付与管理制度以及电子支付业务结算、 电子设备使用 等标准。此外，由于网络跨国性交易特性，除自律规范之外，更需要通过各国有 关银行或金融相关法规加以规范，给电子支付的发展提供规范明确的法律环境。 立法机关明确界定电子支付产业链各参与者的职责、 权利和义务， 明确法律判决 的依据。严格电子支付监督管理机制 加强业务监管，加强内控防范与电脑犯罪，建立健全监管法律体系，实施适 时与定期监控， 将传统的现场监管与非现场监

17、管相结合， 行业自律与金融监管相 结合，合规性监管与风险性监管相结合，创新监管手段、方式、内容，严格电子 支付监督管理机制。强化监管机制 一是设立市场准入监管。设置最低资本金限制，加强内控机制和风险管理， 针对第三方支付平台， 可采用类金融机构设置保证金机制， 积极研究电子支付保 险问题。二是加强业务内容监管， 包括强化安全技术， 界定业务范围及从业人员 的资格。三是建立相关制度。 从制度层面上进一步明确电子支付业务的准入程序 与形式、电子支付业务的审查要点，以及对业务的监管和报告要求等。建立协同监管机制 要建立人民银行、银监会、信息产业部等相关部门的协同监管机制。建立联 席会议制度， 实现信

18、息资源共享， 防范金融风险与网络金融犯罪。 涉及电子支付 及银卡市场的监管主体为央行及银监会； 央行从反洗钱、 反非法集资等金融市场 稳定的角度实施监管； 央行与信息产业部对第三方支付平台实施双重监管， 前者 维护支付清算系统稳定，后者则从信息服务市场许可制度出发。创新监管手段 监管当局除了制定具有针对性管理办法外，还应加快自身电子化建设步伐，依托先进的科技手段， 实施非现场监测， 不断适应金融监管中出现的新问题和新 情况。构建诚信的社会信用环境 电子支付的多方参与者，包括参与交易的双方、第三方支付平台、银行、商 务、工商以及其他机构， 都要承担一定的信用责任， 他们需要在一个完善的诚信 环境

19、下交易。 目前，我国已经建立起了由人民银行负责的个人征信系统、 反洗钱 监测系统、 账户管理信息系统等， 这些系统的建立有助于电子支付活动参与者的 身份确认和交易选择， 在一定程度上保障了电子支付的安全性。 这种诚信环境和 机制需要社会各方共同长期努力才能营造出来， 需要运用法律、 经济、道德等手 段提升整个社会的信用水平，构建立完善的信用环境。3.2. 技术安全B2B 电子商务支付安全体系结构 电子商务的安全控制体系结构是保证电子商务交易安全的一个完整的逻辑结 构。主要有 5 个部分组成：即网络服务层、加密技术层、安全认证层、安全协议 层、应用系统层。其中，上层是下层的扩展与递进；下层是上层

20、的基础，为上层 提供技术支持。 各层次之间相互依赖、 相互关联构成统一一整体。 各层通过各自 的安全控制技术，实现各层的安全策略，保证电子商务系统的安全。图3. 1电子商务安全技术框架体系结构图3.2.1加密技术层加密技术包括两个元素：算法和密钥。算法是将普通的文本（或者可以理解 的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来 对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术 和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥 体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密 （私人密钥加密）和非对称加密（

21、公开密钥加密）。对称加密以数据加密标准（DES, Data Encryption Standarc）算法为典型代表，非对称加密通常以RSA（Rivest Shamir Adlemar）算法为代表。对称加密的加密密钥和解密密钥相同， 而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保 密。DES算法RAS算法3.2.2安全认证层开展电子商务最突出的问题是要解决网上购物、交易和结算中的安全问题， 其中包括建立电子商务各主体之间的信任问题，其中建立数字证书、CA认证、数字签字、数字信封是建立安全认证层的关键。3.3.2.1数字证书数字证书采用公钥体制，即利用一对互相匹配的密钥进行

22、加密、解密。每个 用户自己设定一把特定的仅为本人所知的私有密钥（私钥） ，用它进行解密和签 名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加 密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密， 而接收方则使用自己的私钥解密， 这样信息就可以安全无误地到达目的地了。 通 过数字的手段保证加密过程是一个不可逆过程， 即只有用私有密钥才能解密。 在 公开密钥密码体制中，常用的一种是 RSA 体制。其数学原理是将一个大数分解 成两个质数的乘积， 加密和解密用的是两个不同的密钥。 即使已知明文、 密文和 加密密钥（公开密钥），想要推导出解密密钥 （私密密钥），在

23、计算上是不可能的。 购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送给商户， 然后由商户用自己的私有密钥进行解密。 用户也可以采用自己的私钥对信息加以 处理，由于密钥仅为本人所有， 这样就产生了别人无法生成的文件， 也就形成了 数字签名。数字证书里存有很多数字和英文，当使用数字证书进行身份认证时， 它将随机生成 128 位的身份码，每份数字证书都能生成相应但每次都不可能相同 的数码， 从而保证数据传输的保密性， 即相当于生成一个复杂的密码。 而且是一 段含有证书持有者身份信息并经过认证中心审核签发的电子数据， 可以更加方便 灵活地运用在电子商务和电子政务中。CA 认证CA 机构，

24、又称为证书授证（ Certificate Authority ）中心，作为电子商务交易 中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。 CA 中心为每个 使用公开密钥的用户发放一个数字证书， 数字证书的作用是证明证书中列出的用 户合法拥有证书中列出的公开密钥。 CA 机构的数字签名使得攻击者不能伪造和 篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书， 因此是安全电子交易的核心环节。由此可见，建设证书授权（CA ）中心，是开拓和规范电子商务市场必不可少的一步。 为保证用户之间在网上传递信息的安全 性、真实性、可靠性、完整性和不可抵赖性，不仅需要对用户的身份真实性进

25、行 验证，也需要有一个具有权威性、公正性、唯一性的机构，负责向电子商务的各 个主体颁发并管理符合国内、 国际安全电子 交易协议标准的电子商务安全证书。数字签名数字签名（Digital Sig nature）技术是不对称加密算法的典型应用。数字签名 的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有 关的变量进行加密处理，完成对数据的合法“签名” ，数据接收方则利用对方的 公钥来解读收到的“数字签名” ，并将解读结果用于对数据完整性的检验，以确 认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术， 完全可以代替现实过程中的“亲笔签字” ，在技术和法律上有保证

26、。在数字签名 应用中，发送者的公钥可以很方便地得到，但他的私钥则需要严格保密。数字签名有两种功效： 一是能确定消息确实是由发送方签名并发出来的， 因 为别人假冒不了发送方的签名。 二是数字签名能确定消息的完整性。 因为数字签 名的特点是它代表了文件的特征， 文件如果发生改变， 数字签名的值也将发生变 化。不同的文件将得到不同的数字签名。 一次数字签名涉及到一个哈希函数、 发送者的公钥、发送者的私钥。数字信封 数字信封是公钥密码体制在实际中的一个应用，是用加密技术来保证只有规 定的特定收信人才能阅读通信的内容。在数字信封中，信息发送方采用对称密钥来加密信息内容，然后将此对称密 钥用接收方的公开密

27、钥来加密 （这部分称数字信封） 之后， 将它和加密后的信息 一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥， 然后使用对称密钥解开加密信息。 这种技术的安全性相当高。 数字信封主要包括 数字信封打包和数字信封拆解， 数字信封打包是使用对方的公钥将加密密钥进行 加密的过程，只有对方的私钥才能将加密后的数据 （通信密钥 ）还原；数字信封拆 解是使用私钥将加密过的数据解密的过程。3.2.3 安全协议3.2.3.1 SET 协议SET 协议是通过数字签名方案来保证消息的完整性和进行消息源的认证的， 数字签名方案采用了与消息加密相同的加密原则。即数字签名通过 RSA 加密算 法结合生成信息摘要，信息摘要是消息通过 HASH 函数处理后得到的唯一对应 于该消息的数值，消息中每改变一个数据位