【正文】 質(zhì)量并不可靠，且速度很慢；　　　　由于Internet 和網(wǎng)絡(luò)購物都是在近幾年得到了迅猛的發(fā)展，因而，許多地方都缺乏足夠的技術(shù)人才來處理其中遇到的各種問題， 尤其是網(wǎng)絡(luò)購物具有24 x 7（ 每天24 小時(shí)，每周7 天都能工作） 的要求，因而迫切需要有一大批專業(yè)技術(shù)人員對其進(jìn)行管理?！　≈Ц毒W(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間，其主要功能為：將公網(wǎng)傳來的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包；接收銀行系統(tǒng)內(nèi)部的傳回來的響應(yīng)消息，將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式，并對其進(jìn)行加密?！　　　【W(wǎng)上支付平臺(tái)分為CTEC 支付體系（ 基于CTCA/GDCS） 和SET 支付體系（ 基于CTCA/SET） 。對用戶來講它相當(dāng)于一個(gè)在線的證書數(shù)據(jù)庫。RA 與網(wǎng)銀中心有機(jī)結(jié)合，接受客戶申請，并審批申請，把證書正式請求通過建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA 中心。CA 的功能是在收到來自RA 的證書請求時(shí)，頒發(fā)證書?！　? ） 認(rèn)證系統(tǒng)結(jié)構(gòu)　　整個(gè)系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境，系統(tǒng)從功能上基本可以劃分為CA、RA 和Web Publisher。　　1 ） 認(rèn)證系統(tǒng)的基本原理　　利用RSA 公開密鑰算法在密鑰自動(dòng)管理、數(shù)字簽名、身份識(shí)別等方面的特性，可建立一個(gè)為用戶的公開密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)。 [論/文/網(wǎng) LunWenNet/Com]　　　　為解決Internet 的安全問題，初步形成了一套完整的Internet 安全解決方案，即被廣泛采用的公鑰基礎(chǔ)設(shè)施（ PKI） 體系結(jié)構(gòu)。對于在網(wǎng)上進(jìn)行交易的雙方來說，數(shù)字證書對他們之間建立信任是至關(guān)重要的。因而網(wǎng)絡(luò)中所有用戶可以將自己的公鑰交給這個(gè)中心，并提供自己的身份證明信息，證明自己是相應(yīng)公鑰的擁有者，認(rèn)證中心審查用戶提供的信息后， 如果確認(rèn)用戶是合法的，就給用戶一個(gè)數(shù)字證書。目前，最有效的認(rèn)證方式是由權(quán)威的認(rèn)證機(jī)構(gòu)為參與電子商務(wù)的各方發(fā)放證書，證書作為網(wǎng)上交易參與各方的身份識(shí)別，就好象每個(gè)公民都用身份證來證明身份一樣。時(shí)間戳(timestamp) 是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：需加時(shí)間戳的文件的摘要(digest)；DTS 收到文件的日期和時(shí)間；DTS的數(shù)字簽名?！　?shù)字時(shí)間戳(digital timestamp)交易文件中，時(shí)間是十分重要的信息。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128 位的散列值，接著再用發(fā)送方的公開密鑰來對報(bào)文附加的數(shù)字簽名進(jìn)行解密，如果兩個(gè)散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報(bào)文的鑒別。主要方式是報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128 位的散列值(或報(bào)文摘要)，用自己的私有密鑰對這個(gè)散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名。這樣這串摘要便可成為驗(yàn)證明文是否是“ 真身”的“ 指紋”了?！　?） 電子商務(wù)領(lǐng)域常用的加密技術(shù)數(shù)字摘要(digital digest)　　這一加密方法亦稱安全Hash 編碼法， 由RonRivest 所設(shè)計(jì)。面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層， 使用經(jīng)過加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害?！　　　‰娮由虅?wù)系統(tǒng)是計(jì)算機(jī)系統(tǒng)，其可靠性是防止計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、自然災(zāi)害等引起的計(jì)算機(jī)信息失誤或失效。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠?！　　　‰娮由虅?wù)簡化了貿(mào)易過程， 減少了人為的干預(yù)，同時(shí)也帶來維護(hù)商業(yè)信息的完整、統(tǒng)一的問題。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。由于電子商務(wù)是在公開的網(wǎng)上進(jìn)行的，支付信息、訂貨信息、談判信息、機(jī)密的商務(wù)往來文件等大量商務(wù)信息在計(jì)算機(jī)系統(tǒng)中存放、傳輸和處理，所以如果不能很好地解決信息安全問題，電子商務(wù)的發(fā)展肯定會(huì)受到影響。它是通過網(wǎng)絡(luò)技術(shù)的應(yīng)用，快速而且有效的進(jìn)行各種商務(wù)活動(dòng)的全新方法。本文客觀地分析了電子商務(wù)的安全需求、安全技術(shù)發(fā)展現(xiàn)狀及存在的問題，對加快電子商務(wù)的發(fā)展步伐提出了一些重要思考。 淺議電子商務(wù)中的信息安全問題［ 摘要］ 電子商務(wù)對人類社會(huì)經(jīng)濟(jì)產(chǎn)生了重大影響，在創(chuàng)造巨大經(jīng)濟(jì)效益的同時(shí)，也從根本上改變了整個(gè)社會(huì)商務(wù)活動(dòng)發(fā)展進(jìn)程。我國電子商務(wù)在曲折進(jìn)程中，已有很大程度的發(fā)展,同時(shí)也存在諸多問題。［ 關(guān)鍵詞］電子商務(wù)；誠信缺失；安全性 電子商務(wù)；安全需求；安全技術(shù)；協(xié)議技術(shù)電子商務(wù)（ Electronic Commerce)是上世紀(jì)90 年代初期在西方發(fā)達(dá)國家首先興起的一種嶄新的利用國際互聯(lián)網(wǎng)絡(luò)Internet 這種先進(jìn)通訊工具的企業(yè)經(jīng)營方式。電子商務(wù)無疑是近幾年來使用頻率最高的詞匯之一， 隨著電子商務(wù)的興起，它的信息安全問題也日益引人注目。　　一、電子商務(wù)的安全需求　　、真實(shí)性　　電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開展電子商務(wù)的前提?！　　　‰娮由虅?wù)作為貿(mào)易的一種手段，其信息直接廠代表著個(gè)人、企業(yè)或國家的商業(yè)機(jī)密。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各信息的差異。　　、不可抵賴性和可鑒別性　　可靠性要求即是能保證合法用戶對信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^；不可抵賴性要求即是能建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可鑒別性要求即是能控制使用資源的人或?qū)嶓w的使用方式。　　二、電子商務(wù)的信息安全技術(shù)　　　　加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法， 這一類加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對較為簡單，不需要對電子信息（ 數(shù)據(jù)包） 所經(jīng)過的網(wǎng)絡(luò)的安全性能提出特殊要求，對電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。該編碼法采用單向Hash 函數(shù)將需加密的明文“ 摘要”成一串128bit 的密文，這一串密文亦稱為數(shù)字指紋(Finger Print)，它有固定的長度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致?！　?shù)字簽名(digital signature)　　數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來使用。然后，這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。概括的說，簽名的作用有兩點(diǎn)，一是因?yàn)樽约旱暮灻y以否認(rèn)，從而確認(rèn)了文件已簽署這一事實(shí)；二是因?yàn)楹灻灰追旅?，從而確定了文件是真的這一事實(shí)。在電子交易中， 需對交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)?！　?shù)字證書(digital certificate,digital ID)數(shù)字證書又稱為數(shù)字憑證，是用電子手段來證實(shí)一個(gè)用戶的身份和對網(wǎng)絡(luò)資源的訪問的權(quán)限。認(rèn)證中心作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任，是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)定證書的權(quán)威機(jī)構(gòu)。這樣，每個(gè)成員只需和認(rèn)證中心打交道， 就可以查到其他成員的公鑰信息了。數(shù)字憑證有三種類型：個(gè)人憑證、企業(yè)（ 服務(wù)器） 憑證、軟件（ 開發(fā)者） 憑證；大部分認(rèn)證中心提供前兩類憑證。PKI 體系結(jié)構(gòu)采用證書管理公鑰，通過第三方的可信機(jī)構(gòu)CA，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息（ 如名稱、、身份證號等） 捆綁在一起，在Internet 網(wǎng)上驗(yàn)證用戶的身份，PKI 體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來，在Internet 網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理， 保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。這個(gè)可信的第三方認(rèn)證系統(tǒng)也稱為CA，CA 為用戶發(fā)放電子證書，用戶之間利用證書來保證信息安全性和雙方身份的合法性?！　『诵南到y(tǒng)跟CA 放在一個(gè)單獨(dú)的封閉空間中，為了保證運(yùn)行的絕對安全，其人員及制度都有嚴(yán)格的規(guī)定，并且系統(tǒng)設(shè)計(jì)為一離線網(wǎng)絡(luò)?！　∽C書的登記機(jī)構(gòu)Register Authority，簡稱RA，分散在各個(gè)網(wǎng)上銀行的地區(qū)中心?！　∽C書的公布系統(tǒng)Web Publisher，簡稱WP，置于Internet 網(wǎng)上，是普通用戶和CA 直接交流的界面。用戶的證書由CA 頒發(fā)之后，CA 用E－mail 通知用戶， 然后用戶須用瀏覽器從這里下載證書。網(wǎng)上支付平臺(tái)支付型電子商務(wù)業(yè)務(wù)提供各種支付手段，包括基于SET 標(biāo)準(zhǔn)的信用卡支付方式、以及符合CTEC 標(biāo)準(zhǔn)的各種支付手段。此外，支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書管理等其它功能。如果說加密技術(shù)是電子交易安全的“ 硬件”，那么人才問題則可以說是“ 軟件”。　　 服務(wù)器的保護(hù)意識(shí)差　　在交易過程中對數(shù)據(jù)進(jìn)行保護(hù)只是保證交易安全的一個(gè)方面。目前，Web 服務(wù)器是黑客們最喜歡攻擊的目標(biāo)。當(dāng)然，這畢竟有些不太現(xiàn)實(shí)，現(xiàn)在許多流行的Web應(yīng)用都需要Web 服務(wù)器與公司的數(shù)據(jù)庫進(jìn)行交互式操作， 這就要求服務(wù)器必須與公司內(nèi)部網(wǎng)絡(luò)相連，而這個(gè)連接也就成為黑客們從Web 站點(diǎn)侵入企業(yè)內(nèi)部網(wǎng)絡(luò)的一條通路。　　四、與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論　　1．SSL 協(xié)議（ Secure Sockets Layer） 安全套接層協(xié)議———面向連接的協(xié)議。但它是一個(gè)面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證， 而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成, SSL 協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。由于SET 提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性，特別是保證不將消費(fèi)者銀行卡號暴露給商家等優(yōu)點(diǎn)， 因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。電子商務(wù)中詐騙罪有哪些特征依托于網(wǎng)絡(luò)的發(fā)展，社會(huì)經(jīng)濟(jì)、文化、政治生活正經(jīng)歷著一場史無前例的變革，而形形色色的網(wǎng)絡(luò)犯罪給這場變革提出了全方位、不容忽視的挑戰(zhàn)。在法律形式上，電子商務(wù)中的詐騙罪跨越了現(xiàn)行刑法中規(guī)定的普通詐騙罪和特別詐騙罪，但在實(shí)際生活中，它又僅僅是這些犯罪的一種表現(xiàn)形式。一類是以其他有權(quán)人的身份，進(jìn)入特定網(wǎng)絡(luò)信息系統(tǒng)，在網(wǎng)絡(luò)信息系統(tǒng)中增加、輸入一定信息，將有權(quán)人所有或占有的電子貨幣劃撥到自己的帳戶上，進(jìn)而兌現(xiàn)的行為。后一類的客觀行為則不同，與刑法中的普通詐騙罪、特別詐騙罪有極大差別，為了科學(xué)界分它和前幾類行為的區(qū)別以及方便討論，本文稱之為E詐騙罪。但是，E詐騙罪只是利用這些方法中的一部分?！　詐騙犯罪的主要步驟：第一步，獲取有權(quán)信息。取得有權(quán)信息的方法，既可以通過打聽、套聽、收集等方式，也可以利用技術(shù)截獲信息，如行為人可以在互聯(lián)網(wǎng)、電話網(wǎng)上搭線，或安裝截收電磁波的設(shè)備，獲取傳輸?shù)南到y(tǒng)信息。第二步，改變信息。由于網(wǎng)絡(luò)信息系統(tǒng)被作用力影響，從而引起由其扶持的設(shè)備設(shè)施的運(yùn)作發(fā)生混亂、或者發(fā)出錯(cuò)誤的指令，其結(jié)果是將他人帳戶上的電子貨幣通過網(wǎng)絡(luò)劃撥到行為人開設(shè)的帳戶上。這是因?yàn)樵p騙罪是結(jié)果犯。我們不妨將網(wǎng)絡(luò)犯罪發(fā)生的場所分為虛擬空間和現(xiàn)實(shí)空間，如此一來，E詐騙犯罪活動(dòng)除中止犯外，在刑法上表現(xiàn)為三種樣態(tài)：第一，發(fā)生于現(xiàn)實(shí)階段的預(yù)備犯，如行為人通過分析受害者遺棄的文