【正文】 SA(一種公開/私有密鑰)的加密技術(shù),提高信用卡交易的安全性,從而使電子商務(wù)走向?qū)嵱贸蔀榭赡?。保密增?qiáng)郵件PEM(Privale Enhanced Mail)將RSA和DES結(jié)合起來,成為一種保密的Email通信標(biāo)準(zhǔn)。(2)提供可選的安全服務(wù)功能,如保密性等。電子商務(wù)的主要特征是利用信朋卡在線支付。SSL協(xié)議實(shí)現(xiàn)簡單,獨(dú)立于應(yīng)用層協(xié)議,且被大部分的瀏覽器和Web服務(wù)器所內(nèi)置,便于在電子交易中應(yīng)用,但是SSI協(xié)議存在一些問題,比如,對(duì)應(yīng)用層不透明,需要證書授權(quán)中心CA,本身不提供訪問控制。電子商務(wù)的安全運(yùn)行,不僅要從技術(shù)角度進(jìn)行防范,更要從法律角度加強(qiáng),保證電子商務(wù)快速健康地發(fā)展,從而促進(jìn)整個(gè)國民經(jīng)濟(jì)的不斷發(fā)展。從邏輯上講,防火墻是起分隔、限制、分析的作用。所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。進(jìn)、出網(wǎng)絡(luò)的訪問行為。記錄通過防火墻的信息內(nèi)容和活動(dòng)。新一代的防火墻產(chǎn)品一般運(yùn)用了以下技術(shù)：透明的訪問方式。而現(xiàn)在的防火墻利用了透明的代理系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。多級(jí)過濾技術(shù)。在分組過濾一級(jí),能過濾掉所有的源路由分組和假冒IP地址。在電路網(wǎng)關(guān)一級(jí),實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透膽連接,并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的ＩＰ源地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個(gè)主機(jī)的通信,確保每個(gè)分組送往正確的地址。由于是直接串聯(lián)在網(wǎng)絡(luò)之中,防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù),同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞,故它要能夠以多種安全的應(yīng)用服務(wù)器來實(shí)現(xiàn)網(wǎng)關(guān)功能。在域名服務(wù)方面,新一代防火墻采用兩種獨(dú)立的域名服務(wù)器:一種是內(nèi)部DNS服務(wù)器,主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息。在匿名FTP方面,服務(wù)器只提供對(duì)有限的受保護(hù)的部分目錄的只讀訪問。在Finger服務(wù)器中,對(duì)外部訪問,防火墻只提供可由內(nèi)部用戶配置的基本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。安全服務(wù)器網(wǎng)絡(luò)。而對(duì)安全服務(wù)器網(wǎng)絡(luò)上的主機(jī)既可單獨(dú)管理,也可設(shè)置成通過FTP等方式從內(nèi)部網(wǎng)上管理。為了降低防火墻產(chǎn)品在FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn),鑒別功能必不可少。 用戶定制服務(wù)。 審計(jì)和告警。告警功能會(huì)守住每一個(gè)TCP或UDP探尋,并能以發(fā)出郵件、聲響等多種方式報(bào)警。 目前的防火墻主要有兩種類型。它一般由路由器實(shí)現(xiàn)，它在網(wǎng)絡(luò)層對(duì)進(jìn)入和出去內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，一般檢查數(shù)據(jù)包的IP源地址、IP目標(biāo)地址、TCP端口號(hào)、ICMP消息類型，并按照信息過濾規(guī)則進(jìn)行篩選，若符合規(guī)則，則允許該數(shù)據(jù)包通過防火墻進(jìn)入內(nèi)部網(wǎng)，否則進(jìn)行報(bào)警或通知管理員，并且丟棄該包。其二是應(yīng)用級(jí)防火墻。若外部網(wǎng)的用戶要訪問內(nèi)部網(wǎng)，它只能到達(dá)代理服務(wù)器，若符合條件，代理服務(wù)器會(huì)到內(nèi)部網(wǎng)取出所需的信息，轉(zhuǎn)發(fā)出去。且需要對(duì)每一個(gè)特定的Internet服務(wù)安裝相應(yīng)的代理服務(wù)器軟件，用戶無法使用未被服務(wù)器支持的服務(wù)。通常幾種防火墻技術(shù)被一起使用，以彌補(bǔ)各自的缺陷和增加系統(tǒng)的安全性能。網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需考慮其它技術(shù)和非技術(shù)的因素，如信息加密技術(shù)、制訂法規(guī)、提高網(wǎng)絡(luò)管理使用人員的安全意識(shí)等。但實(shí)踐證明，防火墻仍然是網(wǎng)絡(luò)安全中最成熟的一種技術(shù)　(三)、電子支付技術(shù) 電子支付簡介（1） 電子支付概念 電子支付是通過信息流的傳輸來代替現(xiàn)金的交換，其各種支付方式都是通過數(shù)字化方式自動(dòng)完成交易款項(xiàng)的支付。（2） 三種不同類型的電子支付系統(tǒng) 預(yù)支付（prepaid）系統(tǒng) 及時(shí)支付（instantpaid）系統(tǒng) 后支付（postpaid）系統(tǒng)（3） 電子支付方式 電子貨幣類：如電子現(xiàn)金電子錢包等 電子信用卡類：包括智能卡、借記卡、電話卡 電子支票類：如電子支票、電子匯款（EFT）、電子劃款等（4）電子支付基本技術(shù)要求 真實(shí)性、保密性、完整性、抗抵賴性 電子支付系統(tǒng)的基本構(gòu)成（1） 信用卡網(wǎng)上支付系統(tǒng)信用卡支付系統(tǒng)的業(yè)務(wù)流程如下：客戶訪問主頁；瀏覽商品，驗(yàn)證商家CA證書，申請(qǐng)空白訂貨單。同時(shí)插入信用卡，輸入身份識(shí)別碼PIN，由瀏覽器擴(kuò)展部分進(jìn)行驗(yàn)證，如果符合就打開信用卡，讀取卡中數(shù)據(jù)，并由用戶形成支付指令，與訂單同時(shí)發(fā)往商家。④ 經(jīng)支付網(wǎng)關(guān)檢查過的合法支付指令被傳送到信用卡信息中心進(jìn)行聯(lián)機(jī)實(shí)時(shí)處理，經(jīng)過卡的真實(shí)性、持卡人身份合法性以及信用額度的確認(rèn)后，信用卡信息中心決定是否授權(quán)，并將產(chǎn)生結(jié)果傳回商家服務(wù)器。⑥ 信用卡信息中心將信用卡授權(quán)產(chǎn)生的轉(zhuǎn)賬結(jié)算數(shù)據(jù)傳往收單行進(jìn)行賬務(wù)處理。⑦ 收單行將轉(zhuǎn)賬數(shù)據(jù)及相關(guān)信息傳往發(fā)卡行進(jìn)行認(rèn)證(注：在信用卡信息中心的認(rèn)證基礎(chǔ)之上的再認(rèn)證，充分保證支付系統(tǒng)的安全性)。同時(shí)，發(fā)卡行將客戶的消費(fèi)金額記入其消費(fèi)信貸賬戶中，并開始計(jì)息；收單行則把商家的貨款收入記入其存款賬戶中。⑨ 轉(zhuǎn)賬結(jié)果再分別由發(fā)卡行和收單行傳往信用卡信息中心，以便它更新數(shù)據(jù)庫，從而方便商家和客戶的查詢。② 客戶開戶行審核申請(qǐng)人資信狀況，開戶行發(fā)放電子支票生成軟件，賦予客戶使用電子支票的權(quán)利。③ 顧客網(wǎng)上購物，填寫訂單完畢，使用電子支票生成器和開戶行發(fā)放的授權(quán)證明文件生成此筆支付的電子支票，一同發(fā)往商家。⑤ 支票有效，商家則確認(rèn)客戶的購貨行為，并組織送貨。 （3） 電子現(xiàn)金支付系統(tǒng) 電子現(xiàn)金網(wǎng)上支付的流程如下：① 客戶用現(xiàn)金或銀行存款向發(fā)行機(jī)構(gòu)申請(qǐng)兌換電子貨幣。③ 商戶驗(yàn)證電子現(xiàn)金的數(shù)量及真?zhèn)?向客戶組織發(fā)貨。⑤ 發(fā)行機(jī)構(gòu)驗(yàn)證并收回電子現(xiàn)金，同時(shí)將等額的貨幣金額由自己的銀行賬戶中轉(zhuǎn)移到商家的銀行賬戶中。② 網(wǎng)上支付系統(tǒng)對(duì)參與支付流程的各方進(jìn)行有效驗(yàn)證身份驗(yàn)證問題，涉及的安全技術(shù)主要有：認(rèn)證系統(tǒng)技術(shù)。它是目前較為廣泛運(yùn)用的認(rèn)證系統(tǒng)；一種是基于IBE (Identity Based Encryption)技術(shù)實(shí)現(xiàn)的認(rèn)證系統(tǒng)。認(rèn)證技術(shù)在網(wǎng)上支付系統(tǒng)中的具體運(yùn)用是由認(rèn)證系統(tǒng)、CA認(rèn)證中心以及電子商務(wù)安全通信與控制協(xié)議(SSL、SET)等共同完成。根據(jù)進(jìn)行加密解密運(yùn)算的密鑰特點(diǎn)，將密碼體制分為對(duì)稱和非對(duì)稱密碼體制兩種。對(duì)支付數(shù)據(jù)信息保密問題的解決，主要是通過在電子商務(wù)協(xié)議(SSL、SET等)具體運(yùn)用這些加密技術(shù)來完成的。④ 支付數(shù)據(jù)完整性的安全問題，涉及的安全技術(shù)主要有：安全認(rèn)證技術(shù)。數(shù)字簽名的重要應(yīng)用就是雙重簽名DS(Dual Signature)。⑤ 支付行為不可抵賴性的安全問題涉及的安全技術(shù)主要有：公開密鑰加密體制、HASH 函數(shù)、數(shù)字簽名、數(shù)字時(shí)間戳、FNP 協(xié)議、CMP 協(xié)議等技術(shù)。支付信息接收方的不可抵賴性的實(shí)現(xiàn)可由數(shù)字簽名技術(shù)、不可抵賴協(xié)議FNP或CMP來實(shí)現(xiàn)。(DTS)提供的數(shù)字時(shí)間戳加附于上述兩過程的支付信息上，實(shí)現(xiàn)過程類似上述兩過程。通過SSL（Secure Socket Layer）協(xié)議、SET(Secure Electronic Transactions)協(xié)議和3DSecure協(xié)議的研究，分別對(duì)基于SSL、SET和3DSecure的安全支付系統(tǒng)作了設(shè)計(jì)。SSL提供了點(diǎn)對(duì)點(diǎn)的加密通道，實(shí)現(xiàn)了消費(fèi)者與商家之間通過互聯(lián)網(wǎng)安全傳遞信用卡信息，保證了數(shù)據(jù)通過公用網(wǎng)絡(luò)傳輸過程中的保密性。基于SSL的電子支付系統(tǒng)，通過使用對(duì)稱密碼技術(shù)和公開密碼技術(shù)，保證信息的真實(shí)性、完整性和保密性。在安全通道中傳輸?shù)乃行畔⒍冀?jīng)過了密鑰加密處理，以確保信息的機(jī)密性。利用證書技術(shù)和可信的第三方CA，讓客戶機(jī)和服務(wù)器相互識(shí)別對(duì)方的身份。(1) 用戶通過接入系統(tǒng)，選擇相應(yīng)的服務(wù)；(2) 接入系統(tǒng)接收用戶的服務(wù)請(qǐng)求，同時(shí)將請(qǐng)求發(fā)往業(yè)務(wù)網(wǎng)關(guān)；(3) 業(yè)務(wù)網(wǎng)關(guān)根據(jù)接入系統(tǒng)發(fā)來請(qǐng)求中的銀行標(biāo)識(shí)信息，將授權(quán)請(qǐng)求發(fā)往相應(yīng)的支付服務(wù)器；(4) 支付服務(wù)器進(jìn)行相應(yīng)的數(shù)據(jù)處理后，根據(jù)授權(quán)請(qǐng)求中的銀行標(biāo)識(shí)信息，將請(qǐng)求發(fā)往相應(yīng)的銀行支付網(wǎng)關(guān)；(5) 銀行進(jìn)行處理后，銀行支付網(wǎng)關(guān)將授權(quán)響應(yīng)消息返回給支付服務(wù)器；(6) 支付服務(wù)器將響應(yīng)返回給業(yè)務(wù)網(wǎng)關(guān)；(7) 若授權(quán)通過業(yè)務(wù)網(wǎng)關(guān)，則將用戶服務(wù)請(qǐng)求發(fā)往業(yè)務(wù)系統(tǒng)，反之返回認(rèn)證失??；(8) 業(yè)務(wù)系統(tǒng)根據(jù)用戶服務(wù)請(qǐng)求信息提供相應(yīng)的服務(wù)，返回給業(yè)務(wù)網(wǎng)關(guān)；(9) 業(yè)務(wù)網(wǎng)關(guān)將服務(wù)響應(yīng)轉(zhuǎn)發(fā)給接入系統(tǒng)；(10) 接入系統(tǒng)將服務(wù)響應(yīng)返回給用戶。其主要特點(diǎn)是要求用戶、商家、銀行都申請(qǐng)數(shù)字證書來標(biāo)識(shí)身份，而且要求在用戶端、商戶端和銀行端都安裝SET軟件，來產(chǎn)生和傳遞定單及支付信息。它通過下面的技術(shù)確保電子支付的安全性?；赟ET協(xié)議的數(shù)據(jù)流程如圖所示。③ 基于3DSecure 的支付系統(tǒng)的設(shè)計(jì)由于SEI協(xié)議涉及三方數(shù)字證書管理、支付系統(tǒng)運(yùn)行過于復(fù)雜且網(wǎng)絡(luò)支付過程耗時(shí)太大，已經(jīng)稱為技術(shù)先進(jìn)但無法被廣大的市場(chǎng)所接收的失敗典范。3DSecure是一個(gè)基于SSL 協(xié)議，其實(shí)質(zhì)是可信第三方(TTP)的網(wǎng)上支付認(rèn)證模式，在技術(shù)上它利用了SSL在加密傳輸和數(shù)據(jù)完整方面的特點(diǎn)，持卡人只需通過瀏覽器以用戶名/密碼方式進(jìn)行認(rèn)證。最初的3DSecure協(xié)議對(duì)于發(fā)卡行和商家來說是一個(gè)“前端”方案，不需要改變后端系統(tǒng)，交易參與各方非常容易使用，是一個(gè)集合了SSL協(xié)議和SET 協(xié)議優(yōu)點(diǎn)的銀行卡網(wǎng)上安全認(rèn)證支付協(xié)議。 (1) 消費(fèi)者在商家頁面完成定單并提交卡號(hào)碼；(2) 商家MPI被激活，并向Visa目錄服務(wù)請(qǐng)求檢驗(yàn)卡號(hào)碼；(3) Visa向發(fā)卡行ACS檢驗(yàn)卡號(hào)碼是否加入VbV驗(yàn)證；(4) 發(fā)卡行進(jìn)行檢驗(yàn)，并返回確認(rèn)信息與發(fā)卡行服務(wù)器URL；(5) Visa目錄服務(wù)向商家MPI傳遞確認(rèn)信息與URL；(6) 商家MPI通過消費(fèi)者瀏覽器向發(fā)卡行服務(wù)器提出認(rèn)證請(qǐng)求；(7) 發(fā)卡行ACS利用自身提供的認(rèn)證機(jī)制， 如用戶ID/密碼，驗(yàn)證消費(fèi)者；(8) 消費(fèi)者應(yīng)答驗(yàn)證要求；(9) 認(rèn)證結(jié)果通過消費(fèi)者瀏覽器發(fā)送至商家MPI，同時(shí)發(fā)送至Visa認(rèn)證歷史服務(wù)器；(10) 商家服務(wù)器依照原有流程向收單機(jī)構(gòu)支付網(wǎng)關(guān)發(fā)送授權(quán)請(qǐng)求；(11) 收單機(jī)構(gòu)支付網(wǎng)關(guān)通過Visa網(wǎng)絡(luò)向發(fā)卡行發(fā)送授權(quán)請(qǐng)求；(12) 發(fā)卡行通過Visa網(wǎng)絡(luò)向收單機(jī)構(gòu)發(fā)送授權(quán)信息；(13) 收單構(gòu)支付網(wǎng)關(guān)向商家發(fā)送授權(quán)信息，商家執(zhí)行后續(xù)購物流程。除此之外，電子商務(wù)還意味著新的銷售渠道，即在原有業(yè)務(wù)的