摘要：隨著Internet的飛速發(fā)展， 電子交易得到廣泛的應(yīng)用。隨之而來的安全問題也變得越來越突出。如何建立一個安全、便捷的電子交易應(yīng)用環(huán)境， 對信息提供足夠的保護， 已經(jīng)成為人們關(guān)注的問題。本文在分析網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上，對電子交易安全進行研究并提出了安全管理和安全支付的辦法。

關(guān)鍵詞：網(wǎng)絡(luò)安全；電子支付

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2008)06-11019-03

Technical Application of Network Security in Electronic Transaction

GU Li-ming

(College of Computer Science， Guangdong Polytechnic Normal University， Guangzhou 510665，China)

Abstract: With the developing of Internet， Electronic Traction System is used widely. And the problem of security is becoming more and more prominent. More people pay attention to building a safe and convenient environment with the ability to provide effectual protection for information. This paper， the technology of the Network Security is analyzed and the way to the online secure payment is put forward.

Key words: Network Security; Online Payment

1 電子交易簡介

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，相應(yīng)的電子交易：電子商務(wù)網(wǎng)站、電子政務(wù)系統(tǒng)、網(wǎng)上銀行等各種網(wǎng)上交易系統(tǒng)如雨后春筍般的進入了我們的生活，它為我們的生活帶來了便捷并成為了必不可少的一部分。電子交易是在計算機網(wǎng)絡(luò)與通信技術(shù)的結(jié)合與互動發(fā)展中產(chǎn)生的，它是指利用電子數(shù)據(jù)交換(EDI)及互聯(lián)網(wǎng)技術(shù)在各實體之間進行無紙化的業(yè)務(wù)交流。隨著電子交易在全球的迅猛發(fā)展，其中的網(wǎng)絡(luò)安全性隨著信息化的深入要求也越高了。沒有網(wǎng)絡(luò)安全保駕護航，根本就不可能有電子交易的存在。

2 相關(guān)的安全性問題

2.1 網(wǎng)絡(luò)安全威脅分析

安全威脅是指某實體對某一資源的保密性、完整性、可用性等所造成的危險或威脅。給我們造成這樣威脅的個人或?qū)嶓w就是黑客。黑客的基本破壞手段主要有，中斷：破壞系統(tǒng)中的硬件；竊聽：通過搭線和電磁泄漏等手段造成泄密，對業(yè)務(wù)流量進行分析獲得信息；篡改：篡改系統(tǒng)中的數(shù)據(jù)內(nèi)容。欺騙：將偽造的假消息注入系統(tǒng)，假冒合法人員進行相應(yīng)的破壞，從而給受害者帶來不便或損失。因為Internet的開放性，使得我們受到的安全威脅越來越多，方式也變化多端，并且讓很多人付出了沉重的代價。當(dāng)然這也不是不可避免的，一般的網(wǎng)絡(luò)安全的隱患主要有以下方面，①數(shù)據(jù)的傳輸未采用加密措施，即數(shù)據(jù)以明文的方式在網(wǎng)上傳輸，這就很容易被黑客在數(shù)據(jù)包經(jīng)過網(wǎng)關(guān)或路由器上截獲造成信息的丟失和泄密。如網(wǎng)上銀行客戶的賬號密碼被人截取，會造成很大的損失。②數(shù)據(jù)的真實性和完整性，可能數(shù)據(jù)沒有出現(xiàn)丟失，但是被黑客篡改過，如果接收者沒有發(fā)現(xiàn)，可能被錯誤的或不完整的信息迷惑而產(chǎn)生更大的錯誤。如銀行客戶修改自己賬號密碼的信息被修改過。③彼此進行網(wǎng)上交易的人互不相識，如何確認對方的安全、合法的身份。比如對方是不是騙子？和自己交易的購物網(wǎng)站的是否合法？以防被假冒方欺騙而造成不可挽回的惡果。

2.2 相關(guān)安全需求及安全技術(shù)分析

從上面的對電子交易中的網(wǎng)絡(luò)安全威脅的分析我們總結(jié)出對電子交易安全的需求，那就是電子交易的系統(tǒng)必須能達到信息的保密性、完整性、認證性、不可抵賴性、不可篡改性。

要達到安全的需求就需要相應(yīng)的安全技術(shù)，電子交易涉及的安全技術(shù)主要包括：防火墻技術(shù)、加密技術(shù)、數(shù)字簽名技術(shù)、認證技術(shù)、網(wǎng)絡(luò)安全協(xié)議等。

（1）防火墻技術(shù)：“防火墻”是一種形象的說法，其實它是一種計算機硬件與軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全關(guān)隘，從而保護內(nèi)部網(wǎng)不受非法用戶的侵入，它其實就是把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)絡(luò)(通常指局域網(wǎng)或城域網(wǎng))隔開的屏障。防火墻如果從實現(xiàn)方式上來分，又分為硬件、軟件防火墻兩類，二者各有各的長處，但對于電子交易中的網(wǎng)絡(luò)安全都是必不可少的。

（2）加密技術(shù)：加密技術(shù)是信息傳輸安全的核心。加密系統(tǒng)定義了數(shù)據(jù)的一對轉(zhuǎn)換過程，稱為加密和解密。加密是對“明文”的數(shù)據(jù)進行的，明文直接以文字或數(shù)字的形式表示了某個消息的信息，加密就是將明文數(shù)據(jù)轉(zhuǎn)換成我們無法讀懂的數(shù)據(jù)形式，稱為“密文”。解密就是將密文恢復(fù)成原來的明文。從密碼體制而言，密碼體制有兩種基本的形式:一種是對稱密鑰密碼技術(shù)，也稱為私有密鑰密碼技術(shù)，另一種是公鑰體制密碼技術(shù)，即公開密鑰密碼技術(shù)，有時也稱為不對稱密鑰密碼技術(shù)，公鑰體制是目前應(yīng)用最廣泛的一種加密體制，廣泛地用于CA認證、數(shù)字簽名和密鑰交換等領(lǐng)域。兩種加密技術(shù)有不同的特點，采用不同的方式來提供安全服務(wù)。比較著名的加密算法RSA加密算法、DES加密算法、比較新的ECC加密算法等。

PKI(Pubic Key Infrastructure)，即公開密鑰基礎(chǔ)設(shè)施，是一種新的安全技術(shù)，它利用公鑰體制加密技術(shù)提供一套安全基礎(chǔ)平臺，用戶可利用PKI平臺提供的服務(wù)進行安全通信。它利用公鑰體制密碼技術(shù)在開放的網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密以及數(shù)字簽名服務(wù)統(tǒng)一的技術(shù)框架。為電子交易的發(fā)展提供了有力的保障。

（3）認證及數(shù)字簽名技術(shù)：數(shù)字簽名是通過一個單向哈希函數(shù)對要傳送的數(shù)據(jù)進行處理，得到用以認證報文來源并核實報文是否發(fā)生變化的一個字母數(shù)字串。認證是判別和確認交易上雙方真實身份的重要環(huán)節(jié)，是開展電子交易的重要條件。加密保證了信息的機密性，認證則保證了信息的真實性和完整性。認證分為實體認證和信息認證兩種。實體認證是指對參與實體的身份來認證。信息認證是指對信息進行認證并確定其合法性，發(fā)生在信息接手者收到信息之后。認證的實現(xiàn)只要依賴于數(shù)字簽名技術(shù)。

（4）網(wǎng)絡(luò)安全協(xié)議：電子交易中的安全協(xié)議SSL，主要用于提高應(yīng)用程序之間數(shù)據(jù)安全系數(shù)，是國際上最早應(yīng)用于電子交易的一種網(wǎng)絡(luò)安全協(xié)議，它涉及所有的TCP/IP應(yīng)用程序。SET安全協(xié)議，它是為了克服SSL安全協(xié)議的缺點，滿足電子交易連續(xù)不斷的安全要求，VISA國際組織及其它公司共同制定了安全交易SET公告。這是一個為在線交易設(shè)立的一個開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)。它主要使用電子認證技術(shù)，認證過程使用RSA和DES算法，因此可以為電子交易提供強大的安全保護。S-HTTP是HTTP協(xié)議的擴展。目的是保證商業(yè)貿(mào)易的傳輸安全，促進電子交易的發(fā)展。

（5）虛擬專用網(wǎng)技術(shù)（VPN）：它是在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的加密通道在網(wǎng)絡(luò)中傳播。系統(tǒng)只要介入Internet，各地的機構(gòu)就可以互相傳遞信息；使用VPN有節(jié)省成本、提供遠程訪問、擴展性強、便于管理和實現(xiàn)全面控制等好處，是今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。

（6）電子郵件安全協(xié)議：電子郵件是Internet上的主要的信息傳輸手段之一，也是電子交易的主要途徑之一。為了保證電子郵件的安全，Internet工程任務(wù)組起草了相關(guān)規(guī)范。PEM是增強電子郵件隱蔽性的標(biāo)準(zhǔn)草案，是在電子郵件的標(biāo)準(zhǔn)格式上增加了加密、鑒別和密鑰管理功能，對于每個郵件報文，可以在報頭中設(shè)定加密方式，加密算法等安全措施。PEM是傳輸安全性郵件的非正式標(biāo)準(zhǔn)。S/MIME是在多功能電子郵件擴充報文的基礎(chǔ)上添加數(shù)字簽名和加密技術(shù)的一項協(xié)議。它是正式的電子郵件擴充標(biāo)準(zhǔn)格式，被業(yè)界廣泛應(yīng)用和認可。在實際的網(wǎng)絡(luò)安全應(yīng)用中，經(jīng)常把幾種技術(shù)一起使用，以滿足持續(xù)發(fā)展的安全需求。

3 電子交易安全的研究

3.1 提出幾種保護措施

（1）網(wǎng)絡(luò)安全保護：①網(wǎng)絡(luò)訪問控制：根據(jù)用戶的IP地址、身份驗證、訪問控制資源、日期、時間、過濾數(shù)據(jù)包等進行控制。②網(wǎng)絡(luò)地址翻譯：通過在內(nèi)外網(wǎng)絡(luò)接口處實現(xiàn)。③危險的網(wǎng)絡(luò)活動檢測：提早隔離可疑未知程序。④通過對自身系統(tǒng)的特點確定選擇的防火墻類型。在選擇時要兼顧性能與操作簡單的特點，我們可以選擇NetScreen公司的NetScreen100或IBM的AS/400防火墻。

（2）系統(tǒng)安全防護：①掃描系統(tǒng)漏洞，及時修補。②加強操作系統(tǒng)的用戶認證授權(quán)；口令和登錄。③病毒防護。④WEB服務(wù)器管理，作為系統(tǒng)的支柱，它也最易受到攻擊。因此要注意對服務(wù)器的安全管理。

（3）應(yīng)用級的安全：實施單點登錄，實現(xiàn)每人一個賬號，一個口令。用戶只需一次登錄訪問各種資源，以此不給黑客更多的機會去猜用戶的賬號和口令，降低受黑客攻擊的可能。

3.2 安全管理

作為電子交易系統(tǒng)的管理部分，首先利用工具對系統(tǒng)進行評估，及時發(fā)現(xiàn)自己的缺點，其次針對交易平臺的企業(yè)或個人，檢測他的安全策略是否完善。通過評估可以對現(xiàn)有系統(tǒng)修改。并做到對已知的威脅進行防范，禁止各種入侵。安全管理示意圖如圖1：

圖1 安全管理示意圖

3.3 安全的支付系統(tǒng)

作為電子交易平臺，支付系統(tǒng)的設(shè)計至關(guān)重要。電子交易平臺提供的基本設(shè)施有:信息發(fā)布和檢索系統(tǒng)、目錄服務(wù)、招標(biāo)和域名服務(wù)、電子郵件服務(wù)、服務(wù)器集中管理服務(wù)等基礎(chǔ)服務(wù)設(shè)施。其中安全電子交易系統(tǒng)是核心的設(shè)施，它一般包括支付中介服務(wù)、會員管理服務(wù)等。支付中介服務(wù)力圖為用戶提供廣泛的各種網(wǎng)上支付手段，如活期存折、信用卡、借記卡、以及國際信用卡如Visa卡和Master卡等。支付服務(wù)是安全電子交易系統(tǒng)中的核心內(nèi)容。安全支付的結(jié)構(gòu)圖2：

圖2 安全支付的結(jié)構(gòu)

安全支付平臺需要建立比較完善的安全機制，這里用戶與支付平臺的通信內(nèi)容采用SSL安全通道，支付平臺與銀行之間的通信采用SSL或SET協(xié)議，保證了信息的機密性、完整性、不可否認性和身份的合法性。用戶、企業(yè)和銀行的身份用數(shù)字證書標(biāo)識。另外，對交易系統(tǒng)的訂單信息和支付信息建立了嚴密的訪問控制機制，采用PKI技術(shù)，建立證書服務(wù)器，對需要訪問訂單和支付信息的商戶管理員、商城管理員和銀行管理員分別事先發(fā)放數(shù)字證書，在訪問信息時先檢驗身份的合法性，然后根據(jù)不同身份給予不同的訪問權(quán)限。在消費者接口處，采用SSL協(xié)議對客戶的信息進行加密傳輸保護。瀏覽器內(nèi)部設(shè)置了SSL接口。支付平臺管理系統(tǒng)主要控制不同角色管理員的訪問權(quán)限，發(fā)放和管理數(shù)字證書、對出現(xiàn)疑義的訂單做特殊處理，管理多個企業(yè)的訂單信息等。另外采用交易中雙方甲和乙（可以是銀行與用戶、企業(yè)與用戶、個人與用戶等）的雙認證機制、驗證銀行返回的支付結(jié)果的數(shù)字簽名，有力的保證了雙方身份的安全性確認。

4 結(jié)束語

現(xiàn)在，我們已經(jīng)清楚的認識到，電子交易在人們的生活中將要發(fā)揮越來越大的作用，安全問題解決的好壞是直接影響其發(fā)展的一個關(guān)鍵因素。現(xiàn)有的安全技術(shù)會隨著電子交易的發(fā)展而不能滿足它的需要，根據(jù)目前的情況，應(yīng)根據(jù)具體的交易平臺或系統(tǒng)選擇適合自己的安全策略，讓用戶放心在平臺上交易，起到保留客戶的作用。

參考文獻：

[1] 韓寶明，杜鵬，劉華.電子商務(wù)安全與支付[M].北京：人民郵電出版社，2001.

[2] 楊義先.網(wǎng)絡(luò)信息安全與保密[M].北京：郵電大學(xué)出版社，1999.11.

[3] （美）James F Kurose.Computer networking A Top-Down Approach Featuring the Internet[M].北京：高等教育出版社，2001.4.