[摘 要] 本文在分析電子商務(wù)主要安全因素的基礎(chǔ)上，具體介紹目前電子商務(wù)領(lǐng)域的三種安全技術(shù)，來消除電子商務(wù)活動中的安全隱患。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全 電子商務(wù) 防火墻 密鑰 身份認證

一、概述

隨著信息技術(shù)在貿(mào)易和商業(yè)領(lǐng)域廣泛應(yīng)用，利用計算機、網(wǎng)絡(luò)通信技術(shù)和因特網(wǎng)實現(xiàn)商務(wù)活動的國際化、信息化和無紙化，已成為各國商務(wù)發(fā)展的一大趨勢。電子商務(wù)正是為適應(yīng)這種以全球為市場的的變化而出現(xiàn)并發(fā)展起來的，它是當今社會發(fā)展最快的領(lǐng)域之一，同時也為全球的經(jīng)濟發(fā)展帶來新的增長點。電子商務(wù)EC是指人們利用電子化手段進行以商品交換為中心的各種商務(wù)活動，如公司、廠家等與消費者個人利用計算機進行的商務(wù)活動，也可稱為電子交易，包括電子商情、電子廣告、電子購物等不同層次的電子商務(wù)活動。電子商務(wù)可以通過多種電子通信方式來完成，目前人們所談?wù)摰闹饕且噪娮訑?shù)據(jù)交換（EDI）和Internet來完成的。

在電子商務(wù)的交易中，經(jīng)濟信息、資金都要通過網(wǎng)絡(luò)傳輸，交易雙方的身份也需認證，故電子商務(wù)的安全性主要是網(wǎng)絡(luò)平臺的安全和交易信息的安全。而網(wǎng)絡(luò)平臺的安全是指網(wǎng)絡(luò)操作系統(tǒng)對抗網(wǎng)絡(luò)攻擊、病毒，使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運行。常用的保護措施有防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測技術(shù)、網(wǎng)絡(luò)防毒技術(shù)。交易信息的安全是指保護交易雙方的不被破壞、不泄密，和交易雙方身份的確認?？梢杂脭?shù)據(jù)加密、數(shù)字簽名、數(shù)字證書、ssl 、set安全協(xié)議等技術(shù)來保護。在這里我想重點談?wù)劮阑饓夹g(shù)、數(shù)據(jù)加密技術(shù)和身份認證技術(shù)。

二、電子商務(wù)的安全技術(shù)之一——防火墻技術(shù)

防火墻技術(shù)是一個在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上所構(gòu)造的保護屏障，由軟件系統(tǒng)和硬件設(shè)備組合而成的。防火墻能保障網(wǎng)絡(luò)用戶訪問公用網(wǎng)絡(luò)具有最低風險，同時也能保護專用網(wǎng)絡(luò)免遭外部襲擊。所有的內(nèi)部網(wǎng)和外部網(wǎng)、專用網(wǎng)和公共網(wǎng)之間的連接都必須經(jīng)過防火墻的檢查、認證和連接，只有被授權(quán)的通信才能通過此保護層，從而保證了網(wǎng)絡(luò)的安全。防火墻如圖1所示。

實現(xiàn)防火墻技術(shù)的主要途徑有：數(shù)據(jù)包過濾和代理服務(wù)。

1.數(shù)據(jù)包過濾，這是基于路由器的防火墻，是在網(wǎng)絡(luò)層對數(shù)據(jù)包實施有選擇的放行。事先在防火墻內(nèi)設(shè)計好一個過濾邏輯，對于通過防火墻的數(shù)據(jù)流的數(shù)據(jù)包逐個根據(jù)其源地址、目的地址、所用的TCP端口與TCP鏈路狀態(tài)進行檢查，確定是否允許它通過。

2.代理服務(wù)，這是基于代理服務(wù)器的防火墻，是由一個高層的應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器，接受外來的應(yīng)用連接請求，進行安全檢查后再與被保護的網(wǎng)絡(luò)應(yīng)用服務(wù)器連接，使得外部服務(wù)用戶可以在受控制的前提下使用內(nèi)部網(wǎng)絡(luò)服務(wù)。同樣，內(nèi)部網(wǎng)絡(luò)的服務(wù)連接也可以受到監(jiān)控。應(yīng)用網(wǎng)關(guān)的代理服務(wù)實體將對所有通過它的連接做出日志記錄，以便對安全漏洞檢查并收集相關(guān)的信息。基于包過濾的防火墻和基于代理服務(wù)器的防火墻各有其特點，前者通常直接轉(zhuǎn)發(fā)報文，它對用戶完全是透明的，速度較快；后者是通過代理服務(wù)器建立連接，它有更強的身份驗證和日志功能。一種新的產(chǎn)品是復合型防火墻，即把包過濾型防火墻和代理服務(wù)器型防火墻結(jié)合起來，以發(fā)揮各自的優(yōu)點，克服各自的缺點，滿足更高安全性的要求。

三、電子商務(wù)的安全技術(shù)之二——數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是將明文采取數(shù)學方式轉(zhuǎn)換成為密文，只有特定接收方才能將其解密還原成為明文的過程。數(shù)據(jù)加密及其相關(guān)技術(shù)應(yīng)用可有效解決電子商務(wù)交易中信息的完整性、不可抵賴性和交易身份確定性等問題。明文是加密前的原始信息，密文是明文被加密后的信息，一般是毫無識別意義的字符序列。密鑰是指控制加密算法和解密算法得以實現(xiàn)的關(guān)鍵信息，加密密鑰和解密密鑰可以相同，也可以不同，一般由通信雙方所掌握。數(shù)據(jù)加密技術(shù)根據(jù)加密密鑰和解密密鑰是否相同，分為對稱密鑰加密和非對稱密鑰加密。對稱密鑰加密加密、解密時使用同一個密鑰。對稱密鑰加密如圖2所示。

對稱密鑰加密算法中最著名的算法是DES，這是一種使用56個數(shù)據(jù)位的密鑰來操作64位數(shù)據(jù)塊的加密算法。DES運算速度快，適合對大量數(shù)據(jù)的加密，但缺點是密鑰的安全分發(fā)困難。非對稱加密，加密密鑰和解密密鑰不同。非對稱密鑰加密如圖3所示。

在非對稱密鑰加密技術(shù)中，每個用戶都有一對選定的密鑰，一個可以公開，即公共密鑰，用于加密。另一個由用戶安全擁有，即秘密密鑰，用于解密。當給對方發(fā)信息時，用對方的公開密鑰進行加密，而在接收方收到數(shù)據(jù)后，用自己的秘密密鑰是行解密。

實現(xiàn)非對稱密鑰加密體制的典型算法是RSA算法，這種算法的缺點是運算速度太慢，比DES慢幾個數(shù)量級，因此只適合對少量關(guān)鍵數(shù)據(jù)的加密，但優(yōu)點是易于密鑰的安全分發(fā)。

由于對稱密鑰加密技術(shù)和非對稱密鑰加密技術(shù)各有優(yōu)缺點，在電子商務(wù)數(shù)據(jù)加密時通常兩者結(jié)合使用，對關(guān)鍵性的核心機密數(shù)據(jù)采用非對稱密鑰加密技術(shù)，而對大批量數(shù)據(jù)進行加密時則采用對稱密鑰加密技術(shù)。

四、電子商務(wù)的安全技術(shù)之三——身份認證技術(shù)

為解決Internet的安全問題，世界各國對其進行了多年的研究，初步形成了一套完整的Internet安全解決方案，即目前被廣泛采用的PKI體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書管理公鑰，通過第三方的可信機構(gòu)CA，把用戶的公鑰和用戶的其他標識信息捆綁在一起，在Internet網(wǎng)上驗證用戶的身份，PKI體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來，在Internet網(wǎng)上實現(xiàn)密鑰的自動管理，保證網(wǎng)上數(shù)據(jù)的機密性、完整性。

在電子交易中，無論是數(shù)字時間戳服務(wù)還是數(shù)字證書的發(fā)放，都不是靠交易的自己能完成的，而需要有一個具有權(quán)威性和公正性的第三方來完成。認證中心就是承擔網(wǎng)上安全電子交易認證服務(wù)、能簽發(fā)數(shù)字證書、并能確認用戶身份的服務(wù)機構(gòu)。認證中心通常是企業(yè)性的服務(wù)機構(gòu)，主要任務(wù)是受理數(shù)字憑證的申請、簽發(fā)及對數(shù)字憑證的管理。認證中心依據(jù)認證操作規(guī)定來實施服務(wù)操作。

1.認證系統(tǒng)的基本原理。利用RSA公開密鑰算法在密鑰自動管理、數(shù)字簽名、身份識別等方面的特性，可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統(tǒng)。這個可信的第三方認證系統(tǒng)也稱為CA，CA為用戶發(fā)放電子證書，用戶之間利用證書來保證信息安全性和雙方身份的合法性。

2.認證系統(tǒng)結(jié)構(gòu)。整個系統(tǒng)是一個大的網(wǎng)絡(luò)環(huán)境，系統(tǒng)從功能上基本可以劃分為CA、RA和Web Publisher。

核心系統(tǒng)CA放在一個單獨的封閉空間中，為了保證運行的絕對安全，其人員及制度都有嚴格的規(guī)定，并且系統(tǒng)設(shè)計為一離線網(wǎng)絡(luò)。CA的功能是在收到來自RA的證書請求時，頒發(fā)證書。一般的個人證書發(fā)放過程都是自動進行，無須人工干預。

證書的登記機構(gòu)，簡稱RA，分散在各個網(wǎng)上銀行的地區(qū)中心。RA與網(wǎng)銀中心有機結(jié)合，接受客戶申請，并審批申請，把證書正式請求通過建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心。RA與CA雙方的通信報文也通過RSA進行加密，確保安全。系統(tǒng)的分布式結(jié)構(gòu)適于新業(yè)務(wù)網(wǎng)點的開設(shè)，具有較好的擴充性。通信協(xié)議為TCP/IP。

證書的公布系統(tǒng)Web Publisher，簡稱WP，置于Internet網(wǎng)上，是普通用戶和CA直接交流的界面。對用戶來講它相當于一個在線的證書數(shù)據(jù)庫。用戶的證書由CA頒發(fā)之后，CA用E-mail通知用戶，然后用戶須用瀏覽器從這里下載證書。

證書鏈服務(wù)是一個CA擴展其信任范圍或被認可范圍的一種實現(xiàn)機制。如果企業(yè)或機構(gòu)已經(jīng)建立了自己的CA系統(tǒng)，通過第三方認證中心對該機構(gòu)或企業(yè)的CA簽發(fā)CA證書，能夠使得該企業(yè)或機構(gòu)的CA發(fā)放的證書被所有信任第三方認證中心的瀏覽器、郵件客戶所信任。

3.中國金融認證中心CFCA的建設(shè)情況。中國對電子商務(wù)的發(fā)展也給予了應(yīng)有的重視。中國金融認證中心CFCA，已于2000年6月29日開始對社會各界提供證書服務(wù)，系統(tǒng)進入運行狀態(tài)。中國金融認證中心作為一個權(quán)威的、可信賴的、公正的第三方信任機構(gòu)，為參與電子商務(wù)各方的各種認證需求提供證書服務(wù)，建立彼此的信任機制，為全國范圍內(nèi)的電子商務(wù)及網(wǎng)上銀行等網(wǎng)上支付業(yè)務(wù)提供多種模式的認證服務(wù)，在不遠的將來實現(xiàn)與國外CA的交叉認證。

五、小結(jié)

本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù)：防火墻技術(shù)，數(shù)據(jù)加密技術(shù)和身份認證技術(shù)，指出了它們分別的使用范圍及其優(yōu)缺點，但必須強調(diào)說明的是，電子商務(wù)的安全運行，僅從技術(shù)角度防范是遠遠不夠的，還必須完善電子商務(wù)立法，以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題，從而引導和促進我國電子商務(wù)快速健康發(fā)展。

參考文獻：

[1]王玉娟 史玉珍 王 靜:電子商務(wù)中的網(wǎng)絡(luò)安全技術(shù)[J].平頂山師專學報，2004年02期

[2]王曉斌 吳志紅:網(wǎng)絡(luò)安全與電子商務(wù)[J].沈陽航空工業(yè)學院學報，2003年02期

[3]樊晉寧:電子商務(wù)的安全問題和相應(yīng)措施[J].科技情報開發(fā)與經(jīng)濟；2004年08期