牟 思

德州職業(yè)技術(shù)學(xué)院，山東 德州 253034

電子商務(wù)大量的商務(wù)活動(dòng)是在網(wǎng)絡(luò)上進(jìn)行的，如何采取高效的安全措施保證電子商務(wù)的順利開展，解決電子商務(wù)中存在的一系列技術(shù)和法律問(wèn)題，成為電子商務(wù)良好運(yùn)作的基礎(chǔ)。

1 電子商務(wù)所面臨的安全問(wèn)題

從整個(gè)電子商務(wù)系統(tǒng)著手分析，可以將電子商務(wù)的安全問(wèn)題分為以下幾類：計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)交易安全。

1.1 計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅

假裝成另外一個(gè)不同的實(shí)體是侵入某個(gè)安全防線的最為通用方法，某個(gè)非授權(quán)的實(shí)體取得某一防線的守衛(wèi)者的信任，便取得了合法用戶權(quán)利和特權(quán)。除了黑客攻擊之外還有一些潛在的威脅來(lái)源于Internet，諸如，操作人員的不慎導(dǎo)致的信息泄露，沒(méi)有好的備份系統(tǒng)導(dǎo)致數(shù)據(jù)丟失等等。

1.2 商務(wù)交易安全

在商務(wù)交易中，電子貨幣正逐漸取代現(xiàn)金交易，部分人或企業(yè)因擔(dān)心安全問(wèn)題而不愿使用電子商務(wù)。一方面擔(dān)心網(wǎng)上支付可能遭到黑客的侵襲而導(dǎo)致信用卡信息丟失；另一方面擔(dān)心商品質(zhì)量問(wèn)題和售后服務(wù)。對(duì)于存在的諸如賬號(hào)、密碼被盜、個(gè)人信息泄露等問(wèn)題，都和我國(guó)電子商務(wù)發(fā)展不夠成熟、信用制度不健全以及人們的生活習(xí)慣有關(guān)

2 電子商務(wù)安全的實(shí)現(xiàn)技術(shù)

明確電子商務(wù)所面臨的安全問(wèn)題，便于研究相應(yīng)的安全技術(shù)及實(shí)施相應(yīng)的安全方案。下面就計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全兩個(gè)方面來(lái)介紹實(shí)現(xiàn)電子商務(wù)安全的核心技術(shù)及實(shí)現(xiàn)方案。

2.1 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

電子商務(wù)的應(yīng)用是基于網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)的，而網(wǎng)絡(luò)本身存在很多安全隱患。下面主要介紹防病毒技術(shù)、身份識(shí)別技術(shù)、防火墻技術(shù)。

1）防病毒技術(shù)

病毒是一種惡意的計(jì)算機(jī)程序，由于其具有較強(qiáng)的再生機(jī)制，且傳播面廣，目前病毒傳播已沒(méi)有國(guó)界和地域之分。為了預(yù)防病毒，必須加強(qiáng)內(nèi)網(wǎng)的整體防病毒措施，加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施，對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施等。

2）身份識(shí)別技術(shù)

其基本思想是通過(guò)驗(yàn)證被認(rèn)證對(duì)象的屬性來(lái)達(dá)到確認(rèn)被認(rèn)證對(duì)象是否真實(shí)有效。身份認(rèn)證技術(shù)有口令、標(biāo)記法和生物特征法。

口令認(rèn)證方法中，提供服務(wù)的認(rèn)證方要求被認(rèn)證對(duì)象提供口令；標(biāo)示是個(gè)人持有物，用于啟動(dòng)電子設(shè)備，但還需要與安全協(xié)議配套使用；生物特征法是基于物理特征或行為特征自動(dòng)識(shí)別人員的一種方法，是數(shù)字證書或智能卡未來(lái)的選擇。

3）防火墻技術(shù)

防火墻技術(shù)是一個(gè)由軟件系統(tǒng)和硬件設(shè)備組合而成的在內(nèi)、外聯(lián)網(wǎng)間的界面上的保護(hù)屏障。只有被授權(quán)的通信才能通過(guò)此保護(hù)層，從而防止非法入侵、非法使用系統(tǒng)資源，執(zhí)行安全管理措施，記錄所有可疑的事件。

2.2 商務(wù)交易安全技術(shù)

1）密鑰技術(shù)

為保證數(shù)據(jù)和交易的安全、防止欺騙，電子商務(wù)須采用加密技術(shù)，密鑰技術(shù)是指通過(guò)使用代碼或密碼來(lái)保障數(shù)據(jù)的安全性。明文經(jīng)過(guò)某種加密算法作用后，轉(zhuǎn)換成密文，我們將明文換為密文的這一過(guò)程稱為加密，將密文經(jīng)解密算法作用后形成明文輸出的這一程稱為解密。加密算法中使用的參數(shù)稱為密鑰。密鑰長(zhǎng)度越長(zhǎng)、空間就大，遍歷密鑰空間所花的時(shí)間就越多，破譯的可能性就越小。

數(shù)據(jù)加密和解密的基本過(guò)程，如下圖所示：

圖1 數(shù)據(jù)加密和解密的基本過(guò)程

2）數(shù)字簽名

數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密加密，與原文一起傳送給接受者。接受者只有發(fā)送者的公鑰才能加密被加密的摘要，然后用hash函數(shù)對(duì)收到的原文產(chǎn)生一個(gè)摘要，與解密的摘要對(duì)比，若相同，說(shuō)明收到的信息時(shí)完整的，在傳輸過(guò)程中沒(méi)有被修改，否則，被修改過(guò)，不是原信息。同時(shí)，也證明發(fā)送者不能能夠否認(rèn)自己發(fā)送了信息。這樣，數(shù)字簽名就保證了信息的完整性和不可否認(rèn)性。

3 安全認(rèn)證協(xié)議

目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用，即安全套接層（SSL）協(xié)議和安全電子交易（SET）協(xié)議。

3.1 安全套接層（SSL）協(xié)議

SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層上提供的一種基于RSA和保密密鑰的用于瀏覽器和H9I服務(wù)器之間的安全連接技術(shù)。SSL提供了用于啟動(dòng)TCP/IP連接的安全性“信號(hào)交換”。

SSL協(xié)議在運(yùn)行過(guò)程中可分為6個(gè)階段：

1）建立連接階段：客戶通過(guò)網(wǎng)絡(luò)向服務(wù)商打招呼，服務(wù)商回應(yīng)；2）交換密碼階段：客戶與服務(wù)商之間交換雙方認(rèn)可的密碼；3）會(huì)談密碼階段：客戶與服務(wù)商之間產(chǎn)生彼此交談的會(huì)談密碼；4）檢驗(yàn)階段：檢驗(yàn)服務(wù)商取得的密碼；5）客戶認(rèn)證階段：驗(yàn)證客戶的可信度；6）結(jié)束階段：客戶與服務(wù)商之間相互交換結(jié)束信息。

當(dāng)上述動(dòng)作完成后，兩者之間的資料傳輸就以對(duì)方公鑰進(jìn)行加密后再傳輸，另一方收到資料后以自己的私鑰解密，即使盜竊者在網(wǎng)上取得加密的資料，如果沒(méi)有解密密鑰，也無(wú)法看到可讀資料。

3.2 安全電子交易（SET）協(xié)議

SET協(xié)議主要是為解決用戶、商家和銀行之間通過(guò)信用卡支付的交易而設(shè)計(jì)，其核心技術(shù)主要有公開密鑰加密、數(shù)字簽名等。電子商務(wù)的工作流程與實(shí)際的購(gòu)物流程非常接近，使得電子商務(wù)與傳統(tǒng)商務(wù)可以很容易融合，如圖2為一個(gè)完整的SET處理流程。

圖2 一個(gè)完整的SET處理流程

4 結(jié)論

安全是電子商務(wù)的核心和靈魂，沒(méi)有安全保障的電子商務(wù)應(yīng)用只是虛偽的炒作或欺詐。只要掌握電子商務(wù)安全的核心技術(shù)，宏觀上積極調(diào)節(jié)和控制，必將為我國(guó)電子商務(wù)的真正發(fā)展構(gòu)筑一道牢不可破的堅(jiān)固屏障。

[1]張旭珍，周劍玲，魏景新.電子商務(wù)安全技術(shù)的研究[J].計(jì)算機(jī)與數(shù)字工程，2008，36(5)：57-59.

[2]周慧.網(wǎng)絡(luò)的信息安全技術(shù)[J].煙臺(tái)教育學(xué)院學(xué)報(bào)，2O03，9(3)：38-39.

[3]高建華.電子商務(wù)安全技術(shù)與分析[J].計(jì)算機(jī)與數(shù)字工程，2007，35(2)：108-11O.

[4]賈偉.網(wǎng)絡(luò)與電子商務(wù)安全[M].北京：國(guó)防工業(yè)出版社，2006：81-91.

[5]周賀來(lái).電子商務(wù)概論[M].北京：機(jī)械工業(yè)出版社，2006：49-73.