電子商務(wù)中的安全技術(shù)

[摘要] 安全問(wèn)題是電子商務(wù)發(fā)展的核心和關(guān)鍵問(wèn)題。安全性技術(shù)是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素。本文討論了電子商務(wù)應(yīng)用中所存在的安全問(wèn)題，針對(duì)這些安全問(wèn)題對(duì)電子商務(wù)的安全技術(shù)進(jìn)行了分析。

[關(guān)鍵詞] 電子商務(wù) 加密技術(shù) 數(shù)字簽名

一、引言

隨著Internet的發(fā)展，電子商務(wù)已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式。越來(lái)越多的人通過(guò)Internet進(jìn)行商務(wù)活動(dòng)。電子商務(wù)的一個(gè)重要技術(shù)特征是利用IT技術(shù)來(lái)傳輸和處理商業(yè)信息。電子商務(wù)安全問(wèn)題是電子商務(wù)發(fā)展中的一個(gè)主要障礙。電子商務(wù)安全技術(shù)的應(yīng)用為建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對(duì)商家和客戶的信息提供足夠的保護(hù)，起著關(guān)鍵性的作用。

二、電子商務(wù)面臨的安全問(wèn)題

1.信息的截獲和竊取

由于未采用加密措施，信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過(guò)的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過(guò)多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

2.篡改信息

當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過(guò)各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。

3.信息假冒

由于掌握了數(shù)據(jù)的格式，并可以篡改通過(guò)的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息，而遠(yuǎn)端用戶通常很難分辨。

4.交易抵賴

交易抵賴包括多個(gè)方面，如發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息或內(nèi)容；收信者事后否認(rèn)曾經(jīng)收到過(guò)某條消息或內(nèi)容；購(gòu)買者做了訂單不承認(rèn)；商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易等。

5.惡意破壞

由于攻擊者可以接入網(wǎng)絡(luò)，則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。

三、電子商務(wù)安全技術(shù)

1.密碼技術(shù)

密碼技術(shù)是信息安全的核心技術(shù)。對(duì)信息安全的需求大部分可以通過(guò)密碼技術(shù)來(lái)實(shí)現(xiàn)。密碼技術(shù)包括加密、簽名認(rèn)證和密鑰管理技術(shù)等。

(1)加密技術(shù)。數(shù)據(jù)加密的基本過(guò)程就是對(duì)原來(lái)為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來(lái)內(nèi)容，通過(guò)這樣的途徑來(lái)達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取、閱讀的目的。加密技術(shù)通常分為兩大類:“對(duì)稱式”和“非對(duì)稱式”。加密技術(shù)是保證電子商務(wù)安全的重要手段，許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)。

(2)數(shù)字簽名。在電子商務(wù)安全系統(tǒng)中，數(shù)字簽名技術(shù)占有重要的地位。在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中，都要用到數(shù)字簽名技術(shù)。數(shù)字簽名就是基于加密技術(shù)的，它的作用就是用來(lái)確定用戶是否是真實(shí)的。目前，數(shù)字簽名一般都通過(guò)單向Hash函數(shù)來(lái)實(shí)現(xiàn)，它可以驗(yàn)證交易雙方數(shù)據(jù)的完整性。通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可抵賴性。數(shù)字簽名技術(shù)將具有廣闊的應(yīng)用前景，它將直接影響電子商務(wù)的發(fā)展。

(3)密鑰管理技術(shù)。密鑰管理包括密鑰的產(chǎn)生、存儲(chǔ)、裝入、分配、保護(hù)、丟失、銷毀以及保密等內(nèi)容。其中分配和存儲(chǔ)是最棘手的問(wèn)題。密鑰管理不僅影響系統(tǒng)的安全性，而且涉及系統(tǒng)的可靠性、有效性和經(jīng)濟(jì)性。在用密碼技術(shù)保護(hù)的現(xiàn)代信息系統(tǒng)的安全性主要取決于對(duì)密鑰的保護(hù)。密鑰管理技術(shù)主要包括：對(duì)稱密鑰管理;公開密鑰管理，第三方托管技術(shù)。

2.網(wǎng)絡(luò)安全技術(shù)

（1)防火墻技術(shù)。防火墻可以根據(jù)網(wǎng)絡(luò)安全水平和可信任關(guān)系將網(wǎng)絡(luò)劃分成一些相對(duì)獨(dú)立的子網(wǎng)，兩側(cè)間的通信受到防火墻的檢查控制；可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過(guò)，同時(shí)將安全策略不允許的用戶與數(shù)據(jù)包隔斷，達(dá)到保護(hù)高安全等級(jí)的子網(wǎng)、防止墻外黑客的攻擊、限制入侵蔓延等目的。防火墻具有以下五大基本功能:過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為；封堵某些禁止行為；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。目前的防火墻主要有兩種類型。其一是包過(guò)濾型防火墻，其二是應(yīng)用級(jí)防火墻。

（2)虛擬專用網(wǎng)VPN技術(shù)。虛擬專用網(wǎng)VPN是一種特殊的網(wǎng)絡(luò)，它采用一種叫做“通道”或“數(shù)據(jù)封裝”的系統(tǒng)，用公共網(wǎng)絡(luò)及其協(xié)議向貿(mào)易伙伴、顧客、供應(yīng)商和雇員發(fā)送敏感的數(shù)據(jù)。這種通道是Internet上的一種專用通道，可保證數(shù)據(jù)在外部網(wǎng)上的企業(yè)之間安全地傳輸。在VPN中，只要通信的雙方默認(rèn)即可，沒(méi)有必要為所有的VPN進(jìn)行統(tǒng)一的加密和認(rèn)證。現(xiàn)有的或正在開發(fā)的數(shù)據(jù)隧道系統(tǒng)可以進(jìn)一步增加VPN的安全性，因而能夠保證數(shù)據(jù)的保密性和可用性。VPN實(shí)現(xiàn)的關(guān)鍵技術(shù)是隧道技術(shù)、加密技術(shù)和QoS（服務(wù)質(zhì)量）技術(shù)。

（3)入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)是防火墻技術(shù)的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。其最重要的價(jià)值之一是它能提供事后統(tǒng)計(jì)分析，所有安全事件或?qū)徲?jì)事件的信息都將被記錄在數(shù)據(jù)庫(kù)中，通過(guò)從各個(gè)角度對(duì)這些事件進(jìn)行分析歸類，可以總結(jié)出被保護(hù)網(wǎng)絡(luò)的安全狀態(tài)的現(xiàn)狀和趨勢(shì)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)或主機(jī)中存在的問(wèn)題或漏洞，并可歸納出相應(yīng)的解決方案。入侵檢測(cè)的主要方法有：靜態(tài)配置分析，異常性檢測(cè)方法、基于行為的檢測(cè)方法及幾種方法的組合。

（4)安全交易協(xié)議。除了各種安全控制技術(shù)之外，電子商務(wù)的運(yùn)行還需要一套完整的安全交易協(xié)議。不同交易協(xié)議的復(fù)雜性、開銷、安全性各不同。同時(shí)，不同的應(yīng)用環(huán)境對(duì)協(xié)議目標(biāo)的要求也不盡相同。目前，比較成熟的協(xié)議有安全套接層協(xié)議(SSL)和安全電子交易協(xié)議(SET)。

三、小結(jié)

用于保護(hù)電子商務(wù)的安全控制技術(shù)很多，并非把這些技術(shù)簡(jiǎn)單地組合就可以得到安全。但是通過(guò)合理應(yīng)用安全控制技術(shù)，并進(jìn)行有機(jī)結(jié)合，就可從技術(shù)上實(shí)現(xiàn)系統(tǒng)、有效的電子商務(wù)安全。

參考文獻(xiàn):

[1]張立克:電子商務(wù)及其安全保障技術(shù)[J].水利電力機(jī)械，2007，29(2):69～74

[2]祝凌曦:電子商務(wù)安全[D].北京:清華大學(xué)出版社，2006

[3]夏穎:電子商務(wù)中的信息安全技術(shù)[J].電腦知識(shí)與技術(shù)，2005，(8):51～53

[4]劉明珍:電子商務(wù)中的信息安全技術(shù)[J].湖南人文科技學(xué)院學(xué)報(bào)，2006，(3):48～51