電子商務的信息安全研究

摘要:在二十一世紀中，電子商務已經成為一切經濟活動不可或缺的組成元素，但安全問題始終是影響電子商務發展的瓶頸，要保證電子商務的順利發展，就必須高度重視安全問題，而信息安全更是研究的重點。該文通過對電子商務現狀、對信息安全需求分析，探討了電子商務安全技術體系結構，提出了電子商務應用中所要采取的主要安全防范措施。文中側重討論了其中的防火墻技術、VPN技術、數字簽名技術、數字認證等核心技術。

關鍵詞:電子商務;信息安全;密碼技術;認證技術

中圖分類號:TP309文獻標識碼:A文章編號:1009-3044(2010)11-2821-03

The Research of the Information Security on Electronic Commerce

CHENG Shao-li

(Heilongjiang Provincial Party Committee School， Harbin 150000， China)

Abstract: In the 21st century， the electronic commerce has already become an indispensable element of economic activities. However the security problem is still the bottleneck affecting the development of electronic commerce throughout. In order to guarantee the electronic commerce developing smoothly， we must think much of the security problem， especially the information security. This article has discussed the system structure of the electronic commerce security technology， and the main security measure proposed in the electronic commerce application through describing the present situation of electronic commerce， and the analysis of the information security demand. In the article， it discussed the main technology such as firewall technology， VPN technology， digital signature technology， digital authentication and so on.

Key word: electronic commerce; information security; cryptography; authentication

目前，電子商務已逐步替代了傳統的交易手段，致使越來越多的企業通過互聯網來完成產品交易，更多的消費者現在也都通過電子商務交易平臺來購買自己所需的物品。然而，近年來通過網絡進行的電子商務金融犯罪多達200起，八成的網民對網上交易的安全性表示擔憂，信息安全問題成為困擾網上交易的一大難題[1]。因此，電子商務信息安全問題也就成為了研究的當務之急。

我國信息網絡安全研究歷經了通信保密、數據保護兩個階段，正在進入網絡信息安全研究階段，現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但這些產品安全技術的規范性、完善性、實用性還存在許多不足，理論基礎和自主的技術手段需要發展和強化。

本文從電子商務面臨的安全威脅及其觸發的原因入手，對當前的安全防范技術進行了分析，并著重介紹了防火墻技術、VPN技術和數字證書。

1 電子商務安全概述

電子商務的一個重要技術特征是利用IT技術來傳輸和處理商業信息。因此，電子商務安全從整體上可分為兩大部分:網絡安全和商務交易安全。

網絡安全的內容包括:網絡設備安全、網絡系統安全、數據庫安全等[2]。其特征是針對網絡本身可能存在的安全問題，實施網絡安全增強方案，以保證網絡自身的安全為目標。

商務交易安全則緊緊圍繞傳統商業在互聯網絡上應用時產生的各種安全問題，在網絡安全的基礎上，保障以電子交易和電子支付為核心的電子商務過程的順利進行。即實現電子商務的保密性、完整性、可認證性、不可拒絕性、不可偽造性和不可抵賴性。

網絡安全與商務交易安全實際上是密不可分的，兩者相輔相成，缺一不可。沒有網絡安全作為基礎，商務交易安全就猶如空中樓閣，無從談起。沒有商務交易安全保障，即使網絡本身再安全，仍然無法達到電子商務所特有的安全要求。電子商務安全是以網絡安全為基礎的。

但是，電子商務安全與網絡安全又是有區別的。首先，網絡不可能絕對安全，在這種情況下，還需要運行安全的電子商務。其次，即使網絡絕對安全，也不能保障電子商務的安全。電子商務安全除了網絡基礎要求之外，還有特殊要求。從安全等級來說，從下至上有密碼安全、計算機安全、網絡安全和信息安全之分，而電子商務安全屬于信息安全的范疇，涉及信息的機密性、完整性、認證性等方面。同時，電子商務安全又有它自身的特殊性，即以電子交易安全和電子支付安全為核心，有更復雜的機密性概念，更嚴格的身份認證功能，對不可拒絕性有新的要求，需要有法律依據性和貨幣直接流通性特點，還要網絡設有的其他服務(如數字時間戳服務)等[3]。

與現實商務不同，參與電子商務的各方不需要面對面來進行商務活動，信息流和資金流都可以通過Internet來傳輸。而Internet是一個向全球用戶開放的巨大網絡，其技術上的缺陷和用戶使用中的不良習慣，使得電子商務中的信息流和資金流在通過Internet傳輸時，面臨著各種安全威脅。如信息被截獲和竊取、信息被篡改、信息被假冒、交易抵賴等。一個安全的網絡應該具有可靠性、可用性、完整性等特點，不僅要保護網絡設備安全和系統安全，還要保護數據安全等，所以如果采用一種統一的技術和策略是遠遠不能達到防范的目的的，因此網絡安全機制和技術要不斷地變化才能夠這種危害。

2 電子商務安全防范措施

網絡安全是電子商務的基礎。為了保證電子商務交易能順利進行，要求電子商務平臺要穩定可靠，能不中斷地提供服務。任何系統的中斷，如硬件、軟件錯誤，網絡故障、病毒等都可能導致電子商務系統不能正常工作，而使貿易數據在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經濟損失。

要做到全面的網絡安全，需要綜合考慮各個方面，包括系統自身的硬件和軟件安全，也包括完善的網絡管理制度以及先進的網絡安全技術等。網絡安全防范技術可以從數據的加密/解密算法、安全的網絡協議、網絡防火墻、完善的安全管理制度、硬件的加密和物理保護、安全監聽系統和防病毒軟件等領域來進行考慮和完善。

2.1 防火墻技術

通過Internet，企業可以從異地取回重要數據，同時又要面對Internet帶來的數據安全的新挑戰和新危險:即客戶、推銷商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此，企業必須加筑安全的“壕溝”，而這個“壕溝”就是防火墻。防火墻系統決定了哪些內容服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過，而且防火墻本身必須能夠免于滲透。

防火墻的體系結構包括[4]:

1)雙重宿主主機體系結構

雙重宿主主機體系結構圍繞雙重宿主主機構筑。雙重宿主主機至少有兩個網絡接口。這樣的主機可以充當與這些接口相連的網絡之間的路由器;它能夠從一個網絡到另外一個網絡發送IP數據包。然而雙重宿主主機的防火墻體系結構禁止這種發送。因此IP數據包并不是從一個網絡(如外部網絡)直接發送到另一個網絡(如內部網絡)。外部網絡能與雙重宿主主機通信，內部網絡也能與雙重宿主主機通信。但是外部網絡與內部網絡不能直接通信，它們之間的通信必須經過雙重宿主主機的過濾和控制。

2)被屏蔽主機體系結構

被屏蔽主機體系結構是指通過一個單獨的路由器和內部網絡上的堡壘主機共同構成防火墻，主要通過數據包過濾實現內、外部網絡的隔離和對內網的保護。

在被屏蔽主機體系結構中，有兩道屏障，一道是屏蔽路由器，另一道是堡壘主機。屏蔽路由器位于網絡的最邊緣，負責與外網連接，并且參與外網的路由計算，它不提供任何服務，僅提供路由和數據包過濾功能，因此本身比較安全。堡壘主機存放在內部網絡中，是內部網絡中唯一可以連接到外部網絡的主機，也是外部用戶訪問內部網絡資源必須經過的主機設備。

3)被屏蔽子網體系結構

被屏蔽子網體系結構添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步的把內部網絡和外部網絡(通常是Internet)隔離開。被屏蔽子網體系結構的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網。一個位于周邊網與內部網絡之間，另一個位于周邊網與外部網絡(通常為Internet)之間。這樣就在內部網絡與外部網絡之間形成了一個“隔離帶”。為了侵入用這種體系結構構筑的內部網絡，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，他將仍然必須通過內部路由器。

在圖1中，我們看到了防火墻是設置在接入Internet的路由器后端，將B2B電子商務網絡劃分為三個區域(外部網絡、非軍事化區和內部網絡)。

2.2 VPN技術

虛擬專用網(Virtual Private Network，簡稱VPN)系指將物理上分布在不同地點的網絡通過公用骨干網聯接而形成邏輯上的虛擬“私”網，依靠IPS(Internet Service Provider，互聯網服務提供商)或NSP(Network Service Provider，網絡服務提供商)在安全隧道、用戶認證和訪問控制等相關技術的控制下達到與專用網絡類同的安全性能，從而實現基于Internet安全傳輸重要信息的效應。

由于VPN(虛擬專用網絡)傳輸的是私有信息，VPN用戶對數據的安全性都比較關心。目前VPN主要采用四項技術來保證安全，這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)[5]。

2.3 數字簽名技術

為了保證數據和交易的安全、防止欺騙，確認交易雙方的真實身份，電子商務必須采用加密技術。數字簽名就是基于加密技術的，它的作用就是用來確定用戶是否是真實的。數字簽名就是通過一個單向哈希函數對要傳送的報文進行處理而得到的用以認證報文是否發生改變的一個字母數字串。發送者用自己的私鑰把數據加密后傳送給接收者，接收者用發送者的公鑰解開數據后，就可確認消息來自于誰，同時也是對發送者發送的信息真實性的一個證明，發送者對所發信息不可抵賴，從而實現信息的有效性和不可否認性。從動態過程看，數字簽名技術就是利用數據加密技術、數據變換技術，根據某種協議來產生一個反映被簽署文件和簽署人特性的數字化簽名，涉及被簽署文件和簽署人兩個主體，密碼技術是數字簽名的基礎。

3 電子商務的安全認證體系

隨著計算機的發展和社會的進步，通過網絡進行的電子商務活動當今社會越來越頻繁，身份認證是一個不得不解決的重要問題，它將直接關系到電子商務活動能否高效而有序地進行。認證體系在電子商務中至關重要，它是用戶獲得訪問權限的關鍵步驟。現代密碼的兩個最重要的分支就是加密和認證。加密目的就是防止敵方獲得機密信息。認證則是為了防止敵方的主動攻擊，包括驗證信息真偽及防止信息在通信過程被篡改刪除、插入、偽造及重放等。認證主要包括三個方面:消息認證、身份認證和數字簽名[6]。

身份認證一般是通過對被認證對象(人或事)的一個或多個參數進行驗證。從而確定被認證對象是否名實相符或有效。這要求要驗證的參數與被認證對象之間應存在嚴格的對應關系，最好是惟一對應的。身份認證是安全系統中的第一道關卡。

數字證書是在互聯網通信中標志通信各方身份信息的一系列數據，提供了一種Internet上驗證用戶身份的方式，其作用類似于司機的駕駛執照或身份證。它是由一個權威機構——CA機構，又稱為證書授權(Certificate Authority)中心發行的，人們可以在網上用它識別彼此的身份。

數字證書是一個經授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的簽名。一般情況下證書還包括密鑰的有效時間，發證機關的名稱，該證書的序列號等信息[7]。

4 結束語

安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。因此，為進一步促進電子商務體系的完善和行業的健康快速發展，必須在實際運用中解決電子商務中出現的各類問題，使電子商務系統相對更安全。電子商務的安全運行必須從多方面入手，僅在技術角度防范是遠遠不夠的，還必須完善電子商務立法，以規范飛速發展的電子商務現實中存在的各類問題，從而引導和促進我國電子商務快速健康發展。

參考文獻:

[1] 祝凌曦.電子商務安全[M].北京:北方交通大學出版社，2006.

[2] 勞幗齡.電子商務的安全技術[M].北京:中國水利水電出版社，2005.

[3] 趙泉.網絡安全與電子商務[M].北京:清華大學出版社，2005.

[4] 肖和陽，盧嫣.電子商務安全技術[M].長沙:國防科技大學出版社，2005.

[5] 樊晉寧.電子商務的安全問題和相應措施[J].科技情報開發與經濟，2004，14(8).

[6] 楊德禮，王茜.電子商務的安全體系結構及技術研究[J].計算機工程，2003，29(1).

[7] 屈武江，五斌.電子商務安全與支付技術[M].北京:中國人民大學出版社，2006.