電子商務數據的安全傳輸方法研究

[摘要] 隨著電子商務的廣泛應用，企業的大量數據需要通過網絡進行傳輸。本文探討了實現數據安全傳輸的幾種方法，并對利用VPN虛擬專用網絡技術實現數據安全傳輸的方法進行了分析、研究。

[關鍵詞] 電子商務安全VPN數據傳輸

一、概述

隨著電子商務的發展，INTERNET已經為眾多的用戶所認可和使用，越來越多的公司、企業和政府部門、科研單位選擇通過INTERNET來傳輸數據和信息。由于INTERNET是一個基于TCP/IP協議的開放式互連網絡，在享受其便利的同時，用戶的數據資源便有被暴露的可能。而對于涉及到的國家政府、軍事、文教等諸多領域，因為其中存貯、傳輸和處理的數據有許多是政府宏觀調控決策、商業經濟信息、銀行資金轉賬、股票證券、能源資源數據、科研數據等重要信息，甚至是國家機密，如果被侵犯，則會在政治、經濟等方面帶來不可估量的損失。所以，在INTERNET上實現數據的安全傳輸就顯得尤其重要。

二、傳統的數據安全傳輸方法

數據安全傳輸主要解決的問題包括傳輸數據的真實性，完整性，機密性。真實性是保證數據接收者能夠驗證消息發送者的真實身份，以防假冒；完整性是指消息接收者能夠判斷接收到數據在傳輸過程中是否被非法篡改，確信收到的是完整的數據；機密性是保證敏感數據通過網絡傳輸不會泄密。要實現數據在網絡上的安全傳輸，有以下幾種方案可供選擇:

1.建立專用通道

在傳統的企業或重點保護單位的組網方案中，要進行本地局域網絡到異地局域網絡互連互通，通常采用建立、租用DDN專線，建立起物理專用通道的，確保數據點到點的直接、準確傳輸。DDN網是同步網，整個網絡傳輸是全透明的，既保證了用戶數據傳輸的安全性，又使得傳輸延時較短，可實現點對點的通信。典型案例如銀行系統，軍事系統，國家重點科研項目實驗室等。這種方法進行數據傳輸時采用的是數據點到點的直接傳輸，如果不是該網絡內部計算機的非法介入，一般不會有網絡黑客非法入侵。這一傳輸過程最安全，可以很好的保持傳輸數據的真實性，完整性，機密性。但是要在需要連接的不同局域網間敷設或租用DDN專線，購買相應交換和路由設備，因此，建立專用通道所花的費用也最高。

2.使用加密技術

使用加密技術的目的是對傳輸中的數據流加密，以防止通信線路上的竊聽、泄漏、篡改和破壞。在發送端，通過數學方法，將待發送數據進行轉換（加密技術），使那些沒有獲得密鑰的人很難讀懂;在接收端，擁有密鑰的人將接收到的加密數據轉換為原來的數據（解密技術）。利用加密技術，可以認證通信的參與者，確認數據傳輸的完整性，而且可以保證通信的私有性。

如果以加密實現的通信層次來區分，加密可以在通信的三個不同層次來實現，即鏈路加密，節點加密，端到端加密。一般常用的是鏈路加密和端到端加密這兩種方式。鏈路加密側重在通信鏈路上而不考慮信源和信宿，是對保密信息通過各鏈路采用不同的加密密鑰提供安全保護。鏈路加密是面向節點的，對于網絡高層主體是透明的，它對高層的協議信息（地址、檢錯、幀頭幀尾）都加密，因此數據在傳輸中是密文的，但在中央節點必須解密得到路由信息。端到端加密則指信息由發送端自動加密，并進入TCP/IP數據包回封，然后作為不可閱讀和不可識別的數據穿過互聯網，當這些信息一旦到達目的地，將自動重組、解密，成為可讀數據。端到端加密是面向網絡高層主體的，它不對下層協議進行信息加密，協議信息以明文形式傳輸，用戶數據在中央節點不需解密。

現在較成熟的加密技術采用Netscape開發的安全套接字層協議SSL(Secure Sockets Layer)。

采用加密技術對物理線路沒有特殊要求，數據在傳輸過程中由于要經過internet路由選擇，每一個加密數據包在傳輸過程中可能會經過不同的路徑到達目的地，其傳輸速率受網絡上每一個包所通過的最慢節點的限制，使得真個傳輸速度受到影響，達不到高速傳輸的要求。

三、利用VPN技術構筑安全的數據傳輸通道

VPN（Virtual Private Network虛擬專用網絡）是一種集以上兩種技術為一體的綜合技術，它通過利用internet現有的物理鏈路，虛擬構建起一條邏輯專用通道（也稱為隧道），并且在數據發送服務器端對數據加密，然后通過這條通道將數據快速高效的傳輸到數據接收端，然后通過數據解密，將數據還原提交給客戶。它為用戶提供了一種通過internet網絡安全地對企業內部專用網絡進行遠程訪問的連接方式。

如圖1是一個典型的建立在硬件防火墻之間的VPN。圖中虛線部分即為一個VPN隧道。

1.虛擬專用網絡VPN主要采用的技術

目前VPN主要采用隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術等安全技術來保證數據的安全傳輸。

隧道技術是VPN的基本技術，類似于點對點連接技術，它在公用網internet上建立一條數據通道(隧道)，讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的，分為第二、三層隧道協議。它們的本質區別在于用戶的數據包是被封裝在哪種數據包中在隧道中傳輸的。第二層隧道協議是先把各種網絡協議封裝到PPP中，再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第三層隧道協議是網絡層協議。是把各種網絡協議直接裝入隧道協議中，形成的數據包依靠第三層協議進行傳輸;加解密技術是數據通信中一項較成熟的技術，VPN可直接利用現有技術;密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取;身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。后三種技術可由SSL協議一起實現。其握手過程可由圖2表示。

2.虛擬專用網絡VPN主要采用的協議

IPSec協議集是虛擬專用網絡VPN主要采用的協議，它由三個主要部分構成:

(1)Internet密鑰交換協議，這個協議在初始協商階段使用，用以確定加密方法、密鑰和其它用于建立安全會話的數據。

(2)認證頭部，在每個IP包插入安全頭部，這個安全頭部用來檢驗數據包在傳輸過程中是否被改動，并且認證數據的發送者。認證頭部不加密IP包的內容，只是確保其內容是有效的。

(3)封裝安全載荷，為了確保私有通信，封裝安全載荷加密IP包的內容以及其他頭部信息。

3.VPN的解決方案

要實際應用先進的VPN技術，主要有四種類型的解決方案：

(1)基于硬件的VPN。具有專門實現諸如認證、封裝、加密和濾通功能的處理器的產品，可提供最高的性能。這類產品通常包括虛擬接人服務器和具備VPN能力的路由器。

(2)基于軟件的VPN。服務器平臺提供與現存遠程接入或路由器選擇模塊配套的VPN軟件模塊，在提供VPN功能時，其性能很受影響。

(3)基于防火墻的VPN。將軟件模塊增加到防火墻包中。

(4)ISP的VPN服務。ISP利用操作自己擁有的基于硬件或防火墻的VPN產品提供可管理的VPN服務。

四、結論

經過VPN的一系列安全技術處理，用戶可以在不建立物理鏈路的基礎上，通過現有的internet網絡構建一條能滿足實際需求的專用通道，在保證數據安全傳輸的同時，提高傳輸效率。隨著網絡技術的不斷發展，以及用戶對數據傳輸安全的強烈要求，VPN將會成為網絡的主要組成部分，VPN技術也將更趨完善，在電子商務應用中起著決定性的作用。

參考文獻:

[2]劉鐵民等:VPN網絡隧道技術的研究 電信工程技術與標準化 2003年12期

[3]李之棠等:防火墻原理與實施 電子工業出版社2001年

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。