網絡安全技術在電子商務中的應用

[摘 要] 本文在分析電子商務主要安全因素的基礎上，具體介紹目前電子商務領域的三種安全技術，來消除電子商務活動中的安全隱患。

[關鍵詞] 網絡安全 電子商務 防火墻 密鑰 身份認證

一、概述

隨著信息技術在貿易和商業領域廣泛應用，利用計算機、網絡通信技術和因特網實現商務活動的國際化、信息化和無紙化，已成為各國商務發展的一大趨勢。電子商務正是為適應這種以全球為市場的的變化而出現并發展起來的，它是當今社會發展最快的領域之一，同時也為全球的經濟發展帶來新的增長點。電子商務EC是指人們利用電子化手段進行以商品交換為中心的各種商務活動，如公司、廠家等與消費者個人利用計算機進行的商務活動，也可稱為電子交易，包括電子商情、電子廣告、電子購物等不同層次的電子商務活動。電子商務可以通過多種電子通信方式來完成，目前人們所談論的主要是以電子數據交換（EDI）和Internet來完成的。

在電子商務的交易中，經濟信息、資金都要通過網絡傳輸，交易雙方的身份也需認證，故電子商務的安全性主要是網絡平臺的安全和交易信息的安全。而網絡平臺的安全是指網絡操作系統對抗網絡攻擊、病毒，使網絡系統連續穩定的運行。常用的保護措施有防火墻技術、網絡入侵檢測技術、網絡防毒技術。交易信息的安全是指保護交易雙方的不被破壞、不泄密，和交易雙方身份的確認。可以用數據加密、數字簽名、數字證書、ssl 、set安全協議等技術來保護。在這里我想重點談談防火墻技術、數據加密技術和身份認證技術。

二、電子商務的安全技術之一——防火墻技術

防火墻技術是一個在內部網和外部網之間的界面上所構造的保護屏障，由軟件系統和硬件設備組合而成的。防火墻能保障網絡用戶訪問公用網絡具有最低風險，同時也能保護專用網絡免遭外部襲擊。所有的內部網和外部網、專用網和公共網之間的連接都必須經過防火墻的檢查、認證和連接，只有被授權的通信才能通過此保護層，從而保證了網絡的安全。防火墻如圖1所示。

實現防火墻技術的主要途徑有：數據包過濾和代理服務。

1.數據包過濾，這是基于路由器的防火墻，是在網絡層對數據包實施有選擇的放行。事先在防火墻內設計好一個過濾邏輯，對于通過防火墻的數據流的數據包逐個根據其源地址、目的地址、所用的TCP端口與TCP鏈路狀態進行檢查，確定是否允許它通過。

2.代理服務，這是基于代理服務器的防火墻，是由一個高層的應用網關作為代理服務器，接受外來的應用連接請求，進行安全檢查后再與被保護的網絡應用服務器連接，使得外部服務用戶可以在受控制的前提下使用內部網絡服務。同樣，內部網絡的服務連接也可以受到監控。應用網關的代理服務實體將對所有通過它的連接做出日志記錄，以便對安全漏洞檢查并收集相關的信息。基于包過濾的防火墻和基于代理服務器的防火墻各有其特點，前者通常直接轉發報文，它對用戶完全是透明的，速度較快；后者是通過代理服務器建立連接，它有更強的身份驗證和日志功能。一種新的產品是復合型防火墻，即把包過濾型防火墻和代理服務器型防火墻結合起來，以發揮各自的優點，克服各自的缺點，滿足更高安全性的要求。

三、電子商務的安全技術之二——數據加密技術

數據加密技術是將明文采取數學方式轉換成為密文，只有特定接收方才能將其解密還原成為明文的過程。數據加密及其相關技術應用可有效解決電子商務交易中信息的完整性、不可抵賴性和交易身份確定性等問題。明文是加密前的原始信息，密文是明文被加密后的信息，一般是毫無識別意義的字符序列。密鑰是指控制加密算法和解密算法得以實現的關鍵信息，加密密鑰和解密密鑰可以相同，也可以不同，一般由通信雙方所掌握。數據加密技術根據加密密鑰和解密密鑰是否相同，分為對稱密鑰加密和非對稱密鑰加密。對稱密鑰加密加密、解密時使用同一個密鑰。對稱密鑰加密如圖2所示。

對稱密鑰加密算法中最著名的算法是DES，這是一種使用56個數據位的密鑰來操作64位數據塊的加密算法。DES運算速度快，適合對大量數據的加密，但缺點是密鑰的安全分發困難。非對稱加密，加密密鑰和解密密鑰不同。非對稱密鑰加密如圖3所示。

在非對稱密鑰加密技術中，每個用戶都有一對選定的密鑰，一個可以公開，即公共密鑰，用于加密。另一個由用戶安全擁有，即秘密密鑰，用于解密。當給對方發信息時，用對方的公開密鑰進行加密，而在接收方收到數據后，用自己的秘密密鑰是行解密。

實現非對稱密鑰加密體制的典型算法是RSA算法，這種算法的缺點是運算速度太慢，比DES慢幾個數量級，因此只適合對少量關鍵數據的加密，但優點是易于密鑰的安全分發。

由于對稱密鑰加密技術和非對稱密鑰加密技術各有優缺點，在電子商務數據加密時通常兩者結合使用，對關鍵性的核心機密數據采用非對稱密鑰加密技術，而對大批量數據進行加密時則采用對稱密鑰加密技術。

四、電子商務的安全技術之三——身份認證技術

為解決Internet的安全問題，世界各國對其進行了多年的研究，初步形成了一套完整的Internet安全解決方案，即目前被廣泛采用的PKI體系結構。PKI體系結構采用證書管理公鑰，通過第三方的可信機構CA，把用戶的公鑰和用戶的其他標識信息捆綁在一起，在Internet網上驗證用戶的身份，PKI體系結構把公鑰密碼和對稱密碼結合起來，在Internet網上實現密鑰的自動管理，保證網上數據的機密性、完整性。

在電子交易中，無論是數字時間戳服務還是數字證書的發放，都不是靠交易的自己能完成的，而需要有一個具有權威性和公正性的第三方來完成。認證中心就是承擔網上安全電子交易認證服務、能簽發數字證書、并能確認用戶身份的服務機構。認證中心通常是企業性的服務機構，主要任務是受理數字憑證的申請、簽發及對數字憑證的管理。認證中心依據認證操作規定來實施服務操作。

1.認證系統的基本原理。利用RSA公開密鑰算法在密鑰自動管理、數字簽名、身份識別等方面的特性，可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統。這個可信的第三方認證系統也稱為CA，CA為用戶發放電子證書，用戶之間利用證書來保證信息安全性和雙方身份的合法性。

2.認證系統結構。整個系統是一個大的網絡環境，系統從功能上基本可以劃分為CA、RA和Web Publisher。

核心系統CA放在一個單獨的封閉空間中，為了保證運行的絕對安全，其人員及制度都有嚴格的規定，并且系統設計為一離線網絡。CA的功能是在收到來自RA的證書請求時，頒發證書。一般的個人證書發放過程都是自動進行，無須人工干預。

證書的登記機構，簡稱RA，分散在各個網上銀行的地區中心。RA與網銀中心有機結合，接受客戶申請，并審批申請，把證書正式請求通過建設銀行企業內部網發送給CA中心。RA與CA雙方的通信報文也通過RSA進行加密，確保安全。系統的分布式結構適于新業務網點的開設，具有較好的擴充性。通信協議為TCP/IP。

證書的公布系統Web Publisher，簡稱WP，置于Internet網上，是普通用戶和CA直接交流的界面。對用戶來講它相當于一個在線的證書數據庫。用戶的證書由CA頒發之后，CA用E-mail通知用戶，然后用戶須用瀏覽器從這里下載證書。

證書鏈服務是一個CA擴展其信任范圍或被認可范圍的一種實現機制。如果企業或機構已經建立了自己的CA系統，通過第三方認證中心對該機構或企業的CA簽發CA證書，能夠使得該企業或機構的CA發放的證書被所有信任第三方認證中心的瀏覽器、郵件客戶所信任。

3.中國金融認證中心CFCA的建設情況。中國對電子商務的發展也給予了應有的重視。中國金融認證中心CFCA，已于2000年6月29日開始對社會各界提供證書服務，系統進入運行狀態。中國金融認證中心作為一個權威的、可信賴的、公正的第三方信任機構，為參與電子商務各方的各種認證需求提供證書服務，建立彼此的信任機制，為全國范圍內的電子商務及網上銀行等網上支付業務提供多種模式的認證服務，在不遠的將來實現與國外CA的交叉認證。

五、小結

本文分析了目前電子商務領域所使用的安全技術：防火墻技術，數據加密技術和身份認證技術，指出了它們分別的使用范圍及其優缺點，但必須強調說明的是，電子商務的安全運行，僅從技術角度防范是遠遠不夠的，還必須完善電子商務立法，以規范飛速發展的電子商務現實中存在的各類問題，從而引導和促進我國電子商務快速健康發展。

參考文獻：

[1]王玉娟 史玉珍 王 靜:電子商務中的網絡安全技術[J].平頂山師專學報，2004年02期

[2]王曉斌 吳志紅:網絡安全與電子商務[J].沈陽航空工業學院學報，2003年02期

[3]樊晉寧:電子商務的安全問題和相應措施[J].科技情報開發與經濟；2004年08期