電子商務中的信息安全技術

丁榮榮

（吉林廣播電視大學 教學處，吉林 長春 130022）

電子商務中的信息安全技術

丁榮榮

（吉林廣播電視大學 教學處，吉林 長春 130022）

隨著信息科技的發展，電子商務在現代商務活動中正變得日趨重要.Internet所具有的開放性是電子商務方便快捷、廣泛傳播的基礎 ,而開放性本身又會使網上交易面臨種種危險.安全問題始終是電子商務的核心和關鍵問題.本文根據電子商務的特點分析了存在危險的原因，并且從多方面提出了解決這些危險的方案.

電子商務；Internet；網絡安全

電子商務(E-C o m m e r c e)是指利用電子網絡進行的商務活動,即指利用電子數據交換、電子郵件、電子資金轉賬和I n t e r n e t等主要技術在個人、企業和國家之間進行無紙化的信息交換,包括商品信息及其訂購信息、資金信息及其支付信息、安全及其認證信息等,即以現代信息技術為手段,以經濟效益為中心的現代化商業運轉模式.其最終目標是實現商務活動的網絡化、自動化與智能化.

1 電子商務的特點

電子商務將傳統商業活動中物流、資金流、信息流的傳遞方式利用網絡科技整合,企業將重要的信息以全球信息網、企業內部網(I n t r a n e t)或外聯網(E x-t r a n e t)直接與分布各地的客戶、員工、經銷商及供應商連接,創造更具競爭力的經營優勢.與傳統的商務活動方式相比,電子商務具有以下幾個特點:

1.1 交易網絡化

交易過程均通過計算機互聯網絡完成,整個交易完全虛擬化.賣方到網絡管理機構申請域名,制作主頁.而虛擬現實、網上聊天等新技術的發展使買方能夠根據自己的需求選擇廣告,并將信息反饋給賣方.整個交易都在網絡這個虛擬的環境中進行.

1.2 交易成本低

1.2.1 使用國際互聯網進行信息傳遞的成本相對于傳統的信件、電話、傳真的成本低很多，同時縮短時間及減少重復的數據錄入也降低了信息成本.

1.2.2 買賣雙方通過網絡進行商務活動，無需中介者參與，減少了交易環節，也降低了雙方交易成本.

1.2.3 通過互聯網進行產品介紹、宣傳，避免了在傳統方式下做廣告、發印刷品等大量費用.

1.2.4 電子商務實行“無紙貿易”，可減少9 0%的文件處理費用.

1.2.5 互聯網有利于買賣雙方及時溝通供需信息，使無庫存生產和無庫存銷售成為可能，從而使庫存成本大大降低.

1.2.6 企業在銷售商品和處理訂單時，用電子商務可以降低詢價、提供報價和確定存貨等活動的處理成本.

1.3 交易覆蓋面廣

因特網幾乎遍及全球的各個角落.賣方通過因特網可以方便地在世界各地尋找市場機會，增加商品的銷售；買方也有了更多的選擇，可以找到更多的供應商和貿易伙伴.電子商務可以使企業能夠更加經濟地經營地理上極為分散的狹小的目標市場.

1.4 交易效率高

電子商務基于網絡技術,克服了傳統貿易方式費用高、易出錯、處理速度慢等缺點,極大地縮短了交易時間,使整個交易非常快捷與方便.

1.5 交易功能全面

電子商務可以全面支持不同類型的用戶實現不同層次的商務目標，如發布電子商情、在線洽談、建立虛擬商場或網上銀行等.

1.6 交易透明化

買賣雙方從交易的洽談、簽約以及貨款的支付、交貨通知等整個交易過程都在網絡上進行.通暢、快捷的信息傳輸可以保證各種信息之間互相核對,可以防止偽造信息的流通.

電子商務與傳統交易相比增強了企業的競爭力擴大了企業的競爭領域，商務活動成本和費用降低而工作效率提高了.此外，電子商務可在網上提供產品的技術支持，2 4小時的在線服務，能十分便捷地獲取客戶反饋意見，改進服務質量，提高客戶的滿意度.因此電子商務的安全性就更加值得注意.

2 電子商務中的網絡安全問題

隨著電子商務的飛速發展,人們開始意識到,電子商務的發展受到許多因素的制約,如社會的認同、交易成本、物流配送、信用與法律問題、安全問題等.在這些問題當中,安全問題是一個核心問題.電子商務基于開放的互連網,大量的信息在網上傳遞,大量的資金在網上劃撥流動,必然面臨各種安全風險,諸如信息泄露或篡改、欺騙、抵賴等.電子商務系統的關鍵是保證交易數據和交易過程的安全.電子商務的安全性包括保密性、認證性、接入控制、完整性、不可否認性和匿名性等方面.網絡安全就是如何保證網絡上存儲和傳輸的信息的安全性.但是由于在互聯網絡設計之初,只考慮方便性、開放性,使得互聯網絡非常脆弱,極易受到黑客的攻擊或有組織的群體入侵,也會由于系統內部人員的不規范使用和惡意破壞,使得網絡信息系統遭到破壞,信息泄露.概括起來,電子商務面臨的安全威脅主要有:(1)信息在網絡的傳輸過程中被截獲;(2)傳輸的信息被篡改;(3)偽造電子郵件;(4)假冒他人身份;(5)不承認已經做過的交易,抵賴.為保證電子商務的正常發展,對電子商務中的網絡安全技術進行研究,發展自主的網絡安全技術是非常關鍵的.

3 保障網絡信息安全的措施

3.1 加密技術

加密技術是電子商務采取的主要保密安全措施,是最常用的保密安全手段.加密是利用基于數學算法的程序和保密的密鑰對信息主要是普通的文本(明文)進行編碼,生成難以理解的字符串(密文),以便只有接收者和發送者才能理解.加密技術一般采用對稱加密技術、非對稱加密技術以及二者的結合等方法.

對稱密鑰密碼體系的優點是加密、解密速度很快(高效)，但缺點也很明顯：密鑰難于共享，需太多密鑰.非對稱密鑰技術的優點是：易于實現，使用靈活，密鑰較少.弱點在于要取得較好的加密效果和強度，必須使用較長的密鑰.因此在使用時兩者經常結合在一起.（圖1分別是對稱加密和非對稱加密算法的加密模型）

3.2 密鑰管理技術

密鑰管理包括密鑰的產生、存儲、裝入、分配、保護、丟失、銷毀以及保密等內容.其中分配和存儲是最棘手的問題.密鑰管理不僅影響系統的安全性,而且涉及到系統的可靠性、有效性和經濟性,在用密碼技術保護的現代信息系統的安全性主要取決于對密鑰的保護,而不是對算法或硬件本身的保護,即密碼算法的安全性完全寓于密鑰之中.對應于對稱加密技術和非對稱加密技術,還要采用相應的密鑰管理技術.

3.3 身份認證技術

在實際系統中,可以采用數字摘要、數字信封、數字簽名、數字時間戳、數字證書、認證中心等技術手段來提高安全性.

3.3.1 數字摘要：也稱為安全H a s h編碼法，簡稱S H A或M D 5，是用來保證信息完整性的一項技術.它是由R o nR i v e s t發明的一種單向加密算法，其加密結果是不能解密的.

3.3.2 “數字信封”(也稱電子信封)技術.具體操作方法是：每當發信方需要發送信息時首先生成一個對稱密鑰，用這個對稱密鑰加密所需發送的報文；然后用收信方的公開密鑰加密這個對稱密鑰，連同加密了的報文一同傳輸到收信方.收信方首先使用自己的私有密鑰解密被加密的對稱密鑰，再用該對稱密鑰解密出真正的報文.

3.3.3 數字簽名建立在公鑰加密體制基礎上，是公鑰加密技術的另一類應用.它把公鑰加密技術和數字摘要結合起來，形成了實用的數字簽名技術.采用數字簽名，應該確定以下兩點：保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認；保證信息自簽發后到收到止未作任何改動，簽發的文件是真實文件.

3.3.4 在電子交易中，時間和簽名同等重要.數字時間戳技術是數字簽名技術一種變種的應用，是由D T S服務機構提供的電子商務安全服務項目，專門用于證明信息的發送時間.

3.3.5 數字證書就是標志網絡用戶身份信息的一系列數據，用于證明某一主體（如個人用戶、服務器等）的身份以及公鑰的合法性的一種權威性的電子文檔，由權威公正的第三方機構，即C A中心簽發.3.3.6 認證中心（C e r t i f i c a t eA u t h o r i t y，簡稱 C A），也稱之為電子商務認證中心，是承擔網上安全電子交易認證服務，能簽發數字證書，確認用戶身份的、與具體交易行為無關的第三方權威機構.認證中心通常是企業性的服務機構，主要任務是受理證書的申請、簽發和管理數字證書.其核心是公共密鑰基礎設施（P K I）.

3.4 安全電子交易協議

在電子交易中,通常采用適當的電子交易協議,如安全套階層協議、安全電子交易協議、N e t B i l l協議、安全超文本傳輸協議、安全交易技術協議等.其中最主要的就是安全套階層協議和安全電子交易協議.

3.4.1 S S L(s e c u r es o c k e t sl a y e r)是由N e t s c a p e C o m m u n i c a t i o n公司是由設計開發的，其目的是通過在收發雙方建立安全通道來提高應用程序間交換數據的安全性，從而實現瀏覽器和服務器（通常是We b服務器）之間的安全通信.

S S L提供的基本服務功能：信息保密、信息完整性和相互認證

3.4.2 S E T協議是信用卡在因特網上進行支付的一種開放式標準，也是銀行卡安全支付的具體規范.該標準采用R S A公開密鑰體制對通信雙方進行認證，采用D E S、R C 4等對稱加密體制加密要傳輸的信息，并用數字摘要和數字簽名技術來鑒別信息的真偽及其完整性，包括了信用卡在電子商務中的交易協定和信息保密、信息完整、身份認證、數字簽名等技術，目前已經被廣為認可而成為國際通用的網上支付標準，其交易形態將成為未來電子商務的規范.S E T的制定與推廣既為業務相互滲透的各家信用卡公司提供了統一的安全通信標準，也促進了信用卡在因特網上作為支付工具的應用.

S E T為電子商務提供的功能：信息保密性；數據的完整性；提供交易者的身份認證和擔保；互操作性.

3.5 訪問控制技術

除了計算機網絡硬設備之外,網絡操作系統是確保計算機網絡安全的最基本部件.它是計算機網絡資源的管理者,必須具備安全的控制策略和保護機制,防止非法入侵者攻破設防而非法獲取資源.因此,授權策略和機制的安全性顯得特別重要.保護可以從物理隔離、時間隔離、密碼隔離幾個方面加以考慮,一般可以采用防火墻和V P N等訪問控制技術來加強防范.

防火墻是一個由軟件和硬件設備組合而成的，在內部網和外部網之間、專用網和公共網之間的界面上構造的保護屏障.防火墻具有限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限.它可以確定哪些內部服務允許外部訪問，哪些外部服務可由內部人員訪問，即它能控制網絡內外的信息交流，提供接入控制和審查跟蹤，是一種訪問控制機制.電子商務是現代信息技術發展的必然結果,也是未來商業運作模式的必然選擇,相應的安全問題是利害攸關的.如果在電子商務客戶機和服務器上沒有充分的安全保護措施,電子商務就不能持久.有效的安全策略和充分的安全檢測與保護措施是保護電子溝通和電子商務交易的唯一方法.信息安全技術所涉及的方面比較廣泛,如操作系統安全、防火墻技術、虛擬專用網技術、各種反黑客技術和漏洞檢測技術等各種網絡安全防范技術.只有綜合采用各種相關的技術手段,才能有效地提高系統的安全性,保證電子商務的健康發展.

〔1〕中國就業培訓技術指導中心.電子商務師國家職業資格培訓教程，2006（8）.

〔2〕馬大川，陳聯剛.電子商務教程.經濟科學出版社，2007(8).

〔3〕王玲麗.電子商務的安全問題研究[D].武漢科技大學,2006.

〔4〕侯勇,亓勝田.電子商務安全技術[J].商場現代化,2007(9).

〔5〕陳兵,王立松.網絡安全與電子商務[M].北京:清華大學出版社,2002.

T P 3 9 3

A

1673-260X（2010）10-0041-03