電子商務中的安全技術研究

諸劍杰 徐妙君

（浙江海洋學院數理與信息學院 浙江 舟山 316004）

0 引言

隨著互聯網的飛速發展，電子商務也得到了前所未有的發展，已經在國際貿易中占據了重要的地位，這種經營模式是以計算機技術和通信技術、網絡技術為依托的，運用電子數據交換和電子郵件、電子支付的方式來實現整個商務活動。但是其安全性問題也日益突出，其中的網絡安全和交易安全問題是實現電子商務的關鍵之所在。構建一個安全便捷的電子商務環境已經是影響著電子商務是否能健康發展的至關重要的因素。

1 電子商務的安全性要求

電子商務(Electronic Commerce，EC）中維護信息的保密性是十分重要的，這就要在信息的存取和傳輸階段做好預防措施，來保證信息的安全。利用密碼技術可以達到對電子商務安全的需求，保證商務交易的機密性、完整性、真實性和不可否認性等。

電子商務中的信息面臨著被非法存取或竊取的威脅，這就要求必須保證電子商務的安全，也就導致了對報文保密性的需求，因此，要真正實現一個安全可靠的電子商務系統，需要做到以下幾個方面：

1.1 鑒別性，由于電子商務是基于開放的網絡環境的，所以貿易雙方的個人或企業中完成交易，要保證信息的安全，首先就要保證交易雙方身份的確定性。因此，電子商務中非常重要的一環就是鑒別并確認交易雙方的身份。這樣就能保證交易雙方身份的真實性，使得他們在互不見面的虛擬網絡中也能夠確認對方的身份。一般情況下，通過認證中心（Certificate Authority，CA）和證書就能實現電子商務對交易雙方身份的鑒別性。

1.2 有效性，與傳統的貿易方式的最大不同在于，電子商務以電子形式取代紙張來進行信息的發送和接收，因此，這種電子形式的貿易信息的有效性就直接關系到電子商務能否順利持續的開展。作為一種新型的以網絡為平臺的貿易手段，電子商務中貿易信息的有效性與貿易雙方的經濟利益和聲譽有著直接的關系，這可能會影響到個人、企業甚至國家。因此，必須保證貿易的信息數據在確定時間、地點的有效性，這就必須控制和預防因操作錯誤、網絡故障、硬件故障、計算機病毒及系統軟件故障所引起的各種潛在威脅和隱患。

1.4 完整性，由于采用電子形式進行交易，所以電子商務減少了貿易的人為干預并簡化了傳統的貿易過程，但是，如何維護貿易雙方的信息的統一性和完整性也是電子商務所要面臨的一個難題。導致貿易雙方信息差異的因素有很多，比如數據輸入時的意外差錯或故意的欺騙行為，傳輸過程中的數據意外丟失、重復等。因此，在電子商務中必須保證貿易雙方信息的完整性和統一性，它不僅對貿易雙方的交易和經營策略有影響，也是電子商務廣泛應用的基礎和前提。一般情況下，提取貿易信息的消息摘要就可以確定其完整性。

1.5 不可抵賴性，無論是傳統的貿易還是電子商務，貿易抵賴是一個常見的問題。在傳統的紙面貿易中，由于紙質合同的存在，使得貿易雙方可以通過簽訂合同、契約或單據的形式來鑒別貿易伙伴并確認交易決定。然而，電子商務是無紙化的方式，傳統的簽訂合同或契約的方法已經無效。因此，要采用新的方式來制約交易雙發，比如在交易信息的傳輸過程中為交易雙方提供可靠的標識。實現電子商務不可抵賴性的常用方法是采用數字簽名對發送的消息進行標識。

2 電子商務數據安全技術

為了解決關鍵業務的數據安全問題，首先，對數據系統進行全面、可靠、安全和多層次的備份是必不可少的，除此以外，各種安全產品，無論防火墻、防病毒、防黑客、防入侵等等都或多或少地肩負著一些保護數據的責任。從保護數據的角度講，對數據安全這個廣義概念，可以細分為三部分：數據加密、數據傳輸安全和身份認證管理。

2.1 數據加密技術

數據加密技術是最基本的安全技術，被譽為信息安全的核心，最初主要用于保證數據在存儲和傳輸過程中的保密性。密碼技術的發展已經相對成熟，許多加密算法已經應用到網絡安全和商務信息安全領域，為電子商務的安全提供了可靠有效的保障。

數據加密（Data Encryption）技術是指將一個信息（或稱明文，Plain Text）經過加密鑰匙（Encryption Key）及加密函數轉換，變成無意義的密文（cipher text），而接收方則將此密文經過解密函數、解密鑰匙（Decryption key）還原成明文。數據加密技術要求只有在指定的用戶或網絡下，才能解除密碼而獲得原來的數據，這就需要給數據發送方和接受方以一些特殊的信息用于加解密，這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的，具體過程見圖1所示。

圖1 數據的加密解密過程

按加密算法分為對稱密鑰和非對稱密鑰兩種，它通過變換和置換等各種方法將被保護信息置換成密文，然后再進行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。

2.1.1 對稱密鑰

(1) 硝基苯酚處理：分別用0、70、140、280、560 μmol/L的硝基苯酚處理水稻幼苗，于培養室培養5 d 后，測定水稻幼苗生理指標；不同實驗組各處理6株水稻幼苗。硝基苯酚處理前用少量無水乙醇助溶(對照組加等量無水乙醇)，然后加蒸餾水配制成實驗所需濃度。

對稱密鑰，又稱專用密鑰為或單密鑰，加密和解密時使用同一個密鑰，即同一個算法。如DES（Data Encryption Standard）和美國麻省理工大學（MIT）的 Kerberos算法。單密鑰是最簡單方式，通信雙方必須交換彼此密鑰，當需給對方發信息時，用自己的加密密鑰進行加密，而在接收方收到數據后，用對方所給的密鑰進行解密。當一個文本要加密傳送時，該文本用密鑰加密構成密文，密文在信道上傳送，收到密文后用同一個密鑰將密文解出來，形成普通文體供閱讀。在對稱密鑰中，密鑰的管理極為重要，一旦密鑰丟失，密文將無密可保。這種方式在與多方通信時因為需要保存很多密鑰而變得很復雜，而且密鑰本身的安全就是一個問題。

2.1.2 非對稱密鑰

非對稱密鑰，又稱公開密鑰，加密和解密時使用不同的密鑰，即不同的算法。是用一個密鑰進行加密，而用另一個密鑰進行解密。其中加密密鑰是可以公開的，又稱公開密鑰（Public Key），簡稱公鑰。解密密鑰必須保密又稱私人密鑰（Private Key），簡稱私鑰。公鑰密碼算法的主要特點是密鑰在加密和解密過程中是不同的，因此它可以實現多個用戶加密的消息但只能由一個用戶解讀明文或者說只能由一個用戶加密消息但多個用戶可以解讀。前者是用于公共網絡中實現的保密通信，而后者是可用于認證系統中對消息進行數字簽名。在加密文件中使用公鑰密碼算法時，只有使用匹配的一對公鑰和私鑰時，才能夠完成對明文的加密和密文的解密過程。加密明文時采用的是公鑰加密，解密密文時采用的是私鑰才能完成解密，這樣便可以閱讀明文，而且在發送方即加密者知道收信方的公鑰，只有收信方即解密者才是唯一知道自己私鑰的人。

2.2 身份認證技術

為了保證電子商務中交易的安全性，首先要保證在計算機網絡中的操作者身份必須是真實有效的，身份認證技術便一直是網絡安全的主要研究方面之一。計算機網絡世界中一切信息包括用戶的身份信息都是用一組特定的數據來表示的，計算機只能識別用戶的數字身份，所有對用戶的授權也是針對用戶數字身份的授權。如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者，也就是說保證操作者的物理身份與數字身份相對應，身份認證技術就是為了解決這個問題，作為防護網絡資產的第一道關口，身份認證有著舉足輕重的作用。通常有以下幾種常用的認證方式：

2.2.1 靜態密碼

用戶的密碼是由用戶自己設定的。在網絡登錄時輸入正確的密碼，計算機就認為操作者就是合法用戶。實際上，由于許多用戶為了防止忘記密碼，經常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙上放在一個自認為安全的地方，這樣很容易造成密碼泄漏。如果密碼是靜態的數據，在驗證過程中 需要在計算機內存中和傳輸過程可能會被木馬程序或網絡中截獲。因此，靜態密碼機制無論是使用還是部署都非常簡單，但從安全性上講，用戶名/密碼方式一種是不安全的身份認證方式。

2.2.2 智能卡（IC 卡）

一種內置集成電路的芯片，芯片中存有與用戶身份相關的數據，智能卡由專門的廠商通過專門的設備生產，是不可復制的硬件。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。智能卡認證是通過智能卡硬件不可復制來保證用戶身份不會被仿冒。然而由于每次從智能卡中讀取的數據是靜態的，通過內存掃描或網絡監聽等技術還是很容易截取到用戶的身份驗證信息，因此還是存在安全隱患。

2.2.3 短信密碼

短信密碼以手機短信形式請求包含6位隨機數的動態密碼，身份認證系統以短信形式發送隨機的6位密碼到客戶的手機上?？蛻粼诘卿浕蛘呓灰渍J證時候輸入此動態密碼，從而確保系統身份認證的安全性。

2.2.4 動態口令牌

目前最為安全的身份認證方式，也是一種動態密碼。動態口令牌是客戶手持用來生成動態密碼的終端，主流的是基于時間同步方式的，每60秒變換一次動態口令，口令一次有效，它產生6位動態數字進行一次一密的方式認證。

2.2.5 USB Key

基于USB Key的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USB Key內置的密碼算法實現對用戶身份的認證。

2.2.6 數字簽名

數字簽名是目前電子商務、電子政務中應用最普遍、技術最成熟、可操作性最強的一種電子簽名方法。所謂“數字簽名”就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替手書簽名或印章。實現數字簽名有很多種方法，但是目前數字簽名采用較多的技術還是公鑰加密技術，例如RSA算法、基于離散對數算法和Hash函數算法等等。

2.2.7 雙重身份認證系統

所謂雙重也稱為雙因素身份認證系統就是將兩種認證方法結合起來，進一步加強認證的安全性，目前使用最為廣泛的雙重身份認證有：動態口令牌+靜態密碼；USB KEY+靜態密碼；二層靜態密碼等等，目的就是為身份認證多加一道保護傘。

3 結束語

目前，電子商務已經成為人們生活不可缺少的部分，其安全技術必定會日新月異的變化，本文只給出了目前廣泛使用的在電子商務上的安全技術，隨著技術的進步，還有很多技術必將出現在電子商務中，保證我們的電子商務活動安全可靠。

［1］王林國.基于電子商務安全問題的探討[J].中國商貿，2011（09）：100-101.

［2］陳月榮.數字簽名技術在電子商務中的應用[D].淮北師范大學，2011.

［3］孫健瑋.基于CFB模式的電子商務加密解密方法的研究與實現[D].吉林大學，2011.

［4］呂玉珠.電子商務中的身份認證技術及安全支付研究[J].中國商貿，2012（01）：161-162.

［5］姚樂靜，葉晰.淺析電子商務網站的身份認證技術[J].商場現代化，2012（06）：48-49.

［6］杜娟.電子商務安全與數據加密技術淺析[J].現代經濟信息，2012（01）：321-322.