電子商務中數(shù)據(jù)的安全傳輸初探

摘 要：隨著電子商務的廣泛應用，企業(yè)的大量數(shù)據(jù)需要通過網(wǎng)絡進行傳輸。對于涉及到的國家政府、軍事、文教、科研、商業(yè)等諸多領(lǐng)域而言，因為其存貯、傳輸和處理的數(shù)據(jù)有許多是政府宏觀調(diào)控決策、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息，甚至是國家機密，如果被侵犯，則會在政治、經(jīng)濟等方面帶來不可估量的損失。所以，在INTERNET上實現(xiàn)數(shù)據(jù)的安全傳輸就顯得尤其重要。

關(guān)鍵詞：電子商務安全；VPN數(shù)據(jù)傳輸；安全傳輸方法

中圖分類號：TM64 文獻標志碼：A 文章編號：1673-291X（2014）02-0225-02

隨著電子商務的發(fā)展，INTERNET已經(jīng)為眾多的用戶所認可和使用，越來越多的公司、企業(yè)和政府部門、科研單位選擇通過INTERNET來傳輸數(shù)據(jù)和信息。由于INTERNET是一個基于TCP/IP協(xié)議的開放式互連網(wǎng)絡，在享受其便利的同時，用戶的數(shù)據(jù)資源便有被暴露的可能。而對于涉及到的國家政府、軍事、文教、科研、商業(yè)等諸多領(lǐng)域而言，因為其存貯、傳輸和處理的數(shù)據(jù)有許多是政府宏觀調(diào)控決策、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息，甚至是國家機密，如果被侵犯，則會在政治、經(jīng)濟等方面帶來不可估量的損失。所以，在INTERNET上實現(xiàn)數(shù)據(jù)的安全傳輸就顯得尤其重要。

一、傳統(tǒng)的數(shù)據(jù)安全傳輸方法

數(shù)據(jù)安全傳輸主要解決的問題包括傳輸數(shù)據(jù)的完整性、真實性、機密性。完整性是指消息接收者能夠判斷接收到數(shù)據(jù)在傳輸過程中是否被非法篡改，確信收到的是完整的數(shù)據(jù)；真實性是保證數(shù)據(jù)接收者能夠驗證消息發(fā)送者的真實身份，以防假冒；機密性是保證敏感數(shù)據(jù)通過網(wǎng)絡傳輸不會泄密。要實現(xiàn)數(shù)據(jù)在網(wǎng)絡上的安全傳輸，有以下幾種方案可供選擇。

（一）建立專用通道

在傳統(tǒng)的企業(yè)或重點保護單位的組網(wǎng)方案中，要進行本地局域網(wǎng)絡到異地局域網(wǎng)絡互連互通，通常采用使用DDN專線，建立起物理專用通道的，確保數(shù)據(jù)點到點的直接、準確傳輸?shù)姆椒āDN網(wǎng)是同步網(wǎng)，整個網(wǎng)絡傳輸是全透明的，既保證了用戶數(shù)據(jù)傳輸?shù)陌踩裕质沟脗鬏斞訒r較短，可實現(xiàn)點對點的通信。如銀行系統(tǒng)、軍事系統(tǒng)、國家重點科研項目實驗室等。這種方法進行數(shù)據(jù)傳輸時采用的是數(shù)據(jù)點到點的直接傳輸，如果不是該網(wǎng)絡內(nèi)部計算機的非法介入，一般不會有網(wǎng)絡黑客非法入侵。這一傳輸過程最安全，可以很好的保持傳輸數(shù)據(jù)的真實性，完整性，機密性。但是要在需要連接的不同局域網(wǎng)間敷設或租用DDN專線，購買相應交換和路由設備，因此，建立專用通道所花的費用也最高。

（二）使用加密技術(shù)

使用加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密，以防止通信線路上的竊聽、泄漏、篡改和破壞。在發(fā)送端，通過數(shù)學方法，將待發(fā)送數(shù)據(jù)進行轉(zhuǎn)換（加密技術(shù)），使那些沒有獲得密鑰的人很難讀懂；在接收端，擁有密鑰的人將接收到的加密數(shù)據(jù)轉(zhuǎn)換為原來的數(shù)據(jù)（解密技術(shù)）。利用加密技術(shù)，可以認證通信的參與者，確認數(shù)據(jù)傳輸?shù)耐暾?，而且可以保證通信的私有性。

加密以實現(xiàn)的通信層次來區(qū)分，加密可以在通信的3個不同層次來實現(xiàn)，即鏈路加密、節(jié)點加密、端到端加密。一般常用的是鏈路加密和端到端加密這兩種方式。鏈路加密側(cè)重在通信鏈路上而不考慮信源和信宿，是對保密信息通過各鏈路采用不同的加密密鑰提供安全保護。鏈路加密是面向節(jié)點的，對于網(wǎng)絡高層主體是透明的，它對高層的協(xié)議信息（地址、檢錯、幀頭幀尾）都加密，因此數(shù)據(jù)在傳輸中是密文的，但在中央節(jié)點必須解密得到路由信息。端到端加密則指信息由發(fā)送端自動加密，并進入TCP/IP數(shù)據(jù)包回封，然后作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng)，當這些信息一旦到達目的地，將自動重組、解密，成為可讀數(shù)據(jù)。端到端加密是面向網(wǎng)絡高層主體的，它不對下層協(xié)議進行信息加密，協(xié)議信息以明文形式傳輸，用戶數(shù)據(jù)在中央節(jié)點不需解密?，F(xiàn)在較成熟的加密技術(shù)采用Netscape開發(fā)的安全套接字層協(xié)議SSL（Secure Sockets Layer）。

采用加密技術(shù)對物理線路沒有特殊要求，數(shù)據(jù)在傳輸過程中由于要經(jīng)過internet路由選擇，每一個加密數(shù)據(jù)包在傳輸過程中可能會經(jīng)過不同的路徑到達目的地，其傳輸速率受網(wǎng)絡上每一個包所通過的最慢節(jié)點的限制，使得真?zhèn)€傳輸速度受到影響，達不到高速傳輸?shù)囊蟆?/p>

二、利用VPN技術(shù)構(gòu)筑安全的數(shù)據(jù)傳輸通道

VPN（Virtual Private Network虛擬專用網(wǎng)絡）是一種集以上兩種技術(shù)為一體的綜合技術(shù)。它通過利用internet現(xiàn)有的物理鏈路，虛擬構(gòu)建起一條邏輯專用通道（也稱為隧道），并且在數(shù)據(jù)發(fā)送服務器端對數(shù)據(jù)加密，然后通過這條通道將數(shù)據(jù)快速高效的傳輸?shù)綌?shù)據(jù)接收端，最后通過數(shù)據(jù)解密，將數(shù)據(jù)還原提交給客戶。它為用戶提供了一種通過internet網(wǎng)絡安全地對企業(yè)內(nèi)部專用網(wǎng)絡進行遠程訪問的連接方式。

（一）VPN主要采用的技術(shù)

目前，VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設備身份認證技術(shù)等安全技術(shù)來保證數(shù)據(jù)的安全傳輸。

隧道技術(shù)是VPN的基本技術(shù)，類似于點對點連接技術(shù)。它在公用網(wǎng)internet上建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。它們的本質(zhì)區(qū)別在于用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸?shù)?。第二層隧道協(xié)議是先把各種網(wǎng)絡協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第三層隧道協(xié)議是網(wǎng)絡層協(xié)議，是把各種網(wǎng)絡協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)；密鑰管理技術(shù)的主要任務是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取；身份認證技術(shù)最常用的是使用者名稱與密碼或卡片式認證等方式。這3種技術(shù)可由SSL協(xié)議一起實現(xiàn)。

（二）VPN主要采用的協(xié)議

IPSec協(xié)議集是虛擬專用網(wǎng)絡VPN主要采用的協(xié)議，由3個主要部分構(gòu)成。

1.Internet密鑰交換協(xié)議。這個協(xié)議在初始協(xié)商階段使用，用以確定加密方法、密鑰和其他用于建立安全會話的數(shù)據(jù)。

2.認證頭部。在每個IP包插入安全頭部，這個安全頭部用來檢驗數(shù)據(jù)包在傳輸過程中是否被改動，并且認證數(shù)據(jù)的發(fā)送者。認證頭部不加密IP包的內(nèi)容，只是確保其內(nèi)容是有效的。

3.封裝安全載荷。為了確保私有通信，封裝安全載荷加密IP包的內(nèi)容以及其他頭部信息。

（三）VPN的解決方案

要實際應用先進的VPN技術(shù)，主要有四種類型的解決方案：

1.基于硬件的VPN。具有專門實現(xiàn)諸如認證、封裝、加密和濾通功能的處理器的產(chǎn)品，可提供最高的性能。這類產(chǎn)品通常包括虛擬接人服務器和具備VPN能力的路由器。

2.基于軟件的VPN。服務器平臺提供與現(xiàn)存遠程接入或路由器選擇模塊配套的VPN軟件模塊，在提供VPN功能時，其性能很受影響。

3.基于防火墻的VPN。將軟件模塊增加到防火墻包中。

4.ISP的VPN服務。ISP利用操作自己擁有的基于硬件或防火墻的VPN產(chǎn)品提供可管理的VPN服務。

三、結(jié)論

經(jīng)過VPN的一系列安全技術(shù)處理，用戶可以在不建立物理鏈路的基礎(chǔ)上，通過現(xiàn)有的internet網(wǎng)絡構(gòu)建一條能滿足實際需求的專用通道，在保證數(shù)據(jù)安全傳輸?shù)耐瑫r，提高傳輸效率。隨著網(wǎng)絡技術(shù)的不斷發(fā)展，以及用戶對數(shù)據(jù)傳輸安全的強烈要求，VPN將會成為網(wǎng)絡的主要組成部分，VPN技術(shù)也將更趨完善，在電子商務應用中起著決定性的作用。

參考文獻：

[1] 王達.虛擬專用網(wǎng)（VPN）精解[M].北京：清華大學出版社，2004.

[2] Richard Tibbs.防火墻與VPN——原理與實踐[M].北京：清華大學出版社，2008.

[3] 金漢均，汪雙頂.VPN虛擬專用網(wǎng)安全實踐教程[M].北京： 清華大學出版社，2010.

Preliminary study on the safety of the data transmission in the electronic commerce

GUAN Zhong-jing

（Heilongjiang province installation engineering company，Harbin 150040，China）

Abstract：With the extensive application of electronic commerce，enterprises need a large amount of data transmission through network. For the countries involved government，military，culture and education，scientific research，business and other fields，because of its storage，transmission and processing of data there are many is the government macroeconomic regulation decision-making，business and economic information，bank transfer of funds，securities，energy resource data，scientific data and other important information，and even state secrets，if the violations，will bring immeasurable in the political，economic and other aspects of the loss. So，to achieve the security of data transmission is particularly important in INTERNET.

Key words：safety of the electronic commerce；VPN data transmission；security transmission method

[責任編輯 杜 娟]