周秀平

摘要：信息安全的保障是電子商務(wù)進行的前提條件，唯有保障了各方的安全與財產(chǎn)，電子商務(wù)才能擴大發(fā)展。電子商務(wù)的安全技術(shù)主要包括加密技術(shù)，安全認證技術(shù)和電子商務(wù)的安全協(xié)議幾個方面，該文通過對以上幾種技術(shù)的介紹，并指出其優(yōu)點和不足。

關(guān)鍵詞：電子商務(wù)；主要安全技術(shù)；安全認證技術(shù)

中圖分類號：TP271文獻標識碼：A文章編號：1009-3044(2012)20-5020-02

由于電子商務(wù)的平臺Internet的特殊性，以及電子商務(wù)在國內(nèi)開展的時間不長，因此，電子商務(wù)的安全保護尤為重要。信息安全的保障是電子商務(wù)進行的前提條件，唯有保障了各方的安全與財產(chǎn)，電子商務(wù)才能擴大發(fā)展。電子商務(wù)的安全技術(shù)主要包括幾下幾個方面：

1加密技術(shù)(necryptinotechnique)

加密技術(shù)是電子商務(wù)采取的主要安全措施，其根本目的是保護參與交易的雙方信息不被泄露、系統(tǒng)不被破壞。加密技術(shù)根據(jù)類型的不同可以分為對稱式加密和非對稱式加密兩類。

1.1對稱式加密（密匙加密或?qū)Ｓ妹艹准用埽?/p>

對稱式加密是指信息的發(fā)送方和接收方使用的密匙完全相同的加密方法。雙方所使用的密匙以及加密的方式是完全相同的，唯一不同的地方在于加密與解密的子密匙序列的市價順序剛好相反。對稱式加密方法是最為普及的一種加密方法，傳統(tǒng)的密碼基本都屬于這類。這類機密方法的優(yōu)點主要有高速、牢固以及易于掌握等。但由于其普遍性較強，而且加密與解密的密匙完全一樣，導(dǎo)致當(dāng)使用者數(shù)量過多時，密匙不便于掌控.如果當(dāng)前我們有x個網(wǎng)絡(luò)用戶，那么相應(yīng)的，我們就要具備x（x-1）/2個密匙，這產(chǎn)生的數(shù)量是相當(dāng)巨大的。因此不適合用于客戶眾多的網(wǎng)絡(luò)環(huán)境中。而且，對稱式加密算法還無法實現(xiàn)數(shù)字簽名。目前，最為普遍使用的是DES加密算法，同時還有RC4、3DES及IDEA等加密算法。不過，歷經(jīng)將近20多年的使用，DES在某些方面已經(jīng)無法適應(yīng)計算機信息技術(shù)的發(fā)展需求，對信息的保密程度也有所下降，破解方法也逐漸有效。順應(yīng)時代的潮流，高級加密標準AES或許會成為新一代的加密標準。

1.2非對稱式加密（公開密匙加密）

非對稱式加密是指信息的發(fā)送方和接收方使用的密匙不同的加密方法。這種加密方法將密匙分為兩塊，一把叫做加密密匙，一把叫做解密密匙；也可說成一把叫做公開密匙，一把教秘專用密匙。兩把密匙的主要責(zé)任不同，第一把密匙的主要責(zé)任和目標是對信息進行加密，而第二把密匙的主要責(zé)任和目標則是對信息進行解密。理論意義上來講，所有人都能夠使用公開密匙對信息進行加密，但是，要對信息進行解密就不是隨意一個人都可以進行的了，鼻息是具有相對應(yīng)的專用密匙的人才能夠?qū)π畔⑦M行解密。這種加密方法的優(yōu)點是相較于對稱式加密方法，更適應(yīng)當(dāng)前的網(wǎng)絡(luò)環(huán)境。因為密匙的管理相對來說更加簡單，現(xiàn)代密碼中的公共密鑰密碼就屬于非對稱式密碼。不過，它的缺點是算法復(fù)雜，加密數(shù)據(jù)的速度和效率較低。

2安全認證技術(shù)

2.1數(shù)字摘要(Digital Digest）

此編碼由RonRivest研究設(shè)計而成，由于應(yīng)用到了單向Hash函數(shù)，因此又稱為安全Hash編碼法(Secure Hash Algorithm簡稱SHA)，此加密方法關(guān)鍵在于將信息進行精簡得出主要“摘要”，形成密文，也可叫做數(shù)字指紋(FingerPrint)，由于它具有固定的長度，且根據(jù)不同的內(nèi)容而產(chǎn)生的摘要不同，其密文的長度也不同，進而確定了密文的保密性。

2.2數(shù)字簽名(Digital Signature）

數(shù)字簽名就是將商家服務(wù)器信息或者個人信息轉(zhuǎn)化成數(shù)字形式而起到簽名作用的認證技術(shù)。數(shù)字簽名具有唯一性，不同的身份必然得到不同的簽名，此簽名也不可仿制，因此確定了各方的信息及財產(chǎn)的安全性。數(shù)字簽名包括公開密匙數(shù)字簽名和對文件的數(shù)字簽名。

2.3數(shù)字時間戮(Digital Time-stamp)

所謂數(shù)字時間戳服務(wù) (DigitalTime—stampService，簡稱DTS)，就是對交易所產(chǎn)生的年月日及時間等信息進行保密安全的文檔。

它由三個部分組成：1.需加時間戳的文件的摘要2. DTS收到文件的日期和時間3. DTS的數(shù)字簽名獲得數(shù)字時間戮的過程如下圖所示：

3電子商務(wù)的安全協(xié)議

為了保證電子商務(wù)的安全運行，必須制定出一系列完善齊全的安全協(xié)議。目前，廣泛被使用的安全協(xié)議有兩類，一是SSL協(xié)議，另一個是SET協(xié)議。

3.1 SSL協(xié)議（安全套接層協(xié)議）

3.1.1概念

SSL是英文Secure Sockets Layer的縮寫，所謂SSL就是指連個通信者在通信之前先約定通信的方法及加密密匙，這個方法可以的目的是構(gòu)建一個安全的加密通道，可以保證信息不被其他方面所偷窺，具有安全性。

3.1.2 SSL協(xié)議的特性

SSL協(xié)議具有安全性、準確性以及確定性三個特性。安全性是指在經(jīng)過了客戶端與服務(wù)器的握手協(xié)議后，雙方的身份都已得到認證，進而數(shù)據(jù)的加密與解密都需用雙方可知的密匙，保密性強，因此具有安全性。準確性是指雙方所傳遞的信息數(shù)據(jù)的每個分組均被壓縮成消息摘要，利用消息摘要發(fā)進而可以進行完整性檢察，保證了信息的準確性。而確認性是指握手協(xié)議首先是服務(wù)器端證書的認證，其證書具有確定性。

3.1.3 SSL協(xié)議的缺點

SSL安全協(xié)議的缺點主要有：只能手動對證書進行更新、認證機構(gòu)編碼困難、瀏覽器的口令具有隨意性、不能自動檢測證書撤銷表等。而且SSL協(xié)議的服務(wù)器端只有一個，但是另一側(cè)客戶端的客戶量確有可能是成千上萬的，由于客戶端的所有信息是對服務(wù)端完全可見的，所以對客戶的信息沒有安全保障。雖然SSL協(xié)議操作簡單，易于掌握，并且投資不大，在歐美很多商業(yè)網(wǎng)站上都得到了應(yīng)用，但SSL在全球范圍內(nèi)推廣還是不太可能的，由于美國安全局的限制，美國以外的國家若想在電子商務(wù)中充分利用SSL還需要克服攻堅很大的困難。

3.2 SET協(xié)議（安全電子交易協(xié)議）

3.2.1概念

SET是一種以信用卡為基礎(chǔ)的、在因特網(wǎng)上交易的付款協(xié)議書，是授權(quán)業(yè)務(wù)信息傳輸安全的標準，它采用RSA密碼算法，利用公鑰體系對通信雙方進行認證，用DES等標準加密算法對信息加密傳輸，并用散列函數(shù)來鑒別信息的完整性。

3.2.2 SET協(xié)議的組成

SET協(xié)議的組成包括參與主體的組成和軟件的組成。SET協(xié)議的成員組成主要包括持卡人（CardHolder）、商家（Merchant）、發(fā)卡行（Issuing Bank）、收單行（Acquiring Bank）、支付網(wǎng)關(guān)（Payment Gateway）、認證中心（Certificate Authority）等六個部分組成。而SET協(xié)議的軟件組成主要包括電子錢包、商店服務(wù)器、支付網(wǎng)關(guān)和認證中心軟件。

3.2.3 SET協(xié)議的缺點

雖然SET協(xié)議在保密性方面做得非常完善，但是其仍存在其他方面的缺陷。正因為為了維護加強保密性的確定，SET協(xié)議的復(fù)雜性大大超越了SSL協(xié)議，又因為SET協(xié)議對其他安全協(xié)議一概不兼容，所以，SET在實際應(yīng)用中非常麻煩，這使得他的實用性及適用性大大下降。

參考文獻：

[1]趙志光,曹振麗,薛元霞.電子商務(wù)安全技術(shù)及其策略[J].農(nóng)業(yè)網(wǎng)絡(luò)信息,2010(9).

[2]楊祖云.計算機網(wǎng)絡(luò)中信息系統(tǒng)技術(shù)安全與防范[J].農(nóng)村經(jīng)濟與科技,2009(12).

[3]蓋凌云.基于Internet的電子商務(wù)安全性研究[J].現(xiàn)代農(nóng)業(yè)科技,2009(7).

[4]徐建華,張英,萬發(fā)仁.影響網(wǎng)絡(luò)安全的因素及防控措施[J].農(nóng)業(yè)網(wǎng)絡(luò)信息,2008(8).

[5]徐智敏.高校計算機網(wǎng)絡(luò)安全問題淺析[J].吉林農(nóng)業(yè)科技學(xué)院學(xué)報,2009(2).