牟童

摘要：科技進(jìn)步，網(wǎng)絡(luò)的不斷發(fā)展，為了適應(yīng)人們快節(jié)奏的生活，電子商務(wù)越來越流行，隨之而來的安全問題越來越突出。該文對(duì)電子商務(wù)體系結(jié)構(gòu)中各層的安全進(jìn)行了分析，并對(duì)電子商務(wù)的發(fā)展談了自己的看法。

關(guān)鍵詞：電子商務(wù)；安全；加密技術(shù)；加密算法

中圖分類號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）07-1715-03

隨著信息化的不斷加深，曾經(jīng)只是假想的互聯(lián)網(wǎng)時(shí)代真的到來了。越來越多的年輕人將購物、聊天等一系列的活動(dòng)在網(wǎng)上進(jìn)行，這就使得一個(gè)新興產(chǎn)業(yè)誕生了——電子商務(wù)。到目前為止對(duì)于電子商務(wù)仍不能做一個(gè)統(tǒng)一化的定義。概念沒有明確但相關(guān)的問題很明確，即如何保證安全的使用。為使電子商務(wù)更好的為人類服務(wù)，安全則是先決條件。加強(qiáng)對(duì)安全問題的研究與分析，對(duì)電子商務(wù)的不斷發(fā)展具有極其重大的意義。

1 電子商務(wù)安全性分析

開放的網(wǎng)絡(luò)為電子商務(wù)的發(fā)展提供了平臺(tái)，使得交易雙方不需要見面，而是在網(wǎng)上完成相關(guān)活動(dòng)。因此交易雙方都要面臨一些來自外界的威脅。存在的安全隱患大致有這么幾種：硬件安全、系統(tǒng)安全、交易通信安全、信息傳輸安全等。為了盡可能減小安全帶來的破壞，電子商務(wù)采用如圖所示的安全體系結(jié)構(gòu)，盡可能保證交易雙方的買賣利益。如今電子商務(wù)體系結(jié)構(gòu)[4]大致如圖1所示：

2 各層的安全技術(shù)

與傳統(tǒng)的交易模式相比，作為一種新興的交易模式，要準(zhǔn)確無誤的在網(wǎng)上完成一系列的活動(dòng)必須有可靠的安全技術(shù)加以保障，那么下面對(duì)各層使用的安全手段進(jìn)行簡(jiǎn)要分析。

2.1 網(wǎng)絡(luò)層

首先我們來看最基本的網(wǎng)絡(luò)層，無法見面的交易雙方要達(dá)成各自的目的，他們就只能依靠網(wǎng)絡(luò)，網(wǎng)絡(luò)層采用的TCP/IP協(xié)議本身沒有考慮安全問題。目前，網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、VPN技術(shù)、實(shí)時(shí)反病毒技術(shù)、入侵檢測(cè)系統(tǒng)等。

2.1.1 防火墻技術(shù)

Internet的目的就是資源共享，用戶在上網(wǎng)時(shí)得到資源的同時(shí)，不可避免的存在安全問題，用戶在使用計(jì)算機(jī)是無意中會(huì)泄漏一些個(gè)人隱私，而非法用戶想利用網(wǎng)絡(luò)截取個(gè)人隱私，防火墻就是用來阻止類似的截取行為。

2.1.2 實(shí)時(shí)反病毒技術(shù)

現(xiàn)在比較流行的反病毒技術(shù)采用經(jīng)典指令集新技術(shù)并以指令虛擬技術(shù)為輔助。掃描病毒：分析病毒的特征，將自己記錄的病毒庫同獲得的病毒特征進(jìn)行對(duì)比，進(jìn)一步預(yù)防阻止病毒的破壞。監(jiān)控病毒：利用操作系統(tǒng)底層的接口，對(duì)系統(tǒng)中的所有文件進(jìn)行監(jiān)控。病毒的特征進(jìn)行判斷。刪除病毒：在刪除時(shí)采用虛擬技術(shù)對(duì)性變的病毒進(jìn)行處理或編寫出相應(yīng)的程序，將病毒移除計(jì)算機(jī)內(nèi)存。

2.1.3 VPN（虛擬專用網(wǎng)）技術(shù)

利用共享網(wǎng)絡(luò)為信息傳輸媒介.VPN使用專門的隧道技術(shù)、用戶認(rèn)證和訪問控制等技術(shù)達(dá)到同專用網(wǎng)一樣的安全效果。采用VPN技術(shù)可以在系統(tǒng)之間建立信道，保證數(shù)據(jù)安全傳送。

2.1.4 入侵檢測(cè)系統(tǒng)

Network Intrusion Detection System，即網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)是防火墻的一種延續(xù)。通過算法在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中設(shè)置捕獲點(diǎn)對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行情況進(jìn)行監(jiān)視，對(duì)監(jiān)視得到的數(shù)據(jù)進(jìn)行分析處理，保證雙方最終能得到完整可用的數(shù)據(jù)。

2.2 加密層

數(shù)據(jù)加密技術(shù)是信息安全的核心和關(guān)鍵技術(shù)，加密層對(duì)原始數(shù)據(jù)進(jìn)行處理保證數(shù)據(jù)的安全性，電子交易能否順利完成數(shù)據(jù)的完整傳輸便是關(guān)鍵所在，利用數(shù)據(jù)加密技術(shù)對(duì)原始數(shù)據(jù)加密，使得數(shù)據(jù)即使丟失，獲得數(shù)據(jù)的第三方仍舊無法識(shí)別。

2.2.1 加密技術(shù)

數(shù)據(jù)加密技術(shù)采用一定的加密算法，加密系統(tǒng)將明文轉(zhuǎn)換為密文，使非法用戶不能理解明文，使得數(shù)據(jù)得到保障的一種技術(shù)。不妨設(shè)X為加密算法，Y為解密算法，那么數(shù)據(jù)加解密的數(shù)學(xué)表達(dá)式為：數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲(chǔ)加密。數(shù)據(jù)傳輸加密技術(shù)主要是對(duì)傳輸中的數(shù)據(jù)流進(jìn)行加密，常用的有鏈路加密、節(jié)點(diǎn)加密和端到端加密三種方式。

2.2.2 加密算法

數(shù)據(jù)加密算法有很多種，隨著信息化的發(fā)展目前國內(nèi)外比較常用的加密算法是：對(duì)稱加密和非對(duì)稱加密算法。

1）對(duì)稱加密算法

對(duì)稱加密，信息的接收方發(fā)送方要使用相同的密鑰，交易雙方在傳送數(shù)據(jù)之前，就要約定一個(gè)密鑰，對(duì)稱加密算法的安全依靠密鑰，那么密鑰的機(jī)密性對(duì)交易來講尤為關(guān)鍵。對(duì)稱加密算法特點(diǎn)：算法是公開的并且計(jì)算量小相對(duì)加密速度快、加密效率高。如圖2所示。

目前被廣泛認(rèn)可的對(duì)稱加密技術(shù)有：DES、RC2、RC4、RC5和Blowfish等。著重看一下DES加密算法 ，DES是對(duì)二元數(shù)據(jù)進(jìn)行加密的算法分組長(zhǎng)度64位，原始數(shù)據(jù)分組也是64位，解密密鑰同加密密鑰順序相反。DES基本上有著對(duì)稱加密算法的特點(diǎn)，只是DES生存周期較短，運(yùn)算速度相對(duì)不是很快。

DES工作原理：key、data、mode，是DES的三個(gè)入口參數(shù)。加解密使用密鑰key，加解密數(shù)據(jù)data，工作模式mode。當(dāng)處于加密模式時(shí)，原始數(shù)據(jù)按照64位進(jìn)行分組，形成原始數(shù)據(jù)組，key對(duì)數(shù)據(jù)加密；當(dāng)處于解密模式時(shí)，key對(duì)數(shù)據(jù)解密。由于現(xiàn)實(shí)的局限性密鑰只用到了56位，同時(shí)也由于密鑰的容量只有56位不能提供足夠的安全空間。針對(duì)DES算法的破解手段主要是暴力破解。DES加密體制流程。如圖3所示。

2）非對(duì)加密算法

非對(duì)稱加密，是一種公私鑰加密系統(tǒng)，密鑰分為公開密鑰和私有密鑰，加密和解密時(shí)使用不同密鑰的加密算法，當(dāng)公開密鑰和私有密鑰配對(duì)，產(chǎn)生密鑰對(duì)，此時(shí)公開密鑰對(duì)外公開，發(fā)送發(fā)則要將私有密鑰保留在自己手中。

目前被廣泛認(rèn)可的非對(duì)稱加密技術(shù)有：RSA、Elgamal、背包算法、Rabin、HD，ECC。其中RSA算法使用比較廣泛。重點(diǎn)介紹比較常用的RSA算法。RSA公開密鑰加密，一種非對(duì)稱加密算法，RSA算法中包含兩個(gè)密鑰加密密鑰和解密密鑰，即使用不同的加密密鑰和解密密鑰。在算法中使用的加密密鑰是公開的，那么可以到到這樣的加密解密方程式：n=p×q，P∈[0，n-1]，p和q均為大于10100的素?cái)?shù)，其中p、q是兩個(gè)保密的素?cái)?shù)。RSA的密鑰空間比較充足，但是RSA加密速度慢并且安全性依賴于大數(shù)分解，因此目前對(duì)RSA最流行的攻擊一般是采取基于大數(shù)因數(shù)的分解。想要獲得原始數(shù)據(jù)的攻擊者，將自己的數(shù)據(jù)偽裝后給擁有私鑰的人發(fā)送數(shù)據(jù)，根據(jù)加密解密原理來推導(dǎo)出密鑰，獲得想要的原始數(shù)據(jù)。

綜上所述。無論是對(duì)稱加密還是非對(duì)稱加密。在他們的安全管理范圍內(nèi)都存在一定的弊端，因此我們要確保網(wǎng)絡(luò)通信的安全，不能單一的采用某一種加密手段，一般是多種方法嵌套使用。

2.3 安全認(rèn)證技術(shù)

安全認(rèn)證技術(shù)一般就是我們所常用的有：身份認(rèn)證、電子簽名、數(shù)字摘要、數(shù)字證書、數(shù)字信封、數(shù)字時(shí)間戳等技術(shù)。

電子簽名：只能有信息發(fā)送方產(chǎn)生，附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，電子簽名保證傳送的數(shù)據(jù)不被人改寫或假冒。身份認(rèn)證：數(shù)字證書使用電子手段來標(biāo)識(shí)用戶的身份。數(shù)字信封又稱為數(shù)字封套，使用某種加密算法讓只有知道密鑰的人才能看到數(shù)據(jù)，其目的是確保數(shù)據(jù)的機(jī)密性。數(shù)字時(shí)間戳：就像在實(shí)體見面的交易中，交易雙發(fā)要簽訂有效時(shí)間，那么采用同樣的模式利用網(wǎng)絡(luò)平臺(tái)交易雙方也要簽訂日期。數(shù)字證書：用來衡量用戶是否有權(quán)利訪問網(wǎng)絡(luò)資源。

2.4 數(shù)據(jù)安全協(xié)議

就目前的發(fā)展形勢(shì)來看，SSL和SET是電子商務(wù)常用的兩種安全協(xié)議，都采用RSA算法加密，都可通過認(rèn)證來進(jìn)行身份的識(shí)別，SSL被廣泛用于網(wǎng)上交易。SSL安全套接層協(xié)議，只要是安裝了該協(xié)議的用戶和服務(wù)器之間進(jìn)行數(shù)據(jù)交換，該協(xié)議都為之提供可靠保障。而SET是基于應(yīng)用層的協(xié)議，使用較復(fù)雜，要在銀行建立支付網(wǎng)關(guān)，在商家的Web服務(wù)器上安裝商家軟件，在用戶的個(gè)人計(jì)算機(jī)上安裝電子錢包軟件等，推廣應(yīng)用較困難。SSL協(xié)議可以對(duì)數(shù)據(jù)進(jìn)行加密，維護(hù)數(shù)據(jù)的完整性，然而目前許多運(yùn)營(yíng)商可以利用自身的權(quán)利，使用一定的數(shù)據(jù)抓捕工具，很快的分析出客戶的需求，并馬上提供個(gè)客戶想要商品的其他的同類商品，或者是分析其他運(yùn)營(yíng)商的數(shù)據(jù)，產(chǎn)生一種惡性競(jìng)爭(zhēng)。對(duì)于客戶來講，提供相關(guān)的其他同類商品的信息，看似是一種好的服務(wù)，但是同時(shí)也是在侵犯用戶的隱私，為此在應(yīng)用層也就客戶在瀏覽網(wǎng)頁時(shí)，如果客戶需要商家提供相關(guān)的同類商品的信息時(shí)，商家才能對(duì)客戶的數(shù)據(jù)進(jìn)行分析，否則不應(yīng)任意分析用戶的數(shù)據(jù)。

3 電子商務(wù)安全舉措

信息化時(shí)代，加劇了計(jì)算資源互聯(lián)和共享，各行各業(yè)的信息化程度也不斷加深，人們對(duì)計(jì)算機(jī)和互聯(lián)網(wǎng)越來越依賴，但隨之而來的信息安全問題也日益突出。例如個(gè)人信息未經(jīng)允許外泄是最大的隱患，黑客利用安全技術(shù)存在的漏洞破解網(wǎng)頁源代碼，同時(shí)在網(wǎng)上種植病毒程序，用戶一旦登入進(jìn)行瀏覽，黑客便馬上通過病毒程序分析出用戶瀏覽的信息。所以如何保護(hù)用戶的信息已成為電子商務(wù)的首要問題。對(duì)此作出以下幾點(diǎn)要求[2]：

1）加強(qiáng)教育和宣傳，提高電子商務(wù)安全意識(shí)。電子商務(wù)的發(fā)展是近幾年才開始流行的，因此對(duì)于電子商務(wù)的了解并不是所有的人都清楚的，我們不僅要培養(yǎng)電子商務(wù)的專業(yè)人才，而且要要每個(gè)使用者了解電子商務(wù)的特性，懂得安全的使用電子平臺(tái)，保護(hù)自己的合法利益。

2）數(shù)據(jù)加密加強(qiáng)信息安全。對(duì)相關(guān)的加密技術(shù)進(jìn)行不斷的研究，雖然目前已存在多種加密算法但是仍就不能滿足當(dāng)前的一些需求。鼓勵(lì)和扶植企業(yè)加快數(shù)字安全技術(shù)的研究，提高我國信息和管理水平，促進(jìn)電子商務(wù)安全建設(shè)。

3）健全的法制體系。電子商務(wù)不同于實(shí)實(shí)在在的交易，很多協(xié)議都是交易雙方通過網(wǎng)絡(luò)來完成，那么必定會(huì)有一些人利用這一點(diǎn)進(jìn)行詐騙，那么這就要求對(duì)這些進(jìn)行網(wǎng)絡(luò)犯罪的人進(jìn)行法律的制裁，維護(hù)消費(fèi)者和合法商家的利益。

4 結(jié)論

電子商務(wù)給人們的生產(chǎn)生活帶來了便利，但作為新興事物仍舊存在許多不足，無論是哪種經(jīng)營(yíng)模式，保證用戶的安全和利益都是刻不容緩的，因此需要在技術(shù)上不斷的創(chuàng)新與發(fā)展，使得電子商務(wù)能夠更好的為人類造福。

參考文獻(xiàn)：

[1] 趙佩華.信息技術(shù)應(yīng)用基礎(chǔ)[M].蘇州：蘇州大學(xué)出版社，2003.

[2] 孫曉鳳.電子商務(wù)安全技術(shù)探析[ J].科學(xué)大眾，2006 （7） .

[3] 張曉艷，肖剛強(qiáng)，孫艷霞.淺談電子商務(wù)中的安全問題[ J].科技資訊，2006 （ 36） .

[4] 尹玉菡，楊萬軍.淺談構(gòu)建電子商務(wù)中的安全體系[J].黑龍江科技信息，2010（8）.

[5] 焦媛.電子商務(wù)安全技術(shù)與PKI研究淺談[J].科技信息，2009（24）.

[6] 陳莉.電子商務(wù)安全協(xié)議的設(shè)計(jì)與分析[D].解放軍信息工程大學(xué)，2009.

[7] 董俊.數(shù)據(jù)加密技術(shù)在電子商務(wù)安全中的應(yīng)用[J].湖北第二師范學(xué)院學(xué)報(bào)，2008（2）.