电子商务中的信息安全技术

丁荣荣

（吉林广播电视大学 教学处，吉林 长春 130022）

电子商务中的信息安全技术

丁荣荣

（吉林广播电视大学 教学处，吉林 长春 130022）

随着信息科技的发展，电子商务在现代商务活动中正变得日趋重要.Internet所具有的开放性是电子商务方便快捷、广泛传播的基础 ,而开放性本身又会使网上交易面临种种危险.安全问题始终是电子商务的核心和关键问题.本文根据电子商务的特点分析了存在危险的原因，并且从多方面提出了解决这些危险的方案.

电子商务；Internet；网络安全

电子商务(E-C o m m e r c e)是指利用电子网络进行的商务活动,即指利用电子数据交换、电子邮件、电子资金转账和I n t e r n e t等主要技术在个人、企业和国家之间进行无纸化的信息交换,包括商品信息及其订购信息、资金信息及其支付信息、安全及其认证信息等,即以现代信息技术为手段,以经济效益为中心的现代化商业运转模式.其最终目标是实现商务活动的网络化、自动化与智能化.

1 电子商务的特点

电子商务将传统商业活动中物流、资金流、信息流的传递方式利用网络科技整合,企业将重要的信息以全球信息网、企业内部网(I n t r a n e t)或外联网(E x-t r a n e t)直接与分布各地的客户、员工、经销商及供应商连接,创造更具竞争力的经营优势.与传统的商务活动方式相比,电子商务具有以下几个特点:

1.1 交易网络化

交易过程均通过计算机互联网络完成,整个交易完全虚拟化.卖方到网络管理机构申请域名,制作主页.而虚拟现实、网上聊天等新技术的发展使买方能够根据自己的需求选择广告,并将信息反馈给卖方.整个交易都在网络这个虚拟的环境中进行.

1.2 交易成本低

1.2.1 使用国际互联网进行信息传递的成本相对于传统的信件、电话、传真的成本低很多，同时缩短时间及减少重复的数据录入也降低了信息成本.

1.2.2 买卖双方通过网络进行商务活动，无需中介者参与，减少了交易环节，也降低了双方交易成本.

1.2.3 通过互联网进行产品介绍、宣传，避免了在传统方式下做广告、发印刷品等大量费用.

1.2.4 电子商务实行“无纸贸易”，可减少9 0%的文件处理费用.

1.2.5 互联网有利于买卖双方及时沟通供需信息，使无库存生产和无库存销售成为可能，从而使库存成本大大降低.

1.2.6 企业在销售商品和处理订单时，用电子商务可以降低询价、提供报价和确定存货等活动的处理成本.

1.3 交易覆盖面广

因特网几乎遍及全球的各个角落.卖方通过因特网可以方便地在世界各地寻找市场机会，增加商品的销售；买方也有了更多的选择，可以找到更多的供应商和贸易伙伴.电子商务可以使企业能够更加经济地经营地理上极为分散的狭小的目标市场.

1.4 交易效率高

电子商务基于网络技术,克服了传统贸易方式费用高、易出错、处理速度慢等缺点,极大地缩短了交易时间,使整个交易非常快捷与方便.

1.5 交易功能全面

电子商务可以全面支持不同类型的用户实现不同层次的商务目标，如发布电子商情、在线洽谈、建立虚拟商场或网上银行等.

1.6 交易透明化

买卖双方从交易的洽谈、签约以及货款的支付、交货通知等整个交易过程都在网络上进行.通畅、快捷的信息传输可以保证各种信息之间互相核对,可以防止伪造信息的流通.

电子商务与传统交易相比增强了企业的竞争力扩大了企业的竞争领域，商务活动成本和费用降低而工作效率提高了.此外，电子商务可在网上提供产品的技术支持，2 4小时的在线服务，能十分便捷地获取客户反馈意见，改进服务质量，提高客户的满意度.因此电子商务的安全性就更加值得注意.

2 电子商务中的网络安全问题

随着电子商务的飞速发展,人们开始意识到,电子商务的发展受到许多因素的制约,如社会的认同、交易成本、物流配送、信用与法律问题、安全问题等.在这些问题当中,安全问题是一个核心问题.电子商务基于开放的互连网,大量的信息在网上传递,大量的资金在网上划拨流动,必然面临各种安全风险,诸如信息泄露或篡改、欺骗、抵赖等.电子商务系统的关键是保证交易数据和交易过程的安全.电子商务的安全性包括保密性、认证性、接入控制、完整性、不可否认性和匿名性等方面.网络安全就是如何保证网络上存储和传输的信息的安全性.但是由于在互联网络设计之初,只考虑方便性、开放性,使得互联网络非常脆弱,极易受到黑客的攻击或有组织的群体入侵,也会由于系统内部人员的不规范使用和恶意破坏,使得网络信息系统遭到破坏,信息泄露.概括起来,电子商务面临的安全威胁主要有:(1)信息在网络的传输过程中被截获;(2)传输的信息被篡改;(3)伪造电子邮件;(4)假冒他人身份;(5)不承认已经做过的交易,抵赖.为保证电子商务的正常发展,对电子商务中的网络安全技术进行研究,发展自主的网络安全技术是非常关键的.

3 保障网络信息安全的措施

3.1 加密技术

加密技术是电子商务采取的主要保密安全措施,是最常用的保密安全手段.加密是利用基于数学算法的程序和保密的密钥对信息主要是普通的文本(明文)进行编码,生成难以理解的字符串(密文),以便只有接收者和发送者才能理解.加密技术一般采用对称加密技术、非对称加密技术以及二者的结合等方法.

对称密钥密码体系的优点是加密、解密速度很快(高效)，但缺点也很明显：密钥难于共享，需太多密钥.非对称密钥技术的优点是：易于实现，使用灵活，密钥较少.弱点在于要取得较好的加密效果和强度，必须使用较长的密钥.因此在使用时两者经常结合在一起.（图1分别是对称加密和非对称加密算法的加密模型）

3.2 密钥管理技术

密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容.其中分配和存储是最棘手的问题.密钥管理不仅影响系统的安全性,而且涉及到系统的可靠性、有效性和经济性,在用密码技术保护的现代信息系统的安全性主要取决于对密钥的保护,而不是对算法或硬件本身的保护,即密码算法的安全性完全寓于密钥之中.对应于对称加密技术和非对称加密技术,还要采用相应的密钥管理技术.

3.3 身份认证技术

在实际系统中,可以采用数字摘要、数字信封、数字签名、数字时间戳、数字证书、认证中心等技术手段来提高安全性.

3.3.1 数字摘要：也称为安全H a s h编码法，简称S H A或M D 5，是用来保证信息完整性的一项技术.它是由R o nR i v e s t发明的一种单向加密算法，其加密结果是不能解密的.

3.3.2 “数字信封”(也称电子信封)技术.具体操作方法是：每当发信方需要发送信息时首先生成一个对称密钥，用这个对称密钥加密所需发送的报文；然后用收信方的公开密钥加密这个对称密钥，连同加密了的报文一同传输到收信方.收信方首先使用自己的私有密钥解密被加密的对称密钥，再用该对称密钥解密出真正的报文.

3.3.3 数字签名建立在公钥加密体制基础上，是公钥加密技术的另一类应用.它把公钥加密技术和数字摘要结合起来，形成了实用的数字签名技术.采用数字签名，应该确定以下两点：保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；保证信息自签发后到收到止未作任何改动，签发的文件是真实文件.

3.3.4 在电子交易中，时间和签名同等重要.数字时间戳技术是数字签名技术一种变种的应用，是由D T S服务机构提供的电子商务安全服务项目，专门用于证明信息的发送时间.

3.3.5 数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体（如个人用户、服务器等）的身份以及公钥的合法性的一种权威性的电子文档，由权威公正的第三方机构，即C A中心签发.3.3.6 认证中心（C e r t i f i c a t eA u t h o r i t y，简称 C A），也称之为电子商务认证中心，是承担网上安全电子交易认证服务，能签发数字证书，确认用户身份的、与具体交易行为无关的第三方权威机构.认证中心通常是企业性的服务机构，主要任务是受理证书的申请、签发和管理数字证书.其核心是公共密钥基础设施（P K I）.

3.4 安全电子交易协议

在电子交易中,通常采用适当的电子交易协议,如安全套阶层协议、安全电子交易协议、N e t B i l l协议、安全超文本传输协议、安全交易技术协议等.其中最主要的就是安全套阶层协议和安全电子交易协议.

3.4.1 S S L(s e c u r es o c k e t sl a y e r)是由N e t s c a p e C o m m u n i c a t i o n公司是由设计开发的，其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性，从而实现浏览器和服务器（通常是We b服务器）之间的安全通信.

S S L提供的基本服务功能：信息保密、信息完整性和相互认证

3.4.2 S E T协议是信用卡在因特网上进行支付的一种开放式标准，也是银行卡安全支付的具体规范.该标准采用R S A公开密钥体制对通信双方进行认证，采用D E S、R C 4等对称加密体制加密要传输的信息，并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性，包括了信用卡在电子商务中的交易协定和信息保密、信息完整、身份认证、数字签名等技术，目前已经被广为认可而成为国际通用的网上支付标准，其交易形态将成为未来电子商务的规范.S E T的制定与推广既为业务相互渗透的各家信用卡公司提供了统一的安全通信标准，也促进了信用卡在因特网上作为支付工具的应用.

S E T为电子商务提供的功能：信息保密性；数据的完整性；提供交易者的身份认证和担保；互操作性.

3.5 访问控制技术

除了计算机网络硬设备之外,网络操作系统是确保计算机网络安全的最基本部件.它是计算机网络资源的管理者,必须具备安全的控制策略和保护机制,防止非法入侵者攻破设防而非法获取资源.因此,授权策略和机制的安全性显得特别重要.保护可以从物理隔离、时间隔离、密码隔离几个方面加以考虑,一般可以采用防火墙和V P N等访问控制技术来加强防范.

防火墙是一个由软件和硬件设备组合而成的，在内部网和外部网之间、专用网和公共网之间的界面上构造的保护屏障.防火墙具有限制外界用户对内部网络访问及管理内部用户访问外界网络的权限.它可以确定哪些内部服务允许外部访问，哪些外部服务可由内部人员访问，即它能控制网络内外的信息交流，提供接入控制和审查跟踪，是一种访问控制机制.电子商务是现代信息技术发展的必然结果,也是未来商业运作模式的必然选择,相应的安全问题是利害攸关的.如果在电子商务客户机和服务器上没有充分的安全保护措施,电子商务就不能持久.有效的安全策略和充分的安全检测与保护措施是保护电子沟通和电子商务交易的唯一方法.信息安全技术所涉及的方面比较广泛,如操作系统安全、防火墙技术、虚拟专用网技术、各种反黑客技术和漏洞检测技术等各种网络安全防范技术.只有综合采用各种相关的技术手段,才能有效地提高系统的安全性,保证电子商务的健康发展.

〔1〕中国就业培训技术指导中心.电子商务师国家职业资格培训教程，2006（8）.

〔2〕马大川，陈联刚.电子商务教程.经济科学出版社，2007(8).

〔3〕王玲丽.电子商务的安全问题研究[D].武汉科技大学,2006.

〔4〕侯勇,亓胜田.电子商务安全技术[J].商场现代化,2007(9).

〔5〕陈兵,王立松.网络安全与电子商务[M].北京:清华大学出版社,2002.

T P 3 9 3

A

1673-260X（2010）10-0041-03