电子商务安全体系结构浅析

牟童

摘要：科技进步，网络的不断发展，为了适应人们快节奏的生活，电子商务越来越流行，随之而来的安全问题越来越突出。该文对电子商务体系结构中各层的安全进行了分析，并对电子商务的发展谈了自己的看法。

关键词：电子商务；安全；加密技术；加密算法

中图分类号：TP391 文献标识码：A 文章编号：1009-3044（2013）07-1715-03

随着信息化的不断加深，曾经只是假想的互联网时代真的到来了。越来越多的年轻人将购物、聊天等一系列的活动在网上进行，这就使得一个新兴产业诞生了——电子商务。到目前为止对于电子商务仍不能做一个统一化的定义。概念没有明确但相关的问题很明确，即如何保证安全的使用。为使电子商务更好的为人类服务，安全则是先决条件。加强对安全问题的研究与分析，对电子商务的不断发展具有极其重大的意义。

1 电子商务安全性分析

开放的网络为电子商务的发展提供了平台，使得交易双方不需要见面，而是在网上完成相关活动。因此交易双方都要面临一些来自外界的威胁。存在的安全隐患大致有这么几种：硬件安全、系统安全、交易通信安全、信息传输安全等。为了尽可能减小安全带来的破坏，电子商务采用如图所示的安全体系结构，尽可能保证交易双方的买卖利益。如今电子商务体系结构[4]大致如图1所示：

2 各层的安全技术

与传统的交易模式相比，作为一种新兴的交易模式，要准确无误的在网上完成一系列的活动必须有可靠的安全技术加以保障，那么下面对各层使用的安全手段进行简要分析。

2.1 网络层

首先我们来看最基本的网络层，无法见面的交易双方要达成各自的目的，他们就只能依靠网络，网络层采用的TCP/IP协议本身没有考虑安全问题。目前，网络安全技术主要有：防火墙技术、VPN技术、实时反病毒技术、入侵检测系统等。

2.1.1 防火墙技术

Internet的目的就是资源共享，用户在上网时得到资源的同时，不可避免的存在安全问题，用户在使用计算机是无意中会泄漏一些个人隐私，而非法用户想利用网絡截取个人隐私，防火墙就是用来阻止类似的截取行为。

2.1.2 实时反病毒技术

现在比较流行的反病毒技术采用经典指令集新技术并以指令虚拟技术为辅助。扫描病毒：分析病毒的特征，将自己记录的病毒库同获得的病毒特征进行对比，进一步预防阻止病毒的破坏。监控病毒：利用操作系统底层的接口，对系统中的所有文件进行监控。病毒的特征进行判断。删除病毒：在删除时采用虚拟技术对性变的病毒进行处理或编写出相应的程序，将病毒移除计算机内存。

2.1.3 VPN（虚拟专用网）技术

利用共享网络为信息传输媒介.VPN使用专门的隧道技术、用户认证和访问控制等技术达到同专用网一样的安全效果。采用VPN技术可以在系统之间建立信道，保证数据安全传送。

2.1.4 入侵检测系统

Network Intrusion Detection System，即网络入侵检测系统。入侵检测系统是防火墙的一种延续。通过算法在计算机网络系统中设置捕获点对网络、系统的运行情况进行监视，对监视得到的数据进行分析处理，保证双方最终能得到完整可用的数据。

2.2 加密层

数据加密技术是信息安全的核心和关键技术，加密层对原始数据进行处理保证数据的安全性，电子交易能否顺利完成数据的完整传输便是关键所在，利用数据加密技术对原始数据加密，使得数据即使丢失，获得数据的第三方仍旧无法识别。

2.2.1 加密技术

数据加密技术采用一定的加密算法，加密系统将明文转换为密文，使非法用户不能理解明文，使得数据得到保障的一种技术。不妨设X为加密算法，Y为解密算法，那么数据加解密的数学表达式为：数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密，常用的有链路加密、节点加密和端到端加密三种方式。

2.2.2 加密算法

数据加密算法有很多种，随着信息化的发展目前国内外比较常用的加密算法是：对称加密和非对称加密算法。

1）对称加密算法

对称加密，信息的接收方发送方要使用相同的密钥，交易双方在传送数据之前，就要约定一个密钥，对称加密算法的安全依靠密钥，那么密钥的机密性对交易来讲尤为关键。对称加密算法特点：算法是公开的并且计算量小相对加密速度快、加密效率高。如图2所示。

目前被广泛认可的对称加密技术有：DES、RC2、RC4、RC5和Blowfish等。着重看一下DES加密算法 ，DES是对二元数据进行加密的算法分组长度64位，原始数据分组也是64位，解密密钥同加密密钥顺序相反。DES基本上有着对称加密算法的特点，只是DES生存周期较短，运算速度相对不是很快。

DES工作原理：key、data、mode，是DES的三个入口参数。加解密使用密钥key，加解密数据data，工作模式mode。当处于加密模式时，原始数据按照64位进行分组，形成原始数据组，key对数据加密；当处于解密模式时，key对数据解密。由于现实的局限性密钥只用到了56位，同时也由于密钥的容量只有56位不能提供足够的安全空间。针对DES算法的破解手段主要是暴力破解。DES加密体制流程。如图3所示。

2）非对加密算法

非对称加密，是一种公私钥加密系统，密钥分为公开密钥和私有密钥，加密和解密时使用不同密钥的加密算法，当公开密钥和私有密钥配对，产生密钥对，此时公开密钥对外公开，发送发则要将私有密钥保留在自己手中。

目前被广泛认可的非对称加密技术有：RSA、Elgamal、背包算法、Rabin、HD，ECC。其中RSA算法使用比较广泛。重点介绍比较常用的RSA算法。RSA公开密钥加密，一种非对称加密算法，RSA算法中包含两个密钥加密密钥和解密密钥，即使用不同的加密密钥和解密密钥。在算法中使用的加密密钥是公开的，那么可以到到这样的加密解密方程式：n=p×q，P∈[0，n-1]，p和q均为大于10100的素数，其中p、q是两个保密的素数。RSA的密钥空间比较充足，但是RSA加密速度慢并且安全性依赖于大数分解，因此目前对RSA最流行的攻击一般是采取基于大数因数的分解。想要获得原始数据的攻击者，将自己的数据伪装后给拥有私钥的人发送数据，根据加密解密原理来推导出密钥，获得想要的原始数据。

综上所述。无论是对称加密还是非对称加密。在他们的安全管理范围内都存在一定的弊端，因此我们要确保网络通信的安全，不能单一的采用某一种加密手段，一般是多种方法嵌套使用。

2.3 安全认证技术

安全认证技术一般就是我们所常用的有：身份认证、电子签名、数字摘要、数字证书、数字信封、数字时间戳等技术。

电子签名：只能有信息发送方产生，附加在数据单元上的一些数据，电子签名保证传送的数据不被人改写或假冒。身份认证：数字证书使用电子手段来标识用户的身份。数字信封又称为数字封套，使用某种加密算法让只有知道密钥的人才能看到数据，其目的是确保数据的机密性。数字时间戳：就像在实体见面的交易中，交易双发要签订有效时间，那么采用同样的模式利用网络平台交易双方也要签订日期。数字证书：用来衡量用户是否有权利访问网络资源。

2.4 数据安全协议

就目前的发展形势来看，SSL和SET是电子商务常用的两种安全协议，都采用RSA算法加密，都可通过认证来进行身份的识别，SSL被广泛用于网上交易。SSL安全套接层协议，只要是安装了该协议的用户和服务器之间进行数据交换，该协议都为之提供可靠保障。而SET是基于应用层的协议，使用较复杂，要在银行建立支付网关，在商家的Web服务器上安装商家软件，在用户的个人计算机上安装电子钱包软件等，推广应用较困难。SSL协议可以对数据进行加密，维护数据的完整性，然而目前许多运营商可以利用自身的权利，使用一定的数据抓捕工具，很快的分析出客户的需求，并马上提供个客户想要商品的其他的同类商品，或者是分析其他运营商的数据，产生一种恶性竞争。对于客户来讲，提供相关的其他同类商品的信息，看似是一种好的服务，但是同时也是在侵犯用户的隐私，为此在应用层也就客户在浏览网页时，如果客户需要商家提供相关的同类商品的信息时，商家才能对客户的数据进行分析，否则不应任意分析用户的数据。

3 电子商务安全举措

信息化时代，加剧了计算资源互联和共享，各行各业的信息化程度也不断加深，人们对计算机和互联网越来越依赖，但随之而来的信息安全问题也日益突出。例如个人信息未经允许外泄是最大的隐患，黑客利用安全技术存在的漏洞破解网页源代码，同时在网上种植病毒程序，用户一旦登入进行浏览，黑客便马上通过病毒程序分析出用户浏览的信息。所以如何保护用户的信息已成为电子商务的首要问题。对此作出以下几点要求[2]：

1）加强教育和宣传，提高电子商务安全意识。电子商务的发展是近几年才开始流行的，因此对于电子商务的了解并不是所有的人都清楚的，我们不仅要培养电子商务的专业人才，而且要要每个使用者了解电子商务的特性，懂得安全的使用电子平台，保护自己的合法利益。

2）数据加密加强信息安全。对相关的加密技术进行不断的研究，虽然目前已存在多种加密算法但是仍就不能满足当前的一些需求。鼓励和扶植企业加快数字安全技术的研究，提高我国信息和管理水平，促进电子商务安全建设。

3）健全的法制体系。电子商务不同于实实在在的交易，很多协议都是交易双方通过网络来完成，那么必定会有一些人利用这一点进行诈骗，那么这就要求对这些进行网络犯罪的人进行法律的制裁，维护消费者和合法商家的利益。

4 结论

电子商务给人们的生产生活带来了便利，但作为新兴事物仍旧存在许多不足，无论是哪种经营模式，保证用户的安全和利益都是刻不容缓的，因此需要在技术上不断的创新与发展，使得电子商务能够更好的为人类造福。

参考文献：

[1] 赵佩华.信息技术应用基础[M].苏州：苏州大学出版社，2003.

[2] 孙晓凤.电子商务安全技术探析[ J].科学大众，2006 （7） .

[3] 张晓艳，肖刚强，孙艳霞.浅谈电子商务中的安全问题[ J].科技资讯，2006 （ 36） .

[4] 尹玉菡，杨万军.浅谈构建电子商务中的安全体系[J].黑龙江科技信息，2010（8）.

[5] 焦媛.电子商务安全技术与PKI研究浅谈[J].科技信息，2009（24）.

[6] 陈莉.电子商务安全协议的设计与分析[D].解放军信息工程大学，2009.

[7] 董俊.数据加密技术在电子商务安全中的应用[J].湖北第二师范学院学报，2008（2）.