周秀平

摘要：信息安全的保障是電子商務(wù)進(jìn)行的前提條件，唯有保障了各方的安全與財(cái)產(chǎn)，電子商務(wù)才能擴(kuò)大發(fā)展。電子商務(wù)的安全技術(shù)主要包括加密技術(shù)，安全認(rèn)證技術(shù)和電子商務(wù)的安全協(xié)議幾個(gè)方面，該文通過(guò)對(duì)以上幾種技術(shù)的介紹，并指出其優(yōu)點(diǎn)和不足。

關(guān)鍵詞：電子商務(wù)；主要安全技術(shù)；安全認(rèn)證技術(shù)

中圖分類號(hào)：TP271文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)20-5020-02

由于電子商務(wù)的平臺(tái)Internet的特殊性，以及電子商務(wù)在國(guó)內(nèi)開(kāi)展的時(shí)間不長(zhǎng)，因此，電子商務(wù)的安全保護(hù)尤為重要。信息安全的保障是電子商務(wù)進(jìn)行的前提條件，唯有保障了各方的安全與財(cái)產(chǎn)，電子商務(wù)才能擴(kuò)大發(fā)展。電子商務(wù)的安全技術(shù)主要包括幾下幾個(gè)方面：

1加密技術(shù)(necryptinotechnique)

加密技術(shù)是電子商務(wù)采取的主要安全措施，其根本目的是保護(hù)參與交易的雙方信息不被泄露、系統(tǒng)不被破壞。加密技術(shù)根據(jù)類型的不同可以分為對(duì)稱式加密和非對(duì)稱式加密兩類。

1.1對(duì)稱式加密（密匙加密或?qū)Ｓ妹艹准用埽?/p>

對(duì)稱式加密是指信息的發(fā)送方和接收方使用的密匙完全相同的加密方法。雙方所使用的密匙以及加密的方式是完全相同的，唯一不同的地方在于加密與解密的子密匙序列的市價(jià)順序剛好相反。對(duì)稱式加密方法是最為普及的一種加密方法，傳統(tǒng)的密碼基本都屬于這類。這類機(jī)密方法的優(yōu)點(diǎn)主要有高速、牢固以及易于掌握等。但由于其普遍性較強(qiáng)，而且加密與解密的密匙完全一樣，導(dǎo)致當(dāng)使用者數(shù)量過(guò)多時(shí)，密匙不便于掌控.如果當(dāng)前我們有x個(gè)網(wǎng)絡(luò)用戶，那么相應(yīng)的，我們就要具備x（x-1）/2個(gè)密匙，這產(chǎn)生的數(shù)量是相當(dāng)巨大的。因此不適合用于客戶眾多的網(wǎng)絡(luò)環(huán)境中。而且，對(duì)稱式加密算法還無(wú)法實(shí)現(xiàn)數(shù)字簽名。目前，最為普遍使用的是DES加密算法，同時(shí)還有RC4、3DES及IDEA等加密算法。不過(guò)，歷經(jīng)將近20多年的使用，DES在某些方面已經(jīng)無(wú)法適應(yīng)計(jì)算機(jī)信息技術(shù)的發(fā)展需求，對(duì)信息的保密程度也有所下降，破解方法也逐漸有效。順應(yīng)時(shí)代的潮流，高級(jí)加密標(biāo)準(zhǔn)AES或許會(huì)成為新一代的加密標(biāo)準(zhǔn)。

1.2非對(duì)稱式加密（公開(kāi)密匙加密）

非對(duì)稱式加密是指信息的發(fā)送方和接收方使用的密匙不同的加密方法。這種加密方法將密匙分為兩塊，一把叫做加密密匙，一把叫做解密密匙；也可說(shuō)成一把叫做公開(kāi)密匙，一把教秘專用密匙。兩把密匙的主要責(zé)任不同，第一把密匙的主要責(zé)任和目標(biāo)是對(duì)信息進(jìn)行加密，而第二把密匙的主要責(zé)任和目標(biāo)則是對(duì)信息進(jìn)行解密。理論意義上來(lái)講，所有人都能夠使用公開(kāi)密匙對(duì)信息進(jìn)行加密，但是，要對(duì)信息進(jìn)行解密就不是隨意一個(gè)人都可以進(jìn)行的了，鼻息是具有相對(duì)應(yīng)的專用密匙的人才能夠?qū)π畔⑦M(jìn)行解密。這種加密方法的優(yōu)點(diǎn)是相較于對(duì)稱式加密方法，更適應(yīng)當(dāng)前的網(wǎng)絡(luò)環(huán)境。因?yàn)槊艹椎墓芾硐鄬?duì)來(lái)說(shuō)更加簡(jiǎn)單，現(xiàn)代密碼中的公共密鑰密碼就屬于非對(duì)稱式密碼。不過(guò)，它的缺點(diǎn)是算法復(fù)雜，加密數(shù)據(jù)的速度和效率較低。

2安全認(rèn)證技術(shù)

2.1數(shù)字摘要(Digital Digest）

此編碼由RonRivest研究設(shè)計(jì)而成，由于應(yīng)用到了單向Hash函數(shù)，因此又稱為安全Hash編碼法(Secure Hash Algorithm簡(jiǎn)稱SHA)，此加密方法關(guān)鍵在于將信息進(jìn)行精簡(jiǎn)得出主要“摘要”，形成密文，也可叫做數(shù)字指紋(FingerPrint)，由于它具有固定的長(zhǎng)度，且根據(jù)不同的內(nèi)容而產(chǎn)生的摘要不同，其密文的長(zhǎng)度也不同，進(jìn)而確定了密文的保密性。

2.2數(shù)字簽名(Digital Signature）

數(shù)字簽名就是將商家服務(wù)器信息或者個(gè)人信息轉(zhuǎn)化成數(shù)字形式而起到簽名作用的認(rèn)證技術(shù)。數(shù)字簽名具有唯一性，不同的身份必然得到不同的簽名，此簽名也不可仿制，因此確定了各方的信息及財(cái)產(chǎn)的安全性。數(shù)字簽名包括公開(kāi)密匙數(shù)字簽名和對(duì)文件的數(shù)字簽名。

2.3數(shù)字時(shí)間戮(Digital Time-stamp)

所謂數(shù)字時(shí)間戳服務(wù) (DigitalTime—stampService，簡(jiǎn)稱DTS)，就是對(duì)交易所產(chǎn)生的年月日及時(shí)間等信息進(jìn)行保密安全的文檔。

它由三個(gè)部分組成：1.需加時(shí)間戳的文件的摘要2. DTS收到文件的日期和時(shí)間3. DTS的數(shù)字簽名獲得數(shù)字時(shí)間戮的過(guò)程如下圖所示：

3電子商務(wù)的安全協(xié)議

為了保證電子商務(wù)的安全運(yùn)行，必須制定出一系列完善齊全的安全協(xié)議。目前，廣泛被使用的安全協(xié)議有兩類，一是SSL協(xié)議，另一個(gè)是SET協(xié)議。

3.1 SSL協(xié)議（安全套接層協(xié)議）

3.1.1概念

SSL是英文Secure Sockets Layer的縮寫，所謂SSL就是指連個(gè)通信者在通信之前先約定通信的方法及加密密匙，這個(gè)方法可以的目的是構(gòu)建一個(gè)安全的加密通道，可以保證信息不被其他方面所偷窺，具有安全性。

3.1.2 SSL協(xié)議的特性

SSL協(xié)議具有安全性、準(zhǔn)確性以及確定性三個(gè)特性。安全性是指在經(jīng)過(guò)了客戶端與服務(wù)器的握手協(xié)議后，雙方的身份都已得到認(rèn)證，進(jìn)而數(shù)據(jù)的加密與解密都需用雙方可知的密匙，保密性強(qiáng)，因此具有安全性。準(zhǔn)確性是指雙方所傳遞的信息數(shù)據(jù)的每個(gè)分組均被壓縮成消息摘要，利用消息摘要發(fā)進(jìn)而可以進(jìn)行完整性檢察，保證了信息的準(zhǔn)確性。而確認(rèn)性是指握手協(xié)議首先是服務(wù)器端證書的認(rèn)證，其證書具有確定性。

3.1.3 SSL協(xié)議的缺點(diǎn)

SSL安全協(xié)議的缺點(diǎn)主要有：只能手動(dòng)對(duì)證書進(jìn)行更新、認(rèn)證機(jī)構(gòu)編碼困難、瀏覽器的口令具有隨意性、不能自動(dòng)檢測(cè)證書撤銷表等。而且SSL協(xié)議的服務(wù)器端只有一個(gè)，但是另一側(cè)客戶端的客戶量確有可能是成千上萬(wàn)的，由于客戶端的所有信息是對(duì)服務(wù)端完全可見(jiàn)的，所以對(duì)客戶的信息沒(méi)有安全保障。雖然SSL協(xié)議操作簡(jiǎn)單，易于掌握，并且投資不大，在歐美很多商業(yè)網(wǎng)站上都得到了應(yīng)用，但SSL在全球范圍內(nèi)推廣還是不太可能的，由于美國(guó)安全局的限制，美國(guó)以外的國(guó)家若想在電子商務(wù)中充分利用SSL還需要克服攻堅(jiān)很大的困難。

3.2 SET協(xié)議（安全電子交易協(xié)議）

3.2.1概念

SET是一種以信用卡為基礎(chǔ)的、在因特網(wǎng)上交易的付款協(xié)議書，是授權(quán)業(yè)務(wù)信息傳輸安全的標(biāo)準(zhǔn)，它采用RSA密碼算法，利用公鑰體系對(duì)通信雙方進(jìn)行認(rèn)證，用DES等標(biāo)準(zhǔn)加密算法對(duì)信息加密傳輸，并用散列函數(shù)來(lái)鑒別信息的完整性。

3.2.2 SET協(xié)議的組成

SET協(xié)議的組成包括參與主體的組成和軟件的組成。SET協(xié)議的成員組成主要包括持卡人（CardHolder）、商家（Merchant）、發(fā)卡行（Issuing Bank）、收單行（Acquiring Bank）、支付網(wǎng)關(guān)（Payment Gateway）、認(rèn)證中心（Certificate Authority）等六個(gè)部分組成。而SET協(xié)議的軟件組成主要包括電子錢包、商店服務(wù)器、支付網(wǎng)關(guān)和認(rèn)證中心軟件。

3.2.3 SET協(xié)議的缺點(diǎn)

雖然SET協(xié)議在保密性方面做得非常完善，但是其仍存在其他方面的缺陷。正因?yàn)闉榱司S護(hù)加強(qiáng)保密性的確定，SET協(xié)議的復(fù)雜性大大超越了SSL協(xié)議，又因?yàn)镾ET協(xié)議對(duì)其他安全協(xié)議一概不兼容，所以，SET在實(shí)際應(yīng)用中非常麻煩，這使得他的實(shí)用性及適用性大大下降。

參考文獻(xiàn)：

[1]趙志光,曹振麗,薛元霞.電子商務(wù)安全技術(shù)及其策略[J].農(nóng)業(yè)網(wǎng)絡(luò)信息,2010(9).

[2]楊祖云.計(jì)算機(jī)網(wǎng)絡(luò)中信息系統(tǒng)技術(shù)安全與防范[J].農(nóng)村經(jīng)濟(jì)與科技,2009(12).

[3]蓋凌云.基于Internet的電子商務(wù)安全性研究[J].現(xiàn)代農(nóng)業(yè)科技,2009(7).

[4]徐建華,張英,萬(wàn)發(fā)仁.影響網(wǎng)絡(luò)安全的因素及防控措施[J].農(nóng)業(yè)網(wǎng)絡(luò)信息,2008(8).

[5]徐智敏.高校計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題淺析[J].吉林農(nóng)業(yè)科技學(xué)院學(xué)報(bào),2009(2).