諸劍杰 徐妙君

（浙江海洋學(xué)院數(shù)理與信息學(xué)院 浙江 舟山 316004）

0 引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，電子商務(wù)也得到了前所未有的發(fā)展，已經(jīng)在國(guó)際貿(mào)易中占據(jù)了重要的地位，這種經(jīng)營(yíng)模式是以計(jì)算機(jī)技術(shù)和通信技術(shù)、網(wǎng)絡(luò)技術(shù)為依托的，運(yùn)用電子數(shù)據(jù)交換和電子郵件、電子支付的方式來(lái)實(shí)現(xiàn)整個(gè)商務(wù)活動(dòng)。但是其安全性問(wèn)題也日益突出，其中的網(wǎng)絡(luò)安全和交易安全問(wèn)題是實(shí)現(xiàn)電子商務(wù)的關(guān)鍵之所在。構(gòu)建一個(gè)安全便捷的電子商務(wù)環(huán)境已經(jīng)是影響著電子商務(wù)是否能健康發(fā)展的至關(guān)重要的因素。

1 電子商務(wù)的安全性要求

電子商務(wù)(Electronic Commerce，EC）中維護(hù)信息的保密性是十分重要的，這就要在信息的存取和傳輸階段做好預(yù)防措施，來(lái)保證信息的安全。利用密碼技術(shù)可以達(dá)到對(duì)電子商務(wù)安全的需求，保證商務(wù)交易的機(jī)密性、完整性、真實(shí)性和不可否認(rèn)性等。

電子商務(wù)中的信息面臨著被非法存取或竊取的威脅，這就要求必須保證電子商務(wù)的安全，也就導(dǎo)致了對(duì)報(bào)文保密性的需求，因此，要真正實(shí)現(xiàn)一個(gè)安全可靠的電子商務(wù)系統(tǒng)，需要做到以下幾個(gè)方面：

1.1 鑒別性，由于電子商務(wù)是基于開(kāi)放的網(wǎng)絡(luò)環(huán)境的，所以貿(mào)易雙方的個(gè)人或企業(yè)中完成交易，要保證信息的安全，首先就要保證交易雙方身份的確定性。因此，電子商務(wù)中非常重要的一環(huán)就是鑒別并確認(rèn)交易雙方的身份。這樣就能保證交易雙方身份的真實(shí)性，使得他們?cè)诨ゲ灰?jiàn)面的虛擬網(wǎng)絡(luò)中也能夠確認(rèn)對(duì)方的身份。一般情況下，通過(guò)認(rèn)證中心（Certificate Authority，CA）和證書(shū)就能實(shí)現(xiàn)電子商務(wù)對(duì)交易雙方身份的鑒別性。

1.2 有效性，與傳統(tǒng)的貿(mào)易方式的最大不同在于，電子商務(wù)以電子形式取代紙張來(lái)進(jìn)行信息的發(fā)送和接收，因此，這種電子形式的貿(mào)易信息的有效性就直接關(guān)系到電子商務(wù)能否順利持續(xù)的開(kāi)展。作為一種新型的以網(wǎng)絡(luò)為平臺(tái)的貿(mào)易手段，電子商務(wù)中貿(mào)易信息的有效性與貿(mào)易雙方的經(jīng)濟(jì)利益和聲譽(yù)有著直接的關(guān)系，這可能會(huì)影響到個(gè)人、企業(yè)甚至國(guó)家。因此，必須保證貿(mào)易的信息數(shù)據(jù)在確定時(shí)間、地點(diǎn)的有效性，這就必須控制和預(yù)防因操作錯(cuò)誤、網(wǎng)絡(luò)故障、硬件故障、計(jì)算機(jī)病毒及系統(tǒng)軟件故障所引起的各種潛在威脅和隱患。

1.4 完整性，由于采用電子形式進(jìn)行交易，所以電子商務(wù)減少了貿(mào)易的人為干預(yù)并簡(jiǎn)化了傳統(tǒng)的貿(mào)易過(guò)程，但是，如何維護(hù)貿(mào)易雙方的信息的統(tǒng)一性和完整性也是電子商務(wù)所要面臨的一個(gè)難題。導(dǎo)致貿(mào)易雙方信息差異的因素有很多，比如數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或故意的欺騙行為，傳輸過(guò)程中的數(shù)據(jù)意外丟失、重復(fù)等。因此，在電子商務(wù)中必須保證貿(mào)易雙方信息的完整性和統(tǒng)一性，它不僅對(duì)貿(mào)易雙方的交易和經(jīng)營(yíng)策略有影響，也是電子商務(wù)廣泛應(yīng)用的基礎(chǔ)和前提。一般情況下，提取貿(mào)易信息的消息摘要就可以確定其完整性。

1.5 不可抵賴性，無(wú)論是傳統(tǒng)的貿(mào)易還是電子商務(wù)，貿(mào)易抵賴是一個(gè)常見(jiàn)的問(wèn)題。在傳統(tǒng)的紙面貿(mào)易中，由于紙質(zhì)合同的存在，使得貿(mào)易雙方可以通過(guò)簽訂合同、契約或單據(jù)的形式來(lái)鑒別貿(mào)易伙伴并確認(rèn)交易決定。然而，電子商務(wù)是無(wú)紙化的方式，傳統(tǒng)的簽訂合同或契約的方法已經(jīng)無(wú)效。因此，要采用新的方式來(lái)制約交易雙發(fā)，比如在交易信息的傳輸過(guò)程中為交易雙方提供可靠的標(biāo)識(shí)。實(shí)現(xiàn)電子商務(wù)不可抵賴性的常用方法是采用數(shù)字簽名對(duì)發(fā)送的消息進(jìn)行標(biāo)識(shí)。

2 電子商務(wù)數(shù)據(jù)安全技術(shù)

為了解決關(guān)鍵業(yè)務(wù)的數(shù)據(jù)安全問(wèn)題，首先，對(duì)數(shù)據(jù)系統(tǒng)進(jìn)行全面、可靠、安全和多層次的備份是必不可少的，除此以外，各種安全產(chǎn)品，無(wú)論防火墻、防病毒、防黑客、防入侵等等都或多或少地肩負(fù)著一些保護(hù)數(shù)據(jù)的責(zé)任。從保護(hù)數(shù)據(jù)的角度講，對(duì)數(shù)據(jù)安全這個(gè)廣義概念，可以細(xì)分為三部分：數(shù)據(jù)加密、數(shù)據(jù)傳輸安全和身份認(rèn)證管理。

2.1 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是最基本的安全技術(shù)，被譽(yù)為信息安全的核心，最初主要用于保證數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的保密性。密碼技術(shù)的發(fā)展已經(jīng)相對(duì)成熟，許多加密算法已經(jīng)應(yīng)用到網(wǎng)絡(luò)安全和商務(wù)信息安全領(lǐng)域，為電子商務(wù)的安全提供了可靠有效的保障。

數(shù)據(jù)加密（Data Encryption）技術(shù)是指將一個(gè)信息（或稱明文，Plain Text）經(jīng)過(guò)加密鑰匙（Encryption Key）及加密函數(shù)轉(zhuǎn)換，變成無(wú)意義的密文（cipher text），而接收方則將此密文經(jīng)過(guò)解密函數(shù)、解密鑰匙（Decryption key）還原成明文。數(shù)據(jù)加密技術(shù)要求只有在指定的用戶或網(wǎng)絡(luò)下，才能解除密碼而獲得原來(lái)的數(shù)據(jù)，這就需要給數(shù)據(jù)發(fā)送方和接受方以一些特殊的信息用于加解密，這就是所謂的密鑰。其密鑰的值是從大量的隨機(jī)數(shù)中選取的，具體過(guò)程見(jiàn)圖1所示。

圖1 數(shù)據(jù)的加密解密過(guò)程

按加密算法分為對(duì)稱密鑰和非對(duì)稱密鑰兩種，它通過(guò)變換和置換等各種方法將被保護(hù)信息置換成密文，然后再進(jìn)行信息的存儲(chǔ)或傳輸，即使加密信息在存儲(chǔ)或者傳輸過(guò)程為非授權(quán)人員所獲得，也可以保證這些信息不為其認(rèn)知，從而達(dá)到保護(hù)信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長(zhǎng)度。

2.1.1 對(duì)稱密鑰

(1) 硝基苯酚處理：分別用0、70、140、280、560 μmol/L的硝基苯酚處理水稻幼苗，于培養(yǎng)室培養(yǎng)5 d 后，測(cè)定水稻幼苗生理指標(biāo)；不同實(shí)驗(yàn)組各處理6株水稻幼苗。硝基苯酚處理前用少量無(wú)水乙醇助溶(對(duì)照組加等量無(wú)水乙醇)，然后加蒸餾水配制成實(shí)驗(yàn)所需濃度。

對(duì)稱密鑰，又稱專用密鑰為或單密鑰，加密和解密時(shí)使用同一個(gè)密鑰，即同一個(gè)算法。如DES（Data Encryption Standard）和美國(guó)麻省理工大學(xué)（MIT）的 Kerberos算法。單密鑰是最簡(jiǎn)單方式，通信雙方必須交換彼此密鑰，當(dāng)需給對(duì)方發(fā)信息時(shí)，用自己的加密密鑰進(jìn)行加密，而在接收方收到數(shù)據(jù)后，用對(duì)方所給的密鑰進(jìn)行解密。當(dāng)一個(gè)文本要加密傳送時(shí)，該文本用密鑰加密構(gòu)成密文，密文在信道上傳送，收到密文后用同一個(gè)密鑰將密文解出來(lái)，形成普通文體供閱讀。在對(duì)稱密鑰中，密鑰的管理極為重要，一旦密鑰丟失，密文將無(wú)密可保。這種方式在與多方通信時(shí)因?yàn)樾枰４婧芏嗝荑€而變得很復(fù)雜，而且密鑰本身的安全就是一個(gè)問(wèn)題。

2.1.2 非對(duì)稱密鑰

非對(duì)稱密鑰，又稱公開(kāi)密鑰，加密和解密時(shí)使用不同的密鑰，即不同的算法。是用一個(gè)密鑰進(jìn)行加密，而用另一個(gè)密鑰進(jìn)行解密。其中加密密鑰是可以公開(kāi)的，又稱公開(kāi)密鑰（Public Key），簡(jiǎn)稱公鑰。解密密鑰必須保密又稱私人密鑰（Private Key），簡(jiǎn)稱私鑰。公鑰密碼算法的主要特點(diǎn)是密鑰在加密和解密過(guò)程中是不同的，因此它可以實(shí)現(xiàn)多個(gè)用戶加密的消息但只能由一個(gè)用戶解讀明文或者說(shuō)只能由一個(gè)用戶加密消息但多個(gè)用戶可以解讀。前者是用于公共網(wǎng)絡(luò)中實(shí)現(xiàn)的保密通信，而后者是可用于認(rèn)證系統(tǒng)中對(duì)消息進(jìn)行數(shù)字簽名。在加密文件中使用公鑰密碼算法時(shí)，只有使用匹配的一對(duì)公鑰和私鑰時(shí)，才能夠完成對(duì)明文的加密和密文的解密過(guò)程。加密明文時(shí)采用的是公鑰加密，解密密文時(shí)采用的是私鑰才能完成解密，這樣便可以閱讀明文，而且在發(fā)送方即加密者知道收信方的公鑰，只有收信方即解密者才是唯一知道自己私鑰的人。

2.2 身份認(rèn)證技術(shù)

為了保證電子商務(wù)中交易的安全性，首先要保證在計(jì)算機(jī)網(wǎng)絡(luò)中的操作者身份必須是真實(shí)有效的，身份認(rèn)證技術(shù)便一直是網(wǎng)絡(luò)安全的主要研究方面之一。計(jì)算機(jī)網(wǎng)絡(luò)世界中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來(lái)表示的，計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份，所有對(duì)用戶的授權(quán)也是針對(duì)用戶數(shù)字身份的授權(quán)。如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法擁有者，也就是說(shuō)保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，身份認(rèn)證技術(shù)就是為了解決這個(gè)問(wèn)題，作為防護(hù)網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口，身份認(rèn)證有著舉足輕重的作用。通常有以下幾種常用的認(rèn)證方式：

2.2.1 靜態(tài)密碼

用戶的密碼是由用戶自己設(shè)定的。在網(wǎng)絡(luò)登錄時(shí)輸入正確的密碼，計(jì)算機(jī)就認(rèn)為操作者就是合法用戶。實(shí)際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如生日、電話號(hào)碼等容易被猜測(cè)的字符串作為密碼，或者把密碼抄在紙上放在一個(gè)自認(rèn)為安全的地方，這樣很容易造成密碼泄漏。如果密碼是靜態(tài)的數(shù)據(jù)，在驗(yàn)證過(guò)程中 需要在計(jì)算機(jī)內(nèi)存中和傳輸過(guò)程可能會(huì)被木馬程序或網(wǎng)絡(luò)中截獲。因此，靜態(tài)密碼機(jī)制無(wú)論是使用還是部署都非常簡(jiǎn)單，但從安全性上講，用戶名/密碼方式一種是不安全的身份認(rèn)證方式。

2.2.2 智能卡（IC 卡）

一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)，智能卡由專門(mén)的廠商通過(guò)專門(mén)的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。智能卡由合法用戶隨身攜帶，登錄時(shí)必須將智能卡插入專用的讀卡器讀取其中的信息，以驗(yàn)證用戶的身份。智能卡認(rèn)證是通過(guò)智能卡硬件不可復(fù)制來(lái)保證用戶身份不會(huì)被仿冒。然而由于每次從智能卡中讀取的數(shù)據(jù)是靜態(tài)的，通過(guò)內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽(tīng)等技術(shù)還是很容易截取到用戶的身份驗(yàn)證信息，因此還是存在安全隱患。

2.2.3 短信密碼

短信密碼以手機(jī)短信形式請(qǐng)求包含6位隨機(jī)數(shù)的動(dòng)態(tài)密碼，身份認(rèn)證系統(tǒng)以短信形式發(fā)送隨機(jī)的6位密碼到客戶的手機(jī)上?？蛻粼诘卿浕蛘呓灰渍J(rèn)證時(shí)候輸入此動(dòng)態(tài)密碼，從而確保系統(tǒng)身份認(rèn)證的安全性。

2.2.4 動(dòng)態(tài)口令牌

目前最為安全的身份認(rèn)證方式，也是一種動(dòng)態(tài)密碼。動(dòng)態(tài)口令牌是客戶手持用來(lái)生成動(dòng)態(tài)密碼的終端，主流的是基于時(shí)間同步方式的，每60秒變換一次動(dòng)態(tài)口令，口令一次有效，它產(chǎn)生6位動(dòng)態(tài)數(shù)字進(jìn)行一次一密的方式認(rèn)證。

2.2.5 USB Key

基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書(shū)，利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

2.2.6 數(shù)字簽名

數(shù)字簽名是目前電子商務(wù)、電子政務(wù)中應(yīng)用最普遍、技術(shù)最成熟、可操作性最強(qiáng)的一種電子簽名方法。所謂“數(shù)字簽名”就是通過(guò)某種密碼運(yùn)算生成一系列符號(hào)及代碼組成電子密碼進(jìn)行簽名，來(lái)代替手書(shū)簽名或印章。實(shí)現(xiàn)數(shù)字簽名有很多種方法，但是目前數(shù)字簽名采用較多的技術(shù)還是公鑰加密技術(shù)，例如RSA算法、基于離散對(duì)數(shù)算法和Hash函數(shù)算法等等。

2.2.7 雙重身份認(rèn)證系統(tǒng)

所謂雙重也稱為雙因素身份認(rèn)證系統(tǒng)就是將兩種認(rèn)證方法結(jié)合起來(lái)，進(jìn)一步加強(qiáng)認(rèn)證的安全性，目前使用最為廣泛的雙重身份認(rèn)證有：動(dòng)態(tài)口令牌+靜態(tài)密碼；USB KEY+靜態(tài)密碼；二層靜態(tài)密碼等等，目的就是為身份認(rèn)證多加一道保護(hù)傘。

3 結(jié)束語(yǔ)

目前，電子商務(wù)已經(jīng)成為人們生活不可缺少的部分，其安全技術(shù)必定會(huì)日新月異的變化，本文只給出了目前廣泛使用的在電子商務(wù)上的安全技術(shù)，隨著技術(shù)的進(jìn)步，還有很多技術(shù)必將出現(xiàn)在電子商務(wù)中，保證我們的電子商務(wù)活動(dòng)安全可靠。

［1］王林國(guó).基于電子商務(wù)安全問(wèn)題的探討[J].中國(guó)商貿(mào)，2011（09）：100-101.

［2］陳月榮.數(shù)字簽名技術(shù)在電子商務(wù)中的應(yīng)用[D].淮北師范大學(xué)，2011.

［3］孫健瑋.基于CFB模式的電子商務(wù)加密解密方法的研究與實(shí)現(xiàn)[D].吉林大學(xué)，2011.

［4］呂玉珠.電子商務(wù)中的身份認(rèn)證技術(shù)及安全支付研究[J].中國(guó)商貿(mào)，2012（01）：161-162.

［5］姚樂(lè)靜，葉晰.淺析電子商務(wù)網(wǎng)站的身份認(rèn)證技術(shù)[J].商場(chǎng)現(xiàn)代化，2012（06）：48-49.

［6］杜娟.電子商務(wù)安全與數(shù)據(jù)加密技術(shù)淺析[J].現(xiàn)代經(jīng)濟(jì)信息，2012（01）：321-322.