牟童

摘要：科技進步，網(wǎng)絡的不斷發(fā)展，為了適應人們快節(jié)奏的生活，電子商務越來越流行，隨之而來的安全問題越來越突出。該文對電子商務體系結(jié)構(gòu)中各層的安全進行了分析，并對電子商務的發(fā)展談了自己的看法。

關(guān)鍵詞：電子商務；安全；加密技術(shù)；加密算法

中圖分類號：TP391 文獻標識碼：A 文章編號：1009-3044（2013）07-1715-03

隨著信息化的不斷加深，曾經(jīng)只是假想的互聯(lián)網(wǎng)時代真的到來了。越來越多的年輕人將購物、聊天等一系列的活動在網(wǎng)上進行，這就使得一個新興產(chǎn)業(yè)誕生了——電子商務。到目前為止對于電子商務仍不能做一個統(tǒng)一化的定義。概念沒有明確但相關(guān)的問題很明確，即如何保證安全的使用。為使電子商務更好的為人類服務，安全則是先決條件。加強對安全問題的研究與分析，對電子商務的不斷發(fā)展具有極其重大的意義。

1 電子商務安全性分析

開放的網(wǎng)絡為電子商務的發(fā)展提供了平臺，使得交易雙方不需要見面，而是在網(wǎng)上完成相關(guān)活動。因此交易雙方都要面臨一些來自外界的威脅。存在的安全隱患大致有這么幾種：硬件安全、系統(tǒng)安全、交易通信安全、信息傳輸安全等。為了盡可能減小安全帶來的破壞，電子商務采用如圖所示的安全體系結(jié)構(gòu)，盡可能保證交易雙方的買賣利益。如今電子商務體系結(jié)構(gòu)[4]大致如圖1所示：

2 各層的安全技術(shù)

與傳統(tǒng)的交易模式相比，作為一種新興的交易模式，要準確無誤的在網(wǎng)上完成一系列的活動必須有可靠的安全技術(shù)加以保障，那么下面對各層使用的安全手段進行簡要分析。

2.1 網(wǎng)絡層

首先我們來看最基本的網(wǎng)絡層，無法見面的交易雙方要達成各自的目的，他們就只能依靠網(wǎng)絡，網(wǎng)絡層采用的TCP/IP協(xié)議本身沒有考慮安全問題。目前，網(wǎng)絡安全技術(shù)主要有：防火墻技術(shù)、VPN技術(shù)、實時反病毒技術(shù)、入侵檢測系統(tǒng)等。

2.1.1 防火墻技術(shù)

Internet的目的就是資源共享，用戶在上網(wǎng)時得到資源的同時，不可避免的存在安全問題，用戶在使用計算機是無意中會泄漏一些個人隱私，而非法用戶想利用網(wǎng)絡截取個人隱私，防火墻就是用來阻止類似的截取行為。

2.1.2 實時反病毒技術(shù)

現(xiàn)在比較流行的反病毒技術(shù)采用經(jīng)典指令集新技術(shù)并以指令虛擬技術(shù)為輔助。掃描病毒：分析病毒的特征，將自己記錄的病毒庫同獲得的病毒特征進行對比，進一步預防阻止病毒的破壞。監(jiān)控病毒：利用操作系統(tǒng)底層的接口，對系統(tǒng)中的所有文件進行監(jiān)控。病毒的特征進行判斷。刪除病毒：在刪除時采用虛擬技術(shù)對性變的病毒進行處理或編寫出相應的程序，將病毒移除計算機內(nèi)存。

2.1.3 VPN（虛擬專用網(wǎng)）技術(shù)

利用共享網(wǎng)絡為信息傳輸媒介.VPN使用專門的隧道技術(shù)、用戶認證和訪問控制等技術(shù)達到同專用網(wǎng)一樣的安全效果。采用VPN技術(shù)可以在系統(tǒng)之間建立信道，保證數(shù)據(jù)安全傳送。

2.1.4 入侵檢測系統(tǒng)

Network Intrusion Detection System，即網(wǎng)絡入侵檢測系統(tǒng)。入侵檢測系統(tǒng)是防火墻的一種延續(xù)。通過算法在計算機網(wǎng)絡系統(tǒng)中設置捕獲點對網(wǎng)絡、系統(tǒng)的運行情況進行監(jiān)視，對監(jiān)視得到的數(shù)據(jù)進行分析處理，保證雙方最終能得到完整可用的數(shù)據(jù)。

2.2 加密層

數(shù)據(jù)加密技術(shù)是信息安全的核心和關(guān)鍵技術(shù)，加密層對原始數(shù)據(jù)進行處理保證數(shù)據(jù)的安全性，電子交易能否順利完成數(shù)據(jù)的完整傳輸便是關(guān)鍵所在，利用數(shù)據(jù)加密技術(shù)對原始數(shù)據(jù)加密，使得數(shù)據(jù)即使丟失，獲得數(shù)據(jù)的第三方仍舊無法識別。

2.2.1 加密技術(shù)

數(shù)據(jù)加密技術(shù)采用一定的加密算法，加密系統(tǒng)將明文轉(zhuǎn)換為密文，使非法用戶不能理解明文，使得數(shù)據(jù)得到保障的一種技術(shù)。不妨設X為加密算法，Y為解密算法，那么數(shù)據(jù)加解密的數(shù)學表達式為：數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲加密。數(shù)據(jù)傳輸加密技術(shù)主要是對傳輸中的數(shù)據(jù)流進行加密，常用的有鏈路加密、節(jié)點加密和端到端加密三種方式。

2.2.2 加密算法

數(shù)據(jù)加密算法有很多種，隨著信息化的發(fā)展目前國內(nèi)外比較常用的加密算法是：對稱加密和非對稱加密算法。

1）對稱加密算法

對稱加密，信息的接收方發(fā)送方要使用相同的密鑰，交易雙方在傳送數(shù)據(jù)之前，就要約定一個密鑰，對稱加密算法的安全依靠密鑰，那么密鑰的機密性對交易來講尤為關(guān)鍵。對稱加密算法特點：算法是公開的并且計算量小相對加密速度快、加密效率高。如圖2所示。

目前被廣泛認可的對稱加密技術(shù)有：DES、RC2、RC4、RC5和Blowfish等。著重看一下DES加密算法 ，DES是對二元數(shù)據(jù)進行加密的算法分組長度64位，原始數(shù)據(jù)分組也是64位，解密密鑰同加密密鑰順序相反。DES基本上有著對稱加密算法的特點，只是DES生存周期較短，運算速度相對不是很快。

DES工作原理：key、data、mode，是DES的三個入口參數(shù)。加解密使用密鑰key，加解密數(shù)據(jù)data，工作模式mode。當處于加密模式時，原始數(shù)據(jù)按照64位進行分組，形成原始數(shù)據(jù)組，key對數(shù)據(jù)加密；當處于解密模式時，key對數(shù)據(jù)解密。由于現(xiàn)實的局限性密鑰只用到了56位，同時也由于密鑰的容量只有56位不能提供足夠的安全空間。針對DES算法的破解手段主要是暴力破解。DES加密體制流程。如圖3所示。

2）非對加密算法

非對稱加密，是一種公私鑰加密系統(tǒng)，密鑰分為公開密鑰和私有密鑰，加密和解密時使用不同密鑰的加密算法，當公開密鑰和私有密鑰配對，產(chǎn)生密鑰對，此時公開密鑰對外公開，發(fā)送發(fā)則要將私有密鑰保留在自己手中。

目前被廣泛認可的非對稱加密技術(shù)有：RSA、Elgamal、背包算法、Rabin、HD，ECC。其中RSA算法使用比較廣泛。重點介紹比較常用的RSA算法。RSA公開密鑰加密，一種非對稱加密算法，RSA算法中包含兩個密鑰加密密鑰和解密密鑰，即使用不同的加密密鑰和解密密鑰。在算法中使用的加密密鑰是公開的，那么可以到到這樣的加密解密方程式：n=p×q，P∈[0，n-1]，p和q均為大于10100的素數(shù)，其中p、q是兩個保密的素數(shù)。RSA的密鑰空間比較充足，但是RSA加密速度慢并且安全性依賴于大數(shù)分解，因此目前對RSA最流行的攻擊一般是采取基于大數(shù)因數(shù)的分解。想要獲得原始數(shù)據(jù)的攻擊者，將自己的數(shù)據(jù)偽裝后給擁有私鑰的人發(fā)送數(shù)據(jù)，根據(jù)加密解密原理來推導出密鑰，獲得想要的原始數(shù)據(jù)。

綜上所述。無論是對稱加密還是非對稱加密。在他們的安全管理范圍內(nèi)都存在一定的弊端，因此我們要確保網(wǎng)絡通信的安全，不能單一的采用某一種加密手段，一般是多種方法嵌套使用。

2.3 安全認證技術(shù)

安全認證技術(shù)一般就是我們所常用的有：身份認證、電子簽名、數(shù)字摘要、數(shù)字證書、數(shù)字信封、數(shù)字時間戳等技術(shù)。

電子簽名：只能有信息發(fā)送方產(chǎn)生，附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，電子簽名保證傳送的數(shù)據(jù)不被人改寫或假冒。身份認證：數(shù)字證書使用電子手段來標識用戶的身份。數(shù)字信封又稱為數(shù)字封套，使用某種加密算法讓只有知道密鑰的人才能看到數(shù)據(jù)，其目的是確保數(shù)據(jù)的機密性。數(shù)字時間戳：就像在實體見面的交易中，交易雙發(fā)要簽訂有效時間，那么采用同樣的模式利用網(wǎng)絡平臺交易雙方也要簽訂日期。數(shù)字證書：用來衡量用戶是否有權(quán)利訪問網(wǎng)絡資源。

2.4 數(shù)據(jù)安全協(xié)議

就目前的發(fā)展形勢來看，SSL和SET是電子商務常用的兩種安全協(xié)議，都采用RSA算法加密，都可通過認證來進行身份的識別，SSL被廣泛用于網(wǎng)上交易。SSL安全套接層協(xié)議，只要是安裝了該協(xié)議的用戶和服務器之間進行數(shù)據(jù)交換，該協(xié)議都為之提供可靠保障。而SET是基于應用層的協(xié)議，使用較復雜，要在銀行建立支付網(wǎng)關(guān)，在商家的Web服務器上安裝商家軟件，在用戶的個人計算機上安裝電子錢包軟件等，推廣應用較困難。SSL協(xié)議可以對數(shù)據(jù)進行加密，維護數(shù)據(jù)的完整性，然而目前許多運營商可以利用自身的權(quán)利，使用一定的數(shù)據(jù)抓捕工具，很快的分析出客戶的需求，并馬上提供個客戶想要商品的其他的同類商品，或者是分析其他運營商的數(shù)據(jù)，產(chǎn)生一種惡性競爭。對于客戶來講，提供相關(guān)的其他同類商品的信息，看似是一種好的服務，但是同時也是在侵犯用戶的隱私，為此在應用層也就客戶在瀏覽網(wǎng)頁時，如果客戶需要商家提供相關(guān)的同類商品的信息時，商家才能對客戶的數(shù)據(jù)進行分析，否則不應任意分析用戶的數(shù)據(jù)。

3 電子商務安全舉措

信息化時代，加劇了計算資源互聯(lián)和共享，各行各業(yè)的信息化程度也不斷加深，人們對計算機和互聯(lián)網(wǎng)越來越依賴，但隨之而來的信息安全問題也日益突出。例如個人信息未經(jīng)允許外泄是最大的隱患，黑客利用安全技術(shù)存在的漏洞破解網(wǎng)頁源代碼，同時在網(wǎng)上種植病毒程序，用戶一旦登入進行瀏覽，黑客便馬上通過病毒程序分析出用戶瀏覽的信息。所以如何保護用戶的信息已成為電子商務的首要問題。對此作出以下幾點要求[2]：

1）加強教育和宣傳，提高電子商務安全意識。電子商務的發(fā)展是近幾年才開始流行的，因此對于電子商務的了解并不是所有的人都清楚的，我們不僅要培養(yǎng)電子商務的專業(yè)人才，而且要要每個使用者了解電子商務的特性，懂得安全的使用電子平臺，保護自己的合法利益。

2）數(shù)據(jù)加密加強信息安全。對相關(guān)的加密技術(shù)進行不斷的研究，雖然目前已存在多種加密算法但是仍就不能滿足當前的一些需求。鼓勵和扶植企業(yè)加快數(shù)字安全技術(shù)的研究，提高我國信息和管理水平，促進電子商務安全建設。

3）健全的法制體系。電子商務不同于實實在在的交易，很多協(xié)議都是交易雙方通過網(wǎng)絡來完成，那么必定會有一些人利用這一點進行詐騙，那么這就要求對這些進行網(wǎng)絡犯罪的人進行法律的制裁，維護消費者和合法商家的利益。

4 結(jié)論

電子商務給人們的生產(chǎn)生活帶來了便利，但作為新興事物仍舊存在許多不足，無論是哪種經(jīng)營模式，保證用戶的安全和利益都是刻不容緩的，因此需要在技術(shù)上不斷的創(chuàng)新與發(fā)展，使得電子商務能夠更好的為人類造福。

參考文獻：

[1] 趙佩華.信息技術(shù)應用基礎[M].蘇州：蘇州大學出版社，2003.

[2] 孫曉鳳.電子商務安全技術(shù)探析[ J].科學大眾，2006 （7） .

[3] 張曉艷，肖剛強，孫艷霞.淺談電子商務中的安全問題[ J].科技資訊，2006 （ 36） .

[4] 尹玉菡，楊萬軍.淺談構(gòu)建電子商務中的安全體系[J].黑龍江科技信息，2010（8）.

[5] 焦媛.電子商務安全技術(shù)與PKI研究淺談[J].科技信息，2009（24）.

[6] 陳莉.電子商務安全協(xié)議的設計與分析[D].解放軍信息工程大學，2009.

[7] 董俊.數(shù)據(jù)加密技術(shù)在電子商務安全中的應用[J].湖北第二師范學院學報，2008（2）.