網(wǎng)絡(luò)安全技術(shù)在電子商務(wù)中的應(yīng)用

[摘 要] 本文在分析電子商務(wù)主要安全因素的基礎(chǔ)上，具體介紹目前電子商務(wù)領(lǐng)域的三種安全技術(shù)，來(lái)消除電子商務(wù)活動(dòng)中的安全隱患。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全 電子商務(wù) 防火墻 密鑰 身份認(rèn)證

一、概述

隨著信息技術(shù)在貿(mào)易和商業(yè)領(lǐng)域廣泛應(yīng)用，利用計(jì)算機(jī)、網(wǎng)絡(luò)通信技術(shù)和因特網(wǎng)實(shí)現(xiàn)商務(wù)活動(dòng)的國(guó)際化、信息化和無(wú)紙化，已成為各國(guó)商務(wù)發(fā)展的一大趨勢(shì)。電子商務(wù)正是為適應(yīng)這種以全球?yàn)槭袌?chǎng)的的變化而出現(xiàn)并發(fā)展起來(lái)的，它是當(dāng)今社會(huì)發(fā)展最快的領(lǐng)域之一，同時(shí)也為全球的經(jīng)濟(jì)發(fā)展帶來(lái)新的增長(zhǎng)點(diǎn)。電子商務(wù)EC是指人們利用電子化手段進(jìn)行以商品交換為中心的各種商務(wù)活動(dòng)，如公司、廠家等與消費(fèi)者個(gè)人利用計(jì)算機(jī)進(jìn)行的商務(wù)活動(dòng)，也可稱為電子交易，包括電子商情、電子廣告、電子購(gòu)物等不同層次的電子商務(wù)活動(dòng)。電子商務(wù)可以通過(guò)多種電子通信方式來(lái)完成，目前人們所談?wù)摰闹饕且噪娮訑?shù)據(jù)交換（EDI）和Internet來(lái)完成的。

在電子商務(wù)的交易中，經(jīng)濟(jì)信息、資金都要通過(guò)網(wǎng)絡(luò)傳輸，交易雙方的身份也需認(rèn)證，故電子商務(wù)的安全性主要是網(wǎng)絡(luò)平臺(tái)的安全和交易信息的安全。而網(wǎng)絡(luò)平臺(tái)的安全是指網(wǎng)絡(luò)操作系統(tǒng)對(duì)抗網(wǎng)絡(luò)攻擊、病毒，使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運(yùn)行。常用的保護(hù)措施有防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)防毒技術(shù)。交易信息的安全是指保護(hù)交易雙方的不被破壞、不泄密，和交易雙方身份的確認(rèn)?？梢杂脭?shù)據(jù)加密、數(shù)字簽名、數(shù)字證書(shū)、ssl 、set安全協(xié)議等技術(shù)來(lái)保護(hù)。在這里我想重點(diǎn)談?wù)劮阑饓夹g(shù)、數(shù)據(jù)加密技術(shù)和身份認(rèn)證技術(shù)。

二、電子商務(wù)的安全技術(shù)之一——防火墻技術(shù)

防火墻技術(shù)是一個(gè)在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上所構(gòu)造的保護(hù)屏障，由軟件系統(tǒng)和硬件設(shè)備組合而成的。防火墻能保障網(wǎng)絡(luò)用戶訪問(wèn)公用網(wǎng)絡(luò)具有最低風(fēng)險(xiǎn)，同時(shí)也能保護(hù)專用網(wǎng)絡(luò)免遭外部襲擊。所有的內(nèi)部網(wǎng)和外部網(wǎng)、專用網(wǎng)和公共網(wǎng)之間的連接都必須經(jīng)過(guò)防火墻的檢查、認(rèn)證和連接，只有被授權(quán)的通信才能通過(guò)此保護(hù)層，從而保證了網(wǎng)絡(luò)的安全。防火墻如圖1所示。

實(shí)現(xiàn)防火墻技術(shù)的主要途徑有：數(shù)據(jù)包過(guò)濾和代理服務(wù)。

1.數(shù)據(jù)包過(guò)濾，這是基于路由器的防火墻，是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施有選擇的放行。事先在防火墻內(nèi)設(shè)計(jì)好一個(gè)過(guò)濾邏輯，對(duì)于通過(guò)防火墻的數(shù)據(jù)流的數(shù)據(jù)包逐個(gè)根據(jù)其源地址、目的地址、所用的TCP端口與TCP鏈路狀態(tài)進(jìn)行檢查，確定是否允許它通過(guò)。

2.代理服務(wù)，這是基于代理服務(wù)器的防火墻，是由一個(gè)高層的應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器，接受外來(lái)的應(yīng)用連接請(qǐng)求，進(jìn)行安全檢查后再與被保護(hù)的網(wǎng)絡(luò)應(yīng)用服務(wù)器連接，使得外部服務(wù)用戶可以在受控制的前提下使用內(nèi)部網(wǎng)絡(luò)服務(wù)。同樣，內(nèi)部網(wǎng)絡(luò)的服務(wù)連接也可以受到監(jiān)控。應(yīng)用網(wǎng)關(guān)的代理服務(wù)實(shí)體將對(duì)所有通過(guò)它的連接做出日志記錄，以便對(duì)安全漏洞檢查并收集相關(guān)的信息?；诎^(guò)濾的防火墻和基于代理服務(wù)器的防火墻各有其特點(diǎn)，前者通常直接轉(zhuǎn)發(fā)報(bào)文，它對(duì)用戶完全是透明的，速度較快；后者是通過(guò)代理服務(wù)器建立連接，它有更強(qiáng)的身份驗(yàn)證和日志功能。一種新的產(chǎn)品是復(fù)合型防火墻，即把包過(guò)濾型防火墻和代理服務(wù)器型防火墻結(jié)合起來(lái)，以發(fā)揮各自的優(yōu)點(diǎn)，克服各自的缺點(diǎn)，滿足更高安全性的要求。

三、電子商務(wù)的安全技術(shù)之二——數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是將明文采取數(shù)學(xué)方式轉(zhuǎn)換成為密文，只有特定接收方才能將其解密還原成為明文的過(guò)程。數(shù)據(jù)加密及其相關(guān)技術(shù)應(yīng)用可有效解決電子商務(wù)交易中信息的完整性、不可抵賴性和交易身份確定性等問(wèn)題。明文是加密前的原始信息，密文是明文被加密后的信息，一般是毫無(wú)識(shí)別意義的字符序列。密鑰是指控制加密算法和解密算法得以實(shí)現(xiàn)的關(guān)鍵信息，加密密鑰和解密密鑰可以相同，也可以不同，一般由通信雙方所掌握。數(shù)據(jù)加密技術(shù)根據(jù)加密密鑰和解密密鑰是否相同，分為對(duì)稱密鑰加密和非對(duì)稱密鑰加密。對(duì)稱密鑰加密加密、解密時(shí)使用同一個(gè)密鑰。對(duì)稱密鑰加密如圖2所示。

對(duì)稱密鑰加密算法中最著名的算法是DES，這是一種使用56個(gè)數(shù)據(jù)位的密鑰來(lái)操作64位數(shù)據(jù)塊的加密算法。DES運(yùn)算速度快，適合對(duì)大量數(shù)據(jù)的加密，但缺點(diǎn)是密鑰的安全分發(fā)困難。非對(duì)稱加密，加密密鑰和解密密鑰不同。非對(duì)稱密鑰加密如圖3所示。

在非對(duì)稱密鑰加密技術(shù)中，每個(gè)用戶都有一對(duì)選定的密鑰，一個(gè)可以公開(kāi)，即公共密鑰，用于加密。另一個(gè)由用戶安全擁有，即秘密密鑰，用于解密。當(dāng)給對(duì)方發(fā)信息時(shí)，用對(duì)方的公開(kāi)密鑰進(jìn)行加密，而在接收方收到數(shù)據(jù)后，用自己的秘密密鑰是行解密。

實(shí)現(xiàn)非對(duì)稱密鑰加密體制的典型算法是RSA算法，這種算法的缺點(diǎn)是運(yùn)算速度太慢，比DES慢幾個(gè)數(shù)量級(jí)，因此只適合對(duì)少量關(guān)鍵數(shù)據(jù)的加密，但優(yōu)點(diǎn)是易于密鑰的安全分發(fā)。

由于對(duì)稱密鑰加密技術(shù)和非對(duì)稱密鑰加密技術(shù)各有優(yōu)缺點(diǎn)，在電子商務(wù)數(shù)據(jù)加密時(shí)通常兩者結(jié)合使用，對(duì)關(guān)鍵性的核心機(jī)密數(shù)據(jù)采用非對(duì)稱密鑰加密技術(shù)，而對(duì)大批量數(shù)據(jù)進(jìn)行加密時(shí)則采用對(duì)稱密鑰加密技術(shù)。

四、電子商務(wù)的安全技術(shù)之三——身份認(rèn)證技術(shù)

為解決Internet的安全問(wèn)題，世界各國(guó)對(duì)其進(jìn)行了多年的研究，初步形成了一套完整的Internet安全解決方案，即目前被廣泛采用的PKI體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書(shū)管理公鑰，通過(guò)第三方的可信機(jī)構(gòu)CA，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息捆綁在一起，在Internet網(wǎng)上驗(yàn)證用戶的身份，PKI體系結(jié)構(gòu)把公鑰密碼和對(duì)稱密碼結(jié)合起來(lái)，在Internet網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理，保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。

在電子交易中，無(wú)論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書(shū)的發(fā)放，都不是靠交易的自己能完成的，而需要有一個(gè)具有權(quán)威性和公正性的第三方來(lái)完成。認(rèn)證中心就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書(shū)、并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字憑證的申請(qǐng)、簽發(fā)及對(duì)數(shù)字憑證的管理。認(rèn)證中心依據(jù)認(rèn)證操作規(guī)定來(lái)實(shí)施服務(wù)操作。

1.認(rèn)證系統(tǒng)的基本原理。利用RSA公開(kāi)密鑰算法在密鑰自動(dòng)管理、數(shù)字簽名、身份識(shí)別等方面的特性，可建立一個(gè)為用戶的公開(kāi)密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)。這個(gè)可信的第三方認(rèn)證系統(tǒng)也稱為CA，CA為用戶發(fā)放電子證書(shū)，用戶之間利用證書(shū)來(lái)保證信息安全性和雙方身份的合法性。

2.認(rèn)證系統(tǒng)結(jié)構(gòu)。整個(gè)系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境，系統(tǒng)從功能上基本可以劃分為CA、RA和Web Publisher。

核心系統(tǒng)CA放在一個(gè)單獨(dú)的封閉空間中，為了保證運(yùn)行的絕對(duì)安全，其人員及制度都有嚴(yán)格的規(guī)定，并且系統(tǒng)設(shè)計(jì)為一離線網(wǎng)絡(luò)。CA的功能是在收到來(lái)自RA的證書(shū)請(qǐng)求時(shí)，頒發(fā)證書(shū)。一般的個(gè)人證書(shū)發(fā)放過(guò)程都是自動(dòng)進(jìn)行，無(wú)須人工干預(yù)。

證書(shū)的登記機(jī)構(gòu)，簡(jiǎn)稱RA，分散在各個(gè)網(wǎng)上銀行的地區(qū)中心。RA與網(wǎng)銀中心有機(jī)結(jié)合，接受客戶申請(qǐng)，并審批申請(qǐng)，把證書(shū)正式請(qǐng)求通過(guò)建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心。RA與CA雙方的通信報(bào)文也通過(guò)RSA進(jìn)行加密，確保安全。系統(tǒng)的分布式結(jié)構(gòu)適于新業(yè)務(wù)網(wǎng)點(diǎn)的開(kāi)設(shè)，具有較好的擴(kuò)充性。通信協(xié)議為T(mén)CP/IP。

證書(shū)的公布系統(tǒng)Web Publisher，簡(jiǎn)稱WP，置于Internet網(wǎng)上，是普通用戶和CA直接交流的界面。對(duì)用戶來(lái)講它相當(dāng)于一個(gè)在線的證書(shū)數(shù)據(jù)庫(kù)。用戶的證書(shū)由CA頒發(fā)之后，CA用E-mail通知用戶，然后用戶須用瀏覽器從這里下載證書(shū)。

證書(shū)鏈服務(wù)是一個(gè)CA擴(kuò)展其信任范圍或被認(rèn)可范圍的一種實(shí)現(xiàn)機(jī)制。如果企業(yè)或機(jī)構(gòu)已經(jīng)建立了自己的CA系統(tǒng)，通過(guò)第三方認(rèn)證中心對(duì)該機(jī)構(gòu)或企業(yè)的CA簽發(fā)CA證書(shū)，能夠使得該企業(yè)或機(jī)構(gòu)的CA發(fā)放的證書(shū)被所有信任第三方認(rèn)證中心的瀏覽器、郵件客戶所信任。

3.中國(guó)金融認(rèn)證中心CFCA的建設(shè)情況。中國(guó)對(duì)電子商務(wù)的發(fā)展也給予了應(yīng)有的重視。中國(guó)金融認(rèn)證中心CFCA，已于2000年6月29日開(kāi)始對(duì)社會(huì)各界提供證書(shū)服務(wù)，系統(tǒng)進(jìn)入運(yùn)行狀態(tài)。中國(guó)金融認(rèn)證中心作為一個(gè)權(quán)威的、可信賴的、公正的第三方信任機(jī)構(gòu)，為參與電子商務(wù)各方的各種認(rèn)證需求提供證書(shū)服務(wù)，建立彼此的信任機(jī)制，為全國(guó)范圍內(nèi)的電子商務(wù)及網(wǎng)上銀行等網(wǎng)上支付業(yè)務(wù)提供多種模式的認(rèn)證服務(wù)，在不遠(yuǎn)的將來(lái)實(shí)現(xiàn)與國(guó)外CA的交叉認(rèn)證。

五、小結(jié)

本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù)：防火墻技術(shù)，數(shù)據(jù)加密技術(shù)和身份認(rèn)證技術(shù)，指出了它們分別的使用范圍及其優(yōu)缺點(diǎn)，但必須強(qiáng)調(diào)說(shuō)明的是，電子商務(wù)的安全運(yùn)行，僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的，還必須完善電子商務(wù)立法，以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問(wèn)題，從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。

參考文獻(xiàn)：

[1]王玉娟 史玉珍 王 靜:電子商務(wù)中的網(wǎng)絡(luò)安全技術(shù)[J].平頂山師專學(xué)報(bào)，2004年02期

[2]王曉斌 吳志紅:網(wǎng)絡(luò)安全與電子商務(wù)[J].沈陽(yáng)航空工業(yè)學(xué)院學(xué)報(bào)，2003年02期

[3]樊晉寧:電子商務(wù)的安全問(wèn)題和相應(yīng)措施[J].科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì)；2004年08期