基于電子商務(wù)的安全技術(shù)討論

【摘 要】隨著Internet技術(shù)的日益成熟，近年來(lái)電子商務(wù)也有了飛速的發(fā)展。但也應(yīng)認(rèn)識(shí)到電子商務(wù)尚是一個(gè)機(jī)遇和挑戰(zhàn)并存的新領(lǐng)域，這種挑戰(zhàn)很大程度上來(lái)源于對(duì)有關(guān)安全技術(shù)的信賴。本文重點(diǎn)討論了保證傳輸數(shù)據(jù)安全的兩種技術(shù)：數(shù)據(jù)加密技術(shù)和有關(guān)安全協(xié)議技術(shù)。

【關(guān)鍵詞】電子商務(wù)；加密；安全技術(shù)

一、數(shù)據(jù)加密技術(shù)

在電子商務(wù)中，信息加密技術(shù)是其它安全技術(shù)的基礎(chǔ)，為了保護(hù)商業(yè)機(jī)密在傳輸過程中不被別人竊取或篡改，必須對(duì)數(shù)據(jù)進(jìn)行加密處理。加密技術(shù)是指通過使用代碼或密碼將某些重要信息和數(shù)據(jù)從一個(gè)可以理解的明文形式變換成一種復(fù)雜錯(cuò)亂的、不可理解的密文形式（即加密），在線路上傳送或在數(shù)據(jù)庫(kù)中存儲(chǔ)，其他用戶再將密文還原成明文（即解密），從而保障信息數(shù)據(jù)的安全性。

數(shù)據(jù)加密的方法很多，常用的有兩大類：一種是對(duì)稱密鑰加密，一種是非對(duì)稱密鑰加密。

對(duì)稱加密也叫秘密密鑰加密。發(fā)送方用密鑰加密明文，傳送給接收方，接收方用同一密鑰解密，其特點(diǎn)是加密和解密使用的是同一個(gè)密鑰。這種方法使用簡(jiǎn)單，加密解密速度快，適合于大量信息的加密。

但存在幾個(gè)問題：第一，不能保證也無(wú)法知道密鑰在傳輸中的安全。若密鑰泄漏，黑客可用它解密信息，也可假冒一方做壞事。第二，假設(shè)每對(duì)交易方用不同的密鑰，N對(duì)交易方需要N*（N-1）/2個(gè)密鑰，難于管理。第三，不能鑒別數(shù)據(jù)的完整性。

非對(duì)稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對(duì)數(shù)據(jù)加解密時(shí)，使用不同的密鑰，在通信雙方各具有兩把密鑰，一把公鑰和一把密鑰。公鑰對(duì)外界公開，私鑰自己保管，用公鑰加密的信息，只能用對(duì)應(yīng)的私鑰解密，同樣地，用私鑰加密的數(shù)據(jù)只能用對(duì)應(yīng)的公鑰解密。具體加密傳輸過程如下：

（1）發(fā)送方甲用接收方乙的公鑰加密自己的私鑰。

（2）發(fā)送方甲用自己的私鑰加密文件，然后將加密后的私鑰和文件傳輸給接收方。

（3）接收方乙用自己的私鑰解密，得到甲的私鑰。

（4）接收方乙用甲的公鑰解密，得到明文。

這個(gè)過程包含了兩個(gè)加密解密過程：密鑰的加解密和文件本身的加解密。在密鑰的加密過程中，由于發(fā)送方甲用乙的公鑰加密了自己的私鑰，如果文件被竊取，由于只有乙保管自己的私鑰，黑客無(wú)法解密。這就保證了信息的機(jī)密性。另外，發(fā)送方甲用自己的私鑰加密信息，因?yàn)樾畔⑹怯眉椎乃借€加密，只有甲保管它，可以認(rèn)定信息是甲發(fā)出的，而且沒有甲的私鑰不能修改數(shù)據(jù)?？梢员ＷC信息的不可抵賴性。

運(yùn)用公開密鑰加密算法，處理和計(jì)算量都比較大，速度慢，所以只適合于少量數(shù)據(jù)的加密。

因此，在當(dāng)前的加密應(yīng)用中，應(yīng)該使用對(duì)稱密鑰來(lái)對(duì)文本加密和解密，用非對(duì)稱RSA加密體系對(duì)私鑰加密和解密。發(fā)送方把密文和加密后的私鑰一起發(fā)送給接收方。使用這種聯(lián)合加密法，不僅可以確保數(shù)據(jù)的保密性，而且還可以實(shí)現(xiàn)一種名為數(shù)字簽名的認(rèn)證機(jī)制。發(fā)送者私鑰加密的數(shù)據(jù)可以提供對(duì)發(fā)送者身份的認(rèn)證，接收者私鑰加密的數(shù)據(jù)可以提供對(duì)接收者身份的認(rèn)證。

當(dāng)然，任何一個(gè)安全產(chǎn)品或技術(shù)都不會(huì)提供永遠(yuǎn)和絕對(duì)的安全，因?yàn)榫W(wǎng)絡(luò)在變化，應(yīng)用在變化，入侵和破壞的手段也在變化，只有技術(shù)的不斷進(jìn)步才是真正的出路。

二、與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)

1.SSL協(xié)議（Secure Sockets Layer）安全套接層協(xié)議

應(yīng)用：面向連接的協(xié)議，在電子商務(wù)中傳輸重要、敏感數(shù)據(jù)。

SSL協(xié)議的概念：SSL協(xié)議是早期的一種安全電子支付協(xié)議，它的主要目標(biāo)是保證兩個(gè)應(yīng)用間通信的保密性和可靠性，是實(shí)現(xiàn)瀏覽器和服務(wù)器（通常是Web服務(wù)器）之間安全通信的協(xié)議。

SSL協(xié)議的功能：SSL協(xié)議提供了三種基本的安全服務(wù)，即秘密性、完整性和認(rèn)證性。所謂秘密性是指在客戶機(jī)和服務(wù)器之間通過密碼算法和密鑰的協(xié)商，建立起一個(gè)安全通道，使得在安全通道中傳輸?shù)臄?shù)據(jù)都經(jīng)過加密處理。所謂完整性是指利用密碼算法和Hash函數(shù)，確保要傳輸?shù)男畔⑼暾麩o(wú)損的到達(dá)目的地。所謂認(rèn)證性是指利用認(rèn)證技術(shù)和權(quán)威的第三方CA，讓客戶機(jī)和服務(wù)起互相識(shí)別對(duì)方的身份。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道，在該通道上可透明加載任何高層應(yīng)用協(xié)議（如HTTP、FTP、TELNET等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴SL協(xié)議獨(dú)立于應(yīng)用層協(xié)議，因此，在電子交易中被用來(lái)安全傳送信用卡號(hào)碼。

SSL的應(yīng)用及局限：中國(guó)目前多家銀行均采用SSL協(xié)議，從目前實(shí)際使用的情況來(lái)看，SSL還是人們最信賴的協(xié)議。但是SSL當(dāng)初并不是為支持電子商務(wù)而設(shè)計(jì)的，所以在電子商務(wù)系統(tǒng)的應(yīng)用中還存在很多弊端。它是一個(gè)面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，而電子商務(wù)往往是用戶、網(wǎng)站、銀行三家協(xié)作完成，SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系，并且購(gòu)貨時(shí)用戶要輸入通信地址，這樣將可能使得用戶收到大量垃圾信件。

2.SET協(xié)議（Secure Electronic Transaction）安全電子交易

應(yīng)用：電子商務(wù)的結(jié)算方式是在Internet環(huán)境下，借助SET協(xié)議在網(wǎng)絡(luò)上直接支付，具體方式是用戶網(wǎng)上發(fā)送經(jīng)加密的信用卡號(hào)和密碼到銀行進(jìn)行支付。由于SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性，特別是保證不將消費(fèi)者銀行卡號(hào)暴露給商家等優(yōu)點(diǎn)，因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國(guó)際安全標(biāo)準(zhǔn)。

SET的局限性：SET是專門為電子商務(wù)而設(shè)計(jì)的協(xié)議，雖然它在很多方面優(yōu)于SSL協(xié)議，但仍然不能解決電子商務(wù)所遇到的全部問題。

SET主要目標(biāo)是：①信息在Internet上安全傳輸，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客竊??；②定單信息和個(gè)人帳號(hào)信息的隔離，當(dāng)包含持卡人帳號(hào)信息的定單送到商家時(shí)，商家只能看到定貨信息，而看不到持卡人的帳戶信息；③持卡人和商家相互認(rèn)證，以確定通信雙方的身份，一般由第三方機(jī)構(gòu)負(fù)責(zé)為在線通信雙方提供信用擔(dān)保；④要求軟件遵循相同協(xié)議和報(bào)文格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。

總之，隨著電子商務(wù)的發(fā)展，安全問題將更加重要和突出，要想解決好此問題，必須由安全技術(shù)和標(biāo)準(zhǔn)作保障。安全是一個(gè)“相對(duì)的”詞匯，電子商務(wù)的發(fā)展促使對(duì)安全技術(shù)進(jìn)行不斷探索研究和開發(fā)應(yīng)用，以建立一個(gè)安全的商務(wù)環(huán)境。

參考文獻(xiàn)：

[1]覃征，謝國(guó)彤等編著.商務(wù)體系結(jié)構(gòu)及系統(tǒng)設(shè)計(jì)[M].西安交通大學(xué)出版社，2001.

[2]石磊.電子商務(wù)的網(wǎng)絡(luò)技術(shù)[M].中國(guó)水利水電出版社，2005，3.

[3]陳建強(qiáng).關(guān)于電子商務(wù)系統(tǒng)中安全支付模型的探討[J].貴州工業(yè)大學(xué)學(xué)報(bào)（自然科學(xué)版），2001（02）.

[4]吳國(guó)棟.安全電子支付協(xié)議的兩種改進(jìn)方案[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2005（11）.

[5]徐小亞，吳雪毅.我國(guó)電子商務(wù)發(fā)展的問題及對(duì)策研究[J].廣西輕工業(yè)，2007（01）.

作者簡(jiǎn)介：崔敏（1979—），女，山東濱州人，碩士，現(xiàn)供職于東營(yíng)職業(yè)學(xué)院教師教育學(xué)院，研究方向：計(jì)算機(jī)應(yīng)用技術(shù)。