浅析电子商务网络安全技术

摘 要：文章从技术角度分析了电子商务安全存在的隐患和威胁，概述了电子商务网络安全的相关技术，通过策略分析将有助于电子商务在我国的进一步开展。

关键词：电子商务；安全技术；加密技术；认证协议

1电子商务的安全性要求

1.1电子商务的特点

电子商务与传统商务相比，有其独特的优势。例如，客户在INTERNET上利用游览器搜寻想要买的商品――进一步确定想要买的商品――从商家站点上获取订单，并选择付款方式为信用卡――客户将信息发送至商家，商家再把客户的账户信息发送至开户银行――经确认，商家接受订货，并发货给客户。

1.2电子商务面临的威胁和安全要求

在电子商务方面，如何构建一个安全、便捷的电子商务战略方案，如何为电子商务应用创造一个安全的环境，已经成为广大商家和消费者关注的一个焦点。而在电子商务交易过程中，如何保证商业机密的安全问题显得尤为重要。信息一旦失窃损失是无法估计的，因此安全性和可靠性问题是电子商务发展过程中急需解决的问题。从电子商务的应用来看，主要分为：

(1)来自黑客(Hacker)的威胁：黑客们通过破坏系统中的硬件、硬盘、线路、文件系统等，破坏系统的可用性，从而使系统无法正常工作；通过搭线和电磁泄漏等手段造成泄密，或通过对业务流量进行分析，获取有用的情报，窃取商业信息，破坏系统的机密性：篡改系统中的数据内容，休整消息内容、次序、放置时间(延时或者重放信息)，破坏系统中数据的完整性；冒充合法的用户将伪造的信息放入系统。或者通过重放截获的合法消息，来实现非法目的，否认己发送消息或者直接收信息等，来破坏信息内容的真实可靠性。

(2)交易面临的安全威胁：在电子商务系统中，必须保证其交易是可靠安全的，否则企业不敢大胆拓展业务，对于那些还在观望的企业和个人来说，更是裹足不前。电子商务活动中，整个系统的安全性要求主要存在于以下几个方面：安全性，安全性指的是交易信息内容在通过因特网这一开放的公众网络系统时，怎么才能在不被第三方窃取的前提下，安全地传输到目的地，如果被第三方窃取的话，其后果是可想而知的；完整性，主要指的是针对交易数据和具体的操作而言的必须能够防止数据被非授权建立、修改和破坏，从而保证交易数据和指令在传输过程中无法篡改；可用性，保证合法用户合理使用资源，即在正常情况下不会被拒绝服务：身份验证，由于交易的双方都是在虚拟的环境中进行，互相是不见面的，所以就无法真正的了解对方，在交易时，确认对方的真实身份，特别是在涉及支付问题时，还必须确认对方的账户、信用卡等是否是真实有效的。

2电子商务的安全技术

2.1电子商务加密技术

在常规的邮政系统中，寄信人用信封隐藏其内容，这就是最基本的保密技术，而在电子商务中，有形的信封就不再成为其代表性的选择。为了实现电子信息的保密性，就必须实现该信息对除特定收信人以外的任何人都是不可读取的。而为了保证共享设计规范的贸易伙伴的信息安全性，就必须采取一定的手段来隐藏信息，而隐藏信息的最有效手段便是加密。

电子商务加密技术即是保证电子商务安全的重要手段，许多密码算法现已成为网络安全的商务信息安全的基础。

为了读懂报文，密文必须重新转变为它的最初形式明文。而含有用来以数学方式转换报文的双重密码就是密钥。在这种情况下即使一则信息被截获并阅读，这则信息也是毫无利用价值的。而实现这种转化的算法标准，据不完全统计，到现在为止已经有近200多种。例如公开密钥加密：公开密钥密码编码学是在试图解决单钥加密面临的上述难题的过程中发展起来的。公开密钥密码的优点是不需要经安全渠道传递密钥，大大简化了密钥管理。它的算法有时也称为公开密钥算法或简称为公钥算法。

2.2电子商务认证技术

安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码，并在传输信息时将之加入文件一同送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件未被篡改，反之亦然。数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。数字证书是用来惟一确认安全电子商务交易双方身份的工具。由于它由证书管理中心做了数字签名，因此，任何第三方都无法修改证书的内容。任何信用卡持有人只有申请到相应的数字证书，才能参加安全电子商务的网上交易。

2.3电子商务安全认证协议

目前电子商务中有两种安全认证协议被广泛使用，即安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议。安全套接层协议是主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被概括为：它是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议，该协议向基于TCP／IP的客户／服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。目的是为用户提供Inlternet和企业内联网的安全通信服务。

在传统的邮购活动中，客户首先寻找商品信息，然后汇款给商家，商家再把商品寄给客户。这里，商家是可以信赖的，所以客户需先汇款给商家。在电子商务的开始阶段，商家也担心客户购买后不付款，或是使用过期作废的信用卡。因而希望银行予以认证。SSL安全协议正是在这种背景下应用于电子商务的。

SSL采用了公开密钥和专有密钥两种加密：在建立连接过程中采用公开密钥；在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。

2.4电子商务安全的解决方案

电子商务的安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容包括计算机设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题。

(1)系统软硬件设施的安全。要有一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递。电子商务基础设施是企业用于实现电子商务的完整T1基础架构，它为用户提供一个整合的环境，包括硬件、软件以及服务等组成部分，通过全面的系统管理，支持企业用户的多种应用。电子商务基础设施是企业构筑电子商务成败的关键。它支撑着企业的全部业务系统，贯穿于企业运营的每一环节。

(2)系统客户机的安全配置。对于网络来说，用户机的安全配置在某种程度可以说是网络系统安全的基础。当用户机处于比较安全的时候，才考虑采取何种措施使得整个网络信息的传输达到最大的安全，使客户能够满意。因此，首先考虑如何保证CP机的配置更加合理。

(3)数据库的安全。为了防止重要数据的丢失，备份是系统中必不可少的。备份系统可以尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。

(4)用户访问安全控制。系统开发中的关键一步是系统安全性的设计与实现。对基于Internet的应用系统，由于是涉及多用户参与的复杂的网络应用系统，用户身份验证与权限管理必须认真分析、全面设计。

电子商务领域的安全问题一直是备受关注的问题，但是因为安全问题是不断发展变化的，所以解决安全问题的手段也会不断变化，但需要解决的根本问题是不变的，所以应用这种架构来保证电子商务的安全无疑是有效的。

参考文献

[1] 余小兵，李希，浅谈电子商务中的安全问题[J]科技咨询导报，2007 ，（02）