電子商務(wù)的安全體系結(jié)構(gòu)及技術(shù)分析

張玉鳳

摘要：本文從電子商務(wù)的安全體系結(jié)構(gòu)出發(fā)，分析了當(dāng)下比較常見的電子商務(wù)安全保障技術(shù)：加密技術(shù)、安全認證以及交易協(xié)議。

關(guān)鍵詞：電子商務(wù) 安全體系 結(jié)構(gòu)分析 加密技術(shù)

一、電子商務(wù)的安全體系結(jié)構(gòu)

電子商務(wù)的安全體系結(jié)構(gòu)主要由五方面組成，包括識別網(wǎng)絡(luò)及掃描網(wǎng)絡(luò)等的網(wǎng)絡(luò)服務(wù)方面，采用對稱或者非對稱方式進行加密的加密技術(shù)方面，保障網(wǎng)絡(luò)安全的安全認證方面，結(jié)合加密與安全的交易協(xié)議方面，商務(wù)系統(tǒng)方面等。這五個方面相互關(guān)聯(lián)、相互保障，并且互相影響，相輔相成，要想從根本上解決電子商務(wù)過程中的安全問題，保障電子商務(wù)穩(wěn)定運營，必須從安全體系的結(jié)構(gòu)出發(fā)，優(yōu)化完善安全體系的結(jié)構(gòu)。其中網(wǎng)絡(luò)服務(wù)是電子商務(wù)體系的基礎(chǔ)，通過網(wǎng)絡(luò)計算機可以將信息進行傳遞并促進商務(wù)發(fā)展，因此需要通過安全認證以及加密技術(shù)等來對網(wǎng)絡(luò)進行安全保障，保證電子商務(wù)的隱秘性與私密性；加密技術(shù)是電子商務(wù)安全體系中的一項基本安全措施，而安全認證則結(jié)合了各種加密技術(shù)，進一步提高了電子商務(wù)的安全性；交易協(xié)議綜合運用前兩個安全技術(shù)，可以更為完善地保障電子商務(wù)的安全，同時還制定了相應(yīng)的交易標準；最后，商務(wù)系統(tǒng)是指各種電子商務(wù)運行的系統(tǒng)并且包含相應(yīng)的商業(yè)解決措施。

這五個方面中，加密技術(shù)、安全認證以及交易協(xié)議等三部分對電子商務(wù)的安全最為重要，通過合理的改進和完善，可以進一步提高電子商務(wù)的安全性。

二、加密技術(shù)

加密技術(shù)分為兩類，一類是對稱型，一類是非對稱型，都屬于基本的電子商務(wù)安全技術(shù)。對稱型的加密技術(shù)是指應(yīng)用相同的算法進行加密，交換的秘鑰只能屬于私有秘鑰，具體算法包括常用的DES、IDEA、DES、3DES等。交易雙方在交換共享秘鑰時沒有泄露情況發(fā)生時，就可以運用這種對稱加密技術(shù)來保護信息傳遞的安全。第二類非對稱型加密技術(shù)相比于第一類存在個明顯不同點，第二類加密技術(shù)中交換的秘鑰被分為公開和私有秘鑰兩種。當(dāng)秘鑰公開后，知道秘鑰的用戶就能給公開秘鑰的人以加密方式傳遞消息或文件，對方收到后再進行解密就能得到原本的消息，其中前者使用的是公開秘鑰，后者使用的是私有秘鑰。

這兩類加密方法各有優(yōu)缺點，對稱型加密技術(shù)的優(yōu)點是速度快、效率高，當(dāng)需要加密的信息量比較大時一般會采用這種技術(shù)，但是其缺點也很明顯，采用這種加密方法的安全性差，容易被截獲，而且秘鑰數(shù)量多難以管理。非對稱型加密技術(shù)的優(yōu)點是保密性和安全性更好，管理方便。其缺點是算法復(fù)雜，速度比對稱型加密慢許多倍。因此，實際的電子商務(wù)一般會同時運用這兩種加密技術(shù)。

三、安全認證

安全認證技術(shù)是保證電子商務(wù)安全的

項加強技術(shù)，包括數(shù)字簽名、數(shù)字摘要、數(shù)字憑證、數(shù)字認證、智能卡等方法。數(shù)字簽名是指發(fā)送方在文件中生成一定的散列值，然后進行加密，這加密的信息就相當(dāng)于私人簽名，最后隨文件一起發(fā)送給對方。對方收到文件后一方面是計算文件的散列值，另一方面是通過發(fā)送方給的秘鑰對簽名解密獲得其數(shù)字信息，經(jīng)核對后就能知道兩者是否相符；數(shù)字摘要的方法和前者類似，將明文摘要生成對應(yīng)的密文發(fā)給對方，并且保證其一一對應(yīng)，如此對方接收后就能對比該明文是否被篡改過；數(shù)字憑證相當(dāng)于虛擬的身份證，將個人的信息以數(shù)字的方式展示，方便對方閱覽確認以及設(shè)置訪問權(quán)限等，也能在交易的時候進行使用。數(shù)字憑證包含的信息有姓名、公共秘鑰、憑證單位以及序列號等；數(shù)字認證是指發(fā)放數(shù)字憑證的機構(gòu)，另外還提供類似數(shù)字時間軸、信息認證等服務(wù)。該機構(gòu)必須具有權(quán)威性以及公正性，才能保障數(shù)字憑證的有效性，進一步保障電子商務(wù)的安全；智能卡是指如CPU、ROM等具有讀寫數(shù)據(jù)以及處理數(shù)據(jù)功能的智能集成電路卡。這意味著智能卡可以對數(shù)據(jù)進行加密或者解密，方便用戶得到使用。而且智能卡中的私人秘鑰以及電子憑證等是不能外讀的，并且智能卡所有者還可以設(shè)置密碼，以防智能卡丟失被他人私自使用。這不僅提高了交易安全性，還提升了工作效率及工作便利性。

四、交易協(xié)議

一套完善的交易協(xié)議對電子商務(wù)有很重要的作用。不同的環(huán)境需要不同的交易協(xié)議，目前常用的且比較完善的有安全電子交易協(xié)議、Netbill協(xié)議、匿名原子交易協(xié)議等。

安全電子交易協(xié)議具有多方認證的認證機制，有效地防止被欺騙，使用兩組秘鑰進行雙重數(shù)字簽名，安全性高。安全電子交易協(xié)議具備錢原子性但是不能滿足商品原子性，同時也不能滿足確認發(fā)送原子性；Netbill協(xié)議是通過設(shè)立一個Netbill Server，確保其保密性與公正性，可以處理大量的交易。交易的過程分為三個階段，商品的價格協(xié)商、傳遞和最后價錢支付，整個過程都使用秘鑰加密；匿名原子交易協(xié)議采用多方認證的認證機制，能夠滿足匿名性以及商品原子性、錢原子性等。

五、結(jié)語

綜上所述，網(wǎng)絡(luò)的發(fā)展促進了電子商務(wù)的發(fā)展，成就了交易手段的豐富多樣化。但同時也帶來了許多問題，如交易信息泄露、個人信息假造或者被篡改等，給交易安全造成了極大威脅。因此需要重視電子交易的安全性，改進安全技術(shù)。本文對目前電子商務(wù)的安全體系進行了較為全面的分析，有助于提高大家對電子商務(wù)安全體系的認知，并且為進一步研究改善安全技術(shù)提供了一定的思路和借鑒。電子商務(wù)的安全體系還值得進一步研究，例如公鑰基礎(chǔ)設(shè)施、原子性及采購支付物流協(xié)議、相應(yīng)法律法規(guī)的制定等，都有待研究與發(fā)展。