論文關(guān)鍵詞：電子商務(wù)　密碼技術(shù)　安全協(xié)議
　　論文摘要：文章主要針對(duì)在電子商務(wù)應(yīng)用中所經(jīng)常使用到的幾種信息安全技術(shù)作了系統(tǒng)的闡述，分析了各種技術(shù)在應(yīng)用中的側(cè)重點(diǎn)，強(qiáng)調(diào)了在電子商務(wù)應(yīng)用中信息安全技術(shù)所具有的重要作用。
　　21世紀(jì)是知識(shí)經(jīng)濟(jì)時(shí)代，網(wǎng)絡(luò)化、信息化是現(xiàn)代社會(huì)的一個(gè)重要特征。隨著網(wǎng)絡(luò)的不斷普及，電子商務(wù)這種商務(wù)活動(dòng)新模式已經(jīng)逐漸改變了人們的經(jīng)濟(jì)、工作和生活方式，可是，電子商務(wù)的安全問題依然是制約人們進(jìn)行電子商務(wù)交易的最大問題，因此，安全問題是電子商務(wù)的核心問題，是實(shí)現(xiàn)和保證電子商務(wù)順利進(jìn)行的關(guān)鍵所在。
　　信息安全技術(shù)在電子商務(wù)應(yīng)用中，最主要的是防止信息的完整性、保密性與可用性遭到破壞；主要使用到的有密碼技術(shù)、信息認(rèn)證和訪問控制技術(shù)、防火墻技術(shù)等。
　　1密碼技術(shù)
　　密碼是信息安全的基礎(chǔ)，現(xiàn)代密碼學(xué)不僅用于解決信息的保密性，而且也用于解決信息的保密性、完整性和不可抵賴性等，密碼技術(shù)是保護(hù)信息傳輸?shù)淖钣行У氖侄?。密碼技術(shù)分類有多種標(biāo)準(zhǔn)，若以密鑰為分類標(biāo)準(zhǔn)，可將密碼系統(tǒng)分為對(duì)稱密碼體制(私鑰密碼體制)和非對(duì)稱密碼體制(公鑰密碼體制)，他們的區(qū)別在于密鑰的類型不同。
　　在對(duì)稱密碼體制下，加密密鑰與解密密鑰是相同的密鑰在傳輸過程中需經(jīng)過安全的密鑰通道，由發(fā)送方傳輸?shù)浇邮辗健１容^著名的對(duì)稱密鑰系統(tǒng)有美國的DES，歐洲的IDEA，Et本的RC4，RC5等。在非對(duì)稱密碼體制下加密密鑰與解密密鑰不同，加密密鑰公開而解密密鑰保密，并且?guī)缀醪豢赡苡杉用苊荑€導(dǎo)出解密密鑰，也無須安全信道傳輸密鑰，只需利用本地密鑰的發(fā)生器產(chǎn)生解密密鑰。比較著名的公鑰密鑰系統(tǒng)有RSA密碼系統(tǒng)、橢圓曲線密碼系統(tǒng)ECC等。
　　數(shù)字簽名是一項(xiàng)專門的技術(shù)，也是實(shí)現(xiàn)電子交易安全的核心技術(shù)之一，在實(shí)現(xiàn)身份認(rèn)證、數(shù)據(jù)完整性、不可抵賴性等方面有重要的作用。尤其在電子銀行、電子證券、電子商務(wù)等領(lǐng)域有重要的應(yīng)用價(jià)值。數(shù)字簽名的實(shí)現(xiàn)基礎(chǔ)是加密技術(shù)，它使用的是公鑰加密算法與散列函數(shù)一個(gè)數(shù)字簽名的方案一般有兩部分組成：數(shù)字簽名算法和驗(yàn)證算法。數(shù)字簽名主要的功能是保證信息傳輸?shù)耐暾?、發(fā)送者身份的驗(yàn)證、防止交易中抵賴的發(fā)生。
　　2信息認(rèn)證和訪問控制技術(shù)
信息認(rèn)證技術(shù)是網(wǎng)絡(luò)信息安全技術(shù)的一個(gè)重要方面，用于保證通信雙方的不可抵賴性和信息的完整性。在網(wǎng)絡(luò)銀行、電子商務(wù)應(yīng)用中，交易雙方應(yīng)當(dāng)能夠確認(rèn)是對(duì)方發(fā)送或接收了這些信息，同時(shí)接收方還能確認(rèn)接收的信息是完整的，即在通信過程中沒有被修改或替換。
　?、倩谒借€密碼體制的認(rèn)證。假設(shè)通信雙方為A和B。A，B共享的密鑰為KAB，M為A發(fā)送給B的信息。為防止信息M在傳輸信道被竊聽，A將M加密后再傳送，如圖1所示
　　由于KAB為用戶A和B的共享密鑰，所以用戶B可以確定信息M是由用戶A所發(fā)出的，這種方法可以對(duì)信息來源進(jìn)行認(rèn)證，它在認(rèn)證的同時(shí)對(duì)信息M也進(jìn)行了加密，但是缺點(diǎn)是不能提供信息完整性的鑒別。通過引入單向HASH函數(shù)，可以解決信息完整性的鑒別問題，如圖2所示
　　在圖2中，用戶A首先對(duì)信息M求HASH值H(M)，之后將H(M)加密成為m，然后將m。和M一起發(fā)送給B，用戶B通過解密ml并對(duì)附于信息M之后的HASH值進(jìn)行比較，比較兩者是否一致。圖2給出的信息認(rèn)證方案可以實(shí)現(xiàn)信息來源和完整性的認(rèn)證?；谒借€的信息認(rèn)證的機(jī)制的優(yōu)點(diǎn)是速度較快，缺點(diǎn)是通信雙方A和B需要事先約定共享密鑰KAB。
　?、诨诠€體制的信息認(rèn)證?；诠€體制的信息認(rèn)證技術(shù)主要利用數(shù)字簽名和哈希函數(shù)來實(shí)現(xiàn)。假設(shè)用戶A對(duì)信息M的HASH值H(M)的簽名為SA(dA，H(m)，其中dA為用戶A的私鑰)，用戶A將M／／SA發(fā)送給用戶B，用戶B通過A的公鑰在確認(rèn)信息是否由A發(fā)出，并通過計(jì)算HSAH值來對(duì)信息M進(jìn)行完整性鑒別。如果傳輸?shù)男畔⑿枰獔?bào)名，則用戶A和B可通過密鑰分配中心獲得一個(gè)共享密鑰KAB，A將信息簽名和加密后再傳送給B，如圖3所示。由圖3可知，只有用戶A和B擁有共享密鑰KAB，B才能確信信息來源的可靠性和完整性。
　　訪問控制是通過一個(gè)參考監(jiān)視器來進(jìn)行的，當(dāng)用戶

　　對(duì)系統(tǒng)內(nèi)目標(biāo)進(jìn)行訪問時(shí)，參考監(jiān)視器邊查看授權(quán)數(shù)據(jù)庫，以確定準(zhǔn)備進(jìn)行操作的用戶是否確實(shí)得到了可進(jìn)行此項(xiàng)操作的許可。而數(shù)據(jù)庫的授權(quán)則是一個(gè)安全管理器負(fù)責(zé)管理和維護(hù)的，管理器以阻止的安全策略為基準(zhǔn)來設(shè)置這些授權(quán)。

③防火墻技術(shù)。防火墻是目前用得最廣泛的一種安全技術(shù)，是一種由計(jì)算機(jī)硬件和軟件的組合。它使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，可以過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包、管理進(jìn)出網(wǎng)絡(luò)的訪問行為、對(duì)某些禁止的訪問行為、記錄通過防火墻的信息內(nèi)容和活動(dòng)及對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警等。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，它限制外部對(duì)系統(tǒng)資源的非授權(quán)訪問，也限制內(nèi)部對(duì)外部的非授權(quán)訪問，同時(shí)還限制內(nèi)部系統(tǒng)之間，特別是安全級(jí)別低的系統(tǒng)對(duì)安全級(jí)別高的系統(tǒng)的非授權(quán)訪問，為電子商務(wù)的施展提供一個(gè)相對(duì)更安全的平臺(tái)，具體表現(xiàn)如下：
　　①防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻身上。
　?、趯?duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。
　?、鄯乐箖?nèi)部信息的外泄。通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。
　　防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。
　?、芫W(wǎng)絡(luò)安全協(xié)議。網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備之間通信規(guī)則的集合。在網(wǎng)絡(luò)的各層中存在著許多協(xié)議，網(wǎng)絡(luò)安全協(xié)議就是在協(xié)議中采用了加密技術(shù)、認(rèn)證技術(shù)等保證信息安全交換的安全網(wǎng)絡(luò)協(xié)議。目前，Intemet上對(duì)七層網(wǎng)絡(luò)模型的每一層都已提出了相應(yīng)的加密協(xié)議，在所有的這些協(xié)議中，會(huì)話層的SSL和應(yīng)用層的SET與電子商務(wù)的應(yīng)用關(guān)系最為密切。
　?、賡sL協(xié)議(SecureSocketsLayer)安全套接層協(xié)議。SSL使用對(duì)稱加密來保證通信保密性，使用消息認(rèn)證碼(MAC)來保證數(shù)據(jù)完整性。SSL主要使用PKI在建立連接時(shí)對(duì)通信雙方進(jìn)行身份認(rèn)證。SSL協(xié)議主要是使用公開密鑰體制和X．509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性。它主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，提供基于客戶／服務(wù)器模式的安全標(biāo)準(zhǔn)，它在傳輸層和應(yīng)用層之間嵌入一個(gè)子層，在建立連接過程中采用公開密鑰，在會(huì)話過程中使用私人密鑰。加密的類型和強(qiáng)度則在兩端之間建立連接的過程中判斷決定。
　　SSL安全協(xié)議是國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議，至今仍然有很多網(wǎng)上商店使用。在傳統(tǒng)的郵購活動(dòng)中，客戶首先尋找商品信息，然后匯款給商家，商家將商品寄給客戶。這里，商家是可以信賴的，所以客戶先付款給商家。在電子商務(wù)的開始階段，商家也是擔(dān)心客戶購買后不付款，或使用過期的信用卡，因而希望銀行給予認(rèn)證。SSL安全協(xié)議正是在這種背景下產(chǎn)生的。所以，它運(yùn)行的基點(diǎn)是商家對(duì)客戶信息保密的承諾。顯然，SSL協(xié)議無法完全協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。
　?、赟ET協(xié)議SecureElectronicTransaction)安全電子交易。為了克服SSL安全協(xié)議的缺點(diǎn)，實(shí)現(xiàn)更加完善的即時(shí)電子支付，SET協(xié)議應(yīng)運(yùn)而生。
　　SET協(xié)議采用了雙重簽名技術(shù)對(duì)SET交易過程中消費(fèi)者的支付信息和訂單信息分別簽名，使得商家看不到支付信息，只能接收用戶的訂單信息；而金融機(jī)構(gòu)看不到交易內(nèi)容，只能接收到用戶支付信息和賬戶信息，從而充分保證了消費(fèi)者帳戶和定購信息的安全性。SET協(xié)議的重點(diǎn)就是確保商家和客戶的身份認(rèn)證和交易行為的不可否認(rèn)性，其理論基礎(chǔ)就是不可否認(rèn)機(jī)制，采用的核心技術(shù)包括X．509電子證書標(biāo)準(zhǔn)，數(shù)字簽名，報(bào)文摘要，雙重簽名等技術(shù)。SET協(xié)議使用數(shù)字證書對(duì)交易各方的合法性進(jìn)行驗(yàn)證，通過數(shù)字證書的驗(yàn)證，可以確保交易中的商家和客戶都是合法的、可信賴的。
　　信息安全技術(shù)在電子商務(wù)中的應(yīng)用非常廣泛，并且起到了尤其重要的作用。