诸剑杰 徐妙君

（浙江海洋学院数理与信息学院 浙江 舟山 316004）

0 引言

随着互联网的飞速发展，电子商务也得到了前所未有的发展，已经在国际贸易中占据了重要的地位，这种经营模式是以计算机技术和通信技术、网络技术为依托的，运用电子数据交换和电子邮件、电子支付的方式来实现整个商务活动。但是其安全性问题也日益突出，其中的网络安全和交易安全问题是实现电子商务的关键之所在。构建一个安全便捷的电子商务环境已经是影响着电子商务是否能健康发展的至关重要的因素。

1 电子商务的安全性要求

电子商务(Electronic Commerce，EC）中维护信息的保密性是十分重要的，这就要在信息的存取和传输阶段做好预防措施，来保证信息的安全。利用密码技术可以达到对电子商务安全的需求，保证商务交易的机密性、完整性、真实性和不可否认性等。

电子商务中的信息面临着被非法存取或窃取的威胁，这就要求必须保证电子商务的安全，也就导致了对报文保密性的需求，因此，要真正实现一个安全可靠的电子商务系统，需要做到以下几个方面：

1.1 鉴别性，由于电子商务是基于开放的网络环境的，所以贸易双方的个人或企业中完成交易，要保证信息的安全，首先就要保证交易双方身份的确定性。因此，电子商务中非常重要的一环就是鉴别并确认交易双方的身份。这样就能保证交易双方身份的真实性，使得他们在互不见面的虚拟网络中也能够确认对方的身份。一般情况下，通过认证中心（Certificate Authority，CA）和证书就能实现电子商务对交易双方身份的鉴别性。

1.2 有效性，与传统的贸易方式的最大不同在于，电子商务以电子形式取代纸张来进行信息的发送和接收，因此，这种电子形式的贸易信息的有效性就直接关系到电子商务能否顺利持续的开展。作为一种新型的以网络为平台的贸易手段，电子商务中贸易信息的有效性与贸易双方的经济利益和声誉有着直接的关系，这可能会影响到个人、企业甚至国家。因此，必须保证贸易的信息数据在确定时间、地点的有效性，这就必须控制和预防因操作错误、网络故障、硬件故障、计算机病毒及系统软件故障所引起的各种潜在威胁和隐患。

1.4 完整性，由于采用电子形式进行交易，所以电子商务减少了贸易的人为干预并简化了传统的贸易过程，但是，如何维护贸易双方的信息的统一性和完整性也是电子商务所要面临的一个难题。导致贸易双方信息差异的因素有很多，比如数据输入时的意外差错或故意的欺骗行为，传输过程中的数据意外丢失、重复等。因此，在电子商务中必须保证贸易双方信息的完整性和统一性，它不仅对贸易双方的交易和经营策略有影响，也是电子商务广泛应用的基础和前提。一般情况下，提取贸易信息的消息摘要就可以确定其完整性。

1.5 不可抵赖性，无论是传统的贸易还是电子商务，贸易抵赖是一个常见的问题。在传统的纸面贸易中，由于纸质合同的存在，使得贸易双方可以通过签订合同、契约或单据的形式来鉴别贸易伙伴并确认交易决定。然而，电子商务是无纸化的方式，传统的签订合同或契约的方法已经无效。因此，要采用新的方式来制约交易双发，比如在交易信息的传输过程中为交易双方提供可靠的标识。实现电子商务不可抵赖性的常用方法是采用数字签名对发送的消息进行标识。

2 电子商务数据安全技术

为了解决关键业务的数据安全问题，首先，对数据系统进行全面、可靠、安全和多层次的备份是必不可少的，除此以外，各种安全产品，无论防火墙、防病毒、防黑客、防入侵等等都或多或少地肩负着一些保护数据的责任。从保护数据的角度讲，对数据安全这个广义概念，可以细分为三部分：数据加密、数据传输安全和身份认证管理。

2.1 数据加密技术

数据加密技术是最基本的安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。密码技术的发展已经相对成熟，许多加密算法已经应用到网络安全和商务信息安全领域，为电子商务的安全提供了可靠有效的保障。

数据加密（Data Encryption）技术是指将一个信息（或称明文，Plain Text）经过加密钥匙（Encryption Key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文经过解密函数、解密钥匙（Decryption key）还原成明文。数据加密技术要求只有在指定的用户或网络下，才能解除密码而获得原来的数据，这就需要给数据发送方和接受方以一些特殊的信息用于加解密，这就是所谓的密钥。其密钥的值是从大量的随机数中选取的，具体过程见图1所示。

图1 数据的加密解密过程

按加密算法分为对称密钥和非对称密钥两种，它通过变换和置换等各种方法将被保护信息置换成密文，然后再进行信息的存储或传输，即使加密信息在存储或者传输过程为非授权人员所获得，也可以保证这些信息不为其认知，从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。

2.1.1 对称密钥

(1) 硝基苯酚处理：分别用0、70、140、280、560 μmol/L的硝基苯酚处理水稻幼苗，于培养室培养5 d 后，测定水稻幼苗生理指标；不同实验组各处理6株水稻幼苗。硝基苯酚处理前用少量无水乙醇助溶(对照组加等量无水乙醇)，然后加蒸馏水配制成实验所需浓度。

对称密钥，又称专用密钥为或单密钥，加密和解密时使用同一个密钥，即同一个算法。如DES（Data Encryption Standard）和美国麻省理工大学（MIT）的 Kerberos算法。单密钥是最简单方式，通信双方必须交换彼此密钥，当需给对方发信息时，用自己的加密密钥进行加密，而在接收方收到数据后，用对方所给的密钥进行解密。当一个文本要加密传送时，该文本用密钥加密构成密文，密文在信道上传送，收到密文后用同一个密钥将密文解出来，形成普通文体供阅读。在对称密钥中，密钥的管理极为重要，一旦密钥丢失，密文将无密可保。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂，而且密钥本身的安全就是一个问题。

2.1.2 非对称密钥

非对称密钥，又称公开密钥，加密和解密时使用不同的密钥，即不同的算法。是用一个密钥进行加密，而用另一个密钥进行解密。其中加密密钥是可以公开的，又称公开密钥（Public Key），简称公钥。解密密钥必须保密又称私人密钥（Private Key），简称私钥。公钥密码算法的主要特点是密钥在加密和解密过程中是不同的，因此它可以实现多个用户加密的消息但只能由一个用户解读明文或者说只能由一个用户加密消息但多个用户可以解读。前者是用于公共网络中实现的保密通信，而后者是可用于认证系统中对消息进行数字签名。在加密文件中使用公钥密码算法时，只有使用匹配的一对公钥和私钥时，才能够完成对明文的加密和密文的解密过程。加密明文时采用的是公钥加密，解密密文时采用的是私钥才能完成解密，这样便可以阅读明文，而且在发送方即加密者知道收信方的公钥，只有收信方即解密者才是唯一知道自己私钥的人。

2.2 身份认证技术

为了保证电子商务中交易的安全性，首先要保证在计算机网络中的操作者身份必须是真实有效的，身份认证技术便一直是网络安全的主要研究方面之一。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证技术就是为了解决这个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。通常有以下几种常用的认证方式：

2.2.1 静态密码

用户的密码是由用户自己设定的。在网络登录时输入正确的密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。如果密码是静态的数据，在验证过程中 需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此，静态密码机制无论是使用还是部署都非常简单，但从安全性上讲，用户名/密码方式一种是不安全的身份认证方式。

2.2.2 智能卡（IC 卡）

一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此还是存在安全隐患。

2.2.3 短信密码

短信密码以手机短信形式请求包含6位随机数的动态密码，身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性。

2.2.4 动态口令牌

目前最为安全的身份认证方式，也是一种动态密码。动态口令牌是客户手持用来生成动态密码的终端，主流的是基于时间同步方式的，每60秒变换一次动态口令，口令一次有效，它产生6位动态数字进行一次一密的方式认证。

2.2.5 USB Key

基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。

2.2.6 数字签名

数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替手书签名或印章。实现数字签名有很多种方法，但是目前数字签名采用较多的技术还是公钥加密技术，例如RSA算法、基于离散对数算法和Hash函数算法等等。

2.2.7 双重身份认证系统

所谓双重也称为双因素身份认证系统就是将两种认证方法结合起来，进一步加强认证的安全性，目前使用最为广泛的双重身份认证有：动态口令牌+静态密码；USB KEY+静态密码；二层静态密码等等，目的就是为身份认证多加一道保护伞。

3 结束语

目前，电子商务已经成为人们生活不可缺少的部分，其安全技术必定会日新月异的变化，本文只给出了目前广泛使用的在电子商务上的安全技术，随着技术的进步，还有很多技术必将出现在电子商务中，保证我们的电子商务活动安全可靠。

［1］王林国.基于电子商务安全问题的探讨[J].中国商贸，2011（09）：100-101.

［2］陈月荣.数字签名技术在电子商务中的应用[D].淮北师范大学，2011.

［3］孙健玮.基于CFB模式的电子商务加密解密方法的研究与实现[D].吉林大学，2011.

［4］吕玉珠.电子商务中的身份认证技术及安全支付研究[J].中国商贸，2012（01）：161-162.

［5］姚乐静，叶晰.浅析电子商务网站的身份认证技术[J].商场现代化，2012（06）：48-49.

［6］杜娟.电子商务安全与数据加密技术浅析[J].现代经济信息，2012（01）：321-322.