电子商务信息安全技术浅论电

论文摘要：电子商务技术的广泛应用，给中小型公司提供便利和商机。同 时，i〒Internel的开放性、共享性使电子商务信息安全面临威胁。阐述了电 子商务可采用加密技术、数字签名和数字证书技术、防火墙技术等技术和SSL 协议、SET协议，提高电子商务信息安全系数，并对今后电子商务信息技术发 展提出了自己的见解。

引言：近年来，随着通讯技术、网络技术的迅速发展促使电子商务技术应 运而生。电子商务具有高效率、低成本的特性，为中小型公司提供各种各样的 商机而迅速普及。电子商务主要依托Internet平台完成交易过程中双方的身份、 资金等信息的传输。由于Imemet的开放性、共享性、无缝连通性，使得电子商 务信息安全面临着威胁：如1)截获和窃取用户机密的信息。2)篡改网络传输途 中的信息，破坏信息的完整性。3)假冒合法用户或发送假冒信息来欺骗用户。4) 交易抵赖否认交易行为等。因此，电子商务技术的推广，很大程度依赖信息安 全技术的完善和提闻。

1电子商务安全技术

1. 1加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换 成难以识别的密文数据。通过使用不同的密钥，可用同一加密算法，将同一明 文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据，称为 解密。数据加密被认为是最可靠的安全保障形式，它可以从根本上满足信息完 整性的要求，是一种主动安全防范策略。

密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是 在加密与解密过程中使用相同的密钥加以控制，它的保密度主要取决于对密钥 的保密。它的特点是数字运算量小，加密速度快，弱点是密钥管理困难，一旦 密钥泄露，将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程 中使用不同的密钥加以控制，加密密钥是公开的，解密密钥是保密的。它的保 密度依赖丁•从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不 可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数。即从一个 方向求值是容易的，但其逆向计算却很困难，从而在实际上成为不可能。

1. 2数字签名和数字证书。1)数字签名。数字加密是非对称加密技术的一 类应用。数字签名是用来保证文档的真实性、有效性的一种措施.如同出示手 写签名一样。将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者 只有用发送者的公钥才能解密被加密的摘要。通过数字签名能够实现对原始报 文的鉴别与验证，保证报文的完整性、权威性和发送者对所发报文的不可抵赖 性。数字签名机制提供了一种鉴别方法，保证了网络数据的完整性和真实性。2) 数字证书。数字证书就是标志网络用户身份信息的一系列数据，用来在网络直 用中识别通讯各方的身份，其作用类似于现实生活中的身份证。数字证书由可 信任的、公正的权威机构CA中心颁发，以数字证书为杨的加密技术可以对网络 上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机 密性、完整性，交易实体身份的真实性，签名信息的不可否认性，从而保障网 络应用的安全性。

1. 3防火墙技术。防火墙主要功能是建立网络之间的一个安全屏障，从而 起到内部网络与外部公网的隔离，加强网络之间的访问控制，防止外部网络用 户以非法手酾百：过外部网络进入内部网络。根据制定的策略对两个或多个网

络、分析和审计，按照一定的安全策略外界用户对内部网络的访问，只有 被允许的通信才能通过防火墙，管理内部用户访问外界网络的权限，监视网络 运行状态并对各种攻击提供有效的防范。

2电子商务安全交易协议

2. 1 (SSL)安全套接层协议。主要用于提高应用程序之间的数据的安全系数， 保证任何安装了安全套接层的客户和服务器之间事务安全的协议，该协议向基 于TCP / IP的客户假务器应用程序提供了客户端与服务的鉴别、数据完整性及 信息机密性等安全措施。

SSL安全协议主要提供三方面的服务。一是用户和服务器的尝陛保证，使 得用户与服务器能够确信渤据将被发送到正确的客户机和服务器上。客户机与 服务器都有各自的识别号，由公开密钥编排。为了验证用户，安全套接层协议 要求在握手交换数据中作数字认证，以此来确保用户的合法性；二是加密数据 以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥，也有公 开密钥，在客户机和服务器交换数据之前，先交换SSL初始握手信息。在SSL 握手信息中采用了各种加密技术，以保证其机密性与数据的完整性，并且经数 字证书鉴别：三是维护数据的完整性。安全垂接层协议采用Hash函数和机密共 享的力怯来提供完整的信息服务，建立客户机与服务器之间的安全通道，使所 有经过安全套接层协议处理的业务能全部准确无误地到达月的地。

2. 2(SET)安全电子交易公告。为在线交易设立的一个开放的、以电子货币 为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加 了对商家身份的认证。SET已成为全球网络的工业标准。

SET安全协议主要对象包括：消费者(包括个人和团体)，按照在线商店的 要求填写定货单，用发卡银行的信用卡付款；在线商店，提供商品或服务，具 备使用相应电子货币的条件；收单银行，通过支付网关处理消费者与在线商店 之间的交易付款；电子货币发行公司以及某些兼有电子货币发行的银行。负责 处理智能卡的审核和支付；认证中心，负责确认交易对方的身份和信誉度，以 及对消费者的支付手段认证。SET协议规范技术范围包括：加密算法的应用， 证书信息与对象格式，购买信息和对象格式，认可信息与对象格式。SET协议 要达到五个目标：保证电子商务参与者信息的相应隔离；保证信息在互联网上 安全传输，防止数据被黑客或被内部人员窃取；解决多方认证问题；保证网上 交易的实时性，使所有的支付过程都是在线的；效仿BDZ贸易的形式，规范协 议和消息格式，促使不同厂家开发的软件具有兼容性与交互操作功能，并且可 以运行在不同的硬件和操作系统平台上。

3 电子商务信息安全有待完善和提高

3. 1提高网络信息安全意识。以有效方式、途径在全社会普及网络安全知 识，提高公民的网络安全意识与自觉陡，学会维护网络安全的基本技能。并在 思想上萤把信息资源共享与信息安全防护有机统一起来，树立维护信息安全就 是保生存、促发展的观念。

3. 2加强网络安全管理。建立信息安全领导机构，有效统一、协调和研究 未来趋势，制定宏观，实施重大决定。严格执行《中华人民共和国计算机 信息系统安全保护条例》与《计算机信息网络安全保护管理办法》，明确责任、 规范岗位职责、制定有效防范措施，并目严把用户人网关、合理设置访问权限 等。

3. 3加快网络安全专业人才的培养。加大对有良好基础的科研教育基地的 支持和投入，加强与国外的经验技术交流，及时掌握国际上最先进的安全防范 手段和技术措施，确保在较高层次上处T主动，加强对内部人员的网络安全培 洲，防止堡垒从内部攻破。使高素质的人才在高水平的教研环境中迅速成长和 提尚。

3. 4开展网络安全立法和执法。吸取和借鉴国络信息安全立法的先进 经验，结合我国国情对现行法律体系进行修改与补充，使法律体系更加科学和 完善；并建立有利于信息安全案件诉讼与公、检、法机关办案制度，提高执法 效率和质量。对违犯国家法律法规，对计算机信息存储系统、应用程序或传输 的数据进行删除、修改、增加、干扰的行为依法惩处。

3. 5强化网络技术创新。组织现有信息安全研究、应用的人才，创造优良 环境，创新思想、超越约束，利用国内外资源，建立具有中国特色的信息安全 体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。

结束语：电子商务模式相对传统商务模式，具有便捷、高效的特点。但现 今全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的小部分。因 此，电子商务信息安全问题有赖于对公钥基础设施PKI、开发与应用，支付协 议、物流配送协议、XML和标准化等方面深入研究和完善才能良好的促进电子 商务技术的应用和推广。