电子商务的加密安全技术探析

针对电子商务的特点和安全机制，当前主流的技术包括加密技术、防火墙、虚拟专用网（VPN，Virtual Private Network）、数字签名、电子商务安全应用协议。

1.加密技术

加密技术就是将复杂的数学转换式应用于非安全线路上所传送的数据。加密技术是电子商务采取的主要安全措施，贸易方可根据需要，在信息交换的阶段使用。目前应用较为普遍的主要有两种加密方法：私用密钥加密和公用密钥加密。

私用密钥加密又称作对称加密法（Symmetric－Key Cryptography），即文件的加密和解密采用同一把密钥。当发送者要发送一份文件时，利用一把密钥（Secret Key）将文件中的明文转成密文后寄出，而接受者收到此份密文后便利用同一把密钥将密文转成明文，如图2-16所示。

图2-16　私用密钥加密

公用密钥加密又称“非对称性加密法”（Asymmetric－Key Cryptography），它改善了对称加密技术的缺点。其基本思路是设计一对不同的加密密钥和解密密钥。这对密钥中的任何一把都可以作为公用密钥（加密密钥），通过非保密方式向他人公开，而另一把则作为私用密钥（Private Key）加以保存。公用密钥用于对机密性信息的加密，私用密钥则用于对加密信息的解密，如图2-17所示。

图2-17　公用密钥加密

2.防火墙

防火墙是用来隔开内部网络与外部公共网络的第一道屏障，用以阻止外界入侵者，确保内部网络的安全。防火墙属于最基本的网络层安全技术，它负责网络间的安全认证与传输。防火墙就像是一座大楼的门卫，负责所有的进出管制。防火墙控制外部网络对内部网络的访问，对流经它的网络通信进行扫描，抵御各类拒绝服务攻击和扫描攻击，以免其在目标计算机上被执行。防火墙可以关闭不使用的端口，决定内部网络可以访问哪些外部资源和目标。它还能禁止特定端口的流出通信，封锁病毒并禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

防火墙有不同类型。按照技术的不同，防火墙产品可以分为软件防火墙、硬件防火墙、软硬一体化防火墙。从适用对象来划分可分为企业级防火墙、个人防火墙。从产品等级划分包括过滤型防火墙、应用网关型防火墙、服务代理型防火墙。

3.虚拟专用网

虚拟专用网（VPN）是用于互联网交易的一种专用网络，它可以在两个系统之间建立安全的信道，用于电子数据交换（EDI）。它与信用卡交易和客户发送订单交易不同，因为在VPN中，双方的数据通信量要大得多，而且通信的双方彼此都很熟悉，这意味着可以使用复杂的专用加密和认证技术，只要通信的双方默认即可，没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据信道系统可以进一步增加VPN的安全性，因而能够保证数据的保密性和可用性。(www.xing528.com)

4.数字签名

数字签名可以解决电子商务交易安全及在线身份识别鉴定的问题，并可证明签署者同意文件内容。数字签名在ISO7498－2标准中定义为：附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性并保护数据，防止被人伪造。美国电子签名标准（DSS，FIPS186－2）对数字签名作了如下解释：利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性。

数字签名主要有信息的保密性、交易者身份的确定性、不可否认性与不可修改性等功能。

5.电子商务安全应用协议

近年来，针对电子交易安全的要求，IT业界与金融行业一起，推出不少有效的安全交易标准和技术。目前，互联网上有几种加密协议在使用，对应OSI网络模型的每一层都已提出了相应的协议。对应用层有SET协议，对会话层有SSL协议。在所有的协议中，SSL和SET与电子商务的关系最为密切。

安全套接层协议SSL（Secure Sockets Layer）是Netscape公司提出的一种传输层技术，它提供加密、认证服务和报文完整性，可以实现兼容浏览器和Web服务器之间的安全通信。安全套接层采用RSA和DES认证与加密以及MD5完整性检查而包装起来的方法。使用这些方法，SSL解决了基于Web通信的三个问题。

（1）在连接期间，客户和服务器定义和交换秘密密钥，该密钥用于加密传输的数据。因此，即使SSL的通信被窃听，由于经过加密而难以破解。SSL支持公开密钥加密，因此服务器可以使用公共方案如RSA和数字签名标（DSS）来认证客户。

（2）服务器可以使用消息摘要算法，如通过MD5和SHA来检验正在进行会话的完整性，因此SSL可以防止第三方劫持会话。

（3）SSL通过两层和两个步骤对数据进行保护。开始，客户和服务器进行握手（与TCP握手相同）。在这一过程中，它们交换密钥并在它们之间同步建立一个加密状态。接下来，SSL获得应用数据（在记录层）并加密数据。然后，在接收端这一过程以相反的方式执行。这些性能使得SSL成为在所控制的服务器和未知客户之间进行安全电子商务交易的出色工具。

电子商务在提供机遇和便利的同时，也面临着一个最大的挑战，即交易的安全问题。在网上购物的环境中，持卡人希望在交易中保密自己的账户信息，使之不被人盗用；企业则希望客户诚实守信，并且在交易过程中，交易各方都希望验明对方的身份，以防止被欺骗。针对这种情况，VISA国际组织、万事达（MasterCard）国际组织、Microsoft、Netscape和GTE等多家科技机构，共同制定了应用于互联网的以银行卡为基础进行在线交易的安全标准，这就是“安全电子交易协议”（Secure Electronic Transaction，SET）。它采用公钥密码体制和X.509数字证书标准，主要为了保障网上购物信息的安全性。

安全电子交易协议的原则是保证信息的机密性与在互联网上的信息安全传输，只有收件人才能访问和解密；保证支付完整性，保证数据完整地被收件人接收；验证商户和持卡人，确信通过互联网进行交易的商户和持卡人的身份；互相操作性，保证不同厂商的产品使用同样的通信协议和信息格式，从而可以互相集成。在SET中，客户必须对订单和付款指令进行数字签名，同时利用双重签名技术保证企业看不到客户的账号信息。在线商店接受订单后，向客户所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认。在操作过程中，客户、在线商店、支付网关都通过CA来验证通信主体的身份，以确保通信的对方不是冒名顶替，所以，也可以简单地认为，SET充分发挥了认证中心的作用，以维护在任何开放网络上的电子商务参与者所提供信息的真实性和保密性。