电子商务安全【摘要】随着网络技术和信息技术的飞速发展，电子商务得到了越来越广泛的应用，越来越多的企业和个人用户依赖于电子商务的快捷、高效。

但电子商务是以计算机网络为基础载体的，大量重要的身份信息、会计信息、交易信息都需要在网上进行传递，在这样的情况下，安全性问题成为首要问题。

本文首先论述电子商务安全，介绍电子商务安全的现状，分析电子商务安全存在的主要问题，然后从网络安全技术、数据加密技术、用户认证技术等方面介绍主要的电子安全技术，从而更好的了解电子商务安全的现状及未来的发展趋势。

【关键词】电子商务安全、安全技术[Abstract] with network technology and the rapid development of information technology, electronic commerce have been applied more and more, more and more enterprises and individual user depends on e-commerce fast and efficient. But e-commerce based on computer network of carrier, a lot of important identity information, accounting information, transaction information needs in the Internet relay, in such a case, and the security, becomes the main problem. This paper first discusses e-commerce security, introduce e-commerce security, the status quo and e-commerce security, the main problems of then from network security technology, data encryption technology, user authentication technology introduced main aspects of electronic safety techniques, and better understanding of e-commerce security situation and future development trend.[Key words] e-commerce security, safety technology一、引言随着Internet技术的迅速发展和深入应用，以Internet作为交易平台的电子商务正逐步得到人们的认同和接受。

而电子商务是在国际化、社会化、开放化和个性化的Internet环境中运作的，它的应用可能会出现金融欺诈，市场/竞争价格等秘密信息的泄露，以及缺乏可信性而导致的商机丢失等诸如此类的安全与信任问题。

二、电子商务安全概述及现状信息技术日新月异的发展，人类正在进入以网络为主的信息时代，越来越多的人通过Internet进行商务活动，电子商务的前景十分诱人，但随之而来的安全问题也变得越来越突出。

【案例】华硕官方遭黑客攻击公司被迫关闭服务器 2007·4·7Exploit Prevention Labs的首席技术官罗杰-汤姆森(Roger Thompson)透露，该攻击代码隐藏在主页的一个HTML元素中，并试图从另一台服务器上下载恶意代码。

截止周五下午，这台服务器已经停止工作，虽然黑客们还可转移攻击目标，不过此次攻击的危险性已经下降。

4月6日据外电报道电脑零部件生产商华硕的遭到黑客攻击，黑客利用本周才修复的一个Windows系统中的紧急漏洞，通过该的服务器发送恶意代码。

Exploit Prevention Labs的首席技术官罗杰-汤姆森(Roger Thompson)透露，该攻击代码隐藏在主页的一个HTML元素中，并试图从另一台服务器上下载恶意代码。

截止周五下午，这台服务器已经停止工作，虽然黑客们还可转移攻击目标，不过此次攻击的危险性已经下降。

华硕的营销经理大卫-雷(David Ray)不能证实是否被黑，只称公司的看起来没有受到威胁。

此恶意代码之所以受到特别关注，是因为它利用了本周才修复的一个紧急的Windows 动画光标漏洞。

瞄准该漏洞的恶意代码已经出现了一个多星期，在安装了补丁前如果用户访问了华硕，可能会危及电脑的安全。

Kaspersky Lab也证实了华硕被黑，同时证实被黑客利用的在周五都已关闭，黑客们无法下载恶意代码。

汤姆森认为，华硕的被黑显示出，即使是人们信赖的也可能存在安全隐患。

他表示，如果像华硕这样的大公司都能被黑并感染上病毒，其他可想而知。

[1]案例告诉我们，网络的普及也带来了安全问题的升级，而电子商务将在虚拟的网络环境下实施，因此电子商务活动的安全与否就成为影响其发展的重要因素。

据权威调查表明，目前果类企业发展电子商务的最大顾虑也是网上交易的安全问题。

Internet之所以能发展成为今天的全球性网络，主要是依赖于它的开放性。

但是，这种开放式的信息交换方式使网络安全具有很大的脆弱性，要保证电子商务的正常运作，就必须高度重视安全问题。

安全得不到保障，即使使用Internet再方便，电子商务也无法得到广大用户的认可。

因此如何建立一个安全，便捷的电子商务应用环境，保证整个商务过程中的信息安全性，使基于Internet的电子商务交易方式与传统交易方式一样安全可靠，已经成为电子商务应用中所关注的重要技术问题。

[2]三、电子商务安全体系和结构（一）电子商务安全体系安全电子商务系统通过Internet将商家、客户和银行三方连接起来，使用安全代理服务器和CA认证系统等实现电子商务交易数据的性、完整性、不可抵赖性等安全功能。

从技术角度上说，电子商务系统的安全就是保障计算机信息系统的安全。

主要由以下三个部分组成：1、系统实体安全系统实体安全是指保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾等环境事故的破坏。

具体包括环境安全、设备安全、媒体安全三个方面。

其中环境安全是指对电子商务系统所在的环境进行保护，主要包括受灾防护和特定区域的防护；设备安全是指对电子商务系统的设备进行安全保护，主要包括防盗、防毁、防止电磁信息泄露、防止线路截获、炕电磁干扰和电磁保护等；媒体安全是指对媒体数据和媒体本身实施保护，包括防止媒体被毁、防止媒体数据被非法复制、意外事故破坏等等可能使媒体数据丢失的行为。

2、系统运行安全系统运行的安全是指保障电子商务系统功能的安全实现，提供一套安全措施保护信息处理过程的安全。

具体包括风险分析、审计跟踪、备份与恢复、应急措施等。

3、信息安全信息安全是指防止信息财产被故意或偶然地非授权泄露、更改、破坏，或使信息被非法的系统辨识、控制，即信息安全就是要确保信息的完整性、性、可用性和可控性。

信息安全体系具体包括操作系统的安全、数据库的安全、网络问题、病毒防护安全、访问控制安全、加密、鉴别等。

（二）一个实用的安全电子商务系统必须有机集成现代计算码学、信息安全技术、网络安全技术和电子商务安全支付技术等。

——电子商务安全的体系结构[2]由上图可知基于健全的计算机网络系统和如上所述的数据加密、认证以及网络安全技术，在安全的支付机制和交易协议支持下，一个完整、安全的电子商务系统就能够建立起来，并可以安全地应用和服务于社会，造福人类。

四、电子商务安全技术电子商务基本的安全技术主要有加密技术、认证技术、安全电子交易协议、黑客防技术、虚拟专网技术和反病毒技术。

（一）加密技术所谓“加密”，简单地说就是，使用数学的方法将原始信息（明文）重新组织与变换成只有授权用户才能解读的密码形式（密文），而“解密”就是将密文重新恢复成明文的过程。

可以说，加密技术是认证技术及其他许多安全技术的基础，也是信息安全的核心技术。

信息加密技术主要是对传输中的信息进行加密，从而达到隐藏信息容，使非法用户无法获取真实信息的一种技术手段，其目的是确保数据的性。

基于加密解密所使用的密钥是否相同，可分为对称加密和非对称加密两类。

1、对称加密对称加密的加密密钥和解密密钥相同，即在发送方和接收方进行安全通信前，商定的一个密钥，用这个密钥对传输数据进行加密和解密。

对称加密的突出特点是加密解密的速度快，效率高，适合对大量数据进行加密。

缺点是密钥的传输和交换面临安全问题，并且若和大量用户通信时，难以安全管理大量密钥。

其中最常见的加密算法有：DES、3DES、IDEA、Blowfish等。

下面以DES加密算法为例，介绍其原理。

DES加密算法图解加解密过程如下：（1）发送方用自己的私密密钥加密要发送的信息。

（2）加密后的信息通过网络传送给接收方。

（3）接收方用发送方的加密密钥对收到的加密信息解密得到信息明文。

整个加密过程如图所示：发送方接收方对称加解密系统2、非对称加密为了解决对称密码体制的密钥分配问题，以及满足对数字签名的需求，非对称密码应运而生，也叫公钥加密体系。

在这种密码体制下，人们把加密过程和解密过程设计成不同的途径。

非对称密码系统的出现成功的解决了对称密码系统中的密钥管理问题。

通常都是用模型来解释公钥密码系统的思想。

代表公钥，每个人都可以向其中投放信件。

而只有的主人才有的钥匙—四要，用来打开并取出信件。

非对称密码加密体制有两种模型：一种是加密墨香，即采用接收方公钥加密数据，而用接收方的私钥解密；另一种是验证模型，即采用发送方的私钥加密，而用发送方的公钥解密。

两者原理相同，但用途不同。

（1）接收方公钥加密，接收方私钥解密的加密模型如图这种以接收方公钥加密原文，以接收方私钥来解密的非对称密码算法，可以实现多个用户加密信息只能由一个用户解读，这就实现了通信。

加密模型（2）发送方私钥加密，发送方解密的验证模型如图所示。

这种以发送方私钥加密原文，发送方公钥解密的非对称密码算法，可以实现由一个用户加密的信息，而由多个用户解读，这就是数字签名的原理。

认证模型（二）认证技术认证是防止主动攻击的重要技术，对于开放环境中的各种信息系统的安全性有重要的作用。

认证的主要技术是：第一，验证信息的发送者是真的，此为实体认证也称身份认证；第二，验证信息的完整性，此为信息认证也称报文认证。

目前，在电子商务中广泛使用的认证方法和手段主要有数字签名、数字摘要、数字证书、CA安全认证体系，以及其他一些身份认证技术和报文认证技术。

以下以数字摘要和数字签名为重点介绍。