电子商务的安全技术基础

1.2.2　电子商务的安全技术基础

电子商务安全基础包括基础知识和基础理论、基础设施和基础技术。安全问题不仅仅是技术方面的问题，它还涉及心理、社会环境和法律等方面。下面我们将从电子商务的基础技术、服务及体系方面给出一个简要框架，以明确电子商务安全这门学科涉及的知识范畴。

电子商务安全是信息安全的上层应用，它包括的技术范围比较广，主要分为密码技术、网络安全技术和PKI技术三大类。

1.密码技术

现代社会对信息安全的需求大部分可以通过密码技术来实现。密码技术是信息安全的核心技术。它主要包括加密、签名认证和密钥管理三大技术。

加密技术是实现信息保密性的一种重要手段。利用加密技术可以达到对电子商务安全的需求，保证商务交易的机密性、完整性、真实性和不可否认性等。通常信息加密的途径是通过密码技术实现的，密码技术是保护信息的保密性、完整性、可用性的有力手段，它可以在一种潜在不安全的环境中保证通信及存储数据的安全，密码技术还可以有效地用于报文认证、数字签名等，以防止种种电子欺骗。可以说，加密技术是认证技术及其他许多安全技术的基础，也是信息安全的核心技术。

签名认证技术是保证信息的真实性的一种重要手段。其目的有两个：一是验证信息的发送者是不是冒充的；二是验证信息的完整性，即验证信息在传送或存储过程中未被篡改等。密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容。其中分配和存储是最棘手的问题。

密钥管理不仅影响系统的安全性，而且涉及系统的可靠性、有效性和经济性。当然，密钥管理过程中也不可能避免物理上、人事上、规程上等一些问题。在用密码技术保护的现代信息系统的安全性主要取决于对密钥的保护，而不是对算法或硬件本身的保护，即密码算法的安全性完全寓于密钥之中。

2.网络安全技术

网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全技术所涉及的方面比较广，如操作系统安全、防火墙技术、虚拟专用网 VPN技术、各种反黑客技术和漏洞检测技术等各种网络安全防范技术。当前在电子商务领域应用最广泛的是防火墙技术、虚拟专用网技术和入侵检测技术。

（1）防火墙技术

当一个网络接上Internet之后，系统的安全除了考虑计算机病毒、系统的健壮性之外，更主要的是防止非法用户的入侵。而目前防止的措施主要是靠防火墙技术完成。网络防火墙是一种用来加强网络之间访问控制的特殊网络设备，它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略进行检查，从而决定网络之间的通信是否被允许。其中，被保护的网络称为内部网络或私有网络，而另一方则被称为外部网络或公用网络。防火墙能有效地控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。

（2）虚拟专用网技术

虚拟专用网（VPN）技术是一种在公用互联网络上构造企业专用网络的技术。通过VPN技术，可以实现企业不同网络的组件和资源之间的相互连接，它能够利用Internet或其他公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。

（3）入侵检测技术

入侵检测系统（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。它通过对计算机系统进行监视，提供实时的入侵监测，并采取相应的防护手段。它的目的在于监测可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非授权行为。

3.PKI和数字认证技术

PKI是公钥基础设施Public Key Infrastructure的英文缩写，PKI技术是普适性的安全基础设施，是利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。它为电子商务、电子政务、网上银行、证券等提供一整套安全基础平台。

PKI的核心元素是数字证书，其核心执行者是认证机构。有关数字证书服务的应用实施是广泛开展电子商务的基本前提，电子商务的深入开展离不开数字证书技术和认证机构的正确督导。

认证技术是信息安全理论与技术的一个重要方面，也是电子商务安全的主要实现技术。采用认证技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求，较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。

认证技术主要涉及身份认证和报文认证两方面的内容。身份认证用于鉴别用户身份，报文认证用于保证通信双方的不可抵 赖性和信息的完整性。在某些情况下，信息认证显得比信息保密更为重要。例如，在很多情况下用户并不要求购物信息保密，而只需要确认网上商店不是假冒的（这就需要身份认证），确保自己与网上商店交换的信息未被第三方修改或伪造，并且网上商家不能赖账（这就需要报文认证）；商家也是如此。从概念上讲，信息的保密与信息的认证是有区别的。加密保护只能防止被动攻击，而认证保护可以防止主动攻击。被动攻击的主要方法就是截收信息；主动攻击的最大特点是对信息进行有意的修改，使其推翻原来的意义。主动攻击比被动攻击更复杂，手段也比较多，它比被动攻击的危害更大，后果也特别严重。

目前，在电子商务中广泛使用的认证方法和手段主要有数字签名、数字摘要、数字证书、CA安全认证体系，以及其他一些身份认证技术和报文认证技术等。