电子商务的几种安全技术

1.2　电子商务的几种安全技术

电子商务安全是信息安全的上层应用，它包括的技术范围比较广，主要分为网络安全技术、密码技术、安全协议、PKI（Public Key Infrastructure，公钥基础设施）技术四大类。实际上安全协议和PKI技术都源于密码技术。

1.网络安全技术

网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全所涉及的方面比较多，如操作系统安全、防火墙技术、VPN（Virtual Pager Network，虚拟专用网）技术和各种反黑客技术和漏洞检测技术等，其中最重要的就是防火墙技术。

防火墙是建立在通信技术和信息安全技术之上的，用于在网络之间建立一个安全屏障，根据指定的策略对网络数据进行过滤、分析和审计，并对各种攻击提供有效的防范。主要用于Internet接入和专用网与公用网之间的安全连接。

VPN技术也是一项保证网络安全的技术之一，它是指在公共网络中建立一个专用网络，数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，其各地的分支机构就可以在互相之间安全传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以进入企业网中。使用VPN技术有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。

2.密码技术

密码技术是保证电子商务安全的重要手段，是信息安全的核心技术。它主要包括加密、数字签名和密钥管理三大技术。

（1）加密技术是保证电子商务安全的重要手段。所谓加密就是使用数学方法来重新组织数据，使得除了合法的接收者外，任何其他人要想恢复原先的“报文”或读懂变化后的“报文”是非常困难的。许多密码算法现已成为网络安全和商务信息安全的基础。密码算法利用密钥（Secret Keys）来对敏感信息进行加密，然后把加密好的数据和密钥（通过安全方式）发送给接收者，接收者可利用同样的算法和传递来的密钥对数据进行解密，从而获取敏感信息并保证网络数据的机密性。

（2）密钥管理。密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容。其中分配和存储是最棘手的问题。密钥管理不仅影响系统的安全性，而且涉及到系统的可靠性、有效性和经济性。现代信息系统的安全性主要取决于对密钥的保护，而不是对算法或硬件本身的保护，即密码算法的安全性完全寓于密钥之中。

（3）数字签名。数字签名（Digital Signature）是公开密钥加密技术的一种应用，是指用发送方的私有密钥加密报文摘要，然后将其与原始的信息附加在一起，合称为数字签名。通过数字签名能够实现对原始报文的鉴别与验证，保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法，保证了网络数据的完整性和真实性，普遍用于银行、电子贸易等。

3.安全协议

安全协议是许多分布式系统安全的基础，是电子商务系统运行的安全通信标准。目前国际上流行的电子商务所采用的协议主要包括以下四个方面。

（1）电子支付协议

作为电子商务中最重要的内容，目前已经出现了很多的电子支付协议，常见的有基于卡的支付协议、基于支票的支付协议和基于现金的支付协议。著名的有：FirstVirtual、SSI、SET、iKP、NetBill、E－Cash等。

（2）安全HTTP（S－HTTP）

（3）安全电子邮件协议（如PEM、S/MIME等）

（4）用于公对公交易的Internet EDI（UN/EDIFACT）等

此外，也可以在Internet上建设虚拟专网，利用VPN为企业、政府提供一些基本的安全服务如企业、政府间的公文、报表传送、电子报税业务等。这些协议分别在不同的协议层上进行，在Internet上提供安全的电子商务服务。

4.PKI技术

PKI（公开密钥基础设施）是利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。它为电子商务、电子政务、网上银行证券等提供一整套安全基础平台。

密钥管理是电子商务安全业务中共同存在的。为解决在Internet上开展电子商务的安全问题，世界各国在经多年研究后，初步形成了一套完整的解决方案，即目前被广泛应用的公开密钥基础设施。PKI采用证书管理公钥，即结合X.509标准中的鉴别框架（Authentication Framework）来实现密钥管理。通过CA把用户的公钥及其他标识信息捆绑在一起，在Internet上验证用户的身份，保证网上数据的保密性和完整性。

PKI的核心元素是数字证书，其核心执行者是认证机构。数字证书服务的应用和实施是广泛开展电子商务的基本前提，电子商务的深入开展离不开数字证书技术和认证机构的正确督导。