浅析电子商务中的安全问题

石朝阳

（广东轻工职业技术学院，广东广州５１０３００）

【摘

要】随着Ｉｎｔｅｒｎｅｔ的发展和网络基础设施的不断完善，我国电子商务在各行各业的发展也已初具规模。电子商务将成为

企业对内实行高效管理，对外提高核心竞争力的必由之路。但伴随着电子商务的快速发展，安全问题越来越成为亟待解决的问题。文章对电子商务中的安全问题作了粗浅的分析。

电子商务；网络安全；加密技术；虚拟专用网；数字认证【关键词】

【中图分类号】Ｆ７１３．３６【文献标识码】Ａ

随着Ｉｎｔｅｒｎｅｔ的发展和网络基础设施的不断完善，我国电子商务在各行各业的发展也已初具规模。电子商务将成为企业对内实行高效管理，对外提高核心竞争力的必由之路。在我国，企业与消费者间的电子商务（Ｂ２Ｃ模式）和企业间的电子商务（Ｂ２Ｂ模式）发展比较迅速，但安全问题却成为电子商务发展亟待解决的问题。

电子商务从最初发展开始，就非常重视安全，但它仍摆脱不了网络带给它的安全问题。如何构建一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为商家和用户都十分关心的话题。

【文章编号】１００８－１１５１（２００６）０４－００７１－０３

程，没有人敢用，安全问题非常重要。

二、电子商务的安全目标

安全在电子商务中扮演着非常重要的角色，对基本的经营活动是必需的。商务过程中的安全目标就在于：购物时保护厂消费者隐私；存储和处理时保护消费者隐私；保护消费者、家和员工的机密身份资料；防范公司被浪费、欺诈和滥用；保护公司的信息资产的完整性；确保消费者同公司进行商务活动所需的系统和程序的可用性；确保公司同供应商和合伙人进行商务活动所需的系统和程序的可用性。

这些目标是建立一个好的安全策略的起点。一个好的安全策略，应该强调所有这些目标，并且能够设计具体步骤和方法来确保这些目标得以实现和保持。

一、电子商务的安全现状

网上银２００４年年底，宁波人孙惠刚办理了网上银行注册。

行刚刚用了３个月，孙惠刚在网上银行账户上的９万元存款、有价证券就全部被盗。这只是网上安全问题之冰山一角，中国电子商务不断暴露的信用、安全问题已经影响到了电子商务自身的发展。

目前，电子商务安全中普遍存在着以下几种安全隐患：

三、电子商务的安全要素

电子商务站点的安全性包括哪些方面呢？在以后的设计和构建过程中该注重哪些方面呢？这里我们先从电子商务的安全要素出发来分析电子商务的安全性问题，主要包含以下几个方面：

１．中断。由于系统的可用性被破坏，从而使系统无法正常

工作，信息无法传输。

１．有效性。ＥＢ以电子形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性则是开展Ｅ的前提。ＥＢ作为贸

企业或国易的一种形式，其信息的有效性将直接关系到个人、家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在确定的威胁加以控制和预防，以保证贸易数据在确定的时刻、地点是有效的。

２．窃取信息。由于未采用加密措施，数据信息在网络上以

明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

３．篡改信息。当入侵者掌握了信息的格式和规律后，通过

各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。

由于掌握了数据的格式，并可以篡改通过的信息，４．假冒。

攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

２．机密性。ＥＢ作为贸易的一种手段，其信息直接代表着个

人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。ＥＢ是建立在一个较为开放的网络环境上的（尤其

Ｉｎｔｅｒｎｅｔ是更为开放的网络），维护商业机密是ＥＢ全面推广应

用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。

５．恶意破坏。由于攻击者可以接入网络，则可能对网络中

的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

因此，我们在搭建电子商务平台时，不仅技术要到位，而支付等问题解决了，建立且要考虑安全防护措施，只有认证、

起一个安全的商务环境，才能真正实现电子商务。可以说在电子商务的系统里面没有安全保证的系统一定是一个豆腐渣工

【收稿日期】２００６－０１－０６

３．完整性。ＥＢ简化了贸易过程，减少了人为的干预，同时

也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差信息重复或信息传送异。此外，数据传输过程中信息的丢失、

的次序差异也会导致贸易各方信息的不同。贸易各方信息的

石朝阳（１９６４－），男，安徽太湖人，广东轻工职业技术学院工程师，软件工程硕士，研究方向：信息管理。【作者简介】

－７１－

完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是ＥＢ应用的基础。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加ＶＰＮ的安全性，因而能够保证数据的保密性和可用性。

数字认证可用电子方式证明信息发送者和接３．数字认证。

收者的身份、文件的完整性（如一个电子合同未被修改过），甚至数据媒体的有效性（如录音、照片等）。随着商家在电子商务中越来越多地使用加密技术，人们都希望有一个可信的第三方（认证中心ＣＡ），以便对有关数据进行数字认证。

为解决Ｉｎｔｅｒｎｅｔ的安全问题，世界各国对其进４．ＰＫＩ技术。

行了多年的研究，初步形成了一套完整的Ｉｎｔｅｒｎｅｔ安全解决方案，即目前被广泛采用的ＰＫＩ体系结构，ＰＫＩ体系结构采用证书管理公钥，通过第三方的可信机构ＣＡ，把用户的公钥和用户的其他标识信息（如名称、身份证号等）捆绑在一起，ｅ－ｍａｉｌ、在Ｉｎｔｅｒｎｅｔ网上验证用户的身份，ＰＫＩ体系结构把公钥密码和对称密码结合起来，在Ｉｎｔｅｒｎｅｔ网上实现密钥的自动管理，保证网上数据的机密性、完整性。

数字ＰＫＩ是一种新的安全技术，它由公开密钥密码技术、证书、认证中心（ＣＡ）和关于公开密钥的安全策略等基本成分共同组成的。ＰＫＩ是利用公钥技术实现电子商务安全的一种体网上交易是利用它来保证安系，是一种基础设施，网络通讯、全的。

４．可靠性／不可抵赖性／鉴别。ＥＢ可能直接关系到贸易双方

的商业交易，如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证ＥＢ顺利进行的关键。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等契书面文件上的手写签名或印章来鉴别贸易伙伴，确定合同、约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的ＥＢ方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

５．审查能力。根据机密性和完整性的要求，应对数据审查

的结果进行记录。

企业的内部网上一方面有着大量需要６．内部网的严密性。

保密的信息，另一方面传递着企业内部的大量指令，控制着企业的业务流程。内部网是一种半封闭的集中式可控网。既要保证内部网不被非法入侵和破坏，网中的敏感信息不被非法窃取和篡改，同时还要保证网内用户和网外用户之间正常联通，并提供应有的服务。要保证英特网基础上建立的电子商务安全性，最根本的是要发展各商家、各部门的内部网并保证它们的安全性。

四、构建电子商务中的安全策略

电子商务的安全体系包括以下三个层次：基本加密算法、基本安全技术、安全应用协议。如图１所示。

５．安全应用协议

（１）安全超文本传输协议（Ｓ－ＨＴＴＰ）：依靠密钥对的加密，保障Ｗｅｂ站点间的交易信息传输的安全性。

认证服务和报文的（２）安全套接层协议（ＳＳＬ）：提供加密、

完整性。ＳＳＬ被用于ＮｅｔｓｃａｐｅＣｏｍｍｕｎｉｃａｔｏｒ和ＭｉｃｒｏｓｏｆｔＩＥ浏

览器，以完成需要的安全交易操作。

（３）安全交易技术协议（ＳＴＴ）：ＳＴＴ将认证和解密在浏览器中分离开，用以提高安全控制能力。Ｍｉｃｒｏｓｏｆｔ在Ｉｎｔｅｒｎｅｔ

Ｅｘｐｌｏｒｅｒ中采用这一技术。

（４）安全电子交易协议（ＳＥＴ）：它涵盖了信用卡在电子商

务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。

图１电子商务的安全体系结构

由于电子商务系统把服务商、客户和银行三方通过英特网连接起来，并实现具体的业务操作，因此电子商务安全系统可由三个安全代理服务器及ＣＡ认证系统构成，它们遵循相同的协议，协调工作，来实现整个电子商务交易数据的完整性、保密性、不可否认性等安全功能。银行方主要包括银行端安全代理、数据库管理系统、审计信息管理系统业务系统等几部分组成。它与服务商或客户进行通信，实现对服务商或者客户的身份认证机制，认证客户和服务商的身份及帐号的合法性，保证业务的安全进行。

服务商方主要包括服务商端安全代理、数据库管理系统、审计信息管理系统、Ｗｅｂ服务器系统等几部分组成。在进行电子商务活动时，服务商的服务器与客户和银行进行双方通信。在客户方，电子商务的用户通过自己的计算机与英特网相连，在客户计算机中，除了ＷＷＷ浏览器软件外，还装有电子商务系统的客户安全代理软件。客户端安全代理的主要任务是负责对客户敏感信息（如交易信息等）进行加密、解密和数字签名，以密文的形式与服务商或银行进行通信，并通过ＣＡ和服务器端安全代理或银行端安全代理一起实现用户身份认证机制。

１．加密技术。加密技术是电子商务采取的主要安全措施，

贸易方可根据需要在信息交换的阶段使用。目前，加密技术分为两类，即对称加密和非对称加密。保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在，一些专用密钥加密（如３ＤＥＳ、ＩＤＥＡ、ＲＣ４和ＲＣ５）和公钥加密（如ＲＳＡ、ＳＥＥＫ、ＰＧＰ和ＥＵ）可用来保证电子商务的保密性、完整性、真实性和非否认服务。然而，这些技术的广泛使用却不是一件容易的事情。

密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

一般的数据加密可以在通信的三个层次来实现：链路加密、节点加密和端到端加密。

２．虚拟专用网（ＶＰＮ）。这是用于Ｉｎｔｅｒｎｅｔ交易的一种专用

网络，它可以在两个系统之间建立安全的信道（或隧道），用于它与信用卡交易和客户发送订单交易不电子数据交换（ＥＤＩ）。

同，因为在ＶＰＮ中，双方的数据通信量要大得多，而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术，只要通信的双方默认即可，没有必要为所有的ＶＰＮ

五、结语

在我国，虽然网络建设正处于快速发展阶（下转第７８页）

－７２－

制数约相当于１６６位的二进制数，所以我们的ｎ在１００位以上二进制即可。

２．密钥生成。根据ＲＳＡ算法原理，它工作需要生成的是２对密钥（ｎ，ｅ）和（ｎ，ｂ）。我们的系统是多用户的，每个用户的相

关的密钥对数据都要不同，而且出于安全考虑在系统和数据库中不存储任何相关数据，都是每次用户登录时根据用户的特定信息动态生成。具体地说，进入系统所用的用户名和密码肯定是独一无二的，我们就从它出发来生成需要的密钥对。这里的用户名我们限定长度为８位以上，用户名则４～１０位（用户名同时是对应数据库的文件名）。密钥的生成过程如下：从ＲＳＡ算法描述中知道首先要找到一对素数ｐ和ｑ，在这里我们的方法是，事先做好一个素数表，其范围在２５１２以内，然后我们把系统的登录密码和用户名前２位连接起来，把新字符串每个字符对应的７位二进制的ＡＳＣＩＩ码按顺序连接得到一个至少有７０位的二进制数，把它看作一个整数，去查找事先做好的素数表，找到一个等于此整数值或第一个大于它的表中的值作为ｐ，同理把用户名字中所有字符对应的７位二进制ＡＳＣＩＩ码连接得到的二进制数作为整数查找素数表，找到的一个等于该数或者第一个小于该数的表中的值作为ｑ。ｎ＝ｐ＊ｑ，则ｎ的最小值在２９８。有了ｎ，ｐ和ｑ就可以计算Φ（ｎ），然后是ｅ的选择，通常可以通过小的ｅ或二进制表示中１的个数较少的ｅ来提高加密速度，我们取ｅ＝２ｋ＋１（ｋ为整数且ｋ＞

６６字节开始的１４字节，２０００或以后的则是在６６字节开始处４０字节。Ａｃｃｅｓｓ９７的密钥只有一个，破解它的密码只要生成一个空密码的ａｃｃｅｓｓ数据库文件，用对应的１４字节覆盖于破解的文件即可把密码置空。后来版本号一些位数扩大到４０位（不过由于使用的是Ｕｎｉｃｏｄｅ码，只用英文字母的话有效位只有２０位），密钥根据文件产生日期生成共有２５６个。但是文件

的时间信息可以轻松得到，即使没有时间信息，基于暴力破解也不难。作为一个有效的手段，我们还是要利用的。为了不增加用户的负担，这个密码就用用户的登陆系统的密码。为防止因这个密码被破解而泄露用户登录系统的密码，首先要把用户的登陆密码用用户对应密钥（ｎ，ｅ）加密一下（因为密码的ＡＳＣＩＩ码组成的二进制串位数肯定小于ｎ的位数，这步加密处理的结果是一个整数，需要把它用ｂａｓｅ６４算法转化为字符串才能作为数据库的密码，每次验证的时候也相同）。

２．许可阶段。许可阶段的任务需要额外的文件（工作信息文件＊．ｍｄｗ）来支持完成，所以对于不使用Ａｃｃｅｓｓ数据库软件

的情况，这种安全功能没办法使用。

３．跟踪用户活动阶段。对于不使用Ａｃｃｅｓｓ数据库管理软

件而只利用它的数据库文件格式来说，也不起任何作用。

４．加密数据库。对数据库进行加密是比较好的方法，而且也是我们考虑的主要方法。在Ａｃｃｅｓｓ数据库管理软件的集成

界面中有这项功能，在菜单工具下的安全子菜单下的编码和解码数据库。但是这种处理结果只在集成环境中有效，而且对整个数据编码在文件较大时性能不好，所以我们自行设计对数据库的编码和解码。

数据库中要保护的数据主要就是二进制格式的文件内容，这种数据有一个特点，即使可能只改动一位，所有的数据就可能没办法处理，为提高加密解密的数度，并不是对所有的数据进行加密，我们取文件的二进制数据的前２ｋ字节和最后

８），ｋ的值是第一个满足条件的整数，ｄ的值使用时根据计算而得，到这里我们就得到了可以使用的ＲＳＡ算法需要的２对

密钥。

（四）Ａｃｃｅｓｓ数据库的安全性能及ＲＳＡ算法的应用

我们并不是完全的设计一套Ａｃｃｅｓｓ数据库的安全系统，而是在Ａｃｃｅｓｓ数据库自身的安全基础上再利用ＲＳＡ算法，所以首先要分析一下Ａｃｃｅｓｓ数据库自身的安全特性。Ａｃ－

ｃｅｓｓ数据库系统的安全机制将安全性管理可分为四个阶段：

确认阶段：用来检查用户的登录账号是否正确以及用户连接数据库的密码是否正确；

许可阶段：是用来检查进入数据库的用户名是否正确以及此用户具有何种用户权限；

跟踪用户活动阶段：通过加入跟踪审计模块，以备安全性分析；

加密数据库：其目的是为了防止其他人通过各种字处理或ＳＰＹ应用程序浏览Ａｃｃｅｓｓ数据库文件。

下面我们就结合Ａｃｃｅｓｓ数据库自身的安全特性，并应用

２ｋ字节进行加密，这样可以达到目的并有较好的性能。

三、结论

通过以上处理后的系统数据安全性能大为提高，同时并没有明显降低系统处理数据的速度，较好的达到了预定目的，在实践中效果较好，用户比较满意。

【参考文献】

［１］杨勇刚，徐瑾．ＲＳＡ算法的研究［Ｊ］．北京工商大学学报（自然科学版），２００４，（１１）．

ＲＳＡ算法来改进数据库的安全性能。

在确认阶段使用密码是数据库的第一道安全１．确认阶段。

闸门，这是数据的通行的设计，而且非常有效。但是在Ａｃｃｅｓｓ

数据库管理系统中，微软在设计它的密码保存的时候没有做得很好。它把密码放在文件固定的位置，如Ａｃｃｅｓｓ９７在文件的

［２］王英．ＲＳＡ算法及加密强度分析［Ｊ］．湖南税务高等专科

学校学报，２００５，（３）．

［３］刘独玉．Ａｃｃｅｓｓ数据库系统安全性的设计与实现［Ｊ］．计算机应用，２００１，（８）．

［４］廖启亮．Ａｃｃｅｓｓ数据库加密系统安全性剖析及改进策略［Ｊ］．中全科学学报，２００５，（５）．

构建一个内容丰富、快速有效、安全可靠的电子商务系统，才能真正实现电子商务，消除客户对安全的担心，使电子商务蒸蒸日上，使企业对内实行高效管理，对外提高竞争力。

【参考文献】

（上接第７２页）段，网络应用还不够普遍；电子商务方面技术方面缺乏统一规范，影响互联互通；金融电子化程序还不理想；电子商务的推行还需要时间，但我们必须研究我国发展电子商务的策略，以迎接电子商务时代的到来，解决电子商务安全问题，推动电子商务发展。

安全问题是企业应用电子商务最担心的问题，而如何保障电子商务活动的安全，将一直是电子商务的核心研究领域。作为一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递；其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。只有

［１］信息管理系列编委会．网络安全管理［Ｍ］．北京：中国人

民大学出版社，２００１．

［２］钟乐海，王朝斌，李艳梅．网络安全技术［Ｍ］．北京：电子

工业出版社，２００３．

－７８－