崔 鑫，杜焕友

（1.山东理工大学 计算机科学与技术学院，山东 淄博 255091；山东省淄博邮政管理局，山东 淄博 255000）

随着电子技术和互联网的发展，信息技术作为一种重要的工具被引入到人们的生活中.越来越多的企业、机构和个人进入互联网，在计算机网络的平台上，按照一系列标准通过电子方式进行信息交流，利用其资源和服务进行商务活动，网络安全问题引起了人们的高度重视［1］.计算机网络承载着交易过程中的信息流和资金流，若要进行正常的电子交易，信息流和资金流的可靠传输是前提，这就需要保障互联网上数据传输的安全性，即保证网络层安全，该设计中采用了访问控制列表设置策略来实现.

但是仅仅保障了数据的安全传输还不能实现安全的电子商务交易，电子商务交易中的各方并不直接面对，彼此的身份认证就很难确保安全.如果参与交易各方身份的真实性得不到保障，电子商务活动的进行就无从谈起［2］.为了保证信息的真实性，身份的可靠性，电子商务中的电子文档都需要做数字签名，以保障上层业务逻辑系统的安全.

文章给出了利用访问控制列表和数字签名技术解决电子商务交易平台安全问题的策略.

1 主要技术原理

1.1 访问控制列表

访问控制列表是由Permit和Deny组成的顺序列表，该列表应用于地址或上层协议，控制数据流进出网络.访问控制列表适用于所有的被路由协议，如IP、IPX、AppleTalk等.作为第三层设备，分组路由器通过访问控制列表，使用规则决定允许还是拒绝数据流，这种决策是根据源和目标IP地址、源端口和目标端口以及分组的协议做出的.该设计中访问控制列表可以限制网络数据流以提高网络性能，可以允许某台主机访问部分网络，同时阻止另一台主机访问该区域，实现了在路由器接口上决定转发或阻止哪些类型的数据，控制客户端访问网络的特定区域等［3］.

在该设计中还使用了基于时间的访问控制列表以及基于上下文的访问控制列表等，用来辅助完成电子商务网络层的安全.通过基于时间的访问控制列表可以根据时间范围来控制访问，能够更好的控制对资源的使用.基于上下文的访问控制列表的包过滤方法超出了第三层和第四层检测.他对数据包的数据内容进行分析.通过检查防火墙来查找和管理使用传输层协议会话状态信息.该状态信息用于防火墙的访问控制列表，并创建一个临时通道.通过配置IP INSPECT列表，指定允许会话返回，附加数据库连接，打开该通路.对于指定的协议，只要数据通过配置了检查的接口，无论数据从哪个方向经过防火墙，都将被检查［3］.为电子商务的安全运行提供了一个有效地网络应用平台.

1.2 数字签名技术原理

数字签名是通过密码运算产生一系列的符号和代码组成的电子密码签名，而不是手写签名或盖章.数字签名是当前电子商务、电子政务中应用最常见、最成熟的技术，数字签名的可操作性也最强.它采用一个标准化的程序和科学化的方法，用来确定签名者的身份和电子数据内容的识别.它还可以确保文本在传输过程中有没有被改变，确保传输电子文件的完整性、真实性和不可抵赖性［4］.当前的数字签名基本建立在公钥体制基础上.

1.2.1 哈希签名算法

哈希签名是较普遍的数字签名方法，也称之为数字摘要法（Digital Digest）或数字指纹法（Digital Finger Print）.哈希签名应用较广泛，它可以降低服务器的资源消耗，减轻中心服务器的负载.哈希签名的主要限制是接受者必须持密钥副本来验证签名，因为双方都知道生成签名的密钥，较容易被攻击［5］.

1.2.2 RSA签名算法

RSA易于理解和操作.算法的名字以发明者的名字命名:Ron Rivest，Adi Shamir和Leonard Adleman.RSA签名算法是研究的最广泛的公钥算法，从提出到现在已经经历了各种攻击的考验，逐渐被大家接受，被认为是一个优秀的公钥方案.它可以用来对数据进行加密，还可以用于身份认证［6］.和哈希签名相比，在公钥系统由于生成签名的密钥只存储在用户的电脑，安全系数大一些.

2 访问控制列表的安全设计

在该设计中访问控制列表可用来保护电子商务公司内部网络的安全，若同时允许外部网络对内部网络210.44.176.0／24进行有限访问，其中210.44.176.76／24假设为企业对外服务器地址.192.198.1.2／24为企业内部服务器地址，并且不允许外网对其访问.

表1 路由器R1接口

在路由器R1上设置访问控制列表来保证电子商务业务的正常运作:

接下来我们在fa0／1接口上配置外出方向上的访问列表，对于进入ICMP协议流，列表118能有效的限定除ICMP消息外的其它数据流从接口Fa0／0进入内部网络:

下面是时间访问控制列表，通过该列表可以控制网络进行通信的日期和具体时间:

以下基于上下文的访问控制列表配置为流量在外部接口的IN方向上动态的生成了ACL条目允许返回流量的进入，并对从内部发起的流量生成状态信息.

通过对访问控制列表的添加和策略使用，使电子商务网络层的通信安全更加灵活，并通过允许或拒绝条件的设计进一步保障了电子商务网络层的通信安全.

3 数字签名在电子商务中的安全实现

密钥生成分为对称密钥的生成和非对称密钥的生成.对称密钥的实现方法:因为需要使用java的输出功能和相关的加密算法，所以先导入所需要的包，然后声明该算法为一个新建的类，以便用户在其他窗体中引用［5］.因为该系统还可以选择密钥的加密算法RSA或者MD5，在选择了加密算法后，用Java算法generateKey（）可以生成对称加密的密钥，然后选择密钥的保存位置，就可以成功的生成对称加密的密钥.关键代码如下:

非对称密钥的实现方法:因为需要输出和加密，所以首先导入必要的Java包，声明为一个新类，以便在其他的窗体中引用［6］.若采用非对称加密且使用RSA算法，在选择了密钥长度和公钥及私钥的保存位置后，就可以实现非对称密钥的生成.若是生成不成功，系统会返回False，并提示用户生成密钥失败.关键代码如下:

签名和验证使得网络安全的功能更加完善.特别是在签名和验证的时候可选加密的算法使得系统的功能更加灵活.数字签名的实现算法的关键代码:

该设计可以实现对网络通信文件进行签名和验证，保证电子商务通信的安全.

4 结束语

本文针对企业电子商务网络接入及信息的安全通信提出了一个可利用的解决方案，该策略和应用可以实践于中小型企业商务网络的组建和通信，功能完善，有较好的应用价值.

［1］谢红燕.电子商务安全问题及对策研究［J］.哈尔滨商业大学学报:自然科学版，2007，23（3）.51－58

［2］王昌旭，周振柳.网络接入安全控制与研究［J］.计算机软件与应用.2008，25（11）.92－94

［3］Odom W.CCNP ROVTE认证指南［M］.王兆文，译.北京:人民邮电出版社，2010.

［4］Stinson D R.密码学原理与实践［M］.冯金国，译.北京:电子工业出版社，2003.

［5］张浩华，齐维毅.基于JAVA技术的MD5机密算法的设计与实现［J］.沈阳师范大学学报:自然科学版，2009，7（1）.75－77

［6］殷兆麟，张永平，姜淑娟.JAVA网络高级编程［M］.北京:清华大学出版社，2005.