李榮芳

摘要論述和分析了加密技術(shù)電子商安全方面的應(yīng)用現(xiàn)狀,具體介紹了數(shù)據(jù)加密技術(shù)以及如何消除電子商務(wù)中的安全隱患。

關(guān)鍵詞電子商務(wù)安全加密技術(shù)加密算法

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A

隨著信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,在Internet上從事商務(wù)活動(dòng)已引起人們的廣泛關(guān)注。電子商務(wù)作為一種新的商業(yè)應(yīng)用模式,正在改變著人們的生活以及整個(gè)社會(huì)的發(fā)展進(jìn)程,網(wǎng)絡(luò)貿(mào)易將引起人們對(duì)管理模式、工作和生活方式,以及經(jīng)營(yíng)管理思維方式等的綜合革新。安全問(wèn)題便成為電子商務(wù)生死攸關(guān)的首要問(wèn)題。保密性、完整性和不可否認(rèn)性成為電子商務(wù)安全問(wèn)題的關(guān)鍵。

1 電子商務(wù)所面臨的主要安全問(wèn)題

由于Internet本身具有開(kāi)放性、交易各方的不直接對(duì)面性、資金流轉(zhuǎn)的計(jì)算機(jī)處理性和網(wǎng)絡(luò)傳輸性等,使得網(wǎng)上交易面臨種種危險(xiǎn),主要表現(xiàn)在以下幾個(gè)方面。

(1)信息截獲:主要表現(xiàn)為商業(yè)機(jī)密的截獲,包括兩個(gè)方面:一是交易雙方的交易內(nèi)容被第三方竊取;二是交易一方提供給另一方使用的文件被第三方非法使用。

(2)信息被篡改:包含兩個(gè)方面:一是網(wǎng)絡(luò)傳輸?shù)目煽啃?網(wǎng)絡(luò)的硬件或軟件出現(xiàn)問(wèn)題而導(dǎo)致交易信息的丟失與謬誤;二是惡意破壞,計(jì)算機(jī)網(wǎng)絡(luò)本身遭到一些惡意程序的攻擊,而使電子商務(wù)信息遭到破壞。

(3)身份識(shí)別:涉及兩方面的問(wèn)題:一是如果不進(jìn)行識(shí)別,第三方就有可能假冒交易一方的身份,破壞交易或竊取交易成果;二是不可抵賴性,交易雙方對(duì)自己的行為應(yīng)負(fù)有一定的責(zé)任,信息發(fā)送者和接受者都不能對(duì)此予以否認(rèn)。

(4)信息破壞:電子商務(wù)的交易信息在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中,可能被他人非法修改、刪除或被多次使用,這樣就使信息失去了真實(shí)性和完整性。

2 數(shù)據(jù)加密技術(shù)

加密技術(shù)是電子商務(wù)最基本的信息安全防范措施,它利用一定的加密算法,將明文轉(zhuǎn)換成密文進(jìn)行傳輸,從而確保數(shù)據(jù)的安全性。目前常用的數(shù)據(jù)加密技術(shù)主要有以下幾種。

2.1 對(duì)稱加密技術(shù)

即信息的發(fā)送方和接收方用同一密鑰去加密和解密數(shù)據(jù),也就是說(shuō)加密和解密使用相同密鑰。它要求發(fā)送方和接收方在安全通信之前,商定一個(gè)密鑰。對(duì)稱密鑰算法的安全性依賴于密鑰,泄露密鑰就意味著任何人都能對(duì)消息進(jìn)行加、解密。只要通信需要保密,密鑰就必須保密。著名的對(duì)稱加密算法有:美國(guó)國(guó)家標(biāo)準(zhǔn)局提出的DES ( DataEncryptionStandard,數(shù)據(jù)加密標(biāo)準(zhǔn)) 算法及其各種變形,如TripleDES(三重 DES) ,GDES(廣義DES)、NewDES和DES的前身Lucifer;歐洲的IDEA;日本的FEALN、LOKI 91、Skipjack、RC4、RC5以及以代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。在這些對(duì)稱加密算法中影響最大的是DES算法。

對(duì)稱密碼算法的優(yōu)點(diǎn)是計(jì)算開(kāi)銷小,加密速度快,保密強(qiáng)度高,是目前用于信息加密的主要算法。它的缺陷主要有兩點(diǎn):一是密鑰的傳遞和管理比較困難,對(duì)于具有n 個(gè)用戶的網(wǎng)絡(luò),就需要n(n - 1)/2個(gè)密鑰,這對(duì)于分布廣、用戶多的大型網(wǎng)絡(luò),密鑰的分配和保存就成了問(wèn)題;二是它僅能用于對(duì)數(shù)據(jù)進(jìn)行加解密處理,不能用于數(shù)字簽名。

2.2 非對(duì)稱加密技術(shù)

非對(duì)稱加密技術(shù)通常有兩個(gè)密鑰, 即公鑰和私鑰。加密和解密是相對(duì)獨(dú)立的,加密和解密會(huì)使用兩個(gè)不同的密鑰。加密密鑰向公眾公開(kāi),稱為公鑰,解密密鑰只有解密人自己知道,稱為私鑰。著名的公鑰密碼算法有:RSA、背包密碼、McEliec密碼、Diffe Hel1.零知識(shí)證明的算法、橢圓曲線、EIGamal算法等。最有影響的非對(duì)稱加密算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。

非對(duì)稱密碼體制的優(yōu)點(diǎn)是可以適應(yīng)網(wǎng)絡(luò)的開(kāi)放性要求,密鑰分配協(xié)議簡(jiǎn)單,不存在對(duì)稱加密系統(tǒng)中密鑰的分配和保存問(wèn)題,極大簡(jiǎn)化了密鑰管理。它不僅可以作為加密算法使用,而且還可以用作數(shù)字簽名和對(duì)對(duì)稱加密的密鑰分配與管理;但其算法復(fù)雜,加密數(shù)據(jù)的速率較低,不適合用于對(duì)較長(zhǎng)的信息進(jìn)行加密;非對(duì)稱密鑰機(jī)制靈活,但加密和解密速度比對(duì)稱密鑰加密慢得多,所以它不適合于對(duì)文件進(jìn)行加密,而只適用于對(duì)少量數(shù)據(jù)進(jìn)行加密。

2.3 認(rèn)證技術(shù)

目前,僅有加密技術(shù)不足以保證電子商務(wù)中的交易安全,身份認(rèn)證技術(shù)是保證電子商務(wù)安全的又一重要技術(shù)手段。認(rèn)證的實(shí)現(xiàn)包括數(shù)字摘要技術(shù)、數(shù)字簽名技術(shù)、數(shù)字信封技術(shù)、數(shù)字時(shí)間戳技術(shù)和數(shù)字證書(shū)技術(shù)等。

3 加密技術(shù)在電子商務(wù)中的應(yīng)用

為了確保電子商務(wù)活動(dòng)的安全性,就必須建立一套安全可靠的電子商務(wù)安全機(jī)制,該機(jī)制至少要解決以下幾個(gè)方面的問(wèn)題:一是交易雙方的身份鑒別;二是交易活動(dòng)中的不可否認(rèn)性;三是交易數(shù)據(jù)的保密性和完整性;四是電子支付過(guò)程中每一個(gè)環(huán)節(jié)的安全。數(shù)據(jù)加密技術(shù)是構(gòu)建電子商務(wù)安全機(jī)制的基礎(chǔ),它在構(gòu)建電子商務(wù)安全體系中主要有以下五個(gè)作用:一是通過(guò)數(shù)據(jù)加密可以保證非授權(quán)人員不能非法獲取信息。從而實(shí)現(xiàn)交易中信息的機(jī)密性;二是通過(guò)數(shù)字證書(shū)可以識(shí)別對(duì)方的身份;三是通過(guò)數(shù)字簽名保證交易過(guò)程中的不可抵賴性;四是通過(guò)數(shù)字摘要保證交易中信息的完整性;五是通過(guò)安全協(xié)議保證電子支付的安全性。

3.1 數(shù)字證書(shū)

在電子商務(wù)活動(dòng)中,利用簽名數(shù)字證書(shū)就可以識(shí)別交易雙方的身份。數(shù)字證書(shū)一般包含以下一些內(nèi)容:證書(shū)的版本信息、 證書(shū)的序列號(hào)、每個(gè)用戶都有一個(gè)唯一的證書(shū)序列號(hào)、 證書(shū)所使用的簽名算法、證書(shū)的發(fā)行機(jī)構(gòu)名稱、證書(shū)的有效期、證書(shū)所有人的名稱、證書(shū)所有人的公開(kāi)密鑰、證書(shū)發(fā)行者對(duì)證書(shū)的簽名等。數(shù)字證書(shū)主要是通過(guò)非對(duì)稱加密體制來(lái)實(shí)現(xiàn)的。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰。 用它來(lái)進(jìn)行解密和簽名,同時(shí)設(shè)定一把公開(kāi)密鑰并由本人公開(kāi),由一組用戶所共享,用于加密和驗(yàn)證簽名。

3.2 數(shù)字簽名和數(shù)字摘要

數(shù)字簽名是通過(guò)非對(duì)稱加密體制實(shí)現(xiàn)的。 其基本原理是:發(fā)送方用私鑰對(duì)所傳輸?shù)膱?bào)文加密(簽名),接收方用公鑰解密(核對(duì)簽名) 。由于數(shù)字簽名使用的是發(fā)送方 的私鑰進(jìn)行簽名.事后發(fā)送方則無(wú)法抵賴其所發(fā)出的報(bào)文,從而實(shí)現(xiàn)了交易的不可抵賴性。

為了驗(yàn)證信息的完整性,還可以使用數(shù)字摘要技術(shù)。 其要點(diǎn)是將要發(fā)送的報(bào)文通過(guò)HA SH加密算法計(jì)算出一個(gè)摘要值,將摘要值用發(fā)送方的私鑰簽名,再與原報(bào)文明文一起發(fā)送。接收方先用發(fā)送方的公鑰解密得到報(bào)文和摘明信息在傳輸過(guò)程中沒(méi)有被篡改,否則,信息已被非法用戶篡改。因?yàn)镠ASH算法可以保證只要原文被改動(dòng)了任一個(gè)二進(jìn)制碼就會(huì)導(dǎo)致摘要值的顯著變化。因此利用數(shù)字摘要和數(shù)字簽名,就可以解決信息傳輸?shù)耐暾院筒豢傻仲囆浴?/p>

3.3 數(shù)字信封

數(shù)字信封是一種綜合利用了對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)兩者的優(yōu)點(diǎn)進(jìn)行信息安全傳輸?shù)囊环N技術(shù)。數(shù)字信封既發(fā)揮了對(duì)稱加密算法加密速度快、安全性好的優(yōu)點(diǎn),又發(fā)揮了非對(duì)稱加密算法密鑰管理方便的優(yōu)點(diǎn)。

3.4 電子支付過(guò)程中的安全協(xié)議

電子商務(wù)的顯著特征之一就是通過(guò)電子支付來(lái)實(shí)現(xiàn)交易過(guò)程中的支付環(huán)節(jié)。 為了保障電子支付過(guò)程中持卡人的賬戶信息不泄漏、不被盜用,交易各方就必須要建立并共同遵循用來(lái)解決電子商務(wù)交易安全的某種協(xié)議。目前,使用最廣泛的有 S E T協(xié)議和 S S L協(xié)議。

(1)SET協(xié)議。SET協(xié)議是由美國(guó)Visa和MasterCard兩大信用卡組織聯(lián)合國(guó)際上多家科技機(jī)構(gòu),共同制定的應(yīng)用于Internet上的以銀行卡為基礎(chǔ)進(jìn)行在線交易的安全標(biāo)準(zhǔn),即“安全電子交易”(SecureElectronic TrasactionSET)。它采用了非對(duì)稱加密體制和X.509數(shù)字證書(shū)標(biāo)準(zhǔn),主要應(yīng)用于B to C模式中保障支付信息的安全性。它通過(guò)相應(yīng)的軟件、數(shù)字證書(shū)、數(shù)字簽名和加密技術(shù),為電子交易各環(huán)節(jié)提供更大的信任度、更高的安全性和較少的欺詐性。

(2)SSL協(xié)議。 SSL(SecuresocketLayer,安全套接層協(xié)議),它包括:服務(wù)器認(rèn)證、 客戶認(rèn)證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。SSL協(xié)議也是使用非對(duì)稱加密體制和X.5 0 9數(shù)字證書(shū)技術(shù)。它主要用于應(yīng)用程序協(xié)議之間的數(shù)據(jù)安全,能提供用戶和服務(wù)器的認(rèn)證、數(shù)據(jù)傳送的機(jī)密性以及信息傳輸?shù)耐暾缘劝踩胧５玈SL不對(duì)應(yīng)用層的消息進(jìn)行數(shù)字簽名,因此不能提供交易的不可否認(rèn)性,即不能保證信息傳輸?shù)牟豢傻仲囆?這是SSL在電子商務(wù)中使用的最大不足。

4 結(jié)語(yǔ)

總的來(lái)說(shuō),目前電子商務(wù)交易的安全機(jī)制還不夠成熟,無(wú)法滿足迅速增長(zhǎng)的電子商務(wù)需要。數(shù)據(jù)加密技術(shù)是信息安全的基本技術(shù),在網(wǎng)絡(luò)中的使用越來(lái)越廣泛。密碼技術(shù)的發(fā)展也將滲透到數(shù)字信息的每一個(gè)角落,與數(shù)據(jù)網(wǎng)絡(luò)、通信系統(tǒng)的安全緊密聯(lián)系在一起,提供更廣泛更有效的安全保護(hù)措施。