■孫曉茹 吉林工商學(xué)院

當(dāng)今的電子商務(wù)發(fā)展將安全問(wèn)題擺在重要位置，其核心技術(shù)是關(guān)于商務(wù)數(shù)據(jù)和系統(tǒng)安全保護(hù)?？偹苤娮由虅?wù)的數(shù)據(jù)庫(kù)存放著大量的重要商業(yè)資料，例如交易記錄、客戶資料、用戶賬戶等等信息，這些信息對(duì)于電子商務(wù)活動(dòng)的正常開(kāi)展起著不可或缺的作用，我們必須在技術(shù)領(lǐng)域?qū)嵤┗旌霞用艿姆椒▉?lái)保證這些信息的安全性。

一、電子商務(wù)的安全問(wèn)題

電子商務(wù)系統(tǒng)實(shí)質(zhì)上是一種交易平臺(tái)，用戶想要完成網(wǎng)上交易，必須先完成注冊(cè)并登陸的步驟，在此過(guò)程中就有可能出現(xiàn)安全隱患。以最常見(jiàn)的B2C模式為例，用戶在注冊(cè)時(shí)填寫(xiě)的密碼經(jīng)過(guò)了加密處理，保證了一定的安全性。如果用戶忘記密碼，可以采用回答注冊(cè)時(shí)自己設(shè)下的問(wèn)題的方式來(lái)取回密碼。但問(wèn)題在于這些用戶自己所設(shè)下的問(wèn)題及答案是不加密的，不法份子如果竊取了用戶的問(wèn)題答案則很有可能順利獲得用戶的密碼，此問(wèn)題從小處折射出了電子商務(wù)的系統(tǒng)的安全性問(wèn)題。

由于密碼取回環(huán)節(jié)的無(wú)加密性導(dǎo)致的安全隱患必須得到我們的重視，我們可以使用混合加密技術(shù)來(lái)解決這一問(wèn)題。具體來(lái)說(shuō)，用戶密碼可以采用對(duì)稱(chēng)密鑰來(lái)加密，在此基礎(chǔ)上的信息傳輸環(huán)節(jié)可以使用非對(duì)稱(chēng)密鑰來(lái)加密，雙重作用下的混合加密方式讓不法份子在技術(shù)上無(wú)從下手，這樣一來(lái)就提高了電子商務(wù)系統(tǒng)的整體安全性。

二、混合加密技術(shù)

對(duì)稱(chēng)加密的優(yōu)勢(shì)在于加密的效率非常高，其被廣泛應(yīng)用于大量數(shù)據(jù)的加密工作，但在網(wǎng)絡(luò)傳輸過(guò)程中由于保護(hù)性較差很容易被他人攔截，造成信息的泄露。非對(duì)稱(chēng)加密則很好地補(bǔ)上這一安全隱患，它能在信息傳輸過(guò)程中保證信息的安全性，但其加密效率過(guò)低，很難獨(dú)自應(yīng)用于繁重的加密工作中。所以混合加密應(yīng)運(yùn)而生，將兩者有機(jī)結(jié)合起來(lái)，形成了更好優(yōu)秀的更加方式，保證了信息的安全。

上圖很好地展示出了混合加密方式的過(guò)程，從A方來(lái)說(shuō)，對(duì)明文采用對(duì)稱(chēng)加密的方式來(lái)加密，在信息傳輸?shù)倪^(guò)程中使用了B方的公鑰，這樣一來(lái)，只有B方才能知曉準(zhǔn)確的“對(duì)稱(chēng)密鑰”，不法份子即使攔截了信息，也無(wú)法將密鑰破解。從B方來(lái)說(shuō)，使用己方的私有秘鑰來(lái)解開(kāi)“密鑰密文”，從中得到相應(yīng)的“對(duì)稱(chēng)密鑰”，使用“對(duì)稱(chēng)密鑰”就可以很輕易將密文還原為明文信息。通過(guò)對(duì)整個(gè)混合加密過(guò)程的簡(jiǎn)單分析論證，我們可以得出的結(jié)果是:混合加密的方式有效避免了對(duì)稱(chēng)加密信息傳輸過(guò)程中保護(hù)性差和非對(duì)稱(chēng)加密方式工作繁瑣的弊端，很好地將兩者的優(yōu)勢(shì)結(jié)合起來(lái)，并發(fā)揮出最大的加密功效，保護(hù)用戶的信息安全。

三、混合加密技術(shù)的應(yīng)用

針對(duì)上文中所提到的用戶在用戶注冊(cè)和密碼取回時(shí)所遇到的密碼安全問(wèn)題，我們將混合加密技術(shù)具體應(yīng)用到這一環(huán)節(jié)中去。

由a圖可知，在應(yīng)用混合加密技術(shù)后的用戶注冊(cè)過(guò)程中，省去了填寫(xiě)取回密碼的提示性問(wèn)題及答案的步驟，轉(zhuǎn)而代之的是填寫(xiě)一個(gè)以對(duì)稱(chēng)秘鑰方式加密的密碼K1，在對(duì)這一密碼接收時(shí)采用了公鑰K2對(duì)其進(jìn)行加密，完成雙重加密后，用戶即可以放心進(jìn)行電子商務(wù)活動(dòng)。即使有不法份子截獲了用戶注冊(cè)時(shí)的信息，由于缺乏接收方的私有密鑰，他們也無(wú)法進(jìn)行解密，用戶的信息安全得到了極大的保證。

在使用混合加密方式后，用戶的登錄步驟也發(fā)生相應(yīng)的改變。第一步，用戶登錄所需要的電子商務(wù)網(wǎng)站，像往常一樣填寫(xiě)自己的賬號(hào)和密碼，所不同的是要多填寫(xiě)一項(xiàng)對(duì)稱(chēng)密鑰K1。第二步，電子商務(wù)網(wǎng)站的客戶端使用K1對(duì)用戶密碼完成加密工作。第三步，將經(jīng)過(guò)K1加密完成的密碼傳送給服務(wù)器。第四步，服務(wù)器通過(guò)對(duì)用戶賬號(hào)的查詢(xún)，找到用戶注冊(cè)時(shí)的加密密碼K1。第五步，服務(wù)器自動(dòng)判斷用戶登錄時(shí)所提交的K1密碼是否與注冊(cè)時(shí)的K1密碼相同，如果兩者相同則可以使用戶成功登錄，如果兩者不相同則判斷為登錄失敗。

從b圖可以知道，在使用混合加密之后，用戶找回密碼的過(guò)程也有了相應(yīng)的改變。具體步驟為：第一步，對(duì)客戶傳輸過(guò)來(lái)的公鑰K2進(jìn)行判斷，K1加密密碼是否符合數(shù)據(jù)庫(kù)中的保存密碼，如果相同則可以將加密密碼傳送回客戶端，用戶使用K1密碼來(lái)解密，最終能夠安全取回自己注冊(cè)時(shí)的初始密碼。

四、結(jié)束語(yǔ)

如今的電子商務(wù)事業(yè)發(fā)展一日千里，每天都有巨大的商業(yè)交易通過(guò)電子商務(wù)的方式來(lái)達(dá)成。對(duì)面這一新興的朝陽(yáng)產(chǎn)業(yè)線上安全保衛(wèi)工作，我們有必要全身心地投入到其中。當(dāng)前的關(guān)鍵任務(wù)就是要將混合加密的方式在整個(gè)電子商務(wù)數(shù)據(jù)庫(kù)安全領(lǐng)域全面鋪展開(kāi)來(lái)，讓不法份子無(wú)處下手，保證用戶的切身利益，將電子商務(wù)安全提高到一個(gè)全新的級(jí)別。

[1]梁曄,趙彥敏.數(shù)據(jù)加密算法的分析與研究[J].甘肅高師學(xué)報(bào),2011(2).

[2]唐言.信息加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用[J].中國(guó)新技術(shù)新產(chǎn)品,2010(8).

[3]董軍利,宋福剛.基于AES＆RSA混合加密策略的硬盤(pán)分區(qū)加密技術(shù)[J].微電子學(xué)與計(jì)算機(jī),2012(1).

[4]楊勇.混合數(shù)字加密技術(shù)在安全ONS方案中的應(yīng)用[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2010(16).