數(shù)據(jù)加密技術(shù)在電子商務中的應用

李榮芳

摘要論述和分析了加密技術(shù)電子商安全方面的應用現(xiàn)狀,具體介紹了數(shù)據(jù)加密技術(shù)以及如何消除電子商務中的安全隱患。

關(guān)鍵詞電子商務安全加密技術(shù)加密算法

中圖分類號:TP393文獻標識碼:A

隨著信息技術(shù)和計算機網(wǎng)絡技術(shù)的飛速發(fā)展,在Internet上從事商務活動已引起人們的廣泛關(guān)注。電子商務作為一種新的商業(yè)應用模式,正在改變著人們的生活以及整個社會的發(fā)展進程,網(wǎng)絡貿(mào)易將引起人們對管理模式、工作和生活方式,以及經(jīng)營管理思維方式等的綜合革新。安全問題便成為電子商務生死攸關(guān)的首要問題。保密性、完整性和不可否認性成為電子商務安全問題的關(guān)鍵。

1 電子商務所面臨的主要安全問題

由于Internet本身具有開放性、交易各方的不直接對面性、資金流轉(zhuǎn)的計算機處理性和網(wǎng)絡傳輸性等,使得網(wǎng)上交易面臨種種危險,主要表現(xiàn)在以下幾個方面。

(1)信息截獲:主要表現(xiàn)為商業(yè)機密的截獲,包括兩個方面:一是交易雙方的交易內(nèi)容被第三方竊取;二是交易一方提供給另一方使用的文件被第三方非法使用。

(2)信息被篡改:包含兩個方面:一是網(wǎng)絡傳輸?shù)目煽啃?網(wǎng)絡的硬件或軟件出現(xiàn)問題而導致交易信息的丟失與謬誤;二是惡意破壞,計算機網(wǎng)絡本身遭到一些惡意程序的攻擊,而使電子商務信息遭到破壞。

(3)身份識別:涉及兩方面的問題:一是如果不進行識別,第三方就有可能假冒交易一方的身份,破壞交易或竊取交易成果;二是不可抵賴性,交易雙方對自己的行為應負有一定的責任,信息發(fā)送者和接受者都不能對此予以否認。

(4)信息破壞:電子商務的交易信息在網(wǎng)絡傳輸?shù)倪^程中,可能被他人非法修改、刪除或被多次使用,這樣就使信息失去了真實性和完整性。

2 數(shù)據(jù)加密技術(shù)

加密技術(shù)是電子商務最基本的信息安全防范措施,它利用一定的加密算法,將明文轉(zhuǎn)換成密文進行傳輸,從而確保數(shù)據(jù)的安全性。目前常用的數(shù)據(jù)加密技術(shù)主要有以下幾種。

2.1 對稱加密技術(shù)

即信息的發(fā)送方和接收方用同一密鑰去加密和解密數(shù)據(jù),也就是說加密和解密使用相同密鑰。它要求發(fā)送方和接收方在安全通信之前,商定一個密鑰。對稱密鑰算法的安全性依賴于密鑰,泄露密鑰就意味著任何人都能對消息進行加、解密。只要通信需要保密,密鑰就必須保密。著名的對稱加密算法有:美國國家標準局提出的DES ( DataEncryptionStandard,數(shù)據(jù)加密標準) 算法及其各種變形,如TripleDES(三重 DES) ,GDES(廣義DES)、NewDES和DES的前身Lucifer;歐洲的IDEA;日本的FEALN、LOKI 91、Skipjack、RC4、RC5以及以代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。在這些對稱加密算法中影響最大的是DES算法。

對稱密碼算法的優(yōu)點是計算開銷小,加密速度快,保密強度高,是目前用于信息加密的主要算法。它的缺陷主要有兩點:一是密鑰的傳遞和管理比較困難,對于具有n 個用戶的網(wǎng)絡,就需要n(n - 1)/2個密鑰,這對于分布廣、用戶多的大型網(wǎng)絡,密鑰的分配和保存就成了問題;二是它僅能用于對數(shù)據(jù)進行加解密處理,不能用于數(shù)字簽名。

2.2 非對稱加密技術(shù)

非對稱加密技術(shù)通常有兩個密鑰, 即公鑰和私鑰。加密和解密是相對獨立的,加密和解密會使用兩個不同的密鑰。加密密鑰向公眾公開,稱為公鑰,解密密鑰只有解密人自己知道,稱為私鑰。著名的公鑰密碼算法有:RSA、背包密碼、McEliec密碼、Diffe Hel1.零知識證明的算法、橢圓曲線、EIGamal算法等。最有影響的非對稱加密算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。

非對稱密碼體制的優(yōu)點是可以適應網(wǎng)絡的開放性要求,密鑰分配協(xié)議簡單,不存在對稱加密系統(tǒng)中密鑰的分配和保存問題,極大簡化了密鑰管理。它不僅可以作為加密算法使用,而且還可以用作數(shù)字簽名和對對稱加密的密鑰分配與管理;但其算法復雜,加密數(shù)據(jù)的速率較低,不適合用于對較長的信息進行加密;非對稱密鑰機制靈活,但加密和解密速度比對稱密鑰加密慢得多,所以它不適合于對文件進行加密,而只適用于對少量數(shù)據(jù)進行加密。

2.3 認證技術(shù)

目前,僅有加密技術(shù)不足以保證電子商務中的交易安全,身份認證技術(shù)是保證電子商務安全的又一重要技術(shù)手段。認證的實現(xiàn)包括數(shù)字摘要技術(shù)、數(shù)字簽名技術(shù)、數(shù)字信封技術(shù)、數(shù)字時間戳技術(shù)和數(shù)字證書技術(shù)等。

3 加密技術(shù)在電子商務中的應用

為了確保電子商務活動的安全性,就必須建立一套安全可靠的電子商務安全機制,該機制至少要解決以下幾個方面的問題:一是交易雙方的身份鑒別;二是交易活動中的不可否認性;三是交易數(shù)據(jù)的保密性和完整性;四是電子支付過程中每一個環(huán)節(jié)的安全。數(shù)據(jù)加密技術(shù)是構(gòu)建電子商務安全機制的基礎,它在構(gòu)建電子商務安全體系中主要有以下五個作用:一是通過數(shù)據(jù)加密可以保證非授權(quán)人員不能非法獲取信息。從而實現(xiàn)交易中信息的機密性;二是通過數(shù)字證書可以識別對方的身份;三是通過數(shù)字簽名保證交易過程中的不可抵賴性;四是通過數(shù)字摘要保證交易中信息的完整性;五是通過安全協(xié)議保證電子支付的安全性。

3.1 數(shù)字證書

在電子商務活動中,利用簽名數(shù)字證書就可以識別交易雙方的身份。數(shù)字證書一般包含以下一些內(nèi)容:證書的版本信息、 證書的序列號、每個用戶都有一個唯一的證書序列號、 證書所使用的簽名算法、證書的發(fā)行機構(gòu)名稱、證書的有效期、證書所有人的名稱、證書所有人的公開密鑰、證書發(fā)行者對證書的簽名等。數(shù)字證書主要是通過非對稱加密體制來實現(xiàn)的。每個用戶自己設定一把特定的僅為本人所知的私有密鑰。 用它來進行解密和簽名,同時設定一把公開密鑰并由本人公開,由一組用戶所共享,用于加密和驗證簽名。

3.2 數(shù)字簽名和數(shù)字摘要

數(shù)字簽名是通過非對稱加密體制實現(xiàn)的。 其基本原理是:發(fā)送方用私鑰對所傳輸?shù)膱笪募用?簽名),接收方用公鑰解密(核對簽名) 。由于數(shù)字簽名使用的是發(fā)送方 的私鑰進行簽名.事后發(fā)送方則無法抵賴其所發(fā)出的報文,從而實現(xiàn)了交易的不可抵賴性。

為了驗證信息的完整性,還可以使用數(shù)字摘要技術(shù)。 其要點是將要發(fā)送的報文通過HA SH加密算法計算出一個摘要值,將摘要值用發(fā)送方的私鑰簽名,再與原報文明文一起發(fā)送。接收方先用發(fā)送方的公鑰解密得到報文和摘明信息在傳輸過程中沒有被篡改,否則,信息已被非法用戶篡改。因為HASH算法可以保證只要原文被改動了任一個二進制碼就會導致摘要值的顯著變化。因此利用數(shù)字摘要和數(shù)字簽名,就可以解決信息傳輸?shù)耐暾院筒豢傻仲囆浴?/p>

3.3 數(shù)字信封

數(shù)字信封是一種綜合利用了對稱加密技術(shù)和非對稱加密技術(shù)兩者的優(yōu)點進行信息安全傳輸?shù)囊环N技術(shù)。數(shù)字信封既發(fā)揮了對稱加密算法加密速度快、安全性好的優(yōu)點,又發(fā)揮了非對稱加密算法密鑰管理方便的優(yōu)點。

3.4 電子支付過程中的安全協(xié)議

電子商務的顯著特征之一就是通過電子支付來實現(xiàn)交易過程中的支付環(huán)節(jié)。 為了保障電子支付過程中持卡人的賬戶信息不泄漏、不被盜用,交易各方就必須要建立并共同遵循用來解決電子商務交易安全的某種協(xié)議。目前,使用最廣泛的有 S E T協(xié)議和 S S L協(xié)議。

(1)SET協(xié)議。SET協(xié)議是由美國Visa和MasterCard兩大信用卡組織聯(lián)合國際上多家科技機構(gòu),共同制定的應用于Internet上的以銀行卡為基礎進行在線交易的安全標準,即“安全電子交易”(SecureElectronic TrasactionSET)。它采用了非對稱加密體制和X.509數(shù)字證書標準,主要應用于B to C模式中保障支付信息的安全性。它通過相應的軟件、數(shù)字證書、數(shù)字簽名和加密技術(shù),為電子交易各環(huán)節(jié)提供更大的信任度、更高的安全性和較少的欺詐性。

(2)SSL協(xié)議。 SSL(SecuresocketLayer,安全套接層協(xié)議),它包括:服務器認證、 客戶認證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。SSL協(xié)議也是使用非對稱加密體制和X.5 0 9數(shù)字證書技術(shù)。它主要用于應用程序協(xié)議之間的數(shù)據(jù)安全,能提供用戶和服務器的認證、數(shù)據(jù)傳送的機密性以及信息傳輸?shù)耐暾缘劝踩胧?。但SSL不對應用層的消息進行數(shù)字簽名,因此不能提供交易的不可否認性,即不能保證信息傳輸?shù)牟豢傻仲囆?這是SSL在電子商務中使用的最大不足。

4 結(jié)語

總的來說,目前電子商務交易的安全機制還不夠成熟,無法滿足迅速增長的電子商務需要。數(shù)據(jù)加密技術(shù)是信息安全的基本技術(shù),在網(wǎng)絡中的使用越來越廣泛。密碼技術(shù)的發(fā)展也將滲透到數(shù)字信息的每一個角落,與數(shù)據(jù)網(wǎng)絡、通信系統(tǒng)的安全緊密聯(lián)系在一起,提供更廣泛更有效的安全保護措施。