摘要】文章论述和分析了电子商务的安全性要求以及常用的加密技术,同时阐述了加密技术在电子商务安全方面的应用。 【关键词】电子商务;安全技术;数据加密技术
一、引言 当今时代,信息技术飞速发展,多媒体信息已成为人类获取信息的最主要载体,也成为电子信息领域技术开发和研究的热点。随着电子产品的功能越来越复杂,信息获取的安全性问题越发引起人们的关注。 电子商务指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动,它是近年来的一种新型市场营销方式。随着现代网络快速发展,电子商务得到了极大的推广。随着电子商务魅力的日渐显露,虚拟企业、虚拟银行、网络营销、网上购物、网上支付、网络广告等一大批前所未闻的新词汇正在为人们所熟悉和认同,这些词汇同时也从另一个侧面反映了电子商务正在对社会和经济产生的影响。 电子商务正在改变着人们的生活以及整个社会的发展进程,网络贸易将引起人们对管理模式、工作和生活方式,乃至经营管理思维方式等等的综合革新。 要实现完整的电子商务还会涉及到很多方面,除了买家、卖家外,还要有银行或金融机构、政府机构、认证机构、配送中心等机构的加入才行。由于参与电子商务中的各方在物理上是互不谋面的,因此整个电子商务过程并不是物理世界商务活动的翻版,网上银行、在线电子支付等条件和数据加密、数字签名等技术在电子商务中发挥着重要的不可或缺的作用。 二、电子商务中的安全性要求 当许多传统的商务方式应用在互联网上时,便会由此产生许多源于安全方面的问题。由于Intemet的开放性,使网上交易存在许多危险,一般来说商务安全中普遍存在着以下几种安全隐患: 1.窃取信息。如果没有采用加密措施,数据信息在网络上以明文形式传送,人侵者在数据传送过程中,通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。 2.冒充。网络中的非法用户可以冒充为接收方或发送方进行交易,这样就有可能破坏交易或者盗取交易成果等。 3.篡改信息。电子的交易信息在网上传输的过程中,可能被非法用户修改、删除或重放,这样就使信息失去了真实性和完整性。 4.否认。在电子交易过程中,由于商情发生变化,为了保护自己的利益,发送方或接收方不承认曾发送或接收过某一文件,这样就很有可能损害另一方的利益。 因此,在电子商务中,首先要对信息进行加密处理,保证信息不被窃取;还要能够确认交易双方的身份,保证交易双方不被非法用户冒充;同时还有保证交易文件的不可修改,以确保交易信息不被篡改;还要保证电子交易过程中信息的不可否认,以确保交易双方的公平和利益。 三、常用的数据加密技术 所谓加密就是通过密码算术对数据进行转化,使之成为没有正确密钥任何人都无法读懂的报文,阻止非法用户获取和理解原始数据,从而确保数据的保密性。而这些以无法读懂的形式出现的数据一般被称为密文。为了读懂报文,密文必须重新转变为它的最初形式明文。而含有用来以数学方式转换报文的双重密码就是密钥。 基于密钥的算法通常有两类:私钥加密算法和公钥加密算法。 (一)私钥加密算法 私钥加密算法也叫对称加密算法,其特征是收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。 用这种加密技术通信时,发送信函的一方用加密函数把明文加密,得到密文,然后把密文通过通信网络发给另一方;即使在通信信道中被攻击者截取,也无法理解信函的实际含义;而接收方收到密文后,可用解密函数解密,重新得到原明文,达到密码通信的目的。 目前广泛采用的私钥加密算法是数据加密标准DES(Data Encryption Standard),它是美国IBM公司研制的,后来被美国政府定为商业领域加密标准,现已经在全世界广泛使用。DES加密数据前先要随机生成一个64比特的密钥,每次加密64比特的明文,输出64比特的密文,最后把所有密文串接起来即成为完整的密文,解密则是运用相反的过程。因此,DES算法的安全性完全依赖于对密钥的保护。 私钥加密算法利用一个密钥对数据进行加密,对方接收到数据后,需要用同一密钥来进行解密。这种加密技术的特点是数学运算量小,加密速度快,其主要弱点在于密钥管理困难,其密钥必须通过安全的途径传送,而且一旦密钥泄露则直接影响到信息的安全性。 由于私钥加密技术中密钥的数目难于管理,一般不能提供信息完整性的鉴别等问题,为了弥补这些缺陷,人们又发明了公钥加密算法。 (二)公钥加密算法 公钥加密算法也叫非对称加密算法,其特征是收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导解密密钥。 用这种加密技术通信时,信息由一方发送到另一发,为了保护传输的明文信息不被第三方窃取,采用一个密钥A对要发送的信息进行加密而形成密文并且发送给接收方,接收方用另一把密钥B对密文解密,得到明文消息,从而完成密文通讯目的的方法。 RSA是公开密钥算法中的典型代表,它是由麻省理工学院的研究小组提出的,该体制的名称是用了3位作者英文名字的第一个字母拼合而成。RSA的密钥是成对使用的,即一次生成关联的一对密钥,其中一把称为公钥,可以公开地交给用户,无所谓泄密,另一把称为私钥,只能交给某个人专用,并且要严加保密。用公钥加密的数据只能用私钥解密,反之亦然,即自己加密的数据自己却不能解密,而且公钥和私钥之间相互不能直接推导,这是RSA算法的主要特点。 公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。 四、公开密钥系统的数字签名 在电子商务安全保密系统中,基于公钥密码体制的数字签名技术有着特别重要的地位,数字签名在信息安全,包括身份认证、数据完整性、不可否认性等方面, 特别是在大型网络安全通讯中的密钥分配、认证及电子商务系统中,具有重要作用。 在传统商务活动中,为了保证交易的安全与真实,一份书面合同或公文要由当事人或其负责人签字、盖章,以便让交易双方识别是谁签的合同,保证签字或盖章的人认可合同的内容,在法律上才能承认这份合同是有效的。而在电子商务的虚拟世界中,合同或文件是以电子文件的形式表现和传递的。在电子文件上,传统的手写签名和盖章是无法进行的,这就必须依靠技术手段来替代。能够在电子文件中识别双方交易人的真实身份,保证交易的安全性和真实性以及不可抵赖性。 使用加密技术的数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,它是一种类似于传统的手书签名或印章的电子标记,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的。 数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。 五、结语 电子商务尚是一个机遇和挑战共存的新领域,它的安全运行和不断发展,需要我们从技术角度进行防范,同时更多更快地把新技术应用进来,从而保证电子信息的健康稳定地发展。 【参考文献】 [1]卢开澄.计算机密码学(第3版)[M].北京:清华大学出版社,2003. [2]贾晶.信息系统的安全与保密[M].北京:清华大学出版社,2005. [3]赖溪松,韩亮,张真诚.计算机密码学及其应用[M].北京:国防工业出版社,2001. 【作者简介】董秋晓(1974- ),男,夏新电子股份有限公司工程师,研究方向:生产运作及供应链。
|