電子商務(wù)安全解決方案的探討

1、 頂電子商務(wù)安全解決方案的探討2010-8-20 16:32閱讀 (3)關(guān)于電子商務(wù)安全解決方案的探討內(nèi)容摘要 : 本文通過(guò)對(duì)私有密鑰加密法和公開密鑰加密法的算法原理進(jìn)行分析 , 闡述了兩種加密法在 網(wǎng)絡(luò)支付中的具體 應(yīng)用過(guò)程 , 并對(duì)兩種加密法的優(yōu)缺點(diǎn)進(jìn)行了比較。關(guān)鍵詞 : 電子商務(wù) ; 網(wǎng)絡(luò)銀行 ; 私有密鑰加密法 ; 公開密鑰加密法對(duì)數(shù)據(jù)進(jìn)行有效加密與解密 , 稱為密碼技術(shù) , 即數(shù)據(jù)機(jī)密性技術(shù)。其目的是為了隱蔽數(shù)據(jù)信息 , 將明文偽裝成密文 , 使機(jī)密性數(shù)據(jù)在網(wǎng)絡(luò)上安全地傳遞而不被非法用戶截取和破譯。 偽裝明文的操作稱為加密 , 合法接收者將密文恢復(fù)出原明文的過(guò)程稱為解密 , 非法接收

2、者將密文恢復(fù)出原明文的過(guò)程稱為破譯。 密碼是明文和加密密鑰相結(jié)合 , 然后經(jīng)過(guò)加密算法運(yùn)算的結(jié)果。加密包括兩個(gè)元素 , 加密算法和密鑰。 加密時(shí)所使用的信息變換規(guī)則稱為加密算法 , 是用來(lái)加密的 數(shù)學(xué)函數(shù) , 一個(gè)加密算法是將普通的文本 ( 或者可以理解的信息 ) 與一串字符串即密鑰結(jié)合運(yùn)算 , 產(chǎn)生不可理解的密文的步驟。密鑰是借助一種數(shù)學(xué)算法生成的 , 它通常是由數(shù)字、 字母或特殊符號(hào)組成的一組隨機(jī)字符串 , 是控制明文和密文變換的唯一關(guān)鍵參數(shù)。 對(duì)于相同的加密算法 , 密鑰的位數(shù)越多 , 破譯的難度就越大 , 安全性就越好。目前 , 電子商務(wù)通信中常用的有私有 ( 對(duì)稱 ) 密鑰加密法和公

3、開 ( 非對(duì)稱 ) 密鑰加密法。一、私有密鑰加密法(一)定義私有密鑰加密 , 指在計(jì)算機(jī)網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時(shí) , 發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取 , 采用密鑰 A對(duì)信息進(jìn)行加密而形成密文 M并發(fā)送給接收方乙 , 接收方乙用同樣的一把密鑰 A 對(duì)收到的密文 M進(jìn)行解密 , 得到明文信息 , 從而完成密文通信目的的方法。 這種信息加密傳輸方式 , 就稱為私有密鑰加密法。 上述加密法的一個(gè)最大特點(diǎn)是 , 信息發(fā)送方與信息接收方均需采用同樣的密鑰 , 具有對(duì)稱性 , 所以私有密鑰加密又稱為對(duì)稱密鑰加密。( 二) 使用過(guò)程具體到電子商務(wù) , 很多環(huán)節(jié)要用到私有密鑰加密法。例如

4、, 在兩個(gè)商務(wù)實(shí)體或兩個(gè)銀行之間進(jìn)行資金的支付結(jié)算時(shí), 涉及大量的資金流信息的傳輸與交換。這里以發(fā)送方甲銀行與接收方乙銀行的一次資金信息傳輸為例 , 來(lái)描述應(yīng)用私有密鑰加密法的過(guò)程 : 銀行甲借助專業(yè)私有密鑰加密算法生成私有密鑰 A, 并且復(fù)制一份密鑰 A借助一個(gè)安全可靠通道 ( 如采用數(shù)字信封 ) 秘密傳遞給銀行乙 ; 銀行甲在本地利用密鑰 A把信息明文加密成信息密文 ; 銀行甲把信息密文借助網(wǎng)絡(luò)通道傳輸給銀行乙 ; 銀行乙接受信息密文 ; 銀行乙在本地利用一樣的密鑰 A 把信息密文解密成信息明文。 這樣銀行乙就知道銀行甲的資金轉(zhuǎn)賬通知單的內(nèi)容 , 結(jié)束通信。( 三) 常用算法世界上一些專業(yè)

5、組織機(jī)構(gòu)研發(fā)了許多種私有密鑰加密算法 , 比較著名的有 D ES算法及其各種變形、 國(guó)際數(shù)據(jù)加密算法 IDEA 等。DES算法由美國(guó)國(guó)家標(biāo)準(zhǔn)局提出 , 1977 年公布實(shí)施 , 是目前廣泛采用的私有密鑰加密算法之一 , 主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬、軍事定點(diǎn)通信等領(lǐng)域, 比如電子支票的加密傳送。經(jīng)過(guò) 20 多年的使用 , 已經(jīng)發(fā)現(xiàn) DES很多不足之處 , 隨著計(jì)算機(jī)技術(shù)進(jìn)步 , 對(duì) DES的破解方法也日趨有效 , 所以更安全的高級(jí)加密標(biāo)準(zhǔn) AES將會(huì)替代 DES成為新一代加密標(biāo)準(zhǔn)。( 四) 優(yōu)缺點(diǎn)私有密鑰加密法的主要優(yōu)點(diǎn)是運(yùn)算量小 , 加解密速度快 , 由于加解密應(yīng)用同一把密鑰而應(yīng)用簡(jiǎn)單。

6、在專用網(wǎng)絡(luò)中由于通信各方相對(duì)固定、所以應(yīng)用效果較好。但是 , 私有密鑰加密技術(shù)也存在著以下一些問(wèn)題 : 一是分發(fā)不易。由于算法公開 , 其安全性完全依賴于對(duì)私有密鑰的保護(hù)。因此 , 密鑰使用一段時(shí)間后就要更換 , 而且必須使用與傳遞加密文件不同的途徑來(lái)傳遞密鑰 , 即需要一個(gè)傳遞私有密鑰的安全秘密渠道 , 這樣秘密渠道的安全性是相對(duì)的 , 通過(guò)電話通知、郵寄軟盤、專門派人傳送等方式均存在一些問(wèn)題。二是 管理復(fù)雜 , 代價(jià)高昂。私有密鑰密碼體制用于公眾通信網(wǎng)時(shí) , 每對(duì)通信對(duì)象的密鑰不同 , 必須由不被第三者知道的方式 , 事先通知對(duì)方。隨著通信對(duì)象的增加 , 公眾通信網(wǎng)上的密碼使用者必須保存所

7、有通信對(duì)象的大量的密鑰。 這種大量密鑰的分配和保存 , 是私有密鑰密碼體制存在的最大問(wèn)題。三是難以進(jìn)行用戶身份的認(rèn)定。采用私有密鑰加密法實(shí)現(xiàn)信息傳輸 , 只是解決了數(shù)據(jù)的機(jī)密性問(wèn)題 , 并不能認(rèn)證信息發(fā)送者的身份。若密鑰被泄露 , 如被非法獲取者猜出 , 則加密信息就可能被破譯 , 攻擊者還可用非法截取到的密鑰 , 以合法身份發(fā)送偽造信息。 在電子商務(wù)中 , 有可能存在欺騙 , 別有用心者可能冒用別人的名義發(fā)送資金轉(zhuǎn)賬指令。因此 , 必須經(jīng)常更換密鑰 ,以確保系統(tǒng)安全。 四是采用私有密鑰加密法的系統(tǒng)比較脆弱 , 較易遭到不同密碼分析的攻擊。五是它僅能用于對(duì)數(shù)據(jù)進(jìn)行加解密處理 , 提供數(shù)據(jù)的機(jī)密

8、性 , 不能用于數(shù)字簽名。 論文網(wǎng) LunWenNet.Com二、公開密鑰加密法( 一) 定義與應(yīng)用原理公開密鑰加密法是針對(duì)私有密鑰加密法的缺陷而提出來(lái)的。是電子商務(wù)應(yīng)用的核心密碼技術(shù)。所謂公開密鑰加密 , 就是指在計(jì)算機(jī)網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時(shí) , 發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取 , 采用密鑰A 對(duì)信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙 , 接收方乙用另一把密鑰B 對(duì)收到的密文 M進(jìn)行解密 , 得到明文信息完密文通信目的的方法。由于密鑰 A、密鑰 B 這兩把密鑰中其中一把為用戶私有 , 另一把對(duì)網(wǎng)絡(luò)上的大眾用戶是公開的 , 所以這種信息加密傳輸方式 , 就稱為公開密

9、鑰加密法。 與私有 ( 對(duì)稱 ) 密鑰加密法的加密和解密用同一把密鑰的原理不同 , 公開密鑰加密法的加密與解密所用密鑰是不同的 , 不對(duì)稱 , 所以公開私有密鑰加密法又稱為非對(duì)稱密鑰加密法。公開密鑰加密法的應(yīng)用原理是 : 借助密鑰生成程序生產(chǎn)密鑰 A 與密鑰 B, 這兩把密鑰在數(shù)學(xué)上相關(guān) , 對(duì)稱作密鑰對(duì)。用密鑰對(duì)其中任何一個(gè)密鑰加密時(shí) , 可以用另一個(gè)密鑰解密 , 而且只能用此密鑰對(duì)其中的另一個(gè)密鑰解密。 在實(shí)際應(yīng)用中 , 某商家可以把生成的密鑰 A 與密鑰 B 做一個(gè)約定 , 將其中一把密鑰如密鑰 A 保存好 , 只有商家自己知道并使用 , 不與別人共享 , 叫作私人密鑰 ; 將另一把密鑰

10、即密鑰 B 則通過(guò)網(wǎng)絡(luò)公開散發(fā)出去 , 誰(shuí)都可以獲取一把并能應(yīng)用 , 屬于公開的共享密鑰 , 叫做公開密鑰。如果一個(gè)人選擇并公布了他的公鑰 , 其他任何人都可以用這一公鑰來(lái)加密傳送給那個(gè)人的消息。 私鑰是秘密保存的 , 只有私鑰的所有者才能利用私鑰對(duì)密文進(jìn)行解密 , 而且非法用戶幾乎不可能從公鑰推導(dǎo)出私鑰。 存在下面兩種應(yīng)用情況 : 一是任何一個(gè)收到商家密鑰 B 的客戶 , 都可以用此密鑰 B 加密信息 , 發(fā)送給這個(gè)商家 , 那么這些加密信息就只能被這個(gè)商家的私人密鑰 A 解密。實(shí)現(xiàn)保密性。二是商家利用自己的私人密鑰 A 對(duì)要發(fā)送的信息進(jìn)行加密進(jìn)成密文信息 , 發(fā)送給商業(yè)合作伙伴 , 那么這

11、個(gè)加密信息就只能被公開密鑰 B 解密。這樣 , 由于只能應(yīng)用公開密鑰 B 解密 , 根據(jù)數(shù)學(xué)相關(guān)關(guān)系可以斷定密文的形成一定是運(yùn)用了私人密鑰 A 進(jìn)行加密的結(jié)果 , 而私人密鑰 A 只有商家擁有 , 由此可以斷定網(wǎng)上收到的密文一定是擁有私人密鑰 A 的商家發(fā)送的。( 二) 使用過(guò)程具體到電子商務(wù) , 很多環(huán)節(jié)要用到公開密鑰加密法 , 例如在網(wǎng)絡(luò)銀行客戶與銀行進(jìn)行資金的支付結(jié)算操作時(shí) , 就涉及大量的資金流信息的安全傳輸與交換。以客戶甲與乙網(wǎng)絡(luò)銀行的資金信息傳輸為例 , 來(lái)描述應(yīng)用公開密鑰加密法在兩種情況下的使用過(guò)程。首先 , 網(wǎng)絡(luò)銀行乙通過(guò)公開密鑰加密法的密鑰生成程序 , 生成自己的私人密鑰 A

12、 與公開密鑰 B 并數(shù)學(xué)相關(guān) , 私人密鑰 A 由網(wǎng)絡(luò)銀行乙自己獨(dú)自保存 , 而公開密鑰 B 已經(jīng)通過(guò)網(wǎng)絡(luò)某種應(yīng)用形式 ( 如數(shù)字證書 ) 分發(fā)給網(wǎng)絡(luò)銀行的眾多客戶 , 當(dāng)然客戶甲也擁有一把網(wǎng)絡(luò)銀行乙的公開密鑰 B。1、客戶甲傳送一“支付通知”給網(wǎng)絡(luò)銀行乙 , 要求“支付通知”在傳送中是密文 , 并且只能由網(wǎng)絡(luò)銀行乙解密知曉 , 從而實(shí)現(xiàn)了定點(diǎn)保密通信?？蛻艏桌毛@得的公開密鑰 B 在本地對(duì)“支付通知”明文進(jìn)行加密 , 形成“支付通知”密文 , 通過(guò)網(wǎng)絡(luò)將密文傳輸給網(wǎng)絡(luò)銀行乙。網(wǎng)絡(luò)銀行乙收到“支付通知”密文后 , 發(fā)現(xiàn)只能用自己的私人密鑰 A 進(jìn)行解密形成“支付通知”明文 , 斷定只有自己知曉

13、“支付通知”的內(nèi)容 , 的確是發(fā)給自己的。2、網(wǎng)絡(luò)銀行乙在按照收到的“支付通知”指令完成支付轉(zhuǎn)賬服務(wù)后 , 必須回送客戶甲“支付確認(rèn)” , 客戶甲在收到“支付確認(rèn)”后 , 斷定只能是網(wǎng)絡(luò)銀行乙發(fā)來(lái)的 , 而不是別人假冒的 , 將來(lái)可作支付憑證 , 從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)銀行業(yè)務(wù)行為的認(rèn)證 , 網(wǎng)絡(luò)銀行不能隨意否認(rèn)或抵賴。 網(wǎng)絡(luò)用戶乙在按照客戶甲的要求完成相關(guān)資金轉(zhuǎn)賬后 , 準(zhǔn)備一個(gè)“支付確認(rèn)”明文 , 在本地利用自己的私人密鑰 A 對(duì)“支付確認(rèn)”明文進(jìn)行加密 , 形成“支付確認(rèn)”密文 , 通過(guò)網(wǎng)絡(luò)將密文傳輸給客戶甲?？蛻艏资盏健爸Ц洞_認(rèn)”密文后 , 雖然自己有許多密鑰 , 有自己的 , 也有別人的 ,

14、 卻發(fā)現(xiàn)只能用獲得的網(wǎng)絡(luò)銀行乙的公開密鑰 B 進(jìn)行解密 , 形成“支付確認(rèn)”明文 , 由于公開密鑰 B 只能解密由私人密鑰 A 加密的密文 , 而私人密鑰 A 只有網(wǎng)絡(luò)銀行乙所有 , 因此客戶甲斷定這個(gè)“支付確認(rèn)”只能是網(wǎng)絡(luò)銀行乙發(fā)來(lái)的 , 不是別人假冒的 , 可作支付完成的憑證。(三)算法當(dāng)前最著名、應(yīng)用最廣泛的公開密鑰系統(tǒng)是RSA (取自三個(gè)創(chuàng)始人的名字的第一個(gè)字母 ) 算法。目前電子商務(wù)中大多數(shù)使用公開密鑰加密法進(jìn)行加解密和數(shù)字簽名的產(chǎn)品和標(biāo)準(zhǔn)使用的都是RSA算法。 RSA算法是基于大數(shù)的因子分解, 而大數(shù)的因子分解是數(shù)學(xué)上的一個(gè)難題, 其難度隨數(shù)的位數(shù)加多而提高。( 四) 優(yōu)缺點(diǎn)優(yōu)點(diǎn)是

15、可以在不安全的媒體上通信雙方交換信息, 不需共享通用密鑰 , 用于解密的私鑰不需發(fā)往任何地方 , 公鑰在傳遞與發(fā)布過(guò)程中即使被截獲 , 由于沒(méi)有與公鑰相匹配的私鑰 , 截獲公鑰也沒(méi)有意義。能夠解決信息的否認(rèn)與抵賴問(wèn)題 , 身份認(rèn)證較為方便。密鑰分配簡(jiǎn)單 , 公開密鑰可以像電話號(hào)碼一樣 , 告訴每一個(gè)網(wǎng)絡(luò)成員 , 商業(yè)伙伴需要好好保管的只是一個(gè)私人密鑰。而且密鑰的保存量比起私人密鑰加密少得多 , 管理較為方便。最大的缺陷就在于它的加解密速度。三、兩種加密法的比較通過(guò) DES算法和 RSA算法的比較說(shuō)明公開密鑰加密法和私有密鑰加密法的區(qū)別 : 在加密、解密的處理效率方面 , DES 算法明顯優(yōu)于

16、RSA 算法 , 即 DES算法快得多 ; 在密鑰的分發(fā)與管理方面 , RSA 算法比 DES算法更加優(yōu)越 ; 在安全性方面 , 只要密鑰夠長(zhǎng) , 如 112b 密鑰的 DES算法和 1024b的 RSA算法的安全性就很好 , 目前還沒(méi)找到在可預(yù)見(jiàn)的時(shí)間內(nèi)破譯它們的有效方法 ; 在簽名和認(rèn)證方面 ,DES 算法從原理上不可能實(shí)現(xiàn)數(shù)字簽名和身份認(rèn)證 , 但 RSA算法能夠方便容易的進(jìn)行數(shù)字簽名和身份認(rèn)證。基于以上比較的結(jié)果可以看出, 私有密鑰加密法與公開密鑰加密法各有長(zhǎng)短 , 公開密鑰加密在簽名認(rèn)證方面功能強(qiáng)大 , 而私有密鑰加密在加 / 解密速度方面具有很大優(yōu)勢(shì)。 為了充分發(fā)揮對(duì)稱加密法和非對(duì)

17、稱加密法各自的優(yōu)點(diǎn) , 在實(shí)際應(yīng)用中通常將這兩種加密法結(jié)合在一起使用 , 比如 : 利用 DES來(lái)加密信息 , 而采用RSA 來(lái)傳遞對(duì)稱加密體制中的密鑰。 這樣不僅數(shù)據(jù)信息的加解密速度快 , 同時(shí)保障了密鑰傳遞的安全性。 數(shù)據(jù)加密技術(shù)是信息安全的基本技術(shù) , 在網(wǎng)絡(luò)中使用的越來(lái)越廣泛。 針對(duì)不同的業(yè)務(wù)要求可以設(shè)計(jì)或采取不同的加密技術(shù)及實(shí)現(xiàn)方式。另外還要注意的是 , 數(shù)據(jù)加密技術(shù)所討論的安全性只是暫時(shí)的 , 因此還要投入對(duì)密碼技術(shù)新機(jī)制、新理論的研究才能滿足不斷增長(zhǎng)的信息安全需求。論文網(wǎng)W參考文獻(xiàn) : 1丁學(xué)君 . 電子商務(wù)中的信息安全問(wèn)題及其對(duì)策 J .計(jì)算機(jī)安全 ,2009, (2). 2余

18、紹軍 , 彭銀香 . 電子商務(wù)安全與數(shù)據(jù)加密技術(shù)淺析 J . 中國(guó)管理信息化 ( 綜合版 ) , 2007, (04). 3 王俊杰 .電子商務(wù)安全問(wèn)題及其應(yīng)對(duì)策略 J .特區(qū)經(jīng)濟(jì) ,2007,(07). 4 秦昌友 .淺析電子商務(wù)的安全技術(shù) J .蘇南科技開發(fā) ,2007, (08). 5 吳德佩 , 趙丹 . 電子商務(wù)的安全問(wèn)題及技術(shù)手段 J . 光盤技術(shù) , 2 007, (05).出師表兩漢：諸葛亮先帝創(chuàng)業(yè)未半而中道崩殂，今天下三分，益州疲弊，此誠(chéng)危急存亡之秋也。然侍衛(wèi)之臣不懈于內(nèi)，忠志之士忘身于外者，蓋追先帝之殊遇，欲報(bào)之于陛下也。誠(chéng)宜開張圣聽(tīng)，以光先帝遺德，恢弘志士之氣，不宜妄自菲薄，引喻失義，以塞忠諫之路也。宮中府中，俱為一體；陟罰臧否，不宜異同。若有作奸犯科及為忠善