張 睿

[摘要]隨著現(xiàn)代計算機網(wǎng)絡迅猛發(fā)展，電子商務得到了極大的推廣，同時各種數(shù)據(jù)的安全問題也顯得突出起來。其中電子數(shù)據(jù)的機密性是電子商務中不可或缺的重要環(huán)節(jié)，而加密技術是保證電子商務安全的重要措施，重點討論電子商務的加密技術以及加密技術的實現(xiàn)方法，并分析比較主要加密方法的優(yōu)劣。

[關鍵詞]電子商務加密技術網(wǎng)絡安全

中圖分類號：TP-9文獻標識碼：A文章編號:1671—7597(2009)10100087—01

一、引言

電子商務是以網(wǎng)絡為平臺，以信息技術為手段，以經(jīng)濟效益為中心的現(xiàn)代化商業(yè)運轉模式，目標是實現(xiàn)商務活動的網(wǎng)絡化、自動化與智能化。電子商務改變了企業(yè)的經(jīng)營理念、管理方式和支付手段。網(wǎng)絡營銷、網(wǎng)上采購和電子支付成為電子商務的必要環(huán)節(jié)，極大地縮短了企業(yè)生產(chǎn)周期，降低了生產(chǎn)成本，增強了企業(yè)對市場的反應能力。如何保證電子商務活動的安全，為之提供行之有效的保障是當今的研究熱點之一。

二、電子商務信息的加密技術

加密技術通常分為兩大類：“對稱式”和“非對稱式”。

(一)對稱式加密。對稱式加密就是加密和解密使用同一個密鑰，通常稱之為“Session Key”，這種加密技術目前被廣泛采用，如美國政府所采用的DES加密標準就是一種典型的“對稱式”加密法，它的Session Key長度為56Bits。使用對稱加密方法將簡化加密的處理，貿(mào)易雙方都不必彼此研究和交換專用的加密算法，而是采用相同的加密算法并只交換共享的專用密鑰。對稱加密技術采用相同密鑰，要求貿(mào)易雙方共同保守秘密，以及存在著在通信的貿(mào)易雙方之間確保密鑰安全交換的問題。此外，當某一貿(mào)易方有“n”個貿(mào)易關系，那么他就要維護“n”個專用密鑰(即每把密鑰對應一貿(mào)易方)。貿(mào)易雙方共享同一把專用密鑰，貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。

(二)非對稱式加密。在非對稱加密體系中，密鑰被分解為一對，即一把公開密鑰和一把專用密鑰。這對密鑰中的任何二把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對機密性的加密，專用密鑰則用于對加密信息的解密。專用密鑰只能由生成密鑰對的貿(mào)易方掌握，公開密鑰可廣泛發(fā)布，但它只對應于生成該密鑰的貿(mào)易方。因為對稱式的加密方法如果是在網(wǎng)絡上傳輸加密文件就很難把密鑰告訴對方，不管用什么方法都有可能被別竊聽到。而非對稱式的加密方法有兩個密鑰，且其中的“公鑰”是可以公開的，也就不怕別人知道，收件人解密時只要用自己的私鑰即可以，這樣就很好地避免了密鑰的傳輸安全性問題。

三、基于加密技術的電子商務安全管理手段

(一)身份認證技術。類似數(shù)字簽名技術的還有一種身份認證技術，有些站點提供入站FTP和WWW服務，當然用戶通常接觸的這類服務是匿名服務，用戶的權力要受到限制，但也有的這類服務不是匿名的，如某公司為了信息交流提供用戶的合作伙伴非匿名的FTP服務，或開發(fā)小組把他們的Web網(wǎng)頁上載到用戶的WWW服務器上，現(xiàn)在的問題就是，用戶如何確定正在訪問用戶的服務器的人就是用戶認為的那個人，身份認證技術就是一個好的解決方案。

(二)電子商務數(shù)字證書。數(shù)字證書或公鑰證書是由認證機構簽署的，其中含有掌握相應密鑰的持證者的確切身份或其它屬性。數(shù)字證書是將公鑰體制用于大規(guī)模安全電子商務的基本要素。認證機構(CA)作為電子商務交易中受信任的第三方，認證機構的職能是發(fā)放和管理用戶的數(shù)字證書。在開展網(wǎng)絡交易時，應向?qū)Ψ教峤灰粋€由cA簽發(fā)的包貪個人身份的證書，以使對方相信自己的身份。顧客向cA申請證書時，可提交自己的執(zhí)照、身份證或護照，經(jīng)驗證后，頒發(fā)證書，以此作為網(wǎng)上證明自己身份的依據(jù)。

四、加密技術在電子商務方面的應用

電子商務要求顧客可以在網(wǎng)上進行各種商務活動，不必擔心自己的信用卡會被人盜用。在過去，用戶為了防止信用卡的號碼被竊取到，一般是通過電話訂貨，然后使用用戶的信用卡進行付款?，F(xiàn)在人們開始用RSA(一種公開／私有密鑰)的加密技術，提高信用卡交易的安全性，從而使電子商務走向?qū)嵱贸蔀榭赡堋?/p>

NETSCAPE公司提供了一種基于RSA和保密密鑰的應用于因特網(wǎng)的技術，被稱為安全插座層(secure Sockets Layer，SSL)。SSL不但提供編程界面，而且向上提供一種安全的服務，SSL3.0現(xiàn)在已經(jīng)應用到了服務器和瀏覽器上，SSL3.0用一種電子證書(electric certificate)來實行身份進行驗證后，雙方就可以用保密密鑰進行安全的會話了。它同時使用“對稱”和“非對稱”加密方法，在客戶與電子商務的服務器進行溝通的過程中，客戶會產(chǎn)生一個Session Key，然后客戶用服務器端的公鑰將Session Key進行加密，再傳給服務器端，在雙方都知道Session Key后，傳輸?shù)臄?shù)據(jù)都是以Session Key進行加密與解密的，但服務器端發(fā)給用戶的公鑰必需先向有關發(fā)證機關申請，以得到公證。

五、混沌技術在電子商務安全中的應用分析

從電子商務活動的全過程來看，以下三個方面極為重要：1，交易雙方或多方的身份認證；2，交易過程中信息的保密；3，交易完成后參與各方不能對交易的結果進行抵賴。而這些過程均是建立在加密算法基礎之上的。當前傳統(tǒng)的加密算法如三重DES、AES等大多來自于美國的標準，其中是否存在安全“后門”尚有爭議，而且常常受到出口的限制。為此，引入各種新的技術，研究具有我國自主知識產(chǎn)權的加密算法，對促進我國電子商務的發(fā)展具有十分重要的意義。

混沌密碼學的發(fā)展為混沌技術廣泛應用于電子商務奠定了很好的基礎。自上世紀80年代開始將混沌應用于信息加密以來，混沌密碼學作為一門新興的學科發(fā)展迅速，在該領域內(nèi)已取得了不少的研究成果。

1，利用混沌同步技術進行信息保密通信；

2，利用混沌迭代產(chǎn)生的偽隨機序列來構建對稱的序列密碼系統(tǒng)和分組密碼系統(tǒng)；

3，利用一些特殊的混沌映射如Chebyshevy映射來構建非對稱的加密系統(tǒng)；

4，利用混沌映射構建hash函數(shù)、s盒等。

身份認證、防止信息竄改，以及數(shù)字簽名是電子商務中非常重要的過程，它們均是建立在加密算法、hash函數(shù)基礎之上的。從當前混沌密碼學研究的成果來看，以混沌技術為基礎，設計各種加密算法和hash函數(shù)是完全可行的，并且能最終構建滿足電子商務安全需要的方案。