趙 莉

（云南昭通學(xué)院信息科學(xué)與技術(shù)學(xué)院 云南 657000）

0 引言

電子商務(wù)的核心是通過網(wǎng)絡(luò)技術(shù)來處理商業(yè)信息并開展交易，所以解決電子商務(wù)系統(tǒng)的硬件安全、軟件安全和系統(tǒng)安全等實體安全問題是實現(xiàn)電子商務(wù)安全的基礎(chǔ)。本文重點介紹加密技術(shù)，并就如何運用加密技術(shù)構(gòu)建電子商務(wù)安全機制進行探討。

1 加密技術(shù)

一個數(shù)據(jù)加密系統(tǒng)包括加密算法、明文、密文以及密鑰。一般來說，系統(tǒng)的保密性不依賴于算法的保密，而只依賴于密鑰。也就是說，雖然加密和解密算法是公開的，密碼分析者可以知道算法與密文，但由于并不知道密鑰，因此仍難于將密文還原為明文。根據(jù)密鑰的特點將密碼算法分為對稱加密和非對稱加密。

1.1 對稱加密

對稱加密也稱其為私鑰加密，即收發(fā)信雙方使用同一個密鑰來對數(shù)據(jù)進行加密和解密。常見的對稱加密算法有美國數(shù)據(jù)加密標(biāo)準(zhǔn)DES、高級加密標(biāo)準(zhǔn) AES和歐洲數(shù)據(jù)加密標(biāo)準(zhǔn)IDEA，目前廣泛使用的是3DES。對稱加密的流程如圖1所示。

圖1 對稱加密的流程

由于加密和解密的密鑰是同一個密鑰，因此通信雙方必須細(xì)心保存密鑰。通信雙方只要不將密鑰泄露出去，數(shù)據(jù)傳輸?shù)臋C密性和完整性就可得以實現(xiàn)。

對稱加密算法的優(yōu)點是對信息的編碼和解碼速度很快，效率也很高，是目前用于信息加密的主要算法。

它的缺陷主要有兩點：一是密鑰的傳遞和管理比較困難。每兩個人通信就要求一個密鑰，n個人彼此之間進行保密通信就需要n（n-1）/2個密鑰。對于用互聯(lián)網(wǎng)交換保密信息的每對用戶都需要一個密鑰，這時密鑰組合將會是一個天文數(shù)字，這對于密鑰的分配和保存就成了問題。二是對稱加密僅能用于對數(shù)據(jù)進行加密和解密處理，保證數(shù)據(jù)的機密性，但不能用于數(shù)字簽名。

1.2 非對稱加密

非對稱加密是針對對稱加密的缺陷而提出來的。在非對稱加密系統(tǒng)中，加密和解密使用兩個不同的密鑰。給別人用的、向公眾公開的加密密鑰就叫公鑰；給自己用的、用于解密用的解密密鑰就叫私鑰。用公鑰加密后的密文，只有私鑰才能解密。當(dāng)前最著名且應(yīng)用最廣泛的加密算法是 RSA，其安全性基于模運算的大整數(shù)質(zhì)因子分解問題的困難性。

非對稱加密由于加、解密的密鑰不同且能公開加密密鑰，所以公鑰密碼算法的密鑰管理和分配問題很簡單。例如具有 n個用戶的網(wǎng)絡(luò)，僅需要管理 2n 個密鑰，遠(yuǎn)遠(yuǎn)小于對稱密鑰的管理。其次由于既可用于加密也可以用于電字簽名因而適用于電子商務(wù)安全的需要。

最大的缺點是算法復(fù)雜、加密和解密數(shù)據(jù)的速率低，不適合用于對較長信息進行加解密，更多是用于加密密鑰。在實際應(yīng)用中通常將對稱加密系統(tǒng)和非對稱加密系統(tǒng)結(jié)合起來使用，比如：利用 DES來加密信息，而采用 RSA來傳遞對稱加密體制中的密鑰。

2 電子簽名技術(shù)

電子簽名技術(shù)采用電子簽名來模擬手寫簽名。電子簽名可以保證以下三點：一是接收者能夠核實發(fā)送者對電子文件的簽名；二是發(fā)送者事后不能抵賴對文件的簽名；三是接收者不能偽造對電子文件的簽名。目前電子簽名是通過非對稱加密體制實現(xiàn)的，最著名的電子簽名方法是Hash簽名，也稱為數(shù)字摘要法。

基本原理：發(fā)送方用私鑰對所傳輸?shù)膱笪募用埽ê灻?，接收方用公鑰解密（核對簽名）。由于數(shù)字簽名使用的是發(fā)送方的私鑰進行簽名，事后發(fā)送方則無法抵賴其所發(fā)出的報文，從而實現(xiàn)了交易的不可抵賴性。

具體操作：首先發(fā)送方將要發(fā)送的電子文件用Hash算法生成一個128比特的散列值（數(shù)字摘要），然后對數(shù)字摘要用發(fā)送方的私鑰做非對稱加密即電子簽名，再將以上的電子簽名、原電子文件、簽名證書的公鑰進行封裝后一并發(fā)送給接收方。其次接收方用發(fā)送方公鑰解密電子簽名導(dǎo)出數(shù)字摘要，再用同樣的 HASH 算法自行算出收到的電子文件的數(shù)字摘要，然后兩個數(shù)字摘要進行核對。如果兩個摘要相同則說明信息在傳輸過程中沒有被篡改，否則，信息已被非法用戶篡改。因為 HASH算法可以保證只要原文被改動任一個二進制碼就會導(dǎo)致摘要值的顯著變化。因此利用電子簽名技術(shù)可以解決信息傳輸?shù)耐暾院筒豢傻仲囆浴?/p>

3 數(shù)字證書

數(shù)字證書也被稱為CA證書，實際上是一串很長的數(shù)學(xué)編碼，包含有客戶的基本信息及CA的簽字，通常保存在計算機硬盤和IC卡中。數(shù)字證書一般是由CA認(rèn)證中心簽發(fā)，證明證書主體與證書中所包含的公鑰的唯一對應(yīng)關(guān)系。數(shù)字證書就是個人或組織在互聯(lián)網(wǎng)上的身份證。

數(shù)字證書主要是通過非對稱加密體制來實現(xiàn)的。每個用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰，用它來進行解密和簽名，同時設(shè)定一把公開密鑰并由本人公開，由一組用戶所共享，用于加密和驗證簽名。當(dāng)發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密。

利用數(shù)字證書①可以保證信息除發(fā)送方和接收方外不被其他人竊?。虎谛畔⒃趥鬏斶^程中不被篡改；③發(fā)送方能夠通過數(shù)字證書來確認(rèn)接收方的身份；④發(fā)送方對于自己發(fā)送的信息不能抵賴。

4 電子商務(wù)安全協(xié)議

使用最為廣泛的是SSL協(xié)議和SET協(xié)議。

4.1 SSL協(xié)議

SSL（Secure socket Layer，安全套接層協(xié)議）屬于傳輸層的安全機制，利用數(shù)據(jù)加密（Encryption）技術(shù)，確保數(shù)據(jù)在傳輸過程中不會被截取及竊聽，可以實現(xiàn)瀏覽器和服務(wù)器（通常是Web服務(wù)器）之間的安全通信。

SSL協(xié)議由兩個子協(xié)議構(gòu)成，即SSL記錄（Record）協(xié)議和SSL握手（Handshake）協(xié)議。前者定 義了會話中傳遞的所有數(shù)據(jù)項的基本格式，后者描述建立安全連接的過程。SSL握手協(xié)議是較SSL記錄協(xié)議更高層的協(xié)議，必須先執(zhí)行握手協(xié)議后，才可能實現(xiàn)SSL記錄協(xié)議中的加密和完整性校驗。

4.2 SET協(xié)議

SET協(xié)議是為在 Internet上進行在線交易而設(shè)立的一個開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET采用RSA密碼算法，利用公鑰體系對通信雙方進行認(rèn)證，用DES等標(biāo)準(zhǔn)加密算法對信息加密傳輸，并用散列函數(shù)來鑒別信息的完整性。

SET協(xié)議本身比較復(fù)雜，設(shè)計比較嚴(yán)格周密，提供了各個環(huán)節(jié)的安全協(xié)議，安全性高。它在保留SSL對客戶信用卡認(rèn)證的前提下，又增加了客戶對商家身份的認(rèn)證，確保了交易數(shù)據(jù)的安全、完整和可靠，特別是具有能保證不將消費者銀行卡信息暴露給商家等優(yōu)點，它為電子商務(wù)安全交易提供了一個重要的保障機制。因此，SET協(xié)議已成為了網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。

5 結(jié)語

網(wǎng)絡(luò)數(shù)據(jù)傳輸，攻擊者可以試圖對密文分析、破譯，攻擊密碼系統(tǒng)的薄弱環(huán)節(jié)，破獲密鑰打開密文。所以，絕對安全的電子商務(wù)運行環(huán)境是不存在的。但隨著電子商務(wù)安全問題進一步研究以及相關(guān)法律的制定，人們將會享受到更為安全、便捷的購物環(huán)境。

[1]周曙東.電子商務(wù)概論[M].南京：東南大學(xué)出版社.2011.

[2]俞立平.電子商務(wù)技術(shù)與實務(wù)[M].南京：東南大學(xué)出版社，2003.

[3]祁明.電子商務(wù)安全與保密[ M ].高等教育出版社.2001.