|
|
| 数据加密技术在电子商务安全中的应用 |
| (作者:CNETC 资料来源:上海网站建设网) |
一、引言
随着Intemet的不断发展,我们开始接触到一个新名词:电子商务(EC,Electronic Commerce),即电子交易。什么是电子商务?电子商务就是以数字化电子方式,以网络为媒体进行的商业数据交换或其他的商业活动。
Intemet正在改变我们访问和购买信息,通讯和支付服务费用等购物的方式,已经出现诸如网上帐单支付、股票经营、保险和家庭银行等金融服务,风起云涌的电子商务正掀起经济领域一次新的革命。由于这种新的完整的电子商务系统可以将内部网与Intemet连接,小至本企业的产品库存、购发货、帐款收支等商务运转,大至国家的政治、经济机密都将面临网上黑客与病毒的考验,因此,安全问题便成了电子商务生死攸关的首要问题。
二、电子商务交易中的不安全因素
当许多传统的商务方式应用在Intemet上时,便会带来许多源于安全方面的问题。由于Intemet的开放性,使网上交易存在许多危险,因此,就有了以下的几个安全性要求:⋯ 第一,信息保密性:交易中的信用卡帐号及用户名都要求进行加密处理,以防止由于信息丢失造成损失。第二,身份确认:由于交易双方都可能不知对方的身份,要使交易顺利进行,必须可以确认对方的身份,确认买卖双方都不是骗子。这是安全电子交易的前提。第三,信息的不可否认性:由于商情千变万化,交易一旦达成,是不能被否认的。否则,必然会损害某一方的利益。因此,在电子交易过程中的信息是不可否认的。第四,不可修复性:交易的文件也是不可修改的,以保证交易的严肃和公正。在Intemet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:
窃取信息。如果没有采用加密措施,数据信息在网络上以明文形式传送,人侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
篡改信息。电子的交易信息在网上传输的过程中,可能被他人非法地修改、删除或重放,这样就使信息失去了真实性和完整性。
假冒。由于掌握了数据的格式,通过篡改信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户很难分辨。另外,第三方有可能假冒交易一方的身份,以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。
恶意破坏。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏。由于攻击者甚至可以接人网络,对网络中的信息进行修改,或者潜入网络内部、其后果则更为严重。
三、数据加密技术及其算法
为了满足电子商务的安全要求,EC系统必须利用安全技术为EC活动参与者提供可靠的安全服务,主要包括:鉴别服务、访问控制服务、机密性服务、不可否认服务等。各种Ec安全服务都是通过安全技术来实现的。EC使用的主要安全技术包括:加密、数字签名、电子证书、电子信封和双重签名等。
采用加密技术对数据进行加密,是最常用的安全手段。加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户获取和理解原始数据,从而确保数据的保密性。明文变成密文的过程称为加密,由密文还原成明文的使用加解密可变参数叫做密钥。基于密钥的算法通常有两类:私钥加密算法和公钥加密算法。
1.私钥加密算法
私钥加密算法,就是加密密钥能够从解密密钥中推算出来,反过来也成立。大多数对称算法中,加、解密的密钥是相同的,这些算法也称为秘密密钥算法或单密钥算法。用这种加密技术通信时,发送信函的一方用加密函数E把明文M加密,得到密文C,然后把密文通过通信网络发给另一方;即使在通信信道中被攻击者截取,也无法理解信函的实际含义;而接收方收到密文C后,可用解密函数D解密,重新得到原明文M,达到密码通信的目的。
目前广泛采用的私钥加密方式之一是数据加密标准DES(Data Encryption Standard),是由美国国家标准局提出,主要应用于银行业中的电子资金转帐(ElZr)领域。DES主要采用替换和移位的方法,使用56位密钥每次处理64位数据,运算速度快,易于用软件实现,也适用在专用芯片上实现。
由于私钥加密技术中密钥的数目难于管理,一般不能提供信息完整性的鉴别等问题,为了弥补这些缺陷,人们又发明了公钥加密算法。
2.公钥加密算法
公钥密码体制不同于私钥密码体制,它要求密钥成对出现,一个为加密密钥(Ke),一个为解密密钥(Kd),而且由已知的Ke推导出秘密保存的Kd在计算机上是不可能的。
由于公钥加密算法加密机理固有的系统健壮性和良好公开性,其一经产生就获得了广泛应用,目前比较流行的是RSA算法,其数理机理是利用两个很大的质数相乘所产生的乘积来加密,这两个质数无论哪一个先与原文件编码相乘,对文件加密,均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数,则是十分困难的。因此将这一对质数称为密钥对。
RSA存在的主要问题是算法的运算速度较慢。因此,在实际的应用中,通常使用公钥密码体制交换密钥,而利用私钥密码体制传递正文。除了加密功能外,公钥系统还可以提供数字签名。
四、加密技术在电子商务中的应用
随着网络技术的发展,对网络传输过程中信息的保密性提出了更高的要求,这些要求主要包括:对敏感的文件进行加密;保证数据的完整性,防止截获人在文件中加入其他信息;对数据和信息的来源进行验证,以确保发信人的身份。
现在业界普遍通过采用秘密密钥加密系统(SecretKey Eneryption)或者两种密钥相结合的方式来满足以上要求,以求信息的安全认证。
1.钥体制的信息认证
基于秘密密钥体制的信息认证是一种传统的信息来源认证方法。这种认证方法基本原理是,需要通信的甲乙双方共同约定一个口令或一组密码,即建立一个通信双方共享的密钥。
2.公开密钥算法身份认证
网络身份认证又叫网络身份鉴别,主要是指在揭示敏感信息或进行事务处理之前对对方身份的确认,即鉴别对方的真实性。
3.公开密钥系统的数字签名
在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务中,完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力。
数字签名是用几个字符串来代替书写签名或印章,起到与书写签名或印章同样的法律效用。应用广泛的数字签名方法主要有三种,即:lISA签名、DSS签名和Hash签名。
数字签名是公开密钥技术的一种应用,是指用发送方的私有密钥加密报文摘要,然后将其与原始的信息附加在一起,合称为数字签名。通过数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法,普遍用于银行、电子贸易等,以解决伪造、抵赖、冒充、篡改等问题。
五、结语
电子商务尚是一个机遇和挑战共存的新领域,这种挑战不仅来源于传统的习惯,来源于计划体制和市场体制的冲突、更来源于对可使用的安全技术的信赖。因此,电子商务的安全运行,不仅要从技术角度进行防范,更要从法律角度加强,从而保证电子商务快速健康地发展。
|
相关链接:上海网站建设 网站建设 上海网络公司
您有网站设计需求?与联系我们,设计中心为您提供专业网站建设服务。
|
| 关闭窗口 |
|
| |
|
|
上海奥邦装饰
上海奥邦装饰设计有限公司是一家从事建筑室内装饰设计及施工的专业化公司,主要从事中高档的家庭、别墅、办公楼宇、商业空间的装饰设计与施工。 |
|
|
上海医药人
www.yd120.com已成为上海滩最具规模和深度的医药专业网站。 |
|
|
威盛亚(上海)有限公司(世界500强)
早在1956年春天,也就是艾森豪威尔进入美国白宫的日子,拉尔夫.威尔森在美国德克萨斯州的Temple镇,创办了同名的高压装饰耐火板公司。 |
|
|
知识中心
