密碼技術在電子商務安全領域中的應用

2014-10-07 15:28:26 大云網　點擊量：評論 (0)

摘　要：電子商務作為一種商務模式，改變著人們生活以及整個社會的發展進程，已經逐漸成為人們進行商務活動的新模式，特別是在近年獲得了巨大發展，但是網絡的開放性與共享性導致了電子商務的安全性受到嚴重影響

摘　要：電子商務作為一種商務模式，改變著人們生活以及整個社會的發展進程，已經逐漸成為人們進行商務活動的新模式，特別是在近年獲得了巨大發展，但是網絡的開放性與共享性導致了電子商務的安全性受到嚴重影響，安全問題一直困擾著電子商務的發展，信息的安全也倍受客戶和商家的關注。因此，建立一個安全、便捷的電子商務環境，就顯得尤為重要。密碼技術在電子商務中對于信息的安全傳輸、用戶的身份認證方面都起著重要的作用。本文分析、研究了電子商務中的密碼技術特點和應用現狀，并介紹幾種常用的密碼技術，最后對密碼技術在電子商務安全中的應用作了總結和展望。

關鍵詞：密碼技術　電子商務　安全領域

電子商務是利用公共信息通信網進行商貿活動的總稱，其組成及環境如圖1。由于網絡的全球性、開放性、無縫連通性、共享性和動態性，信息技術在電子商務應用范圍越來越大，安全隱患問題也隨之而來，電子商務的安全性主要是網絡平臺的安全和交易信息的安全，安全的核心問題是信息的保密性、完整性和不可否認性，密碼技術可以滿足以上條件，實現電子商務的安全要求。因此，密碼技術對于保證電子商務安全性起著舉足輕重的作用。

1　密碼技術概述

　　密碼技術是對信息進行重新編碼，把“明文”的可讀信息轉換成不可讀的信息即“密文”，從而達到將信息內容隱藏的目的，從而讓非法用戶無法獲取信息真實內容的一種手段，要想顯示出原來的內容就必須輸入相應的密鑰，其核心技術主要包括加密技術、認證技術和密鑰管理技術三大技術，一個完整的加密系統，包括明文數據、加密后的密文、加密、解密設備或算法和加密、解密的密鑰4個部分。結合現代加密技術和密碼體制的特點，一般將現在的密碼體制分為單鑰(對稱密碼)、雙鑰(非對稱密碼)。

2　電子商務系統安全需求

　　電子商務與傳統商貿活動最大的不同是：一方面，電子商務中購銷雙方不可見，相互間對身份真實性存有疑慮；另一方面，電子商務所含的信息流、資金流都是網上進行的，需通過不安全的因特網環境，電子商務面臨的安全威脅主要有中斷、竊聽、篡改信息、偽造信息、交易抵賴等，沒有商務交易安全保障，即使計算機網絡本身再安全，電子商務都是不安全的。因此，在電子商務中，安全性是必須考慮和解決的核心問題。目前增強電子商務的安全方法很多，密碼技術就是其中最常用的技術。密碼技術是保證電子商務的數據傳輸保密性、數據完整性、有效的身份驗證、交易的不可抵賴、可控性、審查能力特點的重要手段。

3　常用的密碼技術

3.1　信息加密技術

　　信息加密技術是電子商務安全技術中一個重要的組成部分，信息加密后在傳輸過程中，如果被人以非法的手段竊取，無法破譯的話，對竊取的人來說是這些信息就失去意義了。常用的有鏈路——鏈路加密、節點加密、端——端加密、ATM網絡加密和衛星通信加密五種方式。比較典型的算法有DES（數據加密標準）算法及其變形TripleDES（三重DES）、IDEA、RC5等。

3.2　身份認證技術

認證技術是保證電子商務安全不可缺少的重要技術手段，身份認證是指為了防止他人對傳輸的文件進行破壞以及如何確定發信人的身份，用戶必須提供它自身的證明，以取得安全信息系統的信任。它是電子商務中的第一道關卡，其主要作用是信息的認證，通過電子手段確認發送者和接收者身份，并驗證其文件完整性的技術，被認證者只有在被認證系統識別身份后，才能夠根據用戶的身份和授權級別來訪問資源，主要包含數字簽名、數字證書、數字時間戳、數字摘要等技術。在電子商務安全中，一旦身份認證系統被攻破，那么系統的所有安全措施將行同虛設。入侵者攻擊的目標往往就是身份認證系統。

3.3　PKI 技術

　　PKI是一個用公鑰概念和技術實施和提供安全服務的具有普適性的安全基礎設施，密碼技術發展到今天，PKI 作為一項關鍵的密碼技術，已經讓網絡安全離不開它。目前認為，基于PKI體系的身份認證完全可以滿足電子商務的要求，并初步形成了一整套的解決方案。它除了具有加解密和密鑰管理之外，還包括各種安全策略、安全協議以及安全服務。PKI體系具體包括認證機構CA 、證書與CRL 數據存儲區、用戶三部分。它還支持SET 、SSL 電子證書和數字簽名。目前，該項技術在已經逐漸推廣應用，但在我國，收技術影響，PKI技術已經成為了我國電子商務發展的瓶頸。

3.4　SSL(Secure Sockets Layer)安全協議

隨著時代的進步和發展，電子商務也在逐步成熟起來，現在的電子交易安全是在密碼技術基礎上通過交易安全協議實現的，SSL就是其中一項很重要的協議。NETSCAPE公司是因特網商業中領先技術的提供者，他們開發出了一種基于RSA和秘密密鑰的應用于因特網的技術，也就是SSL協議，SSL協議就是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術，主要用于提高應用程序之間的數據的安全系數。SSL由兩個子協議構成，即SSL記錄（Record）協議和SSL握手（Handshake）協議，主要功能是讓收發雙方在通過網絡傳輸信息時，能夠保障數據的完整性及機密性。但是該協議的整個認證過程只有商家對客戶的認證，缺少了客戶對商家的認證。

3.5　SET(Secure Electronic Transaction)安全協議

　　SET協議是一個開放的協議，主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，具有成為追求電子交易安全的主要推動力的潛質。該協議核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等，采用DES和RSA兩種加密算法進行加密、解密處理，可以實現、確認能力、數據的完整性和多方的操作性，從而確保了交易數據的安全性、完整性和交易的不可否認性。目前，SET這一標準被公認為全球國際網絡的標準。SET 的缺點是它還僅限于使用信用卡方式的支付手段，用戶需要安裝特殊的軟件。

4　結語

　　電子商務作為基于因特網發展起來的一種新的商務模式，在為全球用戶帶來的不僅僅是機遇還是一種新的嘗試和探險，同時也將人們引進了安全陷阱。電子商務的安全無論是哪項技術都不可能保證萬無一失，密碼技術一直在電子商務安全乃至網絡安全中扮演十分重要的角色，它可以實現電子商務的傳輸安全、身份認證和交易安全等。保障電子商務的安全性是一項非常復雜和必要的工程，但是電子商務的安全無論是哪項技術都不可能保證萬無一失，還需要各行業、各部門的管理和協調，建立健全電子商務的安全機制和相應的法律法規，引導和促進電子商務又好又快地發展，從而使電子商務體系變得更加完善、和諧，贏得更多人的信任和支持。