|
|
[摘要] 在电子商务的过程中,信息的安全至关重要,而加密技术是保证电子商务安全的重要措施,本文重点讨论电子商务的加密技术,并提出客户端的安全模型设计方案。
[关键词] 电子商务 加密算法 安全 安全模型
一、现有电子商务体系及安全问题
电子商务是以网络为平台,以信息技术为手段,以经济效益为中心的现代化商业运转模式,目标是实现商务活动的网络化、自动化与智能化,电子商务改变了企业的经营理念、管理方式和支付手段。网络营销、网上采购和电子支付成为企业经营的必要环节,极大地缩短了企业生产周期,降低了生产成本,增强了企业对市场的反应能力。它是基于C/S(即客户端和服务器Client/Server)模式下的交易模型,分为服务器端和客户端。客户端所下的订单通过网络进行传输,在服务器端进行信息确认后进行交易,再由物流系统进行配货。如图1所示。
图1 电子商务体系
这个体系由个人用户系统、网络系统、服务端系统及物流系统组成。物流系统是实物运输,所以是安全的。其他几个部分都存在着不安全的因素。作为服务端的服务商(如银行系统),投入了大量的资金和人力,应用了先进的技术(如防火墙、访问控制、入侵检测及漏洞评估等)以保障电子商务的安全。一直以来服务器端的安全都得到了足够的重视,随着电子商务的迅速发展与日益完善,服务器端不安全的可能性越来越小。
根据CCNIC一年一度的中国互联网发展统计报告,电子商务中的安全事件包括用户的主机被植入木马,账号和密码被窃取;冒充用户进行交易;由于用户的错误操作导致的安全问题;由于用户自身安全意识的不足,在交易过程中被假冒、欺骗(如假网站)、传输过程中信息被窃取、篡改、伪造等等。可以看到,在上述的安全威胁中,窃听、陷门和特洛伊木马、病毒等威胁及诸如存在于数据链路层网络和服务器端的安全威胁,都是针对客户端和数据传输过程的。
二、数据加密技术
数据加密是所有数据安全技术的核心,在计算机网络环境下很难做到对敏感性数据的隔离,较现实的方法是设法做到即使攻击者获得了数据,但仍无法理解其包含的意义,以便达到保密的目的。所谓加密就是通过密码算法对数据进行转化,使之成为不拥有正确密钥的任何人都无法读懂的报文。而这些以无法读懂的形式出现的数据一般被称为密文。为了读懂报文,密文必须重新转变为它的最初形式——明文,而含有用来以数学方式转换报文的双重密码就是密钥。在这种情况下即使一则信息被截获并阅读,这则信息也是毫无利用价值的。而实现这种转化的算法标准,据不完全统计,到现在为止已经有近200多种。按照国际上通行的惯例,将这近200种方法按照双方收发的密钥是否相同的标准划分为两大类:一种是私钥加密算法(也称对称加密算法),其特征是收、发双方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES及其各种变形,比如3DES、GDES、NewDES和DES的前身Lucifer;欧洲的IDEA;日本的FEALN、LOKI91、Skip2jack、RC4、RC5,以及以替换密码和轮换密码为代表的古典密码等。另外一种是公钥加密算法(也叫非对称加密算法)。其特征是收、发双方使用的密钥互不相同,而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有:RSA、背包密码、McEliece密码、DiffeHellman、Rabin、OngFiatShamir、零知识协议、椭圆曲线(ECC)、EIGamal算法等。
加密技术是电子商务安全的基础,对称加密算法与非对称加密算法(如应用最广泛的DES、RSA、MD5几种加密算法)各有优缺点,通常结合起来使用(即日益广泛使用的混合密码体制),以期同时获得公钥加密体制的安全优点和私钥加密体制的速度优势。混合加密算法工作原理如图2所示:
图2混合加密算法
私钥加密体制和公钥加密体制的结合使用不但可以简化私钥加密体制中的密钥管理,而且能够做到对应每个明文使用一个不同的密钥(即一次一钥);由于每个密钥仅仅使用一次,即使在某一次数据传输中密钥不慎泄露,它也只影响本次交换的信息,对保障电子商务的健康发展起着越来越关键的作用。 |
|
发表于 2018-8-20 14:33:08