电子商务安全技术——基于数据加密技术的探讨

2015-01-01 03:04
网络安全技术与应用 2015年7期
关键词:电子签名公钥非对称

赵 莉

(云南昭通学院信息科学与技术学院 云南 657000)

0 引言

电子商务的核心是通过网络技术来处理商业信息并开展交易,所以解决电子商务系统的硬件安全、软件安全和系统安全等实体安全问题是实现电子商务安全的基础。本文重点介绍加密技术,并就如何运用加密技术构建电子商务安全机制进行探讨。

1 加密技术

一个数据加密系统包括加密算法、明文、密文以及密钥。一般来说,系统的保密性不依赖于算法的保密,而只依赖于密钥。也就是说,虽然加密和解密算法是公开的,密码分析者可以知道算法与密文,但由于并不知道密钥,因此仍难于将密文还原为明文。根据密钥的特点将密码算法分为对称加密和非对称加密。

1.1 对称加密

对称加密也称其为私钥加密,即收发信双方使用同一个密钥来对数据进行加密和解密。常见的对称加密算法有美国数据加密标准DES、高级加密标准 AES和欧洲数据加密标准IDEA,目前广泛使用的是3DES。对称加密的流程如图1所示。

图1 对称加密的流程

由于加密和解密的密钥是同一个密钥,因此通信双方必须细心保存密钥。通信双方只要不将密钥泄露出去,数据传输的机密性和完整性就可得以实现。

对称加密算法的优点是对信息的编码和解码速度很快,效率也很高,是目前用于信息加密的主要算法。

它的缺陷主要有两点:一是密钥的传递和管理比较困难。每两个人通信就要求一个密钥,n个人彼此之间进行保密通信就需要n(n-1)/2个密钥。对于用互联网交换保密信息的每对用户都需要一个密钥,这时密钥组合将会是一个天文数字,这对于密钥的分配和保存就成了问题。二是对称加密仅能用于对数据进行加密和解密处理,保证数据的机密性,但不能用于数字签名。

1.2 非对称加密

非对称加密是针对对称加密的缺陷而提出来的。在非对称加密系统中,加密和解密使用两个不同的密钥。给别人用的、向公众公开的加密密钥就叫公钥;给自己用的、用于解密用的解密密钥就叫私钥。用公钥加密后的密文,只有私钥才能解密。当前最著名且应用最广泛的加密算法是 RSA,其安全性基于模运算的大整数质因子分解问题的困难性。

非对称加密由于加、解密的密钥不同且能公开加密密钥,所以公钥密码算法的密钥管理和分配问题很简单。例如具有 n个用户的网络,仅需要管理 2n 个密钥,远远小于对称密钥的管理。其次由于既可用于加密也可以用于电字签名因而适用于电子商务安全的需要。

最大的缺点是算法复杂、加密和解密数据的速率低,不适合用于对较长信息进行加解密,更多是用于加密密钥。在实际应用中通常将对称加密系统和非对称加密系统结合起来使用,比如:利用 DES来加密信息,而采用 RSA来传递对称加密体制中的密钥。

2 电子签名技术

电子签名技术采用电子签名来模拟手写签名。电子签名可以保证以下三点:一是接收者能够核实发送者对电子文件的签名;二是发送者事后不能抵赖对文件的签名;三是接收者不能伪造对电子文件的签名。目前电子签名是通过非对称加密体制实现的,最著名的电子签名方法是Hash签名,也称为数字摘要法。

基本原理:发送方用私钥对所传输的报文加密(签名),接收方用公钥解密(核对签名)。由于数字签名使用的是发送方的私钥进行签名,事后发送方则无法抵赖其所发出的报文,从而实现了交易的不可抵赖性。

具体操作:首先发送方将要发送的电子文件用Hash算法生成一个128比特的散列值(数字摘要),然后对数字摘要用发送方的私钥做非对称加密即电子签名,再将以上的电子签名、原电子文件、签名证书的公钥进行封装后一并发送给接收方。其次接收方用发送方公钥解密电子签名导出数字摘要,再用同样的 HASH 算法自行算出收到的电子文件的数字摘要,然后两个数字摘要进行核对。如果两个摘要相同则说明信息在传输过程中没有被篡改,否则,信息已被非法用户篡改。因为 HASH算法可以保证只要原文被改动任一个二进制码就会导致摘要值的显著变化。因此利用电子签名技术可以解决信息传输的完整性和不可抵赖性。

3 数字证书

数字证书也被称为CA证书,实际上是一串很长的数学编码,包含有客户的基本信息及CA的签字,通常保存在计算机硬盘和IC卡中。数字证书一般是由CA认证中心签发,证明证书主体与证书中所包含的公钥的唯一对应关系。数字证书就是个人或组织在互联网上的身份证。

数字证书主要是通过非对称加密体制来实现的。每个用户自己设定一把特定的仅为本人所知的私有密钥,用它来进行解密和签名,同时设定一把公开密钥并由本人公开,由一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密。

利用数字证书①可以保证信息除发送方和接收方外不被其他人窃取;②信息在传输过程中不被篡改;③发送方能够通过数字证书来确认接收方的身份;④发送方对于自己发送的信息不能抵赖。

4 电子商务安全协议

使用最为广泛的是SSL协议和SET协议。

4.1 SSL协议

SSL(Secure socket Layer,安全套接层协议)属于传输层的安全机制,利用数据加密(Encryption)技术,确保数据在传输过程中不会被截取及窃听,可以实现浏览器和服务器(通常是Web服务器)之间的安全通信。

SSL协议由两个子协议构成,即SSL记录(Record)协议和SSL握手(Handshake)协议。前者定 义了会话中传递的所有数据项的基本格式,后者描述建立安全连接的过程。SSL握手协议是较SSL记录协议更高层的协议,必须先执行握手协议后,才可能实现SSL记录协议中的加密和完整性校验。

4.2 SET协议

SET协议是为在 Internet上进行在线交易而设立的一个开放的、以电子货币为基础的电子付款系统规范。SET采用RSA密码算法,利用公钥体系对通信双方进行认证,用DES等标准加密算法对信息加密传输,并用散列函数来鉴别信息的完整性。

SET协议本身比较复杂,设计比较严格周密,提供了各个环节的安全协议,安全性高。它在保留SSL对客户信用卡认证的前提下,又增加了客户对商家身份的认证,确保了交易数据的安全、完整和可靠,特别是具有能保证不将消费者银行卡信息暴露给商家等优点,它为电子商务安全交易提供了一个重要的保障机制。因此,SET协议已成为了网上交易的国际安全标准。

5 结语

网络数据传输,攻击者可以试图对密文分析、破译,攻击密码系统的薄弱环节,破获密钥打开密文。所以,绝对安全的电子商务运行环境是不存在的。但随着电子商务安全问题进一步研究以及相关法律的制定,人们将会享受到更为安全、便捷的购物环境。

[1]周曙东.电子商务概论[M].南京:东南大学出版社.2011.

[2]俞立平.电子商务技术与实务[M].南京:东南大学出版社,2003.

[3]祁明.电子商务安全与保密[ M ].高等教育出版社.2001.

猜你喜欢
电子签名公钥非对称
两级模式视域下有效电子签名认定规则的检视与构建
阀控非对称缸电液伺服系统线性自抗扰控制
非对称干涉仪技术及工程实现
一种基于混沌的公钥加密方案
电子签名
P2X7 receptor antagonism in amyotrophic lateral sclerosis
HES:一种更小公钥的同态加密算法
SM2椭圆曲线公钥密码算法综述
法律视域下的电子签名效力探析
非对称换向阀在液压缸传动系统中的应用