电子商务信息安全前沿技术的分析研究

重庆工商职业学院　张　煜

电子商务信息安全前沿技术的分析研究

重庆工商职业学院张煜

分析了信息安全前沿技术。其中对电子商务信息安全与前沿技术进行了着重分析。如XML技术、网格计算技术、数字水印技术、声/指纹识别技术等；展望了信息安全保护技术的研究趋势。

信息安全；电子商务；安全技术

1 背景介绍

电子商务的安全保护问题涉及广大的社会范围，需要社会各方加强电子商务安全技术上的和非技术上的安全防范，更需要政府和立法机构能够建立和完善电子商务方面的法律法规，电子商务操作者能够诚实守信，不以技术作恶，广大的消费者加强保护自身财产的安全意识。因此要从事电子商务工作者要深思从电子商务信息安全的技术中出现的种种问题，并加以解决。

2　电子商务信息安全保护的热点技术

信息安全领域的研究方向，足以看出这个问题覆盖面确实有些大。相当多的商务信息在电子商务中属于商业机密，事关企业的盈利状况，更甚者事关企业的生死存亡。因此一旦丢失就后果不堪设想。能否保障电子商户的信息安全就是能否推进电子商务朝着更前景明朗的方向发展。

2.1函数加密

信息安全是一个很宽泛的领域，IT的所有领域只要存在安全性问题，就有信息安全的相关课题。密码学的只是信息安全的一部分，函数加密以前的基础是双线应对（bilinear map），现在已经扩展了。函数加密的领导者是受人崇拜的斯坦福大学的Boneh教授。Boneh基本统领了公钥密码学，后面的很多代表人物都是他的学生或者是学生的学生。他首先提出了身份基加密（identity-based encryption），随后他和他的学生一起研究了很多具有多种功能的加密方案，最终将他们统一起来，定义为了函数加密。在函数加密中，有一种有趣的加密方案是属性基加密（attribute-based encryption），这是一个在现有云存储安全中比较实用的一类加密方案，因此单独列举出来。

2.2同态加密

传统公钥密码体制，即大众知道的RSA，ElGamal加密和签名，已经是三十年前的研究成果了。传统公钥密码学现在的研究内容，主要集中在选择密文安全（chosen ciphertext security）的加密方案构造。这一领域的祖师爷是Cramer和Shoup。随后，各种各样满足这样的安全方案被提了出来。近期，大约是2007年开始，学者们的方向是selective opening security的公钥加密方案。值得注意的是，在这个领域，中国的学者Junzuo Lai在EUROCRYPT 2014上发表了论文，这是国内密码学界很值得庆祝的一个事情。同态加密，这是一个可能会改变计算机发展的加密模式。同态加密的提出者是Gentry，他是Boneh的一个学生，他已经青出于蓝而胜于蓝的一位学者。同态加密现在的基础是格密码学（lattice based cryptography）。现在，研究者一方面进一步构造效率更高的同态加密方案，另一方面也转向了演化而来的新密码学工具：多线性对（multilinear map）的构造和应用中。这个是公钥密码学现在最热的研究方向。

2.3量子密码学

在量子密码中，是无法对量子进行精确克隆以及传统意义上的中间人攻击，这是由量子力学中的海森堡测不准原理和不可克隆原理保证的按照你的假设一个量子比特猜中的概率是frac｛1｝｛2｝，但是正常情况下传输的信息不可能那么小，就好比电子计算机的数字信号传输，只传一个比特0或1，也能够得出frac｛1｝｛2｝的正确率啊，但是一个1kb的文件就只有frac｛1｝｛2｝^｛1024*8｝。其实量子密码有个很直观的理解，就是A跟B分别那这个保险箱（严格上来说是同一个，纠缠态），A通过他的保险箱生成一个钥匙传给B，这样B通过这个钥匙打开箱就知道里面的信息了，所以就算E截取了A传给B的钥匙，但是箱子不在啊，也就不可能破解任何内容了。E只能伪造一个假的钥匙，让B也得不到信息或者得到错误的信息 。

2.4云计算方面

各种云计算系统（IaaS/PaaS/SaaS）本身的安全方案，这是传统的网络安全技术在云计算领域的延伸和重新分布，但并没有引入革命性的安全技术；利用云计算技术来加强传统的安全解决方案，如终端防病毒体系增加云查杀、云防火墙（实现防火墙集群的联动和动态安全策略更新）；.在云计算IaaS环境中实现可信计算的普及（基于虚拟TPM，逐级签名与信任传递，保护虚拟OS及核心服务的完整性）.在云计算IaaS环境中实现安全解决方案的虚拟化，如虚拟防火墙、虚拟网络准入控制（NAC），实现租户自由组网及自定义访问控制，将安全特性包装成为云服务，如防攻击CDN；

2.5数字水印技术

数字水印，简单说就是在现有的信号（比如声音、图像）中嵌入一些额外的信息，这个信息不影响原有的信号，但可以达到某种目的（版权保护、篡改识别、广播监视、隐蔽通信等等）。看起来拗口，实则可以和钞票的水印比较一下：钞票的水印就是一种附加的信息，平时看钞票时并不能察觉到水印的存在，但需要鉴别钞票真伪时，就可以对着光源去寻找水印。数字水印分为很多种类，常见的是可见水印，比如电视台的台标，它基本不影响电视节目的观赏价值，但可以起到标记版权之类作用。而本文所说的数字水印，属于广播监视领域，一般采用不可见水印。不可见水印和钞票类似，用肉眼难以察觉水印的存在，但可以用计算机分析出来，就像钞票水印可以对光看到一样。

3　电子商务信息安全保护技术的性能分析

电子商务信息安全应该是一个更大的概念，因此不要局限在密码学领域讨论，密码学就像是为藏着信息的“房子”造大门，密码学发展的越好能造出更好的大门，可是房屋的安全还要看“贼”能不能从窗户，烟囱，甚至发现这门根本没有按照设计安装好等等来突破大门提供的防护，如何提供一套完善的防护方案本身也是研究的目标。比如说缓冲区溢出就不是密码学解决的问题，但是稍有了解的同学就知道利用缓冲区溢出是可以直接绕过密码验证的，而这是根本不管你的密码强度有多大的。电子商务安全是依附在业务之上的，没有业务的安全就完全没有意义，在不同的应用场景下安全所面对的问题和需要发挥的作用也会不同，只有找对了问题，才能有好的方向，所以新的业务往往是新的契机，也是更容易产生成果的点。

4　结束语

在对电子商务信息安全深入分析的基础上，结合了现今的电子商务信息安全的现状，具体而言就是要把电子商务信息安全和信息安保技术紧紧结合，以科学先进的电子商务信息安全技术体系为基础，以达到提高电子商务信息安全的提升来保障电子商务用户的信息安全，将之投入社会主义建设之中。

［1］徐少强.电子商务安全传输系统研究［J］.广东工业大学学报，2005（01）.

［2］覃飙.智能IC卡支付的电子商务系统的研究和实现［J］.小型微型计算机系统，2002（01）.