搜索
加密技术在电子商务安全中的应用摘要:随着Intemet的不断发展,我们开始接触到一个新名词:电子商务(EC,ElectronicCommerce),即电子交易。Intemet正在改变我们访问和购买信息,通讯和支付服务费用等购物的方式,已经出现诸如网上帐单支付、股票经营、保险和家庭银行等金融服务,风起云涌的电子商务正掀起经济领域一次新的革命。由于这种新的完整的电子商务系统可以将内部网与Intemet连接,小至本企业的产品库存、购发货、帐款收支等商务运转,大至国家的政治、经济机密都将面临网上黑客与病毒的考验,因此,安全问题便成了电子商务生死攸关的首要问题。关键词:电子商务交易安全数据加密加密技术应用核心和关键问题一、什么是电子商务?电子商务(ElectronicCommerce)的定义:以电子及电子技术为手段,以商务为核心,把原来传统的销售、购物渠道移到互联网上来,打破国家与地区有形无形的壁垒,使生产企业达到全球化,网络化,无形化,个性化、一体化。电子商务是以计算机网络为基础。以电子化方式为手段,以商务活动为主体,在法律许可范围内所进行的商务活动过程。电子商务是运用数字信息技术,对企业的各项活动进行持续优化的过程。电子商务涵盖的范围很广,一般可分为企业对企业(Business-to-Business),或企业对消费者(Business-to-Consumer)两种二、电子商务交易中的不安全因素当许多传统的商务方式应用在Intemet上时,便会带来许多源于安全方面的问题。由于Intemet的开放性,使网上交易存在许多危险,在Intemet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:窃取信息。如果没有采用加密措施,数据信息在网络上以明文形式传送,人侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。篡改信息。电子的交易信息在网上传输的过程中,可能被他人非法地修改、删除或重放,这样就使信息失去了真实性和完整性。假冒。由于掌握了数据的格式,通过篡改信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户很难分辨。另外,第三方有可能假冒交易一方的身份,以破坏交易、败坏被假冒一方的信誉或盗取被假冒一方的交易成果等。恶意破坏。计算机网络本身容易遭到一些恶意程序的破坏,而使电子商务信息遭到破坏。由于攻击者甚至可以接人网络,对网络中的信息进行修改,或者潜入网络内部、其后果则更为严重。三加密技术的分析1、加密技术概述加密是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容。加密之所以安全,绝非因不知道加密解密算法方法,而是加密的密钥是绝对的隐藏,现在流行的RSA和AES加密算法都是完全公开的,一方取得已加密的数据,就算知到加密算法也好,若没有加密的密钥,也不能打开被加密保护的信息。单单隐蔽加密算法以保护信息,在学界和业界已有相当讨论,一般认为是不够安全的。公开的加密算法是给骇客和加密家长年累月攻击测试,对比隐蔽的加密算法要安全多。在密码学中,加密是将明文信息隐匿起来,使之在缺少特殊信息时不可读。虽然加密作为通信保密的手段已经存在了几个世纪,但是只有那些对安全要求特别高的组织和个人才会使用它。在20世纪70年代中期,强加密(StrongEncryption)的使用开始从政府保密机构延伸至公共领域,并且目前已经成为保护许多广泛使用系统的方法,比如因特网电子商务、手机网络和银行自动取款机等。加密可以用于保证安全性,但是其它一些技术在保障通信安全方面仍然是必须的,尤其是关于数据完整性和信息验证;例如,信息验证码(MAC)或者数字签名。另一方面的考虑是为了应付流量分析。加密或软件编码隐匿(CodeObfuscation)同时也在软件版权保护中用于对付反向工程,未授权的程序分析,破解和软件盗版及数位内容的数位版权管理(DRM)等。2、什么是加密技术加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解密的一种算法。在安全保密中,可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。3、1对称密钥密码体制。对称加密双方采用共同密钥,(当然这个密钥是需要对外保密的),凯撒密码通过对字母移位的方式进行加密,这是一种典型的对称加密算法。其算法是:如果密钥为3,将26个英文字母顺序不变,但使a,b,c,……,z分别对应d,e,f,……,c。如果明文为day,那么密文就是gdb。解密算法是加密算法的逆运算,即字母位置向前移动3位,并一一对应。但此种算法由于字母出现频率的高低容易被破解,并且只有26个字母,容易被穷举法分析得出密钥。对称加密体制中,加密密钥与解密密钥相同。因此,密钥的保护尤为重要,如果第三方截获该密钥就会造成信息失密。在对称加密算法中,可以保障的只有信息的保密性。而无信息的完整性等其他性能。(附图1)3.2非对称密钥密码体制与对称密钥密码体制相对应,非对称加密算法中,加密密钥与解密密钥不同。这对密钥在密钥生成过程中同时产生。在使用时,该对密钥持有人将其中一个密钥公开,而将另一密钥作为私有密钥加以保密,前者称为公钥,后者称为私钥。任何持有公钥的人都可加密信优麦电子商务论文息,但不能解密自己加密的密文,只有密钥持有者可以用私钥对收到的经过公钥加密的信息解密。由于在非对称密钥密码体制所使用的两个不同的密码中有一个需要向所有期望同密钥持有者进行安全通信的人随意公开,所以该密码体制又被称为公钥密码体制。加密技术的应用安全问题是企业应用电子商务最担心的问题,而如何保障电子商务活动的安全,将一直是电子商务的核心研究领域。作为一个安全的电子商务系统,首先必须具有一个安全、可靠的通信网络,以保证交易信息安全、迅速地传递;其次必须保证数据库服务器绝对安全,防止黑客闯入网络盗取信息。电子商务(E-business)要求顾客可以在网上进行各种商务活动,不必担心自己的信用卡会被人盗用。在过去,用户为了防止信用卡的号码被窃取到,一般是通过电话订货,然后使用用户的信用卡进行付款。现在人们开始使用各种加密技术,提高信用卡交易的安全性,从而使电子商务走向实用成为可能。1、SET协议SET是当前Internet上比较常用的加密方法,SET(SecureElectronicTransaction,安全电子交易)协议是基于信用卡在线支付的电子商务系统的安全协议。SET协议通过制定标准和采用各种技术手段,解决了当时困扰电子商务发展的安全问题。由于得到了很多大公司的支持,它已形成了事实上的工业标准,已获IETF标准认可。SET协议的购物系统由客户、商家、支付网关、收单银行和发卡银行五个部分组成。当持卡人在网上商店选择了要购买的商品,填写订单并选择付款方式为“在线支付”时,SET协议开始介入工作,它的参与者之间的数据交换过程如图所示。持卡人发送给商家一个完整的定单及要求付款的指令。在SET协议中,订单和付款指令由持卡人进行数字签名,同时利用双重签名技术保证商家看不到客户的银行账号信息;商家接受订单后,向为持卡人开户的金融机构发出支付请求;通过支付网关将银行账号传送到收单银行,再到发卡银行进行确认;当发卡银行批准交易后,返回确认信息给商家;商家发送订单确认信息给持卡人;持卡人计算机上的软件可记录交易日志,以备将来查询;商家给持卡人配送货物,完成订购服务,一个购物过程至此结束。SET协议是适合于B2C模式电子商务的、以信用卡为基础的支付协议,SET优麦电子商务论文使用多种安全技术来达到安全支付的要求,其中对称密钥技术、非对称加密技术和Hash算法是核心。SET采用两种加密算法进行加密、解密处理,其中密钥加密是基础;公钥加密是应用的核心。密钥加密用同一个密钥来加密和解密数据,主要算法是DES;公开密钥要求使用一对密钥,一个公开发布,另一个由收信人保存。发信人用公开密钥加密数据,收信人则用私钥去解密,主要算法是RSA。金融交易要求发送报文数据的同时发送签名数据作为认证。这种数字签名是一组加密的数字。SET要求用户在进行交易前首先进行数字签名,然后进行数据发送。网上交易过程中必须确认用户、商家及所进行的交易本身是否合法可靠。SET体系中还有一个关键的机构认证中心(CA),它根据X.509标准发布和管理数字证书。SET协议规定CA发给每个持卡人一个数字证书,持卡人选中一个口令,用它对数字证书和私钥、信用卡号以及其他信息加密存储。这些与一个支持SET协议的软件一起组成了一个SET电子钱包。金融交易所使用的密钥必须经常更换,SET使用数字信封来传递更换密钥。其方法是由发送数据者自动生成专用密钥,用它加密原文,将生成的密文连同密钥本身一起再用公开密钥加密,然后传送出去。收信人在解密后同时得到专用密钥和用其加密后的密文。SET协议可以很好地满足电子商务中对信息的安全提出的四项原则:数据的机密性、完整性、个体识别性、不可抵赖性。SET协议是针对在线支付而设计的支付协议,而采用“货到付款方式”、“邮局汇款”等非在线支付方式则与SET协议无关。1在银行电子商务方面的应用网上银行的业务量正在逐年攀升,对用户的账户,密码等个人私密信息的保护已经成为网银业务发展的关键和核心。在这方面,各大银行均推出自己的数据安全工具,其中使用比较普遍的有USBKEY,例如工商银行的U盾,农业银行的K宝等。USBKEY建立了基于公钥(PKI)技术的个人证书认证体系。在技术方面,客户证书通过个人证书认证和数字签名技术,对客户的网上交易实施身份认证,并且可以签署各种业务服务协议,能够自动生成RSA私有密钥和安全存储数字证书,确保交易和协议的惟一完整和不可否认。另外工商银行所提供的电子银行口令卡对客户来说也是一个不错的选择,它相当于一种动态的电子银行密码,一次一密的操作方法能有效抵御木马病毒和假网站的危害,最大限度地保障客户利益。加密技术在电子出版版权中的应用置乱加密技术置乱技术是数据加密的一种方法。通过置乱技术,可以将数字信号变得杂乱无章,使非法获取者无法确知该数字信号的正确组织形式,无法从其中获得有用的信息。基于DirectShow对视频进行一系列的采集、分帧、合成等处理,同时采用Arnold变换对单帧图像进行置乱操作,使得置乱后的视频表现为黑白噪声的形式。所建立的视频处理框架可以处理各种格式的视频,如AVI、MPEG等格式的视频信号,置乱后的视频可以抵抗一定程度的压缩、帧处理等操作。视频文件由于不同的压缩方式、文件组织方式等,使得其格式繁多,所以处理时需要把不同格式的视频文件解码为统一的非压缩格式。另外考虑到视频文件通常数据量都很大,采用将视频文件按单帧图像进行处理的方式,将视频数据流分为单帧序列,经过解压、处理、存储一帧后,再读取下一帧的数据进行同样的处理。这样可以保证内存中只有单帧的数据量。数字水印技术数字水印的基本思想是利用人类感觉器官的不敏感,以及数字信号本身存在的冗余,在图像音频和视频等数字产品中嵌入秘密的信息以便记录其版权,同时嵌入的信息能够抵抗一些攻击而生存下来,以达到版权认证和保护的功能。数字水印并不改变数字产品的基本特性和使用价值。一个完整的数字水印系统应包含三个基本部分:水印的生成、嵌入和水印的提取或检测。水印嵌入算法利用对称密钥或公开密钥实现把水印嵌入到原始载体信息中,得到隐秘载体。水印检测/提取算法利用相应的密钥从隐蔽载体中检测或恢复出水印,没有解密密钥,攻击者很难从隐秘载体中发现和修改水印。根据水印所附载体的不同,可以将数字水印划分为图像水印、音频水印、视频水印、文本水印和用于三维网格模型的网格水印及软件水印等。(1)图像水印。根据水印的嵌入方式不同,