密码技术在电子商务中的应用

TECHNOLOGYTRENDTECHNOLOGYTREND随着信息技术突飞猛进的发展和计算机技术的广泛应用，电子商务与网络的发展联系日益紧密。由于网络的开放性，使得电子商务存在着很大的安全隐患。安全是电子商务的核心和灵魂，没有安全保障的电子商务应用，任何用户都不会放心让自己的敏感信息在不安全的电子商务流程中传输。密码技术对于保证电子商务安全性起着举足轻重的作用。一、密码技术密码技术，就是对信息进行重新编码，从而达到隐藏信息内容，使非法用户无法获取真实信息的一种技术手段。密码体制按照加解密所采用的密钥情况可以分为对称密码体制、非对称密码体制。（一）对称密码体制对称密码体制是一种传统密码体制，也称为私钥密码体制。在对称加密系统中，加密和解密采用相同的密钥。因为加解密密钥相同，需要通信的双方必须选择和保存他们共同的密钥，双方必须信任对方不会将密钥泄密出去。（二）非对称密码体制非对称密码体制也叫公钥加密技术，该技术就是针对私钥密码体制的缺陷被提出来的。在公钥加密系统中，加密和解密是相对独立的，加密和解密会使用两把不同的密钥，加密密钥(公开密钥)向公众公开，谁都可以使用，解密密钥（秘密密钥）只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密密钥，顾其可称为公钥密码技术。二、电子商务受到的安全威胁计算机网络安全与电子商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。目前电子商务的主要安全隐患和威胁有以下几点：1）信息的保密性。通过对一些敏感的信息文件进行加密来保护系统之间的信息交换，防止除接收方之外的第三方截获信息。2）信息的完整性。防止除接受方以外的第三者对信息的内容进行修改，包括插入、删除、转换和替代等。3）对交易行为进行抵赖。防止交易的任何一方否认自己交易行为。4）审查能力。根据保密性和完整性的要求，对数据进行审查，把结果进行记录。三、电子商务中的密码技术的实现和发展（一）电子商务中信息“安全传输”的实现有许多人对于对称加密体制有这样的误解，他们认为非对称密码体制的出现使得对称密码体制在防范密码分析上比对称加密技术更安全。实际上对称加密算法的安全性并不是依赖与算法的复杂性，而是依赖于密钥的保密性。电子商务中信息的安全传输，实际上就是信息的保密性和完整性的实现。信息加密后在公共信道上传输，非法窃取信息的人在掌握到密文后，无法将其破译而得到明文。信息加密可以采用对称密钥，也可以采用非对称密钥体系中的公钥加密，比较典型的算法有DES（数据加密标准）算法及其变形TripleDES（三重DES）、IDEA、RC5等。（二）电子商务中“身份认证”的实现身份认证是指用户必须提供它自身的证明，以取得安全信息系统的信任。身份认证是电子商务中的第一道关卡，不管用户想进行任何的操作，首先都必须要通过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理人员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为，同时入侵检测系统实时或非实时的检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统的提供的信息———用户的身份。可见身份认证在安全系统中的地位及其重要，是最基本的安全服务，其他的服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将行同虚设。黑客攻击的目标往往就是身份认证系统。（三）密码技术在电子商务协议中的应用电子商务要求顾客可以在网上进行各种商务活动，不必担心自己的信用卡会被人盗用。在过去，用户为了防止信用卡的号码被窃取到，一般是通过电话订货，然后使用用户的信用卡进行付款。现在人们开始使用RSA的加密技术，提高信用卡交易的安全性，从而使电子商务走向实用成为可能。NETSCAPE公司是因特网商业中领先技术的提供者，该公司提供了一种基于RSA和秘密密钥的应用于因特网的技术，被称为安全插座层（SSL），其主要功能是让收发双方在通过网络传输信息时，能够保障数据的完整性及机密性。当初并不是为电子商务而设计的，但因其运行较为简单、容易，所以被拿来当做电子商务的安全协议使用，甚至成了目前在电子商务方面应用最广泛的安全协议。SSL由两个子协议构成，即SSL记录（Record）协议和SSL握手（Handshake）协议。前者定义了会话中传递的所有数据项的基本格式，上层数据（包括SSL握手协议建立安全连接时所需传送的数据）都通过SSL记录协议加密后再往下层TCP协议层传送。后者描述建立安全连接的过程，在客户和服务器问传送应用层数据之前，完成诸如加密算法和会话密钥的确定，通信双方的身份验证等功能。SSL握手协议是较SSL记录协议更高层的协议，必须先执行握手协议后，才可能实现SSL记录协议中的加密和完整性校验。SSL采用一种电子证书来实行身份认证后，双方就可以用秘密密钥进行安全的会话了，它同时使用“对称”和“非对称”加密方法，在客户与电子商务的服务器进行沟通的过程中，客户会产生一个SessionKey，然后客户用服务器端的公钥将SessionKey进行加密，再传给服务器端。在双方都知道SessionKey后，传输的数据都是以SessionKey进行加密与解密的，但服务器端发给用户的公钥必须先向有关发证机关申请，以得到公证。四、结束语由于电子商务与Internet的紧密联系，网络安全问题同样也影响着电子商务的发展。电子商务已经发展成了跨通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全等多门学科的综合性科学。密码技术一直在电子商务安全乃至网络安全中扮演十分重要的角色，对称加密算法与非对称加密算法的混合使用使得电子商务无论是在信息的保密性、完整性以及用户的身份认证等各方面都有了充分的安全保障。［摘要］电子商务已经逐渐成为人们进行商务活动的新模式，网络的开放性与共享性导致了电子商务的安全性受到严重影响。密码技术在电子商务中对于信息的安全传输、用户的身份认证方面都起着重要的作用。［关键词］电子商务；密码技术；身份认证；SSL协议［参考文献］[1]梁晋,施仁,王育民等.电子商务核心技术———安全电子交易协议的理论与设计[M].西安电子科技大学出版社,2004.[2]胡道元,闵京华.网络安全[M].清华大学出版社,2004.[3]杨义先,曾志峰,李忠献译,LarryLoeb著.安全电子交易[M].人民邮电出版社,2001.密码技术在电子商务中的应用吴婷婷（攀枝花学院计算机学院，四川攀枝花617000）经济管理103