張 睿

[摘要]隨著現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)迅猛發(fā)展，電子商務(wù)得到了極大的推廣，同時(shí)各種數(shù)據(jù)的安全問題也顯得突出起來。其中電子數(shù)據(jù)的機(jī)密性是電子商務(wù)中不可或缺的重要環(huán)節(jié)，而加密技術(shù)是保證電子商務(wù)安全的重要措施，重點(diǎn)討論電子商務(wù)的加密技術(shù)以及加密技術(shù)的實(shí)現(xiàn)方法，并分析比較主要加密方法的優(yōu)劣。

[關(guān)鍵詞]電子商務(wù)加密技術(shù)網(wǎng)絡(luò)安全

中圖分類號：TP-9文獻(xiàn)標(biāo)識碼：A文章編號:1671—7597(2009)10100087—01

一、引言

電子商務(wù)是以網(wǎng)絡(luò)為平臺，以信息技術(shù)為手段，以經(jīng)濟(jì)效益為中心的現(xiàn)代化商業(yè)運(yùn)轉(zhuǎn)模式，目標(biāo)是實(shí)現(xiàn)商務(wù)活動(dòng)的網(wǎng)絡(luò)化、自動(dòng)化與智能化。電子商務(wù)改變了企業(yè)的經(jīng)營理念、管理方式和支付手段。網(wǎng)絡(luò)營銷、網(wǎng)上采購和電子支付成為電子商務(wù)的必要環(huán)節(jié)，極大地縮短了企業(yè)生產(chǎn)周期，降低了生產(chǎn)成本，增強(qiáng)了企業(yè)對市場的反應(yīng)能力。如何保證電子商務(wù)活動(dòng)的安全，為之提供行之有效的保障是當(dāng)今的研究熱點(diǎn)之一。

二、電子商務(wù)信息的加密技術(shù)

加密技術(shù)通常分為兩大類：“對稱式”和“非對稱式”。

(一)對稱式加密。對稱式加密就是加密和解密使用同一個(gè)密鑰，通常稱之為“Session Key”，這種加密技術(shù)目前被廣泛采用，如美國政府所采用的DES加密標(biāo)準(zhǔn)就是一種典型的“對稱式”加密法，它的Session Key長度為56Bits。使用對稱加密方法將簡化加密的處理，貿(mào)易雙方都不必彼此研究和交換專用的加密算法，而是采用相同的加密算法并只交換共享的專用密鑰。對稱加密技術(shù)采用相同密鑰，要求貿(mào)易雙方共同保守秘密，以及存在著在通信的貿(mào)易雙方之間確保密鑰安全交換的問題。此外，當(dāng)某一貿(mào)易方有“n”個(gè)貿(mào)易關(guān)系，那么他就要維護(hù)“n”個(gè)專用密鑰(即每把密鑰對應(yīng)一貿(mào)易方)。貿(mào)易雙方共享同一把專用密鑰，貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。

(二)非對稱式加密。在非對稱加密體系中，密鑰被分解為一對，即一把公開密鑰和一把專用密鑰。這對密鑰中的任何二把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對機(jī)密性的加密，專用密鑰則用于對加密信息的解密。專用密鑰只能由生成密鑰對的貿(mào)易方掌握，公開密鑰可廣泛發(fā)布，但它只對應(yīng)于生成該密鑰的貿(mào)易方。因?yàn)閷ΨQ式的加密方法如果是在網(wǎng)絡(luò)上傳輸加密文件就很難把密鑰告訴對方，不管用什么方法都有可能被別竊聽到。而非對稱式的加密方法有兩個(gè)密鑰，且其中的“公鑰”是可以公開的，也就不怕別人知道，收件人解密時(shí)只要用自己的私鑰即可以，這樣就很好地避免了密鑰的傳輸安全性問題。

三、基于加密技術(shù)的電子商務(wù)安全管理手段

(一)身份認(rèn)證技術(shù)。類似數(shù)字簽名技術(shù)的還有一種身份認(rèn)證技術(shù)，有些站點(diǎn)提供入站FTP和WWW服務(wù)，當(dāng)然用戶通常接觸的這類服務(wù)是匿名服務(wù)，用戶的權(quán)力要受到限制，但也有的這類服務(wù)不是匿名的，如某公司為了信息交流提供用戶的合作伙伴非匿名的FTP服務(wù)，或開發(fā)小組把他們的Web網(wǎng)頁上載到用戶的WWW服務(wù)器上，現(xiàn)在的問題就是，用戶如何確定正在訪問用戶的服務(wù)器的人就是用戶認(rèn)為的那個(gè)人，身份認(rèn)證技術(shù)就是一個(gè)好的解決方案。

(二)電子商務(wù)數(shù)字證書。數(shù)字證書或公鑰證書是由認(rèn)證機(jī)構(gòu)簽署的，其中含有掌握相應(yīng)密鑰的持證者的確切身份或其它屬性。數(shù)字證書是將公鑰體制用于大規(guī)模安全電子商務(wù)的基本要素。認(rèn)證機(jī)構(gòu)(CA)作為電子商務(wù)交易中受信任的第三方，認(rèn)證機(jī)構(gòu)的職能是發(fā)放和管理用戶的數(shù)字證書。在開展網(wǎng)絡(luò)交易時(shí)，應(yīng)向?qū)Ψ教峤灰粋€(gè)由cA簽發(fā)的包貪個(gè)人身份的證書，以使對方相信自己的身份。顧客向cA申請證書時(shí)，可提交自己的執(zhí)照、身份證或護(hù)照，經(jīng)驗(yàn)證后，頒發(fā)證書，以此作為網(wǎng)上證明自己身份的依據(jù)。

四、加密技術(shù)在電子商務(wù)方面的應(yīng)用

電子商務(wù)要求顧客可以在網(wǎng)上進(jìn)行各種商務(wù)活動(dòng)，不必?fù)?dān)心自己的信用卡會被人盜用。在過去，用戶為了防止信用卡的號碼被竊取到，一般是通過電話訂貨，然后使用用戶的信用卡進(jìn)行付款?，F(xiàn)在人們開始用RSA(一種公開／私有密鑰)的加密技術(shù)，提高信用卡交易的安全性，從而使電子商務(wù)走向?qū)嵱贸蔀榭赡堋?/p>

NETSCAPE公司提供了一種基于RSA和保密密鑰的應(yīng)用于因特網(wǎng)的技術(shù)，被稱為安全插座層(secure Sockets Layer，SSL)。SSL不但提供編程界面，而且向上提供一種安全的服務(wù)，SSL3.0現(xiàn)在已經(jīng)應(yīng)用到了服務(wù)器和瀏覽器上，SSL3.0用一種電子證書(electric certificate)來實(shí)行身份進(jìn)行驗(yàn)證后，雙方就可以用保密密鑰進(jìn)行安全的會話了。它同時(shí)使用“對稱”和“非對稱”加密方法，在客戶與電子商務(wù)的服務(wù)器進(jìn)行溝通的過程中，客戶會產(chǎn)生一個(gè)Session Key，然后客戶用服務(wù)器端的公鑰將Session Key進(jìn)行加密，再傳給服務(wù)器端，在雙方都知道Session Key后，傳輸?shù)臄?shù)據(jù)都是以Session Key進(jìn)行加密與解密的，但服務(wù)器端發(fā)給用戶的公鑰必需先向有關(guān)發(fā)證機(jī)關(guān)申請，以得到公證。

五、混沌技術(shù)在電子商務(wù)安全中的應(yīng)用分析

從電子商務(wù)活動(dòng)的全過程來看，以下三個(gè)方面極為重要：1，交易雙方或多方的身份認(rèn)證；2，交易過程中信息的保密；3，交易完成后參與各方不能對交易的結(jié)果進(jìn)行抵賴。而這些過程均是建立在加密算法基礎(chǔ)之上的。當(dāng)前傳統(tǒng)的加密算法如三重DES、AES等大多來自于美國的標(biāo)準(zhǔn)，其中是否存在安全“后門”尚有爭議，而且常常受到出口的限制。為此，引入各種新的技術(shù)，研究具有我國自主知識產(chǎn)權(quán)的加密算法，對促進(jìn)我國電子商務(wù)的發(fā)展具有十分重要的意義。

混沌密碼學(xué)的發(fā)展為混沌技術(shù)廣泛應(yīng)用于電子商務(wù)奠定了很好的基礎(chǔ)。自上世紀(jì)80年代開始將混沌應(yīng)用于信息加密以來，混沌密碼學(xué)作為一門新興的學(xué)科發(fā)展迅速，在該領(lǐng)域內(nèi)已取得了不少的研究成果。

1，利用混沌同步技術(shù)進(jìn)行信息保密通信；

2，利用混沌迭代產(chǎn)生的偽隨機(jī)序列來構(gòu)建對稱的序列密碼系統(tǒng)和分組密碼系統(tǒng)；

3，利用一些特殊的混沌映射如Chebyshevy映射來構(gòu)建非對稱的加密系統(tǒng)；

4，利用混沌映射構(gòu)建hash函數(shù)、s盒等。

身份認(rèn)證、防止信息竄改，以及數(shù)字簽名是電子商務(wù)中非常重要的過程，它們均是建立在加密算法、hash函數(shù)基礎(chǔ)之上的。從當(dāng)前混沌密碼學(xué)研究的成果來看，以混沌技術(shù)為基礎(chǔ)，設(shè)計(jì)各種加密算法和hash函數(shù)是完全可行的，并且能最終構(gòu)建滿足電子商務(wù)安全需要的方案。