電子商務(wù)中安全技術(shù)的探討

[摘要] 介紹電子商務(wù)中信息傳送的各種安全技術(shù)和手段。

[關(guān)鍵詞] 加密 解密 認(rèn)證

安全問(wèn)題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問(wèn)題，而如何保障電子商務(wù)活動(dòng)的安全，將一直是電子商務(wù)的核心研究領(lǐng)域。作為一個(gè)安全的電子商務(wù)系統(tǒng)，首先必須具有一個(gè)安全、可靠的通信網(wǎng)絡(luò)，以保證交易信息安全、迅速地傳遞。下面就網(wǎng)上比較重要的電子簽名、認(rèn)證和SET協(xié)議等安全手段作些具體介紹。

一、加密技術(shù)

加密技術(shù)是一種主動(dòng)的信息安全防范措施，其原理是利用一定的加密算法，將存或儲(chǔ)或傳輸?shù)男畔⒉扇∶孛芙粨Q防止第三者竊取信息的技術(shù)，從而確保數(shù)據(jù)的保密性。加密是把需要的報(bào)文（簡(jiǎn)稱明文）利用密鑰按照某種算法進(jìn)行交換，產(chǎn)生密碼文件（簡(jiǎn)稱密文）。解密是利用密鑰把密文還原成明文的過(guò)程，加密和解密的規(guī)則稱為密碼算法。目前，獲得廣泛應(yīng)用的兩種加密技術(shù)是私鑰密碼加密體制和公鑰密碼加密體制。它們的主要區(qū)別在于所使用的加密和解密的密碼是否相同。

1.私鑰密碼體制

信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)。每個(gè)參與方都不必彼此研究和交換專用設(shè)備的加密算法，而是采用相同的加密算法并只交換共享的專用密鑰。它的最大優(yōu)勢(shì)是加/解密速度快，適合于對(duì)大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。

2.公鑰密碼加密體制

它需要使用一對(duì)密鑰來(lái)分別完成加密和解密操作，它要求密鑰成對(duì)出現(xiàn)。一個(gè)公開(kāi)發(fā)布，即公開(kāi)密鑰，另一個(gè)由用戶自己秘密保存，即私用密鑰。信息發(fā)送者用公開(kāi)密鑰去加密，而信息接收者則用私用密鑰去解密。公鑰機(jī)制靈活，但加密和解密速度卻比對(duì)稱密鑰加密慢得多。

二、認(rèn)證技術(shù)

1.常用的安全認(rèn)證技術(shù)

安全認(rèn)證技術(shù)主要有數(shù)字簽名、數(shù)字信封、數(shù)字摘要、數(shù)字時(shí)間戳、數(shù)字證書(shū)等。

(1)數(shù)字簽名

數(shù)字簽名是使用某人的私鑰加密特定消息摘要散列值而得到的結(jié)果，通過(guò)這種方法把人同特定消息聯(lián)系起來(lái)，類似于手書(shū)簽名。日常生活中，通常用對(duì)某一文檔進(jìn)行簽名來(lái)保證文檔的真實(shí)有效性，防止其抵賴。在網(wǎng)絡(luò)環(huán)境中，可以用電子數(shù)字簽名作為模擬。

(2)數(shù)字信封

數(shù)字信封是用加密技術(shù)來(lái)保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中，信息發(fā)送方采用對(duì)稱密鑰來(lái)加密信息，然后將此對(duì)稱密鑰用接收方的公開(kāi)密鑰來(lái)加密（這部分稱為數(shù)字信封）之后，將它和信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰打開(kāi)數(shù)字信封，得到對(duì)稱密鑰，然后使用對(duì)稱密鑰解開(kāi)信息。這種技術(shù)的安全性相當(dāng)高。

(3)數(shù)字摘要

數(shù)字摘要是采用單向Hash函數(shù)對(duì)文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度的摘要碼，并在傳輸信息時(shí)將之加入文件一同送給接收方，接收方收到文件后，用相同的方法進(jìn)行變換運(yùn)算，若得到的結(jié)果與發(fā)送來(lái)的摘要碼相同，則可斷定文件未被篡改，反之亦然。

(4)數(shù)字時(shí)間戳

在書(shū)面合同中，文件簽署的日期和簽名一樣均是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。而在電子交易中，同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。

(5)數(shù)字證書(shū)

在交易支付過(guò)程中，參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書(shū)來(lái)證明各自的身份。所謂數(shù)字證書(shū)，就是用電子手段來(lái)證實(shí)一個(gè)用戶的身份及用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限。

2.安全認(rèn)證機(jī)構(gòu)

電子商務(wù)認(rèn)證中心（CA）就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書(shū)，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書(shū)的管理。

三、安全認(rèn)證協(xié)議

目前電子商務(wù)中有兩種安全認(rèn)證協(xié)議被廣泛使用，即安全插口層SSL協(xié)議和安全電子事務(wù)SET協(xié)議。

1.安全插口層（SSL）協(xié)議

安全插口層協(xié)議是由Netscape公司1994年設(shè)計(jì)開(kāi)發(fā)的安全協(xié)議，主要用于提高應(yīng)用程序之間的數(shù)據(jù)的安全系數(shù)。SSL采用了公開(kāi)密鑰和專有密鑰兩種加密：在建立連接過(guò)程中采用公開(kāi)密鑰；在會(huì)話過(guò)程中使用專有密鑰。加密的類型和強(qiáng)度則在兩端之間建立連接的過(guò)程中判斷決定。目的是為用戶提Internet和企業(yè)內(nèi)聯(lián)網(wǎng)的安全通信服務(wù)。

2.安全電子事務(wù)（SET）協(xié)議

安全電子事務(wù)是一個(gè)通過(guò)開(kāi)放網(wǎng)絡(luò)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)。由VISA和MasterCard組織共同制定，于1997年聯(lián)合推出。由于它得到了IBM、HP、Microsoft等很多大公司的支持，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，目前已獲得IETF標(biāo)準(zhǔn)的認(rèn)可。這是一個(gè)為Internet上進(jìn)行在線交易而設(shè)立的一個(gè)開(kāi)放的、以電子貨幣為基礎(chǔ)的電子付款規(guī)范。