電子商務環境下基于加密算法的一個安全數據傳輸流程

[摘 要] 本文根據目前電子商務活動中的信息安全問題，從技術的角度詳細探討了構成電子商務環境安全數據傳輸的主要技術，即對稱密鑰加密技術，非對稱密鑰加密技術，數字簽名技術，數字信封。本文根據以上技術特點，并基于電子商務環境下的數據加密技術提出一個安全數據傳輸的實現流程，對電子商務的安全交易起到了積極的促進作用。

[關鍵詞] 電子商務 信息安全 數據加密

一、前言

Internet的迅猛發展給傳統的商務帶來了新的機遇和挑戰。隨著互聯網的快速發展，一種新的商務形式應運而生，即電子商務。與傳統的商務相比，電子商務具有節約能源，消除時空差距和效率高等優點，但電子商務發展的卻不是非常成功，其中最主要的問題就是信息安全，因此，從事電子商務的企業比傳統的商務企業承擔更大的風險，這種風險包括黑客攻擊，病毒感染和信息安全受到威脅等。美國網絡權威雜志《信息安全》的‘2001信息安全調查’一文中指出有66%的企業擔憂信息安全問題并聲稱它是企業發展電子商務的最大障礙，75%的企業在過去的經營過程中已經經歷了嚴重的IT安全問題。由此可見，在影響電子商務發展的眾多因素中，信息安全則是影響電子商務發展的瓶頸。信息安全主要指盜聽信息、篡改信息和偽造信息等，因此，可以說，今天乃至將來電子商務的發展在很大程度上取決于信息安全。為了增強電子商務的安全機制，主要采用防火墻技術、公開密鑰加密技術、數據加密技術、數字簽名、數字時間戳技術、身份認證和安全協議等。在保證像信息的機密性、真實性、完整性這些必要的信息安全中，公鑰加密技術扮演著非常重要的角色。本文主要對電子商務環境下信息在傳輸過程中，基于數字加密算法的相關應用技術的詳細探討，并提出一個改進的電子商務環境下基于加密算法的安全數據傳輸流程。

二、加密技術

在線電子交易是實施電子商務的一個重要環節。這個環節把服務商、客戶和銀行三方通過互聯網連接起來，并實現具體的業務操作。在這個在線交易過程中，客戶的信用卡信息，服務商的信息都是需要保密的，我們稱之為在Internet上傳輸的敏感數據。為了能夠安全的傳輸敏感數據，目前國內外主要采用數據加密技術。常用的數據加密技術主要有對稱密鑰加密技術和公開密鑰加密技術。

1.對稱密鑰加密技術

對稱密鑰加密技術，顧名思義既是對在Internet上傳輸的敏感數據采用相同的密鑰進行加密和解密。如果密鑰不完全相同，也可以很容易地通過算法從一個密鑰計算出另一個密鑰。即在對稱密鑰加密算法中，兩個密鑰和算法之間具有很大的相關性。目前國內外應用最廣的對稱密鑰加密技術采用的是DES算法。這種加密技術的優點是算法簡單，加密、解密速度快， 破譯極其困難。缺點是無法在公開的網絡上安全傳輸密鑰和密鑰的數目難于管理。采用對稱密鑰加密技術進行數據傳輸的安全性決定于密鑰本身的安全性。鑒于對稱加密存在的諸多問題，又出現了非對稱加密技術。

2.公開密鑰加密技術

公開密鑰加密技術也稱為非對稱密鑰加密技術，這種技術是對非對稱密碼算法的應用，其中最著名的是基于數論原理的RSA算法。在1976年Diffie和Hellman首先設想出公共密鑰加密算法，在1977年Risvest、Shamir和Adleman 設計了RSA 加密算法。根據數論原理，此算法的安全性在于將一個大數分解成兩個素數的困難性。在公開密鑰加密系統中，每個用戶有兩個密鑰，一個是公開密鑰，簡稱公鑰，它是用來給數據加密的，所以又稱加密密鑰。另一個是私有密鑰，簡稱私鑰，它是用來給加密后的數據解密的，所以又叫解密密鑰。

(1)工作原理

公鑰是公開的，私鑰是秘密的。當敏感數據在Internet上傳輸時，首先用接收方的公開的公鑰對其進行加密encrypt a message，形成密文，當密文到達目的地時，接收方再用其私有的密鑰對密文進行解密the receiver can decipher with his private key。這樣，在數據的傳輸過程中，被傳輸的是加密后的密文，而不是赤裸的敏感數據。即使在傳輸的過程中數據被竊取，但由于竊取的是密文，而竊取者有不知道私鑰，所以不會造成數據的丟失，從而保證了敏感數據sensitive data在傳輸過程中的安全性。公開秘鑰加密系統的工作流程如圖1所示。

(2)算法的基本思想

①取兩個大素數α和β，n=α*β，n稱為RSA算法的模數。

②計算歐拉函數Φ(n)= (α-1)*(β-1)

③從[0，n-1]中取一個與Φ(n)互質的數e，e稱為公開加密指數。

④由e*d=1 mod Φ(n)，計算出d，d成為解密指數。

⑤公鑰PK={e，n}，私鑰SK={d，n}

其中e，n是公開的，而d，α，β是保密的。

設X，Y分別為明文，密文，則

Y=Xe mod n

X=Yd mod n

RSA公開密鑰加密體系的安全性在于當僅知道e，n的情況下是無法通過算法計算出d，除非分解大數n，但是大數n的分解卻不是一件容易的事。所以，一般情況下，只要n足夠大(當然這里所說的足夠大是相對于計算機的計算能力而言的)，我們是不會懷疑采用該算法的加密技術的安全性。因此，該加密技術的優點是安全性較高，缺點是RSA的算法復雜，加密、解密的速度相對較慢。

三、數字簽名技術與數字信封

數字簽名技術也是對非對稱密碼算法的應用，是非對稱密碼技術的逆運用。數字簽名技術在電子商務中所起的作用相當于親筆簽名或印章在傳統商務中所起的作用。即在電子商務發展過程中，采用數字簽名技術能保證發送方對所發信息的不可抵賴性。在法律上，數字簽名與傳統簽名同樣具有有效性。

數據簽名技術的工作原理:

1.把要傳輸的信息用雜湊函數(Hash Function)轉換成一個固定長度的輸出，這個輸出稱為信息摘要(Message Digest，簡稱MD)。雜湊函數是一個單向的不可逆的函數，它的作用是能對一個輸入產生一個固定長度的輸出。

2.發送者用自己的私鑰(SK)對信息摘要進行加密運算，從而形成數字簽名。

3.把數字簽名和原始信息(明文)一同通過Internet發送給接收方。

4.接收方用發送方的公鑰(PK)對數字簽名進行解密，從而得到信息摘要。

5.接收方用相同的雜湊函數對接收到的原始信息進行變換，得到信息摘要，與⑷中得到的信息摘要進行比較，若相同，則表明在傳輸過程中傳輸信息沒有被篡改。同時也能保證信息的不可抵賴性。若發送方否認發送過此信息，則接收方可將其收到的數字簽名和原始信息傳送至第三方，而第三方用發送方的公鑰很容易證實發送方是否向接收方發送過此信息。

要保證數字簽名的安全性，必須存在一個可信賴的數字時間戳機構。當產生一個新的數字簽名時，應該到數字時間戳機構加蓋一個時間戳，可以通過它來證明產生數字簽名的有效時間。

然而，僅采用上述技術在Internet上傳輸敏感信息是不安全的，主要有兩方面的原因。

1.沒有考慮原始信息即明文本身的安全;

2.任何知道發送方公鑰的人都可以獲取敏感信息，而發送方的公鑰是公開的。

解決1可以采用對稱密鑰加密技術或非對稱密鑰加密技術，同時考慮到整個加密過程的速度，一般采用對稱密鑰加密技術。而解決2需要介紹數字加密算法的又一應用即數字信封。

在采用上述信息傳輸過程中，把數字簽名和明文用隨即產生的對稱密鑰加密，再把對稱密鑰用接受方的公鑰加密，即形成數字信封。這樣，只有接受方的私鑰才能打開此數據信封，獲得對稱密鑰，從而得到明文。把數字信封和經過對稱密鑰加密過的數據合并到一起，稱為密文。既可以安全的在Internet上傳輸的數據。

四、改進的安全信息傳輸流程

基于以上數據加密技術，完整的數據傳輸過程如圖2所示。

現在，我們來分析一下圖2，圖中展示的是信息如何進行安全傳輸。但是，通過對圖2的仔細研究，我們發現，圖中有2點缺陷。第一，數字簽名已經被發送方的密鑰進行不對稱加密了，因此沒有必要用隨機對稱密鑰對其進行對稱加密，這樣會延長整個加密過程的加密時間，并且發送方是惟一知道密鑰的人，任何其他不知道發送方密鑰的人都沒辦法偽造。第二，明文只被隨即對稱密鑰進行對稱加密一次，這顯然不能完全確保通過互聯網傳輸的信息的安全性。因此，我們再通過接受者的公鑰對其進行二次加密，以保證信息的安全性。基于以上原因，本文提出了改進的數據加密流程，如圖3所示，該流程可以減少整個加密過程的時間并且能提高信息在傳輸過程中的安全性。

五、結論

我國入世以后，面臨著更加開放的發展環境。隨著國家信息化建設的不斷推進，對信息安全提出了更高的要求，在信息安全方面除了采取必要的保護措施和相關的法規、政策外，努力掌握核心技術則更為重要。

以上技術的結合是實現電子商務數據傳輸中安全保密的重要手段之一。上述改進的信息傳輸流程是一個主動的安全防御策略，可以防止信息被濫用，篡改，從而保證信息的安全傳輸。和其他電子商務安全技術相結合，可以一同構筑安全可靠的電子商務環境，使得網上通訊更加安全、可信。

參考文獻:

[1]Sheng-Uei Guan，Yang Yang，SAFE.Secure agent roaming for e-commerce.Computers Industrial Engineering ，42(2002):481

[2]Ray Hunt.Technological infrastructure for PKI and digital certification.Computer Communications，24(2001):1460

[3]W.Diffie， M.E.Hellman，NEW directions in cryptography，IEEE Transactions on Information Theory 22(1976)644-654

[4]William J Caelli， Edward P Dawson， Scott A Rea.PKI， Elliptic curve cryptography， and digital signatures. Computers Security.18(1999)50-51

[5]Colette Fenn， Robert Shooter， Solictors， TiteLewis， Ken Allan， ErnstYong.IT Security Outsourcing How Safe is Your IT Security. Computer LawSecurity Report Vol.18.2.2002

[6]Yang feihua， Tong xianping. The Information Security Mechanism in Electronic Commerce. Mcro-computer development.2(2002)39-43