電子商務(wù)數(shù)據(jù)庫安全管理中混合加密技術(shù)的應(yīng)用探討

■孫曉茹 吉林工商學(xué)院

當(dāng)今的電子商務(wù)發(fā)展將安全問題擺在重要位置，其核心技術(shù)是關(guān)于商務(wù)數(shù)據(jù)和系統(tǒng)安全保護(hù)。總所周知，電子商務(wù)的數(shù)據(jù)庫存放著大量的重要商業(yè)資料，例如交易記錄、客戶資料、用戶賬戶等等信息，這些信息對(duì)于電子商務(wù)活動(dòng)的正常開展起著不可或缺的作用，我們必須在技術(shù)領(lǐng)域?qū)嵤┗旌霞用艿姆椒▉肀ＷC這些信息的安全性。

一、電子商務(wù)的安全問題

電子商務(wù)系統(tǒng)實(shí)質(zhì)上是一種交易平臺(tái)，用戶想要完成網(wǎng)上交易，必須先完成注冊(cè)并登陸的步驟，在此過程中就有可能出現(xiàn)安全隱患。以最常見的B2C模式為例，用戶在注冊(cè)時(shí)填寫的密碼經(jīng)過了加密處理，保證了一定的安全性。如果用戶忘記密碼，可以采用回答注冊(cè)時(shí)自己設(shè)下的問題的方式來取回密碼。但問題在于這些用戶自己所設(shè)下的問題及答案是不加密的，不法份子如果竊取了用戶的問題答案則很有可能順利獲得用戶的密碼，此問題從小處折射出了電子商務(wù)的系統(tǒng)的安全性問題。

由于密碼取回環(huán)節(jié)的無加密性導(dǎo)致的安全隱患必須得到我們的重視，我們可以使用混合加密技術(shù)來解決這一問題。具體來說，用戶密碼可以采用對(duì)稱密鑰來加密，在此基礎(chǔ)上的信息傳輸環(huán)節(jié)可以使用非對(duì)稱密鑰來加密，雙重作用下的混合加密方式讓不法份子在技術(shù)上無從下手，這樣一來就提高了電子商務(wù)系統(tǒng)的整體安全性。

二、混合加密技術(shù)

對(duì)稱加密的優(yōu)勢(shì)在于加密的效率非常高，其被廣泛應(yīng)用于大量數(shù)據(jù)的加密工作，但在網(wǎng)絡(luò)傳輸過程中由于保護(hù)性較差很容易被他人攔截，造成信息的泄露。非對(duì)稱加密則很好地補(bǔ)上這一安全隱患，它能在信息傳輸過程中保證信息的安全性，但其加密效率過低，很難獨(dú)自應(yīng)用于繁重的加密工作中。所以混合加密應(yīng)運(yùn)而生，將兩者有機(jī)結(jié)合起來，形成了更好優(yōu)秀的更加方式，保證了信息的安全。

上圖很好地展示出了混合加密方式的過程，從A方來說，對(duì)明文采用對(duì)稱加密的方式來加密，在信息傳輸?shù)倪^程中使用了B方的公鑰，這樣一來，只有B方才能知曉準(zhǔn)確的“對(duì)稱密鑰”，不法份子即使攔截了信息，也無法將密鑰破解。從B方來說，使用己方的私有秘鑰來解開“密鑰密文”，從中得到相應(yīng)的“對(duì)稱密鑰”，使用“對(duì)稱密鑰”就可以很輕易將密文還原為明文信息。通過對(duì)整個(gè)混合加密過程的簡單分析論證，我們可以得出的結(jié)果是:混合加密的方式有效避免了對(duì)稱加密信息傳輸過程中保護(hù)性差和非對(duì)稱加密方式工作繁瑣的弊端，很好地將兩者的優(yōu)勢(shì)結(jié)合起來，并發(fā)揮出最大的加密功效，保護(hù)用戶的信息安全。

三、混合加密技術(shù)的應(yīng)用

針對(duì)上文中所提到的用戶在用戶注冊(cè)和密碼取回時(shí)所遇到的密碼安全問題，我們將混合加密技術(shù)具體應(yīng)用到這一環(huán)節(jié)中去。

由a圖可知，在應(yīng)用混合加密技術(shù)后的用戶注冊(cè)過程中，省去了填寫取回密碼的提示性問題及答案的步驟，轉(zhuǎn)而代之的是填寫一個(gè)以對(duì)稱秘鑰方式加密的密碼K1，在對(duì)這一密碼接收時(shí)采用了公鑰K2對(duì)其進(jìn)行加密，完成雙重加密后，用戶即可以放心進(jìn)行電子商務(wù)活動(dòng)。即使有不法份子截獲了用戶注冊(cè)時(shí)的信息，由于缺乏接收方的私有密鑰，他們也無法進(jìn)行解密，用戶的信息安全得到了極大的保證。

在使用混合加密方式后，用戶的登錄步驟也發(fā)生相應(yīng)的改變。第一步，用戶登錄所需要的電子商務(wù)網(wǎng)站，像往常一樣填寫自己的賬號(hào)和密碼，所不同的是要多填寫一項(xiàng)對(duì)稱密鑰K1。第二步，電子商務(wù)網(wǎng)站的客戶端使用K1對(duì)用戶密碼完成加密工作。第三步，將經(jīng)過K1加密完成的密碼傳送給服務(wù)器。第四步，服務(wù)器通過對(duì)用戶賬號(hào)的查詢，找到用戶注冊(cè)時(shí)的加密密碼K1。第五步，服務(wù)器自動(dòng)判斷用戶登錄時(shí)所提交的K1密碼是否與注冊(cè)時(shí)的K1密碼相同，如果兩者相同則可以使用戶成功登錄，如果兩者不相同則判斷為登錄失敗。

從b圖可以知道，在使用混合加密之后，用戶找回密碼的過程也有了相應(yīng)的改變。具體步驟為：第一步，對(duì)客戶傳輸過來的公鑰K2進(jìn)行判斷，K1加密密碼是否符合數(shù)據(jù)庫中的保存密碼，如果相同則可以將加密密碼傳送回客戶端，用戶使用K1密碼來解密，最終能夠安全取回自己注冊(cè)時(shí)的初始密碼。

四、結(jié)束語

如今的電子商務(wù)事業(yè)發(fā)展一日千里，每天都有巨大的商業(yè)交易通過電子商務(wù)的方式來達(dá)成。對(duì)面這一新興的朝陽產(chǎn)業(yè)線上安全保衛(wèi)工作，我們有必要全身心地投入到其中。當(dāng)前的關(guān)鍵任務(wù)就是要將混合加密的方式在整個(gè)電子商務(wù)數(shù)據(jù)庫安全領(lǐng)域全面鋪展開來，讓不法份子無處下手，保證用戶的切身利益，將電子商務(wù)安全提高到一個(gè)全新的級(jí)別。

[1]梁曄,趙彥敏.數(shù)據(jù)加密算法的分析與研究[J].甘肅高師學(xué)報(bào),2011(2).

[2]唐言.信息加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用[J].中國新技術(shù)新產(chǎn)品,2010(8).

[3]董軍利,宋福剛.基于AES＆RSA混合加密策略的硬盤分區(qū)加密技術(shù)[J].微電子學(xué)與計(jì)算機(jī),2012(1).

[4]楊勇.混合數(shù)字加密技術(shù)在安全ONS方案中的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2010(16).