電子商務數據庫安全管理中混合加密技術的應用探討

■孫曉茹 吉林工商學院

當今的電子商務發展將安全問題擺在重要位置，其核心技術是關于商務數據和系統安全保護。總所周知，電子商務的數據庫存放著大量的重要商業資料，例如交易記錄、客戶資料、用戶賬戶等等信息，這些信息對于電子商務活動的正常開展起著不可或缺的作用，我們必須在技術領域實施混合加密的方法來保證這些信息的安全性。

一、電子商務的安全問題

電子商務系統實質上是一種交易平臺，用戶想要完成網上交易，必須先完成注冊并登陸的步驟，在此過程中就有可能出現安全隱患。以最常見的B2C模式為例，用戶在注冊時填寫的密碼經過了加密處理，保證了一定的安全性。如果用戶忘記密碼，可以采用回答注冊時自己設下的問題的方式來取回密碼。但問題在于這些用戶自己所設下的問題及答案是不加密的，不法份子如果竊取了用戶的問題答案則很有可能順利獲得用戶的密碼，此問題從小處折射出了電子商務的系統的安全性問題。

由于密碼取回環節的無加密性導致的安全隱患必須得到我們的重視，我們可以使用混合加密技術來解決這一問題。具體來說，用戶密碼可以采用對稱密鑰來加密，在此基礎上的信息傳輸環節可以使用非對稱密鑰來加密，雙重作用下的混合加密方式讓不法份子在技術上無從下手，這樣一來就提高了電子商務系統的整體安全性。

二、混合加密技術

對稱加密的優勢在于加密的效率非常高，其被廣泛應用于大量數據的加密工作，但在網絡傳輸過程中由于保護性較差很容易被他人攔截，造成信息的泄露。非對稱加密則很好地補上這一安全隱患，它能在信息傳輸過程中保證信息的安全性，但其加密效率過低，很難獨自應用于繁重的加密工作中。所以混合加密應運而生，將兩者有機結合起來，形成了更好優秀的更加方式，保證了信息的安全。

上圖很好地展示出了混合加密方式的過程，從A方來說，對明文采用對稱加密的方式來加密，在信息傳輸的過程中使用了B方的公鑰，這樣一來，只有B方才能知曉準確的“對稱密鑰”，不法份子即使攔截了信息，也無法將密鑰破解。從B方來說，使用己方的私有秘鑰來解開“密鑰密文”，從中得到相應的“對稱密鑰”，使用“對稱密鑰”就可以很輕易將密文還原為明文信息。通過對整個混合加密過程的簡單分析論證，我們可以得出的結果是:混合加密的方式有效避免了對稱加密信息傳輸過程中保護性差和非對稱加密方式工作繁瑣的弊端，很好地將兩者的優勢結合起來，并發揮出最大的加密功效，保護用戶的信息安全。

三、混合加密技術的應用

針對上文中所提到的用戶在用戶注冊和密碼取回時所遇到的密碼安全問題，我們將混合加密技術具體應用到這一環節中去。

由a圖可知，在應用混合加密技術后的用戶注冊過程中，省去了填寫取回密碼的提示性問題及答案的步驟，轉而代之的是填寫一個以對稱秘鑰方式加密的密碼K1，在對這一密碼接收時采用了公鑰K2對其進行加密，完成雙重加密后，用戶即可以放心進行電子商務活動。即使有不法份子截獲了用戶注冊時的信息，由于缺乏接收方的私有密鑰，他們也無法進行解密，用戶的信息安全得到了極大的保證。

在使用混合加密方式后，用戶的登錄步驟也發生相應的改變。第一步，用戶登錄所需要的電子商務網站，像往常一樣填寫自己的賬號和密碼，所不同的是要多填寫一項對稱密鑰K1。第二步，電子商務網站的客戶端使用K1對用戶密碼完成加密工作。第三步，將經過K1加密完成的密碼傳送給服務器。第四步，服務器通過對用戶賬號的查詢，找到用戶注冊時的加密密碼K1。第五步，服務器自動判斷用戶登錄時所提交的K1密碼是否與注冊時的K1密碼相同，如果兩者相同則可以使用戶成功登錄，如果兩者不相同則判斷為登錄失敗。

從b圖可以知道，在使用混合加密之后，用戶找回密碼的過程也有了相應的改變。具體步驟為：第一步，對客戶傳輸過來的公鑰K2進行判斷，K1加密密碼是否符合數據庫中的保存密碼，如果相同則可以將加密密碼傳送回客戶端，用戶使用K1密碼來解密，最終能夠安全取回自己注冊時的初始密碼。

四、結束語

如今的電子商務事業發展一日千里，每天都有巨大的商業交易通過電子商務的方式來達成。對面這一新興的朝陽產業線上安全保衛工作，我們有必要全身心地投入到其中。當前的關鍵任務就是要將混合加密的方式在整個電子商務數據庫安全領域全面鋪展開來，讓不法份子無處下手，保證用戶的切身利益，將電子商務安全提高到一個全新的級別。

[1]梁曄,趙彥敏.數據加密算法的分析與研究[J].甘肅高師學報,2011(2).

[2]唐言.信息加密技術在計算機網絡安全中的應用[J].中國新技術新產品,2010(8).

[3]董軍利,宋福剛.基于AES＆RSA混合加密策略的硬盤分區加密技術[J].微電子學與計算機,2012(1).

[4]楊勇.混合數字加密技術在安全ONS方案中的應用[J].計算機光盤軟件與應用,2010(16).