電子商務信息安全前沿技術的分析研究

重慶工商職業學院　張　煜

電子商務信息安全前沿技術的分析研究

重慶工商職業學院張煜

分析了信息安全前沿技術。其中對電子商務信息安全與前沿技術進行了著重分析。如XML技術、網格計算技術、數字水印技術、聲/指紋識別技術等；展望了信息安全保護技術的研究趨勢。

信息安全；電子商務；安全技術

1 背景介紹

電子商務的安全保護問題涉及廣大的社會范圍，需要社會各方加強電子商務安全技術上的和非技術上的安全防范，更需要政府和立法機構能夠建立和完善電子商務方面的法律法規，電子商務操作者能夠誠實守信，不以技術作惡，廣大的消費者加強保護自身財產的安全意識。因此要從事電子商務工作者要深思從電子商務信息安全的技術中出現的種種問題，并加以解決。

2　電子商務信息安全保護的熱點技術

信息安全領域的研究方向，足以看出這個問題覆蓋面確實有些大。相當多的商務信息在電子商務中屬于商業機密，事關企業的盈利狀況，更甚者事關企業的生死存亡。因此一旦丟失就后果不堪設想。能否保障電子商戶的信息安全就是能否推進電子商務朝著更前景明朗的方向發展。

2.1函數加密

信息安全是一個很寬泛的領域，IT的所有領域只要存在安全性問題，就有信息安全的相關課題。密碼學的只是信息安全的一部分，函數加密以前的基礎是雙線應對（bilinear map），現在已經擴展了。函數加密的領導者是受人崇拜的斯坦福大學的Boneh教授。Boneh基本統領了公鑰密碼學，后面的很多代表人物都是他的學生或者是學生的學生。他首先提出了身份基加密（identity-based encryption），隨后他和他的學生一起研究了很多具有多種功能的加密方案，最終將他們統一起來，定義為了函數加密。在函數加密中，有一種有趣的加密方案是屬性基加密（attribute-based encryption），這是一個在現有云存儲安全中比較實用的一類加密方案，因此單獨列舉出來。

2.2同態加密

傳統公鑰密碼體制，即大眾知道的RSA，ElGamal加密和簽名，已經是三十年前的研究成果了。傳統公鑰密碼學現在的研究內容，主要集中在選擇密文安全（chosen ciphertext security）的加密方案構造。這一領域的祖師爺是Cramer和Shoup。隨后，各種各樣滿足這樣的安全方案被提了出來。近期，大約是2007年開始，學者們的方向是selective opening security的公鑰加密方案。值得注意的是，在這個領域，中國的學者Junzuo Lai在EUROCRYPT 2014上發表了論文，這是國內密碼學界很值得慶祝的一個事情。同態加密，這是一個可能會改變計算機發展的加密模式。同態加密的提出者是Gentry，他是Boneh的一個學生，他已經青出于藍而勝于藍的一位學者。同態加密現在的基礎是格密碼學（lattice based cryptography）。現在，研究者一方面進一步構造效率更高的同態加密方案，另一方面也轉向了演化而來的新密碼學工具：多線性對（multilinear map）的構造和應用中。這個是公鑰密碼學現在最熱的研究方向。

2.3量子密碼學

在量子密碼中，是無法對量子進行精確克隆以及傳統意義上的中間人攻擊，這是由量子力學中的海森堡測不準原理和不可克隆原理保證的按照你的假設一個量子比特猜中的概率是frac｛1｝｛2｝，但是正常情況下傳輸的信息不可能那么小，就好比電子計算機的數字信號傳輸，只傳一個比特0或1，也能夠得出frac｛1｝｛2｝的正確率啊，但是一個1kb的文件就只有frac｛1｝｛2｝^｛1024*8｝。其實量子密碼有個很直觀的理解，就是A跟B分別那這個保險箱（嚴格上來說是同一個，糾纏態），A通過他的保險箱生成一個鑰匙傳給B，這樣B通過這個鑰匙打開箱就知道里面的信息了，所以就算E截取了A傳給B的鑰匙，但是箱子不在啊，也就不可能破解任何內容了。E只能偽造一個假的鑰匙，讓B也得不到信息或者得到錯誤的信息 。

2.4云計算方面

各種云計算系統（IaaS/PaaS/SaaS）本身的安全方案，這是傳統的網絡安全技術在云計算領域的延伸和重新分布，但并沒有引入革命性的安全技術；利用云計算技術來加強傳統的安全解決方案，如終端防病毒體系增加云查殺、云防火墻（實現防火墻集群的聯動和動態安全策略更新）；.在云計算IaaS環境中實現可信計算的普及（基于虛擬TPM，逐級簽名與信任傳遞，保護虛擬OS及核心服務的完整性）.在云計算IaaS環境中實現安全解決方案的虛擬化，如虛擬防火墻、虛擬網絡準入控制（NAC），實現租戶自由組網及自定義訪問控制，將安全特性包裝成為云服務，如防攻擊CDN；

2.5數字水印技術

數字水印，簡單說就是在現有的信號（比如聲音、圖像）中嵌入一些額外的信息，這個信息不影響原有的信號，但可以達到某種目的（版權保護、篡改識別、廣播監視、隱蔽通信等等）。看起來拗口，實則可以和鈔票的水印比較一下：鈔票的水印就是一種附加的信息，平時看鈔票時并不能察覺到水印的存在，但需要鑒別鈔票真偽時，就可以對著光源去尋找水印。數字水印分為很多種類，常見的是可見水印，比如電視臺的臺標，它基本不影響電視節目的觀賞價值，但可以起到標記版權之類作用。而本文所說的數字水印，屬于廣播監視領域，一般采用不可見水印。不可見水印和鈔票類似，用肉眼難以察覺水印的存在，但可以用計算機分析出來，就像鈔票水印可以對光看到一樣。

3　電子商務信息安全保護技術的性能分析

電子商務信息安全應該是一個更大的概念，因此不要局限在密碼學領域討論，密碼學就像是為藏著信息的“房子”造大門，密碼學發展的越好能造出更好的大門，可是房屋的安全還要看“賊”能不能從窗戶，煙囪，甚至發現這門根本沒有按照設計安裝好等等來突破大門提供的防護，如何提供一套完善的防護方案本身也是研究的目標。比如說緩沖區溢出就不是密碼學解決的問題，但是稍有了解的同學就知道利用緩沖區溢出是可以直接繞過密碼驗證的，而這是根本不管你的密碼強度有多大的。電子商務安全是依附在業務之上的，沒有業務的安全就完全沒有意義，在不同的應用場景下安全所面對的問題和需要發揮的作用也會不同，只有找對了問題，才能有好的方向，所以新的業務往往是新的契機，也是更容易產生成果的點。

4　結束語

在對電子商務信息安全深入分析的基礎上，結合了現今的電子商務信息安全的現狀，具體而言就是要把電子商務信息安全和信息安保技術緊緊結合，以科學先進的電子商務信息安全技術體系為基礎，以達到提高電子商務信息安全的提升來保障電子商務用戶的信息安全，將之投入社會主義建設之中。

［1］徐少強.電子商務安全傳輸系統研究［J］.廣東工業大學學報，2005（01）.

［2］覃飆.智能IC卡支付的電子商務系統的研究和實現［J］.小型微型計算機系統，2002（01）.