电子商务安全技术研究.docVIP

电子商务安全技术研究国际贸易（试点）0903班 李家培指导老师：摘要 电子商务是通过电信网络进行电子支付来得到信息产品或递送实物产品的承诺。随着计算机技术和通信技术的发展及成熟，电子商务正以不可逆转之势席卷全球的各行业，与此同时电子商务也存在着诸多安全隐患。这几年，我国的电子商务虽然炒得如火如荼，但在实际推广过程中，其效果还只是停留在电子商务的初级水平上，特别是相关法律法规的不完善，社会的诚信体系仍待提高在一定程度上阻碍了电子商务的发展。关键词电子商务；安全技术；研究1. 电子商务安全的定义电子商务归根结底是商务的电子化：从广义方面讲，电子商务是指通过电子手段建立一个新的经济秩序，它不仅涉及电子技术和商业交易本身，而且涉及到诸如政治、金融、税务、法律等社会其他方面；从狭义方面讲，电子商务是指各种具有商业活动能力和需要的实体(政府机构、金融机构等)利用计算机网络和先进的数字化传媒技术进行的各项商贸活动。2. 电子商务安全的现状 世界各国对电子商务安全问题的研究非常重视，美国政府很早就致力于研究密码技术，韩国一些公司也建立联盟，力图制定电子商务的标准。我国于1995年起发展电子商务安全产业，其信息安全研究经历了通信保密、计算机数据保护两个发展阶段，市场也从小到大逐步发展起来，虽已初具规模但仍不成熟。近年来，我国因特网用户激增，至今已超过130万，而不少企业更是拥有自己的独立网站，网络交易热潮随之而来。根据CNNIC发布的中国互联网络热点调查报告中显示：网上购物大军达到2000万人，在全体互联网网民中，有过购物经历的网民占近20%的比例。因为Internet自身的开放性，安全事故和黑客事件时有发生，据公安部的资料,利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，更有媒介报道,中国95%的与Internet相连的网络管理中心遭到过境内外黑客的攻击或侵入,由此可见，安全隐患已成为电子商务发展的严重阻碍。3. 电子商务安全技术的研究3.1 密钥加密技术：密码加密技术有对称密钥加密技术和非对称密钥加密技术。 3.1.1 对称密钥加密技术 称密钥加密技术使用DES(Data En-cryption Standard)算法，要求加密解密双方拥有相同的密钥，密钥的长度一般为64位或56位。这种加密方法可以解决信息的保密问题，但又带来了一些新的问题：一是在首次通信前，双方必须通过网络以外的途径传递统一的密钥：二是当通信对象增多时，需要相应数量的密钥，这就使密钥管理和使用的难度增大；三是对称加密是建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，任何一方的泄露都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。 3.1.2 非对称密钥加密技术 克服对称密钥加密技术存在的密钥管理和分发上的问题，1976年Diffie和Hellman以及Merkle分别提出了公开密钥密码体制的思想：要求密钥成对出现，一个为加密密钥，另一个为解密密钥，且不可能从其中一个推导出另一个。根据这种思想自1976年以来已经提出了多种公钥加密算法。公钥加密算法也称为非对称密钥算法，加密和解密的时候使用两把密钥，一把为公钥，另一把为私钥。私钥只有自己知道，严密保管，公钥和加密算法则可以通过网络等渠道发布出去。公钥加密算法主要有：RSA、Fertezza、ElGama等。非对称加密技术采用的是RSA算法，是由Rivest、Shanir和Adle-man三人发明的。算法如下：公钥n=pq(p，q分别为两个互异的大素数，必须要保密，n的长度大于512bit)，选一个数e与(p1)(q1)互质，私钥d=e1(mod(p1)(q1)，加密：c=me(mod n)(其中m为明文，c为密文)，解密：m=cd(mod n)。通信时，发送方用接收者的公钥对明文加密后发送，接收方用自己的私钥进行解密，这样既解决了信息保密问题，又克服了对称加密中密钥管理与分发传递的问题。 3.2 信息摘要技术 钥加密技术只能解决信息的保密性问题，对于信息的完整性则可以用信息摘要技术来保证。信息摘要(Messagedigest)又称Hash算法，是Ron Rivest发明的一种单向加密算法，指从原文中通过Hash算法而得到一个有固定长度(128位)的散列值，不同的原文所产生的信息摘要必不相同，相同原文产生的信息摘要必定相同，因此信息摘要类似于人类的“指纹”，可以通过“指纹”去鉴别原文的真伪。信息摘要的使用过程如下：第一对原文使用Hash算法得到信息摘要；第二将信息摘要与原文一起发送；第三接收方对接收到的原文应用Hash算法产生一个摘要；第四用接收方产生的摘要与发送方发来的摘要进行对比，若两者相同则表明原文在传输过程中没有被修改，否则就说明原文被修改过 3.3数字签名 字签名(Digital Signature)是密钥加密和信息摘要相结合的技术，可以保证信息的完整性和不可否认性。数字签名的过程如下：首先发送方用自己的私钥对信息摘要加密；其次发送方将加密后的信息摘要与原文一起发送；再次接收方用发送方的公钥对收到的加密摘要进行解密；接着接收方对收到的原文用Hash算法得到接收方的信息摘要；最后将解密后的摘要与接收方的信息摘要对比，相同说明信息完整且发送方身份是真实的，否则说明信息被修改或不是该发送者发送。 由于私钥是自己保管的他人无法仿冒，同时发送方也不能否认用自己的私钥加密发送的信息，所以数字签名解决了信息的完整性和不可否认性问题。数字签名加密和密钥加密技术不同，密钥加密是发送方用接收方的公钥加密，接收方在用自己的私钥解密，是多对一的关系；而数字签名中的加密是发送方用自己的私钥对摘要进行加密，接收方用发送方的公钥对数字签名解密，是一对多的关系，表明公司的任何一个贸易伙伴都可以验证数字签名的真伪性。 3.4 数字证书与CA认证 对称加密技术和数字签名技术都用到了公钥，当交易的一方通过公开渠道得到了另一方的公钥后，存在着这样的问题：这个公钥到底是不是真正属于对方的，是否会有其他人假冒对方发布的公钥。那么如何确定网上交易双方真实身份的确认，要用到由认证中心CA颁发的数字证书。 3.4.1 数字证书 字证书类似于现实生活中的身份证，它是标志网络用户身份信息的一系列数据，用来在网络应用中识别通讯各方的身份。数字证书采用公钥体制即用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私钥，用它进行解密和数字签名；同时拥有一把公钥并可以对外公开，用于信息加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据进行加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误的到达目的地了。用户可以采用自己的私钥对信息加以处理，由于私钥仅为本人所有，所以能生成别人无法伪造的文件，也就形成了数字签名。同时，由于数字签名与信息的内容相关，因此经过签名的文件如有改动，就会导致数字签名的验证过程失败，这样就可以保证文件的完整性。 3.4.2 数字证书的内容 要包括以下内容：证书拥有者的姓名；证书拥有者的公钥；公钥的有限期；颁发数字证书的单位；颁发数字证书单位的数字签名；数字证书的序列号等。 3.4.3认证中心CA(Certificate Authority)：认证中心是颁发数字证书的第三方权威机构。在电子交易中，商家、客户、银行的身份都要由认证中心来认证。因此认证中心主要有以下的功能：核发证书：核实申请人的各项资料是否真实，根据核实情况决定是否颁发数字证书。管理证书：检查证书、废除证书、更新证书。搜索证书：查找或下载个人(单位)的数字证书。验证证书：可以帮助确定数字证书是否已被持有人废除, 电子商务的前途是光明的，但道路依然曲折，安全问题是阻碍电子商务广泛应用的最大问题，改进数字签名在内的安全技术措施、确定CA认证权的归属问题十分关键。4. 对电子商务安全技术的总结 电子商务的发展无可限量，与此同时安全问题将始终与之相伴，为进一步促进我国电子商务的健康有序发展，必须有效运用技术和法律这两个有力的工具，去解决在实际应用中出现的各种问题，为我国电子商务又好又快的发展保驾护航。信息安全是电子商务发展的基础，随着电子商务的发展，通过各种网络的交易手段也会更加多样化，安全问题变得更加突出。为了解决好这个问题，必须有安全技术作保障。目前，防火墙技术、网络扫描技术，数据加密技术和计算系统安全技术发挥着重要的作用，此外，需要完善法律制度、管理制度和诚信制度，保证电子商务信息安全，加