加密技术在电子商务中的应用

1、精选优质文档-倾情为你奉上精选优质文档-倾情为你奉上专心-专注-专业专心-专注-专业精选优质文档-倾情为你奉上专心-专注-专业加密技术在电子商务中的应用摘 要 加密技术是电子商务采取的主要安全保密措施，是最常用的安全保密手段,利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密技术包括两个元素：算法和密钥。算法是将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和

2、非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（DES，Data Encryption Standard）算法为典型代表，非对称加密通常以RSA（Rivest Shamir Ad1eman）算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。关键词：加密技术 电子商务安全 应用 个安全措施 核心和关键问题目 录 TOC o 1-3 h z u 1 引言电子商务系统作为信息流、现金流的实现手段，应用极其广泛，尤其适于以下场合： 国际旅游和各国旅

3、行服务行业，例如旅店、宾馆、饭店、机场、车站的订票、订房间、信息发布等一系列服务； 传统的出版社和电子书刊、音像出版部门； 网上商城、批发、零售商品、汽车、房地产、拍卖等的交易活动；Web工作站和工作网点； 计算机、网络、数据通信软件和硬件生产商； 无收入的慈善机构； 进行金融服务的银行和金融机构，持有各种电子货币或电子现金者(例如电子信用卡、磁卡、智能卡、电子钱包等持有者) 政府机关部门的电子政务，如：电子税收、电子商检、电子海关、电子政府管理； 信息公司、咨询服务公司、顾问公司； 进行小规模现金交易的金融组织和证券公司； 分布全世界的各种应用项目和服务项目等。2 加密技术的分析2.1 加密

4、技术概述加密是以某种特殊的算法改变原有的信息数据，使得未授权的用户即使获得了已加密的信息，但因不知解密的方法，仍然无法了解信息的内容。加密之所以安全，绝非因不知道加密解密算法方法，而是加密的密钥是绝对的隐藏，现在流行的RSA和AES加密算法都是完全公开的，一方取得已加密的数据，就算知到加密算法也好，若没有加密的密钥，也不能打开被加密保护的信息。单单隐蔽加密算法以保护信息，在学界和业界已有相当讨论，一般认为是不够安全的。公开的加密算法是给骇客和加密家长年累月攻击测试，对比隐蔽的加密算法要安全多。在密码学中，加密是将明文信息隐匿起来，使之在缺少特殊信息时不可读。虽然加密作为通信保密的手段已经存在了

5、几个世纪，但是只有那些对安全要求特别高的组织和个人才会使用它。在20世纪70年代中期，强加密（Strong Encryption）的使用开始从政府保密机构延伸至公共领域，并且目前已经成为保护许多广泛使用系统的方法，比如因特网电子商务、手机网络和银行自动取款机等。加密可以用于保证安全性，但是其它一些技术在保障通信安全方面仍然是必须的，尤其是关于数据完整性和信息验证；例如，信息验证码（MAC）或者数字签名。另一方面的考虑是为了应付流量分析。加密或软件编码隐匿（Code Obfuscation）同时也在软件版权保护中用于对付反向工程，未授权的程序分析，破解和软件盗版及数位内容的数位版权管理（DRM）

6、等。2.2 什么是加密技术加密技术是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。 加密技术包括两个元素：算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字（密钥）结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解密的一种算法。在安全保密中，可通过适当的钥加密技术和管理机制来保证网络的信息通信安全。2.3 信息加密技术2.3.1 对称密钥密码体制。对称加密双方采用共同密钥，（当然这个密钥是需要对外保密的），凯撒密码通过对字母移位的方式进行加密,这是一种典型的对称加密算法。其算法是:如果密钥为3,将26个英文字

7、母顺序不变,但使a,b,c,z分别对应d,e,f,c。如果明文为day,那么密文就是gdb。解密算法是加密算法的逆运算,即字母位置向前移动3位,并一一对应。但此种算法由于字母出现频率的高低容易被破解,并且只有26个字母,容易被穷举法分析得出密钥。对称加密体制中,加密密钥与解密密钥相同。因此,密钥的保护尤为重要,如果第三方截获该密钥就会造成信息失密。在对称加密算法中,可以保障的只有信息的保密性。而无信息的完整性等其他性能。（附图1）2.3.2 非对称密钥密码体制与对称密钥密码体制相对应,非对称加密算法中,加密密钥与解密密钥不同。这对密钥在密钥生成过程中同时产生。在使用时,该对密钥持有人将其中一个

8、密钥公开,而将另一密钥作为私有密钥加以保密,前者称为公钥,后者称为私钥。任何持有公钥的人都可加密信息,但不能解密自己加密的密文,只有密钥持有者可以用私钥对收到的经过公钥加密的信息解密。由于在非对称密钥密码体制所使用的两个不同的密码中有一个需要向所有期望同密钥持有者进行安全通信的人随意公开,所以该密码体制又被称为公钥密码体制。2.3.3 Hash函数Hash,一般翻译做“散列”,也有直接音译为“哈希”的,就是把任意长度的输入,通过散列算法,变换成固定长度的输出,该输出就是散列值。犹如人类的指纹,每个不同的文件偶有不同的hash值。因此,一旦文件稍微改变,文件的Hash值将完全不同。由此可以鉴别信

9、息的完整性。Hash函数的特征主要有两个:强碰撞自由和计算的单向性。由于强碰撞自由可以鉴别文件的完整性。但由于计算不可逆,在计算前应保存好文件原本,在发送信息时将文件与其被加密的Hash值同时发送。2.3.4 数字签名在现代社会里,电子邮件和网络上的文件传输已经成为生活的一部分。邮件的安全问题就日益突出了,大家都知道在Internet上传输的数据是不加密的。如果你自己不保护自己的信息,第三者就会轻易获得你的隐秘。另一个问题就是信息认证,如何让收信人确信邮件没有被第三者篡改,就需要数字签名技术。实现数字签名的过程如下: (1)信息发送者使用一单向散列函数(Hash算法)对信息生成信息摘要。(2)

10、信息发送者使用自己的私钥签名信息摘要。(3)信息发送者把信息本身和已签名的信息摘要一起发送出去。(4)任何接收者通过使用与信息发送者使用的同一个单向散列函数对接收的信息生成新的信息摘要,再使用信息发送者的公钥对信息摘要进行验证,以确认信息发送者的身份和信息是否被修改过 3 加密技术在电子商务中的应用 3.1 加密技术在电子出版版权中的应用 置乱加密技术 置乱技术是数据加密的一种方法。通过置乱技术,可以将数字信号变得杂乱无章，使非法获取者无法确知该数字信号的正确组织形式,无法从其中获得有用的信息。基于DirectShow对视频进行一系列的采集、分帧、合成等处理,同时采用Arnold变换对单帧图像

11、进行置乱操作,使得置乱后的视频表现为黑白噪声 的形式 。所建立的视频处理框架可以处理各种格式的视频,如AVI、MPEG等格式的视频信号,置乱后的视频可以抵抗一定程度的压缩、帧处理等操作。 视频文件由于不同的压缩方式、文件组织方式等，使得其格式繁多，所以处理时需要把不同格式的视频文件解码为统一的非压缩格式。另外考虑到视频文件通常数据量都很大，采用将视频文件按单帧图像进行处理的方式，将视频数据流分为单帧序列，经过解压、处理、存储一帧后，再读取下一帧的数据进行同样的处理。这样可以保证内存中只有单帧的数据量。 数字水印技术 数字水印的基本思想是利用人类感觉器官的不敏感，以及数字信号本身存在的冗余，在图

12、像音频和视频等数字产品中嵌入秘密的信息以便记录其版权，同时嵌入的信息能够抵抗一些攻击而生存下来，以达到版权认证和保护的功能。数字水印并不改变数字产品的基本特性和使用价值。一个完整的数字水印系统应包含三个基本部分:水印的生成、嵌入和水印的提取或检测。水印嵌入算法利用对称密钥或公开密钥实现把水印嵌入到原始载体信息中，得到隐秘载体。水印检测提取算法利用相应的密钥从隐蔽载体中检测或恢复出水印，没有解密密钥，攻击者很难从隐秘载体中发现和修改水印。 根据水印所附载体的不同，可以将数字水印划分为图像水印、音频水印、视频水印、文本水印和用于三维网格模型的网格水印及软件水印等。 (1)图像水印。根据水印的嵌入方

13、式不同，图像水印算法主要分为空间域方法和变换域方法。空间域方法是通过改变图像中某些像素值加入信息，再通过记录提取这些信息来检测水印，常用的LSB算法有两种:一种是将图像的LSB用伪随机序列来代替；另一种是在LSB中加入伪随机序列。 (2)音频水印。音频水印利用音频文件的冗余信息和人类听觉系统(human audio system)的特点来嵌入数字水印。对于一个实用的数字音频水印系统，最主要的评价指标首先是重建声音信号的质量和水印数据的误码率，其次是水印数据的比特率和所增加的计算量。目前的音频水印技术主要集中于研究低比特位编码、相位编码、回声隐藏和基于扩展频谱编码等四个方面。(3)视频水印。相较

14、于数字水印的一般特性，视频水印还有一些特殊的要求：实时处理性 、随机检测性、与视频编码标准相结合。 视频水印嵌入方法可分为三种:第一种是将水印信息直接嵌入到编码压缩之前的原始视频图像序列中，然后再对含有水印信息的视频图像进行编码压缩。这种方法可以利用静止图像的水印嵌入算法，但过程比较复杂，而且在压缩中水印信息有可能遭到破坏。第二种是在编码压缩时嵌入水印，这种方法过程比较简单，但水印的嵌入和提取算法需要修改编码器和解码器。 第三种是在压缩域中嵌入水印，即将水印信息嵌入到编码压缩后的码流上，这种方法不需要完全解码和再编码过程，因此计算量小，实时性好。 (4)文本水印。文本水印算法的基本思想是通过轻

15、微改变字符间距、行间距或增加、删除字符特征等方法来嵌入水印(如底纹线)，但它无法抵御攻击。攻击者可通过对字符间距、行间距进行随机处理来破坏水印。文档中若不存在可插入标记的可辩认空间(perceptual headroom)，则不能被插入水印。对于诸如PostScript、PDF、WPS、WORD等类型的文档 ，可以将一个水印嵌入版面布局信息(如字间距或行间距)或格式化编排中。Brassil和 Low等人提出了几种不同的在PostScript格式文本中嵌入水印的方法。如行移编码通过将文本的某一整行垂直移动插入标记，当一行被上移或下移时，不动的相邻行被看作是解码的参考位置；字移编码通过将文本的某一

16、行中的一个单词水平移位插入标记，不动的相邻单词被看作是解码过程中的参考位置；特征编码通过改变某个单个字母的某一特殊特征来插入标记。 (5)网格水印。网格空间的利用率是评价网格水印的一个重要参数，而空间利用率和稳健性之 间通常会存在矛盾，因此也要协调好空间利用率和稳健性之间的关系。空域 3D网格水印嵌入算法直接在原始网格中通过调整网格几何、拓扑和其他属性的参数嵌入水印。最具代表性的算法是 Ohbuchi等人提出的三角形相似四元组 (Triangle Similarity Quadruple，TSQ)算法、四面体体积比(Tetrahedron Volume Ratio，TVR)算法。 (6)软件水

17、印。所谓的软件水印就是把程序的版权信息和用户身份信息嵌入到程序中。根据水印的嵌入位置，软件水印可以分为代码水印和数据水印。代码水印隐藏在程序的指令部分中，而数据水印则隐藏在包括头文件字符串和调试信息等数据中。根据水印被加载的时刻，软件水印可分为静态水印和动态水印。静态水印存储在可执行程序代码中，动态水印保存在程序的执行状态中。静态水印又可分为静态数据水印和静态代码水印。动态水印主要有3类：Easter Egg水印、数据结构水印和执行状态水印。现有的软件水印算法有：Collberg和 Thomborson提出的一种动态图水印技术，即把软件水印隐藏在程序动态建立的图结构拓扑中。 3.3 数据加密技

18、术在银行业的应用 3.3.1 在银行电子商务方面的应用网上银行的业务量正在逐年攀升，对用户的账户，密码等个人私密信息的保护已经成为网银业务发展的关键和核心。在这方面，各大银行均推出自己的数据安全工具，其中使用比较普遍的有USB KEY，例如工商银行的U盾，农业银行的K宝等。USB KEY建立了基于公钥（PKI）技术的个人证书认证体系。在技术方面，客户证书通过个人证书认证和数字签名技术，对客户的网上交易实施身份认证，并且可以签署各种业务服务协议，能够自动生成RSA私有密钥和安全存储数字证书，确保交易和协议的惟一完整和不可否认。另外工商银行所提供的电子银行口令卡对客户来说也是一个不错的选择，它相当

19、于一种动态的电子银行密码，一次一密的操作方法能有效抵御木马病毒和假网站的危害，最大限度地保障客户利益。 3.3.2 银行密钥管理体系中的安全管理措施银行的硬件加密设备所使用的密钥可以从密钥的配置和分级管理两方面进行保护，主要目的是在人为的安全保护下，密钥永远不以明文的形式出现。密钥终究需要工作人员来维护，因此要在维护流程上避免个人接触所有级别密钥。此外在密钥分级的基础上，还需要根据密钥使用的类型不同，制订不同的维护策略。第一，主密钥是否安全关系着工作密钥的安全性，因此要严防主密钥失窃。为此可以将主密钥分解成不同的密钥分量，存储在不同的介质中，放置在不同的保险箱中。此外为防止介质损坏，还需要进行

20、多个备份。各银行还可以根据实际需要，定期更换主密钥。第二，传输密钥的使用周期较短，使用之后最好立即删除，绝不能出现一个传输密钥多次使用的情况。另外，传输密钥也可以拆分成多个密钥分量，由不同的工作人员保管。第三，工作密钥的使用与银行具体业务相关，一般生命周期较长。第四，所有存储或者使用过密钥的硬件设备需要进行更换时，由专业的安全人员进行消磁处理，避免密钥泄露。4 个人用户终端采取的安全措施在电子商务中,客户终端一直以来都是安全的薄弱环节。从统计的数据来看,大约有85%的电子商务安全事件都是由于终端用户的安全问题引起的,针对用户终端的不安全性，使用如下措施来加强安全性:(1)使用SSL(安全套接层

21、)解决WEB终端的安全套接：使用户通过WEB的数据是经过加密的,如MD5用于防止篡改或伪造报文,MD5结合DES或RSA确保信息的完整性(即真伪)等。(2)软件键盘措施:用户使用鼠标点击软件键盘对应的按键,屏蔽了一些记录用户敲击真实键盘信息的软件。(3)验证码措施:由系统自动生成随机伪序列,每一次的验证码不相同,可以防止重放攻击。(4)确认体制:需要用户进行确认,这种确认可以是不同于网络的安全通道。5 电子商务发展的核心和关键问题电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。密码学提供以下信息安全服务。信

22、息的保密性。交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用。因此在电子商务的信息传播中一般均有加密的要求。 信息的完整性。交易的文件是不可被修改的,如其能改动文件内容,那么交易本身便是不可靠的,客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。信息源鉴别。在商家发送信息过程中,可能出现伪装成商家的攻击者发送虚假信息,因此使用密码学中基于非对称加密技术的书签签名体制可以帮助数据接收方确认数据源自特定的用户。不可否认性。如果交易双方一方产生抵赖,将会对交易活动的另一方带来不可避免的损失。因此,必须确保通信和交易双方无法对已进行的业务进行否认。总 结电子商务尚是一个机遇和挑战共存的新领域，这种挑战不仅来源于传统的习惯，来源于计划体制和市场体制的冲突、更来源于对可使用的安全技术的信赖。因此，电子商务的安全运行，不仅要从技术角度进行防范，更要从法律角度加强，从而保证电子商务快速健康地发展。电子商务安全只是数据加密技术在web安全方面的一个应用,同时它