[摘要] 针对电子商务存在的信息安全问题,文章提出了一种利用对称加密和非对称加密相结合的加密机制来确保信息安全。文章首先介绍了电子商务常见的安全隐患,接着介绍了公钥基础设施-pki以及两种加密体制,最后重点探讨了确保电子商务信息机密性和完整性解决方案,从而为电子商务的信息安全提供了理论基础。
[关键词] 电子商务信息安全pki机制
最近几年,电子商务以其便利快捷的特点迅速发展起来,但是安全问题一直是阻碍其发展的关键因素。虽然信息安全技术的研究和应用为互联网络安全提供了必要的基础设施,但是电子商务信息的机密性和完整性仍然是迫切需要解决的问题,本文就是针对这一问题展开了深入研究并提出了解决方法。
一、电子商务中的信息安全问题
1.截获信息。未加密的数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。
2.篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地,从而导致部分信息与原始信息不一致。
3.伪造信息。攻击者冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
4.中断信息。攻击者利用ip欺骗,伪造虚假tcp报文,中断正常的tcp连接,从而造成信息中断。
二、pki及其加密体制
电子商务的信息安全在很大程度上依赖于技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等。其中密码技术和鉴别技术是重中之重,pki及其加密体制是实现这两种技术的载体。
1.pki的定义和功能。pki是对公钥所表示的信任关系进行管理的一种机制,它为internet用户和应用程序提供公钥加密和数字签名服务, pki的功能主要包括:公钥加密、证书发布、证书确认、证书撤销。
2.对称密码体制。对称密码体制的基本特点是解密算法就是加密算法的逆运算,加秘密钥就是解秘密钥。在对称密码系统中发送者和接收者之间的密钥必须安全传送,而双方实体通信所用的秘密钥也必须妥善保管。常见的对称加密算法包括des、三重des和idea等。
3.非对称密码体制。非对称密码体制也称公钥密码体制。非对称密码体制的基本特点是存在一个公钥/私钥对,用私钥加密的信息只能用对应的公钥解密,用公钥加密的信息只能用对应的私钥解密。著名的非对称加密算法是rsa。rsa使用的一个密钥对是由两个大素数经过运算产生的结果:其中一个是公钥,为众多实体所知;另外一个是私钥,为了确保他的保密性和完整性,必须严格控制并只有他的所有者才能使用。rsa加密算法的最基本特征就是用密钥对中的一个密钥加密的消息只能用另外一个解密,这也就体现了rsa系统的非对称性。
rsa的数字签名过程如下:s=md mod n,其中m是消息,s是数字签名的结果,d和n是消息发送者的私钥。
消息的解密过程如下:m=se mod n,其中e和n是发送者的公钥。
4.数字签名。数字签名通常使用rsa算法。rsa的数字签名是其加密的相反方式,即由一个实体用它的私钥将明文加密而生成的。这种加密允许一个实体向多个实体发送消息,并且事先不需交换秘密钥或加密私钥,接收者用发送者的公钥就可以解密。
5.散列(hash)函数。md5与sha1都属于hash函数标准算法中两大重要算法,就是把一个任意长度的信息经过复杂的运算变成一个固定长度的数值或者信息串,主要用于证明原文的完整性和准确性,是为电子文件加密的重要工具。一般来说,对于给出的一个文件要算它的hash码很容易,但要从hash码找出相应的文件算法却很难。hash函数最根本的特点是这种变换具有单向性,一旦数据被转换,就无法再以确定的方法获得其原始值,从而无法控制变换得到的结果,达到防止信息被篡改的目的。由于hash函数的这种不可逆特性,使其非常适合被用来确定原文的完整性,从而被广泛用于数字签名。
三、对称和非对称加密体制相结合的应用模型
将对称和非对称加密体制相结合,能够确保电子商务信息的完整性和机密性。下面是具体的应用模型。
假设alice和bob拥有各自的一个公钥/私钥对,由共同信任的第三方颁发的数字证书以及一个对称秘密钥。现在alice欲发送消息给bob,并且要求确保数据的完整性,即消息内容不能发生变动;同时alice和bob都希望确保信息的机密性,即不容许除双方之外的其他实体能够察看该消息。
加密过程:alice按照双方约定的规则格式化消息,然后用hash函数取得该消息的哈希值,该值将被用来测试消息的合法性和完整性。接着alice用私钥对消息和散列值进行签名。这一签名确保了消息的完整性,因为bob认为只有alice能够生成该签名,这是由于只有alice能够使用自己的私钥为该消息签名。但这仅仅保证了消息的完整性,而没有确保其机密性。为此,alice必须向bob提供它用来给消息加密的对称秘密钥,以使得bob能够用其解密被alice加密过的消息。alice用bob的公钥将自己的对称秘密钥签名(加密),这样就形成了一个数字信笺,并且只有bob才能将其打开(解密),因为只有bob能够访问用来打开该数字信笺的私钥。这样就为alice向bob传输对称秘密钥提供了机密性。
四、结束语
文章利用公钥加密体制确保了电子商务信息的完整性,利用对称加密体制实现对较长信息的加密,并保证了信息的机密性。文章的理论研究和实现方法,对于保障电子商务活动中消息的完整性和机密性具有重要的指导意义。电子商务信息安全需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全,也没有一蹴而就的安全。