通信加密与鉴别技术在电子商务安全中的应用

通信加密与鉴别技术在电子商务安全中的应用

电子商务信息安全面临的挑战近年来，计算机和互联网技术的快速发展导致了电子商务作为商业活动的新形式。但在为用户提供快速、直接、低成本商业服务的同时,网络尤其是互联网络所固有的开放性与资源共享性也使电子商务的安全性受到严重挑战。如何提供一个安全可靠的网络交易环境,已经成为当前电子商务领域的核心问题。本文所讨论的以密码学理论为基础的通信加密和数字签名技术,正是电子商务安全体系的核心技术,在电子商务安全体系中有极其重要的应用。1电子商务的安全需求1.1数据的保密性电子商务是建立在一个较为开放的网络环境上的贸易体系。其信息代表着重要的商业机密,所以必须保证信息在网络传输中的安全传输,即交易内容的保密性。这是电子商务全面推广应用的重要保障。1.2信息差异的影响电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息完整、统一的问题。由于数据输入时的意外差错或欺诈行为,数据在传输过程中的丢失以及病毒侵害都可能导致贸易各方信息的差异。因此,在电子商务活动中需要一种技术手段验证交易双方传输信息的一致性,即信息完整性保证。1.3网上交易身份的确定要使网上交易成功,参与交易的人首先要能确认对方的身份,确定对方的真实身份与对方在网上交易的身份是否一致。因此,能够方便而可靠地确认对方身份,是实现网上交易的前提。1.4目标函数的效力如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题,是保证电子商务顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。因此,在电子商务活动中,必须通过一定的技术手段方保证信息的收发各方都有足够的证据证明接收或发送的操作确实发生了,并能够确定发送方或接收方的身份,即信息的防抵赖性。2加密通信技术数据加密技术是对信息编码重新组合,从而达到隐藏信息内容,使无权用户无法获取信息真实内容的一种技术手段。加密通信是在电子商务活动的信息交换阶段应用数据加密技术,实现信息保密性的通信技术。根据数据加密过程中加密算法的不同,加密通信可分为对称密钥加密系统和非对称密钥加密系统。2.1对称密钥加密对称密钥加密系统中发送方和接收方使用相同的密钥,是一种典型的一对一的加密系统。目前比较优秀的加密算法有DES、3DES、DEA、IDEA等,它们的运算速度快,加密性能优异。DES算法是一种简单的对称加密技术,其原理如图1所示。对64位二进制数据加密,产生64位密文数据,使用的密钥为64位。对称密钥加密系统中,发送方T利用对称密钥S加密明文M,得到密文C后通过网络传送给接收方R。接收方R用同样的密钥S解密密文C得到明文M。由于DES对称密钥加密系统的加密算法本身安全性很高,难以被攻破,对信息安全起到了重要的保护作用。但DES算法是公开的,保密程度仅取决于密钥的保密程度。所以对称密钥加密系统有其本身所固有的缺陷:1)必须事先传递密钥,造成密钥传递过程中(带内传输)极易被窃。常规手段无法解决这种高风险。2)密钥管理困难:假设有n方两两通信,如采用一把密钥,则密钥一旦被盗,整个加密系统崩溃;如采用不同密钥,则密钥数等于n*(n-1)/2,密钥对数成几何级数增长,密钥管理成为不可能。3)由于密钥共享,无法实现不可否认。所以对称密钥加密系统仅解决数据本身加密问题,为解决加密通信中的带内传输问题,引入了非对称秘钥加密系统。2.2rsa算法原理非对称秘钥加密系统引入了公钥(PK)和私钥(SK)的概念,其基本思想是:每个用户都分配两个密钥,一个是公开密钥(PK),对所有用户都公开;另一个是私有密钥(SK),仅为自己所有。经用户公开密钥加密的信息只能通过其私有密钥来解密;同样,经用户私有密钥加密的信息也只能通过其公开密钥才能解密。由于无法通过公钥(PK)推算出私钥(SK),从而解决了密钥的带内传输问题,实现了信息传输的安全性,其通信过程如图2所示。RSA是基于公钥思想提出的一种较为完善的非对称密钥系统,它利用数论中大数分解和素数检测的理论生成公钥(PK)和私钥(SK),二者在逻辑上是等价的。在RSA算法中,发送方用接收方的公钥加密明文,接收方收到后用自己的私钥解密即可得到的明文。而任何第三方由于没有接收方的密钥,即使截获密文也无法解密,从而实现了数据的保密性传输。3识别技术3.1指纹优化算法报文摘要是一种用以保证信息完整性的方法,它利用特定Hash函数对信息处理产生的一串固定长度散列码(Hash值),起到了数字指纹的作用。Hash值具有两方面的特性:a.单向性,不可能由Hash值反推出信息的内容。b.唯一性,信息的丝毫改动,都会造成Hash值完全不同。报文摘要的这两个特性使其成为了信息的数字指纹,可以用来验证信息的真实性。目前较为流行的报文摘要算法有MD5算法和SHA算法,其中SHA是一种更为安全的杂凑散列算法。它可以处理小于264位的文件,处理速度较MD5稍慢一些,但其报文摘要的长度较长(160位),在地毯式搜索及逆向攻击(InversionAttack)下,具有较高的安全性。其具体过程如图3所示。步骤1:补齐区块。将文件以512位元为单位切割成若干区块后,在最后一个区块补足若干位元,使数据位长度Len满足(Len+64)mod512=0。步骤2:附加长度。补足区块后,在最后必须添加原文件长度的信息,长度为64位元,为一无正负的整数。步骤3:初始化暂存器。在SHA中有一个160位元的暂存器,用以暂存经过运算的结果,在开始生成摘要前,SHA会初始化该寄存器。步骤4:进行运作。经过前3个步骤后,SHA即可以开始以512位元为单位进行运作,每512位元经过运作后,就可以产生160位元的输出。步骤5:输出结果。以初值为始,将每次输出的160位元的值相加模232运算,即可获得最后的160位元的报文摘要。3.2rsa数字签名数字签名是以保障基于网络交易平台下交易各方的合法权益为目的,满足和替代传统签名功能的各种电子技术手段,一般是通过一个单向函数(如Hash函数)对传送的报文(明文)进行处理并得到的用以认证报文来源、核实报文是否发生改变的一个字母数字串(密文)。从动态过程看,数字签名技术就是利用数据加解密技术、数据变换技术,根据某种协议来产生一个反映被签署文件和签署人特性的数字化签名。数字签名技术实现了电子商务安全体系中交易双方身份的认证、信息的防抵赖性需求。数字签名的实现方法很多,有RSA、X.509、DSS签名、HASH签名等。目前在网络应用中最为流行的是基于RSA公开密钥系统的RSA数字签名,如图4所示。RSA数字签名可以看成是RSA信息加密通信的反向过程,发送方用自己的私钥对明文进行加密生成密文,然后将明文与生成的密文通过网络发送给接收方。接受方用发送方公钥对密文解密后与收到的明文比较,二者相同,则证明数字签名有效,信息是发送方发出的;二者不同则数字签名无效。4安全需求的实现过程基于通信加密技术和鉴别技术,本文提出了一种切实可行并安全可靠的电子商务安全方案。根据明文信息量大的特点,利用效率高速度的对称加密算法DES快进行加密,其密钥通过RSA算法用接收方公钥加密传输,利用数字信封的方法实现了数据和秘钥的加密传输,从而确保了信息传输的安全性。接收方利用SHA算法对加密后的明文运算后得到报文摘要H1,通过与发送方报文摘要值H的比较,判断信息是否遭到篡改,确保信息的完整性。发送方利用RSA算法对报文摘要H用其私钥加密后传输,用数字签名实现了身份认证和反抵赖的功能,从而完全实现了电子商务安全需求所要求的四方面内容,其实现过程如图5所示。电子商务安全需求的实现过程:步骤1:发送方用对称算法DES生成密钥K,然后用K对明文M加密得到密文C;步骤2:对密文C用SHA报文摘要算法运算得到其报文摘要值H;步骤3:发送方用其私钥加密报文摘要H生成HR,用接收方公钥加密密钥K生成KR;步骤4:将密文C、报文摘要HR和密钥KR通过网络发送给接收方;步骤5:接收方用SHA报文摘要算法对密文C运算得到其报文摘要值H1;步骤6:接收方用其私钥解密KR得到密钥K,用发送方公钥解密HR得到报文摘要H;步骤7:比较报文摘要H与H1,如果不同,则签名无效,程序结束;如果相同,则利用密钥K对密文C解密得到明文M。5公钥基础结构本文提出的电子商务安全方案实现了电子商务中信息的安全性传输、交易双方的身份确认、发送方不可否认和信息不被篡改功能,完全实现了电子商务安全需求。在实际应用中,方案若要加以应用,还必须确保公钥的公开性和可信度。这一点可以通过公共密钥基础结构(PublicInfrastructure,PKI)得到解决。它是目前共