通信加密與鑒別技術(shù)在電子商務(wù)安全中的應(yīng)用

通信加密與鑒別技術(shù)在電子商務(wù)安全中的應(yīng)用

電子商務(wù)信息安全面臨的挑戰(zhàn)近年來(lái)，計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)的快速發(fā)展導(dǎo)致了電子商務(wù)作為商業(yè)活動(dòng)的新形式。但在為用戶(hù)提供快速、直接、低成本商業(yè)服務(wù)的同時(shí),網(wǎng)絡(luò)尤其是互聯(lián)網(wǎng)絡(luò)所固有的開(kāi)放性與資源共享性也使電子商務(wù)的安全性受到嚴(yán)重挑戰(zhàn)。如何提供一個(gè)安全可靠的網(wǎng)絡(luò)交易環(huán)境,已經(jīng)成為當(dāng)前電子商務(wù)領(lǐng)域的核心問(wèn)題。本文所討論的以密碼學(xué)理論為基礎(chǔ)的通信加密和數(shù)字簽名技術(shù),正是電子商務(wù)安全體系的核心技術(shù),在電子商務(wù)安全體系中有極其重要的應(yīng)用。1電子商務(wù)的安全需求1.1數(shù)據(jù)的保密性電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的貿(mào)易體系。其信息代表著重要的商業(yè)機(jī)密,所以必須保證信息在網(wǎng)絡(luò)傳輸中的安全傳輸,即交易內(nèi)容的保密性。這是電子商務(wù)全面推廣應(yīng)用的重要保障。1.2信息差異的影響電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)貿(mào)易各方商業(yè)信息完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,數(shù)據(jù)在傳輸過(guò)程中的丟失以及病毒侵害都可能導(dǎo)致貿(mào)易各方信息的差異。因此,在電子商務(wù)活動(dòng)中需要一種技術(shù)手段驗(yàn)證交易雙方傳輸信息的一致性,即信息完整性保證。1.3網(wǎng)上交易身份的確定要使網(wǎng)上交易成功,參與交易的人首先要能確認(rèn)對(duì)方的身份,確定對(duì)方的真實(shí)身份與對(duì)方在網(wǎng)上交易的身份是否一致。因此,能夠方便而可靠地確認(rèn)對(duì)方身份,是實(shí)現(xiàn)網(wǎng)上交易的前提。1.4目標(biāo)函數(shù)的效力如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方這一問(wèn)題,是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書(shū)面文件上手寫(xiě)簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴(lài)行為的發(fā)生。因此,在電子商務(wù)活動(dòng)中,必須通過(guò)一定的技術(shù)手段方保證信息的收發(fā)各方都有足夠的證據(jù)證明接收或發(fā)送的操作確實(shí)發(fā)生了,并能夠確定發(fā)送方或接收方的身份,即信息的防抵賴(lài)性。2加密通信技術(shù)數(shù)據(jù)加密技術(shù)是對(duì)信息編碼重新組合,從而達(dá)到隱藏信息內(nèi)容,使無(wú)權(quán)用戶(hù)無(wú)法獲取信息真實(shí)內(nèi)容的一種技術(shù)手段。加密通信是在電子商務(wù)活動(dòng)的信息交換階段應(yīng)用數(shù)據(jù)加密技術(shù),實(shí)現(xiàn)信息保密性的通信技術(shù)。根據(jù)數(shù)據(jù)加密過(guò)程中加密算法的不同,加密通信可分為對(duì)稱(chēng)密鑰加密系統(tǒng)和非對(duì)稱(chēng)密鑰加密系統(tǒng)。2.1對(duì)稱(chēng)密鑰加密對(duì)稱(chēng)密鑰加密系統(tǒng)中發(fā)送方和接收方使用相同的密鑰,是一種典型的一對(duì)一的加密系統(tǒng)。目前比較優(yōu)秀的加密算法有DES、3DES、DEA、IDEA等,它們的運(yùn)算速度快,加密性能優(yōu)異。DES算法是一種簡(jiǎn)單的對(duì)稱(chēng)加密技術(shù),其原理如圖1所示。對(duì)64位二進(jìn)制數(shù)據(jù)加密,產(chǎn)生64位密文數(shù)據(jù),使用的密鑰為64位。對(duì)稱(chēng)密鑰加密系統(tǒng)中,發(fā)送方T利用對(duì)稱(chēng)密鑰S加密明文M,得到密文C后通過(guò)網(wǎng)絡(luò)傳送給接收方R。接收方R用同樣的密鑰S解密密文C得到明文M。由于DES對(duì)稱(chēng)密鑰加密系統(tǒng)的加密算法本身安全性很高,難以被攻破,對(duì)信息安全起到了重要的保護(hù)作用。但DES算法是公開(kāi)的,保密程度僅取決于密鑰的保密程度。所以對(duì)稱(chēng)密鑰加密系統(tǒng)有其本身所固有的缺陷:1)必須事先傳遞密鑰,造成密鑰傳遞過(guò)程中(帶內(nèi)傳輸)極易被竊。常規(guī)手段無(wú)法解決這種高風(fēng)險(xiǎn)。2)密鑰管理困難:假設(shè)有n方兩兩通信,如采用一把密鑰,則密鑰一旦被盜,整個(gè)加密系統(tǒng)崩潰;如采用不同密鑰,則密鑰數(shù)等于n*(n-1)/2,密鑰對(duì)數(shù)成幾何級(jí)數(shù)增長(zhǎng),密鑰管理成為不可能。3)由于密鑰共享,無(wú)法實(shí)現(xiàn)不可否認(rèn)。所以對(duì)稱(chēng)密鑰加密系統(tǒng)僅解決數(shù)據(jù)本身加密問(wèn)題,為解決加密通信中的帶內(nèi)傳輸問(wèn)題,引入了非對(duì)稱(chēng)秘鑰加密系統(tǒng)。2.2rsa算法原理非對(duì)稱(chēng)秘鑰加密系統(tǒng)引入了公鑰(PK)和私鑰(SK)的概念,其基本思想是:每個(gè)用戶(hù)都分配兩個(gè)密鑰,一個(gè)是公開(kāi)密鑰(PK),對(duì)所有用戶(hù)都公開(kāi);另一個(gè)是私有密鑰(SK),僅為自己所有。經(jīng)用戶(hù)公開(kāi)密鑰加密的信息只能通過(guò)其私有密鑰來(lái)解密;同樣,經(jīng)用戶(hù)私有密鑰加密的信息也只能通過(guò)其公開(kāi)密鑰才能解密。由于無(wú)法通過(guò)公鑰(PK)推算出私鑰(SK),從而解決了密鑰的帶內(nèi)傳輸問(wèn)題,實(shí)現(xiàn)了信息傳輸?shù)陌踩?其通信過(guò)程如圖2所示。RSA是基于公鑰思想提出的一種較為完善的非對(duì)稱(chēng)密鑰系統(tǒng),它利用數(shù)論中大數(shù)分解和素?cái)?shù)檢測(cè)的理論生成公鑰(PK)和私鑰(SK),二者在邏輯上是等價(jià)的。在RSA算法中,發(fā)送方用接收方的公鑰加密明文,接收方收到后用自己的私鑰解密即可得到的明文。而任何第三方由于沒(méi)有接收方的密鑰,即使截獲密文也無(wú)法解密,從而實(shí)現(xiàn)了數(shù)據(jù)的保密性傳輸。3識(shí)別技術(shù)3.1指紋優(yōu)化算法報(bào)文摘要是一種用以保證信息完整性的方法,它利用特定Hash函數(shù)對(duì)信息處理產(chǎn)生的一串固定長(zhǎng)度散列碼(Hash值),起到了數(shù)字指紋的作用。Hash值具有兩方面的特性:a.單向性,不可能由Hash值反推出信息的內(nèi)容。b.唯一性,信息的絲毫改動(dòng),都會(huì)造成Hash值完全不同。報(bào)文摘要的這兩個(gè)特性使其成為了信息的數(shù)字指紋,可以用來(lái)驗(yàn)證信息的真實(shí)性。目前較為流行的報(bào)文摘要算法有MD5算法和SHA算法,其中SHA是一種更為安全的雜湊散列算法。它可以處理小于264位的文件,處理速度較MD5稍慢一些,但其報(bào)文摘要的長(zhǎng)度較長(zhǎng)(160位),在地毯式搜索及逆向攻擊(InversionAttack)下,具有較高的安全性。其具體過(guò)程如圖3所示。步驟1:補(bǔ)齊區(qū)塊。將文件以512位元為單位切割成若干區(qū)塊后,在最后一個(gè)區(qū)塊補(bǔ)足若干位元,使數(shù)據(jù)位長(zhǎng)度Len滿(mǎn)足(Len+64)mod512=0。步驟2:附加長(zhǎng)度。補(bǔ)足區(qū)塊后,在最后必須添加原文件長(zhǎng)度的信息,長(zhǎng)度為64位元,為一無(wú)正負(fù)的整數(shù)。步驟3:初始化暫存器。在SHA中有一個(gè)160位元的暫存器,用以暫存經(jīng)過(guò)運(yùn)算的結(jié)果,在開(kāi)始生成摘要前,SHA會(huì)初始化該寄存器。步驟4:進(jìn)行運(yùn)作。經(jīng)過(guò)前3個(gè)步驟后,SHA即可以開(kāi)始以512位元為單位進(jìn)行運(yùn)作,每512位元經(jīng)過(guò)運(yùn)作后,就可以產(chǎn)生160位元的輸出。步驟5:輸出結(jié)果。以初值為始,將每次輸出的160位元的值相加模232運(yùn)算,即可獲得最后的160位元的報(bào)文摘要。3.2rsa數(shù)字簽名數(shù)字簽名是以保障基于網(wǎng)絡(luò)交易平臺(tái)下交易各方的合法權(quán)益為目的,滿(mǎn)足和替代傳統(tǒng)簽名功能的各種電子技術(shù)手段,一般是通過(guò)一個(gè)單向函數(shù)(如Hash函數(shù))對(duì)傳送的報(bào)文(明文)進(jìn)行處理并得到的用以認(rèn)證報(bào)文來(lái)源、核實(shí)報(bào)文是否發(fā)生改變的一個(gè)字母數(shù)字串(密文)。從動(dòng)態(tài)過(guò)程看,數(shù)字簽名技術(shù)就是利用數(shù)據(jù)加解密技術(shù)、數(shù)據(jù)變換技術(shù),根據(jù)某種協(xié)議來(lái)產(chǎn)生一個(gè)反映被簽署文件和簽署人特性的數(shù)字化簽名。數(shù)字簽名技術(shù)實(shí)現(xiàn)了電子商務(wù)安全體系中交易雙方身份的認(rèn)證、信息的防抵賴(lài)性需求。數(shù)字簽名的實(shí)現(xiàn)方法很多,有RSA、X.509、DSS簽名、HASH簽名等。目前在網(wǎng)絡(luò)應(yīng)用中最為流行的是基于RSA公開(kāi)密鑰系統(tǒng)的RSA數(shù)字簽名,如圖4所示。RSA數(shù)字簽名可以看成是RSA信息加密通信的反向過(guò)程,發(fā)送方用自己的私鑰對(duì)明文進(jìn)行加密生成密文,然后將明文與生成的密文通過(guò)網(wǎng)絡(luò)發(fā)送給接收方。接受方用發(fā)送方公鑰對(duì)密文解密后與收到的明文比較,二者相同,則證明數(shù)字簽名有效,信息是發(fā)送方發(fā)出的;二者不同則數(shù)字簽名無(wú)效。4安全需求的實(shí)現(xiàn)過(guò)程基于通信加密技術(shù)和鑒別技術(shù),本文提出了一種切實(shí)可行并安全可靠的電子商務(wù)安全方案。根據(jù)明文信息量大的特點(diǎn),利用效率高速度的對(duì)稱(chēng)加密算法DES快進(jìn)行加密,其密鑰通過(guò)RSA算法用接收方公鑰加密傳輸,利用數(shù)字信封的方法實(shí)現(xiàn)了數(shù)據(jù)和秘鑰的加密傳輸,從而確保了信息傳輸?shù)陌踩?。接收方利用SHA算法對(duì)加密后的明文運(yùn)算后得到報(bào)文摘要H1,通過(guò)與發(fā)送方報(bào)文摘要值H的比較,判斷信息是否遭到篡改,確保信息的完整性。發(fā)送方利用RSA算法對(duì)報(bào)文摘要H用其私鑰加密后傳輸,用數(shù)字簽名實(shí)現(xiàn)了身份認(rèn)證和反抵賴(lài)的功能,從而完全實(shí)現(xiàn)了電子商務(wù)安全需求所要求的四方面內(nèi)容,其實(shí)現(xiàn)過(guò)程如圖5所示。電子商務(wù)安全需求的實(shí)現(xiàn)過(guò)程:步驟1:發(fā)送方用對(duì)稱(chēng)算法DES生成密鑰K,然后用K對(duì)明文M加密得到密文C;步驟2:對(duì)密文C用SHA報(bào)文摘要算法運(yùn)算得到其報(bào)文摘要值H;步驟3:發(fā)送方用其私鑰加密報(bào)文摘要H生成HR,用接收方公鑰加密密鑰K生成KR;步驟4:將密文C、報(bào)文摘要HR和密鑰KR通過(guò)網(wǎng)絡(luò)發(fā)送給接收方;步驟5:接收方用SHA報(bào)文摘要算法對(duì)密文C運(yùn)算得到其報(bào)文摘要值H1;步驟6:接收方用其私鑰解密KR得到密鑰K,用發(fā)送方公鑰解密HR得到報(bào)文摘要H;步驟7:比較報(bào)文摘要H與H1,如果不同,則簽名無(wú)效,程序結(jié)束;如果相同,則利用密鑰K對(duì)密文C解密得到明文M。5公鑰基礎(chǔ)結(jié)構(gòu)本文提出的電子商務(wù)安全方案實(shí)現(xiàn)了電子商務(wù)中信息的安全性傳輸、交易雙方的身份確認(rèn)、發(fā)送方不可否認(rèn)和信息不被篡改功能,完全實(shí)現(xiàn)了電子商務(wù)安全需求。在實(shí)際應(yīng)用中,方案若要加以應(yīng)用,還必須確保公鑰的公開(kāi)性和可信度。這一點(diǎn)可以通過(guò)公共密鑰基礎(chǔ)結(jié)構(gòu)(PublicInfrastructure,PKI)得到解決。它是目前共