電子商務信息加密實踐

前言：尋找寫作靈感？中文期刊網用心挑選的電子商務信息加密實踐，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

本文作者：陳小軍

網絡環境中的電子商務需要大量的信息，包括商品生產和供應信息(商品的產地、價格、產量、質量、規格、品種等)、商品需求信息(消費群體、購買力水平、消費水平和消費結構、購買傾向等)、商品競爭信息(新產品開發、銷售渠道、價格策略、競購和競銷能力、促銷策略等)、財務信息(價格撮合、支付方式、收支款項等)、市場環境信息(政治狀況、經濟狀況、自然條件等)、客戶個人信息(姓名、家庭地址、聯系方式、銀行帳號等)。這些信息通過合同、定單、文件、財務核算、憑證、標準、條例等形式在交易雙方及參與交易的其他各方之間不斷傳遞。為了保證交易過程的順利完成，必須保證上述信息在傳遞過程中的安全性。任何成功的電子商務必須提供足夠的安全性、可靠性、可用性，才能贏得客戶的信賴和歡迎。

一、電子商務中的信息安全因素

一個安全的電子商務系統主要包括信息的機密性、完整性、不可抵賴性、有效性和認證性。1.機密性預防信息在傳輸過程中被非法竊取。機密性一般通過密碼技術對傳輸的信息進行加密處理實現。2完整性預防對信息的隨意生成、修改。完整性一般通過提取信息的數字摘要以及數字簽名方式來實現。3.不可抵賴性對參與電子商務交易的個人和實體進行真實身份標識，防止其對傳輸的信息進行抵賴。不可抵賴性通過對發送的信息進行數字簽名來實現。4.有效性以保證貿易數據在確定的時刻、確定的地點是有效的。有效性可以用數字時間戳來實現。5.認證性數字簽名、數字時間戳本身不能證明提供者的真實身份。對個人或實體的身份進行鑒別，為身份的真實性提供保證，這意味著當某人或某實體聲稱具有某個特定的身份時，鑒別服務將提供一種方法來驗證其聲明的正確性。認證性一般通過證書機構CA和數字證書來實現。

二、數字證書與認證機構CA

數字證書簡稱證書，是由認證機構CA(Cer-tifieateAuthority)簽發的一份電子文件，證明證書主體(“證書申請者”擁有證書后即為“證書主體”)與證書中所包含的公鑰的惟一對應關系。它是數字簽名的技術基礎保障。數字證書采用公開密鑰密碼體制技術，證書上的公鑰惟一與實體身份綁定，是網上實體身份的身份證，證明某一實體的身份以及其公鑰的合法性。證書的主要內容及格式遵循X.509國際標準，一個標準的X.509數字證書包含以下一些內容(參見圖1):(l)證書的版本信息;(2)證書的序列號，每個證書都有一個惟一的證書序列號;(3)證書所使用的簽名算法;(4)證書的發行機構名稱，命名規則一般采用X.509格式;(5)證書的有效期，現在通用的證書一般采用UTC時間格式，它的計時范圍為1950一2049，證書的有效期為一年;(6)證書所有人的名稱，命名規則一般采用X.509格式;(7)證書所有人的公開密鑰;(8)證書發行者對證書的數字簽名。

三、非對稱加密技術(公開密鑰密碼體制)

公開密鑰密碼體制是美國在1976年制定的。最有名的公開密碼體制技術是RSA算法，它是以三個發明人的名字命名的(凡vest，Shahar，Adellnan)。它與傳統的對稱密鑰算法有本質的區別，對稱密鑰算法常用的是DES(L勝taEnc卿tionStandard)算法，加/解密時用的是同一個密鑰。而公鑰算法采用的是非對稱的密鑰(一對密鑰)，每對密鑰由一個公鑰和一個私鑰組成。密鑰對中的每個密鑰都可用于加密和解密，但只能成對使用，即用公鑰加密的密文只能用對應的私鑰解密，反之亦然。RSA算法的基本原理是，利用兩個足夠大的質數與被加密原文相乘生產的積來加密/解密。這兩個質數無論是用哪一個與被加密的原文相乘(模乘)，即對原文件加密，均可由另一個質數再相乘來進行解密。但是，若想用這個乘積來求出另一個質數，就要進行對大數分解質因子，分解一個大數的質因子是十分困難的，若選用的質數足夠大，這種求解幾乎是不可能的(根據目前計算機的計算能力，破解RSA算法的密鑰大概需要1016年)。因此，將這兩個質數作為密鑰對，其中一個采用私密的安全介質保密存儲起來，不對任何外人泄露，簡稱為“私鑰”;另一個密鑰可以公開發表，這個密鑰稱之為“公鑰”。公/私密鑰對的用途，①公鑰加密私鑰解密主要用于發信，當發方向收方通信時，發方用收方的公鑰對原文進行加密，收方收到發方的密文后，用自己的私鑰進行解密，其他人是無法解密的;②私鑰加密公鑰解密主要用于簽名，當發方向收方簽發文件時，發方用自己的私鑰加密文件傳送給收方，收方用發方的公鑰進行解密，可確保信息來源于發方。因此，私鑰可保證信息來源的不可抵賴性，公鑰可保證信息的機密性。密鑰對的產生可由認證機構的密鑰管理中心負責提供，也可由用戶離線產生。密鑰對一經產生便自動將其銷毀或者為了以后密鑰的恢復的需要而將其存人離線的安全黑庫里，以上這此工作都由程序自動完成。在密鑰對產主以后，公鑰通過簽證中心CA以證書的形式向用戶發放，私鑰經加密后用PIN卡(或IC卡)等形式攜帶分發至用戶。

四、數字簽名技術

數字簽名用于電子文檔，就像親筆簽名用于印刷文檔。數字簽名是一條不能偽造的信息，表示一個具名人寫了或同意該附帶簽名的文檔。數字簽名信息的接收者可以驗證該信息源于簽名的人以及該信息在簽名后未被有意或無意的更改過。換句話說，數字簽名支持數字信息的“鑒定”，向數字信息的接收者保證發送者的身份和該信息的完整性。數字簽名在1507498一2標準中定義為:“附加在數據單元上的一些數據，或是對數據單元所作的密碼變換，這種數據和變換允許數據單元的接收者用以確認數據單元來源和數據單元的完整性，并保護數據，防止被人(例如接收者)進行偽造”。實際應用時，數字簽名是通過一個單向函數(稱為哈希算法、HASH算法)對要傳送的電子文件進行處理得到數字摘要(也稱為報文摘要或信息摘要)，再用私鑰對摘要加密得到數字簽名。數字簽名的具體做法是:首先，將報文按雙方約定的HASH算法計算得到一個固定位數的報文摘要。在數學上保證:只要改動報文中任何一位，重新計算出的報文摘其次，將該報文摘要值用發方的私人密鑰加密，然后連同原報文一起發送給收件人，而加密后的報文摘要即為數字簽名。最后，收件人收到報文后，用同樣的HASH算法對報文計算摘要，然后與用發件人的公鑰進行解密得到的報文摘要相比較。如兩者相等則說明報文確實來自發件人。采用數字簽名，能夠確認以下兩點:第一，保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認;第二，保證信息自簽發后到收到為止未曾作過任何修改，簽發的文件是真實文件。因此，數字簽名技術可以解決信息傳輸過程中的否認、偽造、篡改及冒充等問題。#p#分頁標題#e#

五、信息安全的驗證

在網上傳輸一個電子文件，其技術過程大致為:首先是發件方對電子文件進行簽名后發送，然后是收件方對發件方簽名的驗證，最后是收件方對發件方身份的認證。下面舉例說明。甲發送一個電子文件給乙。操作及認證過程如下:第一步:發送信息首先，甲對電子文件創建一個報文摘要;其次，甲用自己的私鑰加密該報文摘要，加密后的報文摘要就是該電子文件的數字簽名;然后，甲將電子文件、數字簽名、數字證書一并封裝，形成數字簽名結果;最后，甲用乙的公鑰對簽名結果加密(數字信封)后發送給乙。第二步:驗證該信息首先，乙用私鑰對收到的電子文件解密(解開電子信封)，得到甲所發送的電子文件原文，并按事先與甲約定的HASH算法創建一份報文摘要;然后，乙用甲的公鑰解開甲的數字簽名，得到甲所創建的原始報文摘要;最后，將兩份報文摘要進行比較，如果它們完全一致，乙就可以確信此電子文件確實是來自甲，并且在傳輸過程中未有任何改動，更不可能被冒充。第三步:驗證數字證書的合法性其一是合法性驗證，乙獲得甲的證書后，用CA根證書的公鑰對證書上的數字簽名(發證機構的簽名)進行解密，一經驗證通過，該證書就被認為是CA中心頒發的。其二是有效性驗證，乙利用解碼工具查看甲證書是否在有效期內，是否上了黑名單，即有效性檢查。如果上述認證全部成功，足可以證明以下四個實質性的問題:第一、發件人的身份是真實可信的;，因為其證書合法有效。第二、該電子文件確實是由簽名者所發出的，電子文件來源于該發送者，具有不可抵賴性。因為，簽名所用私鑰由簽名人自己所控制。第三、收件方收到的電子文件在傳輸中沒有被篡改，保證了信息的完整性。因為，簽名后對電子文件的任何改動都能夠被發現。第四、收件方收到的電子文件在傳輸中沒有泄露，也沒有被冒充，保證了信息的機密性。因為收件方的私鑰能且只能解開其相對應的公鑰加密的密文。

六、數字時間戳

數字時間戳技術(又稱數字時間印鑒)是數字簽名的一種變種應用。在電子商務交易文件中，時間是十分重要的信息。在簽署電子合同時，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容，是法律意義上合同生效的證據，特別是在合同簽名人的證書過期或其他原因作廢之后，時間戳能提供不可抵賴性證據。數字時間戳服務(DTS:digitaltimestampservice)是網上電子商務安全服務項目之一，能提供電子文件的日期和時間信息的安全保護，由專門的機構提供。數字時間戳(timestamp)是一個經加密后形成的憑證文檔，它包括三個部分:(l)需加時間戳的文件的摘要(digest);(z)DTS收到文件摘要的日期和時間;(s)DTS的數字簽名。一般來說，時間戳產生的過程為:用戶首先將需要加時間戳的文件經HASH運算形成摘要，然后將該摘要發送到DTS，DTS在加人了收到文件摘要的日期和時間信息后再對該文件加密(數字簽名)，然后送回用戶。用戶通過驗證時間戳上的DTS簽名及摘要，即可驗證時間戳的合法性及與文件的關聯性。為了安全可靠，時間戳一定不能偽造。提供時間戳的DTS機構必須做到:(l)DTS本身的密鑰必須長期有效，保證時間戳在數十年內可靠;(2)DTS的私鑰必須被非常安全的存儲，如在保險箱中;(3舊期和時間必須來自一個時鐘(也在保險箱中)，此時鐘不能重置而且幾年甚至幾十年都必須準確;不使用保險箱中的設備，創建時間戳一定是不可能的。

七、信息安全基礎設施

前面介紹的加密技術、數字簽名技術、數字證書技術、數字時間戳技術都需要在一定的硬件和軟件的支持下才能實現，認證還必須由專門機構和專業技術人員負責實施。工程學家把提供網上安全服務的所有基礎設施及機構、人員統稱為公開密鑰設施(PKl:PublicKeyInfrastrueture)。換句話說，PKx是創建、頒發、管理和撤消數字證書所涉及到的所有軟件、硬件系統，以及所涉及到的全過程的安全策略規范、法律法規及機構和人員的集合體的總稱‘，PKI利用非對稱密碼技術(即公開密鑰密碼技術)來實現提供通用性網絡安全服務。它遵循標準的公鑰加密技術，為電子商務、電子政務、網上銀行和網上證券業，提供一整套關于安全保障服務的基礎平臺。用戶利用PKI基礎平臺所提供的安全服務，能在網上實現安全通信。PKI的核心執行機構是認證機構CA，其核心元素是數字證書。PKI主要由認證機構、證書庫、密鑰備份及恢復系統、證書作廢處理系統、PKI應用接口系統等五大系統組成。隨著全球經濟一體化步伐的加快，電子商務將會得到迅猛發展，信息安全將為我們每個人所關注，數字證書、數字簽名等信息安全技術必將成為人們必備的技術手段。