加密技术在电子商务安全中的应用研究

加密技术在电子商务安全中的应用研究

作者：居来提.阿不都热依木 阿布都热合曼.阿布都艾尼 来源：《现代商贸工业》2011年第17期

（财经大学工商管理学院， 乌鲁木齐 830012）

摘 要：分析加密技术在电子商务安全方面的应用现状。对称加密方面，重点讨论DES算法及其安全应用方面存在的问题；非对称加密方面，重点研究RSA算法及其应用中存在的问题。通过比较对称密钥加密和公开密钥加密的优缺点，总结出在电子商务中应用混合密钥加密。

关键词：加密技术；对称加密；非对称加密

中图分类号：F2 文献标识码：A文章编号：1672-3198（2011）17-0267-02

电子商务源于英文ELECTRONIC COMMERCE，简写为EC。其内容包含两方面：一是电子方式，二是商贸活动。随着Internet的发展，电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。电子商务作为一种新的商业应用形式，将企业和企业，企业与用户通过Internet有机地结合起来，提供了无限的商机。电子商务的发展给人们的工作和生活带来了新的尝试和方便的同时也促进了世界经济的全球化发展。但电子商务并没有像人们想象的那样普及和深入，除其他因素外，一个很重要的原因就是电子商务的安全性，电子商务安全问题是电子商务发展中的一个主要障碍。电子商务安全技术的应用为建立一个安全、便捷的电子商务应用环境,对商家和客户的信息提供足够的保护,起着关键性的作用。 1 电子商务中的不安全因素

由于Internet的开放性，使网上交易存在许多危险，因此，就有了以下的几个安全性要求：

（1）信息保密性。交易中的信用卡账号及用户名都要求进行加密处理，防止由于信息丢失造成损失；

（2）身份确认。由于交易双方都可能不知对方的身份，要使交易顺利进行，必须确认对方的身份。这是安全电子交易的前提；

（3）信息的不可否认性。由于商情千变万化，交易一旦达成，是不能被否认的。否则，必然会损害某一方的利益。因此，在电子交易过程中的信息是不可否认的；

龙源期刊网 http://www.qikan.com.cn

（4）不可修复性。交易的文件也是不可修改的，以保证交易的严肃和公正。在Internet上的电子商务交易过程中，最核心和最关键的问题就是交易的安全性。 2 加密技术及算法

为了保证电子商务的安全要求，EC系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务，主要包括：鉴别服务、访问控制服务、机密性服务、不可否认服务等。各种EC安全服务都是通过安全技术来实现的。EC使用的主要安全技术包括：加密、数字签名、数字证书、电子信封等。一般的数据加密模型如图1。

虽然加密和解密算法是公开的，密码分析者可以知道算法与密文，但是他并不知道密钥，因此仍难于将密文还原为明文。根据密钥的特点将密码算法分为对称加密和非对称加密。

（1）对称加密——私有密钥钥加密。

对称加密算法是加密密钥Ke与解密密钥Kd为同一密钥的加密算法。信息的发送者和接收者在进行信息的传输和处理时共同持有该密钥。对称加密最著名的算法是美国数据加密标准DES。

DES（Data Encryption Standard）加密算法,双方的密钥都处于保密的状态,其安全性能完全依赖于对密钥的保护。由于这种将算法和密钥进行了分离,并且算法的保密性完全依赖于密钥（即私钥）的安全性,因此,亦被称为私钥加密。它不仅可用于数据加密,也可用于消息的认证。DES运算速度快,适合对大量数据加密,但其密钥必须通过安全的途径传送,对密钥的管理和分发十分困难, 比如，在购物支付环境中，一个具有n个用户的网络，因为每对用户每次使用对称式加密算法都需要使用其他人不知道的唯一的密钥，以保证信息的机密性，所以系统拥有的密钥总数为n（n-1）/2，若n于104，则就大约需要管理5×107个密钥，耗费大量的存储空间，所需费用十分庞大,而且,私钥加密算法不支持数字签名,这对远距离的数据传输来说也是一个障碍。

（2）非对称加密——公钥加密。

麻省理工学院的三位教授（Rivets、Shimmer和Ad leman）发明了 RSA公开密钥密码系统加密密钥和解密密钥为2个不同的密钥的密码。它使用一对密钥：一个称为公钥PK，是公开的，由他人使用，其作用是进行加密或验证数字签名；另一个称为私钥SK，由用户自己使用，是保密的，用于解密或对消息进行数字签名。这两个密钥之间的关系是用其中任何一个密钥加密的信息只能用另一个密钥解密，而且解密密钥不能从加密密钥获得。若以公钥作为加密密钥，以私钥为解密密钥，则可实现多个用户加密的信息只能由一个用户解读；反之，以私钥作为加密密钥而以公钥作为解密密钥，则可实现一个用户加密的信息可由多个用户解读。前者用于数据加密，后者用于数字签名。

龙源期刊网 http://www.qikan.com.cn

RSA加密算法是当前最著名且应用最广泛的公钥算法，其安全性基于模运算的大整数素因子分解问题的困难性。选择两个互异的大素数p和q,一般要求大于10100；计算np×q和z（p-1）（q-1）；选择一个与z互质的整数，记为d；计算满足下列条件的e，（e×d）mod z1。这里（n,e）就是公开的加密密钥，（n,d）是私钥。在进行加密时，把明文分割成一定大小的块M，加密过程即C＝M e（MODn）；解密过程即M＝Cd（MODn）。在RSA算法中，n的长度是控制该算法可靠性的重要因素，目前大多数加密程序均采用1024位以上。因为它无须收发双方同时参与加密过程，非常适合于电子函件系统的加密。尽管RSA算法既可用于加密、也可以用于数字签名，但其加密、解密运算复杂，速度慢，所以目前该算法适用于少量数据的加密，更多的用于加密密钥。

例如，假定P ＝3，Q ＝11，则nP×Q ＝33，选择 e 3，因为3和20没有公共因子。 （3×d）MOD（20）＝1，得出d＝7。从而得到（33，3）为公钥；（33，7）为私钥。加密过程为将明文M的3次方模33得到密文C，解密过程为将密文C 的7次方模33得到明文。

3 加密在电子商务中的应用

在实际应用中，电子商务的安全加密系统普遍采用对称加密和非对称加密相结合的混合加密：用对称密码算法来加密或解密大量的数据，而用非对称密码算法来加密关键性的、核心的机密数据。这样既发挥了对称密码算法的高速、简便性又充分利用了非对称密码密钥管理的方便、安全性，较好地解决了运算速度问题和密钥分配管理问题。

电子商务常用的SSL（Secure Socket a Layer，安全套层）安全措施也是利用两种加密对客户机和服务器之间所传输的信息进行加密。我们知道，电子商务的主要特征利用信用卡在线支付。SSL3.0通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证。在用数字证书对双方的身份验证后，双方就可以用秘密密钥进行安全会话了。最主要的是，SSL是一个面向连接的协议，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系，因此，为了实现更加完善的电子交易，Master Card和Visa以及其它一些业界厂商制订并发布了SET（Secede Electronic Transaction）协议，即安全电子交易协议。SET协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。目前，SSL和SET是电子商务中两种安全在线支付协议。随着Internet网络技术的发展，越来越多的人通过Internet网络参与到电子商务中。电子商务的发展速度非常快，前景十分诱人。但随之而来的安全问题也越来越突出。数据加密技术，特别是混合密钥加密技术是电子商务采用的主要技术，它是一种主动安全防御策略，通过数据传输、存储、完整性鉴别、密钥管理等多种类型，为数据提供安全保护，它必将和其它安全技术一起，充分保证电子商务的安全，同时将不断得到自身的发展和完善。 参考文献

龙源期刊网 http://www.qikan.com.cn

［1］邱新建.信息加密技术概论［J］.石家庄职业技术学院学报,2004，（12）：16-（6）. ［2］张泽增,赵霖.计算机加密算法［M］.西安:西安电子科技大学出版社,2004. ［3］赵照.电子支付技术安全问题研究［J］.消费导刊，2008，（5）.

［4］劳帼龄.电子商务的安全技术［M］.北京:中国水利水电出版社，2005，（9）.