电子商务安全结构浅析

数据加密技术是信息安全的核心和关键技术，加密层对原始数据进行处理保证数据的安全性，电子交易能否顺利完成数据的完整传输便是关键所在，利用数据加密技术对原始数据加密，使得数据即使丢失，获得数据的第三方仍旧无法识别。数据加密技术采用一定的加密算法，加密系统将明文转换为密文，使非法用户不能理解明文，使得数据得到保障的一种技术。不妨设X为加密算法，Y为解密算法，那么数据加解密的数学表达式为：P=X(KX，Y(KY，P))[7]数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密，常用的有链路加密、节点加密和端到端加密三种方式。数据加密算法有很多种，随着信息化的发展目前国内外比较常用的加密算法是：对称加密和非对称加密算法。1）对称加密算法对称加密，信息的接收方发送方要使用相同的密钥，交易双方在传送数据之前，就要约定一个密钥，对称加密算法的安全依靠密钥，那么密钥的机密性对交易来讲尤为关键。对称加密算法特点：算法是公开的并且计算量小相对加密速度快、加密效率高。如图2所示。目前被广泛认可的对称加密技术有：DES、RC2、RC4、RC5和Blowfish等。着重看一下DES加密算法，DES是对二元数据进行加密的算法分组长度64位，原始数据分组也是64位，解密密钥同加密密钥顺序相反。DES基本上有着对称加密算法的特点，只是DES生存周期较短，运算速度相对不是很快。DES工作原理：key、data、mode，是DES的三个入口参数。加解密使用密钥key，加解密数据data，工作模式mode。当处于加密模式时，原始数据按照64位进行分组，形成原始数据组，key对数据加密；当处于解密模式时，key对数据解密。由于现实的局限性密钥只用到了56位，同时也由于密钥的容量只有56位不能提供足够的安全空间。针对DES算法的破解手段主要是暴力破解。DES加密体制流程。如图3所示。2）非对加密算法非对称加密，是一种公私钥加密系统，密钥分为公开密钥和私有密钥，加密和解密时使用不同密钥的加密算法，当公开密钥和私有密钥配对，产生密钥对，此时公开密钥对外公开，发送发则要将私有密钥保留在自己手中。目前被广泛认可的非对称加密技术有：RSA、Elgamal、背包算法、Rabin、HD,ECC。其中RSA算法使用比较广泛。重点介绍比较常用的RSA算法。RSA公开密钥加密，一种非对称加密算法，RSA算法中包含两个密钥加密密钥和解密密钥，即使用不同的加密密钥和解密密钥。在算法中使用的加密密钥是公开的，那么可以到到这样的加密解密方程式：n=p×q，P∈[0，n-1]，p和q均为大于10100的素数，其中p、q是两个保密的素数。RSA的密钥空间比较充足，但是RSA加密速度慢并且安全性依赖于大数分解，因此目前对RSA最流行的攻击一般是采取基于大数因数的分解。想要获得原始数据的攻击者，将自己的数据伪装后给拥有私钥的人发送数据，根据加密解密原理来推导出密钥，获得想要的原始数据。

综上所述。无论是对称加密还是非对称加密。在他们的安全管理范围内都存在一定的弊端，因此我们要确保网络通信的安全，不能单一的采用某一种加密手段，一般是多种方法嵌套使用。安全认证技术一般就是我们所常用的有：身份认证、电子签名、数字摘要、数字证书、数字信封、数字时间戳等技术。电子签名：只能有信息发送方产生，附加在数据单元上的一些数据,电子签名保证传送的数据不被人改写或假冒。身份认证：数字证书使用电子手段来标识用户的身份。数字信封又称为数字封套，使用某种加密算法让只有知道密钥的人才能看到数据，其目的是确保数据的机密性。数字时间戳：就像在实体见面的交易中，交易双发要签订有效时间，那么采用同样的模式利用网络平台交易双方也要签订日期。数字证书：用来衡量用户是否有权利访问网络资源。就目前的发展形势来看，SSL和SET是电子商务常用的两种安全协议，都采用RSA算法加密，都可通过认证来进行身份的识别，SSL被广泛用于网上交易。SSL安全套接层协议，只要是安装了该协议的用户和服务器之间进行数据交换，该协议都为之提供可靠保障。而SET是基于应用层的协议，使用较复杂，要在银行建立支付网关，在商家的Web服务器上安装商家软件，在用户的个人计算机上安装电子钱包软件等，推广应用较困难。SSL协议可以对数据进行加密，维护数据的完整性，然而目前许多运营商可以利用自身的权利，使用一定的数据抓捕工具，很快的分析出客户的需求，并马上提供个客户想要商品的其他的同类商品，或者是分析其他运营商的数据，产生一种恶性竞争。对于客户来讲，提供相关的其他同类商品的信息，看似是一种好的服务，但是同时也是在侵犯用户的隐私，为此在应用层也就客户在浏览网页时，如果客户需要商家提供相关的同类商品的信息时，商家才能对客户的数据进行分析，否则不应任意分析用户的数据。

信息化时代，加剧了计算资源互联和共享，各行各业的信息化程度也不断加深，人们对计算机和互联网越来越依赖，但随之而来的信息安全问题也日益突出。例如个人信息未经允许外泄是最大的隐患，黑客利用安全技术存在的漏洞破解网页源代码，同时在网上种植病毒程序，用户一旦登入进行浏览，黑客便马上通过病毒程序分析出用户浏览的信息。所以如何保护用户的信息已成为电子商务的首要问题。对此作出以下几点要求[2]：1）加强教育和宣传，提高电子商务安全意识。电子商务的发展是近几年才开始流行的，因此对于电子商务的了解并不是所有的人都清楚的，我们不仅要培养电子商务的专业人才，而且要要每个使用者了解电子商务的特性，懂得安全的使用电子平台，保护自己的合法利益。2）数据加密加强信息安全。对相关的加密技术进行不断的研究，虽然目前已存在多种加密算法但是仍就不能满足当前的一些需求。鼓励和扶植企业加快数字安全技术的研究，提高我国信息和管理水平，促进电子商务安全建设。3）健全的法制体系。电子商务不同于实实在在的交易，很多协议都是交易双方通过网络来完成，那么必定会有一些人利用这一点进行诈骗，那么这就要求对这些进行网络犯罪的人进行法律的制裁，维护消费者和合法商家的利益。

电子商务给人们的生产生活带来了便利，但作为新兴事物仍旧存在许多不足，无论是哪种经营模式，保证用户的安全和利益都是刻不容缓的，因此需要在技术上不断的创新与发展，使得电子商务能够更好的为人类造福。

本文作者：工作单位：