深究電子商務(wù)中信息加密科技以及運(yùn)用
時(shí)間:2022-11-23 11:30:00
導(dǎo)語(yǔ):深究電子商務(wù)中信息加密科技以及運(yùn)用一文來(lái)源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。
一、電子商務(wù)的安全控制要求
電子商務(wù)發(fā)展的核心和關(guān)鍵問(wèn)題是交易的安全性。由于Internet本身的開(kāi)放性,使網(wǎng)上交易面臨了種種危險(xiǎn),也由此提出了相應(yīng)的安全控制要求。密碼學(xué)提供以下信息安全服務(wù)。
1.信息的保密性。交易中的商務(wù)信息有保密的要求。如信用卡的帳號(hào)和用戶名被人知悉,就可能被盜用。因此在電子商務(wù)的信息傳播中一般均有加密的要求。
2.信息的完整性。交易的文件是不可被修改的,如其能改動(dòng)文件內(nèi)容,那么交易本身便是不可靠的,客戶或商家可能會(huì)因此而蒙受損失。因此電子交易文件也要能做到不可修改,以保障交易的嚴(yán)肅和公正。
3.信息源鑒別。在商家發(fā)送信息過(guò)程當(dāng)中,可能出現(xiàn)偽裝成商家的攻擊者發(fā)送虛假信息,因此使用密碼學(xué)中基于非對(duì)稱加密技術(shù)的書簽簽名體制可以幫助數(shù)據(jù)接收方確認(rèn)數(shù)據(jù)源自特定的用戶。
4.不可否認(rèn)性。如果交易雙方一方產(chǎn)生抵賴,將會(huì)對(duì)交易活動(dòng)的另一方帶來(lái)不可避免的損失。因此,必須確保通信和交易雙方無(wú)法對(duì)已進(jìn)行的業(yè)務(wù)進(jìn)行否認(rèn)。
二、信息加密技術(shù)
1.對(duì)稱密鑰密碼體制。凱撒密碼通過(guò)對(duì)字母移位的方式進(jìn)行加密,這是一種典型的對(duì)稱加密算法。其算法是:如果密鑰為3,將26個(gè)英文字母順序不變,但使a,b,c,……,z分別對(duì)應(yīng)d,e,f,……,c。如果明文為day,那么密文就是gdb。解密算法是加密算法的逆運(yùn)算,即字母位置向前移動(dòng)3位,并一一對(duì)應(yīng)。但此種算法由于字母出現(xiàn)頻率的高低容易被破解,并且只有26個(gè)字母,容易被窮舉法分析得出密鑰。
對(duì)稱加密體制中,加密密鑰與解密密鑰相同。因此,密鑰的保護(hù)尤為重要,如果第三方截獲該密鑰就會(huì)造成信息失密。在對(duì)稱加密算法中,可以保障的只有信息的保密性。而無(wú)信息的完整性等其他性能。
2.非對(duì)稱密鑰密碼體制。與對(duì)稱密鑰密碼體制相對(duì)應(yīng),非對(duì)稱加密算法中,加密密鑰與解密密鑰不同。這對(duì)密鑰在密鑰生成過(guò)程當(dāng)中同時(shí)產(chǎn)生。在使用時(shí),該對(duì)密鑰持有人將其中一個(gè)密鑰公開(kāi),而將另一密鑰作為私有密鑰加以保密,前者稱為公鑰,后者稱為私鑰。任何持有公鑰的人都可加密信息,但不能解密自己加密的密文,只有密鑰持有者可以用私鑰對(duì)收到的經(jīng)過(guò)公鑰加密的信息解密。由于在非對(duì)稱密鑰密碼體制所使用的兩個(gè)不同的密碼中有一個(gè)需要向所有期望同密鑰持有者進(jìn)行安全通信的人隨意公開(kāi),所以該密碼體制又被稱為公鑰密碼體制。
3.Hash函數(shù)。Hash,一般翻譯做“散列”,也有直接音譯為“哈?!钡?就是把任意長(zhǎng)度的輸入,通過(guò)散列算法,變換成固定長(zhǎng)度的輸出,該輸出就是散列值。猶如人類的指紋,每個(gè)不同的文件偶有不同的hash值。因此,一旦文件稍微改變,文件的Hash值將完全不同。由此可以鑒別信息的完整性。Hash函數(shù)的特征主要有兩個(gè):強(qiáng)碰撞自由和計(jì)算的單向性。由于強(qiáng)碰撞自由可以鑒別文件的完整性。但由于計(jì)算不可逆,在計(jì)算前應(yīng)保存好文件原本,在發(fā)送信息時(shí)將文件與其被加密的Hash值同時(shí)發(fā)送。
4.數(shù)字簽名。在現(xiàn)代社會(huì)里,電子郵件和網(wǎng)絡(luò)上的文件傳輸已經(jīng)成為生活的一部分。郵件的安全問(wèn)題就日益突出了,大家都知道在Internet上傳輸?shù)臄?shù)據(jù)是不加密的。如果你自己不保護(hù)自己的信息,第三者就會(huì)輕易獲得你的隱秘。另一個(gè)問(wèn)題就是信息認(rèn)證,如何讓收信人確信郵件沒(méi)有被第三者篡改,就需要數(shù)字簽名技術(shù)。
實(shí)現(xiàn)數(shù)字簽名的過(guò)程如下:
(1)信息發(fā)送者使用一單向散列函數(shù)(Hash算法)對(duì)信息生成信息摘要。(2)信息發(fā)送者使用自己的私鑰簽名信息摘要。(3)信息發(fā)送者把信息本身和已簽名的信息摘要一起發(fā)送出去。(4)任何接收者通過(guò)使用與信息發(fā)送者使用的同一個(gè)單向散列函數(shù)對(duì)接收的信息生成新的信息摘要,再使用信息發(fā)送者的公鑰對(duì)信息摘要進(jìn)行驗(yàn)證,以確認(rèn)信息發(fā)送者的身份和信息是否被修改過(guò)。
三、軟件應(yīng)用——混合型加密體制PGP
PGP(prettygoodprivacy)是一個(gè)基于非對(duì)稱密碼體系的文件加密、數(shù)字簽名和證書管理軟件。其創(chuàng)造性在于把非對(duì)稱密碼體系的方便和傳統(tǒng)對(duì)稱加密體系的高速度結(jié)合起來(lái),并且在數(shù)字簽名和密鑰認(rèn)證管理機(jī)制上有巧妙的設(shè)計(jì)。因此PGP已成為目前最流行的信息加密和簽名產(chǎn)品之一。PGP可以對(duì)電腦存儲(chǔ)的文件實(shí)施加、解密;對(duì)你的郵件保密以防止非授權(quán)者閱讀,它還能對(duì)發(fā)出郵件加上數(shù)字簽名從而使收信人可以確信郵件來(lái)源。它讓使用者可以安全地和從未見(jiàn)過(guò)的人們通訊,事先并不需要任何保密的渠道用來(lái)傳遞密鑰。
PGP中用到了以下幾中主要的加密技術(shù),對(duì)稱加密,非對(duì)稱加密,單向函數(shù)。利用PGP軟件可以形成一對(duì)密鑰,并且可以存儲(chǔ)多對(duì)密鑰。讓加密者選擇自己想要發(fā)送信息的對(duì)象的公鑰對(duì)信息進(jìn)行加密。
PGP的使用步驟如下:
1.安裝。
2.生成密鑰對(duì)。首先要生成一對(duì)密鑰。也就是一個(gè)公鑰和一個(gè)私鑰。從“開(kāi)始”菜單中選擇“PGP”中的“PGPKeys”。其中公鑰是發(fā)送給別人用來(lái)加密鑰發(fā)送給自己的文件的,私鑰是自己保存,用于解密別人用公鑰加密的文件,或者起數(shù)字簽名的作用。生成公鑰的時(shí)候最好輸入姓名或email地址方便別人辨識(shí)。
3.導(dǎo)出并發(fā)送公鑰。公鑰導(dǎo)出之后,將其發(fā)送給需要跟自己進(jìn)行安全通信的人??梢酝ㄟ^(guò)多種方式,如發(fā)傳送公鑰或者將公鑰放在公鑰服務(wù)器上以供別人查找下載。
4.文件加密與解密。選中要加密的文件,右鍵,然后選擇“PGP”——“Encrypt”。然后在密鑰選擇對(duì)話框中,選擇要接受文件的接收者。選住該接收者的公鑰,將其公鑰拖到對(duì)話框的下部分,點(diǎn)擊“OK”,并且為加密文件設(shè)置保存路徑和文件名。
5.對(duì)文件簽名與驗(yàn)證數(shù)字簽名。選擇要進(jìn)行簽名的文件,點(diǎn)擊右鍵,選擇“sign”。此時(shí)只能證明郵件的發(fā)出方,而文件內(nèi)容并沒(méi)有加密。驗(yàn)證該簽名時(shí)則選中文件,點(diǎn)擊右鍵,選擇“verify”。
使用PGP可以安全方便的保護(hù)自己的文件,并可將自己的密鑰導(dǎo)出保存,避免因軟件重裝后造成之前的加密文件不可用。