电子商务的安全

2024-08-30

电子商务的安全（精选8篇）

电子商务的安全篇1

电子商务交易安全调研报告

摘要：随着互联网的迅猛发展,网上交易日益成为新的商务模式，基于网络资源的电子商务交易已为大众接受。在享受网上交易带来的便捷的同时，交易的安全性备受关注,网络所固有的开放性与资源共享性导致网上交易的安全性受到严重威胁。因此，网络信息安全性就成了电子商务成功发展的关键因素，下面从电子商务中存在的安全问题、电子商务的安全要素以及安全技术等方面对电子商务交易中的安全问题进行分析。

从消费者得角度出发，消费者在网上订购并确认了向某个商家购买某一个产品，在支付环节会存在如下一些问题：

（1）例如，消费者在网上订购了某件商品，他之所以付款，是相信网上商城的信誉，但如果出现经济纠纷，谁知道我付了款呢？凭证在哪？怎么打官司？给了钱，没凭证，支付后一直担忧。

（2）消费者没拿到货，就找商家，商家给了答复：“我们却是知道你要买某个商品，但是我们没有收到钱，怎么给你发货呢？”给了钱，商家说没收到，消费者去找谁呢？在支付过程中，钱的去向无法确认。

（3）消费者找到开户银行，经过查找，银行说：“你的账户上却是扣除了商品价值的金额，不是实时发生的，划出去了，但我方也无法证明这笔划出的钱就是用于购买该商品的钱。”给了钱在账户划付过程中，款项用途不清，就存在划出去的这笔资金丢失的风险。

（4）消费者无权查看商家的开户行，因为与之无业务往来，但是还是去问了，当然，商家的开户行不予理睬。给了钱，四处奔波，比传统购物花费的时间更多。

（5）后来一直是没收到货，消费者哑巴吃黄连，自认倒霉。给了钱，花了时间和精力，却什么也没得到。消费者最后的选择结果很可能是，再也不上网购物了！

消费者可能遇到的这些问题，却是是网上购买实物商品过程中常常会出现的问题。这些问题产生的原因可能是:网上支付的实时问题，交易过程凭证的产生和法律保证问题，款付货到期限的商业信用无法建立的问题，网上交易消费者的权益保护问题等。因此网上支付的安全问题的解决可以从三个方面入手：一是实施技术保障，而是加强制度管理，三是，加强法律社会保障。只有解决了这三个层面的问题，才能侧地解决支付安全的问题。而这其中消费者最熟知和最信任的关键部门就是银行了。

商家角度上的安全问题，在网上购物刚兴起的一段时间里，通过网络销售的商品主要以家庭日用品，图书，音像制品为主，这样商品可以通过信息加以详尽的描述，但是现在，随着网上购物的不断发展，通讯商品，电子产品及其其他各种能够想到的东西基本上都能在网上找到，但这时，过去那样的简单描述已经不能适应整个网络市场的发展了。一些不法商家也就正是盯上了网上购物的这种潜在缺陷，肆意的夸大产品功能，或是直接作虚假广告，用不切合实际的产品描述来引诱购买者。很多消费者也常会因为刚刚接触网上购物而无辜的上当受骗。除此之外，也有一部分蓄意欺骗的商家收到了购买者汇来的钱而故意不发货，私吞下这笔资金。对于这类情况，淘宝和易趣网都采取了通过一系列的信用等级评价机制透明地如实反映卖家的信用额度以及过去的每一笔交易的明细的方法来减少这种不安全性，买家可以参考这些信息，甚至与曾经与此卖家交易过的买家沟通。但这些方式都只能降低商家网上欺骗成功的概率，不能从根本上减少这种事件的发生。要想彻底根治，还是要从商家本身以及交易平台的总体设计入手。

在电子商务中主要表现为商业机密的泄露，包括两个方面:一是交易双方进行交易的内容被第三方窃取；二是交易一方提供给另一方使用的文件被第三方非法使用。2.信息被篡改。电子的交易信息在网络上传输的过程中，可能被他人非法修改、删除或被多次使用，这样就使信息失去了真实性和完整性。3.身份识别。身份识别在电子商务中涉及两个方面的问题：一是如果不进行身份识别，第三方就有可能假冒交易一方的身份，破坏交易、败坏被假冒一方的信誉或盗取交易成果；二是不可抵赖性，交易双方对自己的行为应负有一定的责任，信息发送者和接受者都不能对此予以否认。进行身份识别就是防止电子商务活动中的假冒行为和交易被否认的行为。4.信息破坏。一是网络传输的可靠性，网络的硬件或软件可能会出现问题而导致交易信息丢失与谬误；二是恶意破坏，计算机网络本身遭到一些恶意程序的破坏，例如病毒破坏、黑客入侵等。

自己如何防范：随着人们生活水平的提高，互联网几乎是家喻户晓了，现在网上一些诈骗行为的案例不计其数，虽然许多商家都打出了同一口号，但还是对骗子的所作所为无能为力，犯罪分子就是利用一些人的贪婪，心理素质差等弱点，导致很多受害者陷进去，我想我们只有对网上的某些东西多加了解，少贪小便宜，我们就能尽量避免被骗。

电子商务的安全篇2

电子商务日益成为当今社会使用频率最高的词汇之一, 其中网上交易的安全问题又是人们关心的重点。在网络上, 尤其是在互联网上存储和传输的大量信息, 随时受到安全威胁。电子商务作为极具价值的敏感信息之一, 关系到电子商务主体单位的商业秘密。所以, 电子商务系统中的安全问题是关系到电子商务系统能否成功运行的最为重要的问题。在参考了大量有关信息安全的基础理论、基本技术和解决方案后, 对电子商务交易中的安全问题展开论述。

2. 电子商务的安全机制分析

在电子商务的交易过程中, 买卖双方是通过网络来联系的, 应用网络的开放性和不安全性, 给交易双方在交易过程中确信交易的安全性和建立信任关系带来了难度。

根据中国互联网络信息中心 (CNNIC) 这几年公布的《中国互联网络发展状况统计报告》显示, 目前网上交易存在的问题主要是“安全性得不到保障”与“产品质量、售后服务及厂商信用得不到保障”。

电子商务的实现是建立在网络通信基础上的, 因此网络安全面临的威胁也就是电子商务面临的威胁, 这些威胁从宏观上可分为自然威胁和人为威胁。人为威胁是指通过寻找系统的弱点, 达到破坏、欺骗、窃取数据等恶意目的。

为了安全要素在电子商务中的实施, 满足电子商务为交易参与

者提供可靠的安全服务的要求, 电子商务系统必须利用安全技术来搭建自己的交易平台, 主要用到的安全技术有:加密技术、数字签名及消息认证、数字证书和CA体系。

各项安全机制中, 其安全性主要是基于解椭曲线圆离散对数问题与单向哈希函数的困难度。以下分别列出各项安全机制的安全性分析:

(1) 系统中心无法取得用户的私钥Si

系统中心无法经由Si=wi+h (xi, Ii) (modq) 来推得使用者的私钥Si, 除非系统中心能破解用户在注册阶段所生的Vi, 但其安全度是基于解椭曲线圆离散对数问题的困难度。

(2) 攻击者无法取得使用者的私钥Si与系统中心的私钥s SA

攻击者可以取得的数据为Ii与Pi, 但经由 (1) 的分析可知, 攻击者无法从Pi获取Si;而wi是由系统中心所产生的公钥证明, 但攻击者并无法从wi获取s SA。因此, 任意的攻击者皆无法取得Si与s SA。

(3) 达到安全等级Level 3

系统中心有意假造Pi与Si, 但这会造成相同的使用者拥有两个公钥, 此系统中心的诈骗行为会被侦测出来, 因为本论文采用自我验证公钥密码系统, 使用伪造的Pi来进行的数字签名/验证签章、加/解密或签密法时并不会成功。

(4) 用户无法取得系统中心的私钥

使用者无法经由Si=wi+h (xi, Ii) (modq) 来计算合法的公钥证明。因为用户无法取得系统中心的k与s SA, 所以使用者也无法自行产生公钥证明wi。用户也很难从系统公钥来获得系统私钥, 其安全度是基于解椭圆曲线离散对数问题的困难度。

(5) 安全的加/解密机制

攻击者要从加密者所传递的1C与2 C解出明文, 皆会遇到解椭圆曲线离散对数问题的困难度, 另外加密者每次使用不同的随机整数w, 因此攻击者亦很难经由累积多个1C与2 C而计算出明文。

(6) 安全的鉴别加密法

使用者所产生的密文R与s是基于解椭圆曲线离散对数问题的困难度下所产生。攻击者也很难计算出密文s, 因为无法取得使用者的w与Si。又因为使用者每次的密文皆不相同, 因此攻击者无法轻易地计算出使用者的私钥, 亦很难经由累积多个密文来求解出明文。

3. 结论

在本论文所研究的安全机制的基础之下, 针对后续之研究方向提出看法如下。在这个e时代下电子会议可以说是越来越重要, 因此如何使一群人在公众的网络上能够安全地交谈, 是一个很重要的研究课题, 也就是多人如何来共同分享一把加解密会议密钥。此外, 在现行的电子商务上可使用多重签章技术来达到多人签署同一份文件, 尤其是在当红的延伸性标记语言 (Extensible Markup Language;XML) 盛行之下更突显其重要性。因为XML具有跨平台的信息交换能力, 未来会被视为电子商务上重要的文件交换技术。

摘要：本文对电子商务安全性进行了探讨, 对于在电子交易中的各种安全机制都进行了分析和研究, 针对不同的安全体系和要求进行相应的安全配置, 对上述电子商务的有效安全的进行提供了指导和依据。

关键词：安全机制,电子商务

参考文献

[1]S.Wesley Changchien, Chin-Feng Lee, Yu-Jung Hsu.On-line personalized salespromotion in electronic commerce[J].Expert Systems with Applications.2004 (27) :35-52

[2]王莎.基于因特网的EDI[J].中国科技信息.2006, 06:227-229.

[3]何新科.电子商务安全支付技术及其使用[J].无锡职业技术学院学报.2006, 06 (05) :90-91.

电子商务的安全篇3

关键词：电子商务网络安全隐患安全技术

近年来，电子商务的发展十分迅速，它可以降低成本，增加贸易机会，简化贸易流通过程，提高生产力，改善物流金流、商品流和信息流的环境与系统。虽然电子商务发展势头强劲，但其贸易额所占整个贸易额的比例仍然很低，影响其发展的首要因素就是安全问题。

由于网上交易是一种非面对面式的交易，所以交易安全在电子商务的发展中占有十分重要的位置。可以说，没有网络安全就没有电子商务。

一、电子商务网络的安全隐患

1.窃取信息

由于没有采用加密措施，数据信息在网络上以明文形式传送，当数据包经过网关或路由器时，入侵者可以截获传送的信息。通过多次窃取和分析，入侵者就可以找到信息的传送规律和格式，进而得到传输信息的内容，导致网上传输的信息泄漏。

2.篡改信息

当入侵者掌握了信息的格式和规律后，就能通过各种技术手段和方法，修改网络上传送的信息数据，然后再发向其他目的地。这种方法并不新颖，在路由器或者网关上都能篡改信息。

3.假冒

只要掌握了数据的格式，入侵者就可以篡改信息，冒充合法用户发送假冒信息，使得远端用户难以辨别真伪。

4.恶意破坏

攻击者只要接入网络，就能修改网络信息，掌握网上的机要信息，甚至可以潜入网络内部，其后果非常严重。

二、电子商务网络的安全技术

为了提高电子商务网络的安全性，我们可以采用多种网络安全技术和协议，为电子商务交易活动提供安全保障。

1.防火墙技术

防火墙是目前主要的网络安全设备，通常它使用的安全控制手段主要包括过滤、状态检测、代理服务。由于它假设了网络的边界和服务，难以有效控制对内部的非法访问，所以最适合于相对独立的、与外部网络互连途径有限的、网络服务种类相对集中的单一网络，如常见的企业专用网。目前，防火墙产品主要分为两大类，即基于代理服务方式的和基于状态检测方式的，防火墙的隔离技术决定了它在电子商务安全交易中的重要作用。

2.数据加密技术

防火墙技术是一种被动的防卫技术，它难以有效防卫电子商务活动中的不安全因素。因此，要保障电子商务的交易安全，人们可以使用密码技术。加密技术是电子商务中采取的主要安全措施，贸易方可以根据需要在信息交换的阶段使用。

目前，加密技术分为两类，即对称加密（或称为对称密钥加密、专用密钥加密）和非对称加密（或称为公开密钥加密）。现在，许多机构运用PKI（punickey nfrastructur），即公开密钥体系技术，实施构建完整的加密/签名体系，有效解决了上述难题，在充分利用互联网实现资源共享的前提下，从真正意义上确保了网上交易与信息传递的安全。

3.身份认证技术

身份认证又称为鉴别或确认，它通过验证被认证对象的一个或多个参数的真实性与有效性，来证实被认证对象是否符合或是否有效的一种过程，以确保数据的真实性，防止攻击者假冒、篡改等。一般来说，用人的生理特征参数，如指纹识别、虹膜识别等进行认证的安全性较高。但是，这种技术存在实现困难、成本高的缺点。

目前，计算机通信中采用的参数包括口令、标识符密钥、随机数等，一般使用基于证书的公钥密码体制（PKI）身份认证技术。

要实现基于公钥密码算法的身份认证需求，就必须建立一种信任及信任验证机制，即每个网络上的实体必须有一个可以被验证的数字标志——数字证书（Certificate）。

参考文献：

[1]肖满梅，罗兰娥.电子商务及其安全技术问题[J].湖南科技学院学报，2006，（27）.

[2]丰洪才，管华，陈珂.电子商务的关键技术及其安全性分析[J].武汉工业学院学报，2004，（2）.

[3]阎慧，王伟，宁宇鹏等编著.防火墙原理与技术[M].北京：机械工业出版社，2004.

电子商务主要的安全要素篇4

（1）有效性

EC以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。

（2）机密性

EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的`商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。电子商务 Business800.com

（3）完整性

EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

（4）可靠性/不可抵赖性/鉴别

EC可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

（5）审查能力

电子商务安全体系的发展与动态篇5

关键词：

电子商务(Electronic Commerce)是在Internet开放的网络环境下，基于浏览器/服务器应用方式，实现消费者的网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式。

Internet上的电子商务可以分为三个方面：信息服务、交易和支付。主要内容包括：电子商情广告;电子选购和交易、电子交易凭证的交换;电子支付与结算以及售后的网上服务等。主要交易类型有企业与个人的交易(B to C方式)和企业之间的交易(B to B方式)两种。

参与电子商务的实体一般来讲有四类：顾客(个人消费者或企业集团)、商户(包括销售商、制造商、储运商)、银行(包括发卡行、收单行)及认证中心。

电子商务是Internet爆炸式发展的直接产物，是网络技术应用的全新发展方向。Internet本身所具有的开放性、全球性、低成本、高效率的特点，也成为电子商务的内在特征，并使得电子商务大大超越了作为一种新的贸易形式所具有的价值，它不仅会改变企业本身的生产、经营、管理活动，而且将影响到整个社会的经济运行与结构。

现阶段推动电子商务面临的最大问题是如何保障电子商务过程中的安全性，交易的安全是网上贸易的基础和保障，同时也是电子商务技术的难点。近年来，国际上已实施和制定了一系列的方法来解决网上交易的安全性问题。

1、电子商务的安全控制要求概述

电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性，使网上交易面临了种种危险，也由此提出了相应的安全控制要求。

1.1信息保密性

交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。

1.2交易者身份的确定性

网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家而言要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。

1.3不可否认性

由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。

1.4不可修改性

交易的文件是不可被修改的，如其能改动文件内容，那么交易本身便是不可靠的，客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。

2、电子商务安全交易的有关标准和实施方法

2.1安全交易的雏形

在电子商务实施初期，曾采用过一些简易的安全措施，这些措施包括：

(1) 部分告知(Partial Order)：即在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。

(2) 另行确认(Order Confirmation)：即当在网上传输交易信息之后，再用电子邮件对交易作确认，才认为有效。

(3) 在线服务(Online Service)：为了保证信息传输的安全，用企业提供的内部网来提供联机服务。

以上所述的种种方法，均有一定的局限性，且操作麻烦，不能实现真正的安全可靠性。

2.2安全交易标准的制定

近年来，IT业界与金融行业一起，推出不少更有效的安全交易标准。主要有：

(1) 安全超文本传输协议(S-HTTP)：依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。

(2) 安全套接层协议(SSL协议：Secure Socket Layer)是由网景(Netscape)公司推出的一种安全通信协议，是对计算机之间整个会话进行加密的协议，提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器，用以完成需要的安全交易操作。在SSL中，采用了公开密钥和私有密钥两种加密方法。

(3) 安全交易技术协议(STT：Secure Transaction Technology)：由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。

(4) 安全电子交易协议(SET：Secure Electronic Transaction)：SET协议是由VISA和MasterCard两大信用卡公司于5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。

目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准，其交易形态将成为未来“电子商务”的规范。

支付系统是电子商务的关键，但支持支付系统的关键技术的未来走向尚未确定。安全套接层(SSL)和安全电子交易(SET)是两种重要的通信协议，每一种都提供了通过Internet进行支付的手段。但是，两者之中谁将领导未来呢?SET将立刻替换SSL吗?SET会因其复杂性而消亡吗?SSL真的能完全满足电子商务的需要吗?我们可以从以下几点对比作管中一窥：

SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建，在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展，但如果想要电子商务得以成功地广泛开展的话，必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置，比较容易被应用。

SET和SSL除了都采用RSA公钥算法以外，二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。

SET是一种基于消息流的协议，它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布，用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验，但大多数在Internet上购的消费者并没有真正使用SET。

SET是一个非常复杂的协议，因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上，SET远远不止是一个技术方面的协议，它还说明了每一方所持有的数字证书的合法含义，希望得到数字证书以及响应信息的各方应有的动作，与一笔交易紧密相关的责任分担。

3、目前安全电子交易的手段

在近年来发表的多个安全电子交易协议或标准中，均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种：

3.1密码技术

采用密码技术对信息加密，是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种：

(1)公共密钥和私用密钥(public key and private key)

这一加密方法亦称为RSA编码法，是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时，某个用户总是将一个密钥公开，让需发信的人员将信息用其公共密钥加密后发给该用户，而一旦信息加密后，只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到，亦可在请对方发信息时主动将公共密钥传给对方，这样保证在Internet上传输信息的保密和安全。

(2)数字摘要(digital digest)

这一加密方法亦称安全Hash编码法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest)，由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹(Finger Print)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。

上述两种方法可结合起来使用，数字签名就是上述两法结合使用的实例。

3.2数字签名(digital signature)

在书面文件上签名是确认文件的一种手段，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实;二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：

a. 信息是由签名者发送的。

b. 信息在传输过程中未曾作过任何修改。

这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。

数字签名采用了双重加密的方法来实现防伪、防赖。其原理为：

(1) 被发送文件用SHA编码加密产生128bit的数字摘要(见上节)。

(2) 发送方用自己的私用密钥对摘要再加密，这就形成了数字签名。

(3) 将原文和加密的摘要同时传给对方。

(4) 对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要。

(5) 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。

3.3数字时间戳(digital time-stamp)

交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。

在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS：digital time-stamp service)就能提供电子文件发表时间的安全保护。

数字时间戳服务(DTS)是网上安全服务项目，由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档，它包括三个部分：1)需加时间戳的文件的摘要(digest)，2)DTS收到文件的日期和时间，3)DTS的数字签名。

时间戳产生的过程为：用户首先将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名)，然后送回用户。由Bellcore创造的DTS采用如下的过程：加密时将摘要信息归并到二叉树的数据结构;再将二叉树的根值发表在报纸上，这样更有效地为文件发表时间提供了佐证。注意，书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由认证单位DTS来加的，以DTS收到文件的时间为依据。因此，时间戳也可作为科学家的科学发明文献的时间认证。

3.4数字凭证(digital certificate, digital ID)

数字凭证又称为数字证书，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中，如双方出示了各自的数字凭证，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。

数字凭证的内部格式是由CCITT X.509国际标准所规定的，它包含了以下几点：

(1) 凭证拥有者的姓名，

(2) 凭证拥有者的公共密钥，

(3) 公共密钥的有效期，

(4) 颁发数字凭证的单位，

(5) 数字凭证的序列号(Serial number)，

(6) 颁发数字凭证单位的`数字签名。

数字凭证有三种类型：

(1) 个人凭证(Personal Digital ID)：它仅仅为某一个用户提供凭证，以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件(S/MIME)来进行交易操作。

(2) 企业(服务器)凭证(Server ID)：它通常为网上的某个Web服务器提供凭证，拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。

(3) 软件(开发者)凭证(Developer ID)：它通常为Internet中被下载的软件提供凭证，该凭证用于和微软公司Authenticode技术(合法化软件)结合的软件，以使用户在下载软件时能获得所需的信息。

上述三类凭证中前二类是常用的凭证，第三类则用于较特殊的场合，大部分认证中心提供前两类凭证，能提供各类凭证的认证中心并不普遍。

3.5认证中心(CA：Certification Authority)

在电子交易中，无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS：Certification Practice Statement)来实施服务操作。

上述五个方面介绍了安全电子交易的常用手段，各种手段常常是结合在一起使用的，从而构成比较全面的安全电子交易体系。

4、应用动态

根据最新报道,我国第一个安全电子商务系统：“网上订票与支付系统”经过半年试运行后，于8月8日投入正式运行,其发起单位由上海市政府商业委员会、上海市邮电管理局、中国东方航空股份有限公司、中国工商银行上海市分行、上海市电子商务安全证书管理中心有限公司等共同发起、投资与开发。

系统结构采用网上订票与支付系统由四个子系统组成：商户子系统、客户子系统、银行支付网关子系统、数字证书授权与认证子系统。

商户子系统的第一个应用是用来购买购买飞机票的中国东方航空公司网站。网址为：www.cea.online.sh.cn;它是中国安全电子商务第一网站。

客户子系统是安装于PC机上的电子钱包软件，是信用卡持有人进行网上消费的支付工具。电子钱包中必须加入客户的信用卡信息与数字证书之后，方可进行网上消费。

支付网关子系统通常是指由收款银行运行的一套设备，用来处理商户的付款信息以及持卡人发出的付款指令。

数字证书授权与认证子系统为每个交易参与方生成一个数字证书作为交易方身份的验证工具。

其技术特点是采用IBM的电子商务框架结构、嵌入经国家密码管理委员会认可的加/解密用软/硬件产品。这个电子商务系统具有如下的安全交易特点：

1) 遵循SET国际标准、具有SET标准规定的安全机制，是目前国际互联网上运行的比较安全的电子商务系统;

2) 兼顾国内信用卡/储蓄卡与国际信用卡的业务特点，具有一定的中国特色;

3) 具有开放特性，可与经SETCO国际组织认证的任何电子商务系统进行互操作;

我们可以通过其网上购票操作步骤管窥其安全交易的全过程：

第一步：申请单位或个人牡丹信用卡

第二步：到CA网页申请数字证书

第三步：到工商银行信用卡部办理注册手续并领取钱包软件光盘

第四步：在PC机上安装钱包软件，并加入信用卡信息

第五步：从CA下载数字证书

第六步：上东航网页购买机票

第七步：取票登机

以上我们详细探讨了电子商务安全体系的发展与最新动态，相信随着时间的推移和技术的发展，电子商务安全体系将越来越完善，足不出户而通过

电子商务的安全篇6

加密技术包括两个元素：算法和密钥。算法是将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（DES，Data Encryption Standard）算法为典型代表，非对称加密通常以RSA（Rivest Shamir Ad1eman）算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。编辑本段对称加密技术简介

对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法，对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准（DES），另一个对称密钥加密系统是国际数据加密算法（IDEA），它比DES的加密性好，而且对计算机功能要求也没有那么高。IDEA加密标准由PGP（Pretty Good Privacy）系统使用。编辑本段非对称加密技术简介

1976年，美国学者Dime和Henman为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

PKI：

编辑本段功能作用

PKI（Public Key Infrastructure 的缩写）是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

原有的单密钥加密技术采用特定加密密钥加密数据，而解密时用于解密的密钥与加密密钥相同，这称之为对称型加密算法。采用此加密技术的理论基础的加密方法如果用于网络传输数据加密，则不可避免地出现安全漏洞。因为在发送加密数据的同时，也需要将密钥通过网络传输通知接收者，第三方在截获加密数据的同时，只需再截取相应密钥即可将数据解密使用或进行非法篡改。

区别于原有的单密钥加密技术，PKI采用非对称的加密算法，即由原文加密成密文的密钥不同于由密文解密为原文的密钥，以避免第三方获取密钥后将密文解密。编辑本段证书签发机构CA

CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。

CA 也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。

如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。

如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。编辑本段证书

证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。

证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循X.509 国际标准。

加密：

我们将文字转换成不能直接阅读的形式（即密文）的过程称为加密。

解密：

我们将密文转换成能够直接阅读的文字（即明文）的过程称为解密。

如何在电子文档上实现签名的目的呢？我们可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名，方法如下：

信息发送者用其私钥对从所传报文中提取出的特征数据（或称数字指纹）进行RSA算法操作，以保证发信人无法抵赖曾发过该信息（即不可抵赖性），同时也确保信息报文在传递过程中未被篡改（即完整性）。当信息接收者收到报文后，就可以用发送者的公钥对数字签名进行验证。

在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数)生成的。对这些HASH函数的特殊要求是：

1．接受的输入报文数据没有长度限制；

2．对任何输入报文数据生成固定长度的摘要(数字指纹)输出；

3．从报文能方便地算出摘要；

4．难以对指定的摘要生成一个报文，而由该报文可以算出该指定的摘要；

5．难以生成两个不同的报文具有相同的摘要。

验证：

收方在收到信息后用如下的步骤验证您的签名：

1．使用自己的私钥将信息转为明文；

2．使用发信方的公钥从数字签名部分得到原摘要；

3．收方对您所发送的源信息进行hash运算，也产生一个摘要；

4．收方比较两个摘要，如果两者相同，则可以证明信息签名者的身份。

如果两摘要内容不符，会说明什么原因呢？

可能对摘要进行签名所用的私钥不是签名者的私钥，这就表明信息的签名者不可信；也可能收到的信息根本就不是签名者发送的信息，信息在传输过程中已经遭到破坏或篡改。编辑本段数字证书简介

数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中，使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。

使用数字证书能做什么?

数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分，另一部分是私钥。公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为证实发件人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。

在线交易中您可使用数字证书验证对方身份。用数字证书加密信息，可以确保只有接收者才能解密、阅读原文，信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现，电子邮件、在线交易和信用卡购物的安全才能得到保证。

认证、数字证书和PKI解决的几个问题?

保密性确认信息发送者的身份。

完整性发送者不能否认已发送的信息。编辑本段加密技术的应用

加密技术的应用是多方面的，但最为广泛的还是在电子商务和VPN上的应用，下面就分别简叙。

1、在电子商务方面的应用

电子商务（E-business）要求顾客可以在网上进行各种商务活动，不必担心自己的信用卡会被人盗用。在过去，用户为了防止信用卡的号码被窃取到，一般是通过电话订货，然后使用用户的信用卡进行付款。现在人们开始用RSA（一种公开/私有密钥）的加密技术，提高信用卡交易的安全性，从而使电子商务走向实用成为可能。

许多人都知道NETSCAPE公司是Internet商业中领先技术的提供者，该公司提供了一种基于RSA和保密密钥的应用于因特网的技术，被称为安全插座层（Secure Sockets Layer，SSL）。

也许很多人知道Socket，它是一个编程界面，并不提供任何安全措施，而SSL不但提供编程界面，而且向上提供一种安全的服务，SSL3.0现在已经应用到了服务器和浏览器上，SSL2.0则只能应用于服务器端。

SSL3.0用一种电子证书（electric certificate）来实行身份进行验证后，双方就可以用保密密钥进行安全的会话了。它同时使用“对称”和“非对称”加密方法，在客户与电子商务的服务器进行沟通的过程中，客户会产生一个Session Key，然后客户用服务器端的公钥将Session Key进行加密，再传给服务器端，在双方都知道Session Key后，传输的数据都是以Session Key进行加密与解密的，但服务器端发给用户的公钥必需先向有关发证机关申请，以得到公证。

基于SSL3.0提供的安全保障，用户就可以自由订购商品并且给出信用卡号了，也可以在网上和合作伙伴交流商业信息并且让供应商把订单和收货单从网上发过来，这样可以节省大量的纸张，为公司节省大量的电话、传真费用。在过去，电子信息交换（Electric Data Interchange，EDI）、信息交易（information transaction）和金融交易（financial transaction）都是在专用网络上完成的，使用专用网的费用大大高于互联网。正是这样巨大的诱惑，才使人们开始发展因特网上的电子商务，但不要忘记数据加密。

2、加密技术在VPN中的应用

现在，越多越多的公司走向国际化，一个公司可能在多个国家都有办事机构或销售中心，每一个机构都有自己的局域网LAN（Local Area Network），但在当今的网络社会人们的要求不仅如此，用户希望将这些LAN连结在一起组成一个公司的广域网，这个在现在已不是什么难事了。

事实上，很多公司都已经这样做了，但他们一般使用租用专用线路来连结这些局域网，他们考虑的就是网络的安全问题。现在具有加密/解密功能的路由器已到处都是，这就使人们通过互联网连接这些局域网成为可能，这就是我们通常所说的虚拟专用网（Virtual Private Network，VPN）。当数据离开发送者所在的局域网时，该数据首先被用户湍连接到互联网上的路由器进行硬件加密，数据在互联网上是以加密的形式传送的，当达到目的LAN的路由器时，该路由器就会对数据进行解密，这样目的LAN中的用户就可以看到真正的信息了。编辑本段安全套接字层（SSL）

SSL是一种广泛实施的公钥加密。SSL最初由网景公司（Netscape）开发，是互联网浏览器和Web服务器用于传输机密信息的互联网安全协议。SSL现在已经成为总体安全协议传输层安全（TLS）的一部分。

在您的浏览器中，您可以通过多种不同方式知道自己什么时候在使用安全协议（例如TLS）。您将注意到，地址行中的“http”中被替换为“https”，在浏览器窗口底部的状态栏中还会看到一个小的挂锁符号。

公钥加密占用大量计算资源，所以大多数系统结合使用公钥和对称密钥。当两台计算机发起安全会话时，一台计算机创建一个对称密钥，并将其发送给使用公钥加密的另一台计算机。然后这两台计算机使用对称密钥加密进行通信。一旦完成会话，每台计算机都会丢弃该会话使用的对称密钥。进行新的会话要求创建新的对称密钥，然后重复上述过程。编辑本段网络加密的四种类型

1、无客户端SSL：SSL的原始应用。在这种应用中，一台主机计算机在加密的链路上直接连接到一个来源(如Web服务器、邮件服务器、目录等)。

2、配置VPN设备的无客户端SSL：这种使用SSL的方法对于主机来说与第一种类似。但是，加密通讯的工作是由VPN设备完成的，而不是由在线资源完成的(如Web或者邮件服务器)。

3、主机至网络：在上述两个方案中，主机在一个加密的频道直接连接到一个资源。在这种方式中，主机运行客户端软件(SSL或者IPsec客户端软件)连接到一台VPN设备并且成为包含这个主机目标资源的那个网络的一部分。

SSL：由于设置简单，SSL已经成为这种类型的VPN的事实上的选择。客户端软件通常是很小的基于Java的程序。用户甚至可能都注意不到。

IPsec：在SSL成为创建主机至网络的流行方式之前，要使用IPsec客户端软件。IPsec仍在使用，但是，它向用户提供了许多设置选择，容易造成混淆。

4、网络至网络：有许多方法能够创建这种类型加密的隧道VPN.但是，要使用的技术几乎总是IPsec.信息加密技术是利用数学或物理手段，对电子信息在传输过程中和存储体内进行保护，以防止泄漏的技术。简介

保密通信，计算机密钥，防复制软盘等都属于信息加密技术。通信过程

信息加密技术

中的加密主要是采用密码，在数字通信中可利用计算机采用加密法，改变负载信息的数码结构。计算机信息保护则以软件加密为主。目前世界上最流行的几种加密体制和加密算法有：RSA算法和CCEP算法等。为防止破密，加密软件还常采用硬件加密和加密软盘。一些软件商品常带有一种小的硬卡，这就是硬件加密措施。在软盘上用激光穿孔，使软件的存储区有不为人所知的局部存坏，就可以防止非法复制。这样的加密软盘可以为不掌握加密技术的人员使用，以保护软件。由于计算机软件的非法复制，解密及盗版问题日益严重，甚至引发国际争端，因此对信息加密技术和加密手段的研究与开发，受到各国计算机界的重视，发展日新月异。

编辑本段加密技术应用

在常规的邮政系统中，寄信人用信封隐藏其内容，这就是最基本的保密技术，而在电子商务中，有形的信封就不再成为其代表性的选择。为了实现电子信息的保密性，就必须实现该信息对除特定收信人以外的任何人都是不可读取的。而为了保证共享设计规范的贸易伙伴的信息安全性就必须采取一定的手段来隐藏信息，而隐藏信息的最有效手段便是加密。

保密通信，计算机密钥，防复制软盘等都属于信息加密技术。通信过程中的加密主要是采用密码，在数字通信中可利用计算机采用加密法，改变负载信息的数码结构。计算机信息保护则以软件加密为主。编辑本段加密技术分析

加密就是通过密码算术对数据进行转化，使之成为没有正确密钥任何人都无法读懂的报文。而这些以无法读懂的形式出现的数据一般被称为密文。为了读懂报文，密文必须重新转变为它的最初形式--明文。而含有用来以数学方式转换报文的双重密码就是密钥。在这种情况下即使一则信息被截获并阅读，这则信息也是毫无利用价值的。而实现这种转化的算法标准，据不完全统计，到现在为止已经有近200多种。在这里，主要介绍几种重要的标准。按照国际上通行的惯例，将

信息加密技术

这近200种方法按照双方收发的密钥是否相同的标准划分为两大类：一种是常规算法（也叫私钥加密算法或对称加密算法），其特征是收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有：美国的DES及其各种变形，比如3DES、GDES、New DES和DES的前身Lucifer；欧洲的IDEA；日本的FEAL N、LOKI?91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码，而最近美国NIST（国家标准与技术研究所）推出的AES将有取代DES的趋势，后文将作出详细的分析。常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。另外一种是公钥加密算法（也叫非对称加密算法）。其特征是收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有：RSA、背包密码、McEliece密码、Diffe Hellman、Rabin、Ong Fiat Shamir、零知识证明的算法、椭圆曲线、EIGamal算法等等⑷。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击，而最近势头正劲的ECC算法正有取代RSA的趋势。公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂，加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。这两种算法各有其短处和长处，在下面将作出详细的分析。1.1 私钥加密算法

在私钥加密算法中，信息的接受者和发送者都使用相同的密钥，所以双方的密钥都处于保密的状态，因为私钥的保密性必须基于密钥的保密性，而非算法上。这在硬件上增加了私钥加密算法的安全性。但同时我们也看到这也增加了一个挑战：收发双方都必须为自己的密钥负责，这种情况在两者在地理上分离显得尤为重要。私钥算法还面临这一个更大的困难，那就是对私钥的管理和分发十分的困难和复杂，而且所需的费用十分的庞大。比如说，一个n个用户的网络就需要派发n(n-1)/2个私钥，特别是对于一些大型的并且广域的网络来说，其管理是一个十分困难的过程，正因为这些因素从而决定了私钥算法的使用范围。而且，私钥加密算法不支持数字签名，这对远距离的传输来说也是一个障碍。另一个影响私钥的保密性的因素是算法的复杂性。现今为止，国际上比较通行的是DES、3DES以及最近推广的AES。

数据加密标准（Data Encryption Standard）是IBM公司1977年为美国政府研制的一种算法。DES是以56 位密钥为基础的密码块加密技术。它的加密过程一般如下：

① 一次性把64位明文块打乱置换。

② 把64位明文块拆成两个32位块；

③ 用机密DES密钥把每个32位块打乱位置16次；

④ 使用初始置换的逆置换。

但在实际应用中，DES的保密性受到了很大的挑战，1999年1月，EFF和分散网络用不到一天的时间，破译了56位的DES加密信息。DES的统治地位受到了严重的影响，为此，美国推出DES的改进版本--三重加密（triple Data Encryption Standard）即在使用过程中，收发双方都用三把密钥进行加解密，无疑这种3*56式的加密方法大大提升了密码的安全性，按现在的计算机的运算速度，这种破解几乎是不可能的。但是我们在为数据提供强有力的安全保护的同时，也要化更多的时间来对信息进行三次加密和对每个密层进行解密。同时在这种前提下，使用这种密钥的双发都必须拥有3个密钥，如果丢失了其中任何一把，其余两把都成了无用的密钥。这样私钥的数量一下又提升了3倍，这显然不是我们想看到的。于是美国国家标准与技术研究所推出了一个新的保密措施来保护金融交易。高级加密标准（Advanced Encryption Standard）美国国家技术标准委员会(NIST)在2000年10月选定了比利时的研究成果“Rijndael”作为AES的基础。“Rijndael”是经过三年漫长的过程，最终从进入候选的五种方案中挑选出来的。

AES内部有更简洁精确的数学算法,而加密数据只需一次通过。AES被设计成高速，坚固的安全性能，而且能够支持各种小型设备。AES与3DES相比，不仅是安全性能有重大差别，使用性能和资源有效利用上也有很大差别。虽然到现在为止，我还不了解AES的具体算法但是从下表可以看出其与3DES的巨大优越性。

还有一些其他的一些算法，如美国国家安全局使用的飞鱼（Skipjack）算法，不过它的算法细节始终都是保密的，所以外人都无从得知其细节类容；一些私人组织开发的取代DES的方案：RC2、RC4、RC5等。1.2 公钥加密算法

面对在执行过程中如何使用和分享密钥及保持其机密性等问题，1975年Whitefield Diffe和Marti Hellman提出了公开的密钥密码技术的概念，被称为Diffie-Hellman技术。从此公钥加密算法便产生了。

由于采取了公共密钥，密钥的管理和分发就变得简单多了，对于一个n个用户的网络来说，只需要2n个密钥便可达到密度。同时使得公钥加密法的保密性全部集中在及其复杂的数学问题上，它的安全性因而也得到了保证。但是在实际运用中，公共密钥加密算法并没有完全的取代私钥加密算法。其重要的原因是它的实现速度远远赶不上私钥加密算法。又因为它的安全性，所以常常用来加密一些重要的文件。自公钥加密问世以来，学者们提出了许多种公钥加密方法，它们的安全性都是基于复杂的数学难题。根据所基于的数学难题来分类，有以下三类系统目前被认为是安全和有效的：大整数因子分解系统(代表性的有RSA)、椭圆曲线离散对数系统(ECC)和离散对数系统(代表性的有DSA)，下面就作出较为详细的叙述。

RAS算法是由罗纳多·瑞维斯特（Rivet）、艾迪·夏弥尔（Shamir）和里奥纳多·艾德拉曼（Adelman）联合推出的，RAS算法由此而得名。它的安全性是基于大整数素因子分解的困难性，而大整数因子分解问题是数学上的著名难题，至今没有有效的方法予以解决，因此可以确保RSA算法的安全性。RSA系统是公钥系统的最具有典型意义的方法，大多数使用公钥密码进行加密和数字签名的产品和标准使用的都是RSA算法。它得具体算法如下： ① 找两个非常大的质数，越大越安全。把这两个质数叫做P和Q。

② 找一个能满足下列条件得数字E：

A．是一个奇数。

B．小于P×Q。

C．与（P－1）×（Q－1）互质，只是指E和该方程的计算结果没有相同的质数因子。

③ 计算出数值D，满足下面性质：（（D×E）－1）能被（P－1）×（Q－1）整除。

公开密钥对是（P×Q，E）。

私人密钥是D。

公开密钥是E。

解密函数是：

假设T是明文，C是密文。

加密函数用公开密钥E和模P×Q；

加密信息＝（TE）模P×Q。

解密函数用私人密钥D和模P×Q；

解密信息＝（CD）模P×Q。

椭圆曲线加密技术（ECC）是建立在单向函数（椭圆曲线离散对数）得基础上，由于它比RAS使用得离散对数要复杂得多。而且该单向函数比RSA得要难，所以与RSA相比，它有如下几个优点：

安全性能更高加密算法的安全性能一般通过该算法的抗攻击强度来反映。ECC和其他几种公钥系统相比，其抗攻击性具有绝对的优势。如160位 ECC与1024位 RSA有相同的安全强度。而210位 ECC则与2048bit RSA具有相同的安全强度。

计算量小，处理速度快虽然在RSA中可以通过选取较小的公钥（可以小到3）的方法提高公钥处理速度，即提高加密和签名验证的速度，使其在加密和签名验证速度上与ECC有可比性，但在私钥的处理速度上（解密和签名），ECC远比RSA、DSA快得多。因此ECC总的速度比RSA、DSA要快得多。

存储空间占用小 ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多，意味着它所占的存贮空间要小得多。这对于加密算法在IC卡上的应用具有特别重要的意义。

带宽要求低当对长消息进行加解密时，三类密码系统有相同的带宽要求，但应用于短消息时ECC带宽要求却低得多。而公钥加密系统多用于短消息，例如用于数字签名和用于对对称系统的会话密钥传递。带宽要求低使ECC在无线网络领域具有广泛的应用前景。

ECC的这些特点使它必将取代RSA，成为通用的公钥加密算法。比如SET协议的制定者已把它作为下一代SET协议中缺省的公钥密码算法。

编辑本段优劣比较

以上综述了两种加密方法的各自的特点，并对他们优劣处作了一个简要的比较，总体来说主要有下面几个方面：管理方面

第一、在管理方面，公钥密码算法只需要较少的资源就可以实现目的，在密钥的分配上，两者之间相差一个指数级别（一个是n一个是n2）。所以私钥密码算法不适应广域网的使用，而且更重要的一点是它不支持数字签名。安全方面

第二、在安全方面，由于公钥密码算法基于未解决的数学难题，在破解上几乎不可能。对于私钥密码算法，到了AES虽说从理论来说是不可能破解的，但从计算机的发展角度来看。公钥更具有优越性。速度方面

第三、从速度上来看，AES的软件实现速度已经达到了每秒数兆或数十兆比特。是公钥的100倍，如果用硬件来实现的话这个比值将扩大到1000倍。算法方面

第四、对于这两中算法，因为算法不需要保密，所以制造商可以开发出低成本的芯片以实现数据加密。这些芯片有着广泛的应用，适合于大规模生产。总结

纵观这两种算法一个从DES到3DES再到ADES，一个从RSA到ECC。其发展角度无不是从密钥的简单性，成本的低廉性，管理的简易性，算法的复杂性，保密的安全性以及计算的快速性这几个方面去考虑。因此，未来算法的发展也必定是从这几个角度出发的，而且在实际操作中往往把这两种算法结合起来，也需将来一种集两种算法有点于一身的新型算法将会出现，到那个时候，电子商务的实现必将更加的快捷和安全。编辑本段流行算法

目前世界上最流行的几种加密体制和加密算法有：RSA算法和CCEP算法等。为防止破密，加密软件还常采用硬件加密和加密软盘。一些软件商品常带有一种小的硬卡，这就是硬件加密措施。在软盘上用激光穿孔，使软件的存储区有不为人所知的局部存坏，就可以防止非法复制。这样的加密软盘可以为不掌握加密技术的人员使用，以保护软件。由于计算机软件的非法复制，解密及盗版问题日益严重，甚至引发国际争端，因此对信息加密技术和加密手段的研究与开发，受到各国计算机界的重视，发展日新月异。编辑本段软件保护技术

1、序列号保护

数学算法一项都是密码加密的核心，但在一般的软件加密中，它似乎并不太为人们关心，因为大多数时候软件加密本身实现的都是一种编程的技巧。但近几年来随着序列号加密程序的普及，数学算法在软件加密中的比重似乎是越来越大了。

看看在网络上大行其道的序列号加密的工作原理。当用户从网络上下载某个shareware——共享软件后，一般都有使用时间上的限制，当过了共享软件的试用期后，你必须到这个软件的公司去注册后方能继续使用。注册过程一般是用户把自己的私人信息（一般主要指名字）连同信用卡号码告诉给软件公司，软件公司会根据用户的信息计算出一个序列码，在用户得到这个序列码后，按照注册需要的步骤在软件中输入注册信息和注册码，其注册信息的合法性由软件验证通过后，软件就会取消掉本身的各种限制，这种加密实现起来比较简单，不需要额外的成本，用户购买也非常方便，在互联网上的软件80%都是以这种方式来保护的。

软件验证序列号的合法性过程，其实就是验证用户名和序列号之间的换算关系是否正确的过程。其验证最基本的有两种，一种是按用户输入的姓名来生成注册码，再同用户输入的注册码比较，公式表示如下：

序列号 = F（用户名）

但这种方法等于在用户软件中再现了软件公司生成注册码的过程，实际上是非常不安全的，不论其换算过程多么复杂，解密者只需把你的换算过程从程序中提取出来就可以编制一个通用的注册程序。

另外一种是通过注册码来验证用户名的正确性，公式表示如下：

用户名称 = F逆（序列号）（如ACDSEE）

这其实是软件公司注册码计算过程的反算法，如果正向算法与反向算法不是对称算法的话，对于解密者来说，的确有些困难，但这种算法相当不好设计。

于是有人考虑到以下的算法：

F1（用户名称）= F2（序列号）

F1、F2是两种完全不同的的算法，但用户名通过F1算法计算出的特征字等于序列号通过F2算法计算出的特征字，这种算法在设计上比较简单，保密性相对以上两种算法也要好的多。如果能够把F1、F2算法设计成不可逆算法的话，保密性相当的好；可一旦解密者找到其中之一的反算法的话，这种算法就不安全了。一元算法的设计看来再如何努力也很难有太大的突破，那么二元呢？

特定值 = F（用户名，序列号）

这个算法看上去相当不错，用户名称与序列号之间的关系不再那么清晰了，但同时也失去了用户名于序列号的一一对应关系，软件开发者必须自己维护用户名称与序列号之间的唯一性，但这似乎不是难以办到的事，建个数据库就可以了。当然也可以把用户名称和序列号分为几个部分来构造多元的算法。

特定值 = F（用户名1，用户名2，...序列号1，序列号2...）

现有的序列号加密算法大多是软件开发者自行设计的，大部分相当简单。而且有些算法作者虽然下了很大的功夫，效果却往往得不到它所希望的结果。

2、时间限制

有些程序的试用版每次运行都有时间限制，例如运行10分钟或20分钟就停止工作，必须重新运行该程序才能正常工作。这些程序里面自然有个定时器来统计程序运行的时间。这种方法使用的较少。

3、Key File 保护

Key File（注册文件）是一种利用文件来注册软件的保护方式。Key File一般是一个小文件，可以是纯文本文件，也可以是包含不可显示字符的二进制文件，其内容是一些加密过或未加密的数据，其中可能有用户名、注册码等信息。文件格式则由软件作者自己定义。试用版软件没有注册文件，当用户向作者付费注册之后，会收到作者寄来的注册文件，其中可能包含用户的个人信息。用户只要将该文件放入指定的目录，就可以让软件成为正式版。该文件一般是放在软件的安装目录中或系统目录下。软件每次启动时，从该文件中读取数据，然后利用某种算法进行处理，根据处理的结果判断是否为正确的注册文件，如果正确则以注册版模式来运行。这种保护方法使用也不多。

4、CD-check

即光盘保护技术。程序在启动时判断光驱中的光盘上是否存在特定的文件，如果不存在则认为用户没有正版光盘，拒绝运行。在程序运行的过程当中一般不再检查光盘的存在与否。Windows下的具体实现一般是这样的：先用GetLogicalDriveStrings（）或GetLogicalDrives（）得到系统中安装的所有驱动器的列表，然后再用GetDriveType（）检查每一个驱动器，如果是光驱则用CreateFileA（）或FindFirstFileA（）等函数检查特定的文件存在与否，并可能进一步地检查文件的属性、大小、内容等。

5、软件狗

软件狗是一种智能型加密工具。它是一个安装在并口、串口等接口上的硬件电路，同时有一套使用于各种语言的接口软件和工具软件。当被狗保护的软件运行时，程序向插在计算机上的软件狗发出查询命令，软件狗迅速计算查询并给出响应，正确的响应保证软件继续运行。如果没有软件狗

软件狗，程序将不能运行，复杂的软硬件技术结合在一起防止软件盗版。真正有商业价值得软件一般都用软件狗来保护。

平时常见的狗主要有“洋狗”（国外狗）和“土狗”（国产狗）。这里“洋狗”主要指美国的彩虹和以色列的HASP，“土狗”主要有金天地（现在与美国彩虹合资，叫“彩虹天地”）、深思、尖石。总的说来，“洋狗”在软件接口、加壳、反跟踪等“软”方面没有“土狗”好，但在硬件上破解难度非常大；而“土狗”在软的方面做的很好，但在硬件上不如“洋狗”，稍有单片机功力的人，都可以复制。

6、软盘加密

通过在软盘上格式化一些非标准磁道，在这些磁道上写入一些数据，如软件的解密密钥等等。这种软盘成为“钥匙盘”。软件运行时用户将软盘插入，软件读取这些磁道中的数据，判断是否合法的“钥匙盘”。

软盘加密还有其它一些技术，如弱位加密等等。随着近年来软盘的没落，这种方法基本上退出了历史舞台。

7、将软件与机器硬件信息结合

用户得到（买到或从网上下载）软件后，安装时软件从用户的机器上取得该机器的一些硬件信息（如硬盘序列号、BOIS序列号等等），然后把这些信息和用户的序列号、用户名等进行计算，从而在一定程度上将软件和硬件部分绑定。用户需要把这一序列号用Email、电话或邮寄等方法寄给软件提供商或开发商，软件开发商利用注册机（软件）产生该软件的注册号寄给用户即可。软件加密虽然加密强度比硬件方法较弱，但它具有非常廉价的成本、方便的使用方法等优点。非常适合做为采用光盘（CDROM）等方式发授软件的加密方案。

此种加密算法的优点：

· 不同机器注册码不同。用户获得一个密码只能在一台机器上注册使用软件。不同于目前大多软件采用的注册方法，即只要知道注册码，可在任何机器上安装注册。

· 不需要任何硬件或软盘

· 可以选择控制软件运行在什么机器、运行多长时间或次数等

· 可让软件在不注册前的功能为演示软件，只能运行一段时间或部分功能。注册后就立即变为正式软件 · 采用特别技术，解密者很难找到产生注册号码的规律

· 在使用注册号产生软件（注册机）时可采用使用密码、密钥盘、总次数限制等方法

· 方便易用，价格低廉。

这种加密还有以下特点：

1、注册加密的软件，只能在一台机器上安装使用。把软件拷贝到其它机器上不能运行。

2、若用户想在另一机器上安装运行，必须把软件在这一机器上运行时的序列号，寄给软件出版商换取注册密码。当然应再交一份软件费用。

3、此加密方法特别适应在因特网上发布的软件及用光盘发布的软件。

所谓数据加密（Data Encryption）技术是指将一个信息（或称明文，plain text）经过加密钥匙（Encryption key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文经过解密函数、解密钥匙（Decryption key）还原成明文。加密技术是网络安全技术的基石。

数据加密技术要求

数据加密技术要求只有在指定的用户或网络下，才能解除密码而获得原来的数据，这就需要给数据发送方和接受方以一些特殊的信息用于加解密，这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为专用密钥和公开密钥两种。编辑本段分类专用密钥

专用密钥，又称为对称密钥或单密钥，加密和解密时使用同一个密钥，即同一个算法。如DES和MIT的Kerberos算法。单密钥是最简单方式，通信双方必须交换彼此密钥，当需给对方发信息时，用自己的加密密钥进行加密，而在接收方收到数据后，用对方所给的密钥进行解密。当一个文本要加密传送时，该文本用密钥加密构成密文，密文在信道上传送，收到密文后用同一个密钥将密文解出来，形成普通文体供阅读。在对称密钥中，密钥的管理极为重要，一旦密钥丢失，密文将无密可保。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂，而且密钥本身的安全就是一个问题。对称密钥

对称密钥是最古老的，一般说“密电码”采用的就是对称密钥。由于对称密钥运算量小、速度快、安全强度高，因而目前仍广泛被采用。

DES是一种数据分组的加密算法，它将数据分成长度为64位的数据块，其中8位用作奇偶校验，剩余的56位作为密码的长度。第一步将原文进行置换，得到64位的杂乱无章的数据组；第二步将其分成均等两段；第三步用加密函数进行变换，并在给定的密钥参数条件下，进行多次迭代而得到加密密文。公开密钥

公开密钥，又称非对称密钥，加密和解密时使用不同的密钥，即不同的算法，虽然两者之间存在一定的关系，但不可能轻易地从一个推导出另一个。有一把公用的加密密钥，有多把解密密钥，如RSA算法。

非对称密钥由于两个密钥（加密密钥和解密密钥）各不相同，因而可以将一个密钥公开，而将另一个密钥保密，同样可以起到加密的作用。

在这种编码过程中，一个密码用来加密消息，而另一个密码用来解密消息。在两个密钥中有一种关系，通常是数学关系。公钥和私钥都是一组十分长的、数字上相关的素数（是另一个大数字的因数）。有一个密钥不足以翻译出消息，因为用一个密钥加密的消息只能用另一个密钥才能解密。每个用户可以得到唯一的一对密钥，一个是公开的，另一个是保密的。公共密钥保存在公共区域，可在用户中传递，甚至可印在报纸上面。而私钥必须存放在安全保密的地方。任何人都可以有你的公钥，但是只有你一个人能有你的私钥。它的工作过程是：“你要我听你的吗？除非你用我的公钥加密该消息，我就可以听你的，因为我知道没有别人在偷听。只有我的私钥（其他人没有）才能解密该消息，所以我知道没有人能读到这个消息。我不必担心大家都有我的公钥，因为它不能用来解密该消息。”

公开密钥的加密机制虽提供了良好的保密性，但难以鉴别发送者，即任何得到公开密钥的人都可以生成和发送报文。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等问题。非对称加密技术

数字签名一般采用非对称加密技术（如RSA），通过对整个明文进行某种变换，得到一个值，作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算，如其结果为明文，则签名有效，证明对方的身份是真实的。当然，签名也可以采用多种方式，例如，将签名附在明文之后。数字签名普遍用于银行、电子贸易等。

数字签名不同于手写签字：数字签名随文本的变化而变化，手写签字反映某个人个性特征，是不变的；数字签名与文本信息是不可分割的，而手写签字是附加在文本之后的，与文本信息是分离的。

值得注意的是，能否切实有效地发挥加密机制的作用，关键的问题在于密钥的管理，包括密钥的生存、分发、安装、保管、使用以及作废全过程。编辑本段网络数据加密的三种技术概述

在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有：美国的DES及其各种变形，比如Triple DES、GDES、New DES和DES的前身Lucifer；欧洲的IDEA；日本的FEAL?N、LOKI?91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。

常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。

在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有：RSA、背包密码、McEliece密码、Diffe?Hellman、Rabin、Ong?Fiat?Shamir、零知识证明的算法、椭圆曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。

公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂，加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。

当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。

密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

一般的数据加密可以在通信的三个层次来实现:链路加密、节点加密和端到端加密。链路加密

对于在两个网络节点间的某一次通信链路,链路加密能为网上传输的数据提供安全保证。对于链路加密(又称在线加密),所有消息在被传输之前进行加密,在每一个节点对接收到的消息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。在到达目的地之前,一条消息可能要经过许多通信链路的传输。

由于在每一个中间传输节点消息均被解密后重新进行加密,因此,包括路由信息在内的链路上的所有数据均以密文形式出现。这样,链路加密就掩盖了被传输消息的源点与终点。由于填充技术的使用以及填充字符在不需要传输数据的情况下就可以进行加密,这使得消息的频率和长度特性得以掩盖,从而可以防止对通信业务进行分析。

尽管链路加密在计算机网络环境中使用得相当普遍,但它并非没有问题。链路加密通常用在点对点的同步或异步线路上,它要求先对在链路两端的加密设备进行同步,然后使用一种链模式对链路上传输的数据进行加密。这就给网络的性能和可管理性带来了副作用。

在线路/信号经常不通的海外或卫星网络中,链路上的加密设备需要频繁地进行同步,带来的后果是数据丢失或重传。另一方面,即使仅一小部分数据需要进行加密,也会使得所有传输数据被加密。

在一个网络节点,链路加密仅在通信链路上提供安全性,消息以明文形式存在,因此所有节点在物理上必须是安全的,否则就会泄漏明文内容。然而保证每一个节点的安全性需要较高的费用,为每一个节点提供加密硬件设备和一个安全的物理环境所需要的费用由以下几部分组成:保护节点物理安全的雇员开销,为确保安全策略和程序的正确执行而进行审计时的费用,以及为防止安全性被破坏时带来损失而参加保险的费用。

在传统的加密算法中,用于解密消息的密钥与用于加密的密钥是相同的,该密钥必须被秘密保存,并按一定规则进行变化。这样,密钥分配在链路加密系统中就成了一个问题,因为每一个节点必须存储与其相连接的所有链路的加密密钥,这就需要对密钥进行物理传送或者建立专用网络设施。而网络节点地理分布的广阔性使得这一过程变得复杂,同时增加了密钥连续分配时的费用。节点加密

尽管节点加密能给网络数据提供较高的安全性,但它在操作方式上与链路加密是类似的:两者均在通信链路上为传输的消息提供安全性;都在中间节点先对消息进行解密,然后进行加密。因为要对所有传输的数据进行加密,所以加密过程对用户是透明的。

然而,与链路加密不同,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。

节点加密要求报头和路由信息以明文形式传输,以便中间节点能得到如何处理消息的信息。因此这种方法对于防止攻击者分析通信业务是脆弱的。端到端加密

端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密(又称脱线加密或包加密),消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。

端到端加密系统的价格便宜些,并且与链路加密和节点加密相比更可靠,更容易设计、实现和维护。端到端加密还避免了其它加密系统所固有的同步问题,因为每个报文包均是独立被加密的,所以一个报文包所发生的传输错误不会影响后续的报文包。此外,从用户对安全需求的直觉上讲,端到端加密更自然些。单个用户可能会选用这种加密方法,以便不影响网络上的其他用户,此方法只需要源和目的节点是保密的即可。

端到端加密系统通常不允许对消息的目的地址进行加密,这是因为每一个消息所经过的节点都要用此地址来确定如何传输消息。由于这种加密方法不能掩盖被传输消息的源点与终点,因此它对于防止攻击者分析通信业务是脆弱的。

PTT加密技术

科发源研究出针对加密手术的专利技术PTT，主要特点是可见缝插针，不损伤自身其他头发，可以加到很密的效果。国内一般移植器械针对头发加密不能尽善尽美，一次种植数量不会很多，而且器械粗糙导致其他毛囊受损，科发源的PTT加密技术克服也这一缺陷。密钥加密技术

密钥技术提供的加密服务可以保证在开放式环境中网络传输的安全。通常大量使用的两种密钥加密技术是：私用密钥（对称加密）和公共密钥（非对称加密）。

在私用密钥机制中，信息采用发送方和接收方保存的私有的密钥进行加密。这种系统假定双方已经通过一些人工方法交换了密钥，并且采用的密钥交换方式并不危及安全性。

公共密钥机制为每个用户产生两个相关的密钥。一个由用户私下保存（私钥），另一个放于公共区（公钥）。如果某人想给你发送消息，他（她）用你的公开密钥对信息加密。当收到信息后，你可以用私存的密钥对信息解密。SSL加密技术

为了保护敏感数据在传送过程中的安全，全球许多知名企业采用SSL（Security Socket Layer）加密机制。SSL是Netscape公司所提出的安全保密协议，在浏览器（如Internet Explorer、Netscape Navigator）和Web服务器（如Netscape的Netscape Enterprise Server、ColdFusion Server等等）之间构造安全通道来进行数据传输，SSL运行在TCP/IP层之上、应用层之下，为应用程序提供加密数据通道，它采用了RC4、MD5以及RSA等加密算法，使用40 位的密钥，适用于商业信息的加密。同时，Netscape公司相应开发了HTTPS协议并内置于其浏览器中，HTTPS实际上就是HTTP over SSL，它使用默认端口443，而不是像HTTP那样使用端口80来和TCP/IP进行通信。HTTPS协议使用SSL在发送方把原始数据进行加密，然后在接受方进行解密，加密和解密需要发送方和接受方通过交换共知的密钥来实现，因此，所传送的数据不容易被网络黑客截获和解密。

然而，加密和解密过程需要耗费系统大量的开销，严重降低机器的性能，相关测试数据表明使用HTTPS协议传输数据的工作效率只有使用HTTP协议传输的十分之一。假如为了安全保密，将一个网站所有的Web应用都启用SSL技术来加密，并使用HTTPS协议进行传输，那么该网站的性能和效率将会大大降低，而且没有这个必要，因为一般来说并不是所有数据都要求那么高的安全保密级别

编辑本段SSL协议的工作方式。

客户端要收发几个握手信号：

发送一个ClientHello消息，说明它支持的密码算法列表、压缩方法及最高协议版本，也发送稍后将被使用的随机数。然后收到一个ServerHello消息，包含服务器选择的连接参数，源自客户端初期所提供的ClientHello。当双方知道了连接参数，客户端与服务器交换证书（依靠被选择的公钥系统）。这些证书通常基于X.509，不过已有草案支持以OpenPGP为基础的证书。服务器请求客户端公钥。客户端有证书即双向身份认证，没证书时随机生成公钥。客户端与服务器通过公钥保密协商共同的主私钥（双方随机协商），这通过精心谨慎设计的伪随机数功能实现。结果可能使用Diffie-Hellman交换，或简化的公钥加密，双方各自用私钥解密。所有其他关键数据的加密均使用这个“主密钥”。数据传输中记录层（Record layer）用于封装更高层的HTTP等协议。记录层数据可以被随意压缩、加密，与消息验证码压缩在一起。每个记录层包都有一个Content-Type段用以记录更上层用的协议。

文件加密技术

文件加密是一种常见的密码学应用。文件加密技术是下面三种技术的结合(1)密码技术.包括对称密码和非对称密码，可能是分组密码，也可能采用序列密码文件加密的底层技术是数据加密。

(2)操作系统。文件系统是操作系统的重要组成部分。对文件的输入输出操作或文件的组织和存储形式进行加密也是文件加密的常用于段。对动态文件进行加密尤其需要熟悉文件系统的细节。文件系统与操作系统其他部分的关联，如设备管理、进程管理和内存管理等，都可被用于文件加密。

(3)文件分析技术。不同的文件类型的语义操作体现在对该文件类型进行操作的应用程序中，通过分析文件的语法结构和关联的应用程序代码而进行一些置换和替换，在实际应用中经常可以达到一定的文件加密效果。

利用以上技术文件加密主要包括以下内容。

（1）文件的内容加密通常采用二进制加密的方法

（2）文件的属性加密

（3）文件的输入输出和操作过程的加密，即动态文件加密

通常一个完整的文件加密系统包括操作系统的核心驱动、设备接口、密码服务组件和应用层几个部分。

水印加密技术

原始图片在压缩前通过摄像机的自身特性及前端软件叠字加的违法信息，同时要用用一种技术（暂称为防伪水印加密技术），对违法图象和违法数据进行加密，防止图像被非法修改，确保证据的真实性和有效性。

不对称加密技术

公共密钥加密技术不对称加密技术：允许任何人对信息进行加密处理后，将它发送给另一个人，而不需要预先交换密钥。但该过程对于互相了解的或属于同一组织的两个人之间是不可行的。在公共密钥加密过程中，实现Internet上的敏感数据报文的交换，需要提供两种密钥支持：公共密钥和私人密钥。公共密钥是由其主人加以公开的，而私人密钥必须保密存放。为发送一份保密报文，发送者必须使用接收者的公共密钥对数据进行加密，一旦加密，只有接收方用其私人密钥才能加以解密。换句话说，如果A要向 B 发送经过加密的数据，那么 A 使用 B 的公共密钥对将要发送的数据进行加密处理，而 B 使用对应的私人密钥才可以对由 A 发送的那些加密数据解密。公开密钥加密技术

(public key crypto-system)

l976年，Diffie和Hellman首次提非对称加密出公开密钥加密体制，即每个人都有一对密钥，其中一个为公开的，一个为私有的。发送信息时用对方的公开密钥加密，收信者用自己的私用密钥进行解密。公开密钥加密算法的核心是运用一种特殊的数学函数一单向陷门函数，即从一个方向求值是容易的。但其逆向计算却很困难，从而在实际上成为不可行的。公开密钥加密技术它不仅保证了安全性又易于管理。其不足是加密和解密的时间长。

公开密钥密码编码学的发展是整个密码编码学历史上最大的而且也许是唯一真正的革命。公开密钥密码编码学与传统的方法不同：一方面它是基于数学函数；更为重要的是，它是非对称的。公钥系统对于保密通信、密钥分配和鉴别等领域有着深远的影响。

公开密钥密码体制的产生主要是因为两个方面的原因，一是由于常规密钥密码体制分配（distribution）问题，另一是由于对数字签名的需求。公钥方法是一种与过去所有密码编码学截然不同的方法。公钥用于：密钥分配、机密性和认证。

电子商务的安全技术篇7

1 防火墙技术和数据加密技术

1.1 防火墙技术

防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强Intranet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙一般运用了以下技术:

1.1.1 透明的访问方式

防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。

1.1.2 灵活的代理系统

代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。采用两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。

1.1.3 多级过滤技术

为保证系统的安全性和防护水平,防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,对服务的通行实行严格控制。

1.1.4 网络地址转换技术

防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。

1.1.5 Internet网关技术

由于是直接串联在网络之中,防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。在域名服务方面,防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。

1.1.6 安全服务器网络(SSN)

为了适应越来越多的用户向Internet上提供服务时对服务器的需要,防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。

1.1.7 用户鉴别与加密

防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。

1.1.8 用户定制服务

为了满足特定用户的特定需求,防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。

1.1.9 审计和告警

防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。

防火墙技术从其功能上来分,还可以分为FTP防火墙、Telnet防火墙、Email防火墙、病毒防火墙等等。通常几种防火墙技术被一起使用,以弥补各自的缺陷和增加系统的安全性能。

1.2 数据加密技术

在电子商务中,信息加密技术是其它安全技术的基础,加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式(即加密),在线路上传送或在数据库中存储,其他用户再将密文还原成明文(即解密),从而保障信息数据的安全性。数据加密的方法很多,常用的有两大类。一种是对称加密。一种是非对称密钥加密。

1.2.1 对称加密

对称加密也叫秘密密钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。这种方法使用简单,加密解密速度快,适合于大量信息的加密。但存在几个问题:第一,不能保证也无法知道密钥在传输中的安全。若密钥泄漏,黑客可用它解密信息,也可假冒一方做坏事。第二,假设每对交易方用不同的密钥,N对交易方需要N*(N-1)/2个密钥,难于管理。第三,不能鉴别数据的完整性。

1.2.2 非对称密钥加密

非对称密钥加密也叫公开密钥加密。公钥加密法是在对数据加解密时,使用不同的密钥,在通信双方各具有两把密钥,一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密,同样地,用私钥解密的数据只能用对应的公钥解密。具体加密传输过程如下:

1)发送方甲用接收方乙的公钥加密自己的私钥。

2)发送方家用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方。

3)接收方乙用自己的私钥解密,得到甲的私钥。

4)接收方乙用甲的公钥解密,得到明文。

这个过程包含了两个加密解密过程:密钥的加解密和文件本身的加解密。在密钥的加密过程中,由于发送方甲用乙的公钥加密了自己的私钥,如果文件被窃取,由于只有乙保管自己的私钥,黑客无法解密。这就保证了信息的机密性。另外,发送方甲用自己的私钥加密信息,因为信息是用甲的私钥加密,只有甲保管它,可以认定信息是甲发出的,而且没有甲的私钥不能修改数据。可以保证信息的不可抵赖性。公开密钥加密典型的代表是RSA算法,但是RSA的加密解密要两次,处理和计算量都比较大,速度慢,所以只适合于少量数据的加密。因此,在当前的加密应用中,经常使用对称密钥来对文本加密和解密,用非对称RSA加密体系对私钥加密和解密。发送方把密文和加密后的私钥一起发送给接收方。使用这种联合加密法,不仅可以确保数据的保密性,而且还可以实现一种名为数字签名的认证机制。发送者私钥加密的数据可以提供对发送者身份的认证,接收者私钥加密的数据可以提供对接收者身份的认证。

2 结论

随着电子商务的飞快发展,加强电子商务安全的问题日益紧迫,要加强电子商务的安全,需要有科学的、先进的安全技术。只有不断提高防火墙技术、数据加密技术等电子商务安全技术,才能为电子商务提供安全有效的技术保障。

参考文献

[1]隋红建,吴璇.计算机网络与通信[M].北京:北京大学出版社,2001:155-158.

[2]马华东.多媒体计算机技术原理[M].北京:清华大学出版社,1999:200-202.

[3]宋文官,徐继红.电子商务概论[M].大连:东北财经大学出版社,2007:67-69.

[4]王忠诚.电子商务安全[M].北京:机械工业出版社,2009:59-60.

电子商务中的安全问题篇8

电子商务及其主要安全问题的简介

电子商务是指利用互联网为条件，基于B/S的应用模式，不在同一地域或时间的买卖双方实现的贸易洽谈、合同签订、集货发货等贸易活动，简单地说就是交易双方在不见面的情况下实现网上购物、电子支付和物流跟踪等业务活动的新型贸易模式。

若干安全问题类型的分析

（一）网络类电子商务的安全问题

电子商务的整个过程都是基于网络的，可见网络就是出现问题的关键部位，黑客也是利用网络的漏洞通过不同的方式对电子商务的正常交易进行攻击。那么，黑客攻击交易网络的主要方式有篡改网页、传播病毒、释放木马和网络钓鱼。篡改网页是很多黑客所热衷的方式，即为用其他网页来替换被篡改的网页。其方式本身对于电子交易并没有什么危害，但是因为选购货物全过程都要依赖于网页，所以恶意丑化和涂改相应的商品会误导消费者的判断，并损害企业的信誉和形象。传播病毒是一种比较古老的方式，其主要利用病毒程序的不断复制和利于传播的特性，一方面能够阻塞网络信息的传播，切断企业或个人与外界联系的通道，另一方面也能够控制中毒机器，让小范围的网络处于瘫痪状态。但是因为现在的防毒、杀毒技术发展迅速，所以这类方式的成功率已不是很高。释放木马的方式类似于传播病毒。木马是一种不为用户所知的植入性程序，黑客一般利用这类程序对目标机器进行远程监督和操控，盗取企业和个人的信息后，进行一些不符合交易双方意愿的操作，但这种方式也和传播病毒一样，受到了杀毒技术的巨大挑战。网络钓鱼也称为网络冒用，就是说黑客利用虚假信息、欺诈专栏和多种手段来诱骗用户的个人信息（账户、密码等），最终实现盗取金融账户财产的目的。此类案件在近些年来层出不穷，而且有愈发严重的态势，所以网络钓鱼的方式是电子商务巨大之一。

（二）企业内部的管理不善造成的安全问题。企业管理混乱，没有通盘考虑安全问题。个别电子商务企业的产业规模并不是很大，企业管理相对松散，不同部门虽然各司其职，但是却令不行、禁不止。所以信息安全只做到了某一部门的安全，而不是企业的整体信息安全。缺少信息安全类的专业人才。对于电子商务内信息安全的管理需要一支高素质、法制化、专业化的人才队伍，而当今电子商务类人才的短缺已经成为一个不争的事实。很多企业想要高薪聘请一些能够引领时代潮流的人，最终一无所获，而且同时也有一些企业将大部分的资金都用在产品的营销上，而不是人才的培养上，所以这也是安全问题突出的一个症结所在。

解决安全问题的建议

（一）加强数据安全和网络安全监管

提高加密算法强度以提高数据通讯的安全。电子商务的整个交易过程主要依赖于三个方面的数据通信：客户端与服务器间的数据通信；服务器与数据库间的数据通信；银行系统与服务器间的数据交换。一般客户端与服务器之间的链路采用SSL协议建立，所以一切与交易或者客户有关的信息都是经过加密的。但是强度有大有小，大多数采用的加密强度为40位，这就让黑客有了可乘之机，如果将加密强度扩展到128位，不法分子要攻击客户端就必须花费很大的气力。在平常的机器使用中，也建议用户经常性杀毒，避免病毒和木马的入侵，保证有一个安全、良好的交易环境。

（二）加强电子商务企业的安全管理

电子商务的管理者掌握着企业的运营和命脉，也是网络犯罪的抵御者和潜在犯罪对象，这么看来他们具有着双重身份，因此加强企业的安全管理首要是加强人员的管理。

网上交易这种新兴的商务方式在给企业带来巨大的商机的同时，也在安全方面提出了更高的挑战。对于事故频发的商业体系，越来越多黑客的骚扰以及在巨额利润作用下导致的员工跳槽，电子商务企业的管理者不得不分析安全管理体制方面的原因和尽最大可能地保证交易者的安全，如果能将文中提到的问题都避免掉，就一定会在激烈的商业竞争中取胜，并一步一步地推进电子商务安全的进程，让企业不断发展壮大。

(作者单位：沈阳师范大学软件学院)

【电子商务的安全】推荐阅读：