(2)非對(duì)稱密鑰加密:非對(duì)稱加密不同于對(duì)稱加密,其密鑰對(duì)被分為公開密鑰和私有密鑰。密鑰對(duì)生成后,公開密鑰對(duì)外公開,而私有密鑰則保存在密鑰發(fā)布方手里。任何得到公開密鑰的用戶都可以使用該密鑰加密信息發(fā)送給該公開密鑰的發(fā)布者,而發(fā)布者在得到加密信息后,使用與公開密鑰相應(yīng)對(duì)的私有密鑰進(jìn)行解密。目前,常用的非對(duì)稱加密算法有RSA算法。該算法已被國際標(biāo)準(zhǔn)化組織的數(shù)據(jù)加密技術(shù)分委員會(huì)推薦為非對(duì)稱密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。

　　在對(duì)稱和非對(duì)稱兩類加密方法中,對(duì)稱加密的優(yōu)點(diǎn)是加密速度快(通常比非對(duì)稱加密快10倍以上)、效率高,被廣泛用于大量數(shù)據(jù)的加密。但該方法的致命缺點(diǎn)是密鑰的傳輸與交換也面臨著安全問題,密鑰易被截取,而且,若和大量用戶進(jìn)行通信,難以安全管理大量的密鑰對(duì),因此對(duì)稱加密大范圍應(yīng)用存在一定問題。而非對(duì)稱密鑰則相反,其優(yōu)點(diǎn)是解決了對(duì)稱加密中密鑰數(shù)量過多難管理和費(fèi)用高的不足,也不必?fù)?dān)心傳輸中私有密鑰的泄露,保密性能優(yōu)于對(duì)稱加密技術(shù)。但非對(duì)稱的缺點(diǎn)是加密算法復(fù)雜,加密速度不很理想。目前.電子商務(wù)實(shí)際運(yùn)用中常常是兩者結(jié)合使用。

　　1.加密技術(shù)是電子商務(wù)的最基本的安全技術(shù)。在目前技術(shù)條件下,加密技術(shù)通常分為對(duì)稱加密和非對(duì)稱加密兩類。

　　對(duì)信息加密只解決了信息傳輸過程中的保密問題,而防止他人對(duì)傳輸?shù)男畔⑦M(jìn)行篡改或破壞,保證信息的完整性,以及保證信息發(fā)送者對(duì)發(fā)送信息的不可抵賴性,需要采用其它的手段,這一手段就是數(shù)字簽名。數(shù)字簽名技術(shù)即進(jìn)行身份認(rèn)證的技術(shù)。在數(shù)字化文檔上的數(shù)字簽名類似于紙張上的手寫簽名,是不可偽造的。接收者能夠驗(yàn)證文檔確實(shí)來自簽名者,并且簽名后文檔沒有被修改過,從而保證信息的真實(shí)性和完整性。

　　2.安全需求。電子商務(wù)交易過程有以下的安全需求,分別是信息的保密性、完整性和不可否認(rèn)性。電子商務(wù)信息的保密性,指的是信息不泄露給非授權(quán)用戶、實(shí)體或過程,或供其利用的特性。電子商務(wù)信息的完整性,指的是數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性。電子商務(wù)信息的不可否認(rèn)性,指的是避免發(fā)生交易中的某一方在進(jìn)行某種交易行為之后,否認(rèn)自己曾經(jīng)進(jìn)行過該商務(wù)行為;或者某一方否認(rèn)自己曾經(jīng)接收到對(duì)方發(fā)出的交易信息。

　　在公共密鑰體制中,私鑰只有信息發(fā)送者知道,而與之匹配的公鑰是公開的,它能保證傳輸信息的保密性,但沒有解決公鑰的分發(fā)方式。數(shù)字簽名保證了信息是由簽名者發(fā)送的以及信息自簽發(fā)后到收到為止未曾作過任何修改,但不能保證簽名者身份的真實(shí)性。因此需要有一種措施來管理公鑰分發(fā),保證公鑰以及與公鑰有關(guān)的實(shí)體身份信息的真實(shí)性。這一措施就是數(shù)字證書。數(shù)字證書是一般由具有權(quán)威性、可信任性的第三方機(jī)構(gòu)即認(rèn)證機(jī)構(gòu)CA所頒發(fā)。數(shù)字證書是公共密鑰體制中的密鑰管理媒介,并將公鑰和實(shí)體身份信息綁定在一起,并包含認(rèn)證機(jī)構(gòu)的數(shù)字簽名。數(shù)字證書在電子商務(wù)中用于公鑰的分發(fā)、傳遞,證明電子商務(wù)實(shí)體身份與公鑰相匹配。

　　電子商務(wù)是在Internet開放的網(wǎng)絡(luò)環(huán)境下,實(shí)現(xiàn)消費(fèi)者在線購物、企業(yè)之間的在線交易和網(wǎng)上電子支付的一種新型的交易方式。由于電子商務(wù)具有低成本、高效益、全球性等特點(diǎn)使其很快遍及全世界。電子商務(wù)已成為世界經(jīng)濟(jì)最具活力的增長點(diǎn),它的應(yīng)用將給社會(huì)和經(jīng)濟(jì)發(fā)展帶來巨大的變革。然而,目前世界通過電子商務(wù)方式完成的貿(mào)易額只占同期全球貿(mào)易額中的一小部分。究其原因,電子商務(wù)是一個(gè)復(fù)雜的系統(tǒng)工程,它的應(yīng)用還依靠相應(yīng)的社會(huì)問題和技術(shù)問題的逐步解決與完善。其中,電子商務(wù)的安全問題是制約電子商務(wù)發(fā)展的最關(guān)鍵問題。

　　四、總結(jié)

　　2.身份認(rèn)證技術(shù)。目前電子商務(wù)交易中僅有加密技術(shù)不足以保證交易安全,身份認(rèn)證技術(shù)是保證電子商務(wù)安全的另一重要技術(shù)手段。身份認(rèn)證的實(shí)現(xiàn)包括數(shù)字簽名技術(shù)、數(shù)字證書技術(shù)等。

　　(1)數(shù)字簽名技術(shù)

　　(1)對(duì)稱密鑰加密:采用相同的加密算法,并且加密和解密都使用相同的密鑰。如果進(jìn)行通信的交易各方能夠確保專用密鑰在密鑰交換階段未曾發(fā)生泄露,則可以通過對(duì)稱加密方法加密機(jī)密信息,并隨報(bào)文發(fā)送報(bào)文摘要和報(bào)文散列值,來保證報(bào)文的機(jī)密性和完整性。密鑰安全交換是關(guān)系到對(duì)稱加密有效性的最核心環(huán)節(jié)。目前常用的對(duì)稱加密算法有DES、PCR、IDEA、3DES等。其中DES使用最常用,被國際標(biāo)準(zhǔn)化組織采用作為數(shù)據(jù)加密的標(biāo)準(zhǔn)。

　　(2)數(shù)字證書技術(shù)

　　加密技術(shù)和身份認(rèn)證技術(shù)是電子商務(wù)交易安全的基礎(chǔ)技術(shù),加密技術(shù)用于對(duì)信息的加密,保證信息的機(jī)密性。數(shù)字簽名和數(shù)字信封技術(shù)應(yīng)用了加密技術(shù),建立在公共密鑰體制基礎(chǔ)上。數(shù)字簽名技術(shù)對(duì)信息進(jìn)行數(shù)字簽名,保證信息的完整性和不可抵賴性。數(shù)字證書技術(shù)是對(duì)加密技術(shù)和數(shù)字簽名進(jìn)行支持的技術(shù),用于管理公鑰分發(fā),保證公鑰以及與公鑰有關(guān)的實(shí)體身份信息的真實(shí)性。因此,電子證書必須由權(quán)威的第三方認(rèn)證中心簽發(fā)。

　　二、電子商務(wù)交易的安全威脅與安全需求

　　三、電子商務(wù)交易的主要安全技術(shù)

　　1.安全威脅。電子商務(wù)交易中,比較容易受到以下的安全威脅,這些安全威脅經(jīng)常都會(huì)對(duì)電子商務(wù)造成非常嚴(yán)重的后果:一是交易信息的竊取與篡改,即網(wǎng)絡(luò)交易中用明文傳輸?shù)臄?shù)據(jù)被非法入侵者截獲并破譯之后,進(jìn)行非法篡改、刪除或插入,使信息的完整性遭受破壞。二是信息的假冒,即網(wǎng)絡(luò)非法攻擊者通過假冒合法用戶或者模擬虛假信息來實(shí)施詐騙行為。

　　目前的數(shù)字簽名是建立在公共密鑰體制基礎(chǔ)上,它是公用密鑰加密技術(shù)的另一類應(yīng)用。數(shù)字簽名與書面文件簽名有相同之處,采用數(shù)字簽名,也能確認(rèn)以下兩點(diǎn):信息是由簽名者發(fā)送的;信息自簽發(fā)后到收到為止未作過任何修改。目前數(shù)字簽名方法主要有三種,即:RSA簽名、DSS簽名和Hash簽名。這三種算法可單獨(dú)使用,也可綜合在一起使用。