信息安全技术之电商安全选读.doc

网络技术的本质是信息的共享。现如今，网络的发展使世界变得越来越小，门类的交往越来越密切。在人类共享网络技术的利益只是，相伴而来的信息安全问题也日渐突出。伴随信息技术的普及与推广，人们已经清楚的认识到，在发展信息网络技术的同时，做好网络安全方面的理论研究与技术开发尤为重要。那再这里，我以现在网络流行的电商作为一个典型例子，来谈谈电商网络信息安全的一些个人想法和理解。 为大多数人所追崇和热捧的“双十一”大促在即，卖家家们紧锣密鼓地开始筹划整体活动。而这样的电商运营模式在中国，确实取得了相当大的成效。那么首先我简单介绍一下什么是电商。电商即电子商务运营（Electronic Commerce Operation），它是网络营销的一种，借助因特网在网站上推广从而达到营销目的的一个平台。简而言之，就是在淘宝、天猫、京东商城等一系列的网络卖家与买家之间建立起来的一个信誉交易平台。 我们都知道，在登陆购物网页是需要登录账号、输入密码，并且在买家与卖家达成一致条件进行交易是，也需要买家输入银行卡账号、密码等个人的重要安全信息。交易的安全性是否能够得到保证是电子商务的核心问题，首先我先带大家了解一下电子商务支付中的安全隐患： 信息泄露：资金被盗或者企业商业机密被窃取等损失。 信息被篡改：支付过程中传输的信息如支付宝金额、收款账号等信息被篡改。 无法判断交易方是谁：买家付款，收不到卖家的货；卖家发货，收不到买家的钱。 某交易方抵赖：如遇到交易对自己不利的情况可能出现抵赖的情形，所有文件都是电子形式，防止抵赖的难度大大加大。 因此，电子商务安全支付迫在眉睫，进而也就出现了与之对应的电子商务安全支付技术体系： 那么，我们对这个安全支付技术体系有什么样的要求呢？ 信息保密性（信息加密技术）：交易中的商务信息由保密的要求。 信息完整性（验证技术：数字摘要、数字时间截）：交易的文件是不能够被修改的。 不可否认性（数字签名）：确保通信和交易双方无法对已进行的业务进行否认。 信息源鉴别（数字证书和CA认证中心）：帮助数据接收方确认数据源自特定的用户。 那么接下来，我们就分别来了解一下保证安全支付的这几项技术： 信息加密技术：就是将原来大家可以理解的信息与一个特殊的字符串结合，按照一定的规则进行运算，变成不可理解的信息。信息加密，实际上就是将信息的真实内容隐藏起来。它是电子支付过程中常用的加密技术。信息加密技术主要有以下三种加密方法： 私有密钥加密法（对称密钥加密法）：就是通信双方，通过互联网传输信息时，发送方通过密钥A对信息进行加密，并将生成的密文发送给接收方，接收方通过相同密钥A对密文解密，得到信息明文。 私有密钥加密在有使用便捷、加密和揭秘速度快、效率高的特点，同时也有不足之处， 密钥管理比较困难，无法确认发送方身份（一个n个用户的网络就需要n（n-1）/2个私有密钥）。下面是这种加密法的原理图。 公开密钥加密法（不对称密钥加密法）：就是通信双方通过互联网传输信息时，发送方通过密钥A对信息进行加密，将生成的密文发送给接收方，接收方通过另一个密钥B对密文解密，得到信息明文。密钥Ahead密钥B是不相同的，密钥A由发送方私人保管，叫私人密钥，私人密钥和用户的身份是关联的；密钥B对网上的部分或者所有用户都是公开的，叫做公开密钥，是通过数字证书等方式散发给网络上其他接收信息的用户。 公开密钥的 优点：密钥管理简单，可以确认发送方身份。对于一个n个用户网络来说， 只需要2n个密钥就可以达到密钥。 缺点：加密解密速度慢，只适合在数据量较小的信息加密解密过程中。公开密钥加密发花费时间可能是私有密钥加密法的100倍。下面是这种加密法的原理图。 数字信封技术：是利用信息加密技术，保证只有规定的接收方才可以阅读信息内容的一种安全手段。数字信封技术是私有密钥加密法和公开密钥加密法二者结合的产物。下面是它的原理示意图。 在这里，我需要详细介绍一下密钥加密技术： 密钥的长度：是根据信息价值的大小、信息保密期的长短等因素来决定，信息价值越保密期越长则要求密钥长度越长，反之越短。三十密钥长度越长，对信息进行加密和解密所进行的计算复杂度也越高，对计算机的要求也越高，使用者所需要付出的成本也越高。因此，对密钥长度的选择需要综合考虑信息价值、保密度、成本等因素。 密钥分配：密钥分配必须有安全的通道进行分配。现在一般使用自动分配密钥的机智，来提高密钥分配的效率和安全性，密钥分配协议是目前使用比较多的一种手段。公开密钥的分配一半不需要有保密的通道，它主要通过公开告示、公开密钥目录、公开密钥管理机构、携带公开密钥的数字证书等几种方式来分配。 密钥的分配：