论文部分内容阅读
电子商务是在网络上进行的商务活动,自然就包括商品的选择、讨价还价、洽谈、订单、合同的签订以及实际商品的交付等等。除了实际商品的交付,前面的过程大都在网络上完成,在这些过程中,买家与卖家没有面对面的交流和认知,只有通过网络的信息交流,而网络又是一个虚拟的世界,而这个虚拟世界里,也存在着一些不良行为者、信息窃取者。为保障电子商务的顺利进行,人们在信息传递物理层面、信息本身的公开程度层面、身份确认等方面都作了技术和应用上的防范。公钥和私钥机制就是其中的一个产物。公钥和私钥用于信息的加密和解密。就信息的加密和解密而言,在电子商务被普遍应用之前,已经有一些成熟的加密和解密方法。电子商务中的支付环节尤其需要安全的保障,电子商务中采用的加密和解密机制自然就沿袭并发展了以前的方法。现在常用的有对称密钥加密技术和非对称密钥加密技术。
如果仅仅是防止信息在网络上传输的时候,被其他人窃取,采用对称密钥加密技术就够了。对称密钥加密技术是在信息在网络传输之前,首先采用一定的算法和密码,将信息转换成不易识别的内容,信息接收者用相同的算法或密码,或能互推的方式,得到原文。这样即使其他人截获到了,也很难转换回原文。一个简单的比喻:(569元,编号为2083的项链,用汉语拼音表示)569yuan,2083xianglian。如果每个字符在网上传送的时候加2,数字字符超出了9就从0开始,英文字符超出了z就从a开始,那么上面的信息就转换成:781awcp4205zkcpinkvp。信息截获者得到了这条信息也不易知晓是什么意思。而信息接收者得到这条信息后,每个字符减去2,就得到了原文。这里的‘2’就是密钥,加2和减2就是算法。当然实际的电子商务中不会这么简单,采用相当复杂的算法并且算法也不断更新以增加安全强度。
一个企业很难对所有的客户、每一笔订单都采用不同的密钥,那么单单密钥管理就是繁琐的工作负担了,而且容易泄漏密钥,尤其对合同的纠纷等也没有约束力量,因为双方都可以否认信息是自己发送的。
非对称密钥加密技术更加安全一些,使用两个密码,分别称为公开密钥(公钥)和私有密钥(私钥)。公开密钥是可以向他人公开的,而私有密钥是不能向他人公开的,在加密和解密过程中,公钥和密钥是配对使用的,但是公钥和私钥不能互相推导出来,用公钥加密的内容可以用私钥解密,用私钥加密的内容可以用公钥解密。非对称密钥技术往往和身份认证、数字签名联系在一起,不仅在网上传输的信息要加密、解密,同时也要能表明身份,事后无法否认信息是自己发出的,当然经过篡改的内容也不能栽赃到自己头上。
这里描述一下非对称密钥加密技术的使用场合和过程:
假如A要给B发送信息,A和B分别都有自己的公钥和密钥,A不是用自己的公钥加密,而是用B的公钥加密,然后在网上传输,B接收到信息后,用B自己的密钥解密。用B的公钥加密的内容在网上传输保障安全,因为其他人即使截获了信息,因为没有B的密钥,也是无法解密的。同样,B若是给A发信息,也要使用A的公钥加密,A接收到信息后,用A自己的密钥解密。
那么能不能说公钥是用于加密而私钥是用于解密的呢?不能,私钥也可以加密,它有其它的作用。比如说,A要和B谈生意,用B的公钥加密后给B发了咨询信息,可是B怎么知道对方就是A呢?会不会是其他人冒用A的名义发来的?毕竟B的公钥是公开的啊。B就可以要求对方证实他是A的身份。这时,A可以将一个文件采用特定的算法(如Hash算法)处理后得到一个数字序列,同时将这个数字序列用A的私钥加密后传送给B(这个文件的原本和加密后的密文都传送),B得到后,用A的公钥解密,同时对传送来的文件用相同的算法计算得到对应的数字序列,解密后得到的信息与得到的数字序列相同,就可以证明A的身份了。因为A的公钥只能解YFA的密钥加密的东西,如果B用A的公钥解密后得到的数字序列与同时发送来文件的数字序列不同,就说明A的公钥不能解密此内容,也就是说,加密的时候用的不是A的私钥,那就不是A了。
仅仅有公钥和私钥机制还是限定不了电子商务中可能出现的问题,比如说公钥和私钥本身的可信程度、遗失或泄露的处理、密钥更新的处理等等,这需要权威的第三方的参与,也就是身份认证中心了。当然电子商务中的安全问题有方方面面的解决办法,SSL、SET协议也都是信息传输时共同遵循的,在电脑本机上也要采取防病毒、防木马等措施。
如果仅仅是防止信息在网络上传输的时候,被其他人窃取,采用对称密钥加密技术就够了。对称密钥加密技术是在信息在网络传输之前,首先采用一定的算法和密码,将信息转换成不易识别的内容,信息接收者用相同的算法或密码,或能互推的方式,得到原文。这样即使其他人截获到了,也很难转换回原文。一个简单的比喻:(569元,编号为2083的项链,用汉语拼音表示)569yuan,2083xianglian。如果每个字符在网上传送的时候加2,数字字符超出了9就从0开始,英文字符超出了z就从a开始,那么上面的信息就转换成:781awcp4205zkcpinkvp。信息截获者得到了这条信息也不易知晓是什么意思。而信息接收者得到这条信息后,每个字符减去2,就得到了原文。这里的‘2’就是密钥,加2和减2就是算法。当然实际的电子商务中不会这么简单,采用相当复杂的算法并且算法也不断更新以增加安全强度。
一个企业很难对所有的客户、每一笔订单都采用不同的密钥,那么单单密钥管理就是繁琐的工作负担了,而且容易泄漏密钥,尤其对合同的纠纷等也没有约束力量,因为双方都可以否认信息是自己发送的。
非对称密钥加密技术更加安全一些,使用两个密码,分别称为公开密钥(公钥)和私有密钥(私钥)。公开密钥是可以向他人公开的,而私有密钥是不能向他人公开的,在加密和解密过程中,公钥和密钥是配对使用的,但是公钥和私钥不能互相推导出来,用公钥加密的内容可以用私钥解密,用私钥加密的内容可以用公钥解密。非对称密钥技术往往和身份认证、数字签名联系在一起,不仅在网上传输的信息要加密、解密,同时也要能表明身份,事后无法否认信息是自己发出的,当然经过篡改的内容也不能栽赃到自己头上。
这里描述一下非对称密钥加密技术的使用场合和过程:
假如A要给B发送信息,A和B分别都有自己的公钥和密钥,A不是用自己的公钥加密,而是用B的公钥加密,然后在网上传输,B接收到信息后,用B自己的密钥解密。用B的公钥加密的内容在网上传输保障安全,因为其他人即使截获了信息,因为没有B的密钥,也是无法解密的。同样,B若是给A发信息,也要使用A的公钥加密,A接收到信息后,用A自己的密钥解密。
那么能不能说公钥是用于加密而私钥是用于解密的呢?不能,私钥也可以加密,它有其它的作用。比如说,A要和B谈生意,用B的公钥加密后给B发了咨询信息,可是B怎么知道对方就是A呢?会不会是其他人冒用A的名义发来的?毕竟B的公钥是公开的啊。B就可以要求对方证实他是A的身份。这时,A可以将一个文件采用特定的算法(如Hash算法)处理后得到一个数字序列,同时将这个数字序列用A的私钥加密后传送给B(这个文件的原本和加密后的密文都传送),B得到后,用A的公钥解密,同时对传送来的文件用相同的算法计算得到对应的数字序列,解密后得到的信息与得到的数字序列相同,就可以证明A的身份了。因为A的公钥只能解YFA的密钥加密的东西,如果B用A的公钥解密后得到的数字序列与同时发送来文件的数字序列不同,就说明A的公钥不能解密此内容,也就是说,加密的时候用的不是A的私钥,那就不是A了。
仅仅有公钥和私钥机制还是限定不了电子商务中可能出现的问题,比如说公钥和私钥本身的可信程度、遗失或泄露的处理、密钥更新的处理等等,这需要权威的第三方的参与,也就是身份认证中心了。当然电子商务中的安全问题有方方面面的解决办法,SSL、SET协议也都是信息传输时共同遵循的,在电脑本机上也要采取防病毒、防木马等措施。