電子商務(wù)信息安全前沿技術(shù)的分析研究

重慶工商職業(yè)學(xué)院　張　煜

電子商務(wù)信息安全前沿技術(shù)的分析研究

重慶工商職業(yè)學(xué)院張煜

分析了信息安全前沿技術(shù)。其中對(duì)電子商務(wù)信息安全與前沿技術(shù)進(jìn)行了著重分析。如XML技術(shù)、網(wǎng)格計(jì)算技術(shù)、數(shù)字水印技術(shù)、聲/指紋識(shí)別技術(shù)等；展望了信息安全保護(hù)技術(shù)的研究趨勢(shì)。

信息安全；電子商務(wù)；安全技術(shù)

1 背景介紹

電子商務(wù)的安全保護(hù)問(wèn)題涉及廣大的社會(huì)范圍，需要社會(huì)各方加強(qiáng)電子商務(wù)安全技術(shù)上的和非技術(shù)上的安全防范，更需要政府和立法機(jī)構(gòu)能夠建立和完善電子商務(wù)方面的法律法規(guī)，電子商務(wù)操作者能夠誠(chéng)實(shí)守信，不以技術(shù)作惡，廣大的消費(fèi)者加強(qiáng)保護(hù)自身財(cái)產(chǎn)的安全意識(shí)。因此要從事電子商務(wù)工作者要深思從電子商務(wù)信息安全的技術(shù)中出現(xiàn)的種種問(wèn)題，并加以解決。

2　電子商務(wù)信息安全保護(hù)的熱點(diǎn)技術(shù)

信息安全領(lǐng)域的研究方向，足以看出這個(gè)問(wèn)題覆蓋面確實(shí)有些大。相當(dāng)多的商務(wù)信息在電子商務(wù)中屬于商業(yè)機(jī)密，事關(guān)企業(yè)的盈利狀況，更甚者事關(guān)企業(yè)的生死存亡。因此一旦丟失就后果不堪設(shè)想。能否保障電子商戶的信息安全就是能否推進(jìn)電子商務(wù)朝著更前景明朗的方向發(fā)展。

2.1函數(shù)加密

信息安全是一個(gè)很寬泛的領(lǐng)域，IT的所有領(lǐng)域只要存在安全性問(wèn)題，就有信息安全的相關(guān)課題。密碼學(xué)的只是信息安全的一部分，函數(shù)加密以前的基礎(chǔ)是雙線應(yīng)對(duì)（bilinear map），現(xiàn)在已經(jīng)擴(kuò)展了。函數(shù)加密的領(lǐng)導(dǎo)者是受人崇拜的斯坦福大學(xué)的Boneh教授。Boneh基本統(tǒng)領(lǐng)了公鑰密碼學(xué)，后面的很多代表人物都是他的學(xué)生或者是學(xué)生的學(xué)生。他首先提出了身份基加密（identity-based encryption），隨后他和他的學(xué)生一起研究了很多具有多種功能的加密方案，最終將他們統(tǒng)一起來(lái)，定義為了函數(shù)加密。在函數(shù)加密中，有一種有趣的加密方案是屬性基加密（attribute-based encryption），這是一個(gè)在現(xiàn)有云存儲(chǔ)安全中比較實(shí)用的一類加密方案，因此單獨(dú)列舉出來(lái)。

2.2同態(tài)加密

傳統(tǒng)公鑰密碼體制，即大眾知道的RSA，ElGamal加密和簽名，已經(jīng)是三十年前的研究成果了。傳統(tǒng)公鑰密碼學(xué)現(xiàn)在的研究?jī)?nèi)容，主要集中在選擇密文安全（chosen ciphertext security）的加密方案構(gòu)造。這一領(lǐng)域的祖師爺是Cramer和Shoup。隨后，各種各樣滿足這樣的安全方案被提了出來(lái)。近期，大約是2007年開(kāi)始，學(xué)者們的方向是selective opening security的公鑰加密方案。值得注意的是，在這個(gè)領(lǐng)域，中國(guó)的學(xué)者Junzuo Lai在EUROCRYPT 2014上發(fā)表了論文，這是國(guó)內(nèi)密碼學(xué)界很值得慶祝的一個(gè)事情。同態(tài)加密，這是一個(gè)可能會(huì)改變計(jì)算機(jī)發(fā)展的加密模式。同態(tài)加密的提出者是Gentry，他是Boneh的一個(gè)學(xué)生，他已經(jīng)青出于藍(lán)而勝于藍(lán)的一位學(xué)者。同態(tài)加密現(xiàn)在的基礎(chǔ)是格密碼學(xué)（lattice based cryptography）。現(xiàn)在，研究者一方面進(jìn)一步構(gòu)造效率更高的同態(tài)加密方案，另一方面也轉(zhuǎn)向了演化而來(lái)的新密碼學(xué)工具：多線性對(duì)（multilinear map）的構(gòu)造和應(yīng)用中。這個(gè)是公鑰密碼學(xué)現(xiàn)在最熱的研究方向。

2.3量子密碼學(xué)

在量子密碼中，是無(wú)法對(duì)量子進(jìn)行精確克隆以及傳統(tǒng)意義上的中間人攻擊，這是由量子力學(xué)中的海森堡測(cè)不準(zhǔn)原理和不可克隆原理保證的按照你的假設(shè)一個(gè)量子比特猜中的概率是frac｛1｝｛2｝，但是正常情況下傳輸?shù)男畔⒉豢赡苣敲葱?，就好比電子?jì)算機(jī)的數(shù)字信號(hào)傳輸，只傳一個(gè)比特0或1，也能夠得出frac｛1｝｛2｝的正確率啊，但是一個(gè)1kb的文件就只有frac｛1｝｛2｝^｛1024*8｝。其實(shí)量子密碼有個(gè)很直觀的理解，就是A跟B分別那這個(gè)保險(xiǎn)箱（嚴(yán)格上來(lái)說(shuō)是同一個(gè)，糾纏態(tài)），A通過(guò)他的保險(xiǎn)箱生成一個(gè)鑰匙傳給B，這樣B通過(guò)這個(gè)鑰匙打開(kāi)箱就知道里面的信息了，所以就算E截取了A傳給B的鑰匙，但是箱子不在啊，也就不可能破解任何內(nèi)容了。E只能偽造一個(gè)假的鑰匙，讓B也得不到信息或者得到錯(cuò)誤的信息 。

2.4云計(jì)算方面

各種云計(jì)算系統(tǒng)（IaaS/PaaS/SaaS）本身的安全方案，這是傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)在云計(jì)算領(lǐng)域的延伸和重新分布，但并沒(méi)有引入革命性的安全技術(shù)；利用云計(jì)算技術(shù)來(lái)加強(qiáng)傳統(tǒng)的安全解決方案，如終端防病毒體系增加云查殺、云防火墻（實(shí)現(xiàn)防火墻集群的聯(lián)動(dòng)和動(dòng)態(tài)安全策略更新）；.在云計(jì)算IaaS環(huán)境中實(shí)現(xiàn)可信計(jì)算的普及（基于虛擬TPM，逐級(jí)簽名與信任傳遞，保護(hù)虛擬OS及核心服務(wù)的完整性）.在云計(jì)算IaaS環(huán)境中實(shí)現(xiàn)安全解決方案的虛擬化，如虛擬防火墻、虛擬網(wǎng)絡(luò)準(zhǔn)入控制（NAC），實(shí)現(xiàn)租戶自由組網(wǎng)及自定義訪問(wèn)控制，將安全特性包裝成為云服務(wù)，如防攻擊CDN；

2.5數(shù)字水印技術(shù)

數(shù)字水印，簡(jiǎn)單說(shuō)就是在現(xiàn)有的信號(hào)（比如聲音、圖像）中嵌入一些額外的信息，這個(gè)信息不影響原有的信號(hào)，但可以達(dá)到某種目的（版權(quán)保護(hù)、篡改識(shí)別、廣播監(jiān)視、隱蔽通信等等）。看起來(lái)拗口，實(shí)則可以和鈔票的水印比較一下：鈔票的水印就是一種附加的信息，平時(shí)看鈔票時(shí)并不能察覺(jué)到水印的存在，但需要鑒別鈔票真?zhèn)螘r(shí)，就可以對(duì)著光源去尋找水印。數(shù)字水印分為很多種類，常見(jiàn)的是可見(jiàn)水印，比如電視臺(tái)的臺(tái)標(biāo)，它基本不影響電視節(jié)目的觀賞價(jià)值，但可以起到標(biāo)記版權(quán)之類作用。而本文所說(shuō)的數(shù)字水印，屬于廣播監(jiān)視領(lǐng)域，一般采用不可見(jiàn)水印。不可見(jiàn)水印和鈔票類似，用肉眼難以察覺(jué)水印的存在，但可以用計(jì)算機(jī)分析出來(lái)，就像鈔票水印可以對(duì)光看到一樣。

3　電子商務(wù)信息安全保護(hù)技術(shù)的性能分析

電子商務(wù)信息安全應(yīng)該是一個(gè)更大的概念，因此不要局限在密碼學(xué)領(lǐng)域討論，密碼學(xué)就像是為藏著信息的“房子”造大門，密碼學(xué)發(fā)展的越好能造出更好的大門，可是房屋的安全還要看“賊”能不能從窗戶，煙囪，甚至發(fā)現(xiàn)這門根本沒(méi)有按照設(shè)計(jì)安裝好等等來(lái)突破大門提供的防護(hù)，如何提供一套完善的防護(hù)方案本身也是研究的目標(biāo)。比如說(shuō)緩沖區(qū)溢出就不是密碼學(xué)解決的問(wèn)題，但是稍有了解的同學(xué)就知道利用緩沖區(qū)溢出是可以直接繞過(guò)密碼驗(yàn)證的，而這是根本不管你的密碼強(qiáng)度有多大的。電子商務(wù)安全是依附在業(yè)務(wù)之上的，沒(méi)有業(yè)務(wù)的安全就完全沒(méi)有意義，在不同的應(yīng)用場(chǎng)景下安全所面對(duì)的問(wèn)題和需要發(fā)揮的作用也會(huì)不同，只有找對(duì)了問(wèn)題，才能有好的方向，所以新的業(yè)務(wù)往往是新的契機(jī)，也是更容易產(chǎn)生成果的點(diǎn)。

4　結(jié)束語(yǔ)

在對(duì)電子商務(wù)信息安全深入分析的基礎(chǔ)上，結(jié)合了現(xiàn)今的電子商務(wù)信息安全的現(xiàn)狀，具體而言就是要把電子商務(wù)信息安全和信息安保技術(shù)緊緊結(jié)合，以科學(xué)先進(jìn)的電子商務(wù)信息安全技術(shù)體系為基礎(chǔ)，以達(dá)到提高電子商務(wù)信息安全的提升來(lái)保障電子商務(wù)用戶的信息安全，將之投入社會(huì)主義建設(shè)之中。

［1］徐少?gòu)?qiáng).電子商務(wù)安全傳輸系統(tǒng)研究［J］.廣東工業(yè)大學(xué)學(xué)報(bào)，2005（01）.

［2］覃飆.智能IC卡支付的電子商務(wù)系統(tǒng)的研究和實(shí)現(xiàn)［J］.小型微型計(jì)算機(jī)系統(tǒng)，2002（01）.