當前位置:
  1. 首頁
  2. 加密技術

電子商務數(shù)據(jù)庫安全中混合加密技術的應用

admin 加密技術

在電子商務數(shù)據(jù)庫中,往往存放著各種敏感的金融數(shù)據(jù)和資產(chǎn)數(shù)據(jù),這些數(shù)據(jù)對參與電子商務的各方都非常的重要,因此保護電子商務數(shù)據(jù)庫安全相當?shù)闹匾_@就需要我們使用加密技術對其進行加密,但單純采用一種加密技術很難保證電子商務系統(tǒng)的安全。為此,我們提出了一種基于對稱加密和非對稱加密技術二者結合的混合加密思想,用此方法對電子商務流程進行改進,可以提高電子商務數(shù)據(jù)庫的安全性。

一、電子商務數(shù)據(jù)庫中的安全問題

電子商務系統(tǒng)是一個建立在較為開放的網(wǎng)絡環(huán)境上的交易平臺,其交易過程大致分為:用戶注冊、用戶登錄、選購商品、網(wǎng)上支付等。用戶信息在網(wǎng)上傳輸時,可能會被黑客或其他別有用心的人竊取,從而導致財物損失。因此,確保用戶基本信息的安全性和完整性是電子商務順利進行的基礎。

下面以最常見的B2C電子商務模式為例,來分析電子商務數(shù)據(jù)庫中可能存在的安全漏洞。

在用戶填寫完整信息提交數(shù)據(jù)庫服務器的過程中,輸入的密碼經(jīng)過加密,可能是安全的;但取回密碼的提示問題及答案則是不加密的,其他人如果竊取了密碼提示問題及答案,就可以按照流程獲取用戶密碼信息,并可以對密碼進行修改,可能給用戶造成損失,也會給系統(tǒng)帶來安全隱患。

通過分析,發(fā)現(xiàn)非法盜取用戶信息主要發(fā)生在用戶輸入完整信息提交服務器的過程中,最主要的原因是,密碼經(jīng)過散列函數(shù)加密后無法還原,只能借助用戶注冊時填寫的密碼提示問題和答案來取回密碼,而這個環(huán)節(jié)是沒有加密的,他人極容易從網(wǎng)上竊聽該信息,這會導致數(shù)據(jù)庫系統(tǒng)的不安全。為解決這個問題,我們采用混合加密技術,用對稱密鑰對用戶密碼進行加密,再利用非對稱加密機制傳輸對稱密鑰,從而使得非法用戶無法獲取用戶密碼信息,提高系統(tǒng)的安全性。

二、對稱加密和非對稱加密技術二者結合的混合加密技術

1、對稱加密技術

發(fā)送信息時,通過一定的算法和密鑰進行加密,將原信息變?yōu)槊芪?;接收信息時,用相同的算法和密鑰進行解密,將密文恢復成明文。

日前,應用最廣泛的對稱加密算法是由IBM公司提出的DES加密算法,其基本過程如下:

(1)初始置換:將64位密文的位置進行置換,得到一個亂序的64位明文組,分成左右各32位的兩段,分別用Lo和R0來表示。

(2)對L0和R0進行如下迭代變換:

(3)第16輪變換輸出的左右兩部分,交換次序,并作逆初始置換,從而產(chǎn)生密文。

對稱加密算法的好處是加密速度快,效率高,被廣泛應用于大數(shù)據(jù)量加密。缺點是密鑰在網(wǎng)絡上傳輸時容易被截獲對信息安全構成威脅,故采用對稱加密時,須設法保證密鑰傳輸?shù)陌踩?/p>

2、非對稱加密技術

在非對稱加密技術中,密鑰被分解為一對(私鑰和公鑰),其中私鑰屬于密鑰對的擁有者,其他人不知道;公鑰則是公開的,所有人都可以知道。由公鑰加密的信息只有對應的私鑰才能解密;由私鑰加密的信息也只有對應的公鑰才能解密。

典型的非對稱加密算法是RSA加密算法。該算法建立在大數(shù)分解和素數(shù)檢測的理論基礎上,以下是其算法描述:

(1)選取保密的大素數(shù)p和q;

(2)計算ri=p*q,由(n)=(p一1)*(q一1),其中φ(n)為n的歐拉函數(shù)值;

(3)選擇整數(shù)e,滿足1<e<φ(n),且e與φ(n)互質(zhì);

(4)解方程d*e=1 mod φ(n),計算d;

(5)對每個明文分組m,要求m小于n,進行加密解密運算如下:

加密:C=me mod n

解密:m=cd mod n

非對稱加密技術的優(yōu)點足便于密鑰管理;缺點是加密算法復雜、加密速度慢,不適用于大數(shù)據(jù)量加密環(huán)境。故在傳輸數(shù)據(jù)時,可以考慮先用對稱加密技術對數(shù)據(jù)加密,再考慮用非對稱加密技術傳輸對稱加密的密鑰,則可以發(fā)揮二者的互補優(yōu)勢。

3、對稱加密和非對稱加密技術二者結合的混合加密技術

充分考慮對稱加密和非對稱加密的優(yōu)缺點,可以將二者結合起來實現(xiàn)混合加密。

A方:采用對稱加密算法對明文加密,為了保證“對稱密鑰”傳輸?shù)陌踩?,采用B方的公鑰對“對稱密鑰”加密,這樣可保證只有B方才能正確知道“對稱密鑰”,他人即使得到密鑰密文,也無法解密;

B方;首先用自己的私有密鑰對“密鑰密文”解密,得到對文檔加密的“對稱密鑰”、,用該“對稱密鑰”就可以解開密文,得到原始的明文信息。

可見,采用混合加密技術,既克服了對稱加密傳輸密鑰的困難,也克服了非對稱加密不適用于大數(shù)據(jù)量的缺點,可以把二者的優(yōu)勢充分結合起來。

三、電子商務數(shù)據(jù)庫安全中混合加密技術的應用

采用混合加密技術進行改進,改進后的用戶注冊流程、用戶取回密碼的流程。

改進后的用戶注冊流程中,不填寫密碼提示問題及答案,而是向服務器提交一個用對稱密鑰K1加密的密碼,而對稱密鑰K1又被接收方的公鑰K2加密,這樣,即使他人竊取了加密的對稱密鑰(密鑰密文),也無法解密(因為私有密鑰只有接收方知道),這使得用戶密碼的傳輸過程變得安全。

注冊流程改進后,用戶登錄步驟變?yōu)椋?/strong>

(1)用戶磴錄網(wǎng)站,填寫用戶名、密碼、對稱密鑰K1;

(2)客戶端用K1對密碼進行加密;

(3)用K1加密后的密碼提交給服務器;

(4)服務器端根據(jù)用戶名查詢用戶注冊時用K1加密的密碼。

(5)判斷兩個加密的密碼是否相同,如相同,則成功登錄,否則退出。

改進后用戶找回密碼的判斷規(guī)則為:判斷客戶提交的公鑰K2、用K1加密后的密碼是否與數(shù)據(jù)庫中保存的相同,如相同,則將加密后的密碼發(fā)回客戶端,用戶用對稱密鑰K1進行解密,就得到初始的注冊密碼。

小知識之對稱加密

采用單鑰密碼系統(tǒng)的加密方法,同一個密鑰可以同時用作信息的加密和解密,這種加密方法稱為對稱加密,也稱為單密鑰加密。