詞語(yǔ)解釋
1.什么是加密技術(shù)?
加密技術(shù)是電子商務(wù)采取的主要安全保密措施,是最常用的安全保密手段,利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼(加密)傳送,到達(dá)目的地后再用相同或不同的手段還原(解密)。加密技術(shù)包括兩個(gè)元素:算法和密鑰。算法是將普通的文本(或者可以理解的信息)與一竄數(shù)字(密鑰)的結(jié)合,產(chǎn)生不可理解的密文的步驟,密鑰是用來(lái)對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。在安全保密中,可通過(guò)適當(dāng)?shù)拿荑加密技術(shù)和管理機(jī)制來(lái)保證網(wǎng)絡(luò)的信息通訊安全。密鑰加密技術(shù)的密碼體制分為對(duì)稱密鑰體制和非對(duì)稱密鑰體制兩種。相應(yīng)地,對(duì)數(shù)據(jù)加密的技術(shù)分為兩類,即對(duì)稱加密(私人密鑰加密)和非對(duì)稱加密(公開密鑰加密)。對(duì)稱加密以數(shù)據(jù)加密標(biāo)準(zhǔn)(DNS,Data Encryption Standard)算法為典型代表,非對(duì)稱加密通常以RSA(Rivest Shamir Ad1eman)算法為代表。對(duì)稱加密的加密密鑰和解密密鑰相同,而非對(duì)稱加密的加密密鑰和解密密鑰不同,加密密鑰可以公開而解密密鑰需要保密。
2.什么是對(duì)稱加密技術(shù)?
對(duì)稱加密采用了對(duì)稱密碼編碼技術(shù),它的特點(diǎn)是文件加密和解密使用相同的密鑰,即加密密鑰也可以用作解密密鑰,這種方法在密碼學(xué)中叫做對(duì)稱加密算法,對(duì)稱加密算法使用起來(lái)簡(jiǎn)單快捷,密鑰較短,且破譯困難,除了數(shù)據(jù)加密標(biāo)準(zhǔn)(DNS),另一個(gè)對(duì)稱密鑰加密系統(tǒng)是國(guó)際數(shù)據(jù)加密算法(IDEA),它比DNS的加密性好,而且對(duì)計(jì)算機(jī)功能要求也沒(méi)有那么高。IDEA加密標(biāo)準(zhǔn)由PGP(Pretty Good Privacy)系統(tǒng)使用。
3.什么是非對(duì)稱加密技術(shù)?
1976年,美國(guó)學(xué)者Dime和Henman為解決信息公開傳送和密鑰管理問(wèn)題,提出一種新的密鑰交換協(xié)議,允許在不安全的媒體上的通訊雙方交換信息,安全地達(dá)成一致的密鑰,這就是“公開密鑰系統(tǒng)”。相對(duì)于“對(duì)稱加密算法”這種方法也叫做“非對(duì)稱加密算法”。與對(duì)稱加密算法不同,非對(duì)稱加密算法需要兩個(gè)密鑰:公開密鑰(publickey)和私有密 (privatekey)。公開密鑰與私有密鑰是一對(duì),如果用公開密鑰對(duì)數(shù)據(jù)進(jìn)行加密,只有用對(duì)應(yīng)的私有密鑰才能解密;如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密,那么只有用對(duì)應(yīng)的公開密鑰才能解密。因?yàn)榧用芎徒饷苁褂玫氖莾蓚(gè)不同的密鑰,所以這種算法叫作非對(duì)稱加密算法。
PKI:
4.功能作用
PKI(Public Key Infrastructure 的縮寫)是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái),它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。
原有的單密鑰加密技術(shù)采用特定加密密鑰加密數(shù)據(jù),而解密時(shí)用于解密的密鑰與加密密鑰相同,這稱之為對(duì)稱型加密算法。采用此加密技術(shù)的理論基礎(chǔ)的加密方法如果用于網(wǎng)絡(luò)傳輸數(shù)據(jù)加密,則不可避免地出現(xiàn)安全漏洞。因?yàn)樵诎l(fā)送加密數(shù)據(jù)的同時(shí),也需要將密鑰通過(guò)網(wǎng)絡(luò)傳輸通知接收者,第三方在截獲加密數(shù)據(jù)的同時(shí),只需再截取相應(yīng)密鑰即可將數(shù)據(jù)解密使用或進(jìn)行非法篡改。
區(qū)別于原有的單密鑰加密技術(shù),PKI采用非對(duì)稱的加密算法,即由原文加密成密文的密鑰不同于由密文解密為原文的密鑰,以避免第三方獲取密鑰后將密文解密。
CA:
CA是證書的簽發(fā)機(jī)構(gòu),它是PKI的核心。CA是負(fù)責(zé)簽發(fā)證書、認(rèn)證證書、管理已頒發(fā)證書的機(jī)關(guān)。它要制定政策和具體步驟來(lái)驗(yàn)證、識(shí)別用戶身份,并對(duì)用戶證書進(jìn)行簽名,以確保證書持有者的身份和公鑰的擁有權(quán)。
CA 也擁有一個(gè)證書(內(nèi)含公鑰)和私鑰。網(wǎng)上的公眾用戶通過(guò)驗(yàn)證 CA 的簽字從而信任 CA ,任何人都可以得到 CA 的證書(含公鑰),用以驗(yàn)證它所簽發(fā)的證書。
如果用戶想得到一份屬于自己的證書,他應(yīng)先向 CA 提出申請(qǐng)。在 CA 判明申請(qǐng)者的身份后,便為他分配一個(gè)公鑰,并且 CA 將該公鑰與申請(qǐng)者的身份信息綁在一起,并為之簽字后,便形成證書發(fā)給申請(qǐng)者。
如果一個(gè)用戶想鑒別另一個(gè)證書的真?zhèn),他就?CA 的公鑰對(duì)那個(gè)證書上的簽字進(jìn)行驗(yàn)證,一旦驗(yàn)證通過(guò),該證書就被認(rèn)為是有效的。
證書:
證書實(shí)際是由證書簽證機(jī)關(guān)(CA)簽發(fā)的對(duì)用戶的公鑰的認(rèn)證。
證書的內(nèi)容包括:電子簽證機(jī)關(guān)的信息、公鑰用戶信息、公鑰、權(quán)威機(jī)構(gòu)的簽字和有效期等等。目前,證書的格式和驗(yàn)證方法普遍遵循X.509 國(guó)際標(biāo)準(zhǔn)。
加密:
我們將文字轉(zhuǎn)換成不能直接閱讀的形式(即密文)的過(guò)程稱為加密。
解密:
我們將密文轉(zhuǎn)換成能夠直接閱讀的文字(即明文)的過(guò)程稱為解密。
如何在電子文檔上實(shí)現(xiàn)簽名的目的呢?我們可以使用數(shù)字簽名。RSA公鑰體制可實(shí)現(xiàn)對(duì)數(shù)字信息的數(shù)字簽名,方法如下:
信息發(fā)送者用其私鑰對(duì)從所傳報(bào)文中提取出的特征數(shù)據(jù)(或稱數(shù)字指紋)進(jìn)行RSA算法操作,以保證發(fā)信人無(wú)法抵賴曾發(fā)過(guò)該信息(即不可抵賴性),同時(shí)也確保信息報(bào)文在傳遞過(guò)程中未被篡改(即完整性)。當(dāng)信息接收者收到報(bào)文后,就可以用發(fā)送者的公鑰對(duì)數(shù)字簽名進(jìn)行驗(yàn)證。
在數(shù)字簽名中有重要作用的數(shù)字指紋是通過(guò)一類特殊的散列函數(shù)(HASH函數(shù)) 生成的。對(duì)這些HASH函數(shù)的特殊要求是:
1.接受的輸入報(bào)文數(shù)據(jù)沒(méi)有長(zhǎng)度限制;
2.對(duì)任何輸入報(bào)文數(shù)據(jù)生成固定長(zhǎng)度的摘要(數(shù)字指紋)輸出;
3.從報(bào)文能方便地算出摘要;
4.難以對(duì)指定的摘要生成一個(gè)報(bào)文,而由該報(bào)文可以算出該指定的摘要;
5.難以生成兩個(gè)不同的報(bào)文具有相同的摘要。
驗(yàn)證:
收方在收到信息后用如下的步驟驗(yàn)證您的簽名:
1.使用自己的私鑰將信息轉(zhuǎn)為明文;
2.使用發(fā)信方的公鑰從數(shù)字簽名部分得到原摘要;
3.收方對(duì)您所發(fā)送的源信息進(jìn)行hash運(yùn)算,也產(chǎn)生一個(gè)摘要;
4.收方比較兩個(gè)摘要,如果兩者相同,則可以證明信息簽名者的身份。
如果兩摘要內(nèi)容不符,會(huì)說(shuō)明什么原因呢?
可能對(duì)摘要進(jìn)行簽名所用的私鑰不是簽名者的私鑰,這就表明信息的簽名者不可信;也可能收到的信息根本就不是簽名者發(fā)送的信息,信息在傳輸過(guò)程中已經(jīng)遭到破壞或篡改。
數(shù)字證書:
數(shù)字證書為實(shí)現(xiàn)雙方安全通信提供了電子認(rèn)證。在因特網(wǎng)、公司內(nèi)部網(wǎng)或外部網(wǎng)中,使用數(shù)字證書實(shí)現(xiàn)身份識(shí)別和電子信息加密。數(shù)字證書中含有密鑰對(duì)(公鑰和私鑰)所有者的識(shí)別信息,通過(guò)驗(yàn)證識(shí)別信息的真?zhèn)螌?shí)現(xiàn)對(duì)證書持有者身份的認(rèn)證。
使用數(shù)字證書能做什么?
數(shù)字證書在用戶公鑰后附加了用戶信息及CA的簽名。公鑰是密鑰對(duì)的一部分,另一部分是私鑰。公鑰公之于眾,誰(shuí)都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對(duì)應(yīng)的私鑰解密。為確保只有某個(gè)人才能閱讀自己的信件,發(fā)送者要用收件人的公鑰加密信件;收件人便可用自己的私鑰解密信件。同樣,為證實(shí)發(fā)件人的身份,發(fā)送者要用自己的私鑰對(duì)信件進(jìn)行簽名;收件人可使用發(fā)送者的公鑰對(duì)簽名進(jìn)行驗(yàn)證,以確認(rèn)發(fā)送者的身份。
在線交易中您可使用數(shù)字證書驗(yàn)證對(duì)方身份。用數(shù)字證書加密信息,可以確保只有接收者才能解密、閱讀原文,信息在傳遞過(guò)程中的保密性和完整性。有了數(shù)字證書網(wǎng)上安全才得以實(shí)現(xiàn),電子郵件、在線交易和信用卡購(gòu)物的安全才能得到保證。
認(rèn)證、數(shù)字證書和PKI解決的幾個(gè)問(wèn)題?
保密性 - 只有收件人才能閱讀信息。
認(rèn)證性 - 確認(rèn)信息發(fā)送者的身份。
完整性 - 信息在傳遞過(guò)程中不會(huì)被篡改。
不可抵賴性 - 發(fā)送者不能否認(rèn)已發(fā)送的信息。
加密技術(shù)的應(yīng)用
加密技術(shù)的應(yīng)用是多方面的,但最為廣泛的還是在電子商務(wù)和VPN上的應(yīng)用,下面就分別簡(jiǎn)敘。
1、在電子商務(wù)方面的應(yīng)用
電子商務(wù)(E-business)要求顧客可以在網(wǎng)上進(jìn)行各種商務(wù)活動(dòng),不必?fù)?dān)心自己的信用卡會(huì)被人盜用。在過(guò)去,用戶為了防止信用卡的號(hào)碼被竊取到,一般是通過(guò)電話訂貨,然后使用用戶的信用卡進(jìn)行付款,F(xiàn)在人們開始用RSA(一種公開/私有密鑰)的加密技術(shù),提高信用卡交易的安全性,從而使電子商務(wù)走向?qū)嵱贸蔀榭赡堋?BR> 許多人都知道NETSCAPE公司是Internet商業(yè)中領(lǐng)先技術(shù)的提供者,該公司提供了一種基于RSA和保密密鑰的應(yīng)用于因特網(wǎng)的技術(shù),被稱為安全插座層(Secure Sockets Layer,SSL)。
也許很多人知道Socket,它是一個(gè)編程界面,并不提供任何安全措施,而SSL不但提供編程界面,而且向上提供一種安全的服務(wù),SSL3.0現(xiàn)在已經(jīng)應(yīng)用到了服務(wù)器和瀏覽器上,SSL2.0則只能應(yīng)用于服務(wù)器端。
SSL3.0用一種電子證書(electric certificate)來(lái)實(shí)行身份進(jìn)行驗(yàn)證后,雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。它同時(shí)使用“對(duì)稱”和“非對(duì)稱”加密方法,在客戶與電子商務(wù)的服務(wù)器進(jìn)行溝通的過(guò)程中,客戶會(huì)產(chǎn)生一個(gè)Session Key,然后客戶用服務(wù)器端的公鑰將Session Key進(jìn)行加密,再傳給服務(wù)器端,在雙方都知道Session Key后,傳輸?shù)臄?shù)據(jù)都是以Session Key進(jìn)行加密與解密的,但服務(wù)器端發(fā)給用戶的公鑰必需先向有關(guān)發(fā)證機(jī)關(guān)申請(qǐng),以得到公證。
基于SSL3.0提供的安全保障,用戶就可以自由訂購(gòu)商品并且給出信用卡號(hào)了,也可以在網(wǎng)上和合作伙伴交流商業(yè)信息并且讓供應(yīng)商把訂單和收貨單從網(wǎng)上發(fā)過(guò)來(lái),這樣可以節(jié)省大量的紙張,為公司節(jié)省大量的電話、傳真費(fèi)用。在過(guò)去,電子信息交換(Electric Data Interchange,EDI)、信息交易(information transaction)和金融交易(financial transaction)都是在專用網(wǎng)絡(luò)上完成的,使用專用網(wǎng)的費(fèi)用大大高于互聯(lián)網(wǎng)。正是這樣巨大的誘惑,才使人們開始發(fā)展因特網(wǎng)上的電子商務(wù),但不要忘記數(shù)據(jù)加密。
2、加密技術(shù)在VPN中的應(yīng)用
現(xiàn)在,越多越多的公司走向國(guó)際化,一個(gè)公司可能在多個(gè)國(guó)家都有辦事機(jī)構(gòu)或銷售中心,每一個(gè)機(jī)構(gòu)都有自己的局域網(wǎng)LAN(Local Area Network),但在當(dāng)今的網(wǎng)絡(luò)社會(huì)人們的要求不僅如此,用戶希望將這些LAN連結(jié)在一起組成一個(gè)公司的廣域網(wǎng),這個(gè)在現(xiàn)在已不是什么難事了。
事實(shí)上,很多公司都已經(jīng)這樣做了,但他們一般使用租用專用線路來(lái)連結(jié)這些局域網(wǎng) ,他們考慮的就是網(wǎng)絡(luò)的安全問(wèn)題,F(xiàn)在具有加密/解密功能的路由器已到處都是,這就使人們通過(guò)互聯(lián)網(wǎng)連接這些局域網(wǎng)成為可能,這就是我們通常所說(shuō)的虛擬專用網(wǎng)(Virtual Private Network ,VPN)。當(dāng)數(shù)據(jù)離開發(fā)送者所在的局域網(wǎng)時(shí),該數(shù)據(jù)首先被用戶湍連接到互聯(lián)網(wǎng)上的路由器進(jìn)行硬件加密,數(shù)據(jù)在互聯(lián)網(wǎng)上是以加密的形式傳送的,當(dāng)達(dá)到目的LAN的路由器時(shí),該路由器就會(huì)對(duì)數(shù)據(jù)進(jìn)行解密,這樣目的LAN中的用戶就可以看到真正的信息了。
掃碼付費(fèi)即可復(fù)制
X