加密技術(shù)

　　1.什么是加密技術(shù)?
　　加密技術(shù)是電子商務采取的主要安全保密措施，是最常用的安全保密手段,利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。加密技術(shù)包括兩個元素：算法和密鑰。算法是將普通的文本（或者可以理解的信息）與一竄數(shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟，密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法。在安全保密中，可通過適當?shù)拿荑�加密技術(shù)和管理機制來保證網(wǎng)絡的信息通訊安全。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地，對數(shù)據(jù)加密的技術(shù)分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以數(shù)據(jù)加密標準（DNS，Data Encryption Standard）算法為典型代表，非對稱加密通常以RSA（Rivest Shamir Ad1eman）算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。
　　2.什么是對稱加密技術(shù)?
　　對稱加密采用了對稱密碼編碼技術(shù)，它的特點是文件加密和解密使用相同的密鑰，即加密密鑰也可以用作解密密鑰，這種方法在密碼學中叫做對稱加密算法，對稱加密算法使用起來簡單快捷，密鑰較短，且破譯困難，除了數(shù)據(jù)加密標準（DNS），另一個對稱密鑰加密系統(tǒng)是國際數(shù)據(jù)加密算法（IDEA），它比DNS的加密性好，而且對計算機功能要求也沒有那么高。IDEA加密標準由PGP（Pretty Good Privacy）系統(tǒng)使用。
　　3.什么是非對稱加密技術(shù)?
　　1976年，美國學者Dime和Henman為解決信息公開傳送和密鑰管理問題，提出一種新的密鑰交換協(xié)議，允許在不安全的媒體上的通訊雙方交換信息，安全地達成一致的密鑰，這就是“公開密鑰系統(tǒng)”。相對于“對稱加密算法”這種方法也叫做“非對稱加密算法”。與對稱加密算法不同，非對稱加密算法需要兩個密鑰：公開密鑰（publickey）和私有密 （privatekey）。公開密鑰與私有密鑰是一對，如果用公開密鑰對數(shù)據(jù)進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數(shù)據(jù)進行加密，那么只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰，所以這種算法叫作非對稱加密算法。
　　PKI：
　　4.功能作用
　　PKI（Public Key Infrastructure 的縮寫）是一種遵循既定標準的密鑰管理平臺,它能夠為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系。
　　原有的單密鑰加密技術(shù)采用特定加密密鑰加密數(shù)據(jù)，而解密時用于解密的密鑰與加密密鑰相同，這稱之為對稱型加密算法。采用此加密技術(shù)的理論基礎的加密方法如果用于網(wǎng)絡傳輸數(shù)據(jù)加密，則不可避免地出現(xiàn)安全漏洞。因為在發(fā)送加密數(shù)據(jù)的同時，也需要將密鑰通過網(wǎng)絡傳輸通知接收者，第三方在截獲加密數(shù)據(jù)的同時，只需再截取相應密鑰即可將數(shù)據(jù)解密使用或進行非法篡改。
　　區(qū)別于原有的單密鑰加密技術(shù)，PKI采用非對稱的加密算法，即由原文加密成密文的密鑰不同于由密文解密為原文的密鑰，以避免第三方獲取密鑰后將密文解密。
　　CA：
　　CA是證書的簽發(fā)機構(gòu),它是PKI的核心。CA是負責簽發(fā)證書、認證證書、管理已頒發(fā)證書的機關(guān)。它要制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權(quán)。
　　CA 也擁有一個證書（內(nèi)含公鑰）和私鑰。網(wǎng)上的公眾用戶通過驗證 CA 的簽字從而信任 CA ，任何人都可以得到 CA 的證書（含公鑰），用以驗證它所簽發(fā)的證書。
　　如果用戶想得到一份屬于自己的證書，他應先向 CA 提出申請。在 CA 判明申請者的身份后，便為他分配一個公鑰，并且 CA 將該公鑰與申請者的身份信息綁在一起，并為之簽字后，便形成證書發(fā)給申請者。
　　如果一個用戶想鑒別另一個證書的真?zhèn)危�他就�?CA 的公鑰對那個證書上的簽字進行驗證，一旦驗證通過，該證書就被認為是有效的。
　　證書:
　　證書實際是由證書簽證機關(guān)（CA）簽發(fā)的對用戶的公鑰的認證。
　　證書的內(nèi)容包括：電子簽證機關(guān)的信息、公鑰用戶信息、公鑰、權(quán)威機構(gòu)的簽字和有效期等等。目前，證書的格式和驗證方法普遍遵循X.509 國際標準。
　　加密：
　　我們將文字轉(zhuǎn)換成不能直接閱讀的形式（即密文）的過程稱為加密。
　　解密：
　　我們將密文轉(zhuǎn)換成能夠直接閱讀的文字（即明文）的過程稱為解密。
　　如何在電子文檔上實現(xiàn)簽名的目的呢？我們可以使用數(shù)字簽名。RSA公鑰體制可實現(xiàn)對數(shù)字信息的數(shù)字簽名，方法如下：
　　信息發(fā)送者用其私鑰對從所傳報文中提取出的特征數(shù)據(jù)（或稱數(shù)字指紋）進行RSA算法操作，以保證發(fā)信人無法抵賴曾發(fā)過該信息（即不可抵賴性），同時也確保信息報文在傳遞過程中未被篡改（即完整性）。當信息接收者收到報文后，就可以用發(fā)送者的公鑰對數(shù)字簽名進行驗證。
　　在數(shù)字簽名中有重要作用的數(shù)字指紋是通過一類特殊的散列函數(shù)(HASH函數(shù)) 生成的。對這些HASH函數(shù)的特殊要求是：
　　1．接受的輸入報文數(shù)據(jù)沒有長度限制；
　　2．對任何輸入報文數(shù)據(jù)生成固定長度的摘要(數(shù)字指紋)輸出；
　　3．從報文能方便地算出摘要；
　　4．難以對指定的摘要生成一個報文，而由該報文可以算出該指定的摘要；
　　5．難以生成兩個不同的報文具有相同的摘要。
　　驗證：
　　收方在收到信息后用如下的步驟驗證您的簽名：
　　1．使用自己的私鑰將信息轉(zhuǎn)為明文；
　　2．使用發(fā)信方的公鑰從數(shù)字簽名部分得到原摘要；
　　3．收方對您所發(fā)送的源信息進行hash運算，也產(chǎn)生一個摘要；
　　4．收方比較兩個摘要，如果兩者相同，則可以證明信息簽名者的身份。
　　如果兩摘要內(nèi)容不符，會說明什么原因呢？
　　可能對摘要進行簽名所用的私鑰不是簽名者的私鑰，這就表明信息的簽名者不可信；也可能收到的信息根本就不是簽名者發(fā)送的信息，信息在傳輸過程中已經(jīng)遭到破壞或篡改。
　　數(shù)字證書：
　　數(shù)字證書為實現(xiàn)雙方安全通信提供了電子認證。在因特網(wǎng)、公司內(nèi)部網(wǎng)或外部網(wǎng)中，使用數(shù)字證書實現(xiàn)身份識別和電子信息加密。數(shù)字證書中含有密鑰對（公鑰和私鑰）所有者的識別信息，通過驗證識別信息的真?zhèn)螌崿F(xiàn)對證書持有者身份的認證。
　　使用數(shù)字證書能做什么?
　　數(shù)字證書在用戶公鑰后附加了用戶信息及CA的簽名。公鑰是密鑰對的一部分，另一部分是私鑰。公鑰公之于眾，誰都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對應的私鑰解密。為確保只有某個人才能閱讀自己的信件，發(fā)送者要用收件人的公鑰加密信件；收件人便可用自己的私鑰解密信件。同樣，為證實發(fā)件人的身份，發(fā)送者要用自己的私鑰對信件進行簽名；收件人可使用發(fā)送者的公鑰對簽名進行驗證，以確認發(fā)送者的身份。
　　在線交易中您可使用數(shù)字證書驗證對方身份。用數(shù)字證書加密信息，可以確保只有接收者才能解密、閱讀原文，信息在傳遞過程中的保密性和完整性。有了數(shù)字證書網(wǎng)上安全才得以實現(xiàn)，電子郵件、在線交易和信用卡購物的安全才能得到保證。
　　認證、數(shù)字證書和PKI解決的幾個問題?
　　保密性 - 只有收件人才能閱讀信息。
　　認證性 - 確認信息發(fā)送者的身份。
　　完整性 - 信息在傳遞過程中不會被篡改。
　　不可抵賴性 - 發(fā)送者不能否認已發(fā)送的信息。
　　加密技術(shù)的應用
　　加密技術(shù)的應用是多方面的，但最為廣泛的還是在電子商務和VPN上的應用，下面就分別簡敘。
　　1、在電子商務方面的應用
　　電子商務（E-business）要求顧客可以在網(wǎng)上進行各種商務活動，不必擔心自己的信用卡會被人盜用。在過去，用戶為了防止信用卡的號碼被竊取到，一般是通過電話訂貨，然后使用用戶的信用卡進行付款�，F(xiàn)在人們開始用RSA（一種公開/私有密鑰）的加密技術(shù)，提高信用卡交易的安全性，從而使電子商務走向?qū)嵱贸蔀榭赡堋?BR> 　　許多人都知道NETSCAPE公司是Internet商業(yè)中領先技術(shù)的提供者，該公司提供了一種基于RSA和保密密鑰的應用于因特網(wǎng)的技術(shù)，被稱為安全插座層（Secure Sockets Layer，SSL）。
　　也許很多人知道Socket，它是一個編程界面，并不提供任何安全措施，而SSL不但提供編程界面，而且向上提供一種安全的服務，SSL3.0現(xiàn)在已經(jīng)應用到了服務器和瀏覽器上，SSL2.0則只能應用于服務器端。
　　SSL3.0用一種電子證書（electric certificate）來實行身份進行驗證后，雙方就可以用保密密鑰進行安全的會話了。它同時使用“對稱”和“非對稱”加密方法，在客戶與電子商務的服務器進行溝通的過程中，客戶會產(chǎn)生一個Session Key，然后客戶用服務器端的公鑰將Session Key進行加密，再傳給服務器端，在雙方都知道Session Key后，傳輸?shù)臄?shù)據(jù)都是以Session Key進行加密與解密的，但服務器端發(fā)給用戶的公鑰必需先向有關(guān)發(fā)證機關(guān)申請，以得到公證。
　　基于SSL3.0提供的安全保障，用戶就可以自由訂購商品并且給出信用卡號了，也可以在網(wǎng)上和合作伙伴交流商業(yè)信息并且讓供應商把訂單和收貨單從網(wǎng)上發(fā)過來，這樣可以節(jié)省大量的紙張，為公司節(jié)省大量的電話、傳真費用。在過去，電子信息交換（Electric Data Interchange，EDI）、信息交易（information transaction）和金融交易（financial transaction）都是在專用網(wǎng)絡上完成的，使用專用網(wǎng)的費用大大高于互聯(lián)網(wǎng)。正是這樣巨大的誘惑，才使人們開始發(fā)展因特網(wǎng)上的電子商務，但不要忘記數(shù)據(jù)加密。
　　2、加密技術(shù)在VPN中的應用
　　現(xiàn)在，越多越多的公司走向國際化，一個公司可能在多個國家都有辦事機構(gòu)或銷售中心，每一個機構(gòu)都有自己的局域網(wǎng)LAN（Local Area Network），但在當今的網(wǎng)絡社會人們的要求不僅如此，用戶希望將這些LAN連結(jié)在一起組成一個公司的廣域網(wǎng)，這個在現(xiàn)在已不是什么難事了。
　　事實上，很多公司都已經(jīng)這樣做了，但他們一般使用租用專用線路來連結(jié)這些局域網(wǎng) ，他們考慮的就是網(wǎng)絡的安全問題�，F(xiàn)在具有加密/解密功能的路由器已到處都是，這就使人們通過互聯(lián)網(wǎng)連接這些局域網(wǎng)成為可能，這就是我們通常所說的虛擬專用網(wǎng)（Virtual Private Network ，VPN）。當數(shù)據(jù)離開發(fā)送者所在的局域網(wǎng)時，該數(shù)據(jù)首先被用戶湍連接到互聯(lián)網(wǎng)上的路由器進行硬件加密，數(shù)據(jù)在互聯(lián)網(wǎng)上是以加密的形式傳送的，當達到目的LAN的路由器時，該路由器就會對數(shù)據(jù)進行解密，這樣目的LAN中的用戶就可以看到真正的信息了。

• 通信詞典解釋