2011年软件水平考试网络工程师全面复习笔记(28)
- o# o' l5 O( A. Q$ e0 e' {二. 数据加密技术
}# h: [: L+ B3 N- N% s 电子商务安全规范可分为安全、认证两方面的规范。
1 {: u; s. o) j4 K7 M5 {3 v F 1安全规范
2 N! {" N" s% ~; l" ~& h 当前电子商务的安全规范包括加密算法、报文摘要算法、安全通信协议等方面的规范。
7 z; L, t$ ]7 j5 n5 i9 H (1)加密算法- v0 L7 d1 a% z5 q$ Z; C4 f. P- y
基本加密算法有两种:对称密钥加密、非对称密钥加密,用于保证电子商务中数据的保密性、完整性、真实性和非抵赖服务。( c. ~9 |* _" q* a" B: {) k
①对称密钥加密& X8 R5 i i! m8 x+ _/ r
对称密钥加密也叫秘密/专用密钥加密(Secret Key Encryption),即发送和接收数据的双方必须使用相同的/对称的密钥对明文进行加密和解密运算。最著名的对称密钥加密标准是数据加密标准(DataEncryptionStandard,简称DES)。目前已有一些比DES算法更安全的对称密钥加密算法,如:IDEA算法,RC2、RC4算法,Skipjack算法等。
& N1 D! h' }: k ②非对称密钥加密
4 `, Y! a4 {3 j% x$ w3 }; ]7 o 非对称密钥加密也叫公开密钥加密(Public Key Encryption),由美国斯坦福大学赫尔曼教授于1977年提出。它主要指每个人都有一对唯一对应的密钥:公开密钥和私有密钥,公钥对外公开,私钥由个人秘密保存;用其中一把密钥来加密,就只能用另一把密钥来解密。商户可以公开其公钥,而保留其私钥;客户可以用商家的公钥对发送的信息进行加密,安全地传送到商户,然后由商户用自己的私钥进行解密。公开密钥加密技术解决了密钥的发布和管理问题,是目前商业密码的核心。使用公开密钥技术,进行数据通信的双方可以安全地确认对方身份和公开密钥,提供通信的可鉴别性。由此,公开密钥体制的建设是开展电子商务的前提。非对称加密算法主要有RSA、DSA、DiffieHellman、PKCS、PGP等。3 Q9 |' ^2 s! E' ]% A- T
(2)报文摘要算法
' \: P5 ^6 V" ?% ^ q 报文摘要算法(Message Digest Algorithms)即采用单向HASH算法将需要加密的明文进行摘要,而产生的具有固定长度的单向散列(HASH)值。其中,散列函数(HashFunctions)是将一个不同长度的报文转换成一个数字串(即报文摘要)的公式,该函数不需要密钥,公式决定了报文摘要的长度。报文摘要和非对称加密一起,提供数字签名的方法。 @7 g& D% a7 A. M+ B, s$ `
报文摘要算法主要有安全散列标准、MD2系列标准。) i3 n6 |* v! n, d* ^
(3)加密通信协议(SSL)
) \3 u1 R, Q/ ` c1 W4 } d 安全套接层协议(Secure Socket Layer)是一种保护WEB通讯的工业标准,主要目的是提供INTERNET上的安全通信服务,是基于强公钥加密技术以及RSA的专用密钥序列密码,能够对信用卡和个人信息、电子商务提供较强的加密保护。SSL在建立连接过程上采用公开密钥,在会话过程中使用专有密钥。SSL的缺陷是只能保证传输过程的安全,无法知道在传输过程中是否受到窃听,黑客可以此破译SSL的加密数据,破坏和盗窃WEB信息。新的SSL协议被命名为TLS(Transport Layer Security),安全可靠性可有所提高,但仍不能消除原有技术上的基本缺陷。
$ _: [& `2 b& m( ]: G 2认证规范* E9 M4 p1 r( [$ m0 d- O
(1)数字签名
; `: K5 n( @7 U i# i8 m m 数字签名(Digital Signature)是公开密钥加密技术的一种应用,是指用发送方的私有密钥加密报文摘要,然后将其与原始的信息附加在一起,合称为数字签名。其使用方式是:报文的发送方从报文文本中生成一个128位或160位的单向散列值(或报文摘要),并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法,普遍用于银行、电子贸易等,以解决伪造、抵赖、冒充、篡改等问题。( o4 o/ n, D) n0 b, c7 h
(2)数字证书
( b4 m" T* N9 Z! U) A- E “数字证书”是一个经证书认证中心(CA)数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是电子商务安全体系的核心,用途是利用公共密钥加密系统来保护与验证公众的密钥。CA对申请者所提供的信息进行验证,然后通过向电子商务各参与方签发数字证书,来确认各方的身份,保证网上支付的安全性。
6 Y- Q5 D: c+ q* g 证书的格式遵循X.509标准。X.509证书包括有关证书拥有的个人或实体的信息及证书颁发机构的可选信息。实体信息包括实体名称、公用密钥、公用密钥运算法和可选的唯一主体id。目前,X.509标准已在编排公共密钥格式方面被广泛接受,已用于许多网络安全应用程序,其中包括IP安全(Ipsec)、安全套接层(SSL)、安全电子交易(SET)、安全多媒体INTERNET邮件扩展(S/MIME)等。
$ a) s0 r$ h q) m7 p1 e8 z. ] (3)密钥管理机制(PKI)
% |* G5 M1 X8 ?& q1 a. ]. O 密钥管理是数据加密技术中的重要一环,密钥管理的目的是确保密钥的安全性(真实性和有效性)。 |
发表于 2012-8-2 09:11:00
