【正文】 lication Demonstration Center, Powered by KEERQIN, 2022 加密算法的例子 HAPPY NEW YEAR KDSSA QHZ AHDU HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 對(duì)稱密鑰密碼體系簡介 ?對(duì)稱密鑰密碼體系 (Symmetric Cryptography)又稱對(duì)稱密鑰技術(shù)。通常使用的加密方法分為兩大類： 對(duì)稱加密和非對(duì)稱加密。非對(duì)稱加密技術(shù)可參見圖。該算法的目的是使得兩個(gè)用戶安全地交換一個(gè)密鑰以便于以后的報(bào)文加密 ? 橢圓曲線加密算法。 （ 3） 發(fā)送方用接收方的公鑰給對(duì)稱密鑰加密 ， 并通過網(wǎng)絡(luò)把加密后的對(duì)稱密鑰傳輸?shù)浇邮辗?。原用戶可以把它再發(fā)送給接收者。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 數(shù)字證書利用一對(duì)互相匹配的密鑰進(jìn)行加密 、解密 。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 個(gè)人數(shù)字證書的申請(qǐng) ? 個(gè)人數(shù)字證書介紹 可以利用個(gè)人數(shù)字證書來發(fā)送簽名或加密的電子郵件 。 ? 首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織（根證書）之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的，這就是所謂的 Tree of Trust。 SSL支持的客戶機(jī)和服務(wù)器間的所有通訊都加密了。 ? 安全電子交易協(xié)議（ SET， secure electronic transaction）是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計(jì)的 ? 為了克服 SSL安全協(xié)議的缺點(diǎn)，更為了達(dá)到交易安全及合乎成本效益之市場(chǎng)要求， VISA和 MasterCard聯(lián)合其他國際組織，共同制定了安全電子交易（ Secure Electronic Transaction， SET）協(xié)議。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 當(dāng)加密方式傳送結(jié)束后，瀏覽器會(huì)離開交換敏感信息的頁面，自動(dòng)斷開安全連接。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 安全套接層協(xié)議（ Secure Sockets Layer） ，是由網(wǎng)景公司設(shè)計(jì)開發(fā)的，主要用于提高應(yīng)用程序之間的數(shù)據(jù)安全系數(shù)，實(shí)現(xiàn)兼容瀏覽器和服務(wù)器（通常是WWW服務(wù)器）之間安全通信的協(xié)議。如果主頁的 URL為 ，說明該頁遵循安全超文本傳輸協(xié)議。 ? B用戶收到 A用戶的傳來的密文與數(shù)字信封后 ， 先用自己的私有密鑰對(duì)數(shù)字信封進(jìn)行解密 ， 從而獲得 A用戶的 DES密鑰 ， 再用該密鑰對(duì)密文進(jìn)行解密 ，繼而得到明文 、 A用戶的數(shù)字簽名及用戶的數(shù)字證書 。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 一個(gè)標(biāo)準(zhǔn)的 ? 證書的版本信息； ? 證書的序列號(hào) ， 每個(gè)證書都有一個(gè)唯一的證書序列號(hào)； ? 證書所使用的簽名算法； ? 證書的發(fā)行機(jī)構(gòu)名稱 ， 命名規(guī)則一般采用 ； ? 證書的有效期 ， 現(xiàn)在通用的證書一般采用 UTC時(shí)間格式 ， 它的計(jì)時(shí)范圍為 19502049； ? 證書所有人的名稱 ， 命名規(guī)則一般采用 ； ? 證書所有人的公開密鑰； ? 證書發(fā)行者對(duì)證書的數(shù)字簽名 。 收信方首先使用自己的私有密鑰解密被加密的對(duì)稱密鑰 ， 再用該對(duì)稱密鑰解密出真正的報(bào)文 。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 數(shù)字簽名具有易更換 、 難偽造 、 可進(jìn)行遠(yuǎn)程線路傳遞等優(yōu)點(diǎn) 。在這一體制中，每個(gè)用戶有兩個(gè)密鑰：加密密鑰 PK={e,n}，解密密鑰 SK={d,n}。非對(duì)稱加密體制的原理與對(duì)稱加密體制不同，它需要兩種密鑰 ——公鑰和私鑰。順序猜測(cè) 65536種密鑰對(duì)于計(jì)算機(jī)來說是很容易的。 為了保證信息在網(wǎng)上傳輸過程中不被篡改，必須對(duì)所發(fā)送的信息進(jìn)行加密。同時(shí)，路由器的安全運(yùn)行涉及越來越多的安全策略，有必要進(jìn)行安全策略管理。 ? 任何外部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作都必須經(jīng)過堡壘主機(jī)。因此，實(shí)際使用中，應(yīng)用級(jí)網(wǎng)關(guān)常和包過濾路由器結(jié)合使用（如圖 ）； HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 狀態(tài)檢測(cè)防火墻 ? 使用一個(gè)稱之為 “ 監(jiān)測(cè)引擎 ” 的軟件模塊在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略。 傳輸?shù)臅r(shí)候發(fā)送和接收的應(yīng)該一致。如：建立備份中心 ?防范計(jì)算機(jī)設(shè)備被盜：固定件 、 添加鎖 、設(shè)置警鈴 、 購置柜機(jī) 、 系統(tǒng)外人員不得入內(nèi)等 ?盡量減少對(duì)硬件的損害：不間斷電源 、消除靜電 、 系統(tǒng)接地等 第四、五層：硬件系統(tǒng)的保護(hù)和物理實(shí)體的安全 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 管理制度的建立與實(shí)施 ? 包括運(yùn)行與維護(hù)的管理規(guī)范、系統(tǒng)保密管理的規(guī)章制度、安全管理人員的教育培訓(xùn)、制度的落實(shí)、職責(zé)的檢查等方面內(nèi)容。為了保證信息不受攻擊，數(shù)據(jù)加密是行之有效的方法。 ? 對(duì)于路由器的可靠性與線路安全，在設(shè)計(jì)接口時(shí)，必須支持備份功能。訪問控制策略用于避免對(duì)網(wǎng)絡(luò)資源的非法訪問和使用。 ?對(duì)稱密鑰密碼體系的優(yōu)點(diǎn)是加密、解密速度很快 (高效 )，但缺點(diǎn)也很明顯：密鑰難于共享，需太多密鑰。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 對(duì)稱密鑰系統(tǒng) ? 在對(duì)稱加密體制中，加密和解密兩個(gè)過程所使用的密鑰相同或可以從一個(gè)推導(dǎo)出另一個(gè)。 圖 非對(duì)稱加密技術(shù)示意圖 ? 圖 非對(duì)稱加密技術(shù)示意圖 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 公鑰加密過程 ? 公鑰技術(shù)解決了密鑰的發(fā)布和管理問題，電子商務(wù)系統(tǒng)中的商家可以公開其公鑰，只保留其私鑰，其貿(mào)易伙伴利用該商家提供的公鑰對(duì)數(shù)據(jù)進(jìn)行加密，將其通過公共傳輸平臺(tái)發(fā)送給該商家，該商家利用自己保留的私鑰進(jìn)行解密。橢圓曲線加密算法是 1985年由 Miller分別提出的將橢圓曲線用于加密算法。 （ 4） 接收方使用自己的私鑰對(duì)密鑰信息進(jìn)行解密 ， 得到對(duì)稱密鑰 。 ? 需要一個(gè)第三方來提供可信賴的且不可抵賴的時(shí)間戳服務(wù)。 每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰 ， 用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰 （ 公鑰 ） 并由本人公開 ， 為一組用戶所共享 ， 用于加密和驗(yàn)證簽名 。 ? 個(gè)人數(shù)字證書分為二個(gè)級(jí)別 第一級(jí)數(shù)字證書 ， 僅僅提供電子郵件的認(rèn)證 ， 不對(duì)個(gè)人的 。 ? 其次， S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。在 SSL對(duì)所有通訊都加密后，竊聽者得到的是無法識(shí)別的信息。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 ? SET交易分以下三個(gè)階段進(jìn)行： ? 購買請(qǐng)求階段 用戶與商家確定所用支付方式的細(xì)節(jié) ? 支付認(rèn)定階段 商家與銀行核實(shí)，隨著交易的進(jìn)展，他們將得到付款 ? 收款階段 商家向銀行出示所有交易的細(xì)節(jié)，然后銀行以適當(dāng)方式轉(zhuǎn)移貨款 ? 用戶只和第一階段交易有關(guān)，銀行與第二、三階段有關(guān)，而商家與三個(gè)階段都要發(fā)生關(guān)系。 圖 瀏覽器開始建立安全連接 圖 瀏覽器驗(yàn)證服務(wù)器安全證書 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 該圖顯示在 eCoin上的安全連接已經(jīng)建立 ， 瀏覽器右下角狀態(tài)欄的鎖型圖案表示用戶通過網(wǎng)頁傳輸?shù)挠脩裘兔艽a都將通過加密方式傳送 。 ? SSL協(xié)議基于 C/S模式，它由兩層組成，分別是握手協(xié)議層（ SSL record layer）和記錄協(xié)議層（ SSL handshake layer）。也就是說， SHTTP支持超文本傳輸協(xié)議（ HTTP），為 Web文檔提供安全和鑒別，保證數(shù)據(jù)的安全。 這樣 A用戶最后把密文和數(shù)字信封一起發(fā)送給 B用戶 。 ? 證書的格式遵循 ITU 。 ?具體操作方法是：每當(dāng)發(fā)信方需要發(fā)送信息時(shí)首先生成一個(gè)對(duì)稱密鑰 ， 用這個(gè)對(duì)稱密鑰加密所需發(fā)送的報(bào)文；然后用收信方的公開密鑰加密這個(gè)對(duì)稱密鑰 ， 連同加密了的報(bào)文一同傳輸?shù)绞招欧?。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出 128比特的散列值（數(shù)字摘要），接著用發(fā)送方的公鑰來對(duì)報(bào)文附加的數(shù)字簽名解密。根據(jù)數(shù)論，尋求兩個(gè)大素?cái)?shù)比較簡單，而將它們的乘積分解開則極其困難。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 非對(duì)稱加密體制 ? 非對(duì)稱加密體制是 1976年，美國學(xué)者 Diffie和Hellman為解決信息公開傳送和密鑰管理問題而提出的一種信息密鑰交換協(xié)議，允許在不安全的媒體上通信雙方交換信息，安全地達(dá)成一致的密鑰 ? 基本概念。例如一個(gè) 16位的密鑰有 2的 16次方（ 65536）種不同的密鑰。在這個(gè)過程中需要一串?dāng)?shù)字，這個(gè)數(shù)字就是密鑰。 ? 在防止端口掃描攻擊方面，真正安全的路由器必須具有良好的入侵監(jiān)測(cè)和防范功能，必要時(shí)要通過各種攻擊測(cè)試以確認(rèn)路由器是否足夠安全。 ? 路由器規(guī)則過濾數(shù)據(jù)包： ? 任何外部網(wǎng)的主機(jī)都只能與內(nèi)部網(wǎng)的堡壘主機(jī)建立連接，甚至只允許提供某些類型服務(wù)的外網(wǎng)的主機(jī)能與堡壘主機(jī)建立連接。 ? 應(yīng)用級(jí)網(wǎng)關(guān)由于不允許用戶直接訪問網(wǎng)絡(luò)，多了一層訪問控制機(jī)制，訪問速度通常比較明顯地變慢；應(yīng)用級(jí)網(wǎng)關(guān)需要對(duì)每一類特定地Inter服務(wù)安裝相應(yīng)的代理服務(wù)軟件；用戶不能使用未被服務(wù)器支持地服務(wù)，對(duì)每一類服務(wù)要使用特殊的客戶端軟件。 HPCOMPAQ eCommerce Application Demonstration Center, Powered by KEERQIN, 2022 完整性 存儲(chǔ)的時(shí)候防止非法篡改和破壞。 法律制度與道德規(guī)范 ? 要求國家制定出嚴(yán)密的法律、政策，規(guī)范和制約人們的