【文章內(nèi)容簡(jiǎn)介】 加密機(jī)制 舉例： （ 1）產(chǎn)生一對(duì)密鑰 ①選擇兩個(gè)素?cái)?shù)，如 p=7， q=17 ② 計(jì)算 N=pq=7 17=119 ③ φ (N)=(p1)(q1)=6 16=96 ④ 從 [0,95]間選一個(gè)與 96互素的數(shù) e=5 ⑤ 根據(jù) 5d=1 mod 96得 d=77（因?yàn)?5 77=4 96+1） ⑥得到公鑰 PK=(5,119)，私鑰 SK=(77,119) 河南農(nóng)業(yè)大學(xué) 經(jīng)管學(xué)院 加密機(jī)制 2. 公鑰加密機(jī)制 舉例： （ 2）用這對(duì)密鑰進(jìn)行加密解密實(shí)驗(yàn) ①將明文分組，使每組明文的二進(jìn)制值不超過 N，即不超過 119?，F(xiàn)在設(shè)明文為 X=19 ② 用公鑰 PK=(5,119)加密。先計(jì)算 Xe=195=2476099；再除以 119，商 20807，余數(shù)為 66。密文即為 66 ③ 用私鑰 SK=(77,119)解密。先計(jì)算 Yd=6677=127… ；再除以 119，得余數(shù)為 19。明文即為 19 河南農(nóng)業(yè)大學(xué) 經(jīng)管學(xué)院 加密機(jī)制 2. 公鑰加密機(jī)制 （ RSA的安全性取決于大合數(shù)分解的困難性。） 優(yōu)點(diǎn)： ?身份認(rèn)證較為方便。 ?密鑰分配簡(jiǎn)單。公開密鑰可以像電話號(hào)碼一樣告訴其商業(yè)伙伴，需要好好保管的只是一個(gè)私人密鑰。 ?能夠很好地支持完成對(duì)傳輸信息的數(shù)字簽名，解決數(shù)據(jù)的否認(rèn)與抵賴問題。 缺點(diǎn)： ?加 \解密速度較慢，難以滿足電子商務(wù)中特別是網(wǎng)絡(luò)支付結(jié)算的需要。 ?一般只適用于少量數(shù)據(jù)加密，如向客戶傳送信用卡或網(wǎng)絡(luò)銀行的密碼。 ?由于美國的封鎖，中國暫時(shí)沒有比較完善的生成較長(zhǎng)密鑰的技術(shù)。 3. 加密算法比較 我們通過對(duì)稱密鑰加密算法的代表 DES算法和非對(duì)稱密鑰算法的代表RSA算法進(jìn)行比較 ： （ 1） 加密、解密的處理效率 DES算法在效率上明顯優(yōu)于 RSA算法。 DES密鑰的長(zhǎng)度通常只有56位，可以利用軟件和硬件實(shí)現(xiàn)高速處理；而 RSA算法密鑰較長(zhǎng)，需要進(jìn)行諸如 200位整數(shù)的乘冪和求模等多倍字長(zhǎng)的處理，處理速度明顯慢于 DES算法。 （ 2） . 密鑰的分發(fā)與管理 RSA算法比 DES算法更加優(yōu)越。 RSA算法可以采用公開形式分配加密密鑰，對(duì)密鑰的更新也很容易，且只需保管自己私人密鑰；而DES算法需要對(duì)密鑰進(jìn)行秘密分配傳遞，變更或更換困難，另外當(dāng)有 n個(gè)用戶時(shí)， DES需要 n(n1)/2個(gè)密鑰，而 RSA僅需要 2n個(gè)密鑰。 加密機(jī)制 （ 3） 安全性，只要密鑰夠長(zhǎng)，兩種算法的安全性就可以得到保證 （ 4） 數(shù)字簽名與認(rèn)證 DES算法從原理上不可能實(shí)現(xiàn)數(shù)字簽名和身份認(rèn)證，但 RSA算法能夠方便地進(jìn)行數(shù)字簽名和身份認(rèn)證，這對(duì)加強(qiáng)電子商務(wù)的安全性，特別是加強(qiáng)網(wǎng)絡(luò)支付的安全性具有重大意義和實(shí)際用途。 總之，私有密鑰加密法與公開密鑰加密法各有短長(zhǎng)，公開密鑰加密在簽名認(rèn)證方面功能強(qiáng)大，而私有密鑰加密在加 \解密速度方面具有很大優(yōu)勢(shì)。 所以，可以設(shè)計(jì)一種綜合私有密鑰加密法和公開密鑰加密法的優(yōu)點(diǎn)，同時(shí)避免它們各自不足的加 \解密方案，這就是我們后面要介紹的數(shù)字信封技術(shù)。 4 數(shù)字信封 非對(duì)稱密鑰強(qiáng)大的加密功能使它具有比對(duì)稱密鑰更大的優(yōu)越性。但是，由于非對(duì)稱密鑰加密比對(duì)稱密鑰加密 速度慢得多 ，在加密數(shù)據(jù)量大的信息時(shí)，要花費(fèi)很長(zhǎng)時(shí)間。而對(duì)稱密鑰在加密速度方面具有很大優(yōu)勢(shì)。 所以在 SET協(xié)議中同時(shí)采用兩種加密方式，將兩者結(jié)合起來使用。 數(shù)字信封（ Digital Envelope） 的原理 ：對(duì)需傳送的 信息（如 電子合同、支付指令 ）的加密采用對(duì)稱密鑰加密法；但密鑰不先由雙方約定，而是在加密前由發(fā)送方 隨機(jī)產(chǎn)生 ；用此隨機(jī)產(chǎn)生的對(duì)稱密鑰對(duì)信息進(jìn)行加密，然后將此 對(duì)稱密鑰 用接收方的公開密鑰加密，準(zhǔn)備定點(diǎn)加密發(fā)送給接受方。這就好比用“信封”封裝起來，所以稱作數(shù)字信封 （封裝的是里面的對(duì)稱密鑰） 。 接收方收到信息后，用自己的 私人密鑰解密，打開數(shù)字信封 ，取出隨機(jī)產(chǎn)生的對(duì)稱密鑰，用此對(duì)稱密鑰再對(duì)所收到的密文解密，得到原來的信息。 因?yàn)閿?shù)字信封是用消息接收方的公開密鑰加密的，只能用接收方的私人密鑰解密打開，別人無法得到信封中的對(duì)稱密鑰，也就保證了信息的安全，又提高了速度。 （其實(shí)就是雙重加密原理，對(duì)稱＋非對(duì)稱配合使用，各用其優(yōu)點(diǎn)） 應(yīng)用： 在使用對(duì)稱密鑰加密時(shí)，密鑰的傳遞以及密鑰的更換都是問題 。采用數(shù)字信封的方式，對(duì)稱密鑰通過接受方的公開密鑰加密后傳給對(duì)方，可以保證密鑰傳遞的安全。而且此對(duì)稱密鑰每次由發(fā)送方隨機(jī)生成，每次都在更換，更增加了安全性。 用于網(wǎng)絡(luò)支付 ： 數(shù)字信封不僅用于裝入對(duì)稱密鑰，一些重要的短小信息，比如 銀行賬號(hào)、密碼 等都可以采取數(shù)字信封傳送。 上圖中，甲公司采用數(shù)字信封的方法加密數(shù)據(jù)。甲公司先隨機(jī)生成一個(gè)對(duì)稱密鑰，用此對(duì)稱密鑰來加密要發(fā)給乙公司的消息，然后，再用乙公司的公開密鑰加密這個(gè)隨機(jī)生成的對(duì)稱密鑰，裝入數(shù)字信封。乙公司收到后，先用自己的私人密鑰對(duì)加密的對(duì)稱密鑰解密，即打開數(shù)字信封，取出甲公司隨機(jī)生成的對(duì)稱密鑰，再用此對(duì)稱密鑰對(duì)消息密文解密，得到消息明文 . 分兩次傳送 普通報(bào)文 對(duì)稱密鑰 公鑰 B 加密 加密 密 文 加密的密鑰 對(duì)稱密鑰 私鑰 B 解密 普通報(bào)文 解密 結(jié)合了對(duì)稱加密和非對(duì)稱加密的優(yōu)點(diǎn)，使用兩個(gè)層次的加密來獲得非對(duì)稱加密的靈活性和對(duì)稱加密的高效性。 數(shù)字信封的優(yōu)點(diǎn)： ? 加密和解密速度較快，可以滿足實(shí)用特別是網(wǎng)絡(luò)支付中的即時(shí)處理需要。因?yàn)檩^長(zhǎng)的信息明文是采用私有密鑰加密法加密和解密的，而只有對(duì)簽名信息和 DES密鑰這樣很短的信息才采用公開密鑰加密法，所以速度較快。 ? 通信雙方在傳輸?shù)拿芪闹袛y帶用 RSA公鑰加密的 DES密鑰，不用為交換 DES密鑰而費(fèi)盡周折，減小了 DES密鑰在傳輸過程中泄密的風(fēng)險(xiǎn)。 ? 具有數(shù)字簽名和認(rèn)證的功能。 ? 密鑰管理方便。由于解決了交換 DES密鑰的問題，只需保管 RSA私人密鑰。 ? 保證通信的安全。即使加密文件在網(wǎng)絡(luò)上傳送時(shí)被他人非法截獲，因?yàn)闊o法得到發(fā)送方的 DES密鑰，也不可能對(duì)文件進(jìn)行解密。 河南農(nóng)業(yè)大學(xué) 經(jīng)管學(xué)院 數(shù)字簽名機(jī)制 數(shù)字簽名機(jī)制的 目的 是使人們可以對(duì)數(shù)字文檔進(jìn)行簽名。數(shù)字簽名在與簽名相關(guān)的同時(shí)也與發(fā)送的消息相關(guān)。 所以 數(shù)字簽名能夠?qū)崿F(xiàn)以下 功能 ： 1） 收方能夠證實(shí)發(fā)送方的真實(shí)身份； 2） 發(fā)送方事后不能否認(rèn)所發(fā)送過的報(bào)文； 3） 收方或非法者不能偽造 、 篡改報(bào)文 。 河南農(nóng)業(yè)大學(xué) 經(jīng)管學(xué)院 數(shù)字簽名機(jī)制 數(shù)字簽名技術(shù)以加密技術(shù)為基礎(chǔ)，其核心是采用加密技術(shù)的加、解密算法體制來實(shí)現(xiàn)對(duì)報(bào)文的數(shù)字簽名。 河南農(nóng)業(yè)大學(xué) 經(jīng)管學(xué)院 數(shù)字簽名機(jī)制 RSA是最常用的數(shù)字簽名機(jī)制 簽名算法： S=D(h(M))=h(M)d mod n 驗(yàn)證簽名算法： 需要知道 M與 S，以及簽名者的公鑰 (e,n)，以及所使用的 hash函數(shù)，然后判斷 h(M)=Se mod n 是否成立？ 成立，簽名有效； 不成立，簽名無效。 河南農(nóng)業(yè)大學(xué) 經(jīng)管學(xué)院 數(shù)字簽名機(jī)制 RSA是最常用的數(shù)字簽名機(jī)制 河南農(nóng)業(yè)大學(xué) 經(jīng)管學(xué)院 訪問控制機(jī)制 不是所有的參與方（請(qǐng)求者）都擁有對(duì)全部資源（對(duì)象）相同的訪問權(quán)限。因此，必須給參與方直接地或隱含地分配訪問對(duì)象的權(quán)限。 通常表示成訪問控制矩陣的形式： 防火墻安全防護(hù) 從上述對(duì)支撐網(wǎng)絡(luò)支付結(jié)算的 Inter網(wǎng)絡(luò)平臺(tái)系統(tǒng)的安全及相應(yīng)安全措施的敘述，防火墻系統(tǒng)的應(yīng)用是一個(gè)主要手段，是保證整個(gè)網(wǎng)絡(luò)平臺(tái)系統(tǒng)安全的第一道保護(hù)，也是關(guān)鍵的安全防護(hù)環(huán)節(jié)。下面介紹一下防火墻的安全防護(hù)原理及過程。 1. 防火墻的定義 定義： 防火墻， Firewall， 是在需要保護(hù)的網(wǎng)絡(luò)同可能帶來安全威脅的 Inter之間建立的第一道保護(hù)，主要是 一種用 計(jì)算機(jī)軟件和硬件組成的隔離設(shè)備 ，用于在 Intra和 Inter之間構(gòu)筑一道屏障，能夠按設(shè)置的條件進(jìn)行區(qū)分，實(shí)現(xiàn)內(nèi)外有別。 目標(biāo)： 用以保護(hù) Intra中的信息、資源等不受來自 Inter中非法用戶的侵犯，它控制 Intra與 Inter之間的所有數(shù)據(jù)流量， 控制和防止 Intra中的有價(jià)值數(shù)據(jù)流入 Inter， 也控制和防止來自 Inter的無用垃圾和有害數(shù)據(jù)流入 Intra。 防火墻的應(yīng)用示意圖為： Inter 企業(yè)內(nèi)部網(wǎng)絡(luò)（如 Intra) 防火墻系統(tǒng)（堡壘主機(jī) +路由器等 ） 非安全網(wǎng)絡(luò) 安全網(wǎng)絡(luò) 圖 42 防火墻作用示意圖 防火墻 (Firewall)是借用詞，其本意是 “ 網(wǎng)絡(luò)門 ” 。好像兩個(gè)網(wǎng)絡(luò)