【文章內(nèi)容簡(jiǎn)介】 把密鑰；整個(gè)網(wǎng)絡(luò)中的 N個(gè)用戶(hù)共需要 N*(N1)把密鑰才能保證任意雙方通信。 44 對(duì)稱(chēng)加密技術(shù) 明 文 密 文 明 文 密鑰 加密過(guò)程 解密過(guò)程 對(duì)稱(chēng)加密中的密鑰 45 ? 對(duì)稱(chēng)密鑰加密 圖 2－ 1 對(duì)稱(chēng)密鑰加密示意圖 HELLO 對(duì)稱(chēng)密鑰算法，如 DES .%*% .%*% HELLO 對(duì)稱(chēng)密鑰算法，如 DES 圖 對(duì)稱(chēng)密鑰解密示意圖 明文＝ 算法＋對(duì)稱(chēng)密鑰 ＋密文 明文 ＋算法＋對(duì)稱(chēng)密鑰 =密文 特點(diǎn)：加 /解密速度快；密鑰發(fā)布和管理困難； 密鑰長(zhǎng)度限制（ 56比特）； 46 第七章 電子商務(wù)安全體系 2． 對(duì)稱(chēng)加密技術(shù) （ 私鑰密碼技術(shù) ） 對(duì)稱(chēng)加密技術(shù)最具有代表性的算法是 IBM公司提出的DES(Data Encryption Standard)算法 ， 該算法于 1977年被美國(guó)國(guó)家標(biāo)準(zhǔn)局 NBS頒布為商用數(shù)據(jù)加密標(biāo)準(zhǔn) ， 是目前廣泛采用的對(duì)稱(chēng)加密方式之一 ， 主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬 (EFT)領(lǐng)域 。 DES綜合運(yùn)用了置換、代替、代數(shù)等多種密碼技術(shù)，把消息分成 64位大小的塊，使用 56位密鑰。 ? 對(duì)密鑰進(jìn)行逐個(gè)嘗試，就可以破解密文。 ? 只要破譯的時(shí)間超過(guò)密文的有效期，加密就是有效的。 DES的替代算法，這些算法中比較有影響的有 AES算法(Advanced Encryption Standard)和歐洲數(shù)據(jù)加密標(biāo)準(zhǔn) IDEA。 47 第七章 電子商務(wù)安全體系 DES設(shè)計(jì)精巧 ， 實(shí)現(xiàn)容易 ， 使用方便 ， 最主要的優(yōu)點(diǎn)是加密 、 解密速度快 ， 并且可以用硬件實(shí)現(xiàn) 。 其主要弱點(diǎn)在于密鑰管理困難 ， 主要有如下表現(xiàn)： (1) 在首次通信前 ， 雙方必須通過(guò)除網(wǎng)絡(luò)以外的另外途徑傳遞統(tǒng)一的密鑰 。 (2) 當(dāng)通信對(duì)象增多時(shí) ， 需要相應(yīng)數(shù)量的密鑰 。 例如 ， 當(dāng)某一貿(mào)易方有 “ n” 個(gè)貿(mào)易關(guān)系 ， 那么他就要維護(hù) “ n” 個(gè)專(zhuān)用密鑰 (即每把密鑰對(duì)應(yīng)一貿(mào)易方 )。 (3) 對(duì)稱(chēng)加密是建立在共同保守秘密的基礎(chǔ)之上的 ， 在管理和分發(fā)密鑰過(guò)程中 ， 任何一方的泄密都會(huì)造成密鑰的失效 ，存在著潛在的危險(xiǎn)和復(fù)雜的管理難度 。 48 第七章 電子商務(wù)安全體系 3． 非對(duì)稱(chēng)加密技術(shù) (公 私鑰加密技術(shù) ) 公鑰密碼技術(shù) 特點(diǎn)： ? 信息的加密和解密使用不同的密鑰，加密的密鑰是可以公開(kāi)的公鑰，解密的密鑰是需要保密的私鑰。 ? 加密的公鑰（ Public Key－ PK）和解密的私鑰（ Private Key, Secret Key－ SK）是數(shù)學(xué)相關(guān)的，加密密鑰和解密密鑰是成對(duì)出現(xiàn)的，但不能通過(guò)加密密鑰來(lái)計(jì)算出解密密鑰。 ? 用戶(hù)甲公開(kāi)加密密鑰，用戶(hù)乙要和甲通信，用甲的公鑰加密信息，這樣只有擁有解密私鑰的甲才能解開(kāi)此密文。 49 明 文 密 文 明 文 公開(kāi)密鑰 加密過(guò)程 解密過(guò)程 非對(duì)稱(chēng)加密技術(shù)中的密鑰 ? 非對(duì)稱(chēng)加密技術(shù) (公 私鑰加密技術(shù) ) 私有密鑰 50 ? 公開(kāi)密鑰加密（非對(duì)稱(chēng)密鑰加密） 公開(kāi)密鑰算法，如 RSA 圖 2－ 3 公鑰機(jī)制加密示意圖 HELLO 公開(kāi)密鑰算法，如 RSA .%*% .%*% HELLO 圖 公鑰機(jī)制解密示意圖 Alice Bob的公鑰 Bob Alice Bob的私鑰 Bob 特點(diǎn)：公開(kāi)公鑰，保留私鑰； 51 第七章 電子商務(wù)安全體系 非對(duì)稱(chēng)加密技術(shù)小結(jié)： ? 用于解密的私鑰不發(fā)往任何地方，公鑰在傳遞和發(fā)布過(guò)程中即使被截獲，由于沒(méi)有私鑰，公鑰對(duì)入侵者也沒(méi)有太大意義。 ? 簡(jiǎn)化了密鑰的管理，網(wǎng)絡(luò)中 N個(gè)用戶(hù)之間進(jìn)行通信加密，僅僅需要 N對(duì)密鑰就行了。 ? 數(shù)字簽名和身份認(rèn)證是公鑰加密算法最典型的應(yīng)用。 ? Windows NT的安全體系中，采用的就是非對(duì)稱(chēng)加密方法。 ? 用戶(hù)要對(duì)數(shù)據(jù)進(jìn)行加密，需要生成一對(duì)自己的密鑰對(duì)，其中包括公開(kāi)密鑰和私有密鑰。加密、解密算法與公開(kāi)密鑰是公開(kāi)的，而私有密鑰由密鑰主人自己保管。 ? 特點(diǎn)：公開(kāi)公鑰，保留私鑰； 52 第七章 電子商務(wù)安全體系 RSA算法解決了大量網(wǎng)絡(luò)用戶(hù)密鑰管理的難題，但是它存在的主要問(wèn)題是算法的運(yùn)算速度較慢，較對(duì)稱(chēng)密碼算法慢幾個(gè)數(shù)量級(jí)。 因此，在實(shí)際的應(yīng)用中通常不采用這一算法對(duì)信息量大的信息 (如大的 EDI交易 )進(jìn)行加密。 對(duì)于加密量大的應(yīng)用通常用對(duì)稱(chēng)加密方法。 53 第七章 電子商務(wù)安全體系 什么是對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密？各有什么特點(diǎn)？ 對(duì)稱(chēng)加密是信息的加密和解密使用相同的密鑰，又稱(chēng)為私鑰密碼技術(shù)。加密算法公開(kāi)，交換信息的雙方共享專(zhuān)用密鑰。 對(duì)稱(chēng)加密是建立在共同保守秘密的基礎(chǔ)之上的 ， 在管理和分發(fā)密鑰過(guò)程中 ， 任何一方的泄密都會(huì)造成密鑰的失效 ， 存在著潛在的危險(xiǎn)和復(fù)雜的管理難度 。 對(duì)稱(chēng)加密適用于大信息量的加密 ， 其典型算法是 DES。 非對(duì)稱(chēng)加密是 信息的加密和解密使用不同的密鑰 ， 使用接受者的公鑰進(jìn)行加密 ， 接受者使用自己的私鑰進(jìn)行解密 ， 又稱(chēng)為 公 私鑰加密技術(shù)或公鑰加密技術(shù) 。 加密 、 解密算法與公開(kāi)密鑰是公開(kāi)的 ， 而私有密鑰由接收者自己保管 。 非對(duì)稱(chēng)加密適用于小信息量的加密 ， 其典型算法是 RSA。 54 數(shù)字信封技術(shù) ● 對(duì)稱(chēng)加密方法：運(yùn)算效率高，但不適合通過(guò)公共網(wǎng)絡(luò)傳遞； ?公開(kāi)密鑰加密算法：密鑰傳遞簡(jiǎn)單，但加密算法的運(yùn)算效率低，并且要求加密信息長(zhǎng)度小于密鑰的長(zhǎng)度； ?數(shù)字信封技術(shù)結(jié)合了傳統(tǒng)的對(duì)稱(chēng)加密方法和公鑰密碼系統(tǒng)； ?利用了對(duì)稱(chēng)加密方法的高效性和公鑰密碼系統(tǒng)的靈活性； ?兩個(gè)不同的加密過(guò)程的實(shí)現(xiàn)： 私有密鑰的加密、解密； 文件本身的加密、解密； 55 數(shù)字信封技術(shù) 發(fā)送端 接收端 原 信 息 密 文 對(duì)稱(chēng)密鑰加密 inter inter 密 文 數(shù)字信封 原 信 息 對(duì)稱(chēng)密鑰解密 接收者公鑰加密 數(shù)字信封 對(duì)稱(chēng)密鑰 接收者私鑰解密 對(duì)稱(chēng)密鑰 發(fā)送方 的 私有密鑰 數(shù)字信封技術(shù)的工作原理 1 2 3 4 56 第七章 電子商務(wù)安全體系 數(shù)字信封的概念和原理 數(shù)字信封是采用密碼技術(shù)保證了只有規(guī)定的接收人才能閱讀信息的內(nèi)容。 數(shù)字信封中采用了私鑰密碼體制和公鑰密碼體制。信息發(fā)送者首先利用隨機(jī)產(chǎn)生的對(duì)稱(chēng)密碼加密信息，再利用接收方的公鑰加密對(duì)稱(chēng)密碼， 被公鑰加密后的對(duì)稱(chēng)密碼被稱(chēng)之為數(shù)字信封。 在傳遞信息時(shí)，信息接收方要解密信息時(shí)，必須先用自己的私鑰解密數(shù)字信封，得到對(duì)稱(chēng)密碼，才能利用對(duì)稱(chēng)密碼解密所得到的信息。這樣就保證了數(shù)據(jù)傳輸?shù)恼鎸?shí)性和完整性。 57 第七章 電子商務(wù)安全體系 信息摘要 密鑰加密技術(shù)只能解決信息的保密性問(wèn)題 ， 對(duì)于信息的完整性則可以用信息摘要技術(shù)來(lái)保證 。 信息摘要 (Message digest)又稱(chēng) Hash算法，是 Ron Rivest發(fā)明的一種單向加密算法，其加密結(jié)果是不能解密的。 所謂信息摘要 ，是指從原文中通過(guò) Hash算法 (一種單向的加密算法 )而得到的一個(gè)固定長(zhǎng)度 (128位 )的散列值，不同的原文所產(chǎn)生的信息摘要必不相同，相同原文產(chǎn)生的信息摘要必定相同。 因此信息摘要類(lèi)似于人類(lèi)的“指紋”，可以通過(guò)信息摘要去鑒別原文的真?zhèn)巍?shí)質(zhì)：電子“指紋”不是加密機(jī)制，僅是能產(chǎn)生特定信息的數(shù)據(jù)“指紋”，用以標(biāo)識(shí)相應(yīng)的信息沒(méi)有被改動(dòng)。 58 第七章 電子商務(wù)安全體系 圖 76 信息摘要過(guò)程 摘要原文Hash 算法發(fā)送方Interne t摘要摘要原文對(duì)比？Hash 算法接收方(1) 對(duì)原文使用 Hash算法得到信息摘要； (2) 將信息摘要與原文一起發(fā)送； (3) 接收方對(duì)接收到的原文應(yīng)用 Hash算法產(chǎn)生一個(gè)摘要； (4) 用接收方產(chǎn)生的摘要與發(fā)送方發(fā)來(lái)的摘要進(jìn)行對(duì)比，若兩者相同則表明原文在傳輸過(guò)程中沒(méi)有被修改，否則就說(shuō)明原文被修改過(guò)。 59 原 信 息 發(fā)送端 接收端 數(shù)字摘要 摘要 H a s h函數(shù)加密 摘要 H a s h函數(shù)加密 對(duì)比 原 信 息 摘要 inter inter 60 第七章 電子商務(wù)安全體系 數(shù)字簽名 數(shù)字簽名 (Digital signature)是密鑰加密和信息摘要相結(jié)合的技術(shù) ， 用于保證信息的完整性和不可否認(rèn)性 。數(shù)字簽名的過(guò)程如圖 77所示 。 61 第七章 電子商務(wù)安全體系 圖 77 數(shù)字簽名過(guò)程 摘要原文Hash 算法發(fā)送方Interne t摘要摘要原文對(duì)比？Hash 算法接收方數(shù)字簽名發(fā)送者私鑰加密 數(shù)字簽名發(fā)送者公鑰解密1 2 3 4 5 6 數(shù)字簽名 —— 用發(fā)送者私鑰加密的信息摘要 62 第七章 電子商務(wù)安全體系 (1) 對(duì)原文使用 Hash算法得到信息摘要； (2) 發(fā)送者用自己的私鑰對(duì)信息摘要加密； (3) 發(fā)送者將加密后的信息摘要與原文一起發(fā)送； (4) 接