【文章內容簡介】 鑰加密法是在加密和解密過程中使用不同的密鑰加以控制，加密密鑰是公開的，解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性。算法的核心是運用一種特殊的數(shù)學函數(shù)——單向陷門函數(shù)，即從一個方向求值是容易的，但其逆向計算卻很困難，從而在實際上成為不可能。除了密鑰加密技術外，還有數(shù)據(jù)加密技術。一是鏈路加密技術。鏈路加密是對通信線路加密；二是節(jié)點加密技術。節(jié)點加密是指對存儲在節(jié)點內的文件和數(shù)據(jù)庫信息進行的加密保護。數(shù)字簽名（Digital Signature）技術是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統(tǒng)中，數(shù)字簽名技術有著特別重要的地位，在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數(shù)字簽名技術。在書面文件上簽名是確認文件的一種手段，其作用有兩點，一是因為自己的簽名難以否認，從而確認文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。數(shù)字簽名與書面簽名有相同相通之處，也能確認兩點，一是信息是由簽名者發(fā)送的，二是信息自簽發(fā)后到收到為止未曾做過任何修改。這樣，數(shù)字簽名就可用來防止：電子信息因易于修改而有人作偽；冒用別人名義發(fā)送信息；發(fā)出（收到）信件后又加以否認。廣泛應用的數(shù)字簽名方法有RSA簽名、DSS簽名和 Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公開密鑰加密使用兩個不同的密鑰，其中一個是公開的，另一個是保密的。公開密鑰可以保存在系統(tǒng)目錄內、未加密的電子郵件信息中、電話黃頁上或公告牌里，網(wǎng)上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的，由用戶本身持有，它可以對公開密鑰加密的信息解密。DSS數(shù)字簽名是由美國政府頒布實施的，主要用于跟美國做生意的公司。它只是一個簽名系統(tǒng)，而且美國不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是最主要的數(shù)字簽名方法，跟單獨簽名的RSA數(shù)字簽名不同，它是將數(shù)字簽名和要發(fā)送的信息捆在一起，所以更適合電子商務。在電子商務交易的文件中，時間是十分重要的信息，是證明文件有效性的主要內容。在簽名時加上一個時間標記，即有數(shù)字時間戳（Digita Timestamp）的數(shù)字簽名方案：驗證簽名的人或以確認簽名是來自該小組，卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性，其他任何人除了得到該指定人或簽名者本人的幫助，否則不能驗證簽名（二）網(wǎng)絡信忽安全的目標。保密性是指信息不泄露給非授權人、實休和過程，或供其使用的特性。完整性是指信息未經授權不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網(wǎng)絡信息安全進行攻擊的最終目的就是破壞信息的完整性。可用性是指合法用戶訪問并能按要求順序使用信息的特性，即保證合法用戶在需要時可以訪問到信息。可控性是指授權機構對信息的內容及傳播具有控制的能力的特性，可以控制授權范圍內的信息流向以及方式。在信息交流過程結束后，通信雙方不能抵賴曾經做出的行為，也不能否認曾經接收到對方的信息。網(wǎng)絡信息安全面臨的問題因特網(wǎng)的基石是TCP/IP協(xié)議簇，該協(xié)議簇在實現(xiàn)上力求效率，而沒有考慮安全因素，因為那樣無疑增大代碼量，從而降低了TCP/IP的運行效率，所以說TCP/IP本身在設計上就是不安全的。很容易被竊聽和欺騙：大多數(shù)因特網(wǎng)上的流量是沒有加密的，電子郵件口令、文件傳輸很容易被監(jiān)聽和劫持。很多基于TCP/IP的應用服務都在不同程度上存在著安全問題，這很容易被一些對TCP/IP十分了解的人所利用，一些新的處于測試階級的服務有更多的安全缺陷。缺乏安全策略：許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被內部人員濫用，黑客從一些服務中可以獲得有用的信息，而網(wǎng)絡維護人員卻不知道應該禁止這種服務。配置的復雜性：訪問控制的配置一般十分復雜，所以很容易被錯誤配置，從而給黑客以可乘之機。TCP/IP是被公布于世的，了解它的人越多被人破壞的可能性越大?，F(xiàn)在，銀行之間在專用網(wǎng)上傳輸數(shù)據(jù)所用的協(xié)議都是保密的，這樣就可以有效地防止入侵。當然，人們不能把TCP/IP和其實現(xiàn)代碼保密，這樣不利于TCP/IP網(wǎng)絡的發(fā)展。進人2006年以來，網(wǎng)絡罪犯采用翻新分散式阻斷服務(DDOS)攻擊的手法，用形同互聯(lián)網(wǎng)黃頁的域名系統(tǒng)服務器來發(fā)動攻擊，擾亂在線商務。寬帶網(wǎng)絡條件下，常見的拒絕服務攻擊方式主要有兩種，一是網(wǎng)絡黑客蓄意發(fā)動的針對服務和網(wǎng)絡設備的DDOS攻擊。二是用蠕蟲病毒等新的攻擊方式，造成網(wǎng)絡流量急速提高，導致網(wǎng)絡設備崩潰，或者造成網(wǎng)絡鏈路的不堪負重。調查資料顯示，2006年初發(fā)現(xiàn)企業(yè)的系統(tǒng)承受的攻擊規(guī)模甚于以往，而且來源不是被綁架的“僵尸”電腦，而是出自于域名系統(tǒng)(DNS)服務器。一旦成為DDOS攻擊的目標，目標系統(tǒng)不論是網(wǎng)頁服務器、域名服務器，還是電子郵件服務器，都會被網(wǎng)絡上四面八方的系統(tǒng)傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統(tǒng)正常的信息處理，借以切斷攻擊目標對外的連線。黑客常用“僵尸”電腦連成網(wǎng)絡，把大量的查詢要求傳至開放的DNS服務器，這些查詢信息會假裝成被巨量信息攻擊的目標所傳出的，因此DNS服務器會把回應信息傳到那個網(wǎng)址。美國司法部的一項調查資料顯示，1998年3月到2005年2月期間，82%的人侵者掌握授權用戶或設備的數(shù)據(jù)。在傳統(tǒng)的用戶身份認證環(huán)境下，外來攻擊者僅憑盜取的相關用戶身份憑證就能以任何臺設備進人網(wǎng)絡，即使最嚴密的用戶認證保護系統(tǒng)也很難保護網(wǎng)絡安全。另外，由于企業(yè)員工可以通