【正文】 為數(shù)字指紋 (Finger Print)， 它有固定的長度 。 實(shí)現(xiàn)數(shù)字簽名的方法很多 ， 但利用公開密鑰加密技術(shù)的數(shù)字簽名是應(yīng)用得最廣泛的一種 ， 基于公開密鑰加密系統(tǒng)和數(shù)字摘要技術(shù) ， 可以實(shí)現(xiàn)數(shù)字簽名 。 五 加密技術(shù)的應(yīng)用 數(shù)字簽名技術(shù) 數(shù)字簽名技術(shù)是證明文件作者的身份和信息從發(fā)送者到接受者的傳輸中沒有被破壞的唯一數(shù)值 。 所以 ， 它不適合對(duì)文件加密而只適合對(duì)少量數(shù)據(jù)加密 。 DIFFILE— HELLMAN 和 RSA 加密系統(tǒng)在算法上的差別不大 ， 在實(shí)際應(yīng)用中 ， 都具有同等的保密性 。 在一個(gè) 256 位的密碼系統(tǒng)中 ， N 將是一個(gè)至少 300位的數(shù) ； 3． 找一個(gè)小于 N的 E， 使 E 和 (P1)*(Q1)互質(zhì) ； 4． 計(jì)算出 D， 使 E*D=1MOD (P1)*(Q1)。 以 RSA 為例 ，它既可用于加密又可用于驗(yàn)證 。 公開密鑰加密是一種基于數(shù)學(xué)理論的大素?cái)?shù)因數(shù)分解的技術(shù) ， 通常采用隨機(jī)法產(chǎn)生并進(jìn)行素性檢查 。 其中 ， 公開密鑰是公開的 ， 私有密鑰則由擁有者保存 。 在使用時(shí)需要兩個(gè)密鑰 ， 即公開密鑰 (Public Ket)和私有密鑰 (Pruvate Key)。 另外 ， 在電子商務(wù)中 ， 采用這種加密方法無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方 。 此外 ， RC4 也是一種比較通用的對(duì)稱型加密算法 。 將加密后地?cái)?shù)據(jù)傳送給接受方后 ， 接受方采用同樣的64 位密鑰對(duì)數(shù)據(jù)進(jìn)行解密 ， 使數(shù)據(jù)恢復(fù)正常 。 秘密密鑰算法的突出代表是 1977 年美國頒布的 DES (Date Encryption Standard， 即數(shù)據(jù)加密標(biāo)準(zhǔn) )技術(shù) ， 它被廣泛地應(yīng)用于商業(yè)和金融業(yè)中 。 秘密密鑰系統(tǒng) 秘密密鑰又叫單密鑰 ， 或會(huì)話密鑰 (Session key)， 屬于對(duì)稱性加密系統(tǒng) 。這兩種算法各有其短處和長處，在下面將 通過常見的兩種密鑰系統(tǒng)來 作出詳細(xì)的分析。但其算法復(fù)雜，加密數(shù)據(jù)的速率較低。最有影響的公鑰密碼算法是 RSA，它能抵抗到目前為止已知的所有密碼攻擊，而最近勢(shì)頭正勁的 ECC 算法正有取代 RSA 的趨勢(shì)。其特征是收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)解密密鑰。因此，其密鑰3 管理成為系統(tǒng)安全的重要因素。在眾多的常規(guī)密碼中影響最大的是 DES 密碼，而最近美國 NIST（國家標(biāo)準(zhǔn)與技術(shù)研究所）推出的 AES 將有取代 DES 的趨勢(shì)，后文將作出詳細(xì)的分析。安照國際上通行的慣例，將這近 200種方法按照雙方收發(fā)的密鑰是否相同的標(biāo)準(zhǔn)劃分為兩大類：一種是常規(guī)算法（也叫私鑰加密 算法或?qū)ΨQ加密算法），其特征是收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價(jià)的。而實(shí)現(xiàn)這種轉(zhuǎn)化的算法標(biāo)準(zhǔn)，據(jù)不完全統(tǒng)計(jì)，到現(xiàn)在為止已經(jīng)有近 200 多種。而含有用來以數(shù)學(xué)方式轉(zhuǎn)換報(bào)文的雙重密碼就是密鑰。而這些以無法讀懂的形式出現(xiàn)的數(shù)據(jù)一般被稱為密文。從這個(gè)意義上講 ， 加密信息中的一切秘密都寓于密鑰之中 。 將明文加密成密文的的規(guī)則叫加密算法 。 因此 ， 加密可以有效地對(duì)抗截收、非法訪問數(shù)據(jù)庫竊取信息等的威脅 。 加密是通過一種復(fù)雜的方式將信息變成不規(guī)則的加密信息 。 而這些技術(shù)的實(shí)施都和電子商務(wù)的核心 ——— 加密技術(shù) ， 有著直接或間接的關(guān)系 。 為滿足電子商務(wù)活動(dòng)的這 些要求 ， 人們必須對(duì)電子商務(wù)活動(dòng)采取一系列的安全控制 。 歸納起來 ， 電子商務(wù)安全的問題主要為 ： 1． 信息在網(wǎng)絡(luò)的傳輸過程中被截獲 ， 被竄改 ； 2． 虛開網(wǎng)站和商店 ， 偽造電子郵件 ； 3． 假冒他人身份進(jìn)行電子商務(wù)活動(dòng) ； 4． 商務(wù)活動(dòng)的參與者對(duì)自己行為的抵賴 (不承認(rèn) )。 二 電子商務(wù)安全的主要威脅和安全控制的內(nèi)容 由于電子商務(wù)是在網(wǎng)上互不見面的操作 ， 沒有國界 ， 沒有時(shí)間限制 ， 這和傳統(tǒng)的商務(wù)活動(dòng)有著本質(zhì)的不同 。加密技術(shù)也就是利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）。 良好的信譽(yù) ， 可靠的交易 環(huán)境才能讓眾多的企業(yè)和消費(fèi)者支持電子商務(wù) ， 否則電子商務(wù)便只能是 擺設(shè)，有其物而無用途。世界上許多企業(yè)都把 21 世紀(jì)的業(yè)務(wù)增長點(diǎn)放在了電子商務(wù)上 。 關(guān)鍵詞 ： 電子商務(wù) ； 安全性 ； 加密技術(shù) ； 密鑰 一 緒 論 近年來 ， 網(wǎng)絡(luò)技術(shù)和電子商務(wù)迅猛發(fā)展 ， 人們?cè)诰W(wǎng)絡(luò)上進(jìn)行購買書籍、股票炒作、資金運(yùn)作等等的活動(dòng)越來越多 。通過比較對(duì)稱密鑰加密體制和公開密鑰加密體制的優(yōu)缺點(diǎn)，總結(jié)出在電子商務(wù)中應(yīng)采 用混合密鑰加密體制，既保證數(shù)據(jù)安全，又可提高加密和解密速度。該文論述和分析了加密技術(shù)及其在電子商務(wù)安全方面的應(yīng)用現(xiàn)狀。 (6) 謝辭 (6) 結(jié)束語 (6) 六 全文總結(jié) (5) 電子商務(wù)的安全協(xié)議 (5) 認(rèn)證機(jī)制 (4) 數(shù)字時(shí)間戳 (3) 數(shù)字簽名技術(shù) (2) 加密 (2) 密碼機(jī)制 (1) 三 密碼機(jī)制和加密 目 錄 摘要 如何保證數(shù)據(jù)傳輸?shù)陌踩院徒灰渍呱矸莸恼鎸?shí)性就成為推廣應(yīng)用電子商務(wù)的關(guān)鍵問題。國家的經(jīng)濟(jì)體制與秩序安全，金融與貨幣安全，產(chǎn)業(yè)與市場(chǎng)安全，戰(zhàn)略物質(zhì)與能源安全，對(duì)外貿(mào)易與投資安全就不能在越來越作為國家經(jīng)濟(jì)運(yùn)行支柱的數(shù)字化、網(wǎng)絡(luò)化環(huán)境中得到有效保障。前 言 電子商務(wù)安全是電子商務(wù)的生存保障：在 Inter 環(huán)境開展電子商務(wù)，客戶、商家、銀行等諸多參與者都會(huì)擔(dān)心自己的利益是否能夠真正得到保障。只有保證了電子商務(wù)的安全，才能夠吸引更多的社會(huì)公眾投身電子商務(wù)；它是幫助市場(chǎng)游戲規(guī)則順利實(shí)施的前提：因?yàn)槭袌?chǎng)競(jìng)爭(zhēng)規(guī)則強(qiáng)調(diào)的是公平、公正和公開，如果無法保證市場(chǎng)交易的安全，可能導(dǎo)致非法交易或者損害合法交易的利益；它是保證電子虛擬市場(chǎng)交易順利發(fā)展的前提：因?yàn)殡m然網(wǎng)上交易可以降低交易費(fèi)用，但如果網(wǎng)上交易安全性無法得到保證，造成合法交易雙方利益的損失，可能導(dǎo)致交易雙方為規(guī) 避風(fēng)險(xiǎn)選擇傳統(tǒng)的更安全交易方式；電子商務(wù)涉及國家經(jīng)濟(jì)安全：作為國家基本經(jīng)濟(jì)活動(dòng)的商務(wù)活動(dòng)如果受到破壞、攻擊，產(chǎn)生混亂，社會(huì)生活就不得安寧。 Inter 是一個(gè)開放系統(tǒng)，透明度極高，既不安全，又不可信，使電子商務(wù)中存在許多安全問題。電子商務(wù)安全主要表現(xiàn)在交易信息的真 實(shí)性、機(jī)密性、完整性、可用性、不可否認(rèn)性、可控性等方面，必須采取采取一系列的安全技術(shù)，如加密技術(shù)、數(shù)字簽名、身份認(rèn)證、密鑰管理、安全協(xié)議，其中加密技術(shù)是一個(gè)極其關(guān)鍵的環(huán)節(jié)。 (1) 一 緒論 (1) 二 電子商務(wù)安全的主要威脅和安全控制的內(nèi)容 (2) 四 密鑰系統(tǒng) (3) 秘密密鑰系統(tǒng) (3) 公開密鑰系統(tǒng) (3) 五 加密技術(shù)的應(yīng)用 (7) 參考文獻(xiàn) (8) 1 因特網(wǎng)電子商務(wù)中加密技術(shù)的研究 摘 要 電子商務(wù)是現(xiàn)代商業(yè)方法，其安全性是保證其順利開展的前提。在對(duì)稱加密體制方面，重點(diǎn)討論了DES 算法，給出了其在密鑰管理、安全應(yīng)用方面存在的問題；在非對(duì)稱加密體制方面，重點(diǎn)研究 RSA 及其應(yīng)用中存在的問題。從而使電子商務(wù)能夠公平、合理、安全的在互聯(lián)網(wǎng)上進(jìn)行。 通過互聯(lián)網(wǎng)實(shí)現(xiàn)的商業(yè)銷售正以成十倍、百倍的速度增長 。 面對(duì)互聯(lián)網(wǎng)上眾多的信息 ，怎樣才能分辨交易的真?zhèn)?， 信息的真假 ?顯然為使電子商務(wù)正常運(yùn)作 ， 網(wǎng)絡(luò)安全的重要性已不言而喻 。 由于數(shù)據(jù)在傳輸過程中有可能遭到攻擊者的竊聽而失去保密信息，加密技術(shù)是電子商務(wù)采取的主要保密安全措施，是最常用的保密安全手段。 加密技術(shù)是對(duì)信息進(jìn)行加密和解密的技術(shù)，加密是把原來可讀信息（又稱明文）譯成代碼形式（又稱密文），其逆過程就是解密。 與此同時(shí) ， 電子商務(wù)在利用互聯(lián)網(wǎng)的資源和工具進(jìn)行訪問時(shí) ， 也給本身帶來一些安全隱患 。 因此 ， 在電子商務(wù)活動(dòng)中就提出一系列的要求 ： 信息要有保密性 ， 數(shù)據(jù)傳輸要有完整性、非偽裝性 ， 電子商務(wù)活動(dòng)的不可2 否認(rèn)、不可修改以及第三方必備的審查能力 。首先 ， 電子商務(wù)的關(guān)鍵在于強(qiáng)大的、不可破譯的 ， 至少是極難破譯的密碼技術(shù) ， 其次采取了數(shù)字證實(shí)技術(shù) ， 第三 ， 采用數(shù)字現(xiàn)金技術(shù) (解決與傳統(tǒng)商務(wù)活動(dòng)中類似的個(gè)人信息隱私問題 )。 三 密碼機(jī)制和加密 密碼機(jī)制 采用密碼技術(shù)對(duì)信息加密是最常用的安全交易手段 ， 是電子商務(wù)安全的基礎(chǔ) 。 主要目的是防止信息的非授權(quán)泄密 ，從譜分析的角度 看 ， 加聲音變成噪聲 ， 把圖象變成雪花點(diǎn) ， 既使攻擊者得到經(jīng)過加密的信息即密文 ， 也無法辨認(rèn)原文 。 一般將在計(jì)算機(jī)間進(jìn)行傳輸?shù)目啥男畔⒔忻魑?， 經(jīng)過加密的不懂的信息叫密文 。 加密算法是一些數(shù)學(xué)公式、法則或程序 ， 算法中的可變參數(shù)是密鑰 ， 算法設(shè)計(jì)總是相對(duì)穩(wěn)定的 ， 可靠的加密系統(tǒng)應(yīng)當(dāng)不怕公開它的加密算法 。 加密 在分析加密的各種形式之前，我們首先要了解什么是加密：所謂加 密就是通過密碼算術(shù)對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)化，使之成為沒有正確密鑰任何人都無法讀懂的報(bào)文。為了讀懂報(bào)文，密文必須重新轉(zhuǎn)變?yōu)樗淖畛跣问?明文。在這種情況下即使一則信息被截獲并閱讀，這則信息也是毫無利用價(jià)值的。在這里，我主要介紹幾種重要的標(biāo)準(zhǔn)。比較著名的常規(guī)密碼算法有：美國的 DES 及其各種變形，比如 3DES、 GDES、 New DES 和 DES 的前身 Lucifer； 歐洲的 IDEA；日本的FEAL N、 、 Skipjack、 RC RC5 以及以代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。常規(guī)密碼的優(yōu)點(diǎn)是有很強(qiáng)的保密強(qiáng)度，且經(jīng)受住時(shí)間的檢驗(yàn)和攻擊，但其密鑰必須通過安全的途徑傳送。另外一種是公鑰加密算法（也叫非對(duì)稱加密算法）。比較著名的公鑰密碼算法有： RSA、背包密碼、 Mc Eliece密碼、 Diffe Hellman、 Rabin、 Ong Fiat Shamir、零知識(shí)證明的算法、橢圓曲線、 EIGamal 算法等等。公鑰密碼的優(yōu)點(diǎn)是可以適應(yīng)網(wǎng)絡(luò)的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證。盡管如此，隨著現(xiàn)代電子技術(shù)和密碼技術(shù)的發(fā)展，公鑰密碼算法將是一種很有前途的網(wǎng)絡(luò)安全加密體制。 四 密鑰系統(tǒng) 密鑰分為兩種 ， 一種叫秘密密鑰系統(tǒng) ， 一種叫公開密鑰系統(tǒng) 。 其特點(diǎn)是數(shù)據(jù)的加密方和接受方使用同一個(gè)密鑰 ， 即文件的加密和解密用的是同一個(gè)秘密密鑰 。 DES 用密鑰對(duì) 64 位二進(jìn)制信息加密 ，其中 56位為有效位 ， 8 位為校驗(yàn)位 。 后來 ， DES 產(chǎn)生出一種變形 ， 叫三重 DES，這種方法使用兩個(gè)獨(dú)立的 56 位密鑰對(duì)交換的信息 (如 EDI)進(jìn)行 3 次加密 ， 從而使其有效密鑰長度達(dá)到 112 位 。 秘密密鑰系統(tǒng)的主要缺點(diǎn)在于密鑰難于管理 ， 由于必須為 Inter 的個(gè)人或團(tuán)體創(chuàng)建不同的單一密鑰 ， 使得用戶擁有密鑰的數(shù)量非常龐大 ， 久而久之 ， 管理密鑰變得非常困難 。 秘密密鑰的加密、解密過程如圖 ： 圖（ 1） 公開密鑰系統(tǒng) 4 公開密鑰采用的是非對(duì)稱 加密算法 。 加密算法和解密算法使用各自的密鑰 。 當(dāng)一個(gè)密鑰進(jìn)行加密時(shí) ， 只有相對(duì)應(yīng)的另一個(gè)密鑰能夠解密 ， 即發(fā)送方用公開 (秘密 )密鑰加密后 ， 接受方只能用秘密 (公開 )密鑰解密 。 常用的公開密鑰系統(tǒng)加密算法有 RSA 和 DIFFIE— HELLMAN。 其基本 原理如下四步 ： 1． 找兩個(gè)非常的大的質(zhì)數(shù) ： P和 Q； 2． 算出 N (公共模量 )如 N=P*Q。 這里面公開密鑰為 (E， N)， 秘密密鑰為 (D， N)。 公開密鑰的加密、解密過程如下圖 ： 圖（ 2） 公開密鑰加密非常復(fù)雜 ， 運(yùn)算速度很慢 ， 加、解密同樣數(shù)據(jù)的時(shí)間是秘密密鑰的 1000倍 。 在實(shí)際中 ， 通常將這兩種密鑰一起使用 ， 以達(dá)到更好的效果 。 在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中 ， 都要用到數(shù)字簽名 。 數(shù)字摘要也是一種加密方法 ， 又稱安全 Hash編碼法 (Secure Hash Algorithm)或 MD5(MD 5 Standards for message Digest)。 Hash 函數(shù)對(duì)發(fā)送數(shù)據(jù)的雙方都是公開的 ， 發(fā)送者用自己的私有密鑰對(duì)數(shù)字摘要進(jìn)行加密 ，就形成了數(shù)字簽名 。 常用的數(shù)字簽名有 RSA簽名和 DSS 簽名 。 時(shí)間戳是一個(gè)經(jīng)過加密后形成的憑證文檔 ， 它包括三個(gè)部分 ： (1)需要加時(shí)間戳的文件摘要 ； (2) DTS 收到文件的日期和時(shí)間 ； (3) DTS 的數(shù)字簽名 。 通常 DTS加密時(shí)將摘要信息歸并到二叉樹的數(shù)據(jù)結(jié)構(gòu) ， 再將二叉樹的根值發(fā)表在報(bào)紙或其它公開刊物上 ， 這樣就為文件發(fā)表時(shí)間提供了更有效的佐證〔 2〕 。 數(shù)字證書是由權(quán)威機(jī)構(gòu)發(fā)放的用來證明身份的事物 。 它代表的是一種信譽(yù) ， 一種依據(jù) ， 一種安全交易的保障 。 CA是承擔(dān)網(wǎng)上認(rèn)證服務(wù) ， 能簽發(fā)數(shù)字證書并能確認(rèn)用戶身份的受大家信任的第三方機(jī)原文 數(shù)字摘要 數(shù)字簽名 私有密鑰 MD5 RSA 6 構(gòu) 。 如美國的 VeriSing 公司 。