Bootstrap

对称加密与非对称加密

2、对称加密与非对称加密

对称加密,或专用密钥(也称做常规加密)由通信双方共享一个秘密密钥。

发送方在进行数学运算时使用密钥将明文加密成密文。接受方使用相同的密

钥将密文还原成明文。RSA RC4算法,数据加密标准(DES),国际数据加密

算法(IDEA)以及Skipjack加密技术都属于对称加密方式。

非对称加密,当发送信息时,

发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,

这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,

也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。

公用密钥加密技术允许对信息进行数字签名。数字签名使用发送发送一方的

专用密钥对所发送信息的某一部分进行加密。接受方收到该信息后,使用发

送方的公用密钥解密数字签名,验证发送方身份。在对称加密(或叫单密钥

加密)中,只有一个密钥用来加密和解密信息。尽管单密钥加密是一个简单

的过程,但是双方都必须完全的相信对方,并都持有这个密钥的备份。但要

达到这种信任的级别并不是想像中的那么简单。当双方试图建立信任关系时

可能一个安全破坏已经发生了。首先密钥的传输就是一个重要问题,如果它

被截取,那么这个密钥以及相关的重要信息就没有什么安全可言了。非对称

加密在加密的过程中使用一对密钥,而不像对称加密只使用一个单独的密钥

。一对密钥中一个用于加密,另一个用来解密。重要的概念是在这对密钥中一个密钥用来公用

,另一个作为私有的密钥;用来向外公布的叫做公钥,另一半需要安全保护

的是私钥。非对称加密的一个缺点就是加密的速度非常慢,因为需要强烈的

数学运算程序。如果一个用户需要使用非对称加密,那么即使比较少量的信

息可以也要花上几个小时的时间。  非对称加密的另一个名称叫公钥加密

。尽管私钥和公钥都有与数学相关的,但从公钥中确定私钥的值是非常困难

的并且也是非常耗时的。在互联网上通信,非对称加密的密钥管理是容易的

因为公钥可以任易的传播,私钥必须在用户手中小心保护。

3、电子签名

要理解什么是电子签名,需要从传统手工签名或盖印章谈起。在传统商务交

易中,为了保证交易的安全与真实,一份书面合同或公文需要由当事人或负

责人签字或盖章,以便让交易双方识别是谁签的合同,并能保证签字或盖章

的人认可合同的内容,在法律上才能承认这份合同是有效的。而在电子商务

的虚拟世界中,合同或文件是以电子文件的形式表现和传递的,在电子文件

上,传统的手写签名和盖章是无法进行的,这就必须依靠技术手段来替代。

从法律上讲,签名有两个功能:即标识签名人和表示签名人对文件内容的认

可。因此联合国贸发会的《电子签名示范法》中对电子签名作如下定义:"

指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据

它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息

。";而在欧盟的《电子签名共同框架指令》中对电子签名的定义是:"以电

子形式所附或在逻辑上与其他电子数据相关的数据,作为一种判别的方法"

。不同的法律对电子签名的定义可能有所不同,但其实质是一样的。因此,

能够在电子文件中识别双方交易人的真实身份,保证交易的安全性和真实性

以及不可抵赖性,起到与手写签名或者盖章同等作用的电子技术手段,即可

称之为电子签名。

  实现电子签名的技术手段目前有多种,比如基于公钥密码技术的数字签

名;或用一个独一无二的以生物特征统计学为基础的识别标识,例如手印、

声音印记或视网膜扫描的识别;手书签名和图章的电子图象的模式识别;表

明身份的密码代号(对称算法);基于量子力学的计算机等等。但比较成熟

的,世界先进国家目前普遍使用的电子签名技术还是基于PKI的数字签名技

术。由于制定法律的技术中立性原则,目前电子签名法中所提到的签名,一

般指的就是"数字签名"。它是电子签名的一种特定形式。

  所谓数字签名就是利用通过某种密码运算生成的一系列符号及代码组成

电子密码进行"签名",来代替书写签名或印章,对于这种电子式的签名在技

术上还可进行算法验证,其验证的准确度是在物理世界中与手工签名和图章

的验证是无法相比的。数字签名在ISO7498-2标准中定义为:附加在数据单

元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数

据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,

防止被人(例如接收者)进行伪造。美国电子签名标准(DSS,FIPS186-2)

对数字签名作了如下解释:利用一套规则和一个参数对数据计算所得的结果

,用此结果能够确认签名者的身份和数据的完整性。根据这些定义,数字签

名已成为目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最

强的一种电子签名方法。它是采用了规范化的程序和科学化的方法,用于鉴

定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文

在传输过程中有无变动,确保传输数据的完整性、真实性和不可抵赖性。

国内的认证中心:上海CA、广东CA等

4、数字证书

由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地

获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用

的风险. 为了保证互联网上电子交易及支付的安全性,保密性等,防范交易

及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电

子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被

进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上

验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。

它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行

的,人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证

的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其

作用是至关重要的。

数字证书也必须具有唯一性和可靠性。为了达到这一目的,需要采用很多技

术来实现。通常,数字证书采用公钥体制,即利用一对互相匹配的密钥进行

加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥

),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,

为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方

使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息

就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可

逆过程,即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理

问题,用户可以公开其公开密钥,而保留其私有密钥。

数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部

分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要

的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个

数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证

中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数

字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不

同级别的可信度。可以从证书发行机构获得您自己的数字证书。

目前的数字证书类型主要包括:个人数字证书、单位数字证书、单位员工数

字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。

随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展,数字

证书开始广泛地应用到各个领域之中,目前主要包括:发送安全电子邮件、

访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、

网上缴费、网上缴税、网上炒股、网上购物和网上报关等。

;