对称加密与非对称加密
2、对称加密与非对称加密
对称加密,或专用密钥(也称做常规加密)由通信两方共享一个秘密密钥。
发送方在进行数学运算时使用密钥将明文加密成密文。接受方使用同样的密
钥将密文还原成明文。RSA RC4算法,数据加密标准(DES),国际数据加密
算法(IDEA)以及Skipjack加密技术都属于对称加密方式。
非对称加密,当发送信息时,
发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,
这样,信息就能够安全无误地到达目的地了,即使被第三方截获,因为没有对应的私钥,
也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即仅仅实用私有密钥才干解密。
公用密钥加密技术同意对信息进行数字签名。数字签名使用发送发送一方的
专用密钥对所发送信息的某一部分进行加密。接受方收到该信息后,使用发
送方的公用密钥解密数字签名,验证发送方身份。在对称加密(或叫单密钥
加密)中,仅仅有一个密钥用来加密和解密信息。虽然单密钥加密是一个简单
的过程,可是两方都必须全然的相信对方,并都持有这个密钥的备份。但要
达到这样的信任的级别并非想像中的那么简单。当两方试图建立信任关系时
可能一个安全破坏已经发生了。首先密钥的传输就是一个重要问题,假设它
被截取,那么这个密钥以及相关的重要信息就没有什么安全可言了。非对称
加密在加密的过程中使用一对密钥,而不像对称加密仅仅使用一个单独的密钥
。一对密钥中一个用于加密,还有一个用来解密。重要的概念是在这对密钥中一个密钥用来公用
,还有一个作为私有的密钥;用来向外发布的叫做公钥,还有一半须要安全保护
的是私钥。非对称加密的一个缺点就是加密的速度很慢,由于须要强烈的
数学运算程序。假设一个用户须要使用非对称加密,那么即使比較少量的信
息能够也要花上几个小时的时间。 非对称加密的还有一个名称叫公钥加密
。虽然私钥和公钥都有与数学相关的,但从公钥中确定私钥的值是很困难
的而且也是很耗时的。在互联网上通信,非对称加密的密钥管理是easy的
由于公钥能够任易的传播,私钥必须在用户手中小心保护。
3、电子签名
要理解什么是电子签名,须要从传统手工签名或盖印章谈起。在传统商务交
易中,为了保证交易的安全与真实,一份书面合同或公文须要由当事人或负
责人签字或盖章,以便让交易两方识别是谁签的合同,并能保证签字或盖章
的人认可合同的内容,在法律上才干承认这份合同是有效的。而在电子商务
的虚拟世界中,合同或文件是以电子文件的形式表现和传递的,在电子文件
上,传统的手写签名和盖章是无法进行的,这就必须依靠技术手段来替代。
从法律上讲,签名有两个功能:即标识签名人和表示签名人对文件内容的认
可。因此联合国贸发会的《电子签名示范法》中对电子签名作例如以下定义:"
指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据
它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息
。";而在欧盟的《电子签名共同框架指令》中对电子签名的定义是:"以电
子形式所附或在逻辑上与其它电子数据相关的数据,作为一种判别的方法"
。不同的法律对电子签名的定义可能有所不同,但事实上质是一样的。因此,
可以在电子文件里识别两方交易人的真实身份,保证交易的安全性和真实性
以及不可抵赖性,起到与手写签名或者盖章同等作用的电子技术手段,就可以
称之为电子签名。
实现电子签名的技术手段眼下有多种,比方基于公钥password技术的数字签
名;或用一个独一无二的以生物特征统计学为基础的识别标识,比如手印、
声音印记或视网膜扫描的识别;手书签名和图章的电子图象的模式识别;表
明身份的password代号(对称算法);基于量子力学的计算机等等。但比較成熟
的,世界先进国家眼下普遍使用的电子签名技术还是基于PKI的数字签名技
术。因为制定法律的技术中立性原则,眼下电子签名法中所提到的签名,一
般指的就是"数字签名"。它是电子签名的一种特定形式。
所谓数字签名就是利用通过某种password运算生成的一系列符号及代码组成
电子password进行"签名",来取代书写签名或印章,对于这样的电子式的签名在技
术上还可进行算法验证,其验证的精确度是在物理世界中与手工签名和图章
的验证是无法相比的。数字签名在ISO7498-2标准中定义为:附加在数据单
元上的一些数据,或是对数据单元所作的password变换,这样的数据和变换同意数
据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,
防止被人(比如接收者)进行伪造。美国电子签名标准(DSS,FIPS186-2)
对数字签名作了例如以下解释:利用一套规则和一个參数对数据计算所得的结果
,用此结果可以确认签名者的身份和数据的完整性。依据这些定义,数字签
名已成为眼下电子商务、电子政务中应用最普遍、技术最成熟、可操作性最
强的一种电子签名方法。它是採用了规范化的程序和科学化的方法,用于鉴
定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文
在传输过程中有无变动,确保数据传输的完整性、真实性和不可抵赖性。
国内的认证中心:上海CA、广东CA等
4、数字证书
因为Internet网电子商务系统技术使在网上购物的顾客可以极其方便轻松地
获得商家和企业的信息,但同一时候也添加了对某些敏感或有价值的数据被滥用
的风险. 为了保证互联网上电子交易及支付的安全性,保密性等,防范交易
及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求參加电
子商务的买方和卖方都必须拥有合法的身份,而且在网上可以有效无误的被
进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上
验证您身份的方式,其作用相似于司机的驾驶执照或日常生活中的身份证。
它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行
的,人们能够在互联网交往中用它来识别对方的身份。当然在数字证书认证
的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其
作用是至关重要的。
数字证书也必须具有唯一性和可靠性。为了达到这一目的,须要採用非常多技
术来实现。通常,数字证书採用公钥体制,即利用一对互相匹配的密钥进行
加密、解密。每一个用户自己设定一把特定的仅为本人全部的私有密钥(私钥
),用它进行解密和签名;同一时候设定一把公共密钥(公钥)并由本人公开,
为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方
使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息
就能够安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可
逆过程,即仅仅实用私有密钥才干解密。公开密钥技术攻克了密钥公布的管理
问题,用户能够公开其公开密钥,而保留其私有密钥。
数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部
分个人身份信息传送给认证中心。认证中心在核实身份后,将运行一些必要
的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个
数字证书,该证书内包括用户的个人信息和他的公钥信息,同一时候还附有认证
中心的签名信息。用户就能够使用自己的数字证书进行相关的各种活动。数
字证书由独立的证书发行机构公布。数字证书各不同样,每种证书可提供不
同级别的可信度。能够从证书发行机构获得您自己的数字证书。
眼下的数字证书类型主要包含:个人数字证书、单位数字证书、单位员工数
字证书、server证书、VPN证书、WAP证书、代码签名证书和表单签名证书。
随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展,数字
证书開始广泛地应用到各个领域之中,眼下主要包含:发送安全电子邮件、
訪问安全网站、网上招标投标、网上签约、网上订购、安全网上公文传送、
网上缴费、网上缴税、网上炒股、网上购物和网上报关等。