电子商务_04电子商务实现技术.ppt

? 1．物理层 对称密钥加密体制 对称密钥加密体制又称为私钥加密体制或单钥加密体制。这种加密体制的典型代表是美国的数据加密标准DES（Data Encrytion Standard），是由IBM公司在七十年代发展起来的，并经政府的加密标准筛选后，于1976年11月被美国政府采用，DES随后被美国国家标准局和美国国家标准协会承认。 DES算法使用的密钥长度为64位，其中有效长度为56位，8位用于奇偶校验。加密时把明文以64位为单位分成块，使用密钥对64位的数据块进行加密，并对64位的数据块进行16轮编码。在每轮编码时，一个48位的“每轮”密钥值由56位的完整密钥得出来。DES的保密性取决于密钥的保密，而算法是公开的，密钥管理成为影响系统安全的关键性因素。DES算法具有极高安全性，到目前为止，除了用穷举搜索法对DES算法进行攻击外，还没有发现更有效的办法。 非对称密钥加密体制 非对称密钥加密体制又称为公钥加密体制或双钥加密体制。这种加密体制使用两个不同的密钥：一个用来加密信息，称为加密密钥；另一个用来解密信息，称为解密密钥。用户把加密密钥公开，因此加密密钥也称为公开密钥，简称公钥。解密密钥保密，因此解密密钥也称为私有密钥，简称私钥，这两个密钥称为密钥对。如果用公钥对信息进行加密，则只有用对应的私钥才能解密；反之，若用私钥对信息进行加密，则必须用对应的公钥才能解密。密钥对是数学相关的，用某用户的加密密钥加密后所得的密文只能用该用户的解密密钥才能解密。因而要求用户的私钥不能透露给自己不信任的任何人。非常著名的PGP公钥加密以及RSA加密方法都是非对称加密算法。 非对称密钥加密与对称密钥加密相比，其优势在于不需要一把共享的通用密钥，用于解密的私钥不发往任何地方，这样，即使公钥被截获，因为没有与其匹配的私钥，截获的公钥对入侵者来说也是没有任何用处的。公钥加密的另一个用处是身份验证。如果某一方用私钥加密了一条信息，拥有公钥拷贝的任何人都能对其解密，接收者由此可以知道这条信息确实来自于拥有私钥的人一方。 密钥的安全分发是保证实现有效加密的重要环节。 对称加密密钥的分发：实现对称密钥加密必须保证信息发送方与信息接收方之间通过安全通道分发对称密钥。因此对称密钥加密不适合用在公共网络上许多事先互不认识的通信者之间的信息传送。 非对称密钥加密中公钥的分发：适合于公共网络上事务处理业务中分发公钥的方法有使用公钥数据库管理公钥和使用认证公钥的数字证书等。使用公钥数据库管理公钥适合于参与通信的用户比较少的情况。每个用户必须建立一个公钥数据库储存与他通信的用户的公钥。使用数字证书是一种更易安全分发公钥的方式。数字证书中基本包括证书持有人的个人信息、公钥以及证书签发者对这些信息的数字签名和证书签发者的数字证书。因为数字证书是由第三方签发的，所以确认数字证书持有人身份和从该证书获取证书持有人的公钥，需要信任数字证书的签发者。 密钥的安全是保证密钥有效的重要前提。对称密钥与非对称密钥加密方法中的私钥的密钥长度一般比较长，因此必须使用保密模块来保存这些密钥。用户使用这些密钥前必须被保密模块认证。保密模块可以是纯软件产品、纯硬件产品、软件和硬件结合的产品等。 公钥基础设施（Public Key Infrastructure —— PKI）是以公钥加密技术为基本技术手段实现安全性的技术。简单地说，它是一个利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架。PKI是由加拿大Entrust公司开发的，支持SET协议、SSL协议、电子证书和数字签名等。PKI技术的主要目的，就是为更好地管理在Internet网络中广泛使用的密钥和数字证书。也就是说，利用PKI技术来管理在开放网络环境中使用的公开密钥和数字证书，对一个公司或企业来说，可以建立一个相对安全和值得信赖的网络环境。PKI技术中最主要的安全技术包括两个方面：公钥加密技术、数字签名技术。公钥加密技术可以提供信息的保密性和访问控制的有效手段，它保证了利用公钥加密后的数据，如果没有提供相应的私钥来解密的话，窃密者即使获得密文也难以知晓其中的内容。而数字签名技术则为我们提供了在网络通信之前相互认证的有效方法、在通信过程中保证信息完整性的可靠手段、以及在通信结束之后防止双方相互抵赖的有效机制。而这些功能和手段的获得，就要通过PKI的密钥管理技术来实现。 建立一个有实际使用价值的PKI网络安全环境，必须满足以下几个基本条件。 （1）能够签发基于公钥密码体制的数字证书； （2）具有数字证书的存取环境和途径； （3）能够进行证书作废处理； （4）实现密钥备份和恢复； （5）支持不可否认的数字