內(nèi)容摘要：本文通過對私有密鑰加密法和公開密鑰加密法的算法原理進(jìn)行分析,闡述了兩種加密法在網(wǎng)絡(luò)支付中的具體應(yīng)用過程,并對兩種加密法的優(yōu)缺點(diǎn)進(jìn)行了比較。

　　對數(shù)據(jù)進(jìn)行有效加密與解密,稱為密碼技術(shù),即數(shù)據(jù)機(jī)密性技術(shù)。其目的是為了隱蔽數(shù)據(jù)信息,將明文偽裝成密文,使機(jī)密性數(shù)據(jù)在網(wǎng)絡(luò)上安全地傳遞而不被非法用戶截取和破譯。偽裝明文的操作稱為加密,合法接收者將密文恢復(fù)出原明文的過程稱為解密,非法接收者將密文恢復(fù)出原明文的過程稱為破譯。密碼是明文和加密密鑰相結(jié)合,然后經(jīng)過加密算法運(yùn)算的結(jié)果。加密包括兩個(gè)元素,加密算法和密鑰。加密時(shí)所使用的信息變換規(guī)則稱為加密算法,是用來加密的數(shù)學(xué)函數(shù),一個(gè)加密算法是將普通的文本(或者可以理解的信息)與一串字符串即密鑰結(jié)合運(yùn)算,產(chǎn)生不可理解的密文的步驟。密鑰是借助一種數(shù)學(xué)算法生成的,它通常是由數(shù)字、字母或特殊符號組成的一組隨機(jī)字符串,是控制明文和密文變換的唯一關(guān)鍵參數(shù)。對于相同的加密算法,密鑰的位數(shù)越多,破譯的難度就越大,安全性就越好。目前,電子商務(wù)通信中常用的有私有(對稱)密鑰加密法和公開(非對稱)密鑰加密法。

　　一、私有密鑰加密法

　　(一)定義

　　私有密鑰加密,指在計(jì)算機(jī)網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時(shí),發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用同樣的一把密鑰A對收到的密文M進(jìn)行解密,得到明文信息,從而完成密文通信目的的方法。這種信息加密傳輸方式,就稱為私有密鑰加密法。上述加密法的一個(gè)最大特點(diǎn)是,信息發(fā)送方與信息接收方均需采用同樣的密鑰,具有對稱性,所以私有密鑰加密又稱為對稱密鑰加密。

　　(二)使用過程

　　具體到電子商務(wù),很多環(huán)節(jié)要用到私有密鑰加密法。例如,在兩個(gè)商務(wù)實(shí)體或兩個(gè)銀行之間進(jìn)行資金的支付結(jié)算時(shí),涉及大量的資金流信息的傳輸與交換。這里以發(fā)送方甲銀行與接收方乙銀行的一次資金信息傳輸為例,來描述應(yīng)用私有密鑰加密法的過程:銀行甲借助專業(yè)私有密鑰加密算法生成私有密鑰A,并且復(fù)制一份密鑰A借助一個(gè)安全可靠通道(如采用數(shù)字信封)秘密傳遞給銀行乙;銀行甲在本地利用密鑰A把信息明文加密成信息密文;銀行甲把信息密文借助網(wǎng)絡(luò)通道傳輸給銀行乙;銀行乙接受信息密文;銀行乙在本地利用一樣的密鑰A把信息密文解密成信息明文。這樣銀行乙就知道銀行甲的資金轉(zhuǎn)賬通知單的內(nèi)容,結(jié)束通信。

　　(三)常用算法

　　世界上一些專業(yè)組織機(jī)構(gòu)研發(fā)了許多種私有密鑰加密算法,比較著名的有DES算法及其各種變形、國際數(shù)據(jù)加密算法IDEA 等。DES算法由美國國家標(biāo)準(zhǔn)局提出, 1977年公布實(shí)施,是目前廣泛采用的私有密鑰加密算法之一,主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)賬、軍事定點(diǎn)通信等領(lǐng)域,比如電子支票的加密傳送。經(jīng)過20多年的使用,已經(jīng)發(fā)現(xiàn)DES很多不足之處,隨著計(jì)算機(jī)技術(shù)進(jìn)步,對DES的破解方法也日趨有效,所以更安全的高級加密標(biāo)準(zhǔn)AES將會替代DES成為新一代加密標(biāo)準(zhǔn)。

　　(四)優(yōu)缺點(diǎn)

　　私有密鑰加密法的主要優(yōu)點(diǎn)是運(yùn)算量小,加解密速度快,由于加解密應(yīng)用同一把密鑰而應(yīng)用簡單。在專用網(wǎng)絡(luò)中由于通信各方相對固定、所以應(yīng)用效果較好。但是,私有密鑰加密技術(shù)也存在著以下一些問題:一是分發(fā)不易。由于算法公開,其安全性完全依賴于對私有密鑰的保護(hù)。因此,密鑰使用一段時(shí)間后就要更換,而且必須使用與傳遞加密文件不同的途徑來傳遞密鑰,即需要一個(gè)傳遞私有密鑰的安全秘密渠道,這樣秘密渠道的安全性是相對的,通過電話通知、郵寄軟盤、專門派人傳送等方式均存在一些問題。二是管理復(fù)雜,代價(jià)高昂。私有密鑰密碼體制用于公眾通信網(wǎng)時(shí),每對通信對象的密鑰不同,必須由不被第三者知道的方式,事先通知對方。隨著通信對象的增加,公眾通信網(wǎng)上的密碼使用者必須保存所有通信對象的大量的密鑰。這種大量密鑰的分配和保存,是私有密鑰密碼體制存在的最大問題。三是難以進(jìn)行用戶身份的認(rèn)定。采用私有密鑰加密法實(shí)現(xiàn)信息傳輸,只是解決了數(shù)據(jù)的機(jī)密性問題,并不能認(rèn)證信息發(fā)送者的身份。若密鑰被泄露,如被非法獲取者猜出,則加密信息就可能被破譯,攻擊者還可用非法截取到的密鑰,以合法身份發(fā)送偽造信息。在電子商務(wù)中,有可能存在欺騙,別有用心者可能冒用別人的名義發(fā)送資金轉(zhuǎn)賬指令。因此,必須經(jīng)常更換密鑰,以確保系統(tǒng)安全。四是采用私有密鑰加密法的系統(tǒng)比較脆弱,較易遭到不同密碼分析的攻擊。五是它僅能用于對數(shù)據(jù)進(jìn)行加解密處理,提供數(shù)據(jù)的機(jī)密性,不能用于數(shù)字簽名。

　　二、公開密鑰加密法

　　(一)定義與應(yīng)用原理

　　公開密鑰加密法是針對私有密鑰加密法的缺陷而提出來的。是電子商務(wù)應(yīng)用的核心密碼技術(shù)。所謂公開密鑰加密,就是指在計(jì)算機(jī)網(wǎng)絡(luò)上甲、乙兩用戶之間進(jìn)行通信時(shí),發(fā)送方甲為了保護(hù)要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對信息進(jìn)行加密而形成密文M并發(fā)送給接收方乙,接收方乙用另一把密鑰B對收到的密文M進(jìn)行解密,得到明文信息完密文通信目的的方法。由于密鑰A、密鑰B這兩把密鑰中其中一把為用戶私有,另一把對網(wǎng)絡(luò)上的大眾用戶是公開的,所以這種信息加密傳輸方式,就稱為公開密鑰加密法。與私有(對稱)密鑰加密法的加密和解密用同一把密鑰的原理不同,公開密鑰加密法的加密與解密所用密鑰是不同的,不對稱,所以公開私有密鑰加密法又稱為非對稱密鑰加密法。

　　公開密鑰加密法的應(yīng)用原理是:借助密鑰生成程序生產(chǎn)密鑰A與密鑰B,這兩把密鑰在數(shù)學(xué)上相關(guān),對稱作密鑰對。用密鑰對其中任何一個(gè)密鑰加密時(shí),可以用另一個(gè)密鑰解密,而且只能用此密鑰對其中的另一個(gè)密鑰解密。在實(shí)際應(yīng)用中,某商家可以把生成的密鑰A與密鑰B做一個(gè)約定,將其中一把密鑰如密鑰A保存好,只有商家自己知道并使用,不與別人共享,叫作私人密鑰;將另一把密鑰即密鑰B則通過網(wǎng)絡(luò)公開散發(fā)出去,誰都可以獲取一把并能應(yīng)用,屬于公開的共享密鑰,叫做公開密鑰。如果一個(gè)人選擇并公布了他的公鑰,其他任何人都可以用這一公鑰來加密傳送給那個(gè)人的消息。私鑰是秘密保存的,只有私鑰的所有者才能利用私鑰對密文進(jìn)行解密,而且非法用戶幾乎不可能從公鑰推導(dǎo)出私鑰。存在下面兩種應(yīng)用情況:一是任何一個(gè)收到商家密鑰B 的客戶,都可以用此密鑰B 加密信息,發(fā)送給這個(gè)商家,那么這些加密信息就只能被這個(gè)商家的私人密鑰A解密。實(shí)現(xiàn)保密性。二是商家利用自己的私人密鑰A對要發(fā)送的信息進(jìn)行加密進(jìn)成密文信息,發(fā)送給商業(yè)合作伙伴,那么這個(gè)加密信息就只能被公開密鑰B解密。這樣,由于只能應(yīng)用公開密鑰B解密,根據(jù)數(shù)學(xué)相關(guān)關(guān)系可以斷定密文的形成一定是運(yùn)用了私人密鑰A進(jìn)行加密的結(jié)果,而私人密鑰A只有商家擁有,由此可以斷定網(wǎng)上收到的密文一定是擁有私人密鑰A的商家發(fā)送的。

　　(二)使用過程

　　具體到電子商務(wù),很多環(huán)節(jié)要用到公開密鑰加密法,例如在網(wǎng)絡(luò)銀行客戶與銀行進(jìn)行資金的支付結(jié)算操作時(shí),就涉及大量的資金流信息的安全傳輸與交換。以客戶甲與乙網(wǎng)絡(luò)銀行的資金信息傳輸為例,來描述應(yīng)用公開密鑰加密法在兩種情況下的使用過程。首先,網(wǎng)絡(luò)銀行乙通過公開密鑰加密法的密鑰生成程序,生成自己的私人密鑰A與公開密鑰B并數(shù)學(xué)相關(guān),私人密鑰A由網(wǎng)絡(luò)銀行乙自己獨(dú)自保存,而公開密鑰B 已經(jīng)通過網(wǎng)絡(luò)某種應(yīng)用形式(如數(shù)字證書)分發(fā)給網(wǎng)絡(luò)銀行的眾多客戶,當(dāng)然客戶甲也擁有一把網(wǎng)絡(luò)銀行乙的公開密鑰B。

　　1、客戶甲傳送一“支付通知”給網(wǎng)絡(luò)銀行乙,要求“支付通知”在傳送中是密文,并且只能由網(wǎng)絡(luò)銀行乙解密知曉,從而實(shí)現(xiàn)了定點(diǎn)保密通信?？蛻艏桌毛@得的公開密鑰B 在本地對“支付通知”明文進(jìn)行加密,形成“支付通知”密文,通過網(wǎng)絡(luò)將密文傳輸給網(wǎng)絡(luò)銀行乙。網(wǎng)絡(luò)銀行乙收到“支付通知”密文后,發(fā)現(xiàn)只能用自己的私人密鑰A進(jìn)行解密形成“支付通知”明文,斷定只有自己知曉“支付通知”的內(nèi)容,的確是發(fā)給自己的。

　　2、網(wǎng)絡(luò)銀行乙在按照收到的“支付通知”指令完成支付轉(zhuǎn)賬服務(wù)后, 必須回送客戶甲“支付確認(rèn)”,客戶甲在收到“支付確認(rèn)”后,斷定只能是網(wǎng)絡(luò)銀行乙發(fā)來的,而不是別人假冒的,將來可作支付憑證,從而實(shí)現(xiàn)對網(wǎng)絡(luò)銀行業(yè)務(wù)行為的認(rèn)證,網(wǎng)絡(luò)銀行不能隨意否認(rèn)或抵賴。網(wǎng)絡(luò)用戶乙在按照客戶甲的要求完成相關(guān)資金轉(zhuǎn)賬后,準(zhǔn)備一個(gè)“支付確認(rèn)”明文,在本地利用自己的私人密鑰A對“支付確認(rèn)”明文進(jìn)行加密,形成“支付確認(rèn)”密文,通過網(wǎng)絡(luò)將密文傳輸給客戶甲?？蛻艏资盏?ldquo;支付確認(rèn)”密文后,雖然自己有許多密鑰,有自己的,也有別人的,卻發(fā)現(xiàn)只能用獲得的網(wǎng)絡(luò)銀行乙的公開密鑰B 進(jìn)行解密,形成“支付確認(rèn)”明文,由于公開密鑰B 只能解密由私人密鑰A加密的密文,而私人密鑰A只有網(wǎng)絡(luò)銀行乙所有,因此客戶甲斷定這個(gè)“支付確認(rèn)”只能是網(wǎng)絡(luò)銀行乙發(fā)來的,不是別人假冒的,可作支付完成的憑證。

　　(三)算法

　　當(dāng)前最著名、應(yīng)用最廣泛的公開密鑰系統(tǒng)是RSA (取自三個(gè)創(chuàng)始人的名字的第一個(gè)字母)算法。目前電子商務(wù)中大多數(shù)使用公開密鑰加密法進(jìn)行加解密和數(shù)字簽名的產(chǎn)品和標(biāo)準(zhǔn)使用的都是RSA算法。RSA算法是基于大數(shù)的因子分解,而大數(shù)的因子分解是數(shù)學(xué)上的一個(gè)難題,其難度隨數(shù)的位數(shù)加多而提高。

　　(四)優(yōu)缺點(diǎn)

　　優(yōu)點(diǎn)是可以在不安全的媒體上通信雙方交換信息,不需共享通用密鑰,用于解密的私鑰不需發(fā)往任何地方,公鑰在傳遞與發(fā)布過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲公鑰也沒有意義。

　　能夠解決信息的否認(rèn)與抵賴問題,身份認(rèn)證較為方便。密鑰分配簡單,公開密鑰可以像電話號碼一樣,告訴每一個(gè)網(wǎng)絡(luò)成員,商業(yè)伙伴需要好好保管的只是一個(gè)私人密鑰。而且密鑰的保存量比起私人密鑰加密少得多,管理較為方便。最大的缺陷就在于它的加解密速度。

　　三、兩種加密法的比較

　　通過DES算法和RSA算法的比較說明公開密鑰加密法和私有密鑰加密法的區(qū)別:在加密、解密的處理效率方面, DES算法明顯優(yōu)于RSA 算法, 即DES算法快得多;在密鑰的分發(fā)與管理方面, RSA算法比DES算法更加優(yōu)越;在安全性方面,只要密鑰夠長,如112b密鑰的DES算法和1024b的RSA算法的安全性就很好,目前還沒找到在可預(yù)見的時(shí)間內(nèi)破譯它們的有效方法;在簽名和認(rèn)證方面,DES算法從原理上不可能實(shí)現(xiàn)數(shù)字簽名和身份認(rèn)證,但RSA算法能夠方便容易的進(jìn)行數(shù)字簽名和身份認(rèn)證。

　　基于以上比較的結(jié)果可以看出,私有密鑰加密法與公開密鑰加密法各有長短,公開密鑰加密在簽名認(rèn)證方面功能強(qiáng)大,而私有密鑰加密在加/解密速度方面具有很大優(yōu)勢。為了充分發(fā)揮對稱加密法和非對稱加密法各自的優(yōu)點(diǎn),在實(shí)際應(yīng)用中通常將這兩種加密法結(jié)合在一起使用,比如:利用DES來加密信息,而采用RSA 來傳遞對稱加密體制中的密鑰。這樣不僅數(shù)據(jù)信息的加解密速度快,同時(shí)保障了密鑰傳遞的安全性。數(shù)據(jù)加密技術(shù)是信息安全的基本技術(shù),在網(wǎng)絡(luò)中使用的越來越廣泛。針對不同的業(yè)務(wù)要求可以設(shè)計(jì)或采取不同的加密技術(shù)及實(shí)現(xiàn)方式。另外還要注意的是,數(shù)據(jù)加密技術(shù)所討論的安全性只是暫時(shí)的,因此還要投入對密碼技術(shù)新機(jī)制、新理論的研究才能滿足不斷增長的信息安全需求。