ImageVerifierCode 换一换
格式:DOCX , 页数:27 ,大小:222.99KB ,
资源ID:25193991      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/25193991.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(电子商务6.docx)为本站会员(b****9)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

电子商务6.docx

1、电子商务6第六章 电子商务安全技术随着Internet的发展,电子商务已经成为人们进行商务活动的新模式。电子商务的发展给人们的工作和生活带来了新的尝试和便利,也带来了无限商机,前景十分诱人。但是,很多商业机构对网上运作的安全问题存在忧虑。在竞争激烈的市场环境下,电子商务的一些信息可能属于商业机密,一旦信息失窃,企业的损失将不可估量。因此,在运用电子商务模式进行贸易活动的过程中,安全问题就成为最核心的问题,也是电子商务得以顺利进行的保障。电子商务安全包括有效保障通信网络、信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。本章重点内容:电子商务安全的现状防火墙技术和病毒防

2、范技术加密技术、数字签名技术和数字时间戳技术认证技术电子商务安全协议:SSL协议和SET协议。6.1电子商务安全概述6.1.1电子商务安全现状Internet的产生源于计算机资源共享的需求。由于它良好的开放性,信息资源的丰富性以及与传统贸易方式和专业增值网络(VAN)相比相对低廉的费用,使企业越来越青睐Internet。现在,通过Intranet(企业内部网)、Extranet(企业外部网)和Internet把贸易合作伙伴联系起来进行商务活动已经成为一种时尚。正是由于Internet的开放性,使它产生了更严重的安全问题。虽然互联网起源于军事网络,但是美国国防高级研究项目中心建造网络的主要目的不

3、是为安全传输,而是提供多条路径来传输关键的军事信息。互联网发展到今天,在有力地推动社会发展的同时,面临着越来越严重的威胁和攻击,通过Internet非法获取信息的次数和数量与Internet本身一样都在快速增长,病毒、黑客等成为与Internet一样流行的词汇。据统计,网络数据被窃取和破坏造成的直接经济损失每年至少有几十亿美元。电子商务中的安全隐患主要体现在下列几方面:(1)信息的窃取 如果没有采取加密措施或加密强度不够,攻击者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。(2)信息的篡改 当攻击者掌

4、握了网络信息格式和规律以后,通过各种技术方法和手段对网络传输的信息在中途修改,然后发往目的地,从而破坏信息的完整性。这种破坏手段主要有三个方面:1)篡改改变信息流的次序,更改信息的内容,如购买商品的发货地址;2)删除删除某个消息或消息的某些部分;3)插入在消息中插入一些信息,让接收方读不懂或接收错误的信息。(3)信息的假冒 当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以冒充合法用户发送假冒的信息或主动窃取信息。主要有两种方式:一是伪造电子邮件,虚开网站给用户发电子邮件,收订货单;伪造大量用户,发电子邮件耗尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响

5、应;伪造用户,发大量的电子邮件,窃取商家的商品信息和用户信用等信息。另外一种为假冒他人身份,如冒充领导发布命令、调阅密件;冒充他人消费、栽赃;冒充主机欺骗合法用户;冒充网络控制程序,套取或修改使用权限、密钥等信息;接管合法用户,欺骗系统,占用合法用户的资源。(4)交易的抵赖 交易抵赖包括多个方面,如发送方事后否认曾经发送过某条信息或内容;接收方事后否认曾经收到过某条消息或内容;购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。由于电子商务是在开放的网络上进行的,支付信息、订货信息、谈判信息、机密的商务往来文件等大量商务信息在计算机系统中存放、传输和处理,因此,导致了对电子商务

6、安全的需求,保证商务信息的安全是进行电子商务的前提。6.1.2电子商务安全需求要保证电子商务活动的安全可靠,真正实现一个安全的电子商务系统,一般来说,电子商务安全有以下需求:1.保密性商务信息直接代表着个人、企业或国家的商业秘密,传统的纸面贸易都是通过邮寄封装的信件,或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。因此要预防非法的信息存取和信息在传输过程中被非法窃取。保密性主要是使信息发送和接收在安全的通道进行,保证通信双方的信息保密;交易的参与方在信息交换过程中没有被窃听的危险;非参与方不能获取交易的

7、信息。信息加密和防火墙技术主要解决这方面的问题。2.正确性和完整性。信息的正确性和完整性问题要从两方面来考虑。一方面是非人为因素,如因传输介质损坏而引起的信息丢失、错误等。这类问题通常通过校验来解决,一旦校验出错误,接收方可向发送方请求重发。另一方面则是人为因素,主要是指非法用户对信息的恶意篡改。这方面的安全性也是由信息加密和提取信息的数字摘要来保证的,因为如果无法破译信息,也就很难篡改。3.身份的确定性由于电子商务交易系统的特殊性,交易通常都是在虚拟的网络环境中进行的,要使交易成功,首先要能确认对方的身份,所以对各主体进行身份认证成了电子商务中十分重要的一个环节,这意味着当交易主体在不见面的

8、情况下声称具有某个特定的身份时,需要有身份鉴别服务提供一种方法来验证其声明的正确性,一般通过认证机构和数字证书来实现。4.不可抵赖性在传统贸易中,贸易双方通过在合同或贸易单据等书面文件上手写签名或印章来鉴别对方身份,确定合同、单据的可靠性,并预防抵赖行为的发生。采用电子商务后,用电子方式谈判、签约、结算,因此要在交易信息的传输过程中为交易主体提供可靠的标识,防止抵赖行为的发生。可通过对发送的消息进行数字签名来解决这个问题。因此,要安全地开展电子商务活动,针对信息的真实性、完整性、保密性和身份的认证,以及交易的不可抵赖性,必须采取一系列的网络安全和交易安全措施和技术。6.2网络安全技术网络安全技

9、术是伴随着网络的产生而出现的,但直到上一世纪80年代末才引起关注,90年代后网络防护与网络攻击之间的斗争开始愈加激烈。频繁出现的安全问题引起了各国计算机安全领域的高度重视,计算机网络安全技术也因此出现了日新月异的变化,越来越高深复杂的安全技术从不同层次加强了计算机网络的整体安全性。6.2.1防火墙技术1.防火墙的概念防火墙(Firewall)是Internet上广泛应用的一种安全措施的形象说法。它是指两个网络之间执行访问控制策略(允许、拒绝、检测)的一系列部件的组合,包含硬件和软件,目的是保护网络不被他人侵扰。如图6-1所示。图6-1防火墙的概念防火墙是不同网络之间信息的唯一出口,能根据企业网

10、络安全策略控制出入网络的信息流且本身具有较强的抗攻击能力。防火墙可通过检测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽内部的信息、结构和运行状况,以此来实现网络的安全。它作为一种访问控制机制,通常采用两种准则进行设计:一切未被允许的就是禁止的。一切未被禁止的就是允许的。前者是在默认情况下禁止所有服务,后者是在默认情况下允许所有服务。在逻辑上,防火墙是一个分离器、一个限制器、一个分析器,有效的监控了内部网和Internet之间的任何活动,保证了内部网络的安全。2.防火墙技术的优缺点:防火墙技术有助于提高计算机系统总体的安全性,其优点体现在以下几个方面:(1)防火墙是网络安全的屏障 防火墙能

11、极大的提高内部网络的安全性,并能通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护的网络,保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。(2)控制对主机系统的访问 防火墙有能力控制对主机系统的访问。例如,某些主机系统可以由外部网络访问,而其他主机系统则被有效的封闭起来,防止有害的访问。通过配置防火墙,允许外部主机访问WWW服务器和FTP服务器,而禁止外部主机对内部网络上其他系统的访问。(3)监控和设计网络访问 如果所有的访问都经过防火墙,那么防火墙

12、就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提示网络是否收到监测和攻击的详细信息。(4)防止内部信息的外泄 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。另外,使用防火墙可以隐蔽那些会泄露内部细节的服务,如Finger、DNS等。(5)部署NAT机制 防火墙可以部署NAT机制,用来缓解地址空间短缺的问题,也可以隐藏内部网络的结构。尽管防火墙有上述这些优点,但它不一定是Internet安全问题的灵丹妙药,因为其本身也存在许多缺点:(1)限制使用合乎需要的服

13、务 防火墙最明显的缺点是它可能封锁用户所需的某些服务,如TELNET、FTP、NFS等。但这一缺点并不是防火墙所独有的。对主系统的多级限制也会产生这个问题。(2)后门访问的广泛可能性 防火墙不能防护从后门进入网点。例如,如果对调制解调器不加限制,仍然许可访问由防火墙保护的网点,那么攻击者可以有效地跳过防火墙。调制解调器的速度现在快到足以使SLIP(串行线IP)和PPP(点对点协议)切实可行。在受保护子网内SLIP和PPP连接在本质上是另一个网络连接点和潜在的后门。如果允许调制解调器从后门访问,那么前门的防火墙又有什么用呢?(3)几乎不能防护来自内部的攻击 虽然防火墙可以用来防护局外人获取敏感的

14、数据,但它不能防止内部人员将数据拷贝到磁盘上,并把数据带出。因此,如果忽略其他窃取数据或攻击系统的手段,把大量资源存放在防火墙上也是不明智的。(4)其他问题病毒:防火墙不能防止用户从Internet中下载受病毒感染的程序,或把这些程序附加到电子邮件上传输出去。由于这些程序可能以各种方法编码或压缩,因而防火墙不能精确地对这些程序进行扫描来搜寻病毒特征,必须用其他政策和抗病毒控制措施进行处理。吞吐量:防火墙是一种潜在的瓶颈,所有的连接都必须通过防火墙,许多信息都要经过检查,信息的传递可能要受到传输速率的影响。集中性:防火墙系统把安全性集中在一点上,而不是把它分布在各系统间,防火墙受损可能会对子网上

15、其他保护不力的系统造成巨大的损害。3.防火墙的类型防火墙有多种类型,大体上可以分为两类:一类基于分组过滤(Packet Filter,或称为包过滤),如分组过滤路由器和应用层网关;另一类基于代理服务(Proxy Service),如应用层代理服务器。二者的区别在于:基于分组过滤的防火墙通常直接转发报文,对用户完全透明,速度较快;而基于代理的防火墙则是通过代理服务来建立连接,它有更强的身份认证和日志功能。(1)分组过滤 是一种简单有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。

16、分组过滤技术的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。(2)代理服务 是运行于内部网络与外部网络之间的主机之上的一种应用。当用户需要访问代理服务器另一侧主机时,对符合安全规则的连接,代理服务器会代替主机响应,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。对于用户而言,似乎是直接与外部网络相连的,代理服务器对用户透明。由于代理机制完

17、全阻断了内部网络与外部网络的直接联系,保证了内部网络拓扑结构等重要信息被限制在代理网关内侧,不会外泄,从而减少了黑客攻击时必要信息。同时,内部网络到外部的服务连接也可以受到监控,代理服务程序可以将所有通过它的连接做出日志记录,以便对安全漏洞检查和收集相关的信息。代理服务器的应用也受到诸多限制。首先是当一项新的应用加入时,如果代理服务程序不予支持,则此应用不能使用。其次,它只能抵御经由防火墙的攻击,不能防止内部应用软件所携带的数据和病毒或其他方式的袭击,也不能对内部计算机系统未授权的物理袭击提供安全保证。目前,比较完善的防火墙系统通常结合使用两种技术。代理服务可以大大降低分组过滤规则的复杂度,是

18、分组过滤技术的重要补充。6.2.2病毒防范措施1.计算机病毒的概念早在1949年,计算机的先驱者冯诺伊曼在他的论文复杂自动机组织论中提出,计算机程序能够在内存中自我复制,即把病毒程序的特征勾勒出来,但在当时,绝大部分的计算机专家都无法想象这种会自我繁殖的程序是可能的。计算机病毒的概念是由FredCoben在1983年11月3日的一次计算机安全学术讨论会上首次提出的。当时,他对计算机病毒的定义是:能够通过修改程序,把自身复制进去进而“传染”其他程序的程序。1987年10月,世界上第一例计算机病毒Brain在美国发现,并以强劲的势头蔓延开来。与此同时,世界各地的计算机用户也开始发现了形形色色的计算

19、机病毒。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒一般具有以下特征:(1)传染性 病毒程序一进入计算机系统,就开始寻找准备感染的其它程序或文件。它通过自我复制,很快地会在其他文件中添加自己的病毒代码,使其带有这种病毒,并成为一个新的传染源,甚至通过网络传播到其它的计算机上。这是病毒的最基本特征。(2)隐蔽性 计算机病毒都是一些可以直接或间接运行、具有高超技巧的程序,它可以隐藏在操作系统、可执行程序或数据文件中,病毒的存在、传染和对数据的破坏过程不易被计算机操作人员发现。(3)触发性 病毒的发作一般都

20、有一个激发条件,即一个条件控制。这个条件根据病毒编制者的要求可以是日期、时间、特定程序的运行或程序的运行次数条件等。(4)破坏性 病毒在触发条件满足时,立即对计算机系统运行进行干扰或对数据进行恶意的修改。如发一些恶意邮件或破坏硬盘上的文件,造成数据丢失,有的甚至会损坏计算机硬件,造成系统瘫痪。2.计算机病毒的分类现在每天大概要产生30种至50种病毒,病毒总数已经达到8万多种。因此,需要对它们进行一个比较详细的分类以便快速识别。病毒的分类方法较多,主要有以下六类:(1)按病毒依赖的操作系统分类 计算机病毒可分为DOS病毒、Windows病毒、Unix病毒、Linux病毒等。(2)按病毒特有的算法

21、分类1)伴随型病毒,这类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体。当加载文件时,伴随体优先执行,再加载执行原来的文件。2)“蠕虫”病毒,这类病毒是一种网络病毒,利用网络从一台主机传播到其他主机。它们一般不改变文件和资料信息,而是自动计算网络地址,不断复制自身,通过网络发送。3)寄生型病毒,除了以上两种,其它均为寄生型病毒。它们依附在系统的引导扇区和文件中,通过系统的功能进行传播。(3)按病毒的破环方式分类 病毒可分为无害型、危害型、危险型、非常危险型。(4)按病毒的寄生方式分类1)文件型病毒,主要以感染文件扩展名为.COM、.EXE和.OVL等可执行文件为主。它的安装必须借助于

22、病毒的载体程序,需要运行病毒的载体程序,才能把文件型病毒引入内存。2)引导型病毒,感染软盘的引导区以及硬盘的主引导记录或者引导扇区。它是在BIOS启动之后,系统引导时出现的病毒,其先于操作系统,依托的环境是BIOS中断服务。3)混合型病毒,兼具引导型病毒和文件型病毒的特性,可以传染.COM、.EXE等可执行文件,也可以传染磁盘的引导区。计算机一旦被传染此类病毒,就会经开机或执行程序而感染其他的磁盘或文件。因此,此类病毒有相当大的感染性,很难清除干净。(5)按病毒的传染方法分类1)驻留型病毒,此类病毒感染计算机后,把自身的内存驻留部分放在内存中,这一部分程序挂接系统调用并合并到操作系统中,它一直

23、处于激活状态,直到计算机关机或重新启动。2)非驻留型病毒,在得到机会激活时并不感染计算机内存。一些在内存中留有小部分,但是并不通过这一部分进行传染的病毒也属于非驻留型病毒。(6)按病毒的连接方式分类1)源码型病毒,该病毒攻击高级语言编写的程序,在源程序编译之前就插入其中。被感染的源程序再编译、链接和生成可执行文件时便已经带病毒。2)嵌入型病毒,这种病毒将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击对象以插入的方式链接。这种病毒只攻击特定程序,针对性强。3)外壳病毒,这种病毒将自身依附在正常程序的开头和结尾,对原来的程序不作修改。大部分文件病毒属于这一种。4)操作系统型病毒,可用其自身部

24、分加入或取代部分操作系统进行工作,具有很强的破坏性。当然,计算机病毒的分类还有其他的分法,例如按攻击的程度分,按寄生方式分等。因此,同一种病毒可以有不同的分法。3.计算机病毒的防治计算机病毒可以说是无孔不入,因此,对于计算机病毒的防范可以从以下几个方面进行:(1)用户的角度 计算机病毒防治要采取“预防为主,防治结合”的方针,关键是做好预防工作。预防工作从宏观上来讲是一个系统工程,国家应当健全法律法规来惩治病毒制造者,这样可减少病毒的产生;各级单位应当制定出一套具体措施,以防止病毒的相互传播;个人不仅要遵守病毒防治的有关规定,还应不断增长知识,积累防治病毒的经验,不制造病毒,不传播病毒。要有效地

25、阻止病毒的危害,用户要及早发现病毒,并将其消除,堵塞传播途径是防止计算机病毒侵入的有效方法。根据病毒传染途径,做一些经常性的病毒检测工作,既可将病毒的入侵率降低到最低限度,同时也可将病毒造成的危害减少到最低限度。(2)技术的角度 病毒的防治技术总是在与病毒的较量中得到发展的。总的来讲,计算机病毒的防治技术分成四个方面,即预防、检测、清除和免疫。1)病毒的预防技术:是指通过一定的技术手段防止病毒对系统进行传染和破坏,它通过自身常驻系统内存优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作尤其是写操作,以达到保护系统的目的。计算机病毒的

26、预防技术主要包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。2)病毒的检测技术:是指通过一定的技术手段判定出病毒的一种技术。病毒检测技术主要有两种,一种是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术;另一种是不针对具体病毒程序的自身检验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地根据保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段的完整性已遭到破坏,从而检测到病毒的存在。3)病毒清除技术:计算机病毒的清除是计算机病毒检测的延伸,是在检测发现特定的病毒基础上

27、,根据具体病毒的清除方法从感染的程序中除去计算机病毒代码并恢复文件的原有结构信息。现在很多杀病毒软件是把检测和杀毒同时进行了,目前常用的杀病毒软件有:NortonAntiVirus、Kv3000、金山毒霸、瑞星等。4)病毒免疫技术:这一技术目前没有很大发展。针对某一种病毒的免疫方法已没有人再用了,而目前还没有出现通用的能对各种病毒都有免疫作用的技术,也许根本就不存在这样一种技术。现在,某些反病毒程序使用给可执行程序增加保护性外壳的方法,能在一定程度上起保护作用。6.3加密技术电子商务信息的保密性、真实性和完整性可以通过加密技术来实现。加密技术是一种主动的信息安全防范措施,其原理是将数据进行编码

28、,使它成为一种难以识别的形式,从而阻止非法用户获取和理解原始数据。6.3.1密码学基础知识密码学是保密学的一个分支,是对存储和传送的信息加以隐藏和保护的一门学问。在密码学中,原始消息称为明文,加密结果称为密文。数据加密和解密是逆过程,加密是用加密算法和加密密钥,将明文变换成密文;解密是用解密算法和解密密钥将密文还原成明文。加密技术包括两个要素:算法和密钥。其中,算法是经过精心设计的加密或解密的一套处理过程,它是一些公式、法则或者程序。对明文进行加密时采用加密算法,对密文进行解密时采用解密算法。在加密或解密过程中算法的操作需要一串数字的控制,这样的参数叫做密钥,相应的分为加密密钥和解密密钥。数据

29、加密是保护数据传输安全唯一实用的方法和保护存储数据安全的有效方法。早在公元前50年,古罗马的凯撒在高卢战争中就采用过加密方法。我们用最简单的凯撒密码来说明一个加密系统的构成。它的原理是把每个英文字母向前推x位,如x=3,即字母a,b,c,d,x,y,z分别变为d,e,f,g,a,b,c。例如要发送的明文为Caesarwasagreatsolider,则对应的密文为Fdhvduzdvdjuhdwvroglhu。这个简单的例子说明了加密技术的构成:明文被character+3算法转换成密文,解密的算法是反函数character-3,其中算法为character+x,x是起密钥作用的变量,此处x是3

30、。加密技术从原理上可分为两类:对称密钥加密技术和非对称密钥加密技术。它们的主要区别在于所使用的加密和解密的密钥是否相同。1对称密钥加密技术对称密钥也称私钥、单钥或专有密钥,在这种技术中,加密方和解密方使用同一种加密算法和同一个密钥。对称加密的算法是公开的,在前面的例子中,可以把算法character+x告诉所有要交换信息的对方,但要对每个消息使用不同的密钥,某一天这个密钥可能是3,而第二天则可能是9。交换信息的双方采用相同的算法和同一个密钥,将简化加密解密的处理,加密解密速度快是对称加密技术的最大优势,但双方要交换密钥,密钥管理困难是一个很大的问题,因此密钥必须与加密的消息分开保存,并秘密发送

31、给接收者。如果能够确保密钥在交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法来实现。目前最具代表性的对称密钥加密算法是美国数据加密标准DES(Data Encryption Standard)。DES算法是IBM公司研制的,被美国国家标准局和国家安全局选为数据加密标准并于1977年颁布使用,后被国际标准化组织ISO认定为数据加密的国际标准。DES算法使用的密钥长度为64位(实际为56位,有8位用于奇偶校验),加密时把一个64位二进制数转变成以56位变量为基础的、唯一的64位二进制值。解密的过程和加密时相似,但密钥的顺序正好相反。DES的保密性仅取决于对密钥的保密,而算法是公开的。

32、破译密钥唯一可行的方法就是用所有可能的密钥进行尝试,穷举搜索。一般来说,密钥位数越长,被破译的可能性就越小。例如,一个4位的密钥具有2的4次方即16种不同的密钥,顺序列举16种密钥就可以将其破译。而DES的56位密钥存在2的56次方种的可能性,因此有人认为DES是万无一失的,但实际并非如此。1997年美国RSA数据安全公司在RSA安全年会上举办了一个密钥挑战竞赛,悬赏一万美金破译DES算法。克罗拉多州的一个程序员用了96天的时间,在Internet数万名志愿者的协同工作下,成功地找到了DES的密钥。这一事件表明依靠Internet的计算能力,用穷举搜索法破译DES已成为可能。从而使人们认识到随着计算能力的增长,必须相应地增加算法的密钥长度。2非对称密钥加密技术非对称密钥加密技术也称为公开密钥加密技术,是由安全问题专家WitefieldDiffre和MartinHellman于1976年首次提出的。这种技术需要使用一对密钥来分别完成加密和解密操作,每个用户都有一对密钥,一个私钥(P

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1