4.5　數(shù)據(jù)加密

隨著電子商務(wù)的快速發(fā)展，企業(yè)許多重要的數(shù)據(jù)也隨之存放在計算機或網(wǎng)絡(luò)硬盤里，但企業(yè)一旦連上網(wǎng)絡(luò)，一份未經(jīng)加密處理的商業(yè)數(shù)據(jù)或文字資料在網(wǎng)絡(luò)上進(jìn)行傳輸時，任何“有心人士”都能夠隨手取得，并且一覽無遺。因此，在網(wǎng)絡(luò)上，對于有價值的數(shù)據(jù)，在傳送前必須先將原始的數(shù)據(jù)內(nèi)容以事先定義好的算法、表達(dá)式或編碼方法轉(zhuǎn)換成不具任何意義或者不能直接辨讀的代碼，這個處理過程就是“加密”（Encrypt）。數(shù)據(jù)在加密前稱為“明文”（Plaintext），經(jīng)過加密后則稱為“密文”（Ciphertext）。

經(jīng)過加密的數(shù)據(jù)在送抵目的端后，必須經(jīng)過“解密”（Decrypt）的過程才能還原成原來的內(nèi)容，而這個過程中用于加／解密的“密碼”則稱為“密鑰”（Key）。數(shù)據(jù)加密和解密的流程如圖4-16所示。

4.5.1　對稱密鑰加密系統(tǒng)

“對稱密鑰加密”（Symmetrical Key Encryption）又稱為“單一密鑰加密”（Single Key Encryption）。這種加密方法的工作方式是發(fā)送端與接收端都擁有共同的加密／解密鑰匙，這個共同的鑰匙就被稱為密鑰（Secret Key），它的工作方式是：發(fā)送端使用密鑰將明文加密成密文，而接收端則使用同一密鑰將密文還原成明文。因此使用對稱加密法不但可以為文件加密，也能達(dá)到驗證發(fā)送者身份的作用。如果用戶B能用這一組密碼解開文件，就能確定這份文件是由用戶A加密后傳送過來的，如圖4-17所示。

這種加密系統(tǒng)的工作方式較為直截了當(dāng)，因此在加密和解密上的處理速度都相當(dāng)快。常見的對稱密鑰加密系統(tǒng)算法有DES（Data Encryption Standard，數(shù)據(jù)加密標(biāo)準(zhǔn)）、Triple DES、IDEA（International Data Encryption Algorithm，國際數(shù)據(jù)加密算法）等。對稱密鑰加密的優(yōu)點是加解密速度快，所以適用于長度較長的文件或大量數(shù)據(jù)的加解密應(yīng)用，缺點則是不容易管理和控制密鑰的使用。

4.5.2　非對稱密鑰加密系統(tǒng)

“非對稱密鑰加密”是目前較為普遍，也是金融界應(yīng)用上最安全的加密方法，也被稱為“雙密鑰加密”（Double Key Encryption），又稱為公鑰（Public Key）加密法，由Diffine與Hellman于1976年提出，可降低因為傳送密鑰給收件者而導(dǎo)致數(shù)據(jù)外泄的風(fēng)險。這種加密系統(tǒng)主要的工作方式是使用兩把不同的密鑰——“公鑰”（Public Key）與“私鑰”（Private Key）來進(jìn)行加解密?！肮€”可在網(wǎng)絡(luò)上自由公開用于加密的過程，但只有使用“私鑰”才能解密，“私鑰”必須由私人妥善保管。例如用戶A要傳送一份新的文件給用戶B，用戶A會使用用戶B的公鑰來加密，并將密文發(fā)送給用戶B。當(dāng)用戶B收到密文后，會使用自己的私鑰來解密，例如電子錢包機制就是用“公鑰加密系統(tǒng)”來實現(xiàn)的，過程如圖4-18所示。

目前普遍使用的“非對稱密鑰加密”為RSA加密法，它是由Rivest、Shamir和Adleman所發(fā)明的。RSA加解密速度比“對稱密鑰加解密”速度要慢，它是使用兩個質(zhì)數(shù)作為加密與解密的一對密鑰，密鑰的長度一般在40比特到1024比特之間，當(dāng)然為了提高加密的強度，現(xiàn)在有的系統(tǒng)使用的RSA密鑰的長度高達(dá)4096比特，甚至更高。這對密鑰里的公鑰用來加密，私鑰用來解密，而且只有私鑰可以用來解密。要破解以RSA加密的數(shù)據(jù)，在一定時間內(nèi)幾乎是不可能的，因此這是一種十分安全的加解密算法。

4.5.3　認(rèn)證

在數(shù)據(jù)傳輸過程中，為了避免用戶A發(fā)送數(shù)據(jù)后卻否認(rèn)，或者有人冒用用戶A的名義傳送數(shù)據(jù)而用戶A本人不自知，面對這類情況，我們需要對數(shù)據(jù)進(jìn)行認(rèn)證的工作。后來又衍生出了第三種加密方式，它結(jié)合了上述兩種加密方式。

首先以用戶B的公開鑰匙加密，接著使用用戶A的私有鑰匙進(jìn)行第二次加密。用戶B在收到密文后，先以A的公開鑰匙進(jìn)行解密，此舉可確認(rèn)信息是由A所發(fā)送的。接著以B的私有鑰匙解密，若能解密成功，則可確保信息傳送的私密性，這就是所謂的“認(rèn)證”。認(rèn)證的機制看似完美，但是使用公開密鑰進(jìn)行加解密操作時，計算過程卻十分復(fù)雜，對于大數(shù)據(jù)量的傳輸工作而言是個沉重的負(fù)擔(dān)。

4.5.4　數(shù)字簽名

數(shù)字簽名是借助密碼編碼算法協(xié)助驗證數(shù)字信息建立者的身份，是認(rèn)證中心所簽發(fā)的身份識別檢查器，類似于在非電子環(huán)境中使用標(biāo)準(zhǔn)身份識別文件的方式。數(shù)字簽名的工作方式是：非對稱密鑰加密法和哈希函數(shù)互相配合使用，用戶A先將明文M以哈希函數(shù)計算出哈希值H，接著用自己的私有鑰匙對哈希值H加密，加密后的內(nèi)容即為“數(shù)字簽名”。想要使用數(shù)字簽名，當(dāng)然第一步必須先向認(rèn)證中心（CA）申請數(shù)字證書（Digital Certificate），它可用來認(rèn)證公鑰為某人所有及信息發(fā)送者的不可否認(rèn)性，而認(rèn)證中心所簽發(fā)的數(shù)字簽名則包含在數(shù)字證書上。通常每一家認(rèn)證中心的申請過程都不完全相同，只要用戶按照網(wǎng)頁上的指引步驟去做，即可順利完成申請。