移动网络的安全屏障防火墙
这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡,这种中介系统也叫作“防火墙”或“防火墙系统”。
数据在传输过程中可能会遭到侵犯者的窃听而失去保密信息,所以信息的保密性是信息安全的一个重要方面。加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户获取和理解原始数据,从而确保数据的保密性。
加密包括两个元素:算法和密钥。加密算法是将普通的文本(或者可以理解的信息)与-串数字(密钥)结合,产生不可理解的密文的步骤。密钥也是用来对数据进行编码和解码的一种算法。密钥和算法对加密同等重要。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。
目前最典型的两种加密技术是对称加密(私有密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准( Data Encryption Standard, DES )算法为典型代表,非对称加密通常以RSA( Rivest Shamir Adleman )算法为代表。
加密技术可以在计算机和网络通信中用来进行身份鉴别、访问控制以及确保信息的保密性、完整性不可否认性。
1、对称加密技术
对称加密技术也称私人密钥加密( Secret Key Encryption ),是指发送和接收数据的双方必须使用相同的密钥进行加密和解密运算。
对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥。这种方法在密码学中叫作对称加密算法。对称加密算法使用起来简单快捷,密钥较短,且破译困难。除了数据加密标准(DES)外,另一个对称密钥加密系统是国际数据加密算法( IDEA), 它比DES的加密性好,面且对计算机功能的要求也没有那么高。PGP ( Pretty GoodPrivacy )系统使用的是IDEA加密标准。
对称加密算法的优点在 于加密速度快,适用于大量数据的加密处理;缺点是如何在两个通信方之间安全地交换密钥,在电子商务交易过程中存在以下几个问题。
①要求提供一条安全的渠道使通信双方在首次通信时协商一个共同的密钥。直接的面对面协商可能是不现实而且难以实施的,所以双方可能需要借助邮件和电话等其他相对不够安全的手段来进行协商。
②密钥的数目难以管理。因为每一个合作者都需要使用不同的密钥,所以很难适应开放社会中大量的信息交流。
③对称加密算法一般不能提供信息完整性的鉴别。它无法验证发送者和接受者的身份。
④对称密钥的管理和分发工作是一个具有潜在危险且烦琐的过程。对称加密是基于共同保守秘密来实现的,采用对称加密技术的贸易双方必须保证采用的是相同的密钥,保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。
2、非对称加密技术
非对称加密技术也称作公开密钥加密( Public Key Encryption)。 1976 年,美国学者Dime和Henman为解决信息公开传送和密钥管理问题,提出了一种新的密钥交换协议,这就是公开密钥系统。相对于对称加密算法,该方法叫作非对称加密算法。
与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥( Public Key) 和私有密钥(private key )。公开密钥与私有密钥是一对:如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
POS机办理中心全网最靠谱的选择,专业一清机办理,带给你最安全的支付体验移动支付中的数字签名和报文摘要技术
为保证数据的完整性,完成对数据原发者的身份鉴别,需要对数据(亦称报文)进行验证。目前所采用的技术主要是数字签名( Digial Signature )和报文摘要( Message Digest )技术。
非对称加密解决了对称加密中的基本问题,即密钥的安全交换问题。这种加密技术的加密速度较慢,只运用于对少量数据进行加密。采用这种加密技术的主要是RSA。
贸易方利用非对称加密算法实现机密信息交换的基本过程包括以F四步。
①贸易方甲生成一对密钥并将其中的-把作为公开密钥向其他贸易方公开。
②贸易方乙生成一个自己的私有密钥并用贸易方甲的公开密钥对自己的私有密钥进行加密,然后通过网络传输到贸易方甲,接收方一贸 易方甲用自己的公开密钥进行解密后,就可以得到发送方的私有密钥并妥善保存。
③贸易方乙对需要传输的文件用自己的私有密钥进行加密,然后通过网络把文件传输到接收方一贸 易方甲。
④贸易方甲接收到贸易方乙传输来的文件后,用发送方一贸 易方乙的私有密钥对文件进行解密,得到文件的明文形式。
非对称加密算法的保密性比较好,它消除了最终用户交换密钥的需要,但加密和解密花费时间长、速度慢,不适合于对文件加密,只适用于对少量数据进行加密。
因为只有接收方才拥有发送方的公开密钥,所以即使其他人得到了经过加密的发送方的私有密钥,也会因为无法进行解密而保证了私有密钥的安全性,从而也保证了传输文件的安全性。实际上,在上述文件传输过程中实现了两个加密解密过程:文件本身的加密和解密与私有密钥的加密和解密,这分别通过私有密钥和公开密钥来实现。
为保证数据的可靠传输,目前业界普遍采用将两种加密方法相结合的方式来满足网络传输过程中的保密性需求。具体做法是:发送方用对称密钥来加密数据,然后将此对称密钥用接收方的公开密钥加密,称为“数字信封”,将其和数据一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开数据。这种技术的安全性能相当高,目前国际上应用较广的SET协议即是该技术的一个应用典范。
我们现在列举一个利用电子货币进行交易的情形。有一笔互联网上的交易,用户P要向商户V发送一笔数字货币,以购买商品和服务。用户P使用软件程序生成一个非常大的随机数,然后将该随机数以及提款请求利用银行的公开密钥进行加密。第一次加密是为了保证只有接收银行能够确定P要提取的金额。将第一次加密后的文本再进行一次加密,但是这次使用的是P的私有密钥。第二次加密是让银行确认P实际上所提取的款项,然后将这两次加密信息从P传送到P的银行。该信息第一次使用P的公开密钥进行解密,以证实P的唯一性,第二次使用银行的私有密钥进行解密,以确认P提取的金额。银行还要记录P使用的作为追踪数字的随机数。
银行然后对P生成的随机数进行加密,就像用私有密钥对提取金额进行加密样,该信息可以被确认作为有效提款授权。当P将该电子现金传送给商户V,商户v可以将该信息发送给银行请求支付,银行可以使用公开密钥以证实该提取授权是真实有效的,并且从跟踪数字序列分解出随机数,以防止信息被复制,不会进行二次支付。
该电子货币交易是安全的,但是不够机密。银行的跟踪数字列表用于确定P如何花费货币,为完全代替现金,电子货币系统必须提供提款和支付的安全措施,并且与任何特殊支付系统无关。使用公开密钥加密的双屏蔽系统可以实现该目的。
双屏蔽交易操作如F:用户P使用软件生成一个大的随机数,作为银行的跟踪数字。但是这次将该随机数乘上另一个大数字,称作屏蔽因子。然后P将该数字乘积与提款请求一起发送到银行,如签名一样进行两次加密:第一次使用银行的公开密钥,第二次使用P的私有密钥。
银行对传输信息进行解密, 记录提取金额,并用私有密钥重新将请求发回。和前面一样,该发送的信息作为电子货币并可被V接受,因为银行的数字签名是可确认的。然面,在花费这笔电子货币之前,P要分解该屏蔽因子,在加密信息上只留下P的最初随机数。因此,当电子货币用于支付时可以证实其电子签名并记录新的随机数。因为电子货币的任何复制都包含同样的随机数,银行很容易判断,因此这样可以避免重复支付。从银行的角度来看,跟踪数字是在电子货币第- -次用于支付时生成的,因此没有必要将跟踪数字与P最初提取的金额相联系。
如果信息用接收者的公开密钥加密,信息就是安全的,因为信息只有接收者能够读出,但是接收者无法证实发送者是谁以及发送者的信息的真伪。只有发送者才能进入接收者的公开密钥。利用私有密钥给信息加密会使得加密信息的安全性降低,因为进行解密的接收者必须查看发送者的密码,但是不能证实该信息的真实发送者是谁。以这种方式使用私有密钥称作“数字签名”。利用数字签名可以辨别通信信息的真伪。数字签名还能保证合约术语不被修改或数字货币不被伪造。
尽管信息标志的比较使得接收者可以证实发送过来的信息未经修改,但是信息有可能不是发送者本人发送的,而是其他人利用了发送者的私有或公开密钥。也就是说,假设某冒名出版商在一些公开密钥目录上发布了一些公开密钥,伪称那是R公司CEO的公开密钥。除非该伪造信息被揭露,否则该冒名出版商就可以发送信息伪装成R公司的CEO,因为公开密钥并不能判断真正的发送者是谁,只能证实发送者的私有密钥与指定的公开密钥是匹配的。因此,使用公开密钥来对信息判别真伪时,必须证实对方是否是公开密钥真正的拥有者。为防止假冒现象,接收者必须从第三方那里获得数字认证确认。数字认证是一份文件,利用该文件可以证实拥有公开密钥的签名者的真实性。
本文由POS机办理中心整理,未经许可不允许任何形式的转载,本文唯一地址:https://www.cdkft.cn/xinwenzixun/5394.html,其他地址不完整的均为抄袭!POS机申请办理请添加客服微信号:shandianpos网络信息的认证中心
设立个可靠的第三方机构,进行有效、快速、规范化的管理就显得尤为必要,安全认证体系即是解决这一问题的现实途径,这种可信的第三方称为“认证中心”(CA)。
