English

信息安全技术中的加密体系

1999-08-11 来源:光明日报 玉玲 我有话说

信息安全涵盖了系统安全及数据安全两个方面。系统安全一般采用防火墙、病毒查杀、防范等被动保护措施;数据安全则主要是采用现代密码算法对数据进行主动保护,如数据加密、数据完整性、数据不可否认与抵赖、双向身份认证等。一个完整的安全方案应该是以上两者有机的结合,而重点应该是对信息数据的安全保护,其基础是公钥加密体系。数据安全必须基于可靠的加密算法。

随着因特网的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过因特网进行商务活动。保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在,一些专用密钥加密(如TripleDES、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。

下面简要地介绍一些信息安全中常用的名词概念。

[对称算法]

这是传统常用的算法,其主要特点是:加解密双方在加解密过程中要使用完全相同的一个密钥。其中最广泛使用的是DES算法。DES(DataEncryptionStandard)算法是美国政府机关使用的一种加密方式,是一种常规密码体制的密码算法,目前已广泛用于电子商务系统中。

[一般理解密码学(Cryptography)]

当今密码学的主题,其一个方面是保护信息传递的机密性,另一方面是对信息发送与接收人的真实身份的验证、对所发出/接收信息在事后的不可抵赖以及保障数据的完整性。公开密钥密码体制对这两方面的问题都给出了出色的解答,并正在继续产生许多新的思想和方案。迄今为止的所有公钥密码体系中,RSA系统是最著名、使用最广泛的一种。

[RSA公钥体系]

这一体系可用于对数据信息进行数字签名。所谓数字签名就是信息发送者用其私钥对从所传报文中提取出的特征数据(或称数字指纹)进行RSA算法解密运算操作。发信者的私钥只有他本人才有,所以他一旦完成了签名便保证了发信人无法抵赖曾发过该信息(即不可抵赖性)。经验证无误的签名电文同时也确保信息报文在经签名后未被篡改(即完整性)。当信息接收者收到报文后,就可以用发送者的公钥对数字签名的真实性进行验证。美国参议院通过立法,赋予数字签名与手书签名的文件具有同等的法律效力。

[秘钥对]

在基于公钥体系的安全系统中,密钥是成对生成的,每对密钥由一个公钥和一个私钥组成。在实际应用中,私钥由拥有者自己保存,而公钥则需要公布于众。为了使基于公钥体系的业务(如电子商务等)能够广泛应用,一个基础性关键的问题就是公钥的分发与管理。

[证书]

互联网络的用户群决不是几个人互相信任的小集体。在这个用户群中,从法律角度讲用户彼此之间都不能轻易信任。所以公钥加密体系采取了另一个办法,将公钥和公钥的主人名字联系在一起,再请一个大家都信得过有信誉的公正、权威机构确认,并加上这个权威机构的签名。这就形成了证书。

[电子签证机关(Certificate Authority简称CA)]

电子签证机关也拥有一个证书(内含公钥),当然,它也有自己的私钥,所以它有签字的能力。网上的公众用户通过验证CA的签字从而信任CA,任何人都应该可以得到CA的证书(含公钥),用以验证它所签发的证书。如果用户想得到一份属于自己的证书,他应先向CA提出申请。在CA判明申请者的身份后,便为他分配一个公钥,并且CA将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给那个用户(申请者)。如果一个用户想鉴别另一个证书的真伪,他就用CA的公钥对那个证书上的签字进行验证(CA签字实际上是经过CA私钥加密的信息,签字验证的过程还伴随使用CA公钥解密的过程),一旦验证通过,该证书就被认为是有效的。

手机光明网

光明网版权所有

光明日报社概况 | 关于光明网 | 报网动态 | 联系我们 | 法律声明 | 光明网邮箱 | 网站地图

光明网版权所有