电子商务安全--加密标准

 ①什么是DES？
    DES是Data Eneryption Standard的缩写，译为数据加密标准。
　　DES算法是一种分组密码，通过反复使用加密组块替代和换位两种技术，经过16轮的变换后得到密文，安全性很高。DES属于传统的对称密码体制，其加密密钥与解密密钥是相同的，由于其安全性高，计算较简单，所以一度攻获得广泛使用。

　　DES算法的优点：适用于一对一的信息交换，加密速度快。

　　DES算法的缺点：密钥的传递和管理困难，不适用于大量用户的情况，因此不适用于EC即电子商务交易中。

 

DES（Data Encryption Standard）是发明最早的最广泛使用的分组对称加密算法。DES算法的入口参数有三个：Key、Data、Mode。其中Key为8个字节共64位，是DES算法的工作密钥；Data也为8个字节64位，是要被加密或被解密的数据；Mode为DES的工作方式，有两种：加密或解密。

　　DES算法工作流程如下：若Mode为加密模式，则利用Key 对数据Data进行加密， 生成Data的密码形式（64位）作为DES的输出结果；如Mode为解密模式，则利用Key对密码形式的数据Data进行解密，还原为Data的明码形式（64位）作为DES的输出结果。在通信网络的两端，双方约定一致的Key，在通信的源点用Key对核心数据进行DES加密，然后以密码形式在公共通信网（如电话网）中传输到通信网络的终点，数据到达目的地后，用同样的Key对密码数据进行解密，便再现了明码形式的核心数据。这样，便保证了核心数据在公共通信网中传输的安全性和可靠性。

②什么是3DES？
3DES (Triple DES)是美國 NIST (National Institute of Standards and Technology)使用三階段DES所改良的加密方式，較DES更為安全，也是國內金融ＩＣ提款卡採用的安全機制，安全性已被最講求交易安全的金融單位驗證可行。

3DES是DES加密算法的一种模式，它使用3条64位的密钥对数据进行三次加密。数据加密标准（DES）是美国的一种由来已久的加密标准，它使用对称密钥加密法，并于1981年被ANSI组织规范为ANSI X.3.92。DES使用56位密钥和密码块的方法，而在密码块的方法中，文本被分成64位大小的文本块然后再进行加密。比起最初的DES，3DES更为安全。

3DES（即Triple DES）是DES向AES过渡的加密算法（1999年，NIST将3-DES指定为过渡的加密标准），是DES的一个更安全的变形。它以DES为基本模块，通过组合分组方法设计出分组加密算法，其具体实现如下：设Ek()和Dk()代表DES算法的加密和解密过程，K代表DES算法使用的密钥，P代表明文，C代表密表，这样，

3DES加密过程为：C=Ek3(Dk2(Ek1(P)))

3DES解密过程为：P=Dk1((EK2(Dk3(C)))

③什么是IDEA？

国际数据加密算法（IDEA）是在瑞典苏黎士的ETH城研发的一种加密算法。它使用了128位密钥的密码块，通常认为它是非常安全的，也是最为大众了解的算法之一。

IDEA(国际数据加密算法)是旅居瑞士中国青年学者来学嘉和著名密码专家J.Massey于1990年提出的。它在1990年正式公布并在以后得到增强。这种算法是在DES算法的基础上发展出来的，类似于三重DES，和DES一样IDEA也是属于对称密钥算法。发展IDEA也是因为感到DES具有密钥太短等缺点，已经过时。IDEA的密钥为128位，这么长的密钥在今后若干年内应该是安全的。

　　类似于DES，IDEA算法也是一种数据块加密算法，它设计了一系列加密轮次，每轮加密都使用从完整的加密密钥中生成的一个子密钥。与DES的不同处在于，它采用软件实现和采用硬件实现同样快速。

　　由于IDEA是在美国之外提出并发展起来的，避开了美国法律上对加密技术的诸多限制，因此，有关IDEA算法和实现技术的书籍都可以自由出版和交流，可极大地促进IDEA的发展和完善。但由于该算法出现的时间不长，针对它的攻击也还不多，还未经过较长时间的考验。因此，尚不能判断出它的优势和缺陷。

 

④什么是AES？

AES（高级加密标准）密码学中的高级加密标准（Advanced Encryption Standard，AES），又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES，已经被多方分析且广为全世界所使用。经过五年的甄选流程，高级加密标准由美国国家标准与技术研究院 （NIST）于2001年11月26日发布于FIPS PUB 197，并在2002年5月26日成为有效的标准。2006年，高级加密标准已然成为对称密钥加密中最流行的算法之一。

　　该算法为比利时密码学家Joan Daemen和Vincent Rijmen所设计，结合两位作者的名字，以Rijdael之命名之，投稿高级加密标准的甄选流程。（Rijdael的发音近于 "Rhine doll"。）

⑤什么是RSA?
RSA（即Rivest,Shamir Adleman）算法是非对称加密领域内最为著名的算法，但是它存在的主要问题的算法的运算速度较慢。因此，在实际的应用中通常不采用这一算法对信息量大的信息进行加密。对于加密量大的应用，公开密钥加密算法通常用于对称加密方法密钥的加密。

RSA算法是第一个能同时用于加密和数字签名的算法，也易于理解和操作。 RSA是被研究得最广泛的公钥算法，从提出到现在已近二十年，经历了各种攻击的考验，逐渐为人们接受，普遍认为是目前最优秀的公钥方案之一。RSA的安全性依赖于大数的因子分解，但并没有从理论上证明破译RSA的难度与大数分解难度等价。即RSA的重大缺陷是无法从理论上把握它的保密性能如何，而且密码学界多数人士倾向于因子分解不是NPC问题。RSA的缺点主要有：A)产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。B)分组长度太大，为保证安全性，n 至少也要 600 bits以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。目前，SET(Secure Electronic Transaction)协议中要求CA采用2048比特长的密钥，其他实体使用1024比特的密钥。

 

⑥什么是VPN？

VPN 英文全称Virtual Private Network，中文译为：虚拟私人网络，又称为虚拟专用网络。

顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。

 

⑦什么是IPSEC？
IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。
IPsec：IP层协议安全结构
（IPsec：Security Architecture for IP network）
IPsec 在 IP 层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置。 IPsec 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。
IPsec 能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包（部分序列完整性形式）、保密性和有限传输流保密性。因为这些服务均在 IP 层提供，所以任何高层协议均能使用它们，例如 TCP 、 UDP 、ICMP 、 BGP 等等。
这些目标是通过使用两大传输安全协议，头部认证（AH） 和封装安全负载 （ESP），以及密钥管理程序和协议的使用来完成的。所需的 IPsec 协议集内容及其使用的方式是由用户、应用程序、和/或站点、组织对安全和系统的需求来决定。
当正确的实现、使用这些机制时，它们不应该对不使用这些安全机制保护传输的用户、主机和其他英特网部分产生负面的影响。这些机制也被设计成算法独立的。这种模块性允许选择不同的算法集而不影响其他部分的实现。
定义一个标准的默认算法集可以使得全球因英特网更容易协同工作。这些算法辅以 IPsec 传输保护和密钥管理协议的使用为系统和应用开发者部署高质量的因特网层的加密的安全技术提供了途径。
IPSec 不是特殊的加密算法或认证算法,也没有在它的数据结构中指定一种特殊的加密算法或认证算法,它只是一个开放的结构,定义在IP数据包格式中,为各种的数据加密或认证的实现提供了数据结构,为这些算法的实现提供了统一的体系结构,因此,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施 。

 

⑧什么是SSL?

SSL 的英文全称是 “Secure Sockets Layer” ，中文名为 “ 安全套接层协议层 ” ，它是网景（ Netscape ）公司提出的基于 WEB 应用的安全协议，当前版本为3.0。 SSL 协议指定了一种在应用程序协议（如 HTTP 、 Telenet 、 NMTP 和 FTP 等）和 TCP/IP 协议之间提供数据安全性分层的机制，它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议(SSL Record Protocol)：它建立在可靠的传输协议(如TCP)之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol)：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

⑨什么是S-MIME?

MIME/S-MIME：多用途网际邮件扩充协议
MIME/S-MIME：Multipurpose Internet Mail Extensions and Secure MIME

多用途网际邮件扩充协议（MIME）是 Multipurpose Internet Mail Extensions 的缩写，说明了如何安排消息格式使消息在不同的邮件系统内进行交换。 MIME 的格式灵活，允许邮件中包含任意类型的文件。 MIME 消息可以包含文本、图像、声音、视频及其它应用程序的特定数据。

 

⑩什么是SET？
SET协议(Secure Electronic Transaction，安全电子交易)是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。

1、SET支付系统的组成

　　SET支付系统主要由持卡人（CardHolder）、商家（Merchant）、发卡行（Issuing Bank）、收单行（Acquiring Bank）、支付网关（Payment Gateway）、认证中心（Certificate Authority）等六个部分组成。对应地，基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。

　　2、SET协议的工作流程

　　1）消费者利用自己的PC机通过因特网选定所要购买的物品，并在计算机上输入订货单、订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。

　　2）通过电子商务服务器与有关在线商店联系，在线商店作出应答，告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。

　　3）消费者选择付款方式，确认订单签发付款指令。此时SET开始介入。

　　4）在SET中，消费看必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的帐号信息。

　　5）在线商店接受订单后，向消费者所在银行请求支付认可。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。

　　6）在线商店发送订单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。

　　7）在线商店发送货物或提供服务并通知收单银行将钱从消费者的帐号转移到商店帐号，或通知发卡银行请求支付。在认证操作和支付操作中间一般会有一个时间间隔，例如，在每天的下班前请求银行结一天的帐。