大學(xué)生畢業(yè)論文：基于密碼技術(shù)的電子商務(wù)安全問題的探討.doc

管理學(xué)院信管2K22班 學(xué)生 邵蕾 畢業(yè)論文 第19頁 共19頁目錄中、英文摘要 2一 電子商務(wù)安全31.1 電子商務(wù)安全威脅 31.1.1 信息的截獲和竊取 31.1.2 信息的篡改 31.1.3 信息假冒 31.1.4 交易抵賴 41.2 電子商務(wù)安全需求 41.2.1機密性 41.2.2完整性 41.2.3認(rèn)證性 41.2.4抵賴性 41.2.5有效性 41.3 電子商務(wù)的安全控制框架 5二 密碼技術(shù)52.1 密碼技術(shù)簡介 52.2 密碼算法分類 62.2.1 私鑰加密算法 62.2.2 公鑰加密算法 72.3 PKI的原理92.3.1 PKI概述 92.3.2 PKI結(jié)構(gòu)模型102.3.3 PKI層次模型102.3.4 PKI的安全性分析102.3.5 PKI技術(shù)的發(fā)展11三 探討密碼技術(shù)在電子商務(wù)網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用 113.1 在SET安全電子交易協(xié)議中的應(yīng)用 113.2 在SSL協(xié)議中的應(yīng)用 123.3 在S-HTTP協(xié)議中的應(yīng)用 123.4 在STT協(xié)議中的應(yīng)用 123.5 在網(wǎng)絡(luò)安全支付系統(tǒng)中的應(yīng)用 123.6 在CA認(rèn)證中的應(yīng)用 14四 基于加密技術(shù)分析在電子商務(wù)系統(tǒng)如何解決安全問題 144.1 可以使用的密碼算法 144.2 結(jié)構(gòu)數(shù)據(jù)的類型 154.3 結(jié)構(gòu)數(shù)據(jù)的處理 16五 結(jié)束語 17參考文獻18致謝18基于密碼技術(shù)的電子商務(wù)安全問題的探討摘要：隨著Internet的發(fā)展,電子商務(wù)已經(jīng)成為人們進行商務(wù)活動的新模式。建立一個安全、便捷的電子商務(wù)環(huán)境,對信息提供足夠的保護十分重要。針對這個問題,本文主要論述了密碼技術(shù)在數(shù)據(jù)加密，數(shù)字簽名，公鑰信用體系和電子商務(wù)安全協(xié)議等一系列保障電子商務(wù)安全的關(guān)鍵技術(shù)中的應(yīng)用，以確保電子商務(wù)的安全。關(guān)鍵詞：電子商務(wù),安全,密碼技術(shù),SSL協(xié)議,SET協(xié)議,PKIDiscussion of the safe problem of e-commerce on the basis of Encryption technologyAbstract: With the development of Internet,E-commerce has already become the new mode that people have carried on the commercial activity.Setting up a safe and convenient e-commerce environment, it is very important to offer enough protection to information. Direct against this question,this text has discussed the application of encryption technology mainly in key technology of a series of guarantee e-commerce security ,such as data encrypting, sign in figure,PKI and SET,etc., in order to ensure the safety of e-commerce.Keywords: E-commerce, Security,Encryption Technology, Secure Socket Layer ,Secure Electronic Transaction, Public Key Infrastructure如今Internet全球化的發(fā)展勢頭愈演愈烈，而電子商務(wù)作為Internet前途最為廣闊的應(yīng)用正受到世界各國政府和企業(yè)界的重視與積極的投入，但由于網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受到黑客、惡意軟件和其他不軌行為的攻擊，而任何個人、企業(yè)或商業(yè)機構(gòu)以及銀行都不會通過一個不安全的網(wǎng)絡(luò)進行商務(wù)交易，因此電子商務(wù)的安全問題也成為阻礙電子商務(wù)發(fā)展的瓶頸問題,本文在首先介紹了電子商務(wù)的安全威脅，然后是較為系統(tǒng)論述了現(xiàn)有的信息密碼技術(shù)，并給出了當(dāng)前密碼技術(shù)在電子商務(wù)交易相關(guān)的安全技術(shù)中的應(yīng)用，最后給出如何利用密碼技術(shù)通過數(shù)據(jù)信封的形式以解決電子商務(wù)安全問題，以及密碼技術(shù)的存在不足。一 電子商務(wù)安全 1.1 電子商務(wù)安全威脅 根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的“中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告（2000/1）”，在電子商務(wù)方面，52.26的用戶最關(guān)心的是交易的安全可靠性。由此可見，電子商務(wù)中的網(wǎng)絡(luò)安全和交易安全問題是實現(xiàn)電子商務(wù)的關(guān)鍵之所在。 1983年10月24日美國著名的計算機安全專家、AT&T貝爾實驗室的計算機科學(xué)家Rober Morris在美國眾議院科學(xué)技術(shù)會議運輸、航空、材料專業(yè)委員會上作了關(guān)于計算機安全重要性的報告，從此計算機安全成了國際上研究的熱點?，F(xiàn)在隨著互聯(lián)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成了新的安全研究熱點。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲和傳輸?shù)男畔⒌陌踩?。但是由于在互?lián)網(wǎng)絡(luò)設(shè)計之初，只考慮方便性、開放性，使得互聯(lián)網(wǎng)絡(luò)非常脆弱，極易受到黑客的攻擊或有組織的群體的入侵，也會由于系統(tǒng)內(nèi)部人員的不規(guī)范使用和惡意破壞，使得網(wǎng)絡(luò)信息系統(tǒng)遭到破壞，信息泄露。 電子商務(wù)中的安全隱患可分為如下幾類： 1.1.1 信息的截獲和竊取如果沒有采用加密措施或加密強度不夠，攻擊者可能通過互聯(lián)網(wǎng)、公共電話網(wǎng)、搭線、電磁波輻射范圍內(nèi)安裝截收裝置或在數(shù)據(jù)包通過的網(wǎng)關(guān)和路由器上屆截獲數(shù)據(jù)等方式，獲取輸?shù)臋C密信息，或通過對信息流量和流向、通信頻度和長度等參數(shù)的分析，推出有用信息，如消費者的銀行帳號、密碼以及企業(yè)的商業(yè)機密等。1.1.2 信息的篡改當(dāng)攻擊者熟悉了網(wǎng)絡(luò)信息格式以后，通過各種技術(shù)方法和手段對網(wǎng)絡(luò)傳輸?shù)男畔⑦M行中途修改，并發(fā)往目的地，從而破壞信息的完整性。這種破壞手段主要有三個方面：篡改改變信息流的次序，更改信息的內(nèi)容，如購買商品的出貨地址；刪除刪除某個消息或消息的某些部分；插入在消息中插入一些信息，讓收方讀不懂或接收錯誤的信息。 1.1.3 信息假冒當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息以后，可以假冒合法用戶或發(fā)送假冒信息來欺騙其他用戶，主要有兩種方式。一是偽造電子郵件，虛開網(wǎng)站和商店，給用戶發(fā)電子郵件，收定貨單；偽造大量用戶，發(fā)電子郵件，窮盡商家資源，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格時間要求的服務(wù)不能及時得到響應(yīng)；偽造用戶，發(fā)大量的電子郵件，竊取商家的商品信息和用戶信用等信息。另外一種為假冒他人身份，如冒充領(lǐng)導(dǎo)發(fā)布命令、調(diào)閱密件；冒充他人消費、栽贓；冒充主機欺騙合法主機及合法用戶；冒充網(wǎng)絡(luò)控制程序，套取或修改使用權(quán)限、通行字、密鑰等信息；接管合法用戶，欺騙系統(tǒng)，以占用合法用戶的資源。1.1.4 交易抵賴在網(wǎng)絡(luò)中也可能發(fā)生交易抵賴。交易抵賴包括多個方面，如發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條信息或內(nèi)容；收信者事后否認(rèn)曾經(jīng)收到過某條消息或內(nèi)容；購買者做了定貨單不承認(rèn)；商家賣出的商品因價格差而不承認(rèn)原有的交易。1.2 電子商務(wù)安全需求 電子商務(wù)面臨的威脅的出現(xiàn)導(dǎo)致了對電子商務(wù)安全的需求，也是真正實現(xiàn)一個安全電子商務(wù)系統(tǒng)所要求做到的各個方面，主要包括機密性、完整性、認(rèn)證性和不可抵賴性。 1.2.1 機密性電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達(dá)到保守機密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的（尤其Internet 是更為開放的網(wǎng)絡(luò)），維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。機密性一般通過密碼技術(shù)來對傳輸?shù)男畔⑦M行加密處理來實現(xiàn)。1.2.2 完整性電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。因此，要預(yù)防對信息的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。完整性一般可通過提取信息消息摘要的方式來獲得。1.2.3 認(rèn)證性由于網(wǎng)絡(luò)電子商務(wù)交易系統(tǒng)的特殊性，企業(yè)或個人的交易通常都是在虛擬的網(wǎng)絡(luò)環(huán)境中進行，所以對個人或企業(yè)實體進行身份性確認(rèn)成了電子商務(wù)中得很重要的一環(huán)。對人或?qū)嶓w的身份進行鑒別，為身份的真實性提供保證，即交易雙方能夠在相互不見面的情況下確認(rèn)對方的身份。這意味著當(dāng)某人或?qū)嶓w聲稱具有某個特定的身份時，鑒別服務(wù)將提供一種方法來驗證其聲明的正確性，一般都通過證書機構(gòu)CA和證書來實現(xiàn)。 1.2.4 抵賴性電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進行交易的貿(mào)易方正是進行交易所期望的貿(mào)易方這一問題則是保證電子商務(wù)順利進行的關(guān)鍵。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。這也就是人們常說的白紙黑字。在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識。不可抵賴性可通過對發(fā)送的消息進行數(shù)字簽名來獲取。1.2.5有效性電子商務(wù)以電子形式取代了紙張，那么如何保證這種電子形式的貿(mào)易信息的有效性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。因此，要對網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。1.3 電子商務(wù)的安全控制框架電子商務(wù)的安全控制體系結(jié)構(gòu)是保證電子商務(wù)中數(shù)據(jù)安全的一個完整的邏輯結(jié)構(gòu)。由五個部分組成，具體如圖一所示15：機密性完整性認(rèn)證性抵賴性有效性應(yīng)用系統(tǒng)層安全協(xié)議層Netbill協(xié)議SET協(xié)議SSL協(xié)議安全認(rèn)證層數(shù)字摘要數(shù)字簽名數(shù)字憑證CA認(rèn)證應(yīng)用系統(tǒng)層加密技術(shù)層對稱加密非對稱加密網(wǎng)絡(luò)隱患掃描網(wǎng)絡(luò)安全監(jiān)控內(nèi)容識別病毒防治防火墻圖1 電子商務(wù)安全技術(shù)體系結(jié)構(gòu)為確保電子商務(wù)系統(tǒng)全面安全，必須建立完善的加密技術(shù)和認(rèn)證機制，。在圖1所示的電子商務(wù)安全框架中，加密技術(shù)層、安全技術(shù)層、安全協(xié)議層，即為電子交易數(shù)據(jù)的安全而構(gòu)筑。其中，安全協(xié)議層是加密技術(shù)層和安全認(rèn)證層的安全控制技術(shù)的綜合運用和完善。電子商務(wù)安全是一個普遍關(guān)注的系統(tǒng)問題，用于保護電子的安全控制技術(shù)，并進行有機結(jié)合，就可從技術(shù)上實現(xiàn)系統(tǒng)、有效的電子商務(wù)安全。二 密碼技術(shù)2.1 密碼技術(shù)簡介在我們熟知的常規(guī)郵政系統(tǒng)中，寄信人用信封隱藏其內(nèi)容，這就是最基本的保密技術(shù)，而在電子商務(wù)中，有形的信封就不再成為其代表性的選擇。2為了實現(xiàn)電子信息的保密性，就必須實現(xiàn)該信息對除特定收信人以外的任何人都是不可讀取的。而為了保證共享設(shè)計規(guī)范的貿(mào)易伙伴的信息安全性就必須采取一定的手段來隱藏信息，而隱藏信息的最有效手段便是加密。密碼技術(shù)是信息安全技術(shù)中的核心技術(shù)，主要包括加密技術(shù)、認(rèn)證技術(shù)和密鑰管理技術(shù)三大技術(shù)。而其中加密技術(shù)是實現(xiàn)信息保密性的尤為重要手段。所謂加密,就是對信息進行重新編碼,從而達(dá)到隱藏信息內(nèi)容,使非法用戶無法獲取信息真實內(nèi)容的一種技術(shù)手段。認(rèn)證技術(shù)也與密碼技術(shù)有著千絲萬縷的聯(lián)系，只是本文不作重點介紹。密鑰管理則包括密鑰的產(chǎn)生、分發(fā)、存貯、更換、保存、備份、銷毀以及保密等內(nèi)容。電子商務(wù)中通常通過建立公鑰基礎(chǔ)設(shè)施（PKI）來實現(xiàn)公鑰管理。2.2 密碼算法分類據(jù)不完全統(tǒng)計，到現(xiàn)在為止出現(xiàn)算法標(biāo)準(zhǔn)，已經(jīng)近200多種。按照國際上通行的慣例，將這近200種方法按照雙方收發(fā)的密鑰是否相同的標(biāo)準(zhǔn)可以劃分為兩大類：私鑰加密算法（也叫傳統(tǒng)密碼算法或?qū)ΨQ加密算法）和公鑰密碼算法（非對稱密碼算法）。2.2.1 私鑰加密算法私鑰加密算法，3其特征是收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。比較著名的傳統(tǒng)密碼算法有：美國的DES及其各種變形，比如3DES、GDES、NewDES和DES的前身Lucifer；歐洲的IDEA；日本的FEALN、LOKI 91、Skipjack、RC4、發(fā)送者收信者相同的密鑰加密解密加密的信息明文明文圖2 私鑰加密法（對稱加密法）RC5以及以代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。在眾多的傳統(tǒng)密碼中影響最大的是DES密碼，而最近美國NIST（國家標(biāo)準(zhǔn)與技術(shù)研究所）推出的AES將有取代DES的趨勢。傳統(tǒng)密碼的優(yōu)點是有很強的保密強度，且經(jīng)受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。在私鑰加密算法中，信息的接受者和發(fā)送者都使用相同的密鑰。如圖圖1所示的那樣，所以雙方的密鑰都處于保密的狀態(tài)，因為私鑰的保密性必須基于密鑰的保密性，而非算法上。這在硬件上增加了私鑰加密算法的安全性。但同時我們也看到這也增加了一個挑戰(zhàn)：收發(fā)雙方都必須為自己的密鑰負(fù)責(zé)，這種情況在兩者在地理上分離顯得憂為重要。私鑰算法還面臨這一個更大的困難，那就是對私鑰的管理和分發(fā)十分的困難和復(fù)雜，而且所需的費用十分的龐大。比如說，一個n個用戶的網(wǎng)絡(luò)就需要派發(fā)n(n1)/2個私鑰，特別是對于一些大型的并且廣域的網(wǎng)絡(luò)來說，其管理是一個十分困難的過程，正因為這些因素從而決定了私鑰算法的使用范圍。而且，私鑰加密算法不支持?jǐn)?shù)字簽名，這對遠(yuǎn)距離的傳輸來說也是一個障礙。另一個影響私鑰的保密性的因素是算法的復(fù)雜性。現(xiàn)今為止，國際上比較通行的是DES、3DES以及最近推廣的AES。數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard）是IBM公司1977年為美國政府研制的一種算法。DES是以56位密鑰為基礎(chǔ)的密碼塊加密技術(shù)。它的加密過程一般如下：一次性把64位明文塊打亂置換。把64位明文塊拆成兩個32位塊；用機密DES密鑰把每個32位塊打亂位置16次；使用初始置換的逆置換。但在實際應(yīng)用中，DES的保密性受到了很大的挑戰(zhàn)，1999年1月，EFF和分散網(wǎng)絡(luò)用不到一天的時間，破譯了56位的DES加密信息。DES的統(tǒng)治地位受到了嚴(yán)重的影響，為此，美國推出DES的改進版本三重加密（triple Data Encryption Standard）即在使用過程中，收發(fā)雙方都用三把密鑰進行加解密，無疑這種3*56式的加密方法大大提升了密碼的安全性，按現(xiàn)在的計算機的運算速度，這種破解幾乎是不可能的。但是我們在為數(shù)據(jù)提供強有力的安全保護的同時，也要化更多的時間來對信息進行三次加密和對每個密層進行解密。同時在這種前提下，使用這種密鑰的雙發(fā)都必須擁有3個密鑰，如果丟失了其中任何一把，其余兩把都成了無用的密鑰。這樣私鑰的數(shù)量一下又提升了3倍，這顯然不是我們想看到的。于是美國國家標(biāo)準(zhǔn)與技術(shù)研究所推出了一個新的保密措施來保護金融交易。高級加密標(biāo)準(zhǔn)（Advanced Encryption Standard）美國國家技術(shù)標(biāo)準(zhǔn)委員會(NIST)在2000年10月選定了比利時的研究成果Rijndael作為AES的基礎(chǔ)。Rijndael是經(jīng)過三年漫長的過程，最終從進入候選的五種方案中挑選出來的。AES內(nèi)部有更簡潔精確的數(shù)學(xué)算法,而加密數(shù)據(jù)只需一次通過。AES被設(shè)計成高速，堅固的安全性能，而且能夠支持各種小型設(shè)備。AES與3DES相比，不僅是安全性能有重大差別，使用性能和資源有效利用上也有很大差別?？梢詮南卤砜闯鯝ES與相比3DES的巨大優(yōu)越性。還有一些其他的一些算法，如美國國家安全局使用的飛魚（Skipjack）算法，不過它的算法細(xì)節(jié)始終都是保密的，所以外人都無從得知其細(xì)節(jié)類容；一些私人組織開發(fā)的取代DES的方案：RC2、RC4、RC5等。這里就不細(xì)加敘述了。2.2.2 公鑰加密算法面對在執(zhí)行過程中如何使用和分享密鑰及保持其機密性等問題，1975年WhitefieldDiffe和MartiHellman提出了公開的密鑰密碼技術(shù)的概念，被稱為DiffieHellman技術(shù)。從此公鑰加密算法便產(chǎn)生了。其簡單示意圖如圖2所示。發(fā)送者設(shè)定的秘密值a接受者設(shè)定的秘密值b公開的A公開的B對公開的B進行逆運算，用a和B計算密鑰對公開的A進行逆運算，用b和A計算密鑰相同的密鑰明文明文加密加密的信息解密圖3 Diffe-Hellman公開密鑰密碼算法可以看到，3由于采取了公共密鑰，密鑰的管理和分發(fā)就變得簡單多了，對于一個n個用戶的網(wǎng)絡(luò)來說，只需要2n個密鑰便可達(dá)到密度。同時使得公鑰加密法的保密性全部集中在及其復(fù)雜的數(shù)學(xué)問題上，它的安全性因而也得到了保證。但是在實際運用中，公共密鑰加密算法并沒有完全的取代私鑰加密算法。其重要的原因是它的實現(xiàn)速度遠(yuǎn)遠(yuǎn)趕不上私鑰加密算法。又因為它的安全性，所以常常用來加密一些重要的文件。自公鑰加密問世以來，學(xué)者們提出了許多種公鑰加密方法，它們的安全性都是基于復(fù)雜的數(shù)學(xué)難題。根據(jù)所基于的數(shù)學(xué)難題來分類，有以下三類系統(tǒng)目前被認(rèn)為是安全和有效的：大整數(shù)因子分解系統(tǒng)(代表性的有RSA)、橢圓曲線離散對數(shù)系統(tǒng)(ECC)和離散對數(shù)系統(tǒng)(代表性的有DSA)，下面就作出較為詳細(xì)的敘述。 RSA算法是由羅納多瑞維斯特（Rivet）、艾迪夏彌爾（Shamir）和里奧納多艾德拉曼（Adelman）聯(lián)合推出的，RSA算法由此而得名。它的安全性是基于大整數(shù)素因子分解的困難性，而大整數(shù)因子分解問題是數(shù)學(xué)上的著名難題，至今沒有有效的方法予以解決，因此可以確保RSA算法的安全性。RSA系統(tǒng)是公鑰系統(tǒng)的最具有典型意義的方法，大多數(shù)使用公鑰密碼進行加密和數(shù)字簽名的產(chǎn)品和標(biāo)準(zhǔn)使用的都是RSA算法。它得具體算法如下：找兩個非常大的質(zhì)數(shù)，越大越安全。把這兩個質(zhì)數(shù)叫做P和Q。 找一個能滿足下列條件得數(shù)字E： A是一個奇數(shù)； B小于n=PQ； C與z=（P1）（Q1）互質(zhì)，只是指E和該方程的計算結(jié)果沒有相同的質(zhì)數(shù)因子。 計算出數(shù)值D，滿足下面性質(zhì)：（DE）1）能被（P1）（Q1）整除。 公開密鑰對是（PQ，E）。 私人密鑰是D。 公開密鑰是E。 解密函數(shù)是：假設(shè)T是明文，C是密文。加密函數(shù)用公開密鑰E和模PQ；加密信息（TE）模PQ。解密函數(shù)用私人密鑰D和模PQ；解密信息（CD）模PQ。RSA 算法舉例如下：設(shè)p=7，q=17，則計算n=717=119和z=(7-1)(17-1)=96；由于5和96沒有公因子（互質(zhì)），因此可以選公鑰E=5；解方程：5D(mod 96)=1，可以得到私鑰D=77；假設(shè)要加密的明文為：T=19，則C=TE(mod n)=（19）5mod 119=66；于是對應(yīng)的密文為：C=66。接收方收到的密文后進行解密，計算C= TE(mod n)=（19）5(mod 119)=（66）77mod 119=4，系統(tǒng)恢復(fù)出原文。密碼分析者攻擊RSA體制的關(guān)鍵點在于如何分解n，若分解成功使n=pq，則可以算出(n)（p-1）(q-1)，然后由公開的e，解出秘密的d，若使RSA安全，p與q必為足夠大的素數(shù)，使分析者沒有辦法在多項式時間內(nèi)將n分解出來。橢圓曲線加密技術(shù)（ECC）是建立在單向函數(shù)（橢圓曲線離散對數(shù)）得基礎(chǔ)上，由于它比RAS使用得離散對數(shù)要復(fù)雜得多。而且該單向函數(shù)比RSA得要難，所以與RSA相比，它有如下幾個優(yōu)點：安全性能更高加密算法的安全性能一般通過該算法的抗攻擊強度來反映。ECC和其他幾種公鑰系統(tǒng)相比，這對于加密算法在IC卡上的應(yīng)用具有特別重要的意義。帶寬要求低當(dāng)對長消息進行加解密時，三類密碼系統(tǒng)有相同的帶寬要求，但應(yīng)用于短消息時ECC帶寬要求卻低得多。而公鑰加密系統(tǒng)多用于短消息，例如用于數(shù)字簽名和用于對對稱系統(tǒng)的會話密鑰傳遞。帶寬要求低使ECC在無線網(wǎng)絡(luò)領(lǐng)域具有廣泛的應(yīng)用前景。ECC的這些特點使它必將取代RSA，成為通用的公鑰加密算法。比如SET協(xié)議的制定者已把它作為下一代SET協(xié)議中缺省的公鑰密碼算法。 以上綜述了兩種加密方法的各自的特點，并對他們優(yōu)劣處作了一個簡要的比較，總體來說主要有下面幾個方面：第一、在管理方面，公鑰密碼算法只需要較少的資源就可以實現(xiàn)目的，在密鑰的分配上，兩者之間相差一個指數(shù)級別（一個是n一個是n2）。所以私鑰密碼算法不適應(yīng)廣域網(wǎng)的使用，而且更重要的一點是它不支持?jǐn)?shù)字簽名。第二、在安全方面，由于公鑰密碼算法基于未解決的數(shù)學(xué)難題，在破解上幾乎不可能。對于私鑰密碼算法，到了AES雖說從理論來說是不可能破解的，但從計算機的發(fā)展角度來看。公鑰更具有優(yōu)越性。第三、從速度上來看，AES的軟件實現(xiàn)速度已經(jīng)達(dá)到了每秒數(shù)兆或數(shù)十兆比特。是公鑰的100倍，如果用硬件來實現(xiàn)的話這個比值將擴大到1000倍。第四、對于這兩中算法，因為算法不需要保密，所以制造商可以開發(fā)出低成本的芯片以實現(xiàn)數(shù)據(jù)加密。這些芯片有著廣泛的應(yīng)用，適合于大規(guī)模生產(chǎn)。 縱觀這兩種算法一個從DES到3DES再到ADES，一個從RSA到ECC。其發(fā)展角度無不是從密鑰的簡單性，成本的低廉性，管理的簡易性，算法的復(fù)雜性，保密的安全性以及計算的快速性這幾個方面去考慮。因此，未來算法的發(fā)展也必定是從這幾個角度出發(fā)的，而且在實際操作中往往把這兩種算法結(jié)合起來，也需將來一種集兩種算法有點于一身的新型算法將會出現(xiàn)，到那個時候，電子商務(wù)的實現(xiàn)必將更加的快捷和安全。2.3 PKI的原理2.3.1 PKI概述與DNS和X.500類似，1公開密鑰體系(PKI，Public Key Infrastructure)也是一種網(wǎng)絡(luò)基礎(chǔ)設(shè)施，其目標(biāo)是向網(wǎng)絡(luò)用戶和應(yīng)用程序提供公開密鑰的管理服務(wù)。為了使用戶在不可靠的網(wǎng)絡(luò)環(huán)境中獲得真實的公開密鑰，PKI引入公認(rèn)可信的第三方；同時避免在線查詢集中存放的公開密鑰產(chǎn)生的性能瓶頸，PKI引入電子證書?？尚诺牡谌绞荘KI的核心部件，正是由于它的中繼，系統(tǒng)中任意兩個實體才能建立安全聯(lián)系。電子證書中第三方的數(shù)字簽名，使用戶可以離線地確認(rèn)一個公開密鑰的真實性。當(dāng)證書中認(rèn)可的事實發(fā)生變化時，證書發(fā)布者必須使用某種機制來撤銷以前發(fā)出、但現(xiàn)在失效的證書。除了證書的有效期外，證書撤銷列表(CRL)是另一種證書有效期控制機制。證書發(fā)布者定期發(fā)布CRL，列出所有曾發(fā)布但當(dāng)前已被撤銷的證書號，證書的使用者依據(jù)CRL即可驗證某證書是否已被撤銷。2.3.2 PKI結(jié)構(gòu)模型PKI框架有三類實體:管理實體、端實體和證書庫。管理實體是PKI的核心，是PKI服務(wù)的提供者；端實體是PKI的用戶，是PKI服務(wù)的使用者；證書庫是一個分布式數(shù)據(jù)庫，用于證書/CRL存放和檢索。證書簽發(fā)機構(gòu)(CA和注冊機構(gòu)(RA)是兩種管理實體。CA是PKI框架中唯一能夠發(fā)布/撤銷證書的實體，維護證書的生命周期；RA負(fù)責(zé)處理用戶請求，在驗證了請求的有效性后，代替用戶向CA提交。RA可以單獨實現(xiàn)，也可以合并在CA中實現(xiàn)。作為管理實體，CA/RA以證書方式向端實體提供公開密鑰的分發(fā)服務(wù)。持有者和驗證者是兩種端實體。持有者是證書的擁有者，是證書所聲明事實的主體。持有者向管理實體申請并獲得證書，也可以在需要時請求撤銷或更新證書。持有者使用證書鑒別自己的身份，從而獲得相應(yīng)的權(quán)力。驗證者通常是授權(quán)方，確認(rèn)持有者所提供的證書的有效性和對方是否為該證書的真正擁有者，只有在成功鑒別之后才可授權(quán)對方。證書庫可有WEB、FTP或.500目錄來實現(xiàn)。由于證書庫中存取對象是證書和CRL，其完整性由數(shù)字簽名保證，因此對證書庫的操作可在無特殊安全保護的信道上傳輸。不同的實體間通過PKI操作完成證書的請求、確認(rèn)、發(fā)布、撤銷、更新和獲取等過程。PKI操作分成存取操作和管理操作兩類。前者涉及管理實體/端實體與證書庫之間的交互，操作的目的是向/從證書庫存放/讀取證書和CRL，后者涉及管理實體與端實體之間或管理實體內(nèi)部的交互，操作的目的是完成證書的各項管理任務(wù)和建立證書鏈。2.3.3 PKI層次模型 PKI框架描述為三個層次。最低層是傳輸層，向上提供PKI操作報文的可靠傳輸，可以是運輸層協(xié)議(如TCP)，或應(yīng)用層協(xié)議(如HTTP、SMTP、FTP)。中間層是密碼學(xué)服務(wù)層，向上提供加解密、數(shù)字簽名和報文摘要等基本密碼學(xué)服務(wù)，可由RSA、MD5和智能卡接口等模塊實現(xiàn)。最高層是證書服務(wù)層，使用下兩層提供的加密和傳輸服務(wù)，向用戶提供證書的請求、簽證、發(fā)布、撤銷和更新等服務(wù)。PKI的三類實體使用了三層服務(wù)。證書庫無需特殊的安全交互措施，所以僅使用傳輸層服務(wù)分發(fā)證書和CRL；管理實體和端實體使用證書服務(wù)層構(gòu)造PKI證書操作報文，使用密碼學(xué)服務(wù)層作鑒別和保護交互信息，使用傳輸層服務(wù)傳送報文。 2.3.4 PKI的安全性分析 PKI密鑰交換和身份驗證的安全性依賴于PKI使用的公開密鑰算法、對稱加密算法和消息摘要算法。當(dāng)前使用的公開密鑰算法的安全性大都基于大數(shù)分解的難度。從一個公鑰和密文中恢復(fù)出明文的難度等價于分解兩個大素數(shù)的乘積。當(dāng)前可以完成的大數(shù)分解的位數(shù)是140位。對于當(dāng)前市場上廣泛使用的1024位的RSA公開密鑰算法來說，它被破解的可能性是微乎其微的。對于128位密鑰來說，即使全世界的計算機同時進行群舉攻擊，破譯128位密鑰所需要的時間也是一個天文數(shù)字。對于消息摘要算法，單向散列函數(shù)的設(shè)計已經(jīng)十分成熟。市場上廣泛使用的MD5、SHA算法的散列值分別為128、160位，足以阻止所有的群舉攻擊的企圖。由此看來，PKI機制是一個成熟的、安全的技術(shù)。2.3.5 PKI技術(shù)的發(fā)展 基于PKI技術(shù)，4人們又開發(fā)了很多的安全協(xié)議。其中最著名、應(yīng)用最為廣泛的是SSL和SET協(xié)議。 SSL（安全套接層）協(xié)議利用PKI技術(shù)來進行身份認(rèn)證、完成數(shù)據(jù)加密算法及其密鑰協(xié)商，很好地解決了身份驗證、加密傳輸和密鑰分發(fā)等問題。SSL被大家廣泛接受和使用，是一個通用的安全協(xié)議。在SSL協(xié)議上面可以運行所有基于TCP/IP的網(wǎng)絡(luò)應(yīng)用。 SET安全電子交易協(xié)議采用公鑰密碼體制和X.509數(shù)字證書標(biāo)準(zhǔn)，主要應(yīng)用于B2C模式中保障支付信息的安全性。SET協(xié)議是PKI框架下的一個典型實現(xiàn)，同時也在不斷升級和完善。國外的銀行和信用卡組織大都采用了SET協(xié)議。三 探討密碼技術(shù)在電子商務(wù)網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用3.1 在SET安全電子交易協(xié)議中的應(yīng)用下面主要還是以SET為例，來深入說明加密技術(shù)在協(xié)議中的體現(xiàn)。 SET將對稱密鑰的快速、低成本和非對稱密鑰的有效性完美地結(jié)合在一起。以下是SET使用的加密技術(shù)。 考慮網(wǎng)上商店的情況，2對于成千上萬的消費者和商家在Internet上交換信息，要對每一個消費者通過某個渠道發(fā)放一個密鑰，在現(xiàn)實中是不可取的。而用公開密鑰，商家生成一個公共密鑰對，任何一個消費者都可用商家公開發(fā)布的公鑰與商家進行保密通信。 3.1.1 數(shù)字信封：SET依靠密碼系統(tǒng)保證消息的可靠傳輸，在SET中，使用DES算法產(chǎn)生的對稱密鑰來加密數(shù)據(jù)，然后，將此對稱密鑰用接收者的公鑰加密，稱為消息的“數(shù)字信封”，將其和數(shù)據(jù)一起送給接收者，接收者先用他的私鑰解密數(shù)字信封，得到對稱密鑰，然后使用對稱密鑰解開數(shù)據(jù)。3.1.2 數(shù)字簽名：由于公開密鑰和私有密鑰之間存在的數(shù)學(xué)關(guān)系，使用其中一個密鑰加密的數(shù)據(jù)只能用另一個密鑰解開，SET中使用RSA算法來實現(xiàn)。發(fā)送者用自己的私有密鑰加密數(shù)據(jù)傳給接收者，接收者用發(fā)送者的公鑰解開數(shù)據(jù)后，就可確定消息來自于誰。這就保證了發(fā)送者對所發(fā)信息不能抵賴。 3.1.3 消息摘要：消息摘要是一個惟一對應(yīng)一個消息或文本的值，由一個單向Hash加密函數(shù)對消息作用產(chǎn)生。在SET協(xié)議中，原文通過SHA-1算法生成消息的文摘。用發(fā)送者的私有密鑰加密摘要附在原文后面，一般稱為消息的數(shù)字簽名。 數(shù)字簽名的接受者可以確信消息確實來自誰，另外，如果消息在途中改變了，則接收者通過對收到消息的新產(chǎn)生的摘要與原摘要比較，就可知道消息是否被改變了。因此消息摘要保證了消息的完整性。加密的有效性取決于加密算法DES和RSA的強度以及SHA-1算法的有效性。 3.1.4 雙重簽名：為了保證消費者的賬號等重要信息對商家隱蔽，SET中采用了雙重簽名技術(shù)，它是SET推出的數(shù)字簽名的新應(yīng)用?？紤]下面的情況，王先生要買李小姐的一處房產(chǎn)，他發(fā)給李小姐一個購買報價單及他對銀行的授權(quán)書的消息，要求銀行：如果李小姐同意按此價格出賣，則將錢劃到李小姐的賬上。但是王先生不想讓銀行看到報價，也不想讓李小姐看到他的銀行賬號信息。此外，報價和付款是相連、不可分割的，僅當(dāng)李小姐同意他的報價，錢才會轉(zhuǎn)移。要達(dá)到這個要求，采用雙重簽名即可實現(xiàn)。具體的實現(xiàn)方法是：首先生成兩條消息的摘要，將兩個摘要連接起來，生成一個新的摘要（稱為雙重簽名），然后用簽發(fā)者的私有密鑰加密，為了讓接收者驗證雙重簽名，還必須將另外一條消息的摘要一塊傳過去。這樣，任何一個消息的接收者都可以通過以下方法驗證消息的真實性：生成消息摘要，將它和另外一個消息摘要連接起來，生成新的摘要，如果它與解密后的雙重簽名相等，就可以確定消息是真實的。拿上面的例子來說，如果李小姐同意，它發(fā)一個消息給銀行表示她同意，另外包括報價單的消息摘要，銀行能驗證王先生授權(quán)的真實性，用張先生的授權(quán)書生成的摘要和李小姐消息中的報價單的摘要驗證雙重簽名。銀行根據(jù)雙重簽名可以判定報價單的真實性，但卻看不到報價單的內(nèi)容。3.2 在SSL協(xié)議中的應(yīng)用SSL (Secure socket Layer)安全套接層協(xié)議是Netscape Communication公司基于WEB應(yīng)用的安全協(xié)議，主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護瀏覽器和Web服務(wù)器之間信息傳輸?shù)臋C密性和完整性。對于電子商務(wù)應(yīng)用來說，使用SSL可保證信息的真實性、完整性和保密性。安全套接層協(xié)議能使用戶/服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽，并且始終對服務(wù)器進行認(rèn)證，還可選擇對用戶進行認(rèn)證。SSL是利用公開密鑰的加密技術(shù)（RSA）來作為用戶端與服務(wù)器端在傳送機密資料時的加密通訊協(xié)定。SSL協(xié)議要求建立在可靠的傳輸層協(xié)議(TCP)之上。SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨立無關(guān)的，高層的應(yīng)用層協(xié)議(例如：HTTP，F(xiàn)TP，TELNET等)能透明地建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商及服務(wù)器認(rèn)證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信的私密性。但由于SSL不對應(yīng)用層的消息進行數(shù)字簽名，因此不能提供交易的不可否認(rèn)性，這是SSL在電子商務(wù)中使用的最大不足。3.3 在S-HTTP協(xié)議中的應(yīng)用 它是HTTP協(xié)議的擴展，依靠密鑰對的加密，保障Web站點間的交易信息傳輸?shù)陌踩?，促進電子商務(wù)的發(fā)展。由于SSL的迅速出現(xiàn)，S-HTTP未能得到廣泛應(yīng)用。 S-HTTP使用HTTP的MIME網(wǎng)絡(luò)數(shù)據(jù)包進行簽名、驗證和加密，數(shù)據(jù)加密可以采用對稱或非對稱加密。通過S-HTTP，安全服務(wù)器以加密和簽名信息回答請求。在對客戶驗證簽名及身份時，驗證是通過服務(wù)器的私鑰實現(xiàn)，該私鑰用來產(chǎn)生服務(wù)器的數(shù)字簽名，當(dāng)信息發(fā)給客戶時，服務(wù)器將其公鑰證書和簽名信息一起發(fā)往客戶，客戶便可以驗證發(fā)送者身份，服務(wù)器也可以用同樣的過程來驗證發(fā)自客戶的數(shù)字簽名。S-HTTP的范圍覆蓋了Web客戶和服務(wù)器。3.4 在STT協(xié)議中的應(yīng)用安全交易技術(shù)協(xié)議(STT：Secure Transaction Technology)由Microsoft公司提出，STT將認(rèn)證和解密在瀏覽器中分離開，用以提高安全控制能力。Microsoft將在Internet Explorer中采用這一技術(shù)。STT(Visa/Microsoft) 、 SEPP(MasterCard) 和 iKP 協(xié)議族 (IBM) 等協(xié)議組成了SET協(xié)議。3.5 在網(wǎng)絡(luò)安全支付系統(tǒng)中的應(yīng)用在網(wǎng)絡(luò)交易的過程中，電子支付是最重要的環(huán)節(jié)，而網(wǎng)絡(luò)支付手段的安全性又是電子商務(wù)安全的核心內(nèi)容。目前較為普及的貨幣形式的電子支付(如信用卡)以外，數(shù)字貨幣也正在不斷完善之中。3.5.1 信用卡的電子支付電子支付的目的是讓網(wǎng)絡(luò)的消費者方便可靠地向商業(yè)機構(gòu)付款。以信用卡付款系統(tǒng)為例，附圖顯示了電子支付的工作流程。商業(yè)銷售公司購買安裝電子支付服務(wù)器軟件，到銀行注冊使用它。軟件在WWW上運行，接受用戶的購物請求。用戶在個人計算機上安裝“錢夾”軟件，用來加密儲存用戶的多個信用卡信息，保證信息在網(wǎng)絡(luò)的安全傳輸。其操作步驟如下。顧客從“錢夾”中把選出的信用卡號用電子支付系統(tǒng)的公鑰加密與購物訂單合并，再用銷售機構(gòu)的公鑰加密發(fā)送到商店的服務(wù)器。商店服務(wù)器收到訂單后解密，取出信用卡信息，再把它發(fā)給電子支付服務(wù)公司。電子支付服務(wù)公司的服務(wù)器收到請求后，把加密的信用卡信息通過防火墻傳輸?shù)狡溆布饷芎万炞C裝置里，解密并取出信用卡號。與銀行聯(lián)系，檢查信用卡號的正確性，看看用戶是否超過透支限額，然后將信息反饋給商店服務(wù)器。商店服務(wù)器得到肯定答復(fù)后，訂單得以通過。信用卡的電子支付也存在一些不足，它不能隱匿消費者的身份，消費者的交易信息會留下記錄。此外，信用卡的運行維護費用較高，加重了消費者的額外負(fù)擔(dān)。3.5.2數(shù)字貨幣數(shù)字貨幣是一種正在完善的更為簡便安全的支付工具，其優(yōu)勢體現(xiàn)在以下兩個方面。安全保密性 它具有面值和序號，可供商業(yè)部門和銀行識別，可在網(wǎng)上傳輸，與消費者的特征無任何聯(lián)系。數(shù)字貨幣的匿名性質(zhì)使其不會泄露消費者的個人隱私。微支持 數(shù)字貨幣允許支付小于現(xiàn)有貨幣面額的數(shù)額。雖然單位數(shù)目微不足道，但如果基礎(chǔ)組織交易量巨大，則總量很多。商業(yè)機構(gòu)可以通過大量的“微”消費而贏利。數(shù)字貨幣的內(nèi)容采用加密技術(shù)，或?qū)⑵浯鎯υ趲Ъ用芎头榔茐牡目ㄆ稀Ｒ恍?shù)字貨幣需要軟件執(zhí)行，另一些則需要新硬件(如智能卡)。智能卡與信息卡相似，帶有一個存儲信息的微處理器，它可使用數(shù)字簽名及其他的加密形式，因而比普通信用卡更安全。大多數(shù)類型的數(shù)字貨幣都有自己的協(xié)議，用于消費者、銷售商和發(fā)行者間交換金融申請。該協(xié)議由后端服務(wù)器軟件和客戶方的“錢夾”軟件執(zhí)行。錢夾軟件可以用來生成數(shù)字貨幣的序號，加密與銀行的通信等。實現(xiàn)數(shù)字貨幣的技術(shù)例子有CyberCash Inc的CyberCash和CyberCoin()、DigiCash Inc的eCash()以及Digital Equipment MilliCent()。使用數(shù)字貨幣也存在一些問題，比如數(shù)字貨幣極易被復(fù)制，因此只能一次性使用; 此外，它在流通過程中的每一步都需要銀行的直接參與，交易商、消費者和銀行三方都需要互相保留數(shù)字簽名的“收據(jù)”，以供日后核實; 還有，數(shù)字貨幣只要被偷看就等于丟失，且無法找回。3.5.3網(wǎng)上安全支付系統(tǒng)中數(shù)據(jù)信息的處理流程網(wǎng)上安全支付系統(tǒng)是電子商務(wù)網(wǎng)絡(luò)安全的關(guān)鍵，其處理流程如下： 應(yīng)用層負(fù)責(zé)對支付數(shù)據(jù)進行與業(yè)務(wù)有關(guān)的處理，如驗證密碼的有效性、指定購買的商品、該付多少錢等； 然后將信息編碼后送安全層進行處理，如做摘要、做簽名、做信封等； 最后由通訊層發(fā)往接收方。接收方的處理流程正好與發(fā)送方相反，它先由通訊層接收發(fā)送方的數(shù)據(jù)，然后由安全層進行安全認(rèn)證處理，最后由應(yīng)用層處理業(yè)務(wù)數(shù)據(jù)。整個流程也可如下圖表示：發(fā)方應(yīng)用層驗證密碼/指定購買的商品/付的錢數(shù)等發(fā)送方安全層做摘要/做簽名/做信封等通訊層互通信息接收方應(yīng)用層驗證密碼/購買的商品/付的錢數(shù)等接收方安全層驗證摘要/簽名/信封等圖4 網(wǎng)上安全支付系統(tǒng)流程示意簡圖3.6 在CA認(rèn)證中的應(yīng)用在電子交易中，無論是數(shù)字時間戳服務(wù)（DTS）還是數(shù)字憑證(Digital ID)的發(fā)放,都不是靠交易的雙方自己能完成的,而需要有一個具有權(quán)威性和公正性的第三方(third party)來完成。認(rèn)證中心（CA）就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書、并能確認(rèn)用戶身份的服務(wù)機構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機構(gòu)，主要任務(wù)是受理數(shù)字憑證的申請、簽發(fā)及對數(shù)字憑證的管理。認(rèn)證中心依據(jù)認(rèn)證操作規(guī)定(CPS：Certification Practice Statement)來實施服務(wù)操作。四 基于密碼技術(shù)通過數(shù)字信封的應(yīng)用保障電子商務(wù)安全通過在網(wǎng)上安全支付系統(tǒng)中使用密碼技術(shù)可在一定程度上實現(xiàn)電子商務(wù)交易的安全，網(wǎng)上安全支付系統(tǒng)可以使用的協(xié)議有HTTP協(xié)議, 基本TCP/IP協(xié)議等。HTTP協(xié)議中HTTP-Header屬性Content-Length表示需要發(fā)送的支付數(shù)據(jù)流長度, 即：Content-Length ： ddd， HTTP-Body由支付消息MessageWrapper編碼后二進制結(jié)果組成；基本TCP/IP協(xié)議中實際傳輸?shù)臄?shù)據(jù)由兩部分組成：數(shù)據(jù)頭(8 Bytes) 支付數(shù)據(jù)流(MessageWrapper編碼結(jié)果)數(shù)據(jù)頭由8字節(jié)組成, 格式為數(shù)字字符串(該格式與操作系統(tǒng)無關(guān)), 右對齊, 不夠時左補空格；支付數(shù)據(jù)流是支付消息MessageWrapper編碼后二進制結(jié)果。網(wǎng)上安全支付系統(tǒng)中處理數(shù)據(jù)的流程已經(jīng)在上一部分作了簡要介紹，以下是使用密碼算法以封裝或者獲取想要的數(shù)據(jù)。4.1可以使用的密碼算法4.1.1對稱加密算法 加密c = C(k, t)操作流程：輸入明文t, 經(jīng)過C函數(shù)，用密鑰k操作，產(chǎn)生密文c。 解密t = C(k, c)操作流程：輸入密文c, 經(jīng)過C函數(shù)，用密鑰k操作，產(chǎn)生明文t。建議：在用到對稱加密的地方使用sdbi算法。4.1.2非對稱加密算法 加密c = C(k1, t)操作流程：輸入明文t, 經(jīng)過C函數(shù)，用密鑰k1操作，產(chǎn)生密文c。 解密t = C(k2, c)解密操作流程：輸入密文c, 經(jīng)過C函數(shù)，用密鑰k2操作，產(chǎn)生明文t。注：k1、k2是對應(yīng)的公鑰和私鑰，（若k1為公鑰則k2為私鑰，反之亦然），即用其中的一個加密后，必須用另一個解密。建議：在用到非對稱加密的地方使用RSA算法。4.2 結(jié)構(gòu)數(shù)據(jù)的類型4.2.1 內(nèi)容信息結(jié)構(gòu)ContentInfo := SEQUENCE type ContentType,content 0 EXPLICIT ANY DEFINED BY contentType OPTIONALtype說明內(nèi)容的類型，其值為OBJECT IDENTIFEIR，如為一般數(shù)據(jù)、簽名數(shù)據(jù)、信封數(shù)據(jù)、摘要數(shù)據(jù)、加密數(shù)據(jù)等。content為對應(yīng)的數(shù)據(jù)的值。4.2.2 算法標(biāo)識結(jié)構(gòu)AlgorithmIdentifier := SEQUENCE algorithm OBJECT IDENTIFIER,parameters ANY DEFINED BY algorithm OPTIONALalgorithm指定算法類型，如sha1、rsa算法等。param