金融數據加密技術

『壹』 銀行金融業為什麼需要使用SSL證書

數據加密傳輸是金融行業基礎安全。

解釋原因：

1. SSL協議是一種安全加密的通信協議，現在是安全的全球標准。SSL證書就是遵守SSL協議，在Web伺服器和瀏覽器之間創建加密連接，以確保傳輸的所有數據保持私密和安全。

2. SSL證書使用兩個密鑰來加密數據，公鑰（所有人知道）和私鑰（只有消息接收者知道）。公鑰用於加密信息，私鑰用於解密。當Web瀏覽器指向安全域時，安全套接字層握手會對伺服器和客戶端進行身份驗證。使用唯一會話密鑰建立加密方法。
   

3. 銀行金融業擁有大量客戶的敏感信息，且每天都有高額交易需要進行，當這些機構提供的網路和Web應用程序沒有足夠的安全措施來阻止黑客竊取數據時，就會出現嚴重的安全問題。而且由於黑客每天都在開發越來越復雜的攻擊方法，因此需要確保機構的數據安全措施有效可靠，這是一項持續而復雜的任務。

4. 銀行網路安全面臨的威脅包括未加密的數據、操縱數據、欺騙等等，利用當前最新的安全技術是很好的防範方法。如果沒有適當的安全協議，組織機構就無法地獄來自外部和內部的威脅。為了使客戶的財務數據安全，所有銀行和金融機構都必須使用SSL證書。任何銀行或金融機構使用不安全的網路來通過金融交易是絕對不可接受的。

解決辦法：銀行金融機構需要增強型EV SSL證書

EV SSL證書顯示HTTPS和安全鎖，還有組織機構名稱以及綠色地址欄，這是通過互聯網信任網站的第一安全指示器，它表示業務是合法的，用戶無需擔心隱私和安全個人敏感信息。

『貳』 「DES」的名詞解釋

DES全稱為Data Encryption Standard，即數據加密標准，是一種使用密鑰加密的塊演算法。

1977年被美國聯邦政府的國家標准局確定為聯邦資料處理標准（FIPS），並授權在非密級政府通信中使用，隨後該演算法在國際上廣泛流傳開來。需要注意的是，在某些文獻中，作為演算法的DES稱為數據加密演算法，已與作為標準的DES區分開來。

DES設計中使用了分組密碼設計的兩個原則：混淆和擴散，其目的是抗擊敵手對密碼系統的統計分析。混淆是使密文的統計特性與密鑰的取值之間的關系盡可能復雜化，以使密鑰和明文以及密文之間的依賴性對密碼分析者來說是無法利用的。

(2)金融數據加密技術擴展閱讀

DES使用56位密鑰對64位的數據塊進行加密，並對64位的數據塊進行16輪編碼。與每輪編碼時，一個48位的「每輪」密鑰值由56位的完整密鑰得出來。DES用軟體進行解碼需要用很長時間，而用硬體解碼速度非常快。

在1977年，人們估計要耗資兩千萬美元才能建成一個專門計算機用於DES的解密，而且需要12個小時的破解才能得到結果。所以，當時DES被認為是一種十分強壯的加密方法。

隨著攻擊技術的發展，DES本身又有發展，如衍生出可抗差分分析攻擊的變形DES以及密鑰長度為128比特的三重DES等。

『叄』 目前的數字認證和加密演算法的主要技術及其應用

1. 什麼是數字證書？
數字證書就是網路通訊中標志通訊各方身份信息的一系列數據，其作用類似於現實生活中的身份證。它是由一個權威機構發行的，人們可以在交往中用它來識別對方的身份。
最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有效時間，發證機關(證書授權中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標准。
一個標準的X.509數字證書包含以下一些內容：
證書的版本信息；
證書的序列號，每個證書都有一個唯一的證書序列號；
證書所使用的簽名演算法；
證書的發行機構名稱，命名規則一般採用X.500格式；
證書的有效期，現在通用的證書一般採用UTC時間格式，它的計時范圍為1950-2049；
證書所有人的名稱，命名規則一般採用X.500格式；
證書所有人的公開密鑰；
證書發行者對證書的簽名。
使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己的信息不能抵賴。
2. 為什麼要使用數字證書？
由於Internet網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息，但同時也增加了對某些敏感或有價值的數據被濫用的風險。買方和賣方都必須保證在網際網路上進行的一切金融交易運作都是真實可靠的，並且要使顧客、商家和企業等交易各方都具有絕對的信心，因而網際網路電子商務系統必須保證具有十分可靠的安全保密技術，也就是說，必須保證網路安全的四大要素，即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份的確定性。
信息的保密性
交易中的商務信息均有保密的要求，如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。
交易者身份的確定性
網上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認對方的身份，商家要考慮客戶端是不是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對於為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務活動，都要進行身份認證的工作。對有關的銷售商店來說，他們對顧客所用的信用卡的號碼是不知道的，商店只能把信用卡的確認工作完全交給銀行來完成。銀行和信用卡公司可以採用各種保密與識別方法，確認顧客的身份是否合法，同時還要防止發生拒付款問題以及確認訂貨和訂貨收據信息等。
不可否認性
由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。
不可修改性
由於商情的千變萬化，交易一旦達成應該是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認收到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。
數字安全證書提供了一種在網上驗證身份的方式。安全證書體制主要採用了公開密鑰體制，其它還包括對稱密鑰加密、數字簽名、數字信封等技術。
我們可以使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己的信息不能抵賴。
3. 數字認證原理
數字證書採用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，為一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。
在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私有密鑰），在計算上是不可能的。按現在的計算機技術水平，要破解目前採用的1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送以商戶，然後由商戶用自己的私有密鑰進行解密。
如果用戶需要發送加密數據，發送方需要使用接收方的數字證書（公開密鑰）對數據進行加密，而接收方則使用自己的私有密鑰進行解密，從而保證數據的安全保密性。
另外，用戶可以通過數字簽名實現數據的完整性和有效性，只需採用私有密鑰對數據進行加密處理，由於私有密鑰僅為用戶個人擁有，從而能夠簽名文件的唯一性，即保證：數據由簽名者自己簽名發送，簽名者不能否認或難以否認；數據自簽發到接收這段過程中未曾作過任何修改，簽發的文件是真實的。
4. 數字證書是如何頒發的？
數字證書是由認證中心頒發的。根證書是認證中心與用戶建立信任關系的基礎。在用戶使用數字證書之前必須首先下載和安裝。
認證中心是一家能向用戶簽發數字證書以確認用戶身份的管理機構。為了防止數字憑證的偽造，認證中心的公共密鑰必須是可靠的，認證中心必須公布其公共密鑰或由更高級別的認證中心提供一個電子憑證來證明其公共密鑰的有效性，後一種方法導致了多級別認證中心的出現。
數字證書頒發過程如下：用戶產生了自己的密鑰對，並將公共密鑰及部分個人身份信息傳送給一家認證中心。認證中心在核實身份後，將執行一些必要的步驟，以確信請求確實由用戶發送而來，然後，認證中心將發給用戶一個數字證書，該證書內附了用戶和他的密鑰等信息，同時還附有對認證中心公共密鑰加以確認的數字證書。當用戶想證明其公開密鑰的合法性時，就可以提供這一數字證書。
5. 加密技術
由於數據在傳輸過程中有可能遭到侵犯者的竊聽而失去保密信息，加密技術是電子商務採取的主要保密安全措施，是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地後再用相同或不同的手段還原（解密）。
加密包括兩個元素：演算法和密鑰。一個加密演算法是將普通的文本（或者可以理解的信息）與一竄數字（密鑰）的結合，產生不可理解的密文的步驟。密鑰和演算法對加密同等重要。
密鑰是用來對數據進行編碼和解碼的一種演算法。在安全保密中，可通過適當的密鑰加密技術和管理機制，來保證網路的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。
相應地，對數據加密的技術分為兩類，即對稱加密（私人密鑰加密）和非對稱加密（公開密鑰加密）。對稱加密以數據加密標准（DES，Data Encryption Standard）演算法為典型代表，非對稱加密通常以RSA（Rivest Shamir Ad1eman）演算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。

『肆』 DES和AES演算法的比較，各自優缺點有哪些

一、數據加密標准不同

1、DES演算法的入口參數有三個：Key、Data、Mode。

其中Key為7個位元組共56位，是DES演算法的工作密鑰；Data為8個位元組64位，是要被加密或被解密的數據；Mode為DES的工作方式,有兩種:加密或解密。

2、AES的基本要求是，採用對稱分組密碼體制，密鑰的長度最少支持為128、192、256，分組長度128位，演算法應易於各種硬體和軟體實現。

因此AES的密鑰長度比DES大， 它也可設定為32比特的任意倍數，最小值為128比特，最大值為256 比特，所以用窮舉法是不可能破解的。

二、運行速度不同

1、作為分組密碼，DES的加密單位僅有64位二進制，這對於數據傳輸來說太小，因為每個分組僅含8個字元，而且其中某些位還要用於奇偶校驗或其他通訊開銷。處理速度慢、加密耗時

2、AES對內存的需求非常低，運算速度快，在有反饋模式、無反饋模式的軟硬體中，Rijndael都表現出非常好的性能。

三、適用范圍不同

1、數據加密標准，速度較快，適用於加密大量數據的場合。DES在安全上是脆弱的，但由於快速DES晶元的大量生產，使得DES仍能暫時繼續使用，為提高安全強度，通常使用獨立密鑰的三級DES

2、AES 適用於8位的小型單片機或者普通的32位微處理器,並且適合用專門的硬體實現，硬體實現能夠使其吞吐量（每秒可以到達的加密/解密bit數）達到十億量級。同樣，其也適用於RFID系統。