金融数据加密技术

‘壹’ 银行金融业为什么需要使用SSL证书

数据加密传输是金融行业基础安全。

解释原因：

1. SSL协议是一种安全加密的通信协议，现在是安全的全球标准。SSL证书就是遵守SSL协议，在Web服务器和浏览器之间创建加密连接，以确保传输的所有数据保持私密和安全。

2. SSL证书使用两个密钥来加密数据，公钥（所有人知道）和私钥（只有消息接收者知道）。公钥用于加密信息，私钥用于解密。当Web浏览器指向安全域时，安全套接字层握手会对服务器和客户端进行身份验证。使用唯一会话密钥建立加密方法。
   

3. 银行金融业拥有大量客户的敏感信息，且每天都有高额交易需要进行，当这些机构提供的网络和Web应用程序没有足够的安全措施来阻止黑客窃取数据时，就会出现严重的安全问题。而且由于黑客每天都在开发越来越复杂的攻击方法，因此需要确保机构的数据安全措施有效可靠，这是一项持续而复杂的任务。

4. 银行网络安全面临的威胁包括未加密的数据、操纵数据、欺骗等等，利用当前最新的安全技术是很好的防范方法。如果没有适当的安全协议，组织机构就无法地狱来自外部和内部的威胁。为了使客户的财务数据安全，所有银行和金融机构都必须使用SSL证书。任何银行或金融机构使用不安全的网络来通过金融交易是绝对不可接受的。

解决办法：银行金融机构需要增强型EV SSL证书

EV SSL证书显示HTTPS和安全锁，还有组织机构名称以及绿色地址栏，这是通过互联网信任网站的第一安全指示器，它表示业务是合法的，用户无需担心隐私和安全个人敏感信息。

‘贰’ “DES”的名词解释

DES全称为Data Encryption Standard，即数据加密标准，是一种使用密钥加密的块算法。

1977年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），并授权在非密级政府通信中使用，随后该算法在国际上广泛流传开来。需要注意的是，在某些文献中，作为算法的DES称为数据加密算法，已与作为标准的DES区分开来。

DES设计中使用了分组密码设计的两个原则：混淆和扩散，其目的是抗击敌手对密码系统的统计分析。混淆是使密文的统计特性与密钥的取值之间的关系尽可能复杂化，以使密钥和明文以及密文之间的依赖性对密码分析者来说是无法利用的。

(2)金融数据加密技术扩展阅读

DES使用56位密钥对64位的数据块进行加密，并对64位的数据块进行16轮编码。与每轮编码时，一个48位的“每轮”密钥值由56位的完整密钥得出来。DES用软件进行解码需要用很长时间，而用硬件解码速度非常快。

在1977年，人们估计要耗资两千万美元才能建成一个专门计算机用于DES的解密，而且需要12个小时的破解才能得到结果。所以，当时DES被认为是一种十分强壮的加密方法。

随着攻击技术的发展，DES本身又有发展，如衍生出可抗差分分析攻击的变形DES以及密钥长度为128比特的三重DES等。

‘叁’ 目前的数字认证和加密算法的主要技术及其应用

1. 什么是数字证书？
数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。
一个标准的X.509数字证书包含以下一些内容：
证书的版本信息；
证书的序列号，每个证书都有一个唯一的证书序列号；
证书所使用的签名算法；
证书的发行机构名称，命名规则一般采用X.500格式；
证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；
证书所有人的名称，命名规则一般采用X.500格式；
证书所有人的公开密钥；
证书发行者对证书的签名。
使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。
2. 为什么要使用数字证书？
由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须保证在因特网上进行的一切金融交易运作都是真实可靠的，并且要使顾客、商家和企业等交易各方都具有绝对的信心，因而因特网电子商务系统必须保证具有十分可靠的安全保密技术，也就是说，必须保证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。
信息的保密性
交易中的商务信息均有保密的要求，如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
交易者身份的确定性
网上交易的双方很可能素昧平生，相隔千里。要使交易成功首先要能确认对方的身份，商家要考虑客户端是不是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动，都要进行身份认证的工作。对有关的销售商店来说，他们对顾客所用的信用卡的号码是不知道的，商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种保密与识别方法，确认顾客的身份是否合法，同时还要防止发生拒付款问题以及确认订货和订货收据信息等。
不可否认性
由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能否认受到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。
不可修改性
由于商情的千变万化，交易一旦达成应该是不能被否认的。否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能否认收到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。
数字安全证书提供了一种在网上验证身份的方式。安全证书体制主要采用了公开密钥体制，其它还包括对称密钥加密、数字签名、数字信封等技术。
我们可以使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。
3. 数字认证原理
数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。
在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私有密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送以商户，然后由商户用自己的私有密钥进行解密。
如果用户需要发送加密数据，发送方需要使用接收方的数字证书（公开密钥）对数据进行加密，而接收方则使用自己的私有密钥进行解密，从而保证数据的安全保密性。
另外，用户可以通过数字签名实现数据的完整性和有效性，只需采用私有密钥对数据进行加密处理，由于私有密钥仅为用户个人拥有，从而能够签名文件的唯一性，即保证：数据由签名者自己签名发送，签名者不能否认或难以否认；数据自签发到接收这段过程中未曾作过任何修改，签发的文件是真实的。
4. 数字证书是如何颁发的？
数字证书是由认证中心颁发的。根证书是认证中心与用户建立信任关系的基础。在用户使用数字证书之前必须首先下载和安装。
认证中心是一家能向用户签发数字证书以确认用户身份的管理机构。为了防止数字凭证的伪造，认证中心的公共密钥必须是可靠的，认证中心必须公布其公共密钥或由更高级别的认证中心提供一个电子凭证来证明其公共密钥的有效性，后一种方法导致了多级别认证中心的出现。
数字证书颁发过程如下：用户产生了自己的密钥对，并将公共密钥及部分个人身份信息传送给一家认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内附了用户和他的密钥等信息，同时还附有对认证中心公共密钥加以确认的数字证书。当用户想证明其公开密钥的合法性时，就可以提供这一数字证书。
5. 加密技术
由于数据在传输过程中有可能遭到侵犯者的窃听而失去保密信息，加密技术是电子商务采取的主要保密安全措施，是最常用的保密安全手段。加密技术也就是利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。
加密包括两个元素：算法和密钥。一个加密算法是将普通的文本（或者可以理解的信息）与一窜数字（密钥）的结合，产生不可理解的密文的步骤。密钥和算法对加密同等重要。
密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制，来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。
相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（DES，Data Encryption Standard）算法为典型代表，非对称加密通常以RSA（Rivest Shamir Ad1eman）算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。

‘肆’ DES和AES算法的比较，各自优缺点有哪些

一、数据加密标准不同

1、DES算法的入口参数有三个：Key、Data、Mode。

其中Key为7个字节共56位，是DES算法的工作密钥；Data为8个字节64位，是要被加密或被解密的数据；Mode为DES的工作方式,有两种:加密或解密。

2、AES的基本要求是，采用对称分组密码体制，密钥的长度最少支持为128、192、256，分组长度128位，算法应易于各种硬件和软件实现。

因此AES的密钥长度比DES大， 它也可设定为32比特的任意倍数，最小值为128比特，最大值为256 比特，所以用穷举法是不可能破解的。

二、运行速度不同

1、作为分组密码，DES的加密单位仅有64位二进制，这对于数据传输来说太小，因为每个分组仅含8个字符，而且其中某些位还要用于奇偶校验或其他通讯开销。处理速度慢、加密耗时

2、AES对内存的需求非常低，运算速度快，在有反馈模式、无反馈模式的软硬件中，Rijndael都表现出非常好的性能。

三、适用范围不同

1、数据加密标准，速度较快，适用于加密大量数据的场合。DES在安全上是脆弱的，但由于快速DES芯片的大量生产，使得DES仍能暂时继续使用，为提高安全强度，通常使用独立密钥的三级DES

2、AES 适用于8位的小型单片机或者普通的32位微处理器,并且适合用专门的硬件实现，硬件实现能够使其吞吐量（每秒可以到达的加密/解密bit数）达到十亿量级。同样，其也适用于RFID系统。