常见加密技术及其在第三方支付中的应用

　　本文为第三方支付技术与监督，其中一章节，如需查看全文，请点击：《第三方支付技术与监督》全文

　　加密技术是第三方支付采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一串数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DataEncryptionStandard,DES)算法为典型代表,非对称加密通常以RSA(RivestShamirAdleman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。

　　(1)对称加密

　　对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,这种方法在密码学中称为对称加密算法,对称加密算法使用起来简单快捷,密钥较短，且破译困难,除了数据加密标准(DES),另一个对称密钥加密系统是国际数据加密算法(IDEA),它比DES的加密性好,而且对计算机功能的要求也没有那么高。IDEA加密标准由PGP(Pretty Good Privacy) 系统使用。

　　在这种技术中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。对称的加密方法简化了加密的处理过程，每个参与交易方不需要彼此研究和交换专用的加密算法,而是采用相同的加密算法,并只交换共享的专用密钥。如果交易方能够确保专用密钥没有在密钥传输阶段被泄露,那么消息的机密性和报文的完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或者报文散列值来实现。所以对称加密技术存在交易方确保密钥安全交换的问题。

　　美国国家标准局提出的DES标准是目前广泛采用的对称加密技术之一。DES密钥长度为56位。目前,对称密钥加密多用于金融机构加密个人识别号(PersonalIdentifica-tion Numbers , PINs)。

　　(2)非对称加密

　　1976年,美国学者Dime和Henman为解决信息公开传信送和密钥管理问题,提出一种新的密钥交换协议,允许在不安全的媒体上的通信双方交换信息,安全地达成一致的密钥,这就是“公开密钥系统”。相对于“对称加密算法”,这种方法也称为“非对称加密算法”。与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法称为非对称加密算法。

　　在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥具有数学关系，一旦由一把加密后,只能由另一把解密。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为专用密钥(解密密钥)加以保存。公开密钥用于对机密信息的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的一方掌握。公开密钥可以广泛发布，只对应于生成该密钥对的贸易方。利用非对称密钥技术实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中一把作为公开密钥发布,得到该密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给甲,甲再用自己保存的另一把专用密钥对加密后的信息进行解密。

　　目前在非对称加密技术中,RSA算法是最为著名的算法,但是它存在的一个主要问题就是运算速度太慢,所以通常只用于信息量较小的加密运算,对于信息量大的加密,公开密钥加密用于对称加密方法中的密钥的加密。

　　(3)数字签名

　　数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。

　　数字签名的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,然后将这个数字签名作为报文的附件和报文一起发送给报文的接收方。接收方首先从收到的原始报文中计算出128位的散列值(或摘要),接着再用发送方的公钥对报文附加的数字签名进行解密。如果两个散列值相同,接收方就确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。

　　数字签名能够实现的功能:保证信息传输的完整性;发送者的身份认证;防止交易中的抵赖发生;发送方事后不能否认所发送过的消息,接收方或非法者不能伪造.篡改消息。

　　数字签名是公开密钥加密技术的另一类应用。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。

　　如果相同,则说明收到的信息是完整的,在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。

　　(4)加密技术在第三方支付中的应用

　　加密技术在第三方支付中的应用也较为广泛。第三方支付过程中涉及加密技术的主要有以下几个方面:

　　①用户的注册信息。用户注册时的相关信息需要采用加密技术，这样可以保证用户信息的安全,防止重要信息泄露。一般情况下，用户的密码都需要加密,其他的信息根据平台的不同,加密的程度也不同。

　　②用户的交易相关信息。交易过程中的大部分信息都需要加密，尤其是在支付过程中,用户输人相关的账户和密码以及金额等信息传输时更需要加密,交易订单具体信息、送货地址、身份验证信息、手机短信验证信息等也需要进行加密。

　　③用户使用相关服务提供的信息。比如手机号码、身份证号码等,这些信息也需要加密,以免泄露而对用户造成不必要的影响。