信息化觀察網(wǎng)

為了保證數(shù)據(jù)在網(wǎng)絡(luò)中安全傳輸、不被攻擊者非法竊聽和惡意篡改，發(fā)送方在發(fā)送數(shù)據(jù)之前需要對數(shù)據(jù)進行加密處理，即通過一定的算法，利用密鑰將明文數(shù)據(jù)變換為密文數(shù)據(jù)；接收方接收到密文數(shù)據(jù)后，需要對其進行解密處理，即通過一定的算法，利用密鑰將密文數(shù)據(jù)恢復(fù)為明文數(shù)據(jù)，以獲得原始數(shù)據(jù)。密鑰管理技術(shù)則是指通過公開密鑰加密技術(shù)實現(xiàn)對稱密鑰管理的技術(shù)，可以使相應(yīng)的管理變得簡單和更加安全，同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。

如果數(shù)據(jù)加密和解密時使用不同的密鑰，則該加/解密算法稱為非對稱密鑰算法。在非對稱密鑰算法中，加密和解密使用的密鑰一個是對外公開的公鑰，一個是由用戶秘密保存的私鑰，從公鑰很難推算出私鑰。公鑰和私鑰一一對應(yīng)，二者統(tǒng)稱為非對稱密鑰對。通過公鑰（或私鑰）加密后的數(shù)據(jù)只能利用對應(yīng)的私鑰（或公鑰）進行解密。

采用對稱加密技術(shù)的雙方必須要保證采用的是相同的密鑰，要保證彼此密鑰的交換是安全可靠的，同時還要設(shè)定防止密鑰泄密和更改密鑰的程序。通過公開密鑰加密技術(shù)實現(xiàn)對稱密鑰的管理使相應(yīng)的管理變得簡單和更加安全，同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。

可以為每次交換的信息（如每次的EDI交換）生成唯一一把對稱密鑰并用公開密鑰對該密鑰進行加密，然后再將加密后的密鑰和用該密鑰加密的信息（如EDI交換）一起發(fā)送給相應(yīng)的一方。由于對每次信息交換都對應(yīng)生成了唯一一把密鑰，因此各方就不再需要對密鑰進行維護和擔(dān)心密鑰的泄露或過期。這種方式的另一優(yōu)點是，即使泄露了一把密鑰也只將影響一筆交易，而不會影響到貿(mào)易雙方之間所有的交易關(guān)系。

非對稱密鑰算法包括RSA（Rivest Shamir and Adleman）、DSA（Digital Signature Algorithm，數(shù)字簽名算法）和ECDSA（Elliptic Curve Digital Signature Algorithm，橢圓曲線數(shù)字簽名算法）等。非對稱密鑰算法主要有兩個用途：

1、對發(fā)送的數(shù)據(jù)進行加/解密：發(fā)送者利用接收者的公鑰對數(shù)據(jù)進行加密，只有擁有對應(yīng)私鑰的接收者才能使用該私鑰對數(shù)據(jù)進行解密，從而可以保證數(shù)據(jù)的機密性。目前，只有RSA算法可以用來對發(fā)送的數(shù)據(jù)進行加/解密。

2、對數(shù)據(jù)發(fā)送者的身份進行認(rèn)證：非對稱密鑰算法的這種應(yīng)用，稱為數(shù)字簽名。發(fā)送者利用自己的私鑰對數(shù)據(jù)進行加密，接收者利用發(fā)送者的公鑰對數(shù)據(jù)進行解密，從而實現(xiàn)對數(shù)據(jù)發(fā)送者身份的驗證。由于只能利用對應(yīng)的公鑰對通過私鑰加密后的數(shù)據(jù)進行解密，因此根據(jù)解密是否成功，就可以判斷發(fā)送者的身份是否合法，如同發(fā)送者對數(shù)據(jù)進行了"簽名"。目前，RSA、DSA和ECDSA都可以用于數(shù)字簽名。

密鑰管理相關(guān)的標(biāo)準(zhǔn)規(guī)范。目前國際有關(guān)的標(biāo)準(zhǔn)化機構(gòu)都著手制定關(guān)于密鑰管理的技術(shù)標(biāo)準(zhǔn)規(guī)范。ISO與IEC下屬的信息技術(shù)委員會(JTC1)已起草了關(guān)于密鑰管理的國際標(biāo)準(zhǔn)規(guī)范。該規(guī)范主要由三部分組成：一是密鑰管理框架；二是采用對稱技術(shù)的機制；三是采用非對稱技術(shù)的機制。