電子商務(wù)主要安全技術(shù)及其標(biāo)準(zhǔn)規(guī)范

來源：聯(lián)商網(wǎng) 2005-03-17 10:17

　　考慮到安全服務(wù)各方面要求的技術(shù)方案已經(jīng)研究出來了，安全服務(wù)可在網(wǎng)絡(luò)上任何一處加以實(shí)施。但是，在兩個(gè)貿(mào)易伙伴間進(jìn)行的EC，安全服務(wù)通常是以“端到端”形式實(shí)施的(即不考慮通信網(wǎng)絡(luò)及其節(jié)點(diǎn)上所實(shí)施的安全措施)。所實(shí)施安全的等級(jí)則是在均衡了潛在的安全危機(jī)、采取安全措施的代價(jià)及要保護(hù)信息的價(jià)值等因素后確定的。這里將介紹EC應(yīng)用過程中主要采用的幾種安全技術(shù)及其相關(guān)標(biāo)準(zhǔn)規(guī)范。　�。�1）加密技術(shù) 　　加密技術(shù)是EC采取的主要安全措施，貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前，加密技術(shù)分為兩類，即對稱加密和非對稱加密。　�、賹ΨQ加密/對稱密鑰加密/專用密鑰加密　　在對稱加密方法中，對信息的加密和解密都使用相同的密鑰。也就是說，一把鑰匙開一把鎖。使用對稱加密方法將簡化加密的處理，每個(gè)貿(mào)易方都不必彼此研究和交換專用的加密算法，而是采用相同的加密算法并只交換共享的專用密鑰。如果進(jìn)行通信的貿(mào)易方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機(jī)密性和報(bào)文完整性就可以通過對稱加密方法加密機(jī)密信息和通過隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來實(shí)現(xiàn)。對稱加密技術(shù)存在著在通信的貿(mào)易方之間確保密鑰安全交換的問題。此外，當(dāng)某一貿(mào)易方有“n”個(gè)貿(mào)易關(guān)系，那么他就要維護(hù)“n”個(gè)專用密鑰(即每把密鑰對應(yīng)一貿(mào)易方)。對稱加密方式存在的另一個(gè)問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因?yàn)橘Q(mào)易雙方共享同一把專用密鑰，貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。　　數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)由美國國家標(biāo)準(zhǔn)局提出，是目前廣泛采用的對稱加密方式之一，主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)帳(EFT)領(lǐng)域。DES的密鑰長度為56位。三重DES是DES的一種變形。這種方法使用兩個(gè)獨(dú)立的56位密鑰對交換的信息(如EDI數(shù)據(jù))進(jìn)行3次加密，從而使其有效密鑰長度達(dá)到112位。RC2和RC4方法是RSA數(shù)據(jù)安全公司的對稱加密專利算法。RC2和RC4不同于DES，它們采用可變密鑰長度的算法。通過規(guī)定不同的密鑰長度，RC2和RC4能夠提高或降低安全的程度。一些電子郵件產(chǎn)品(如Lotus Notes和Apple的Opn Collaboration Environment)已采用了這些算法。　　②非對稱加密/公開密鑰加密　　在非對稱加密體系中，密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對機(jī)密性的加密，專用密鑰則用于對加密信息的解密。專用密鑰只能由生成密鑰對的貿(mào)易方掌握，公開密鑰可廣泛發(fā)布，但它只對應(yīng)于生成該密鑰的貿(mào)易方。貿(mào)易方利用該方案實(shí)現(xiàn)機(jī)密信息交換的基本過程是:貿(mào)易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易方乙使用該密鑰對機(jī)密信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把專用密鑰對加密后的信息進(jìn)行解密。貿(mào)易方甲只能用其專用密鑰解密由其公開密鑰加密后的任何信息。 RSA(即Rivest，Shamir Adleman)算法是非對稱加密領(lǐng)域內(nèi)最為著名的算法，但是它存在的主要問題是算法的運(yùn)算速度較慢。因此，在實(shí)際的應(yīng)用中通常不采用這一算法對信息量大的信息(如大的EDI交易)進(jìn)行加密。對于加密量大的應(yīng)用，公開密鑰加密算法通常用于對稱加密方法密鑰的加密。　　（2）密鑰管理技術(shù) 　�、賹ΨQ密鑰管理　　對稱加密是基于共同保守秘密來實(shí)現(xiàn)的。采用對稱加密技術(shù)的貿(mào)易雙方必須要保證采用的是相同的密鑰，要保證彼此密鑰的交換是安全可靠的，同時(shí)還要設(shè)定防止密鑰泄密和更改密鑰的程序。這樣，對稱密鑰的管理和分發(fā)工作將變成一件潛在危險(xiǎn)的和繁瑣的過程。通過公開密鑰加密技術(shù)實(shí)現(xiàn)對稱密鑰的管理使相應(yīng)的管理變得簡單和更加安全，同時(shí)還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。貿(mào)易方可以為每次交換的信息(如每次的EDI交換)生成唯一一把對稱密鑰并用公開密鑰對該密鑰進(jìn)行加密，然后再將加密后的密鑰和用該密鑰加密的信息(如EDI交換)一起發(fā)送給相應(yīng)的貿(mào)易方。由于對每次信息交換都對應(yīng)生成了唯一一把密鑰，因此各貿(mào)易方就不再需要對密鑰進(jìn)行維護(hù)和擔(dān)心密鑰的泄露或過期。這種方式的另一優(yōu)點(diǎn)是即使泄露了一把密鑰也只將影響一筆交易，而不會(huì)影響到貿(mào)易雙方之間所有的交易關(guān)系。這種方式還提供了貿(mào)易伙伴間發(fā)布對稱密鑰的一種安全途徑。　　②公開密鑰管理/數(shù)字證書　　貿(mào)易伙伴間可以使用數(shù)字證書(公開密鑰證書)來交換公開密鑰。國際電信聯(lián)盟(ITU)制定的標(biāo)準(zhǔn)X.509(即信息技術(shù)--開放系統(tǒng)互連--目錄:鑒別框架)對數(shù)字證書進(jìn)行了定義該標(biāo)準(zhǔn)等同于國際標(biāo)準(zhǔn)化組織(ISO)與國際電工委員會(huì)(IEC)聯(lián)合發(fā)布的ISO/IEC 9594-8:195標(biāo)準(zhǔn)。數(shù)字證書通常包含有唯一標(biāo)識(shí)證書所有者(即貿(mào)易方)的名稱、唯一標(biāo)識(shí)證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號(hào)等。證書發(fā)布者一般稱為證書管理機(jī)構(gòu)(CA)，它是貿(mào)易各方都信賴的機(jī)構(gòu)。數(shù)字證書能夠起到標(biāo)識(shí)貿(mào)易方的作用，是目前EC廣泛采用的技術(shù)之一。微軟公司的InternetExplorer 3.0和網(wǎng)景公司的Navigator3.0都提供了數(shù)字證書的功能來作為身份鑒別的手段。　�、勖荑€管理相關(guān)的標(biāo)準(zhǔn)規(guī)范　　目前國際有關(guān)的標(biāo)準(zhǔn)化機(jī)構(gòu)都著手制定關(guān)于密鑰管理的技術(shù)標(biāo)準(zhǔn)規(guī)范。ISO與IEC下屬的信息技術(shù)委員會(huì)(JTC1)已起草了關(guān)于密鑰管理的國際標(biāo)準(zhǔn)規(guī)范。該規(guī)范主要由3部分組成：第1部分是密鑰管理框架；第2部分是采用對稱技術(shù)的機(jī)制；第3部分是采用非對稱技術(shù)的機(jī)制。該規(guī)范現(xiàn)已進(jìn)入到國際標(biāo)準(zhǔn)草案表決階段，并將很快成為正式的國際標(biāo)準(zhǔn)。　�。�3）數(shù)字簽名　　數(shù)字簽名是公開密鑰加密技術(shù)的另一類應(yīng)用。它的主要方式是：報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要)。發(fā)送方用自己的專用密鑰對這個(gè)散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名。然后，這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值(或報(bào)文摘要)，接著再用發(fā)送方的公開密鑰來對報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報(bào)文的鑒別和不可抵賴性。ISO/IEC JTC1已在起草有關(guān)的國際標(biāo)準(zhǔn)規(guī)范。該標(biāo)準(zhǔn)的初步題目是“信息技術(shù) 安全技術(shù)帶附件的數(shù)字簽名方案”，它由概述和基于身份的機(jī)制兩部分構(gòu)成。　�。�4）Internet電子郵件的安全協(xié)議　　電子郵件是Internet上主要的信息傳輸手段，也是EC應(yīng)用的主要途徑之一。但它并不具備很強(qiáng)的安全防范措施。Internet工程任務(wù)組(IEFT)為擴(kuò)充電子郵件的安全性能已起草了相關(guān)的規(guī)范。　　①PEM PEM是增強(qiáng)Internet電子郵件隱秘性的標(biāo)準(zhǔn)草案，它在Internet電子郵件的標(biāo)準(zhǔn)格式上增加了加密、鑒別和密鑰管理的功能，允許使用公開密鑰和專用密鑰的加密方式，并能夠支持多種加密工具。對于每個(gè)電子郵件報(bào)文可以在報(bào)文頭中規(guī)定特定的加密算法、數(shù)字鑒別算法、散列功能等安全措施。PEM是通過Internet傳輸安全性商務(wù)郵件的非正式標(biāo)準(zhǔn)。有關(guān)它的詳細(xì)內(nèi)容可參閱Internet工程任務(wù)組公布的RFC1421、RFC1422、RFC143 和RFC1424等4個(gè)文件。PEM有可能被S/MIME和PEM-MIME規(guī)范所取代。　�、赟/MIME S/MIME(安全的多功能Internet電子郵件擴(kuò)充)是在RFC1521所描述的多功能Internet電子郵件擴(kuò)充報(bào)文基礎(chǔ)上添加數(shù)字簽名和加密技術(shù)的一種協(xié)議。MIME是正式的Internet電子郵件擴(kuò)充標(biāo)準(zhǔn)格式，但它未提供任何的安全服務(wù)功能。S/MIME的目的是在MIME上定義安全服務(wù)措施的實(shí)施方式。S/MIME已成為產(chǎn)界業(yè)廣泛認(rèn)可的協(xié)議，如微軟公司、Netscape公司、Novll公司、Lotus公司等都支持該協(xié)議。　　③PEM-MIME(MOSS) MOSS(MIME對象安全服務(wù))是將PEM和MIME兩者的特性進(jìn)行了結(jié)合。　�。�5）Internet主要的安全協(xié)議　　①SSL SSL(安全槽層)協(xié)議是由Netscape公司研究制定的安全協(xié)議，該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。該協(xié)議通過在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來實(shí)現(xiàn)有關(guān)安全特性的審查。在SSL握手信息中采用了DES、MD5等加密技術(shù)來實(shí)現(xiàn)機(jī)密性和數(shù)據(jù)完整性，并采用X.509的數(shù)字證書實(shí)現(xiàn)鑒別。該協(xié)議已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，并被廣泛應(yīng)用于Internet和Intranet的服務(wù)器產(chǎn)品和客戶端產(chǎn)品中。如Netscape公司、微軟公司、IBM公司等領(lǐng)導(dǎo)Internet/Intrnet 網(wǎng)絡(luò)產(chǎn)品的公司已在使用該協(xié)議。此外，微軟公司和Visa機(jī)構(gòu)也共同研究制定了一種類似于SSL的協(xié)議，這就是PCT(專用通信技術(shù))。該協(xié)議只是對SSL進(jìn)行少量的改進(jìn)。　�、赟-HTTP S-HTTP(安全的超文本傳輸協(xié)議)是對HTTP擴(kuò)充安全特性、增加了報(bào)文的安全性，它是基于SSL技術(shù)的。該協(xié)議向WWW的應(yīng)用提供完整性、鑒別、不可抵賴性及機(jī)密性等安全措施。目前，該協(xié)議正由Internet工程任務(wù)組起草RFC草案。　�。�6）UN/EDIFACT的安全　　EDI是EC最重要的組成部分，是國際上廣泛采用的自動(dòng)交換和處理商業(yè)信息和管理信息的技術(shù)。UN/EDIFACT報(bào)文是唯一的國際通用的EDI標(biāo)準(zhǔn)。利用Internet進(jìn)行EDI已成為人們?nèi)找骊P(guān)注的領(lǐng)域，保證EDI的安全成為主要解決的問題。聯(lián)合國下屬的專門從事UN/EDIFACT標(biāo)準(zhǔn)研制的組織--UN/ECE/WP4(即貿(mào)易簡化工作組)于1990年成立了安全聯(lián)合工作組(UN-SJWG)，來負(fù)責(zé)研究UN/EDIFACT標(biāo)準(zhǔn)中實(shí)施安全的措施。該工作組的工作成果將以ISO的標(biāo)準(zhǔn)形式公布。在ISO將要發(fā)布的ISO 9735(即UN/EDIFACT語法規(guī)則)新版本中包括了描述UN/EDIFACT中實(shí)施安全措施的5個(gè)新部分。它們分別是：第5部分--批式EDI(可靠性、完整性和不可抵賴性)的安全規(guī)則；第6部分--安全鑒別和確認(rèn)報(bào)文(AUTACK)；第7部分--批式EDI(機(jī)密性)的安全規(guī)則；第9部分--安全密鑰和證書管理報(bào)告(KEYMAN)；第10部分--交互式EDI的安全規(guī)則。UN/EDIFACT的安全措施主要是通過集成式和分離式兩種途徑來實(shí)現(xiàn)。集成式的途徑是通過在UN/EDIFACT報(bào)文結(jié)構(gòu)中使用可選擇的安全頭段和安全尾段來保證報(bào)文內(nèi)容的完整性、報(bào)文來源的鑒別和不可抵賴性；而分離式途徑則是通過發(fā)送3種特殊的 UN/EDIFACT報(bào)文即AU TCK、KEYMAN和CIPHER來達(dá)到保障安全的目的。　�。�7）安全電子交易規(guī)范(SET) 　　SET向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實(shí)現(xiàn)安全措施的規(guī)則。它是由Visa國際組織和萬事達(dá)組織共同制定的一個(gè)能保證通過開放網(wǎng)絡(luò)(包括Internet)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)。參與該標(biāo)準(zhǔn)研究的還有微軟公司、IBM公司、Netscape公司、RSA公司等。SET主要由3個(gè)文件組成，分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。SET1.0版已經(jīng)公布并可應(yīng)用于任何銀行支付服務(wù)。（來源：電子商務(wù)直通車）

国产一区在线视频_正在播放91_精品视频999_成人国产精品视频_wwwjizz欧美_亚洲欧美日韩精品

用戶登錄

電子商務(wù)主要安全技術(shù)及其標(biāo)準(zhǔn)規(guī)范

發(fā)表評論

你可能會(huì)喜歡：