车载cd怎么用:电子商务的安全要素及其标准规范

来源:百度文库 编辑:偶看新闻 时间:2024/03/29 14:48:06


实现完整的电子商务会涉及到很多方面,除了买家、卖家外,还要有银行或金融机构、政府机构、认证机构、配送中心等机构的加入才行。由于参与电子商务中的各方在物理上是互不谋面的,因此整个电子商务过程并不是物理世界商务活动的翻版,网上银行、在线电子支付等条件和数据加密、电子签名等技术在电子商务中发挥着重要的不可或缺的作用。

电子商务主要的安全要素

有效性

EC以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。

机密性

EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。

完整性

EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。

可靠性/不可抵赖性/鉴别

EC可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证EC顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的EC方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。

审查能力

根据机密性和完整性的要求,应对数据审查的结果进行记录。

电子商务采用的

主要安全技术及其标准规范

考虑到安全服务各方面要求的技术方案已经研究出来了,安全服务可在网络上任何一处加以实施。但是,在两个贸易伙伴间进行的EC,安全服务通常是以“端到端”形式实施的(即不考虑通信网络及其节点上所实施的安全措施)。所实施安全的等级则是在均衡了潜在的安全危机、采取安全措施的代价及要保护信息的价值等因素后确定的。下面介绍EC应用过程中主要采用的几种安全技术及其相关标准规范。

加密技术

加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。

第一、对称加密/对称密钥加密/专用密钥加密

在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。此外,当某一贸易方有“n”个贸易关系,那么他就要维护“n”个专用密钥(即每把密钥对应一贸易方)。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。
数据加密标准(DES)由美国国家标准局提出,是目前广泛采用的对称加密方式之一,主要应用于银行业中的电子资金转帐(EFT)领域。DES的密钥长度为56位。三重DES是DES的一种变形。这种方法使用两个独立的56位密钥对交换的信息(如EDI数据)进行3次加密,从而使其有效密钥长度达到112位。RC2和RC4方法是RSA数据安全公司的对称加密专利算法。RC2和RC4不同于DES,它们采用可变密钥长度的算法。通过规定不同的密钥长度,RC2和RC4能够提高或降低安全的程度。一些电子邮件产品(如Lotus Notes和Apple的Opn Collaboration Environment)已采用了这些算法。

第二、非对称加密/公开密钥加密

在非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。

RSA(即Rivest, Shamir Adleman)算法是非对称加密领域内最为著名的算法,但是它存在的主要问题是算法的运算速度较慢。因此,在实际的应用中通常不采用这一算法对信息量大的信息(如大的EDI交易)进行加密。对于加密量大的应用,公开密钥加密算法通常用于对称加密方法密钥的加密。

密钥管理技术

第一、对称密钥管理

对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。

贸易方可以为每次交换的信息(如每次的EDI交换)生成唯一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息(如EDI交换)一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥,因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易,而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。

第二、公开密钥管理/数字证书

贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。国际电信联盟(ITU)制定的标准X.509(即信息技术--开放系统互连--目录:鉴别框架)对数字证书进行了定义该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的ISO/IEC9594-8:195标准。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构(CA),它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用,是目前EC广泛采用的技术之一。微软公司的InternetExplorer 3.0和网景公司的Navigator 3.0都提供了数字证书的功能来作为身份鉴别的手段。

第三、密钥管理相关的标准规范

目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会(JTC1)已起草了关于密钥管理的国际标准规范。该规范主要由三部分组成:第一部分是密钥管理框架;第二部分是采用对称技术的机制;第三部分是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段,并将很快成为正式的国际标准。

数字签名

数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。ISO/IEC JTC1已在起草有关的国际标准规范。该标准的初步题目是“信息技术、安全技术带附件的数字签名方案”,它由概述和基于身份的机制两部分构成。

Internet电子邮件的安全协议

电子邮件是Internet上主要的信息传输手段,也是EC应用的主要途径之一。但它并不具备很强的安全防范措施。Internet工程任务组(IEFT)为扩充电子邮件的安全性能已起草了相关的规范。

第一、PEM

PEM是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。PEM是通过Internet传输安全性商务邮件的非正式标准。有关它的详细内容可参阅Internet工程任务组公布的RFC 1421、RFC 1422、RFC143 和RFC 1424等4个文件。PEM有可能被S/MIME和PEM-MIME规范所取代。

第二、S/MIME

S/MIME(安全的多功能Internet电子邮件扩充)是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。MIME是正式的Internet电子邮件扩充标准格式,但它未提供任何的安全服务功能。S/MIME的目的是在MIME上定义安全服务措施的实施方式。S/MIME已成为产界业广泛认可的协议,如微软公司、Netscape公司、Novll公司、Lotus公司等都支持该协议。

第三、PEM-MIME(MOSS)

MOSS(MIME对象安全服务)是将PEM和MIME两者的特性进行了结合。

Internet主要的安全协议

第一、SSL

SSL(安全槽层)协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。该协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如Netscape公司、微软公司、IBM公司等领导Internet/Intrnet 网络产品的公司已在使用该协议。此外,微软公司和Visa机构也共同研究制定了一种类似于SSL的协议,这就是PCT(专用通信技术)。该协议只是对SSL进行少量的改进。

第二、S-HTTP

S-HTTP(安全的超文本传输协议)是对HTTP扩充安全特性、增加了报文的安全性,它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。目前,该协议正由Internet工程任务组起草RFC草案。

UN/EDIFACT的安全

EDI是EC最重要的组成部分,是国际上广泛采用的自动交换和处理商业信息和管理信息的技术。UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI已成为人们日益关注的领域,保证EDI的安全成为主要解决的问题。联合国下属的专门从事UN/EDIFACT标准研制的组织--UN/ECE/WP4(即贸易简化工作组)于1990年成立了安全联合工作组(UN-SJWG),来负责研究UN/EDIFACT标准中实施安全的措施。该工作组的工作成果将以ISO的标准形式公布。

在ISO将要发布的ISO 9735(即UN/EDIFACT语法规则)新版本中包括了描述UN/EDIFACT中实施安全措施的5个新部分。它们分别是:第5部分--批式EDI(可靠性、完整性和不可抵赖性)的安全规则;第6部分--安全鉴别和确认报文(AUTACK);第7部分--批式EDI(机密性)的安全规则;第9部分--安全密钥和证书管理报告(KEYMAN);第10部分--交互式EDI的安全规则。

UN/EDIFACT的安全措施主要是通过集成式和分离式两种途径来实现。集成式的途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的鉴别和不可抵赖性;而分离式途径则是通过发送3种特殊的 UN/EDIFACT报文(即AU TCK、KEYMAN和CIPHER来达到保障安全的目的。

安全电子交易规范(SET)

SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。参与该标准研究的还有微软公司、IBM公司、Netscape公司、RSA公司等。SET主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET 1.0版已经公布并可应用于任何银行支付服务。

认证规范

密钥管理机制(PKI), 密钥管理是电子商务安全业务中共同存在的问题,为解决在INTERNET上开展电子商务的安全问题,世界各国在经多年研究后,初步形成了一套完整的解决方案,即目前被广泛应用的公钥基础结构(Public Key Infrastructure,简称PKI)。 PKI体系结构采用证书管理公钥,即结合X.509标准中的鉴别框架(Authentication Framework)来实现密钥管理,通过CA把用户的公钥及其它标识信息捆绑在一起,在INTERNET上验证用户的身份,保证网上数据的保密性和完整性。 PKIX(Public Key Infrastracture on X.509,简称PKIX)系列标准由IETF PKIX工作小组制定,定义了X.509证书在INTERNET上的使用,证书的生成、发布和获取,各种产生和分发密钥的机制,以及怎样实现这些标准的轮廓结构等。 与PKI标准最相关的建议是:

X.208(1988)抽象语法说明1(ASN.1)规范;
X.209(1988)ASN.1基本编码规则的规范;
X.500(1993)信息技术 开放系统互联 目录:概念、模型及服务简述;
X.509(1993)信息技术 开放系统互联 目录:鉴别框架。

证书管理机构(Certificate Authority,简称CA)是大型用户群体(如政府机关或金融机构)所信赖的第三方,负责证书的颁发和管理。在证书申请被审批部门批准后,CA通过登记服务器将证书发放给申请者。CA通过向电子商务各参与方发放数字证书,来确认各方的身份,保证在INTERNET及内部网上传送数据的安全,及网上支付的安全性。 电子商务CA体系包括两大部分,即符合SET标准的SET CA认证体系(又叫“金融CA”体系)和基于X.509的 PKI CA体系(又叫“非金融CA”体系)。下面分别介绍这两种重要的CA机制。

SET CA,1997年2月19日,由MasterCard和Visa发起成立SETCO公司,被授权作为SET(Secure ElectronicTransaction)根CA。从SET协议中可以看出,由于采用公开密钥加密算法,认证中心(CA)就成为整个系统的安全核心。SET中CA的层次结构依次为:根认证中心(RCA)、区域性认证中心(GCA),GCA再下设持卡人认证中心(CCA)、商户认证中心(MCA)、支付网关认证中心(PCA),在SET中,CA所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。在证书中,利用X.500识别名来确定SET交易中所涉及的各参与方,SET CA是一套严密的认证体系,可保证B to C(Business to Customer)类型的电子商务安全顺利地进行。但SET认证结构适应于卡支付,对其他支付方式是有所限制的。 美国采用SET模式。在中国,由中国人民银行维护金融支付系统安全和稳定的职责,负责建设“金融CA”体系;“非金融CA”体系则由中国电信负责建设。

PKI CA PKI(Public Key infrastructure)是提供公钥加密和数字签名服务的平台,采用PKI框架管理密钥和证书,基于PKI的框架结构及在其上开发的PKI应用,为建立CA提供了强大的证书和密钥管理能力,可以建立一个安全的网络环境。根据X.509建议,CA为用户的公开密钥提供证书。用户与CA交换公开密钥后,CA用其秘密密钥对数据集(包括CA名、用户名、用户的公开密钥及其有效期等)进行数字签名,并将该签名附在上述数据集的后面,构成用户的证书,存放在用户的目录款项中。X.509提供了分层鉴别服务,在这种层次下,可以有多个层次的CA(可信任的第三方认证系统),构成树状的认证层次。在一个证书树上的节点之间进行鉴别时,在证书树上找到共同的祖先节点,就可以完成鉴别。当两个用户分别由不同的CA服务时,不同的CA 要为每个用户建立一个证书(这种签证方式叫"交叉签证")。只要保证每一个CA者是可信赖的,这种证书管理方法就能满足多用户的电子商务网络的需要。

为了保护知识产权,保障著作人权益,特此声明:《网络安全信息》杂志及稿件的原创者拥有合法权益,任何媒体、网站要刊登、转载本站文章。必须得到《信息网络安全》杂志的认可方可转载。具体相关事宜请和编辑部联系。联系方式为:editor@trimps.ac.cn违者将承担全部责任并赔偿因此造成的损失,同时我们将保留追究由此引起的法律、经济责任的权利。


网页关键字
  • 博客 职场 金融 投资 股票 ipo 外汇 .pdf 课件 论文 华尔街 ft金融时报 深信服 追赶人生 虚拟主机 .doc 下载 免费 day trading swift trade 美国嘉盛 求职 找工作 心情 理念 评论 原创 bbs google adesnse 搜索引擎优化 流量 信息与计算科学 web2.0 交易 纳斯达克 网络安全 vpn donews 华中科技大学 市场营销 cfa 武汉 wordpress 和讯 广告策划 职业规划 友情链接 投资银行 博弈论 深圳 六西格马 大四 数学系 fbs 中华英才网 勾心斗角 世界经理人 美国股票 毕业设计 gmail 摩根斯坦利 IT 留言本 matlab 网球 同花顺 sas 炒股 数据处理 IT社区 中国概念股 index 诗人