电子商务采用的主要安全技术及其标准规范

中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密电子商务采用的主要安全技术及其标准规范考虑到安全服务各方面要求的技术方案已经研究出来了,安全服务可在网络上任何一处加以实施。但是,在两个贸易伙伴间进行的EC,安全服务通常是以端到端形式实施的(即不考虑通信网络及其节点上所实施的安全措施)。所实施安全的等级则是在均衡了潜在的安全危机、采取安全措施的代价及要保护信息的价值等因素后确定的。这里将介绍EC应用过程中主要采用的几种安全技术及其相关标准规范。中国最庞大的资料库下载（1）加密技术加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用。目前,加密技术分为两类,即对称加密和非对称加密。①对称加密/对称密钥加密/专用密钥加密在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶段未曾泄露,那么机中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。此外,当某一贸易方有n个贸易关系,那么他就要维护n个专用密钥(即每把密钥对应一贸易方)。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。数据加密标准(DES)由美国国家标准局提出,是目前广泛采用的对称加密方式之一,主要应用于银行业中的电子资金转帐(EFT)领域。DES的密钥长度为56位。三重DES是DES的一种变形。这种方法使用两个独立的56位密钥对交换的信息(如EDI数据)进行3次加密,从而使其有效密钥长度达到112位。RC2和RC4方法是RSA数据安全公司的对称加密专利算法。RC2和RC4不同于DES,它们采用可变密钥长度的算法。通过规定不同的密钥长度,RC2和RC4能够提高或降低安全的程度。一些电子邮件产品(如LotusNotes和Apple的OpnCollaborationEnvironment)已采用了这些算法。②非对称加密/公开密钥加密在非对称加密体系中,密钥被分解为一对(即一把公开密钥中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是:贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开;得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲;贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。RSA(即Rivest,ShamirAdleman)算法是非对称加密领域内最为著名的算法,但是它存在的主要问题是算法的运算速度较慢。因此,在实际的应用中通常不采用这一算法对信息量大的信息(如大的EDI交易)进行加密。对于加密量大的应用,公开密钥加密算法通常用于对称加密方法密钥的加密。（2）密钥管理技术①对称密钥管理对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样,对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。贸易方可以为每次交换的信息(如每次的EDI交换)生成唯一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息(如EDI交换)一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥,因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是即使泄露了一把密钥也只将影响一笔交易,而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。②公开密钥管理/数字证书贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。国际电信联盟(ITU)制定的标准X.509(即信息技术--开放系统互连--目录:鉴别框架)对数字证书进行了定义该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的ISO/IEC9594-8:195标准。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书发布者的名称、证书所中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构(CA),它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用,是目前EC广泛采用的技术之一。微软公司的InternetExplorer3.0和网景公司的Navigator3.0都提供了数字证书的功能来作为身份鉴别的手段。③密钥管理相关的标准规范目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会(JTC1)已起草了关于密钥管理的国际标准规范。该规范主要由3部分组成:第1部分是密钥管理框架;第2部分是采用对称技术的机制;第3部分是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段,并将很快成为正式的国际标准。（3）数字签名数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。ISO/IECJTC1已在起草有关的国际标准规范。该标准的初步题目是信息技术安全技术带附件的数字签名方案,它由概述和基于身份的机制两部分构成。（4）Internet电子邮件的安全协议电子邮件是Internet上主要的信息传输手段,也是EC应用的主要途径之一。但它并不具备很强的安全防范措施。Internet工程任务组(IEFT)为扩充电子邮件的安全性能已起草了相关的规范。①PEMPEM是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。PEM是通过Internet传输安全性商务邮件的非正式标准。有关它的详细内容可参阅Internet工程任务组公布的RFC1421、RFC1422、RFC143和RFC1424等4个文件。PEM有可能被S/MIME和中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密PEM-MIME规范所取代。②S/MIMES/MIME(安全的多功能Internet电子邮件扩充)是在RFC1521所描述的多功能Internet电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。MIME是正式的Internet电子邮件扩充标准格式,但它未提供任何的安全服务功能。S/MIME的目的是在MIME上定义安全服务措施的实施方式。S/MIME已成为产界业广泛认可的协议,如微软公司、Netscape公司、Novll公司、Lotus公司等都支持该协议。③PEM-MIME(MOSS)MOSS(MIME对象安全服务)是将PEM和MIME两者的特性进行了结合。（5）Internet主要的安全协议①SSLSSL(安全槽层)协议是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在cnshu.cn网站下载此资料的,不要随意相信.请访问cnshu,加入cnshu.cn必要时可将此文件解密中国最庞大的下载资料库(整理.版权归原作者所