电子商务网络信息安全问题(二)

身持有，它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的，主要用于跟美国做生意的公司。它只是一个签名系统，而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法，跟单独签名的RSA数字签名不同，它是将数字签名和要发送的信息捆在一起，所以更适合电子商务。
    4.数字时间戳技术。在电子商务交易的文件中，时间是十分重要的信息，是证明文件有效性的主要内容。在签名时加上一个时间标记，即有数字时间戳（DigitaTimestamp）的数字签名方案：验证签名的人或以确认签名是来自该小组，却不知道是小组中的哪一个人签署的。指定批准人签名的真实性，其他任何人除了得到该指定人或签名者本人的帮助，否则不能验证签名。
    时间戳（Time-Stamp）是一个经加密后形成的凭证文档，包括三个部分。一是需加时间戳的文件的摘要（Digest），二是DTS收到文件的日期与时间，三是DIS数字签名。
    时间戳产生的过程是：用户首先将需要加时间的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。书面签署文件的时间是由签署人自己写上的，数字时间则不然，它是由认证单位DIS来加的，以DIS收到文件的时间为依据。
    数字认证及数字认证授权机构
    1.数字证书。数字证书也叫数字凭证、数字标识，它含有证书持有者的有关信息，以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性，可以控制哪些数据库能够被查看，因此提高了总体的保密性。
    数字证书的内容格式是CCTTTX.509国际标准规定的，通常包括以下内容：证书所有者的姓名；证书所有者的公共密钥；公共密钥（证书）的有效期；颁发数字证书单位名称；数字证书的序列号；颁发数字证书单位的数字签名。
    数字证书通常分为三种类型，即个人证书、企业证书、软件证书。个人证书（PersonalDigital）为某一个用户提供证书，帮助个人在网上安全操作电子交易。个人数字证书是向浏览器申请获得的，认证中心对申请者的电子邮件地址、个人身份及信用卡号等核实后，就发给个人数字证书，并安置在用户所用的浏览器或电子邮件的应用系统中，同时也给申请者发一个通知。企业证书，就是服务器证书（ServerID），是对网上服务器提供的一个证书，拥有Web服务器的企业可以用具有证书的Internet网站（WebSite）来做安全的电子交易。软件证书通常是为网上下载的软件提供证书，证明该软件的合法性。
    2.电子商务数字认证授权机构。电子商务交易需要电子商务证书，而电子商务认证中心（CA）就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。
    CA主要提供下列服务：有效实行安全管理的设施；可靠的风险管理以及得到确认和充分理解。接受该系统服务的电子商务用户也应充分信任该系统的可信度。CA具有证书发放、证书更新、证书撤销、证书验证等四大职能。
    若未建立独立的注册机构，认证中心则在完成注册机构的功能以外还要完成下列功能：接收、处理证书申请，确立是否接受或拒绝证书申请，向申请者颁发或拒绝颁发证书，证书延期，管理证书吊销目录，提供证书的在线状况，证书归档；提供支持服务，提供电话支持，帮助用户解决与证书有关的问题；审核记录所有同安全有关的活动；提供灵活的结构，使用户可以用自己的名字对服务命名；为认证中心系统提供可靠的安全支持；为认证中心的可靠运营提供一套政策、程序及操作指南。
    电子商务信息安全协议
    1.安全套接层协议。安全套接层协议（SecureSocketsLayer，SSL）是由NetscapeCommunication公司1994年设计开发的，主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议，该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
    SSL安全协议主要提供三方面的服务。一是用户和服务器的合法性保证，使得用户与服务器能够确信数据将被发送到正确的客户机和服务器上。客户机与服务器都有各自的识别号，由公开密钥编排。为了验证用户，安全套接层协议要求在握手交换数据中作数字认证，以此来确保用户的合法性；二是加密数据以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥，也有公开密钥，在客户机和服务器交换数据之前，先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术，以保证其机密性与数据的完整性，并且经数字证书鉴别；三是维护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供完整的信息服务，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。
    2.安全电子交易公告。安全电子交易公告（SET：SecureElectronicTransactions）是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。SET已成为全球网络的工业标准。
    SET安全协议的主要对象包括：消费者（包括个人和团体），按照在线商店的要求填写定货单，用发卡银行的信用卡付款；在线商店，提供商品或服务，具备使用相应电子货币的条件；收单银行，通过支付网关处理消费者与在线商店之间的交易付款；电子货币发行公司以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付；认证中心，负责确认交易对方的身份和信誉度，以及对消费者的支付手段认证。
    SET协议规范的技术范围包括：加密算法的应用，证书信息与对象格式，购买信息和对象格式，认可信息与对象格式。
    SET协议要达到五个目标：保证电子商务参与者信息的相应隔离；保证信息在互联网上安全传输，防止数据被黑客或被内部人员窃取；解决多方认证问题；保证网上交易的实时性，使所有的支付过程都是在线的；效仿BDZ贸易的形式，规范协议和消息格式，促使不同厂家开发的软件具有兼容性与交互操作功能，并且可以运行在不同的硬件和操作系统平台上。
    3.安全超文本传输协议（S-HTTP）。依靠密钥的加密，保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充，增加了报文的安全性，是基于SSL技术的。该协议向互联网的应用提供完整性、可鉴别性、不

首页 上一页 1 2 3 4 下一页 尾页 2/4/4

电子商务网络信息安全问题(二)相关范文