在近年来发表的多个安全电子交易协议或标准中, 均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种:
1.密码技术
采用密码技术对信息加密,是最常用的安全交易手段。 在电子商务中获得广泛应用的加密技术有以下两种:
(1)公共密钥和私用密钥(public key and private key)
这一加密方法亦称为 RSA 编码法,是由 Rivest、Shamir 和 Adlernan 三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘,对文件加密,均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数, 则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。 在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户, 而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。 具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet 上传输信息的保密和安全。
(2)数字摘要(digital digest)
这一加密方法亦称安全 Hash 编码法(SHA:Secure Hash Algorithm)或 MD5(MD Standards for Message Digest),由 Ron Rivest 所设计。该编码法采用单向Hash函数将需加密的明文转换成一串 128bit 的密文,这一串密文亦称为数字指纹(Finger Print), 它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。 这样这摘要便可成为验证明文是否是原文的证据了。
上述两种方法可结合起来使用,数字签名就是上述两法结合使用的实例。
2.数字签名(digital signature)
在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒, 从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:
* 信息是由签名者发送的。
* 信息自签发后到收到为止未曾作过任何修改。
这样数字签名就可用来防止电子信息因易修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。
数字签名并非用印章类型的图形标志, 它采用了双重加密的方法来实现防伪、防赖。其原理为:
a .被发送文件用SHA编码加密产生128bit的数字摘要(见上节)。
b. 发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。
c. 将原文和加密的摘要同时传给对方。
d. 对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。
e. 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。 如两者一致,则说明传送过程中信息没有被破坏或篡改过。否则不然。
3.数字时间戳(digital time-stamp)
交易文件中,时间是十分重要的信息。 在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。
在电子交易中,同样需对交易文件的日期和时间信息采取安全措施, 而数字时间戳服务(DTS:digital time-stamp service)就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:
a. 需加时间戳的文件的摘要(digest),
b. DTS收到文件的日期和时间,
c. DTS的数字签名。
时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH编码加密形成摘要, 然后将该摘要发送到 DTS, DTS 在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。由 Bellcore 创造的 DTS 采用如下的过程:加密时将摘要信息归并到二叉树的数据结构; 再将二叉树的根值发表在报纸上,这样更有效地为文件发表时间提供了佐证。 注意,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位 DTS 来加的,以 DTS 收到文件的时间为依据。 因此,时间戳也可作为科学家的科学发明文献的时间认证。
4.数字证书(digital certificate, digital ID)
数字证书又称为数字凭证, 是用电子手段来证实一个用户的身份和对网络资源的访问的权限。 在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。
数字证书可用于电子邮件、电子商务、群件、电子基金转移等各种用途。
数字证书的内部格式是由 CCITT X.509 国际标准所规定的,它包含了以下几点:
* 证书拥有者的姓名,
* 证书拥有者的公共密钥,
* 公共密钥的有效期,
* 颁发数字证书的单位,
* 数字证书的序列号(Serial number),
* 颁发数字证书单位的数字签名。
数字证书有四种类型:
* 个人证书(Personal Digital ID):它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件(S/MIME)来进行交易操作。
* 企业(服务器)证书(Server ID):它通常为网上的某个Web服务器提供凭证, 拥有Web 服务器的企业就可以用具有凭证的万维网站点(Web Site) 来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
* 软件(开发者)证书(Developer ID):它通常为 Internet中被下载的软件提供凭证,该凭证用于和微软公司 Authenticode 技术(合法化软件)结合的软件, 以使用户在下载软件时能获得所需的信息。
* CA 证书:这种证书证实 CA 身份和 CA 的签名密钥。 CA 证书允许 CA 发行其他类型的证书。
上述四类凭证中前二类是常用的凭证,第三类则用于较特殊的场合, 大部分认证中心提供前两类凭证,能提供各类凭证的认证中心并不普遍。
5.认证中心(CA:Certification Authority)
在电子交易中, 无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的, 而需要有一个具有权威性和公正性的第三方(third party)来完成。 认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。 认证中心依据认证操作规定 (CPS: Certification Practice Statement)来实施服务操作。
目前在全球处于领导地位的认证中心是美国的 VeriSign 公司,创建于 1995 年 4 月,总部在美国加州的 Mountain View。该公司所提供的数字凭证的服务已遍及全世界 50 个国家,接受该公司的服务器数字凭证的 Web 站点服务器已超过 45000 个, 而使用该公司个人数字凭证的用户已超过 200 万名。
上述五个方面介绍了安全电子交易的常用手段, 各种手段常常是结合在一起使用的,从而构成安全电子交易的体系。
—— 上海大学 钱世德
--------------------------------------------------------------------
电子商务安全与 BPR 的常用缩略语
MD5 Message Digest 消息摘要
SHA-1 Secure Hash Algorithm 安全哈稀算法
DSA Digital Signature Algorithm 数字签名算法
ASN1 Abstract Syntax Notation One 抽象句法符号
PGP Pretty Good Privacy 很棒的隐私密钥
PCT Progressive-Constraint Trust 逐段约束信赖
PKCS Public Key Cryptography Standard 公钥加密标准
LDAP Lightweight Directory Access Protocol 轻型检索访问协议
SSL Secure Socket Layer 安全套接层
PEM Privacy Enhanced Mail 保密强化邮件
PIN Personal Identificatin Number 个人身份号
FIPS Federal Infomation Process Standard 联邦政府信息处理标准
IPRA Internet Policy Registration Authority 因特网政策注册机构
CRL Certificate Revocation Liat 证书吊销清单
GSS General Security Service 通用安全服务编程标准
MAC Message Authority Code 消息认证码
DES(DEA)Data Encryption Stndard 数据加密标准
RSA Rivest Shamir Adleman 大素数密码体制
EC(DL)C Eliptical Curve Cryption 椭圆曲线离散对数密码体制
MD Merkle & Damgard 带密钥、消息长的杂凑函数
BPR Business Process Reengeering 企业流程改造
QR Quick Response (Wal-mart/K-mart) 商业快速反应
ECR Efficient Consumer Response 有效率消费者回应系统
SCM Supply Chain Management 供应链管理
CAO Computer Asssited Ordering 电子定货
CRP Continuous Replenishment 自动补货
VMI Vendor Management Inventory 供应商管理库存系统
ABC Activity Based Costing 成本效益分析
SC ScoreCard ECR 评量表
OLTP OnLine Transaction Process 联机事务处理
本文地址:http://com.8s8s.com/it/it31204.htm