目前,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性,Java JDK1.1也能够支持几种单向Hash算法。另外,S/MIME协议已经有了很大的进展,可以被集成到产品中,以便用户能够对通过E?mail发送的信息进行签名和认证。同时,商家也可以使用PGP(Pretty Good Privacy)技术,它允许利用可信的第三方对密钥进行控制。可见,数字认证技术将具有广阔的应用前景,它将直接影响电子商务的发展。 加密技术
保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在,一些专用密钥加密(如3DES、IDEA、RC4和RC5)和公钥加密(如RSA、SEEK、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。然而,这些技术的广泛使用却不是一件容易的事情。 密码学界有一句名言:加密技术本身都很优秀,但是它们实现起来却往往很不理想。现在虽然有多种加密标准,但人们真正需要的是针对企业环境开发的标准加密系统。加密技术的多样化为人们提供了更多的选择余地,但也同时带来了一个兼容性问题,不同的商家可能会采用不同的标准。另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制。目前,美国的商家一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口。虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多。据报载,最近美国加州已经有人成功地破译了40位的SSL,这已引起了人们的广泛关注。美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾。上海市电子商务安全证书管理中心推出128 位 SSL的算法,弥补国内的空缺,并采用数字签名等技术确保电子商务的安全。 电子商务认证中心(CA,Certificate Authority)
实行网上安全支付是顺利开展电子商务的前提,建立安全的认证中心(CA)则是电子商务的中心环节。建立CA的目的是加强数字证书和密钥的管理工作,增强网上交易各方的相互信任,提高网上购物和网上交易的安全,控制交易的风险,从而推动电子商务的发展。
为了推动电子商务的发展,首先是要确定网上参与交易的各方(例如持卡消费户、商户、收单银行的支付网关等)的身份,相应的数字证书(DC:Digital Certificate)就是代表他们身份的,数字证书是由权威的、公正的认证机构管理的。各级认证机构按照根认证中心(Root CA)、品牌认证中心(Brand CA)以及持卡人、商户或收单银行(Acquirer)的支付网关认证中心(Holder Card CA,Merchant CA 或 Payment Gateway CA)由上而下按层次结构建立的。
电子商务安全认证中心(CA)的基本功能是:
生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。
对数字证书和数字签名进行验证。
对数字证书进行管理,重点是证书的撤消管理,同时追求实施自动管理(非手工管理)。
建立应用接口,特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。
第一代CA是由SETCO公司(由Visa & MasterCard组建)建立的,以SET协议为基础,服务于B?C电子商务模式的层次性结构。
由于B?B电子商务模式的发展,要求CA的支付接口能够兼容支持B?B与B?C的模式,即同时支持网上购物、网上银行、网上交易与供应链管理等职能,要求安全认证协议透明、简单、成熟(即标准化),这样就产生了以公钥基础设施(PKI)为技术基础的平面与层次结构混合型的第二代CA体系。
近年来,PKI技术无论在理论上还是应用上以及开发各种配套产品上,都已经走向成熟,以PKI技术为基础的一系列相应的安全标准已经由Internet特别工作组(IETF)、国际标准化组织(ISO)和国际电信联盟(ITU)等国际权威机构批准颁发实施。
建立在PKI技术基础上的第二代安全认证体系与支付应用接口所使用的主要标准有:
由Internet特别工作组颁发的标准:LDAP(轻型目录访问协议)、S/MIME(安全电子邮件协议)、TLC(传输层安全套接层传输协议)、CAT(通用认证技术,Common Authentication Technology)和GSS-API(通用安全服务接口)等。
由国际标准化组织(ISO)或国际电信联盟(ITU)批准颁发的标准为9594-8/X.509(数字证书格式标准)。
小结
在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,应该还具备以下特点:
强大的加密保证
使用者和数据的识别和鉴别 存储和加密数据的保密 联网交易和支付的可靠 方便的密钥管理
数据的完整、防止抵赖
电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为安全工程,而不是解决方案来实施。
8.请简述IPSEC安全协议的体系组成及各部分功能,AH和ESP有什么区别?
ESP 的协议号为50 AH 协议号为51 一、ESP详解
(一)ESP提供:confidentiality,data integrity,optional data origin authentication,anti-replay services (二)ESP结构为:
1、Security Parameter Index(SPI) 2、Sequence Number
3、Payload Data(Variable) 4、Padding(0-255)Bytes 5、Pad length 6、Report Handler
7、Authentication Data(varaible) SPI:
1、destination address 2、protocol
3、identify the security association(SA)
SPI number是在Internet Key Exchange(IKE)协商过程中,可以任意指定的。利用这个number可以在security association database(SADB)中查询相关信息。
Sequence number:
提供anti-replay services.这点在AH中也是同样的 原理是通过increasing序号 Payload data:
被保护的数据,加密算法需要一个initialization vector(IV),注意IV需要认证,但是不是加密的,DES使用前8个字节做为IV,3DES、AES也使用8字节的IV.
Padding Bytes:
根据加密算法不同,补足的字节也不同。 二、AH详解
(一)AH提供:connectionless integrity,data authentication,optional replay protection,但是不提供confidentiality(加密) (二)AH的包结构: 1、Next header 2、Payload Length 3、Reserved
4、Security Parameter Index(SPI) 5、Sequence Number
6、Authentication Data(Variable) 三、ESP、AH对比 1、AH没有ESP的加密特性
2、AH的authtication是对整个数据包做出的,包括IP头部分,因为IP头部分包含很多变量,比如type of service(TOS),flags,fragment offset,TTL以及header checksum.所以这些值在进行authtication前要全部清零。否则hash会mismatch导致丢包。
相反,ESP是对部分数据包做authentication,不包括IP头部分。
9.SSH传输层安全协议可否替代Telnet等服务,其实现原理是什么?
SSH为Secure Shell的缩写,由IETF的线路工作小組(Network Working Group)所制定;SSH为建立在应用层和传输层基础上的安全协议。
传统的网络服务程序,如FTP、POP和Telnet其本质上都是不安全的;因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人
(man-in-the-middle)攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据,然后再冒充用户把数据传给真正的服务器。
而SSH是目前较可靠,專为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。透過SSH可以對所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。
SSH之另一項優點為其传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、POP、甚至为PPP提供一个安全的「通道」。
10.SSL安全协议的优缺点是什么?
(1)优点:支持很多加密算法,内臵于大部分的浏览器和服务器,实现方便。 (2)缺点:
1)只能建立两点之间的安全连线,所以顾客只能把付款信息先发送到商家,再由商家转发到银行,而且只能保证连接通道是安全的而没有其他保证。 2)不能保证商家会私自保留或盗用他的付款信息 11. pgp软件密钥管理的特点是什么,是否安全?
PGP中的每个公钥和私钥都伴随着一个密钥证书。它一般包含以下内容:
密钥内容(用长达百位的大数字表示的密钥) 密钥类型(表示该密钥为公钥还是私钥) 密钥长度(密钥的长度,以二进制位表示) 密钥编号(用以唯一标识该密钥) 创建时间
用户标识 (密钥创建人的信息,如姓名、电子邮件等)
密钥指纹(为128位的数字,是密钥内容的提要表示密钥唯一的特征)
中介人签名(中介人的数字签名,声明该密钥及其所有者的真实性,包括中介人的密钥编号和标识信息)
??PGP把公钥和私钥存放在密钥环(KEYR)文件中。PGP提供有效的算法查找用户需要的密钥。
??PGP在多处需要用到口令,它主要起到保护私钥的作用。由于私钥太长且无规律,所以难以记忆。PGP把它用口令加密后存入密钥环,这样用户可以用易记的口令间接使用私钥。
??PGP的每个私钥都由一个相应的口令加密。PGP主要在3处需要用户输入口令:
需要解开受到的加密信息时,PGP需要用户输入口令,取出私钥解密信息 当用户需要为文件或信息签字时,用户输入口令,取出私钥加密 对磁盘上的文件进行传统加密时,需要用户输入口令
2.以上介绍了PGP的工作流程,下面将简介与PGP相关的加密、解密方法以及PGP的密钥管理机制。