3. 加密通信协议(SSL)
安全套接层协议(Secure Socket Layer,简称SSL)是一种保护WEB通讯的工业标准,主要目的是提供INTERNET上的安全通信服务,是基于强公钥加密技术以及RSA的专用密钥序列密码,能够对信用卡和个人信息、电子商务提供较强的加密保护。SSL在建立连接过程上采用公开密钥,在会话过程中使用专有密钥。在每个SSL会话(其中客户机和服务器都被证实身份)中,要求服务器完成一次使用服务器专用密钥的操作和一次使用客户机公开密钥的操作。SSL提供数据加密、服务器认证、报文完整以及TCP/IP联接用可选客户认证等,对计算机之间整个会话过程进行加密。采用SSL协议,可确保信息在传输过程中不被修改,实现数据的保密与完整性,在INTERNET上广泛用于处理财务上敏感的信息。在信用卡交易方面,商家可以通过SSL在WEB上实现对信用卡订单的加密,由于SSL适合各类主流浏览器及WEB服务器,因此只要安装一个数字证书就可使SSL成为可能。
SSL的缺陷是只能保证传输过程的安全,无法知道在传输过程中是否受到窃听,黑客可以此破译SSL的加密数据,破坏和盗窃WEB信息。此外,SSL在全球的大规模使用还有一定的难度。SSL产品的出口受到美国国家安全局(NSA)的限制,美国政府只允许加密密钥为40位以下的算法出口,而美国的商家一般都可以使用128位的SSL,致使美国以外的国家很难真正在电子商务中充分利用SSL。
新的SSL协议被命名为TLS(Transport Layer Security),安全可靠性可有所提高,但仍不能消除原有技术上的基本缺陷。
二、认证规范
认证是判明和确认交易双方真实身份的重要环节,是开展电子商务的重要条件。只有确保双方身份的真实性,数据的完整性、可靠性及交易的不可抵赖性,才能确保电子商务安全有序地进行。
1. 数字签名
数字签名(Digital Signature)是公开密钥加密技术的一种应用,是指用发送方的私有密钥加密报文摘要,然后将其与原始的信息附加在一起,合称为数字签名。其使用方式是:报文的发送方从报文文本中生成一个128位或160位的单向散列值(或报文摘要),并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法,普遍用于银行、电子贸易等,以解决伪造、抵赖、冒充、篡改等问题。
1991年ISO数字签名标准化工作小组公布了第一个相关标准“A Digital Scheme Giving Message Recovery”。美国国家标准技术研究院(National Institute of Standards and Technology,简称NIST)于1998年12月15日发布了数字签名标准(Digital Signature Standard,简称DSS),即美国联邦信息处理标准(即Federal Information Processing Standards Publication 186-1 ,简称FIPS PUB 186-1)。该标准规定了用于产生与证实一个数字签名的一整套算法。随着标准化组织对数字签名标准的研究和制定,它将得到进一步的发展和完善。
2. 数字证书
“数字证书”作为网上交易双方真实身份证明的依据,是一个经证书授权中心(CA)数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是电子商务安全体系的核心,用途是利用公共密钥加密系统来保护与验证公众的密钥,由可信任的、公正的权威机构CA颁发。CA对申请者所提供的信息进行验证,然后通过向电子商务各参与方签发数字证书,来确认各方的身份,保证网上支付的安全性。
