电子商务网络信息安全问题-信息安全毕业论文(2)
2013-04-29 01:14
导读:时间戳(Time-Stamp)是一个经加密后形成的凭证文档,包括三个部分。一是需加时间戳的文件的摘要(Digest),二是DTS收到文件的日期与时间,三是DIS数字
时间戳(Time-Stamp)是一个经加密后形成的凭证文档,包括三个部分。一是需加时间戳的文件的摘要(Digest),二是DTS收到文件的日期与时间,三是DIS数字签名。
时间戳产生的过程是:用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。书面签署文件的时间是由签署人自己写上的,数字时间则不然,它是由认证单位DIS来加的,以DIS收到文件的时间为依据。
数字认证及数字认证授权机构
1.数字证书。数字证书也叫数字凭证、数字标识,它含有证书持有者的有关信息,以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性,可以控制哪些数据库能够被查看,因此提高了总体的保密性。
数字证书的内容格式是CCTTTX.509国际标准规定的,通常包括以下内容:证书所有者的姓名;证书所有者的公共密钥;公共密钥(证书)的有效期;颁发数字证书单位名称;数字证书的序列号;颁发数字证书单位的数字签名。
数字证书通常分为三种类型,即个人证书、企业证书、软件证书。个人证书(Personal Digital)为某一个用户提供证书,帮助个人在网上安全操作电子交易。个人数字证书是向浏览器申请获得的,认证中心对申请者的电子邮件地址、个人身份及信用卡号等核实后,就发给个人数字证书,并安置在用户所用的浏览器或电子邮件的应用系统中,同时也给申请者发一个通知。企业证书,就是服务器证书(Server ID),是对网上服务器提供的一个证书,拥有Web服务器的企业可以用具有证书的Internet网站(Web Site)来做安全的电子交易。软件证书通常是为网上下载的软件提供证书,证明该软件的合法性。
2.电子商务数字认证授权机构。电子商务交易需要电子商务证书,而电子商务认证中心(CA)就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。
CA主要提供下列服务:有效实行安全管理的设施;可靠的风险管理以及得到确认和充分理解。接受该系统服务的电子商务用户也应充分信任该系统的可信度。CA具有证书发放、证书更新、证书撤销、证书验证等四大职能。
若未建立独立的注册机构,认证中心则在完成注册机构的功能以外还要完成下列功能:接收、处理证书申请,确立是否接受或拒绝证书申请,向申请者颁发或拒绝颁发证书,证书延期,管理证书吊销目录,提供证书的在线状况,证书归档;提供支持服务,提供电话支持,帮助用户解决与证书有关的问题;审核记录所有同安全有关的活动;提供灵活的结构,使用户可以用自己的名字对服务命名;为认证中心系统提供可靠的安全支持;为认证中心的可靠运营提供一套政策、程序及操作指南。
电子商务信息安全协议
1.安全套接层协议。安全套接层协议(Secure Sockets Layer,SSL)是由Netscape Communication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。 SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
SSL安全协议主要提供三方面的服务。一是用户和服务器的合法性保证,使得用户与服务器能够确信数据将被发送到正确的客户机和服务器上。客户机与服务器都有各自的识别号,由公开密钥编排。为了验证用户,安全套接层协议要求在握手交换数据中作数字认证,以此来确保用户的合法性;二是加密数据以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥,也有公开密钥,在客户机和服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术,以保证其机密性与数据的完整性,并且经数字证书鉴别;三是维护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供完整的信息服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。
(科教作文网http://zw.nseac.com编辑发布)
2.安全电子交易公告。安全电子交易公告(SET:Secure Electronic Transactions)是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。
SET安全协议的主要对象包括:消费者(包括个人和团体),按照在线商店的要求填写定货单,用发卡银行的信用卡付款;在线商店,提供商品或服务,具备使用相应电子货币的条件;收单银行,通过支付网关处理消费者与在线商店之间的交易付款;电子货币发行公司以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付;认证中心,负责确认交易对方的身份和信誉度,以及对消费者的支付手段认证。
SET协议规范的技术范围包括:加密算法的应用,证书信息与对象格式,购买信息和对象格式,认可信息与对象格式。
SET协议要达到五个目标:保证电子商务参与者信息的相应隔离;保证信息在互联网上安全传输,防止数据被黑客或被内部人员窃取;解决多方认证问题;保证网上交易的实时性,使所有的支付过程都是在线的;效仿BDZ贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性与交互操作功能,并且可以运行在不同的硬件和操作系统平台上。
3.安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。
4.安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。
5.UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。在ISO发布的IS09735(即UN/EDI-FACT语法规则)新版本中,包括描述UN/EDIFACT中实施安全措施的五个新部分,即:第五部分——批式电子商务(可靠性、完整性和不可抵赖性)的安全规则;第六部分——安全鉴别与确认报文(AUTACK);第七部分——批式电子商务(机密性)的安全规则;第九部分——安全密钥和证书管理报告(KEYMAN);第十部分——交互式电子商务的安全规则。
(科教范文网 fw.nseac.com整理)
UN/EDIFACT的安全措施通过集成式与分离式两种途径来实现。集成式的途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的不可抵赖性;分离式途径是通过发送三种特殊的U
N/EDIFACT报文(即AUTCK、KEYMAN和CI-PHER)来达到安全目的。
6.《电子交换贸易数据统一行为守则》(UNCID)。UNCID由国际商会制定,该守则第六条、第七条、第九条分别就数据的保密性、完整性及贸易双方签订协议等问题做了规定。
电子商务中的信息安全对策
1.提高对网络信息安全重要性的认识。信息技术的发展,使网络逐渐渗透到社会的各个领域,在未来的军事和经济竞争与对抗中,因网络的崩溃而促成全部或局部的失败,决非不可能。我们在思想上要把信息资源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。我国公民中的大多数人还是“机盲”、“网盲”,另有许多人仅知道一些关于网络的肤浅知识,或仅会进行简单的计算机操作,对网络安全没有深刻认识。应该以有效方式、途径在全社会普及网络安全知识,提高公民的网络安全意识与自觉性,学会维护网络安全的基本技能。
