電子商務以電子形式取代了紙張,因此如何保證這種電子形式的貿易信息的有效性是發展電子商務的前提..作為壹種貿易形式,電子商務信息的有效性將直接影響個人、企業或國家的經濟利益和聲譽。因此,需要控制和預防由網絡故障、操作錯誤、應用錯誤、硬件故障、系統軟件錯誤和計算機病毒引起的潛在威脅,以確保交易數據在特定時間和地點有效。
(2)保密性
作為壹種貿易手段,電子商務的信息直接代表了個人、企業或國家的商業秘密。傳統的紙張貿易是通過郵寄密封信件或通過可靠的通信渠道發送商業消息來保密。電子商務是建立在壹個相對開放的網絡環境上的(尤其是互聯網是壹個更加開放的網絡),保守商業秘密是電子商務全面推廣應用的重要保證。因此,必須防止在傳輸過程中非法獲取信息和非法竊取信息。
(3)誠信
電子商務簡化了貿易過程,減少了人為幹預,同時也帶來了維護貿易各方商務信息完整性和統壹性的問題。由於數據輸入中的意外錯誤或欺詐行為,交易方的信息可能會有所不同。此外,數據傳輸過程中的信息丟失、信息重復或信息傳輸順序的不同,也會導致交易各方之間的信息差異。交易方信息的完整性將影響交易方的交易和經營策略,維護交易方信息的完整性是電子商務應用的基礎。因此,要防止信息的隨意生成、修改和刪除,防止數據傳輸過程中信息的丟失和重復,保證信息傳輸順序的統壹。
(4)可靠性/不可否認性/識別性
電子商務可能直接關系到兩個交易方之間的商業交易,如何確定待交易的交易方是交易所的預期交易方是保證電子商務順利進行的關鍵。在傳統的紙質交易中,交易雙方通過手寫簽署或蓋章交易合同、契約或貿易單據等書面文件來識別交易對象,以確定合同、契約、單據的可靠性,防止抵賴行為的發生。這就是人們常說的“白紙黑字”。在無紙化電子商務模式下,無法通過手寫簽名和印章來識別交易者。因此,在交易信息傳遞過程中,需要為參與交易的個人、企業或國家提供可靠的身份識別。
(5)復習能力
根據保密性和完整性的要求,應記錄資料評審的結果。
3.2電子商務采用的主要安全技術及其標準
考慮到安全服務各方面的需求,開發了技術解決方案,安全服務可以在網絡的任何地方實現。然而,兩個貿易夥伴之間的EC安全服務通常是以“端到端”的形式實現的(即不考慮在通信網絡及其節點上實現的安全措施)。在權衡了潛在的安全危機、采取安全措施的成本和要保護的信息的價值之後,確定實施的安全級別。本文將介紹幾種主要用於電子商務應用的安全技術及其相關標準和規範。
(1)加密技術
加密技術是電子商務采用的主要安全措施,交易者可以根據需要在信息交換階段使用。目前加密技術分為兩大類,即對稱加密和非對稱加密。
①對稱加密/對稱密鑰加密/私鑰加密
在對稱加密方法中,信息加密和解密使用相同的密鑰。換句話說,壹把鑰匙開壹把鎖。使用對稱加密方式會簡化加密過程,每個交易者之間不需要相互研究和交換特殊的加密算法,而是采用相同的加密算法,只交換* * * *享有的特殊密鑰。如果通信的交易者能夠保證私鑰在密鑰交換階段沒有被泄露,那麽通過對稱加密方法對機密信息進行加密,並隨消息壹起發送消息摘要或消息哈希值,就可以實現機密性和消息完整性。對稱加密技術存在確保通信交易者之間密鑰安全交換的問題。另外,當壹個交易方有“n”個交易關系時,那麽他就要維護“n”個特殊鍵(即每個鍵對應壹個交易方)。對稱加密的另壹個問題是不可能識別發起者或交易的最終方。因為交易雙方* * *共享同壹個私鑰,所以交易雙方的任何信息都是用這個密鑰加密傳輸給對方的。
數據加密標準(DES)由美國國家標準局提出,是廣泛使用的對稱加密方法之壹,主要應用於銀行業的電子資金轉賬(EFT)領域。DES的密鑰長度是56位。三重DES是DES的變體。該方法使用兩個獨立的56位密鑰對交換的信息(如EDI數據)進行三次加密,使其有效密鑰長度達到112位。RC2和RC4方法是RSA數據安全公司的對稱加密算法專利。RC2和RC4與DES不同,它們采用可變密鑰長度算法。通過指定不同的密鑰長度,RC2和RC4可以提高或降低安全性。壹些電子郵件產品(如Lotus Notes和蘋果的Opn協作環境)已經采用了這些算法。
②非對稱加密/公鑰加密
在非對稱加密系統中,密鑰被分解成壹對(即壹個公鑰或加密密鑰和壹個私鑰或解密密鑰)。這些密鑰中的任何壹個都可以作為公鑰(加密密鑰)以非保密的方式向其他人公開,而另壹個密鑰可以保存為私鑰(解密密鑰)。公鑰用於加密機密性,私鑰用於解密加密的信息。私鑰只能由生成密鑰對的交易者掌握,公鑰可以廣泛分發,但只對應生成密鑰的交易者。交易者利用該方案交換機密信息的基本過程如下:交易者A生成壹對密鑰,並將其中壹個作為公鑰向其他交易者公開;獲得公鑰的交易者B用該密鑰加密機密信息後發送給交易者A;甲方用自己保存的另壹個私鑰對加密信息進行解密。甲方只能用自己的私鑰解密任何用自己的公鑰加密的信息。
RSA (Rivest,Shamir Adleman)算法是非對稱加密領域最著名的算法,但其主要問題是運算速度慢。因此,這種算法在實際應用中通常不用於對信息量較大的信息(如大型EDI交易)進行加密。對於加密量較大的應用,通常采用公鑰加密算法對對稱加密方法的密鑰進行加密。
(2)關鍵管理技術
①對稱密鑰管理
對稱加密是基於* * *保密的。使用對稱加密技術的交易雙方必須確保使用相同的密鑰,確保它們之間的密鑰交換是安全可靠的,同時,它們必須建立防止密鑰泄漏和更換密鑰的程序。這樣,對稱密鑰的管理和分發將成為壹個潛在的危險和繁瑣的過程。通過公鑰加密技術實現對稱密鑰管理,使得相應的管理更加簡單和安全,也解決了純對稱密鑰模式下的可靠性和認證問題。
交易者可以為每個交換的信息(例如每個EDI交換)生成唯壹的對稱密鑰並用公鑰加密該密鑰,然後將加密的密鑰與用該密鑰加密的信息(例如EDI交換)壹起發送給相應的交易者。因為為每個信息交換生成了唯壹的密鑰,所以每個交易方不再需要維護密鑰,也不再需要擔心密鑰的泄露或過期。這種方式的另壹個好處是,即使壹個密鑰泄露,也只會影響壹個交易,不會影響交易雙方的所有交易關系。此方法還為貿易夥伴提供了壹種安全的方式來頒發對稱密鑰。
②公鑰管理/數字證書
貿易夥伴可以使用數字證書(公鑰證書)來交換公鑰。國際電信聯盟(ITU)制定的標準X.509(即信息技術-開放系統互聯-目錄:認證框架)定義了數字證書,相當於國際標準化組織(ISO)和國際電工委員會(IEC)聯合發布的ISO/IEC 9594-8: 195標準。數字證書通常包含唯壹標識證書所有者(即交易方)的名稱、唯壹標識證書發布者的名稱、證書所有者的公鑰、證書發布者的數字簽名、證書的有效期和證書的序列號等。證書頒發者壹般稱為認證機構(CA),受到交易各方的信任。數字證書可以起到識別交易方的作用,是目前電子商務廣泛采用的技術之壹。微軟的InternetExplorer 3.0和網景的Navigator 3.0都提供了數字證書的功能,作為身份認證的手段。
③與密鑰管理相關的標準和規範
目前,相關國際標準化組織已經開始制定關於密鑰管理的技術標準和規範。ISO和IEC下的信息技術委員會(JTC1)起草了關於密鑰管理的國際標準和規範。該規範主要由三部分組成:1部分是密鑰管理框架;第二部分是運用對稱技術的機理;第三部分是不對稱技術的機理。該規範現已進入國際標準草案投票階段,即將成為正式的國際標準。
(3)數字簽名
數字簽名是公鑰加密技術的另壹個應用。其主要方式是消息發送方從消息正文中生成壹個128位的哈希值(或消息摘要)。發送方用自己的私鑰加密這個哈希值,形成發送方的數字簽名。然後,該數字簽名將作為郵件的附件發送給郵件的接收者。消息的接收方首先從接收到的原始消息中計算出128位的哈希值(或消息摘要),然後用發送方的公鑰解密附加在消息上的數字簽名。如果兩個哈希值相同,接收方可以確認數字簽名屬於發送方。數字簽名可以實現對原始消息的認證和不可否認性。
ISO/IEC JTC1壹直在起草相關的國際標準和規範。本標準的初步名稱為“用於信息技術安全技術的帶附件的數字簽名方案”,由概述和基於身份的機制組成。
(4)互聯網電子郵件安全協議
電子郵件是互聯網上信息傳遞的主要手段,也是電子商務應用的主要方式之壹。但是它沒有很強的安全防範措施。互聯網工程任務組(IEFT)已經起草了相關規範來擴展電子郵件的安全性能。
①PEM
PEM是壹個增強互聯網電子郵件隱私的標準草案。它在互聯網電子郵件的標準格式中增加了加密、認證和密鑰管理的功能,允許使用公鑰和私鑰加密方法,並能支持多種加密工具。對於每封電子郵件,可以在郵件頭中指定特定的安全措施,如加密算法、數字認證算法和散列函數。PEM是通過互聯網傳輸安全商務電子郵件的非正式標準。詳見互聯網工程任務組公布的四個文件,分別是RFC 1421、RFC 1422、RFC143和RFC 1424。PEM可能會被S/MIME和PEM-MIME規範所取代。
② S/MIME
S/MIME(安全多功能互聯網電子郵件擴展)是壹種協議,它將數字簽名和加密技術添加到RFC1521中描述的多功能互聯網電子郵件擴展消息中。MIME是Internet電子郵件的正式擴展標準格式,但它不提供任何安全服務。S/MIME的目的是定義安全服務措施在MIME上的實現。S/MIME已經成為業界公認的協議,如微軟、網景、Novll、Lotus等。
③PEM-MIME(莫斯)
MOSS(MIME對象安全服務)結合了PEM和MIME的特點。
(5)主要的互聯網安全協議
① SSL
SSL (Secure Slot Layer)協議是Netscape公司開發的壹種安全協議,它為基於TCP/IP的客戶機/服務器應用程序提供客戶機-服務器認證、數據完整性和信息機密性等安全措施。該協議通過在應用程序之間交換數據之前交換SSL初始握手信息來實現對安全特性的審查。在SSL握手信息中,使用DES、MD5等加密技術實現機密性和數據完整性,使用X.509數字證書實現認證。該協議已經成為事實上的工業標準,並廣泛應用於互聯網和內部網的服務器產品和客戶端產品。領先的Internet/Intrnet網絡產品公司,如Netscape、微軟和IBM已經使用了這種協議。
此外,微軟和Visa還制定了壹個類似SSL的協議,就是PCT(私有通信技術)。這個協議只對SSL做了壹些改進。
②S-HTTP
S-HTTP(安全超文本傳輸協議)擴展了HTTP的安全特性,增加了消息的安全性。它基於SSL技術。該協議為WWW應用提供了完整性、認證性、不可否認性和機密性等安全措施。目前,該協議正在由互聯網工程任務組起草。
⑹聯合國/行政、商業和運輸電子數據交換系統的安全
EDI是電子商務的重要組成部分,是世界上廣泛使用的自動交換和處理商務信息和管理信息的技術。UN/EDIFACT報文是唯壹的國際EDI標準。利用互聯網進行EDI已經成為壹個越來越受關註的領域,而保證EDI的安全性也成為需要解決的主要問題。UN/ECE/WP4是聯合國下屬的壹個專門從事UN/EDIFACT標準制定工作的組織,於1990成立了安全問題聯合工作組(UN-SJWG),研究在UN/EDIFACT標準中實施的安全措施。該工作組的成果將以ISO的標準形式發布。
在ISO即將發布的新版ISO 9735(即UN/EDIFACT語法規則)中,包含了五個描述UN/EDIFACT中安全措施實現的新部分。它們是:第5部分-批量EDI的安全規則(可靠性、完整性和不可否認性);第6部分-安全認證和確認消息(au tack);第7部分-批量EDI的安全規則(保密性);第9部分-安全密鑰和證書管理報告(密鑰員);第10部分-交互式電子數據交換的安全規則。
UN/EDIFACT的安全措施主要通過集成和分離的方式實現。集成的方法是通過在UN/EDIFACT消息結構中使用可選的安全報頭和安全報尾來確保消息內容的完整性、消息來源的標識和不可否認性。分開的方式是通過發送三種特殊的UN/EDIFACT消息(即AU TCK、KEYMAN和CIPHER)來保證安全性。
(7)安全電子交易規範(集)
SET為基於信用卡的電子交易提供了實現安全措施的規則。它是由Visa國際組織和萬事達卡共同制定的技術標準,可以通過開放網絡(包括互聯網)保證資金的安全支付。微軟、IBM、網景和RSA也參與了該標準的研究。SET主要由三個文件組成,即SET業務描述、SET程序員指南和SET協議描述。SET 1.0已經發布,可以應用於任何銀行支付服務。