|
實(shí)現(xiàn)完整的電子商務(wù)會(huì)涉及到很多方面,,除了買家、賣家外,,還要有銀行或金融機(jī)構(gòu),、政府機(jī)構(gòu)、認(rèn)證機(jī)構(gòu),、配送中心等機(jī)構(gòu)的加入才行,。由于參與電子商務(wù)中的各方在物理上是互不謀面的,因此整個(gè)電子商務(wù)過程并不是物理世界商務(wù)活動(dòng)的翻版,,網(wǎng)上銀行,、在線電子支付等條件和數(shù)據(jù)加密、電子簽名等技術(shù)在電子商務(wù)中發(fā)揮著重要的不可或缺的作用,。 電子商務(wù)主要的安全要素 有效性 EC以電子形式取代了紙張,那么如何保證這種電子形式的貿(mào)易信息的有效性則是開展E的前提,。EC作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù),。因此,要對(duì)網(wǎng)絡(luò)故障,、操作錯(cuò)誤,、應(yīng)用程序錯(cuò)誤、硬件故障,、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻,、確定的地點(diǎn)是有效的。 機(jī)密性 EC作為貿(mào)易的一種手段,其信息直接代表著個(gè)人,、企業(yè)或國家的商業(yè)機(jī)密,。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。EC是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的(尤其Internet是更為開放的網(wǎng)絡(luò)),維護(hù)商業(yè)機(jī)密是EC全面推廣應(yīng)用的重要保障,。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取,。 完整性 EC簡(jiǎn)化了貿(mào)易過程,減少了人為的干預(yù),同時(shí)也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題,。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異,。此外,數(shù)據(jù)傳輸過程中信息的丟失,、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同,。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的完整性是EC應(yīng)用的基礎(chǔ)。因此,要預(yù)防對(duì)信息的隨意生成,、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一,。 可靠性/不可抵賴性/鑒別 EC可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方這一問題則是保證EC順利進(jìn)行的關(guān)鍵。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過在交易合同,、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同,、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生,。這也就是人們常說的“白紙黑字”,。在無紙化的EC方式下,通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個(gè)人,、企業(yè)或國家提供可靠的標(biāo)識(shí),。 審查能力 根據(jù)機(jī)密性和完整性的要求,應(yīng)對(duì)數(shù)據(jù)審查的結(jié)果進(jìn)行記錄,。 電子商務(wù)采用的 主要安全技術(shù)及其標(biāo)準(zhǔn)規(guī)范 考慮到安全服務(wù)各方面要求的技術(shù)方案已經(jīng)研究出來了,安全服務(wù)可在網(wǎng)絡(luò)上任何一處加以實(shí)施,。但是,在兩個(gè)貿(mào)易伙伴間進(jìn)行的EC,安全服務(wù)通常是以“端到端”形式實(shí)施的(即不考慮通信網(wǎng)絡(luò)及其節(jié)點(diǎn)上所實(shí)施的安全措施)。所實(shí)施安全的等級(jí)則是在均衡了潛在的安全危機(jī),、采取安全措施的代價(jià)及要保護(hù)信息的價(jià)值等因素后確定的,。下面介紹EC應(yīng)用過程中主要采用的幾種安全技術(shù)及其相關(guān)標(biāo)準(zhǔn)規(guī)范。 加密技術(shù) 加密技術(shù)是EC采取的主要安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用,。目前,加密技術(shù)分為兩類,即對(duì)稱加密和非對(duì)稱加密,。 第一、對(duì)稱加密/對(duì)稱密鑰加密/專用密鑰加密 在對(duì)稱加密方法中,對(duì)信息的加密和解密都使用相同的密鑰,。也就是說,一把鑰匙開一把鎖,。使用對(duì)稱加密方法將簡(jiǎn)化加密的處理,每個(gè)貿(mào)易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰,。如果進(jìn)行通信的貿(mào)易方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機(jī)密性和報(bào)文完整性就可以通過對(duì)稱加密方法加密機(jī)密信息和通過隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來實(shí)現(xiàn)。對(duì)稱加密技術(shù)存在著在通信的貿(mào)易方之間確保密鑰安全交換的問題,。此外,當(dāng)某一貿(mào)易方有“n”個(gè)貿(mào)易關(guān)系,那么他就要維護(hù)“n”個(gè)專用密鑰(即每把密鑰對(duì)應(yīng)一貿(mào)易方),。對(duì)稱加密方式存在的另一個(gè)問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因?yàn)橘Q(mào)易雙方共享同一把專用密鑰,貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對(duì)方的,。 第二,、非對(duì)稱加密/公開密鑰加密 在非對(duì)稱加密體系中,密鑰被分解為一對(duì)(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰),。這對(duì)密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對(duì)機(jī)密性的加密,專用密鑰則用于對(duì)加密信息的解密,。專用密鑰只能由生成密鑰對(duì)的貿(mào)易方掌握,公開密鑰可廣泛發(fā)布,但它只對(duì)應(yīng)于生成該密鑰的貿(mào)易方,。貿(mào)易方利用該方案實(shí)現(xiàn)機(jī)密信息交換的基本過程是:貿(mào)易方甲生成一對(duì)密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開;得到該公開密鑰的貿(mào)易方乙使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把專用密鑰對(duì)加密后的信息進(jìn)行解密。貿(mào)易方甲只能用其專用密鑰解密由其公開密鑰加密后的任何信息,。 RSA(即Rivest, Shamir Adleman)算法是非對(duì)稱加密領(lǐng)域內(nèi)最為著名的算法,但是它存在的主要問題是算法的運(yùn)算速度較慢,。因此,在實(shí)際的應(yīng)用中通常不采用這一算法對(duì)信息量大的信息(如大的EDI交易)進(jìn)行加密。對(duì)于加密量大的應(yīng)用,公開密鑰加密算法通常用于對(duì)稱加密方法密鑰的加密,。 密鑰管理技術(shù) 第一,、對(duì)稱密鑰管理 對(duì)稱加密是基于共同保守秘密來實(shí)現(xiàn)的。采用對(duì)稱加密技術(shù)的貿(mào)易雙方必須要保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時(shí)還要設(shè)定防止密鑰泄密和更改密鑰的程序,。這樣,對(duì)稱密鑰的管理和分發(fā)工作將變成一件潛在危險(xiǎn)的和繁瑣的過程,。通過公開密鑰加密技術(shù)實(shí)現(xiàn)對(duì)稱密鑰的管理使相應(yīng)的管理變得簡(jiǎn)單和更加安全,同時(shí)還解決了純對(duì)稱密鑰模式中存在的可靠性問題和鑒別問題。 貿(mào)易方可以為每次交換的信息(如每次的EDI交換)生成唯一一把對(duì)稱密鑰并用公開密鑰對(duì)該密鑰進(jìn)行加密,然后再將加密后的密鑰和用該密鑰加密的信息(如EDI交換)一起發(fā)送給相應(yīng)的貿(mào)易方,。由于對(duì)每次信息交換都對(duì)應(yīng)生成了唯一一把密鑰,因此各貿(mào)易方就不再需要對(duì)密鑰進(jìn)行維護(hù)和擔(dān)心密鑰的泄露或過期,。這種方式的另一優(yōu)點(diǎn)是即使泄露了一把密鑰也只將影響一筆交易,而不會(huì)影響到貿(mào)易雙方之間所有的交易關(guān)系。這種方式還提供了貿(mào)易伙伴間發(fā)布對(duì)稱密鑰的一種安全途徑,。 第二,、公開密鑰管理/數(shù)字證書 貿(mào)易伙伴間可以使用數(shù)字證書(公開密鑰證書)來交換公開密鑰。國際電信聯(lián)盟(ITU)制定的標(biāo)準(zhǔn)X.509(即信息技術(shù)--開放系統(tǒng)互連--目錄:鑒別框架)對(duì)數(shù)字證書進(jìn)行了定義該標(biāo)準(zhǔn)等同于國際標(biāo)準(zhǔn)化組織(ISO)與國際電工委員會(huì)(IEC)聯(lián)合發(fā)布的ISO/IEC9594-8:195標(biāo)準(zhǔn),。數(shù)字證書通常包含有唯一標(biāo)識(shí)證書所有者(即貿(mào)易方)的名稱,、唯一標(biāo)識(shí)證書發(fā)布者的名稱、證書所有者的公開密鑰,、證書發(fā)布者的數(shù)字簽名,、證書的有效期及證書的序列號(hào)等,。證書發(fā)布者一般稱為證書管理機(jī)構(gòu)(CA),它是貿(mào)易各方都信賴的機(jī)構(gòu)。數(shù)字證書能夠起到標(biāo)識(shí)貿(mào)易方的作用,是目前EC廣泛采用的技術(shù)之一,。微軟公司的InternetExplorer 3.0和網(wǎng)景公司的Navigator 3.0都提供了數(shù)字證書的功能來作為身份鑒別的手段,。 第三、密鑰管理相關(guān)的標(biāo)準(zhǔn)規(guī)范 目前國際有關(guān)的標(biāo)準(zhǔn)化機(jī)構(gòu)都著手制定關(guān)于密鑰管理的技術(shù)標(biāo)準(zhǔn)規(guī)范,。ISO與IEC下屬的信息技術(shù)委員會(huì)(JTC1)已起草了關(guān)于密鑰管理的國際標(biāo)準(zhǔn)規(guī)范,。該規(guī)范主要由三部分組成:第一部分是密鑰管理框架;第二部分是采用對(duì)稱技術(shù)的機(jī)制;第三部分是采用非對(duì)稱技術(shù)的機(jī)制。該規(guī)范現(xiàn)已進(jìn)入到國際標(biāo)準(zhǔn)草案表決階段,并將很快成為正式的國際標(biāo)準(zhǔn),。 數(shù)字簽名 數(shù)字簽名是公開密鑰加密技術(shù)的另一類應(yīng)用,。它的主要方式是:報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要)。發(fā)送方用自己的專用密鑰對(duì)這個(gè)散列值進(jìn)行加密來形成發(fā)送方的數(shù)字簽名,。然后,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方,。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值(或報(bào)文摘要),接著再用發(fā)送方的公開密鑰來對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的,。通過數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和不可抵賴性,。ISO/IEC JTC1已在起草有關(guān)的國際標(biāo)準(zhǔn)規(guī)范。該標(biāo)準(zhǔn)的初步題目是“信息技術(shù),、安全技術(shù)帶附件的數(shù)字簽名方案”,它由概述和基于身份的機(jī)制兩部分構(gòu)成,。 Internet電子郵件的安全協(xié)議 電子郵件是Internet上主要的信息傳輸手段,也是EC應(yīng)用的主要途徑之一,。但它并不具備很強(qiáng)的安全防范措施,。Internet工程任務(wù)組(IEFT)為擴(kuò)充電子郵件的安全性能已起草了相關(guān)的規(guī)范,。 第一、PEM PEM是增強(qiáng)Internet電子郵件隱秘性的標(biāo)準(zhǔn)草案,它在Internet電子郵件的標(biāo)準(zhǔn)格式上增加了加密、鑒別和密鑰管理的功能,允許使用公開密鑰和專用密鑰的加密方式,并能夠支持多種加密工具,。對(duì)于每個(gè)電子郵件報(bào)文可以在報(bào)文頭中規(guī)定特定的加密算法、數(shù)字鑒別算法,、散列功能等安全措施,。PEM是通過Internet傳輸安全性商務(wù)郵件的非正式標(biāo)準(zhǔn)。有關(guān)它的詳細(xì)內(nèi)容可參閱Internet工程任務(wù)組公布的RFC 1421,、RFC 1422,、RFC143 和RFC 1424等4個(gè)文件。PEM有可能被S/MIME和PEM-MIME規(guī)范所取代,。 第二,、S/MIME S/MIME(安全的多功能Internet電子郵件擴(kuò)充)是在RFC1521所描述的多功能Internet電子郵件擴(kuò)充報(bào)文基礎(chǔ)上添加數(shù)字簽名和加密技術(shù)的一種協(xié)議。MIME是正式的Internet電子郵件擴(kuò)充標(biāo)準(zhǔn)格式,但它未提供任何的安全服務(wù)功能,。S/MIME的目的是在MIME上定義安全服務(wù)措施的實(shí)施方式,。S/MIME已成為產(chǎn)界業(yè)廣泛認(rèn)可的協(xié)議,如微軟公司、Netscape公司,、Novll公司,、Lotus公司等都支持該協(xié)議,。 第三、PEM-MIME(MOSS) MOSS(MIME對(duì)象安全服務(wù))是將PEM和MIME兩者的特性進(jìn)行了結(jié)合,。 Internet主要的安全協(xié)議 第一,、SSL SSL(安全槽層)協(xié)議是由Netscape公司研究制定的安全協(xié)議,該協(xié)議向基于TCP/IP的客戶/服務(wù)器應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施,。該協(xié)議通過在應(yīng)用程序進(jìn)行數(shù)據(jù)交換前交換SSL初始握手信息來實(shí)現(xiàn)有關(guān)安全特性的審查,。在SSL握手信息中采用了DES、MD5等加密技術(shù)來實(shí)現(xiàn)機(jī)密性和數(shù)據(jù)完整性,并采用X.509的數(shù)字證書實(shí)現(xiàn)鑒別,。該協(xié)議已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn),并被廣泛應(yīng)用于Internet和Intranet的服務(wù)器產(chǎn)品和客戶端產(chǎn)品中,。如Netscape公司、微軟公司,、IBM公司等領(lǐng)導(dǎo)Internet/Intrnet 網(wǎng)絡(luò)產(chǎn)品的公司已在使用該協(xié)議,。此外,微軟公司和Visa機(jī)構(gòu)也共同研究制定了一種類似于SSL的協(xié)議,這就是PCT(專用通信技術(shù))。該協(xié)議只是對(duì)SSL進(jìn)行少量的改進(jìn),。 第二,、S-HTTP S-HTTP(安全的超文本傳輸協(xié)議)是對(duì)HTTP擴(kuò)充安全特性、增加了報(bào)文的安全性,它是基于SSL技術(shù)的,。該協(xié)議向WWW的應(yīng)用提供完整性,、鑒別、不可抵賴性及機(jī)密性等安全措施,。目前,該協(xié)議正由Internet工程任務(wù)組起草RFC草案,。 UN/EDIFACT的安全 EDI是EC最重要的組成部分,是國際上廣泛采用的自動(dòng)交換和處理商業(yè)信息和管理信息的技術(shù)。UN/EDIFACT報(bào)文是唯一的國際通用的EDI標(biāo)準(zhǔn),。利用Internet進(jìn)行EDI已成為人們?nèi)找骊P(guān)注的領(lǐng)域,保證EDI的安全成為主要解決的問題,。聯(lián)合國下屬的專門從事UN/EDIFACT標(biāo)準(zhǔn)研制的組織--UN/ECE/WP4(即貿(mào)易簡(jiǎn)化工作組)于1990年成立了安全聯(lián)合工作組(UN-SJWG),來負(fù)責(zé)研究UN/EDIFACT標(biāo)準(zhǔn)中實(shí)施安全的措施。該工作組的工作成果將以ISO的標(biāo)準(zhǔn)形式公布,。 在ISO將要發(fā)布的ISO 9735(即UN/EDIFACT語法規(guī)則)新版本中包括了描述UN/EDIFACT中實(shí)施安全措施的5個(gè)新部分,。它們分別是:第5部分--批式EDI(可靠性、完整性和不可抵賴性)的安全規(guī)則;第6部分--安全鑒別和確認(rèn)報(bào)文(AUTACK);第7部分--批式EDI(機(jī)密性)的安全規(guī)則;第9部分--安全密鑰和證書管理報(bào)告(KEYMAN);第10部分--交互式EDI的安全規(guī)則,。 UN/EDIFACT的安全措施主要是通過集成式和分離式兩種途徑來實(shí)現(xiàn),。集成式的途徑是通過在UN/EDIFACT報(bào)文結(jié)構(gòu)中使用可選擇的安全頭段和安全尾段來保證報(bào)文內(nèi)容的完整性、報(bào)文來源的鑒別和不可抵賴性;而分離式途徑則是通過發(fā)送3種特殊的 UN/EDIFACT報(bào)文(即AU TCK,、KEYMAN和CIPHER來達(dá)到保障安全的目的,。 安全電子交易規(guī)范(SET) SET向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實(shí)現(xiàn)安全措施的規(guī)則。它是由Visa國際組織和萬事達(dá)組織共同制定的一個(gè)能保證通過開放網(wǎng)絡(luò)(包括Internet)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn),。參與該標(biāo)準(zhǔn)研究的還有微軟公司,、IBM公司、Netscape公司,、RSA公司等,。SET主要由3個(gè)文件組成,分別是SET業(yè)務(wù)描述,、SET程序員指南和SET協(xié)議描述。SET 1.0版已經(jīng)公布并可應(yīng)用于任何銀行支付服務(wù),。 認(rèn)證規(guī)范 密鑰管理機(jī)制(PKI),, 密鑰管理是電子商務(wù)安全業(yè)務(wù)中共同存在的問題,為解決在INTERNET上開展電子商務(wù)的安全問題,,世界各國在經(jīng)多年研究后,,初步形成了一套完整的解決方案,即目前被廣泛應(yīng)用的公鑰基礎(chǔ)結(jié)構(gòu)(Public Key Infrastructure,簡(jiǎn)稱PKI),。 PKI體系結(jié)構(gòu)采用證書管理公鑰,,即結(jié)合X.509標(biāo)準(zhǔn)中的鑒別框架(Authentication Framework)來實(shí)現(xiàn)密鑰管理,通過CA把用戶的公鑰及其它標(biāo)識(shí)信息捆綁在一起,,在INTERNET上驗(yàn)證用戶的身份,,保證網(wǎng)上數(shù)據(jù)的保密性和完整性。 PKIX(Public Key Infrastracture on X.509,,簡(jiǎn)稱PKIX)系列標(biāo)準(zhǔn)由IETF PKIX工作小組制定,,定義了X.509證書在INTERNET上的使用,證書的生成,、發(fā)布和獲取,,各種產(chǎn)生和分發(fā)密鑰的機(jī)制,以及怎樣實(shí)現(xiàn)這些標(biāo)準(zhǔn)的輪廓結(jié)構(gòu)等,。 與PKI標(biāo)準(zhǔn)最相關(guān)的建議是: X.208(1988)抽象語法說明1(ASN.1)規(guī)范; 證書管理機(jī)構(gòu)(Certificate Authority,,簡(jiǎn)稱CA)是大型用戶群體(如政府機(jī)關(guān)或金融機(jī)構(gòu))所信賴的第三方,,負(fù)責(zé)證書的頒發(fā)和管理。在證書申請(qǐng)被審批部門批準(zhǔn)后,,CA通過登記服務(wù)器將證書發(fā)放給申請(qǐng)者。CA通過向電子商務(wù)各參與方發(fā)放數(shù)字證書,,來確認(rèn)各方的身份,,保證在INTERNET及內(nèi)部網(wǎng)上傳送數(shù)據(jù)的安全,及網(wǎng)上支付的安全性,。 電子商務(wù)CA體系包括兩大部分,,即符合SET標(biāo)準(zhǔn)的SET CA認(rèn)證體系(又叫“金融CA”體系)和基于X.509的 PKI CA體系(又叫“非金融CA”體系)。下面分別介紹這兩種重要的CA機(jī)制,。 SET CA,,1997年2月19日,由MasterCard和Visa發(fā)起成立SETCO公司,,被授權(quán)作為SET(Secure ElectronicTransaction)根CA,。從SET協(xié)議中可以看出,,由于采用公開密鑰加密算法,認(rèn)證中心(CA)就成為整個(gè)系統(tǒng)的安全核心,。SET中CA的層次結(jié)構(gòu)依次為:根認(rèn)證中心(RCA),、區(qū)域性認(rèn)證中心(GCA),GCA再下設(shè)持卡人認(rèn)證中心(CCA),、商戶認(rèn)證中心(MCA),、支付網(wǎng)關(guān)認(rèn)證中心(PCA),在SET中,,CA所頒發(fā)的數(shù)字證書主要有持卡人證書,、商戶證書和支付網(wǎng)關(guān)證書。在證書中,,利用X.500識(shí)別名來確定SET交易中所涉及的各參與方,,SET CA是一套嚴(yán)密的認(rèn)證體系,可保證B to C(Business to Customer)類型的電子商務(wù)安全順利地進(jìn)行,。但SET認(rèn)證結(jié)構(gòu)適應(yīng)于卡支付,,對(duì)其他支付方式是有所限制的。 美國采用SET模式,。在中國,,由中國人民銀行維護(hù)金融支付系統(tǒng)安全和穩(wěn)定的職責(zé),負(fù)責(zé)建設(shè)“金融CA”體系;“非金融CA”體系則由中國電信負(fù)責(zé)建設(shè),。 PKI CA PKI(Public Key infrastructure)是提供公鑰加密和數(shù)字簽名服務(wù)的平臺(tái),,采用PKI框架管理密鑰和證書,基于PKI的框架結(jié)構(gòu)及在其上開發(fā)的PKI應(yīng)用,,為建立CA提供了強(qiáng)大的證書和密鑰管理能力,,可以建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境。根據(jù)X.509建議,,CA為用戶的公開密鑰提供證書,。用戶與CA交換公開密鑰后,CA用其秘密密鑰對(duì)數(shù)據(jù)集(包括CA名,、用戶名,、用戶的公開密鑰及其有效期等)進(jìn)行數(shù)字簽名,并將該簽名附在上述數(shù)據(jù)集的后面,,構(gòu)成用戶的證書,,存放在用戶的目錄款項(xiàng)中。X.509提供了分層鑒別服務(wù),,在這種層次下,,可以有多個(gè)層次的CA(可信任的第三方認(rèn)證系統(tǒng)),構(gòu)成樹狀的認(rèn)證層次。在一個(gè)證書樹上的節(jié)點(diǎn)之間進(jìn)行鑒別時(shí),,在證書樹上找到共同的祖先節(jié)點(diǎn),,就可以完成鑒別。當(dāng)兩個(gè)用戶分別由不同的CA服務(wù)時(shí),,不同的CA 要為每個(gè)用戶建立一個(gè)證書(這種簽證方式叫"交叉簽證"),。只要保證每一個(gè)CA者是可信賴的,這種證書管理方法就能滿足多用戶的電子商務(wù)網(wǎng)絡(luò)的需要,。 為了保護(hù)知識(shí)產(chǎn)權(quán),,保障著作人權(quán)益,特此聲明:《網(wǎng)絡(luò)安全信息》雜志及稿件的原創(chuàng)者擁有合法權(quán)益,,任何媒體,、網(wǎng)站要刊登、轉(zhuǎn)載本站文章,。必須得到《信息網(wǎng)絡(luò)安全》雜志的認(rèn)可方可轉(zhuǎn)載,。具體相關(guān)事宜請(qǐng)和編輯部聯(lián)系。聯(lián)系方式為:[email protected]違者將承擔(dān)全部責(zé)任并賠償因此造成的損失,,同時(shí)我們將保留追究由此引起的法律,、經(jīng)濟(jì)責(zé)任的權(quán)利。 網(wǎng)頁關(guān)鍵字
|
|
|
