電子商務(wù)安全規(guī)范

電子商務(wù)安全規(guī)范可分為安全、認(rèn)證兩方面的規(guī)范。
    一、安全規(guī)范
    當(dāng)前電子商務(wù)的安全規(guī)范包括加密算法、報(bào)文摘要算法、安全通信協(xié)議等方面的規(guī)范。
    1. 加密算法
    基本加密算法有兩種：對(duì)稱密鑰加密、非對(duì)稱密鑰加密，用于保證電子商務(wù)中數(shù)據(jù)的保密性、完整性、真實(shí)性和非抵賴服務(wù)。
    （1）對(duì)稱密鑰加密
    對(duì)稱密鑰加密也叫秘密/專用密鑰加密（Secret Key Encryption），即發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的/對(duì)稱的密鑰對(duì)明文進(jìn)行加密和解密運(yùn)算。最的對(duì)稱密鑰加密標(biāo)準(zhǔn)是數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，簡(jiǎn)稱 DES）。DES是一種使用56個(gè)數(shù)據(jù)位的密鑰來(lái)操作64位數(shù)據(jù)塊的塊加密算法，由IBM公司推出，可同時(shí)對(duì)大量數(shù)據(jù)進(jìn)行快速加密。美國(guó)政府于1977年1月15日將其公布為聯(lián)邦信息處理標(biāo)準(zhǔn)（Federal Information Processing Standard,簡(jiǎn)稱FIPS），即FIPS PUB 46-2，至今已在銀行業(yè)和其它一些領(lǐng)域用了二十余年。DES算法曾經(jīng)過(guò)廣泛的分析和測(cè)試，被認(rèn)為是一種非常安全的系統(tǒng)。
    目前已有一些比DES算法更安全的對(duì)稱密鑰加密算法，如：IDEA算法，RC2、RC4算法，Skipjack算法等。
    （2）非對(duì)稱密鑰加密
    非對(duì)稱密鑰加密也叫公開密鑰加密（Public Key Encryption），由美國(guó)斯坦福大學(xué)赫爾曼教授于1977年提出。它主要指每個(gè)人都有一對(duì)對(duì)應(yīng)的密鑰：公開密鑰和私有密鑰，公鑰對(duì)外公開，私鑰由個(gè)人秘密保存；用其中一把密鑰來(lái)加密，就只能用另一把密鑰來(lái)解密。商戶可以公開其公鑰，而保留其私鑰；客戶可以用商戶的公鑰對(duì)發(fā)送的信息進(jìn)行加密，安全地傳送到商戶，然后由商戶用自己的私鑰進(jìn)行解密。公開密鑰加密技術(shù)解決了密鑰的發(fā)布和管理問(wèn)題，是目前商業(yè)密碼的核心。使用公開密鑰技術(shù)，進(jìn)行數(shù)據(jù)通信的雙方可以安全地確認(rèn)對(duì)方身份和公開密鑰，提供通信的可鑒別性。由此，公開密鑰體制的建設(shè)是開展電子商務(wù)的前提。
    非對(duì)稱加密算法主要有RSA、DSA、Diffie-Hellman、PKCS、PGP等。
    美國(guó)政府最早致力于密碼技術(shù)的標(biāo)準(zhǔn)化，從DES開始就由NIST制定了一系列聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS），并制定了密碼技術(shù)規(guī)范，在技術(shù)規(guī)范的前提下對(duì)密碼產(chǎn)品進(jìn)行嚴(yán)格的檢驗(yàn)。我國(guó)在公開密鑰體制建設(shè)方面相對(duì)落后。其公開密鑰體制的建設(shè)應(yīng)充分吸取其它國(guó)家實(shí)施公開密鑰體制和電子商務(wù)戰(zhàn)略過(guò)程中的經(jīng)驗(yàn)和教訓(xùn)；并結(jié)合我國(guó)電子商務(wù)的發(fā)展，以及跨部門應(yīng)用的需要，由中央政府協(xié)調(diào)，制定出我國(guó)統(tǒng)一的、完整的國(guó)家公開密鑰體制，推動(dòng)我國(guó)電子商務(wù)的發(fā)展，增強(qiáng)我國(guó)在電子商務(wù)領(lǐng)域的競(jìng)爭(zhēng)力，推動(dòng)密碼產(chǎn)品市場(chǎng)的發(fā)展。
    2. 報(bào)文摘要算法
    報(bào)文摘要算法（Message Digest Algorithms）即采用單向HASH算法將需要加密的明文進(jìn)行摘要，而產(chǎn)生的具有固定長(zhǎng)度的單向散列（HASH）值。其中，散列函數(shù)（Hash Functions）是將一個(gè)不同長(zhǎng)度的報(bào)文轉(zhuǎn)換成一個(gè)數(shù)字串（即報(bào)文摘要）的公式，該函數(shù)不需要密鑰，公式?jīng)Q定了報(bào)文摘要的長(zhǎng)度。報(bào)文摘要對(duì)非對(duì)稱加密一起，提供數(shù)字簽名的方法。
    報(bào)文摘要算法主要有安全散列標(biāo)準(zhǔn)、MD2系列標(biāo)準(zhǔn)。
    ※ 安全散列算法（Secure Hash Algorithm，簡(jiǎn)稱SHA）：是一種報(bào)文摘要算法，它產(chǎn)生160位的散列值。SHA已經(jīng)被美國(guó)政府核準(zhǔn)作為標(biāo)準(zhǔn)，即FIPS 180-1 Secure Hash Standard (SHS)，F(xiàn)IPS規(guī)定必須用SHS實(shí)施數(shù)字簽名算法。在產(chǎn)生與證實(shí)數(shù)字簽名中過(guò)程中用到的HASH函數(shù)也有相應(yīng)的標(biāo)準(zhǔn)做出規(guī)定；
    ※ MD2、MD4、MD5：是由RSA創(chuàng)始人之Rivest發(fā)明的報(bào)文摘要算法。每一種產(chǎn)生一個(gè)128位的散列值，其中MD2最慢，MD4最快，MD5是MD4的一個(gè)變種。詳細(xì)信息可參見(jiàn)RFC 1319（MD5）、RFC 1320（MD4）、RFC 1321（MD2）。
    認(rèn)證標(biāo)準(zhǔn)包括數(shù)字簽名、數(shù)字證書、密鑰與證書管理、身份認(rèn)證等標(biāo)準(zhǔn)。
    3. 加密通信協(xié)議(SSL)
    安全套接層協(xié)議（Secure Socket Layer,簡(jiǎn)稱SSL）是一種保護(hù)WEB通訊的工業(yè)標(biāo)準(zhǔn)，主要目的是提供INTERNET上的安全通信服務(wù)，是基于強(qiáng)公鑰加密技術(shù)以及RSA的專用密鑰序列密碼，能夠?qū)π庞每ê蛡€(gè)人信息、電子商務(wù)提供較強(qiáng)的加密保護(hù)。SSL在建立連接過(guò)程上采用公開密鑰，在會(huì)話過(guò)程中使用專有密鑰。在每個(gè)SSL會(huì)話（其中客戶機(jī)和服務(wù)器都被證實(shí)身份）中，要求服務(wù)器完成一次使用服務(wù)器專用密鑰的操作和一次使用客戶機(jī)公開密鑰的操作。SSL提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、報(bào)文完整以及TCP/IP聯(lián)接用可選客戶認(rèn)證等，對(duì)計(jì)算機(jī)之間整個(gè)會(huì)話過(guò)程進(jìn)行加密。采用SSL協(xié)議，可確保信息在傳輸過(guò)程中不被修改，實(shí)現(xiàn)數(shù)據(jù)的保密與完整性，在INTERNET上廣泛用于處理財(cái)務(wù)上敏感的信息。在信用卡交易方面，商家可以通過(guò)SSL在WEB上實(shí)現(xiàn)對(duì)信用卡訂單的加密，由于SSL適合各類主流瀏覽器及WEB服務(wù)器，因此只要安裝一個(gè)數(shù)字證書就可使SSL成為可能。
    SSL的缺陷是只能保證傳輸過(guò)程的安全，無(wú)法知道在傳輸過(guò)程中是否受到竊聽(tīng)，黑客可以此破譯SSL的加密數(shù)據(jù)，破壞和盜竊WEB信息。此外，SSL在全球的大規(guī)模使用還有一定的難度。SSL產(chǎn)品的出口受到美國(guó)國(guó)家安全局（NSA）的限制，美國(guó)政府只允許加密密鑰為40位以下的算法出口，而美國(guó)的商家一般都可以使用128位的SSL，致使美國(guó)以外的國(guó)家很難真正在電子商務(wù)中充分利用SSL。
    新的SSL協(xié)議被命名為TLS（Transport Layer Security），安全可靠性可有所提高，但仍不能消除原有技術(shù)上的基本缺陷。