電子商務安全規(guī)范

電子商務安全規(guī)范可分為安全、認證兩方面的規(guī)范。
    一、安全規(guī)范
    當前電子商務的安全規(guī)范包括加密算法、報文摘要算法、安全通信協(xié)議等方面的規(guī)范。
    1. 加密算法
    基本加密算法有兩種：對稱密鑰加密、非對稱密鑰加密，用于保證電子商務中數(shù)據(jù)的保密性、完整性、真實性和非抵賴服務。
    （1）對稱密鑰加密
    對稱密鑰加密也叫秘密/專用密鑰加密（Secret Key Encryption），即發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的/對稱的密鑰對明文進行加密和解密運算。最的對稱密鑰加密標準是數(shù)據(jù)加密標準（Data Encryption Standard，簡稱 DES）。DES是一種使用56個數(shù)據(jù)位的密鑰來操作64位數(shù)據(jù)塊的塊加密算法，由IBM公司推出，可同時對大量數(shù)據(jù)進行快速加密。美國政府于1977年1月15日將其公布為聯(lián)邦信息處理標準（Federal Information Processing Standard,簡稱FIPS），即FIPS PUB 46-2，至今已在銀行業(yè)和其它一些領域用了二十余年。DES算法曾經(jīng)過廣泛的分析和測試，被認為是一種非常安全的系統(tǒng)。
    目前已有一些比DES算法更安全的對稱密鑰加密算法，如：IDEA算法，RC2、RC4算法，Skipjack算法等。
    （2）非對稱密鑰加密
    非對稱密鑰加密也叫公開密鑰加密（Public Key Encryption），由美國斯坦福大學赫爾曼教授于1977年提出。它主要指每個人都有一對對應的密鑰：公開密鑰和私有密鑰，公鑰對外公開，私鑰由個人秘密保存；用其中一把密鑰來加密，就只能用另一把密鑰來解密。商戶可以公開其公鑰，而保留其私鑰；客戶可以用商戶的公鑰對發(fā)送的信息進行加密，安全地傳送到商戶，然后由商戶用自己的私鑰進行解密。公開密鑰加密技術解決了密鑰的發(fā)布和管理問題，是目前商業(yè)密碼的核心。使用公開密鑰技術，進行數(shù)據(jù)通信的雙方可以安全地確認對方身份和公開密鑰，提供通信的可鑒別性。由此，公開密鑰體制的建設是開展電子商務的前提。
    非對稱加密算法主要有RSA、DSA、Diffie-Hellman、PKCS、PGP等。
    美國政府最早致力于密碼技術的標準化，從DES開始就由NIST制定了一系列聯(lián)邦信息處理標準（FIPS），并制定了密碼技術規(guī)范，在技術規(guī)范的前提下對密碼產(chǎn)品進行嚴格的檢驗。我國在公開密鑰體制建設方面相對落后。其公開密鑰體制的建設應充分吸取其它國家實施公開密鑰體制和電子商務戰(zhàn)略過程中的經(jīng)驗和教訓；并結合我國電子商務的發(fā)展，以及跨部門應用的需要，由中央政府協(xié)調(diào)，制定出我國統(tǒng)一的、完整的國家公開密鑰體制，推動我國電子商務的發(fā)展，增強我國在電子商務領域的競爭力，推動密碼產(chǎn)品市場的發(fā)展。
    2. 報文摘要算法
    報文摘要算法（Message Digest Algorithms）即采用單向HASH算法將需要加密的明文進行摘要，而產(chǎn)生的具有固定長度的單向散列（HASH）值。其中，散列函數(shù)（Hash Functions）是將一個不同長度的報文轉換成一個數(shù)字串（即報文摘要）的公式，該函數(shù)不需要密鑰，公式?jīng)Q定了報文摘要的長度。報文摘要對非對稱加密一起，提供數(shù)字簽名的方法。
    報文摘要算法主要有安全散列標準、MD2系列標準。
    ※ 安全散列算法（Secure Hash Algorithm，簡稱SHA）：是一種報文摘要算法，它產(chǎn)生160位的散列值。SHA已經(jīng)被美國政府核準作為標準，即FIPS 180-1 Secure Hash Standard (SHS)，F(xiàn)IPS規(guī)定必須用SHS實施數(shù)字簽名算法。在產(chǎn)生與證實數(shù)字簽名中過程中用到的HASH函數(shù)也有相應的標準做出規(guī)定；
    ※ MD2、MD4、MD5：是由RSA創(chuàng)始人之Rivest發(fā)明的報文摘要算法。每一種產(chǎn)生一個128位的散列值，其中MD2最慢，MD4最快，MD5是MD4的一個變種。詳細信息可參見RFC 1319（MD5）、RFC 1320（MD4）、RFC 1321（MD2）。
    認證標準包括數(shù)字簽名、數(shù)字證書、密鑰與證書管理、身份認證等標準。
    3. 加密通信協(xié)議(SSL)
    安全套接層協(xié)議（Secure Socket Layer,簡稱SSL）是一種保護WEB通訊的工業(yè)標準，主要目的是提供INTERNET上的安全通信服務，是基于強公鑰加密技術以及RSA的專用密鑰序列密碼，能夠?qū)π庞每ê蛡€人信息、電子商務提供較強的加密保護。SSL在建立連接過程上采用公開密鑰，在會話過程中使用專有密鑰。在每個SSL會話（其中客戶機和服務器都被證實身份）中，要求服務器完成一次使用服務器專用密鑰的操作和一次使用客戶機公開密鑰的操作。SSL提供數(shù)據(jù)加密、服務器認證、報文完整以及TCP/IP聯(lián)接用可選客戶認證等，對計算機之間整個會話過程進行加密。采用SSL協(xié)議，可確保信息在傳輸過程中不被修改，實現(xiàn)數(shù)據(jù)的保密與完整性，在INTERNET上廣泛用于處理財務上敏感的信息。在信用卡交易方面，商家可以通過SSL在WEB上實現(xiàn)對信用卡訂單的加密，由于SSL適合各類主流瀏覽器及WEB服務器，因此只要安裝一個數(shù)字證書就可使SSL成為可能。
    SSL的缺陷是只能保證傳輸過程的安全，無法知道在傳輸過程中是否受到竊聽，黑客可以此破譯SSL的加密數(shù)據(jù)，破壞和盜竊WEB信息。此外，SSL在全球的大規(guī)模使用還有一定的難度。SSL產(chǎn)品的出口受到美國國家安全局（NSA）的限制，美國政府只允許加密密鑰為40位以下的算法出口，而美國的商家一般都可以使用128位的SSL，致使美國以外的國家很難真正在電子商務中充分利用SSL。
    新的SSL協(xié)議被命名為TLS（Transport Layer Security），安全可靠性可有所提高，但仍不能消除原有技術上的基本缺陷。