电子商务安全管理 作者 秦成德 第3章 电子商务安全的技术规范.pptVIP

3.2.1电子邮件安全协议 邮件加密 邮件加密提供了针对信息泄露的解决方案。基于SMTP的Internet 电子邮件并不确保邮件的安全性。SMTP Internet 电子邮件可能被在发送过程中看到它或在所存储的位置查看它的任何人阅读。S/MIME已通过采用加密措施解决了这些问题。 加密是一种更改信息的方式，它使信息在重新变为可读或可理解的形式之前无法阅读或理解。 3.2.1电子邮件安全协议 虽然邮件加密不像数字签名那样普遍使用，但是它确实解决了被许多人认为是Internet 电子邮件最重大缺陷的问题。邮件加密提供两种特定的安全服务： 1) 保密性 邮件加密用来保护电子邮件的内容。只有预期的收件人能够查看该内容，因而该内容是保密的，不会被可能收到或查看到该邮件的其他任何人知道。加密在邮件传送和存储过程中均提供保密性。 数据完整性 使用数字签名时，由于采用了使加密成为可能的特定操作，因此邮件加密提供了数据完整性服务。 3.2.1电子邮件安全协议 三层包装邮件 S/MIME版本3的一个值得注意的增强功能是“三层包装”。三层包装的S/MIME邮件是指经过签名、加密、而后再次签名的邮件。这个额外的加密层为邮件提供了更高一层的安全性。当用户使用带有S/MIME控件的Outlook Web Access对邮件进行签名和加密时，邮件将自动进行三层包装。Outlook和Outlook Express并不对邮件进行三层包装，但它们可以读取这些邮件。 数字签名和邮件加密相互补充，并提供综合性的解决方案，以解决影响基于SMTP的 Internet电子邮件的安全问题。 3.2.1电子邮件安全协议 数字证书和邮件加密是S/MIME 的核心功能。在邮件安全领域，最重要的支持性概念是公钥加密。公钥加密在S/MIME可见范围内产生数字签名，并对邮件进行加密。 PEM是增强Internet电子邮件隐秘性的标准草案,它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报头中规定特定的加密算法、数字鉴别算法和散列功能等安全措施。PEM是通过Internet传输安全性商务邮件的非正式标准。有关它的详细内容可参阅Internet工程任务组公布的RFC 1421、RFC 1422、RFC143 和RFC 1424等4个文件。PEM有可能被S/MIME和PEM-MIME规范所取代。 PEM-MIME MIME对象安全服务(MOSS)是将PEM和MIME两者的特性进行了结合而产生的一种新的安全协议。 3．2．2 安全超文本传输协议 安全超文本传输协议（S-HTTP）是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。S-HTTP实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（S-HTTP使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）S-HTTP支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。 S-HTTP是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，S-HTTP的安全基础是SSL，因此加密的详细内容请看SSL。 3．2．2 安全超文本传输协议 它是一个URI scheme(抽象标识符体系)，句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但S-HTTP存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面限制它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持。? S-HTTP是一种面向安全信息通信的协议，依靠密钥的加密，保证Web站点间的交换信息传输的安全性。S-HTTP对HTTP的安全性进行了扩充，增加了报文的安全性，是基于SSL技术的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。 3．2．2 安全超文本传输协议 虽然S-HTTP的设计者承认他有意识的利用了多根分层的信任模型和许多公钥证书系统，但S-HTTP仍努力避开对某种特定模型的滥用。S-HTTP与摘要验证（在[RFC-2617]中有描述）的不同之处在于，它支持共钥加密和数字签名，并具有保密性。 HTTPS作为另一种安全web通信技术，是指HTTP运行在TLS和SSL上面的实现安全web事务的协议。 3．2．3 安全套接层协议 协议的起源 随着计算机网络技术向整个经济社会各层次延伸，整个社会表现对Internet、