第十章加密技术标准、法律法规.pptVIP

介绍 第十章 加密技术标准、法律法规 ISO7498-2安全标准 加密技术标准 数字加密标准DES 高级加密标准AES 数字签名标准 数字签名 数字签名标准 数字签名标准DSS(美国) 数字签名 对文件进行加密解决了传送信息的保密问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其它的手段，这一手段就是数字签名。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中，都要用到数字签名技术。在电子商务中，完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力。 数字签名技术 数字签名基于公共密钥体制 数字签名标准DSS 数字签名的应用涉及到法律问题 1991年8月30日, 美国国家标准与技术学会NIST公布了数字签名标准DSS （现在叫联邦信息处理标准FIPS） 指定数字签名算法（DSA） DSS签名使用FIPS l80-1和安全hash标准（SHS）产生和核实数字签名 指定安全hash算法（SHA） 安全电子交易规范SET 在开放的因特网上处理电子商务，保证买卖双方传输数据的安全成为电子商务的重要的问题。为了克服SSL安全协议的缺点，满足电子交易持续不断地增加的安全要求，为了达到交易安全及合乎成本效益的市场要求，VISA国际组织及其它公司如Master Card、Micro Soft、IBM等共同制定了安全电子交易（SET：Secure Electronic Transactions）公告。这是一个为在线交易而设立的一个开放的、以电子货币为基础的电子付款系统规范。 SET协议要达到的目标 （1）保证电子商务参与者信息的相互隔离。客户的资料加密或打包后边过商家到达银行，但是商家不能看到客户的帐户和密码信息； （2）保证信息在Intemet上安全传输，防止数据被黑客或被内部人员窃取； （3）解决多方认证问题，不仅要对消费者的信角卡认证，而且要对在线商店的信誉程度认证，同时还有消费看、在线商店与银行间的认证； （4）保证了网上交易的实时性，使所有的支付过程都是在线的； （5）规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。 SET安全协议的工作原理 （1）消费者利用已有的计算机通过因特网选定的物品，并下电子订单（关于产品属性的字段）； （2）通过电子商务服务器与网上商场联系，网上商场做出应答，告诉消费者的订单的相关情况（是否改动以及关于购买属性的关键字段）； （3）消费者选择付款方式，确认订单，签发付款指令（此时SET介入）； （4）在SET中，消费者必须对定单和付款指令进行数字签名，同时利用双重签名技术保证商家看不到消费者的帐号信息； （5）在线商店接受定单后，向消费者所在银行请求支付认可，信息通过支付网关到收单银行，再到电子货币发行公司确认，批准交易后，返回确认信息给在线商店； （6）在线商店发送定单确认信息给消费者，消费者端软件可记录交易日志，以备将来查询； （7）在线商店发送货物或提供服务，并通知收单银行将钱从消费者的帐号转移到商店帐号，或通知发卡银行请求支付。 SET协议存在的一些问题 协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接收证书。如果在线商店提供的货物不符合质量标准，消费者提出异议，责任由谁承担？ 协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是由签署证书的、讲信用的消费者发出的； SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能是这些数据以后受到潜在的攻击。 世界各国密码政策介绍 概况 1999年6月，美国的Electronic Privacy Information Center公布了其对世界各国密码政策的调查结果。 出口控制的作用 出口控制政策是各国政府限制加密产品发展的强有力手段。 出口控制降低了自由获得加密产品的可能性，特别是从美国的公司。 出口控制不利于制定国际通用的加密标准，而且造成不同程序间的互操作性很差。 出口控制在网络化的今天形同虚设，强的牢不可破的加密程序可以在几钞钟内传遍世界各地。 美国的密码政策（一） 1999.9.16,克林顿政府宣布了其最新的密码产品出口控制条例。尽管这些政策远未落实，但却表明美国政府多年来对强加密的敌视态度正在转变。 任何密钥长度的硬件、软件加密产品，只要经过一个“one-time technical review”无需许可证即可出口。 密钥长度不超过64比特的密码产品不受任何限制。但要满足Wassennaar协议要求。　 美国的密码政策（二） 尽管