加密技术标准、法律法规

数字签名技术
• 数字签名基于公共密钥体制
A传送方
M
hash
OK
比较
?
B接收方
Kpri-A
Kpub-B
M
m
加密
m+ ’
加密
(M+m’)’
m
hash
M
解密
m
解密
m’
Kpub-A
Kpri-B
数字签名和加密文件传送
数字签名标准DSS
• 数字签名的应用涉及到法律问题 • 1991年8月30日, 美国国家标准与技术学会NIST公布了数字签名标准
SET协议要达到的目标
（1）保证电子商务参与者信息的相互隔离。客户的 资料加密或打包后边过商家到达银行，但是商家不能 看到客户的帐户和密码信息；
（2）保证信息在Intemet上安全传输，防止数据被黑 客或被内部人员窃取；
（3）解决多方认证问题，不仅要对消费者的信角卡 认证，而且要对在线商店的信誉程度认证，同时还有 消费看、在线商店与银行间的认证；
数字加密标准DES 高级加密标准AES
数字签名标准
• 数字签名 • 数字签名标准 • 数字签名标准DSS(美国)
数字签名
• 对文件进行加密解决了传送信息的保密问题，而 防止他人对传输的文件进行破坏，以及如何确定 发信人的身份还需要采取其它的手段，这一手段 就是数字签名。在电子商务安全保密系统中，数 字签名技术有着特别重要的地位，在电子商务安 全服务中的源鉴别、完整性服务、不可否认服务 中，都要用到数字签名技术。在电子商务中，完 善的数字签名应具备签字方不能抵赖、他人不能 伪造、协议存在的一些问题
• 协议没有说明收单银行给在线商店付款前，是否必 须收到消费者的货物接收证书。如果在线商店提供 的货物不符合质量标准，消费者提出异议，责任由 谁承担？
• 协议没有担保“非拒绝行为”，这意味着在线商店 没有办法证明订购是由签署证书的、讲信用的消费 者发出的；
• SET技术规范没有提及在事务处理完成后，如何安 全地保存或销毁此类数据，是否应当将数据保存在 消费者、在线商店或收单银行的计算机里。这种漏 洞可能是这些数据以后受到潜在的攻击。
（4）保证了网上交易的实时性，使所有的支付过程 都是在线的；
（5）规范协议和消息格式，促使不同厂家开发的软 件具有兼容性和互操作功能，并且可以运行在不同的 硬件和操作系统平台上。
SET安全协议的工作原理
（1）消费者利用已有的计算机通过因特网选定的物品，并下电 子订单（关于产品属性的字段）；
（2）通过电子商务服务器与网上商场联系，网上商场做出应答， 告诉消费者的订单的相关情况（是否改动以及关于购买属性的关 键字段）；
介绍
▪ 信息安全技术专家岗位资格技能认证培训
▪ 中华人民共和国劳动与社会保障部职业资
格认证
国家信息安全培训认证管理中心 主任
劳动与社会保障部国家督导、高级考评员
信息产业部
信息化与电子政务专家
盛鸿宇 副研究员

e_gov@
第十章 加密技术标准、法律法规
加密技术标准 数字签名标准和电子签名法 安全电子交易规范SET 国外相关PKT体系建设标准 国内相关PKT体系建设标准
（3）消费者选择付款方式，确认订单，签发付款指令（此时SET 介入）；
（4）在SET中，消费者必须对定单和付款指令进行数字签名，同 时利用双重签名技术保证商家看不到消费者的帐号信息；
（5）在线商店接受定单后，向消费者所在银行请求支付认可， 信息通过支付网关到收单银行，再到电子货币发行公司确认，批 准交易后，返回确认信息给在线商店；
（6）在线商店发送定单确认信息给消费者，消费者端软件可记 录交易日志，以备将来查询；
（7）在线商店发送货物或提供服务，并通知收单银行将钱从消 费者的帐号转移到商店帐号，或通知发卡银行请求支付。
SET协议的意义
SET主要使用电子认证技术，其认证过程使用RSA 和DES算法，因此，可以为电子商务提供很强的安 全保护; 由于安全电子交易规范是由信用卡发卡公司参与 制定的，一般认为，安全电子交易规范的认证系 统是有效的; SET规范是目前电子商务中最重要的协议，它的推 出必将大大促进电子商务的繁荣和发展; SET将建立一种能在因特网上安全使用银行卡进行 购物的标准。
DSS （现在叫联邦信息处理标准FIPS） • 指定数字签名算法（DSA） • DSS签名使用FIPS l80-1和安全hash标准（SHS）产生和核实数字签
名 • 指定安全hash算法（SHA）
电子签名法
•数字签名的应用涉及到法律问题 •法国是第一个制定数字签名法的国家 •美国于1991年公布数字签名标准 （DSS）后，部分州已制定了数字签名 法
安全电子交易规范SET
• 在开放的因特网上处理电子商务，保证买卖双 方传输数据的安全成为电子商务的重要的问题。 为了克服SSL安全协议的缺点，满足电子交易持 续不断地增加的安全要求，为了达到交易安全 及合乎成本效益的市场要求，VISA国际组织及 其它公司如Master Card、Micro Soft、IBM等共 同制定了安全电子交易（SET：Secure Electronic Transactions）公告。这是一个为在 线交易而设立的一个开放的、以电子货币为基 础的电子付款系统规范。
ISO7498-2安全标准
▪ISO7498-2提供了以下五种可选择的安全服务
• 认证
• 访问控制 • 数据保密
Authentication
• 数据完整性
Access control
• 防止否认
Data Confidentiality
Data Integrity
（Non-reputation
加密技术标准
世界各国密码政策介绍
概况
1999年6月，美国的Electronic Privacy Information Center公布了其对世界各国密码政策 的调查结果。
1、当今许多国家对密码的使用没有控制，密码的使用 、生产、销售均不受限制。 2、各国和国际组织在密码的法律和政策方面向着更加 宽松的方向迈进。 3、出口控制依然是密码自由流动和发展的最大障碍。 4、美国继续在全球推行其加密出口控制的政策，并迫 使其它国家采纳其限制性的政策。