电子邮件是互联网上主要的信息传输手段,也是电子商务应用的主要途径之一。但它并不具备很强的安全防范措施。互联网工程任务组(IEFT)为扩充电子邮件的安全性能已起草了相关的规范:
PEM。PEM是增强电子邮件隐秘性的标准草案,它在互联网电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。
S/MIME。S/MIME是多功能电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。MIME是正式的Internet电子邮件扩充标准格式。其目的是在MIME上定义安全服务措施的实施方式。目前,S/MIME已成为产业界广泛认可的协议。
PEM-MIME(MOSS)。MIME对象安全服务是将PEM和MIME两者的特性进行了结合。
互联网主要的安全协议
安全槽层协议(SSL)。这是由Netscape公司研究制定的安全协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。该协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如微软、IBM等网络产品的公司已在使用该协议。此外,微软和Visa机构也共同研究制定了一种类似于SSL的协议,这就是PCT(专用通信技术)。
安全的超文本传输协议(S-HTTP)。是对HTTP扩充安全特性、增加了报文的安全性,它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机密性等安全措施。
安全电子交易规范(SET)
SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络进行安全资金支付的技术标准。参与该标准研究的还有微软、IBM、Netscape、RSA等。SET主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET 1.0版已经公布并可应用于任何银行支付服务。
