1)利用Web基础的数字证书的认证模型
企业的业务应用的Web化有了进展,所以ID,口令更安全,开始普及利用在通信线路内也可以不传播ID,口令的数字证书来进行的认证工作。为了认证必须将数字证书分别输入Web服务器和ClientPC内,由于通信线路保密性是通过Browser上安装的SSL来密码处理,因此ClientPC不需要专用软件,为此很简便。
(1)on-lineshopping电子商务交易中,代表性的企业对消费者交易有Oo-Line-Shopping(联机购物)。这和会面销售不同,消费者24小时都可以做到商品购进,必要情况下可以收集信息,通过开放式网络向全球购物。从销售者的角度来看,既处于无店铺状态,也可以24小时经营,同时尽可能扩大全球商业网络,而且能做到直接销售给消费者,所以具有从交易系列中被解放出来的优点。
对On-LineShopping也可使用数字证书。为此采取两种形式。一种形式是对成为ShoppingMall的服务器输入一下数字证书,Client就从Browser以利用SSL的通信形态,作只有服务器方的单方(一方)认证。通过服务器认证就能确认服务器一定是运营者的,但不特意认证Client。以多数不特定消费者作为对象的情况下,Client方只是Browser,因此既简便,又把个人信息利用SSL的密码保护起来。
这样的On-LineShopping上,仅仅受理定单方面,结算是支付和Convene结算等通过和物流组合的情况较多。
另一种形式为除了服务器以外也通过给Client输入证书,相互进行服务器认证和Client认证,特定购买者后进行购物等交易的形态。以会员制进行On-LineShopping时有效,做计费系统和On-Line结算的时候发挥效果。
在电子商务交易中代表性的企业之间交易模型(典型)有WebEDI,迄今为止也有很多企业和业界利用了EDI,但一直因为没被标准化而既需要专用端末,又有在自己公司内取回被送信的数据而产生交换的必要性。另外为了通信安全起见使用VAN,为此也加重了成本。
将EDI利用互联网技术、TCPIP等通信手段,在BROWSER画面上对话下去的WebEDI的潮流正在引起人们的注目。由于顾客的生活方式和价值观念的变化,在市场上发生商品多样化、商品寿命缩短化现象,企业生产和顾客购买之间的隔阂和差距正在扩大。作为打破这种现状的手段IT革命备受人们的睹目。
WebEDI在网络上能廉价引进,可以谋求贸易过程的速度化、成本的合理化,能够提高顾客的满意度。另一方面,由于利用开放式的网络需要采取安全措施,需要防止盗听、篡改、冒充等行为,为此有必要为了特定交易对方而采取通过数字证书的认证措施。
在EDI上进行的业务方面涉及订货业务的比较多。从接受订货到设计、资材供应、生产管理的业务周期中,几乎都附有图片、进货说明书、CAD数据等内容。
在一部分业务中也看到对物流(运输委托信息、货物确认信息)和金流(交易支付款详单、核准确认、抵消通知)等编组。这些电子信息以作为信息保护的对象只能对需要的人员宣布,因此在通过数字证书的认证之后,为了做到只访问被许可的信息而正在和访问控制软件联合。今后越来越谋求以SCM(SupplyChainManagement)为中心的信息交换以及公司内部、关联公司之间的信息传送的速度化以及物品流动的畅通。
(3)隐藏性强的信息随着实现保证互联网安全的预见性,将把隐藏性高的信息通过Web对特定对象公开的动态开始显露。如通过网络把投资运用实际情况对特定投资者报告,医生和患者等在限定范围内对医疗信息的共有事例等对各种需要的对应开始被探讨。
利用数字证书的认证,通过SSA的通信经路的密码、访问控制等的组合可能导致这种模型的实现。
2)使用PKI基础的数字证书的认证模型
PKI不单纯发行证书,通常认为问题发生在数字证书发行之后到有效期限结束为止的Life-Cyecle(生活周期)内。企业活动中各种管理功能不能缺少,在网络社会中尤其要求公钥管理技能的充实。密码“钥匙”的后备支援、恢复技能、“钥匙”的自动更新技能、“钥匙”的履历管理技能等。因密码“钥匙”的丢失和破损导致重要文件的遗失就会引起重大案件的发生。因此“钥匙”的后备支援和恢复技能对企业活动来说非常重要,但是如果提供密码“钥匙”的后备支援和恢复工作,那么就会出现交易的否认防止失去功能等相反的矛盾现象。
在PKI产品中满足相反的两种功能的是目前少有的状况。单个“钥匙”对等1组“钥匙”对的方式很难解决矛盾。为了解决此课题,有采用使密码和电子签名的2组“钥匙”对分开来自动管理的双“钥匙”对方式“EntrustPKI”的产品。
该方式指密码作后备支援,签名用密码“钥匙”同正式印章一样处于个人管理之下,通过签名证明交易的参与而实现防止否认行为。
企业网络安全对应每个应用的情况很多,为此安全基本设施的配备成为必要条件。为了防止双重投资需要从企业系统整体安全方面加以考虑。为了构筑和维持企业整体系统的安全,需要利用PKI的网络环境。
在Web基础的利用数字证书的认证的情况下,利用认证确认对方为通过确认数字证书和认证局的电子签名。应用上的文件是利用SSL来密码处理之后得到通信系统的保护,但对篡改行为来说不一定确认文件的完全性。
PKI可以做到在公钥基础上把密码和电子签名提供给各种应用内。在通过数字证书确认本人后的对应用Log-In,关于文件方面用对方的公钥加密码处理的同时,文件内附上本人的电子签名。电子签名具有确认文件完整性等的两种作用,一是确认此物确实是属于其本人的(防止否认);二是确认文件没被篡改过。由于具备以上功能其安全性能更高。
这样的PKI方式与Web认证相比,完整性和防止否认性能得到了保证,所以就会提供安全性能更加坚固的环境。另一方面,对Client必须把软件INSTALL,对文件进行密码化,符号化,所以就会需要支援、恢复、公钥的自动更新、履历管理等公钥管理功能。
但是一旦PKI被构筑,不仅仅表现在Web的安全上,而且会与计算机的安全(文件夹、持有人的密码),电子邮件,GROUPWARE,×××,ERP,电子商务交易以及其他业务应用联合,这样企业安全构造不仅变得简单,而且Web基础的贸易模型也会变得牢固。
3)通过×××证书的认证模型
所谓×××(VirtualPrivateNetwork)指的是通过防火墙和对ROOTER编入×××机组,对互联网构筑如同隧道一样的假想专用线网,对密码化处理的数据进行通信的结构。目前各Vender正在提供很多×××机器。
×××能保证互联网上的安全通信网,所以与目前为止的专用线比起来通信成本低,不用说国内,连与海外事务所之间的通信也不依赖距离,所以是一种有效手段。
×××机器能应付PKI,而且会进行以数据证书为基础的认证。在×××内引进PKI的优点是如果要通信的SITE增加,那么和往常一样的固定“钥匙”方式就会在级数上增大“钥匙”的数量,但是如果使用数字证书就以SITE数分的“钥匙”来把所有的SITE以网眼状×××通信。应付CLIENTPC的情况下,需要数字证书,结构易懂并且易算出通信费等费用对效果情况,为此讨论引进的企业开始增多。