基于Interilet上电子商务系统安全.docVIP

基于Interilet上电子商务系统安全[摘要]电子商务是当前各国研究发展的热点，它以电子商务协议为构成框架，而电子商务协议的安全性是决定电子商务发展的关键因素。本文总结了两个主流的电子商务安全协议SSL和SET，对其安全性进行分析比较，以期对电子商务安全协议有清楚的认识和客观的评价。 [关键词]电子商务安全　SSL　SET [中图分类号]TP [文献标识码]A [文章编号]1009－5549(2010)05－0108－02 引　言 电子商务就是通过电信网络进行电子支付来得到信息产品或得到递送实物产品的承诺。传统电子商务采用EDI、符号技术、条形码、信用卡等。多采用基于增值网(vAN，value-Added－Network)的专用消息网的多存储转发方式。其缺点是耗时、成本高、连通性有限。但VAN也有其优点，如安全性好、可靠性高、收据能可靠地递到，这对商用十分重要。 新的Internet商务将利用世界范围连通的、无中心管理机构、可交互的Internet发展业务。它比VAN的成本要低，及时性和互通性好。 一、电子商务对信息安全的要求 (一)机密性：数据传输过程中，必须确保数据不外泄。(二)识别性：系统必须能识别所有用户和发送者。(三)完整性：数据在网络媒介的传送过程中，必须确保数据的完整性。(四)无法否认性：通过信息安全体系的设计，当数据送到对方，必须确定接受者不能否认其曾经接到该数据。 二、电子商务面临的安全威胁及解决技术 从目前的状况看，电子商务面临以下的安全威胁： (一)病毒：电子商务离不开计算机网络，而病毒制造者通过传播计算机病毒来蓄意破坏联网计算机的程序、数据和信息，以达到某种非法目的。(二)恶意破坏程序是指会导致不同程度破坏的软件应用或者java小程序。(三)网络安全攻击：常见的有中断、介入、篡改和伪造。 这些技术的基础上又建立起更为复杂的安全协议和安全技术，例如SSL(安全套接字层)协议，SET(安全电子交易)协议等。 三、密码技术 本文讨论的是电子商务安全协议SSL和SET都运用了密码技术，它们是对称密码技术和非对称密码技术，本文对这两种密码技术进行简单的介绍。 (一)对称密码技术。对称密码技术是使用相同的密钥对数据进行加密和解密，发送者和接收者用相同的密钥。 (二)非对称密码技术。用于加密的密钥和用于解密的密钥不相同，且由其中一个推算不出另一个，这种密码体制叫非对称密码技术。非对称密码技术又称公钥密码技术，因为加密密钥是公开的，解密密钥是保密的，加/解密算法都是公开的。非对称密码技术中最为广泛应用的是RSA。 四、SSL协议及其安全性分析 (一)SSL简介。SSL(secure Socket Layer)是由Net scape首先发表的一种未来确保信息在网络上流通安全的网络数据安全传输协议。SSL是利用公开密钥的加密技术(RsA)来作为客户端与主机端在传送几门数据时的加密通讯协议的。 SSL协议位于TCP/IP层和应用层之间，代表高层协议使用TCP/IP层的服务，在OSI七层模型中处于会话层。 (二)SSL的功能。SSL协议的工作流程：服务器认证阶段：(1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；(2)服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；(3)客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；(4)服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回数字签名后的提问和其公开密钥，从而向服务器提供认证。 (三)SSL协议的实现。SSL协议可分为两层：SSL记录协议：它建立在可靠的传输协议之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法等。 五、SET协议及其安全性分析 (一)SET简介。SET(secure ElectronicTransaction)，用来保护消费者在开放型网络持卡付款交易安全的标准。由VISA、Netscape、IBM、SAIC等公司联合制订，运用RSA数据安全的公开密钥加密技术。保护交易数据的安全性和隐藏性。SET通过双重数字签名的应用，确保在开发式网络环境下，客户的交易信息不会被银行取得，而商店也无法知道客户的信用卡信息。 (二)SET