电子商务安全技术分析和探讨.docVIP

电子商务安全技术分析和探讨 　　摘要：随着因特网的飞速发展，电子商务正得到越来越广泛的应用。电子商务的安全性是影响其成败的一个关键因素。文章讨论了电子商务的含义与安全现状，对电子商务的安全性技术进行了分析，分析了现实应用中使用较多的以SSL（安全套接层）协议与SET协议，并对某些不足提出了改进的设想或进一步完善的方法。 　　关键词：电子商务；安全套接层协议；安全电子交易协议 　　 　　一、电子商务的含义与安全现状 　　 　　电子商务（Electronic Commerce）是利用计算机技术、网络技术和远程通信技术，实现整个商务（买卖）过 　　程中的电子化、数字化和网络化。人们不再是面对面的、看着实实在在的货物、靠纸介质单据（包括现金）进行买卖交易，而是通过网络，通过网上琳琅满目的商品信息、完善的物流配送系统和方便安全的资金结算系统进行交易（买卖）。 　　整个交易的过程可以分为三个阶段： 　　第一个阶段是信息交流阶段：对于商家来说，此阶段为发布信息阶段。主要是选择自己的优秀商品，精心组织自己的商品信息，建立自己的网页，然后加入名气较大、影响力较强、点击率较高的著名网站中，让尽可能多的人们了解你认识你。对于买方来说，此阶段是去网上寻找商品以及商品信息的阶段。主要是根据自己的需要，上网查找自己所需的信息和商品，并选择信誉好服务好价格低廉的商家。 　　第二阶段是签定商品合同阶段：作为B2B（商家对商家）来说，这一阶段是签定合同、完成必需的商贸票据的交换过程。要注意的是：数据的准确性、可靠性、不可更改性等复杂的问题。作为B2C（商家对个人客户）来说，这一阶段是完成购物过程的定单签定过程，顾客要将你选好的商品、自己的联系信息、送货的方式、付款的方法等在网上签好后提交给商家，商家在收到定单后应发来邮件或电话核实上述内容。 　　第三阶段是按照合同进行商品交接、资金结算阶段：这一阶段是整个商品交易很关键的阶段，不仅要涉及到资金在网上的正确、安全到位，同时也要涉及到商品配送的准确、按时到位。在这个阶段有银行业、配送系统的介入，在技术上、法律上、标准上等等方面有更高的要求。 　　利用电子商务进行网上交易，会碰到非法用户冒充合法用户使用网络交易，而且网络线路易被窃听，网络数据又多是明文传输的，网络交易信息易被修改，隐私信息易被窃取，所以必须采用可靠安全的机制来保障网络交易的安全，以弥补网络固有的安全缺陷。在一次安全的网络交易中，需要具备交易双方身份确定、交易时间确定、交易内容确定，只有这几个方面完全确定，才能够确保交易双方可以在安全性脆弱的网络上有信心地进行交易。 　　 　　二、电子商务中采用的安全技术 　　 　　电子商务的关键问题是要保证在线支付的安全，它是网上购物的重要保证。目前采用的在线支付协议有两种：安全套接层SSL（Secure Sockets Layer）协议和安全电子交易SET（Secure Electronic Transaction）协议。 　　SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证，数字证书是从认证机构（Certificate Authority，CA）获得的，通常包含有惟一标识证书所有者的名称、惟一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后，双方就可以用保密密钥进行安全的会话了。SSL协议在应用层收发数据前，协商加密算法、连接密钥并认证通信双方，从而为应用层提供了安全的传输通道；在该通道上可透明加载任何高层应用协议（如HTTP、FTP、TELNET等）以保证应用层数据传输的安全性。SSL协议握手流程由两个阶段组成：服务器认证和用户认证。 　　SET协议是一个能保证通过开放网络进行安全资金支付的技术标准。它采用的技术包括，对称密钥加密、公共密钥加密、哈希算法、数字签名技术以及公共密钥授权机制等。SET使订单信息和信用卡信息的隔离。在把包含信用卡号码信息的订单送到商家时，商家只能看到订单信息，却看不到信用卡号码信息，并且需要持卡人和商家相互认证，确定通信双方身份，一般由认证中心为双方提供信用担保。整个电子支付的过程包括：浏览、购买、付款合法性验证以及获取付款等过程。信用卡持卡客户通过浏览器从商家的商品目录寻找所需商品，以及拥有支付网关交换密钥的私人密钥，可以发送初始化请求给商家；商家收到客户的初始化请求后，为请求报文分配一个惟一的交易标识号，并用商家的私人密钥进行数字签名，然后将初始化响应报文与商家和支付网关的证书一起传给客户；客户收到该初始化响应后，验证商家和支付网关的证书，确