网站原创[摘 要]电子商务在交易的范围、速度、成本、效率等方面具有传统商务无可比拟的优势,国家提出在“十一五”期间要大力发展电子商务,但是电子商务的安全问题成为制约其健康快速发展的瓶颈,本文拟从安全协议、安全技术和安全体系等三个方面综合研究电子商务安全问题的解决途径.a
[关 键 词]电子商务安全协议安全技术安全体系
一、引言
电子商务是网络化的新型经济活动,正以前所未有的速度迅猛发展,已经成为主要发达国家增强经济竞争实力,赢得全球资源配置优势的有效手段.“十一五”是我国发展电子商务的战略机遇期.抓住机遇,加快发展电子商务,是贯彻落实科学发展观,以信息化带动工业化,以工业化促进信息化,走新型工业化道路的客观要求和必然选择.
但是要实现电子商务的健康发展要解决的问题还很多,其中相对于传统商务来讲,最大的问题就是安全问题.一方面是交易环境的安全问题,电子商务是基于Inter进行交易的,Inter应用的基本目的就是资源共享,其开放性直接影响到电子商务的安全性,网络很容易受到攻击和破坏,计算机系统的安全问题如非法入侵、数据非法截取等也很难完全防范,再者网络和计算机系统本身的可靠性也会对电子商务的安全问题造成一定的影响.另一方面是交易对象的安全性、交易过程的安全性和货币支付过程的安全性问题.
二、安全协议
1.安全套接层协议(SSL)
安全套接层协议是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:怎么写作器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性.SSL主要使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输.
在电子商务中采用单一的SSL协议来保证交易的安全是不够的,但采用“SSL+表单签名”模式能够为电子商务提供较好的安全性保证.
2.安全电子交易协议(SET)
SET协议是由VISA和MasterCard两大信用卡公司联合推出的规范.SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份,以及可操作性.SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等.SET协议比SSL协议复杂,因为前者不仅加密两个端点间的单个会话,它还可以加密和认定三方间的多个信息.
在处理过程中,通信协议、请求信息的格式、数据类型的定义等,SET都有明确的规定.在操作的每一步,消费者、在线商店、支付网关都通过CA来验证通信主体的身份,以确保通信的对方不是冒名顶替.所以,也可以简单地认为,SET规范充分发挥a了认证中心的作用,以维护在任何开放网络上的电子商务参与者所提供信息的真实性和保密性.
3.安全超文本传输协议(HTTPS)
安全超文本传输协议基于提供保密、认证、完整性和不可否认等怎么写作,保证在WEB上交换的媒体文本的案例.
由于Inter的开放性造成了在网络中传输的数据的公开性,为了保证在网络传输过程中的数据的安全,需要进行数据加密.实际是上使怎么写作器支持SSL协议,客户只有在通过怎么写作器方认可的认证授权中心(CA)进行身份验证后,才能登录该网站,并且在网络中传输的所有数据均通过随机产生的密钥加密.
4.安全交易技术协议(STT)
由Microsoft公司提出,VISA和Microsoft共同开发的网络支付规范.STT将认证和解密在浏览器中公开,用以提高安全控制能力.
三、安全技术
1.数据加密技术
数据加密技术是研究数据加密、解密及交换的科学,涉及数学、计算机科学、电子与通信等诸多学科.加密算法能够将信息进行伪装,使得任何未经过授权的人都无法了解其内容.主要包括以下对称密钥加密和非对称密钥加密两种加密法.
2.数字摘 要
数字摘 要的工作原理是为了解决信息的完整性而采取的技术.就是利用hash函数对信息进行计算得出一个数字摘 要,然后将信息和数字摘 要一同发送给接收者,接收者在利用相同hash函数对信息进行计算也得出一个数字摘 要,然后把发送者的数字摘 要和接收者得出的数字摘 要进行对比,如果两个数字摘 要相同,则说明信息是原信息,在传送途中没有被篡改;反之,如果两个数字摘 要不同,则说明信息在传送途中被非法篡改了.
3.数字信封
数字信封的工作原理是使用HASH函数对对称密钥来加密数据,然后将此对称密钥用接受者的公钥加密,将其和加密数据一起发送给接受者,它体现的是保密性.
4.数字签名
数字签名是指将摘 要用发送者的私钥加密,与原文一起传送给接受者.接受者只有用发送者的公钥才能解密被加密的摘 要.它体现的是不可抵赖性和完整性.
5.数字时间戳
数字时间戳的工作原理它是用来证明消息的收发时间的.用户首先将需要加世界戳的文件经加密后形成文档,然后将摘 要发送给专门提供数字时间戳怎么写作的权威机构,该机构对原摘 要加上时间后,进行电子签名,用私钥加密,并发送给原用户.它体现的是知识产权的保护问题.
6.数字证书
数字证书是一种权威性的电子文档.它提供了一种在Inter上验证您身份的方式,其作用类似于日常生活中的.它是由一个由权威机构CA证书授权(CertificateAuthority)中心发行的,人们可以在互联网交往中用它来识别对方的身份.当然在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的.
基于数字证书的应用角度分类,数字证书可以分为以下几种:
(1)怎么写作器证书
怎么写作器证书被安装于怎么写作器设备上,用来证明怎么写作器的身份和进行通信加密.怎么写作器证书可以用来防止检测冒站点.
(2)电子邮件证书
电子邮件证书可以用来证明电子邮件发件人的真实性.它并不证明数字证书上面CN一项所标识的证书所有者姓名的真实性,它只证明邮件地址的真实性.
(3)客户端个人证书
客户端证书主要被用来进行身份验证和电子签名.
安全的客户端证书被存储于专用的Usbkey中.使用该证书需要物理上获得其存储介质Usbkey,且需要知道key的保护,这也被称为双因子认证.这种认证手段是目前在Inter最安全的身份认证手段之一.
四、安全体系
1.技术体系
电子商务的安全控制体系结构是保证电子商务中数据安全的一个完整的逻辑结构,它由网络怎么写作层、加密技术层、安全认证层、交易协议层、商务系统层组成,具体结构见下图,各层次之间相互依赖、相互关联构成统一整体.各层之间通过控制技术的递进,实现电子商务系统的安全.
电子商务系统是依赖网络实现的商务系统,需要利用Inter基础设施和标准,所以构成电子商务安全框架的底层是网络怎么写作层.它是各种电子商务应用系统的基础,并提供信息传送的载体和用户接入的手段及安全通信怎么写作,保证网络最基本的运行安全.
网络怎么写作层是电子商务系统基本、灵活的网络怎么写作平台.为确保电子商务系统全面安全,必须建立完善的加密技术和认证机制.加密技术是保证电子商务系统安全所采用的最基本的安全措施,它用于满足电子商务对保密性的需求.安全认证层中的认证技术是保证电子商务安全的又一必要手段,它对加密技术层中提供的多种加密算法进行综合运用,进一步满足电子商务对完整性、抗否认性、可靠性的要求.
在电子商务安全框架体系中,加密技术层、安全认证层、交易协议层,即专为电子交易数据的安全而构筑.其中,交易协议层是加密技和安全认证层的安全控制技术的综合运用和完善.它为电子商务安全交易提供保障机制和交易标准.
基于安全技术层次提供的安全措施,商务系统层就可以满足电子商务对安全的需求.商务系统层包括如B2B、B2C、B2G等各类电子商务应用系统及商业的解决方案.用于保障电子商务的安全控制技术很多,层次各不相同,但并非是把所有安全技术简单的组合就可以得到可靠的安全,需要对各技术层次合理结合与改进,才能从技术上实现有效的电子商务安全.为满足电子商务在安全怎么写作方面的要求,基于Inter的电子商务系统层除使用保证网络本身运行的安全技术,还用到依据电子商务自身特点写作的一些重要安全技术.
网络的安全性是电子商务实施的前提保证,而交易安全是电子商务实施成功与否的关键.电子商务系统必须具备保证交易能正常进行的网络安全性、保证交易人利益的保密性和可靠性及确保交易安全的完整性和不可抵赖性.
2.信用和法律体系
技术体系能够在很大程度上保障电子商务的安全性,但技术总会存在漏洞,存在被的可能,因此还应同时建立信用和法律体系,与技术体系协同保障电子商务的安全性.
信用体系主要指建立信用制度,从道德角度来保障电子商务的安全性,电子商务网站中现行的信用等级评价系统就属于信用体系的实际应用.而法律体系则从法律角度来保障电子商务的安全性,主要指的是电子商务方面的立法,1996年联合国贸法会通过了《电子商务示范法》,世界各国尤其是发达国家已经制定相应电子签名法、电子合同法等法律,并就电子支付中的法律问题、电子交易过程中法律责任归属问题等进行了明确地界定,我国也在计算机信息系统安全保护、商用管理等与电子商务相关的方面制定了相应的法律.
五、结束语
电子商务作为在信息社会出现的对传统商务的有效补充,无论是对个人还是国家都带来了很大的影响,我们应该扬长避短,深入研究电子商务安全协议和安全技术,全面构建电子商务技术体系、信用和法律体系的坚实安全后盾,为电子商务的健康快速发展保驾护航,进而实现个人和国家的和谐发展.
#91;1](美)EricRescorla:SSL与TLS[M].北京:中国电力出版社,2002,10[2]梁晋等:电子商务核心技术――安全电子交易协议的理论与设计[M].陕西:西安电子科技大学出版社,2000,8
[3]韩宝明杜鹏刘华:电子商务安全与支付[M].人民邮电出版社,2006,7
[4]王忠诚:电子商务安全[M].机械工业出版,2006,5
[5]杨坚争赵雯杨立钒:电子商务安全与电子支付[M].北京:机械工业出版社,2007,2
[6]梅绍祖:电子商务法规[M].北京:中国财政经济出版社,2005,10