電子商務系統安全理論知識

電子商務系統是保證以電子商務為基礎的網上交易實現的體系。市場交易是由參與交易雙方在平等、自由、互利的基礎上進行的基於價值的交換。下面是小編為大家整理的電子商務系統安全理論知識，歡迎大家閲讀瀏覽。

　　一、電子商務對信息安全的要求

(一)機密性：數據傳輸過程中，必須確保數據不外泄。

(二)識別性：系統必須能識別所有用户和發送者。

(三)完整性：數據在網絡媒介的傳送過程中，必須確保數據的完整性。

(四)無法否認性：通過信息安全體系的設計，當數據送到對方，必須確定接受者不能否認其曾經接到該數據。

　　二、電子商務面臨的安全威脅及解決技術

從目前的狀況看，電子商務面臨以下的安全威脅：

(一)病毒：電子商務離不開計算機網絡，而病毒製造者通過傳播計算機病毒來蓄意破壞聯網計算機的程序、數據和信息，以達到某種非法目的。(二)惡意破壞程序是指會導致不同程度破壞的軟件應用或者java小程序。(三)網絡安全攻擊：常見的有中斷、介入、篡改和偽造。

這些技術的基礎上又建立起更為複雜的安全協議和安全技術，例如SSL(安全套接字層)協議，SET(安全電子交易)協議等。

　　三、密碼技術

本文討論的是電子商務安全協議SSL和SET都運用了密碼技術，它們是對稱密碼技術和非對稱密碼技術，本文對這兩種密碼技術進行簡單的介紹。

(一)對稱密碼技術。對稱密碼技術是使用相同的密鑰對數據進行加密和解密，發送者和接收者用相同的密鑰。

(二)非對稱密碼技術。用於加密的密鑰和用於解密的密鑰不相同，且由其中一個推算不出另一個，這種密碼體制叫非對稱密碼技術。非對稱密碼技術又稱公鑰密碼技術，因為加密密鑰是公開的，解密密鑰是保密的，加/解密算法都是公開的。非對稱密碼技術中最為廣泛應用的是RSA。

　　四、SSL協議及其安全性分析

(一)SSL簡介。SSL(Secure Socket Layer)是由Netscape首先發表的一種未來確保信息在網絡上流通安全的網絡數據安全傳輸協議。SSL是利用公開密鑰的加密技術(RSA)來作為客户端與主機端在傳送幾門數據時的加密通訊協議的。

SSL協議位於TCP/IP層和應用層之間，代表高層協議使用TCP/IP層的服務，在OSI七層模型中處於會話層。

(二)SSL的功能。SSL協議的工作流程：服務器認證階段：(1)客户端向服務器發送一個開始信息“Hello”以便開始一個新的會話連接;(2)服務器根據客户的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客户的“Hello”信息時將包含生成主密鑰所需的信息;(3)客户根據收到的`服務器響應信息，產生一個主密鑰，並用服務器的公開密鑰加密後傳給服務器;(4)服務器恢復該主密鑰，並返回給客户一個用主密鑰認證的信息，以此讓客户認證服務器。用户認證階段：在此之前，服務器已經通過了客户認證，這一階段主要完成對客户的認證。經認證的服務器發送一個提問給客户，客户則返回數字簽名後的提問和其公開密鑰，從而向服務器提供認證。

(三)SSL協議的實現。SSL協議可分為兩層：SSL記錄協議：它建立在可靠的傳輸協議之上，為高層協議提供數據封裝、壓縮、加密等基本功能的支持。SSL握手協議：它建立在SSL記錄協議之上，用於在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密算法等。

　　五、SET協議及其安全性分析

(一)SET簡介。SET(Secure Electronic Transaction)，用來保護消費者在開放型網絡持卡付款交易安全的標準。由VISA、Netscape、IBM、SAIC等公司聯合制訂，運用RSA數據安全的公開密鑰加密技術。保護交易數據的安全性和隱藏性。SET通過雙重數字簽名的應用，確保在開發式網絡環境下，客户的交易信息不會被銀行取得，而商店也無法知道客户的信用卡信息。

(二)SET協議的工作原理。整個電子支付的過程包括：瀏覽、購買、付款合法性驗證以及獲取付款等過程。信用卡持卡客户通過瀏覽器從商家的商品目錄尋找所需商品，他擁有支付網關交換密鑰的私人密鑰，可以發送初始化請求給商家;商家收到客户的初始化請求後，為請求報文分配一個惟一的交易標識號，並用商家的私人密鑰進行數字簽名，然後將初始化響應報文與商家和支付網關的證書一起傳給客户;客户收到該初始化響應後，驗證商家和支付網關的證書，確認商家和支付網關的身份，再根據商家的公開密鑰確認初始化響應中的商家簽名私人密鑰對訂單信息和支付命令進行雙重簽名;併產生一個隨機的對稱密鑰，然後，客户產生訂單信息和支付命令，用雙重簽名後的支付命令加密，再用支付網關交換密鑰的公開密鑰對客户賬號和對稱密鑰加密;客户將加密後的訂單信息和支付命令發給商家;商家確認客户證書，用客户的公開密鑰對訂單信息上的雙重簽名解密，以確保訂單在傳輸過程中無誤，並且其中的簽名是客户的;然後，商家處理訂單信息請求，將支付命令傳給支付網關並請求授權，同時還產生一個包括商家的簽名證書和指明客户的訂單已被接收等信息的購買響應報文，並對該報文數字簽名後發給客户;客户用商家的公開密鑰來證實購買響應上的簽名是商家的，並保存收到的購買響應。如果交易被授權，商家將執行訂單上規定的送貨等服務。商家使用訂貨單，要求支付網關付款。

SET協議的SET的交易流程：

(1)客户在網上商店看中商品後，和商家進行磋商，然後發出請求購買信息。(2)商家要求客户用電子錢包付款。(3)電子錢包提示客户輸入口令後與商家交換握手信息，確認商家和客户兩端均合法。 (4)客户的電子錢包形成一個包含訂購信息與支付指令的報文發送給商家。(5)商家將含有客户支付指令的信息發送給支付網關。(6)支付網關在確認客户信用卡信息之後，向商家發送一個授權響應的報文。(7)商家向客户的電子錢包發送一個確認信息。(8)將款項從客户賬號轉到商家賬號，然後向顧客送貨，交易結束。

　　六、SSL與SET 的發展

SSL與SET在電子商務領域都有普遍的應用，SSL是基於傳輸層的通用安全協議，是對數據傳輸的那部分技術規範。SET協議位於應用層，對其他各層也有涉及。SET中規範了整個商務的活動流程。持卡人、商家、支付網關、結算中心、認證中心之間的信息流的加密、認證，SET協議都制定了嚴密的標準。

SSL的主要優點是應用方便，由於不需簽名，加密操作少且均為對稱加密操作，SSL比SET效率高。SET的主要優點是提供了對交易主體的認證和對交易信息的確認，在防止冒名交易和否認交易方面的安全性更強。長期看來，SSL和SET都將繼續作為保護電子商務安全的主流協議同時存在並不斷髮展。