電子商務系統安全理論知識

電子商務系統是保證以電子商務為基礎的網上交易實現的體系。市場交易是由參與交易雙方在平等、自由、互利的基礎上進行的基於價值的交換。下面是小編為大家整理的電子商務系統安全理論知識，歡迎大家閱讀瀏覽。

　　一、電子商務對資訊保安的要求

(一)機密性：資料傳輸過程中，必須確保資料不外洩。

(二)識別性：系統必須能識別所有使用者和傳送者。

(三)完整性：資料在網路媒介的傳送過程中，必須確保資料的完整性。

(四)無法否認性：通過資訊保安體系的設計，當資料送到對方，必須確定接受者不能否認其曾經接到該資料。

　　二、電子商務面臨的安全威脅及解決技術

從目前的狀況看，電子商務面臨以下的安全威脅：

(一)病毒：電子商務離不開計算機網路，而病毒製造者通過傳播計算機病毒來蓄意破壞聯網計算機的程式、資料和資訊，以達到某種非法目的。(二)惡意破壞程式是指會導致不同程度破壞的軟體應用或者java小程式。(三)網路安全攻擊：常見的有中斷、介入、篡改和偽造。

這些技術的基礎上又建立起更為複雜的安全協議和安全技術，例如SSL(安全套接字層)協議，SET(安全電子交易)協議等。

　　三、密碼技術

本文討論的是電子商務安全協議SSL和SET都運用了密碼技術，它們是對稱密碼技術和非對稱密碼技術，本文對這兩種密碼技術進行簡單的介紹。

(一)對稱密碼技術。對稱密碼技術是使用相同的金鑰對資料進行加密和解密，傳送者和接收者用相同的金鑰。

(二)非對稱密碼技術。用於加密的金鑰和用於解密的金鑰不相同，且由其中一個推算不出另一個，這種密碼體制叫非對稱密碼技術。非對稱密碼技術又稱公鑰密碼技術，因為加密金鑰是公開的，解密金鑰是保密的，加/解密演算法都是公開的。非對稱密碼技術中最為廣泛應用的是RSA。

　　四、SSL協議及其安全性分析

(一)SSL簡介。SSL(Secure Socket Layer)是由Netscape首先發表的一種未來確保資訊在網路上流通安全的網路資料安全傳輸協議。SSL是利用公開金鑰的加密技術(RSA)來作為客戶端與主機端在傳送幾門資料時的加密通訊協議的。

SSL協議位於TCP/IP層和應用層之間，代表高層協議使用TCP/IP層的服務，在OSI七層模型中處於會話層。

(二)SSL的功能。SSL協議的工作流程：伺服器認證階段：(1)客戶端向伺服器傳送一個開始資訊“Hello”以便開始一個新的會話連線;(2)伺服器根據客戶的資訊確定是否需要生成新的主金鑰，如需要則伺服器在響應客戶的“Hello”資訊時將包含生成主金鑰所需的資訊;(3)客戶根據收到的`伺服器響應資訊，產生一個主金鑰，並用伺服器的公開金鑰加密後傳給伺服器;(4)伺服器恢復該主金鑰，並返回給客戶一個用主金鑰認證的資訊，以此讓客戶認證伺服器。使用者認證階段：在此之前，伺服器已經通過了客戶認證，這一階段主要完成對客戶的認證。經認證的伺服器傳送一個提問給客戶，客戶則返回數字簽名後的提問和其公開金鑰，從而向伺服器提供認證。

(三)SSL協議的實現。SSL協議可分為兩層：SSL記錄協議：它建立在可靠的傳輸協議之上，為高層協議提供資料封裝、壓縮、加密等基本功能的支援。SSL握手協議：它建立在SSL記錄協議之上，用於在實際的資料傳輸開始前，通訊雙方進行身份認證、協商加密演算法等。

　　五、SET協議及其安全性分析

(一)SET簡介。SET(Secure Electronic Transaction)，用來保護消費者在開放型網路持卡付款交易安全的標準。由VISA、Netscape、IBM、SAIC等公司聯合制訂，運用RSA資料安全的公開金鑰加密技術。保護交易資料的安全性和隱藏性。SET通過雙重數字簽名的應用，確保在開發式網路環境下，客戶的交易資訊不會被銀行取得，而商店也無法知道客戶的信用卡資訊。

(二)SET協議的工作原理。整個電子支付的過程包括：瀏覽、購買、付款合法性驗證以及獲取付款等過程。信用卡持卡客戶通過瀏覽器從商家的商品目錄尋找所需商品，他擁有支付閘道器交換金鑰的私人金鑰，可以傳送初始化請求給商家;商家收到客戶的初始化請求後，為請求報文分配一個惟一的交易標識號，並用商家的私人金鑰進行數字簽名，然後將初始化響應報文與商家和支付閘道器的證書一起傳給客戶;客戶收到該初始化響應後，驗證商家和支付閘道器的證書，確認商家和支付閘道器的身份，再根據商家的公開金鑰確認初始化響應中的商家簽名私人金鑰對訂單資訊和支付命令進行雙重簽名;併產生一個隨機的對稱金鑰，然後，客戶產生訂單資訊和支付命令，用雙重簽名後的支付命令加密，再用支付閘道器交換金鑰的公開金鑰對客戶賬號和對稱金鑰加密;客戶將加密後的訂單資訊和支付命令發給商家;商家確認客戶證書，用客戶的公開金鑰對訂單資訊上的雙重簽名解密，以確保訂單在傳輸過程中無誤，並且其中的簽名是客戶的;然後，商家處理訂單資訊請求，將支付命令傳給支付閘道器並請求授權，同時還產生一個包括商家的簽名證書和指明客戶的訂單已被接收等資訊的購買響應報文，並對該報文數字簽名後發給客戶;客戶用商家的公開金鑰來證實購買響應上的簽名是商家的，並儲存收到的購買響應。如果交易被授權，商家將執行訂單上規定的送貨等服務。商家使用訂貨單，要求支付閘道器付款。

SET協議的SET的交易流程：

(1)客戶在網上商店看中商品後，和商家進行磋商，然後發出請求購買資訊。(2)商家要求客戶用電子錢包付款。(3)電子錢包提示客戶輸入口令後與商家交換握手資訊，確認商家和客戶兩端均合法。 (4)客戶的電子錢包形成一個包含訂購資訊與支付指令的報文傳送給商家。(5)商家將含有客戶支付指令的資訊傳送給支付閘道器。(6)支付閘道器在確認客戶信用卡資訊之後，向商家傳送一個授權響應的報文。(7)商家向客戶的電子錢包傳送一個確認資訊。(8)將款項從客戶賬號轉到商家賬號，然後向顧客送貨，交易結束。

　　六、SSL與SET 的發展

SSL與SET在電子商務領域都有普遍的應用，SSL是基於傳輸層的通用安全協議，是對資料傳輸的那部分技術規範。SET協議位於應用層，對其他各層也有涉及。SET中規範了整個商務的活動流程。持卡人、商家、支付閘道器、結算中心、認證中心之間的資訊流的加密、認證，SET協議都制定了嚴密的標準。

SSL的主要優點是應用方便，由於不需簽名，加密操作少且均為對稱加密操作，SSL比SET效率高。SET的主要優點是提供了對交易主體的認證和對交易資訊的確認，在防止冒名交易和否認交易方面的安全性更強。長期看來，SSL和SET都將繼續作為保護電子商務安全的主流協議同時存在並不斷髮展。