一、电子商务对信息安全的要求+ u7 q' B. x3 Z+ O' y
(一)机密性:数据传输过程中,必须确保数据不外泄。0 k7 P7 T/ H0 B- I# T4 B/ ]
(二)识别性:系统必须能识别所有用户和发送者。
1 j( K0 c$ y6 A(三)完整性:数据在网络媒介的传送过程中,必须确保数据的完整性。
' a- S0 ?1 W$ f# M(四)无法否认性:通过信息安全体系的设计,当数据送到对方,必须确定接受者不能否认其曾经接到该数据。
+ n& M! c( [! o; A" [, P# u二、电子商务面临的安全威胁及解决技术5 V" _9 c: e3 Y" h
从目前的状况看,电子商务面临以下的安全威胁:# B$ ?7 u. U s1 r
(一)病毒:电子商务离不开计算机网络,而病毒制造者通过传播计算机病毒来蓄意破坏联网计算机的程序、数据和信息,以达到某种非法目的。(二)恶意破坏程序是指会导致不同程度破坏的软件应用或者java小程序。(三)网络安全攻击:常见的有中断、介入、篡改和伪造。
0 X$ r$ X' d) k 这些技术的基础上又建立起更为复杂的安全协议和安全技术,例如SSL(安全套接字层)协议,SET(安全电子交易)协议等。
. @) ]/ Q2 ?+ _三、密码技术9 E c! B' V* b- m9 i& Z! x$ e
本文讨论的是电子商务安全协议SSL和SET都运用了密码技术,它们是对称密码技术和非对称密码技术,本文对这两种密码技术进行简单的介绍。2 E" h- C" h# P# C3 L% H7 a4 X& H1 Q {' o
(一)对称密码技术。对称密码技术是使用相同的密钥对数据进行加密和解密,发送者和接收者用相同的密钥。
! E h* {: {: ~( M+ }8 ~(二)非对称密码技术。用于加密的密钥和用于解密的密钥不相同,且由其中一个推算不出另一个,这种密码体制叫非对称密码技术。非对称密码技术又称公钥密码技术,因为加密密钥是公开的,解密密钥是保密的,加/解密算法都是公开的。非对称密码技术中最为广泛应用的是RSA。
. B1 z B' \2 b" ` W- b6 e; D, X四、SSL协议及其安全性分析
+ b) d4 z# ]" |6 v(一)SSL简介。SSL(Secure Socket Layer)是由Netscape首先发表的一种未来确保信息在网络上流通安全的网络数据安全传输协议。SSL是利用公开密钥的加密技术(RSA)来作为客户端与主机端在传送几门数据时的加密通讯协议的。
! r: d+ R+ U2 G: tSSL协议位于TCP/IP层和应用层之间,代表高层协议使用TCP/IP层的服务,在OSI七层模型中处于会话层。
! I% a0 O4 }$ }(二)SSL的功能。SSL协议的工作流程:服务器认证阶段:(1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;(2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;(3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;(4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。用户认证阶段:在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。
+ j7 G. e) U7 p( r l1 x(三)SSL协议的实现。SSL协议可分为两层:SSL记录协议:它建立在可靠的传输协议之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议:它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法等。/ P) R) L/ k& Y, x4 L
五、SET协议及其安全性分析
" ^' H. }/ N) U$ P0 h(一)SET简介。SET(Secure Electronic Transaction),用来保护消费者在开放型网络持卡付款交易安全的标准。由VISA、Netscape、IBM、SAIC等公司联合制订,运用RSA数据安全的公开密钥加密技术。保护交易数据的安全性和隐藏性。SET通过双重数字签名的应用,确保在开发式网络环境下,客户的交易信息不会被银行取得,而商店也无法知道客户的信用卡信息。( I1 L6 R& |: U* W* ?! d5 D/ O
(二)SET协议的工作原理。整个电子支付的过程包括:浏览、购买、付款合法性验证以及获取付款等过程。信用卡持卡客户通过浏览器从商家的商品目录寻找所需商品,他拥有支付网关交换密钥的私人密钥,可以发送初始化请求给商家;商家收到客户的初始化请求后,为请求报文分配一个惟一的交易标识号,并用商家的私人密钥进行数字签名,然后将初始化响应报文与商家和支付网关的证书一起传给客户;客户收到该初始化响应后,验证商家和支付网关的证书,确认商家和支付网关的身份,再根据商家的公开密钥确认初始化响应中的商家签名私人密钥对订单信息和支付命令进行双重签名;并产生一个随机的对称密钥,然后,客户产生订单信息和支付命令,用双重签名后的支付命令加密,再用支付网关交换密钥的公开密钥对客户账号和对称密钥加密;客户将加密后的订单信息和支付命令发给商家;商家确认客户证书,用客户的公开密钥对订单信息上的双重签名解密,以确保订单在传输过程中无误,并且其中的签名是客户的;然后,商家处理订单信息请求,将支付命令传给支付网关并请求授权,同时还产生一个包括商家的签名证书和指明客户的订单已被接收等信息的购买响应报文,并对该报文数字签名后发给客户;客户用商家的公开密钥来证实购买响应上的签名是商家的,并保存收到的购买响应。如果交易被授权,商家将执行订单上规定的送货等服务。商家使用订货单,要求支付网关付款。
1 u$ A6 J" O& j- V. ~8 pSET协议的SET的交易流程:
/ A! \, \$ V8 d) S0 {$ i(1)客户在网上商店看中商品后,和商家进行磋商,然后发出请求购买信息。(2)商家要求客户用电子钱包付款。(3)电子钱包提示客户输入口令后与商家交换握手信息,确认商家和客户两端均合法。 (4)客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家。(5)商家将含有客户支付指令的信息发送给支付网关。(6)支付网关在确认客户信用卡信息之后,向商家发送一个授权响应的报文。(7)商家向客户的电子钱包发送一个确认信息。(8)将款项从客户账号转到商家账号,然后向顾客送货,交易结束。
9 b! ]( G8 T- [2 l* H* C: J9 s0 i六、SSL与SET 的发展
0 \" R1 l% v, B+ P SSL与SET在电子商务领域都有普遍的应用,SSL是基于传输层的通用安全协议,是对数据传输的那部分技术规范。SET协议位于应用层,对其他各层也有涉及。SET中规范了整个商务的活动流程。持卡人、商家、支付网关、结算中心、认证中心之间的信息流的加密、认证,SET协议都制定了严密的标准。
T: j: @ @- n# G5 D+ a8 I! z SSL的主要优点是应用方便,由于不需签名,加密操作少且均为对称加密操作,SSL比SET效率高。SET的主要优点是提供了对交易主体的认证和对交易信息的确认,在防止冒名交易和否认交易方面的安全性更强。长期看来,SSL和SET都将继续作为保护电子商务安全的主流协议同时存在并不断发展。 |
发表于 2012-3-18 16:43:48
