電子商務(wù)系統安全理論知識

　　電子商務(wù)系統是保證以電子商務(wù)為基礎的網(wǎng)上交易實(shí)現的體系。市場(chǎng)交易是由參與交易雙方在平等、自由、互利的基礎上進(jìn)行的基于價(jià)值的交換。下面是小編為大家整理的電子商務(wù)系統安全理論知識，歡迎大家閱讀瀏覽。

　　一、電子商務(wù)對信息安全的要求

　　(一)機密性：數據傳輸過(guò)程中，必須確保數據不外泄。

　　(二)識別性：系統必須能識別所有用戶(hù)和發(fā)送者。

　　(三)完整性：數據在網(wǎng)絡(luò )媒介的傳送過(guò)程中，必須確保數據的完整性。

　　(四)無(wú)法否認性：通過(guò)信息安全體系的設計，當數據送到對方，必須確定接受者不能否認其曾經(jīng)接到該數據。

　　二、電子商務(wù)面臨的安全威脅及解決技術(shù)

　　從目前的狀況看，電子商務(wù)面臨以下的安全威脅：

　　(一)病毒：電子商務(wù)離不開(kāi)計算機網(wǎng)絡(luò )，而病毒制造者通過(guò)傳播計算機病毒來(lái)蓄意破壞聯(lián)網(wǎng)計算機的程序、數據和信息，以達到某種非法目的。(二)惡意破壞程序是指會(huì )導致不同程度破壞的軟件應用或者java小程序。(三)網(wǎng)絡(luò )安全攻擊：常見(jiàn)的有中斷、介入、篡改和偽造。

　　這些技術(shù)的基礎上又建立起更為復雜的安全協(xié)議和安全技術(shù)，例如SSL(安全套接字層)協(xié)議，SET(安全電子交易)協(xié)議等。

　　三、密碼技術(shù)

　　本文討論的是電子商務(wù)安全協(xié)議SSL和SET都運用了密碼技術(shù)，它們是對稱(chēng)密碼技術(shù)和非對稱(chēng)密碼技術(shù)，本文對這兩種密碼技術(shù)進(jìn)行簡(jiǎn)單的介紹。

　　(一)對稱(chēng)密碼技術(shù)。對稱(chēng)密碼技術(shù)是使用相同的密鑰對數據進(jìn)行加密和解密，發(fā)送者和接收者用相同的密鑰。

　　(二)非對稱(chēng)密碼技術(shù)。用于加密的密鑰和用于解密的密鑰不相同，且由其中一個(gè)推算不出另一個(gè)，這種密碼體制叫非對稱(chēng)密碼技術(shù)。非對稱(chēng)密碼技術(shù)又稱(chēng)公鑰密碼技術(shù)，因為加密密鑰是公開(kāi)的，解密密鑰是保密的，加/解密算法都是公開(kāi)的。非對稱(chēng)密碼技術(shù)中最為廣泛應用的是RSA。

　　四、SSL協(xié)議及其安全性分析

　　(一)SSL簡(jiǎn)介。SSL(Secure Socket Layer)是由Netscape首先發(fā)表的一種未來(lái)確保信息在網(wǎng)絡(luò )上流通安全的網(wǎng)絡(luò )數據安全傳輸協(xié)議。SSL是利用公開(kāi)密鑰的加密技術(shù)(RSA)來(lái)作為客戶(hù)端與主機端在傳送幾門(mén)數據時(shí)的加密通訊協(xié)議的。

　　SSL協(xié)議位于TCP/IP層和應用層之間，代表高層協(xié)議使用TCP/IP層的服務(wù)，在OSI七層模型中處于會(huì )話(huà)層。

　　(二)SSL的功能。SSL協(xié)議的工作流程：服務(wù)器認證階段：(1)客戶(hù)端向服務(wù)器發(fā)送一個(gè)開(kāi)始信息“Hello”以便開(kāi)始一個(gè)新的會(huì )話(huà)連接;(2)服務(wù)器根據客戶(hù)的信息確定是否需要生成新的主密鑰，如需要則服務(wù)器在響應客戶(hù)的“Hello”信息時(shí)將包含生成主密鑰所需的信息;(3)客戶(hù)根據收到的服務(wù)器響應信息，產(chǎn)生一個(gè)主密鑰，并用服務(wù)器的公開(kāi)密鑰加密后傳給服務(wù)器;(4)服務(wù)器恢復該主密鑰，并返回給客戶(hù)一個(gè)用主密鑰認證的信息，以此讓客戶(hù)認證服務(wù)器。用戶(hù)認證階段：在此之前，服務(wù)器已經(jīng)通過(guò)了客戶(hù)認證，這一階段主要完成對客戶(hù)的認證。經(jīng)認證的服務(wù)器發(fā)送一個(gè)提問(wèn)給客戶(hù)，客戶(hù)則返回數字簽名后的提問(wèn)和其公開(kāi)密鑰，從而向服務(wù)器提供認證。

　　(三)SSL協(xié)議的實(shí)現。SSL協(xié)議可分為兩層：SSL記錄協(xié)議：它建立在可靠的傳輸協(xié)議之上，為高層協(xié)議提供數據封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議：它建立在SSL記錄協(xié)議之上，用于在實(shí)際的數據傳輸開(kāi)始前，通訊雙方進(jìn)行身份認證、協(xié)商加密算法等。

　　五、SET協(xié)議及其安全性分析

　　(一)SET簡(jiǎn)介。SET(Secure Electronic Transaction)，用來(lái)保護消費者在開(kāi)放型網(wǎng)絡(luò )持卡付款交易安全的標準。由VISA、Netscape、IBM、SAIC等公司聯(lián)合制訂，運用RSA數據安全的公開(kāi)密鑰加密技術(shù)。保護交易數據的安全性和隱藏性。SET通過(guò)雙重數字簽名的應用，確保在開(kāi)發(fā)式網(wǎng)絡(luò )環(huán)境下，客戶(hù)的交易信息不會(huì )被銀行取得，而商店也無(wú)法知道客戶(hù)的信用卡信息。

　　(二)SET協(xié)議的工作原理。整個(gè)電子支付的過(guò)程包括：瀏覽、購買(mǎi)、付款合法性驗證以及獲取付款等過(guò)程。信用卡持卡客戶(hù)通過(guò)瀏覽器從商家的商品目錄尋找所需商品，他擁有支付網(wǎng)關(guān)交換密鑰的私人密鑰，可以發(fā)送初始化請求給商家;商家收到客戶(hù)的初始化請求后，為請求報文分配一個(gè)惟一的交易標識號，并用商家的私人密鑰進(jìn)行數字簽名，然后將初始化響應報文與商家和支付網(wǎng)關(guān)的證書(shū)一起傳給客戶(hù);客戶(hù)收到該初始化響應后，驗證商家和支付網(wǎng)關(guān)的證書(shū)，確認商家和支付網(wǎng)關(guān)的身份，再根據商家的公開(kāi)密鑰確認初始化響應中的商家簽名私人密鑰對訂單信息和支付命令進(jìn)行雙重簽名;并產(chǎn)生一個(gè)隨機的對稱(chēng)密鑰，然后，客戶(hù)產(chǎn)生訂單信息和支付命令，用雙重簽名后的支付命令加密，再用支付網(wǎng)關(guān)交換密鑰的公開(kāi)密鑰對客戶(hù)賬號和對稱(chēng)密鑰加密;客戶(hù)將加密后的訂單信息和支付命令發(fā)給商家;商家確認客戶(hù)證書(shū)，用客戶(hù)的公開(kāi)密鑰對訂單信息上的雙重簽名解密，以確保訂單在傳輸過(guò)程中無(wú)誤，并且其中的簽名是客戶(hù)的;然后，商家處理訂單信息請求，將支付命令傳給支付網(wǎng)關(guān)并請求授權，同時(shí)還產(chǎn)生一個(gè)包括商家的簽名證書(shū)和指明客戶(hù)的訂單已被接收等信息的購買(mǎi)響應報文，并對該報文數字簽名后發(fā)給客戶(hù);客戶(hù)用商家的公開(kāi)密鑰來(lái)證實(shí)購買(mǎi)響應上的簽名是商家的，并保存收到的購買(mǎi)響應。如果交易被授權，商家將執行訂單上規定的送貨等服務(wù)。商家使用訂貨單，要求支付網(wǎng)關(guān)付款。

　　SET協(xié)議的SET的交易流程：

　　(1)客戶(hù)在網(wǎng)上商店看中商品后，和商家進(jìn)行磋商，然后發(fā)出請求購買(mǎi)信息。(2)商家要求客戶(hù)用電子錢(qián)包付款。(3)電子錢(qián)包提示客戶(hù)輸入口令后與商家交換握手信息，確認商家和客戶(hù)兩端均合法。 (4)客戶(hù)的電子錢(qián)包形成一個(gè)包含訂購信息與支付指令的報文發(fā)送給商家。(5)商家將含有客戶(hù)支付指令的信息發(fā)送給支付網(wǎng)關(guān)。(6)支付網(wǎng)關(guān)在確認客戶(hù)信用卡信息之后，向商家發(fā)送一個(gè)授權響應的報文。(7)商家向客戶(hù)的電子錢(qián)包發(fā)送一個(gè)確認信息。(8)將款項從客戶(hù)賬號轉到商家賬號，然后向顧客送貨，交易結束。

　　六、SSL與SET 的發(fā)展

　　SSL與SET在電子商務(wù)領(lǐng)域都有普遍的應用，SSL是基于傳輸層的通用安全協(xié)議，是對數據傳輸的那部分技術(shù)規范。SET協(xié)議位于應用層，對其他各層也有涉及。SET中規范了整個(gè)商務(wù)的活動(dòng)流程。持卡人、商家、支付網(wǎng)關(guān)、結算中心、認證中心之間的信息流的加密、認證，SET協(xié)議都制定了嚴密的標準。

　　SSL的主要優(yōu)點(diǎn)是應用方便，由于不需簽名，加密操作少且均為對稱(chēng)加密操作，SSL比SET效率高。SET的主要優(yōu)點(diǎn)是提供了對交易主體的認證和對交易信息的確認，在防止冒名交易和否認交易方面的安全性更強。長(cháng)期看來(lái)，SSL和SET都將繼續作為保護電子商務(wù)安全的主流協(xié)議同時(shí)存在并不斷發(fā)展。

【電子商務(wù)系統安全理論知識】相關(guān)文章：

電子商務(wù)特征與功能理論知識11-01

色彩理論知識09-01

蛋糕烘烤的理論知識10-08

瑜伽理論知識解答07-05

攝影構圖理論知識07-14

攝影專(zhuān)業(yè)理論知識06-26

培訓模特理論知識10-20

西點(diǎn)工藝理論知識09-20

美發(fā)染發(fā)理論知識09-05

模特培訓的理論知識09-20