電子商務系統安全理論知識

電子商務系統安全理論知識

　　電子商務系統是保證以電子商務為基礎的網上交易實現的體系。市場交易是由參與交易雙方在平等、自由、互利的基礎上進行的基于價值的交換。下面是小編為大家整理的電子商務系統安全理論知識，歡迎大家閱讀瀏覽。

　　一、電子商務對信息安全的要求

　　(一)機密性：數據傳輸過程中，必須確保數據不外泄。

　　(二)識別性：系統必須能識別所有用戶和發送者。

　　(三)完整性：數據在網絡媒介的傳送過程中，必須確保數據的完整性。

　　(四)無法否認性：通過信息安全體系的設計，當數據送到對方，必須確定接受者不能否認其曾經接到該數據。

　　二、電子商務面臨的安全威脅及解決技術

　　從目前的狀況看，電子商務面臨以下的安全威脅：

　　(一)病毒：電子商務離不開計算機網絡，而病毒制造者通過傳播計算機病毒來蓄意破壞聯網計算機的程序、數據和信息，以達到某種非法目的。(二)惡意破壞程序是指會導致不同程度破壞的軟件應用或者java小程序。(三)網絡安全攻擊：常見的有中斷、介入、篡改和偽造。

　　這些技術的基礎上又建立起更為復雜的安全協議和安全技術，例如SSL(安全套接字層)協議，SET(安全電子交易)協議等。

　　三、密碼技術

　　本文討論的是電子商務安全協議SSL和SET都運用了密碼技術，它們是對稱密碼技術和非對稱密碼技術，本文對這兩種密碼技術進行簡單的介紹。

　　(一)對稱密碼技術。對稱密碼技術是使用相同的密鑰對數據進行加密和解密，發送者和接收者用相同的密鑰。

　　(二)非對稱密碼技術。用于加密的密鑰和用于解密的密鑰不相同，且由其中一個推算不出另一個，這種密碼體制叫非對稱密碼技術。非對稱密碼技術又稱公鑰密碼技術，因為加密密鑰是公開的，解密密鑰是保密的，加/解密算法都是公開的。非對稱密碼技術中最為廣泛應用的是RSA。

　　四、SSL協議及其安全性分析

　　(一)SSL簡介。SSL(Secure Socket Layer)是由Netscape首先發表的一種未來確保信息在網絡上流通安全的網絡數據安全傳輸協議。SSL是利用公開密鑰的加密技術(RSA)來作為客戶端與主機端在傳送幾門數據時的加密通訊協議的。

　　SSL協議位于TCP/IP層和應用層之間，代表高層協議使用TCP/IP層的服務，在OSI七層模型中處于會話層。

　　(二)SSL的功能。SSL協議的工作流程：服務器認證階段：(1)客戶端向服務器發送一個開始信息“Hello”以便開始一個新的會話連接;(2)服務器根據客戶的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;(3)客戶根據收到的服務器響應信息，產生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器;(4)服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。用戶認證階段：在此之前，服務器已經通過了客戶認證，這一階段主要完成對客戶的認證。經認證的服務器發送一個提問給客戶，客戶則返回數字簽名后的提問和其公開密鑰，從而向服務器提供認證。

　　(三)SSL協議的實現。SSL協議可分為兩層：SSL記錄協議：它建立在可靠的傳輸協議之上，為高層協議提供數據封裝、壓縮、加密等基本功能的支持。SSL握手協議：它建立在SSL記錄協議之上，用于在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密算法等。

　　五、SET協議及其安全性分析

　　(一)SET簡介。SET(Secure Electronic Transaction)，用來保護消費者在開放型網絡持卡付款交易安全的標準。由VISA、Netscape、IBM、SAIC等公司聯合制訂，運用RSA數據安全的公開密鑰加密技術。保護交易數據的安全性和隱藏性。SET通過雙重數字簽名的應用，確保在開發式網絡環境下，客戶的交易信息不會被銀行取得，而商店也無法知道客戶的信用卡信息。

　　(二)SET協議的工作原理。整個電子支付的過程包括：瀏覽、購買、付款合法性驗證以及獲取付款等過程。信用卡持卡客戶通過瀏覽器從商家的商品目錄尋找所需商品，他擁有支付網關交換密鑰的私人密鑰，可以發送初始化請求給商家;商家收到客戶的初始化請求后，為請求報文分配一個惟一的交易標識號，并用商家的私人密鑰進行數字簽名，然后將初始化響應報文與商家和支付網關的證書一起傳給客戶;客戶收到該初始化響應后，驗證商家和支付網關的證書，確認商家和支付網關的身份，再根據商家的公開密鑰確認初始化響應中的商家簽名私人密鑰對訂單信息和支付命令進行雙重簽名;并產生一個隨機的對稱密鑰，然后，客戶產生訂單信息和支付命令，用雙重簽名后的支付命令加密，再用支付網關交換密鑰的公開密鑰對客戶賬號和對稱密鑰加密;客戶將加密后的訂單信息和支付命令發給商家;商家確認客戶證書，用客戶的公開密鑰對訂單信息上的雙重簽名解密，以確保訂單在傳輸過程中無誤，并且其中的簽名是客戶的;然后，商家處理訂單信息請求，將支付命令傳給支付網關并請求授權，同時還產生一個包括商家的簽名證書和指明客戶的訂單已被接收等信息的購買響應報文，并對該報文數字簽名后發給客戶;客戶用商家的公開密鑰來證實購買響應上的簽名是商家的，并保存收到的購買響應。如果交易被授權，商家將執行訂單上規定的送貨等服務。商家使用訂貨單，要求支付網關付款。

　　SET協議的SET的交易流程：

　　(1)客戶在網上商店看中商品后，和商家進行磋商，然后發出請求購買信息。(2)商家要求客戶用電子錢包付款。(3)電子錢包提示客戶輸入口令后與商家交換握手信息，確認商家和客戶兩端均合法。 (4)客戶的電子錢包形成一個包含訂購信息與支付指令的報文發送給商家。(5)商家將含有客戶支付指令的信息發送給支付網關。(6)支付網關在確認客戶信用卡信息之后，向商家發送一個授權響應的報文。(7)商家向客戶的電子錢包發送一個確認信息。(8)將款項從客戶賬號轉到商家賬號，然后向顧客送貨，交易結束。

　　六、SSL與SET 的發展

　　SSL與SET在電子商務領域都有普遍的應用，SSL是基于傳輸層的通用安全協議，是對數據傳輸的那部分技術規范。SET協議位于應用層，對其他各層也有涉及。SET中規范了整個商務的活動流程。持卡人、商家、支付網關、結算中心、認證中心之間的信息流的加密、認證，SET協議都制定了嚴密的標準。

　　SSL的主要優點是應用方便，由于不需簽名，加密操作少且均為對稱加密操作，SSL比SET效率高。SET的主要優點是提供了對交易主體的認證和對交易信息的確認，在防止冒名交易和否認交易方面的安全性更強。長期看來，SSL和SET都將繼續作為保護電子商務安全的主流協議同時存在并不斷發展。

【電子商務系統安全理論知識】相關文章：

電子商務特征與功能理論知識11-01

色彩理論知識09-01

蛋糕烘烤的理論知識10-08

瑜伽理論知識解答07-05

攝影構圖理論知識07-14

攝影專業理論知識06-26

培訓模特理論知識10-20

西點工藝理論知識09-20

美發染發理論知識09-05

模特培訓的理論知識09-20