《电子商务安全协议的分析与比较1》由会员分享,可在线阅读,更多相关《电子商务安全协议的分析与比较1(6页珍藏版)》请在金锄头文库上搜索。
1、电子商务安全协议的分析与比较摘 要 随着社会的发展 ,科技的进步。人类迅速进入以网络为主的信息时代,Internet 的高速发展带来了商业和经济模式的重大变革。以 Internet 为主的电子商务慢慢成为人们进行商务活动的新模式。但是,与此同时安全问题成为了制约其发展的重要瓶颈。本文就电子商务安全问题及其主要协议:SSL 协议 SET 协议 进行简单的分析和比较。关键词 电子商务 SSLSET1 引言 随着信息技术的迅速发展,基于 Internet 的电子商务已经深入到人们生活的方方面面。安全是电子商务的基石,如何保证电子商务交易活动中信息的机密性、真实性、完整性、不可否认性和存取控制等是电子
2、商务发展中迫切需要解决的问题。1. 电子商务安全要素为保证电子商务在整个商品交易过程中顺利安全进行,一般需要电子商务安全系统有以下安全要素。1) 有效性:电子商务系统可以对信息,交易实体的有效性进行鉴别 2) 可靠性和不可抵赖性:在进行电子商务交易时,交易信息在传输过程中将为参与交易的个人、企业、国家提供可靠的标识 3) 数据的完整性:即保护数据的完整性,防止有人没有经过授权就对数据内容进行修改,同时还要保证数据的一致性 4) 机密性:保证信息在存取和传输过程中的安全性 3. 安全套接层协议(SSL)安全套接层协议(Secure Socket Layer,简称 SSL)是美国网景在Intern
3、et 环境下提供端到端的安全连接。它能够对信用卡和个人信息提供较强的保护。SSL 是对计算机之间整个会话进行加密的协议。在 SSL 中,采用了公开密钥和私有密钥两种加密方法。目前,几乎所有操作平台上的 WEB 浏览器(IE 、Netscatp)以及流行的 Web 服务器(IIS、Netscape Enterprise Server 等)都支持 SSL 协议,现在它已成为事实上的工业标准。SSL 协议解决了目前 TCP/IP 协议难以满足的网络安全通信的要求,它运行在 TCP/IP 协议之上而在其他高层的应用层协议(如 HTTP、FTP、SMTP 、LDAP 和 IMAP 等)之下。SSL 协议
4、在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。SSL 可分为两层:一是握手层,二是记录层。SSL 握手协议描述建立安全连接的过程,在客户和服务器传送应用层数据之前,完成诸如加密算法和会话密钥的确定,通信双方的身份验证等功能;SSL 记录协议则定义了数据传送的格式,上层数据包括 SSL 握手协议建立安全连接时所需传送的数据都通过 SSL 记录协议再往下层传送。这样,应用层通过 SSL 协议把数据传给传输层时,已是被加密后的数据,此时 TCP/IP 协议只需负责将其可靠地传送到目的地,弥补了 TCP/IP
5、协议安全性较差的弱点。SSL 协议安全性分析 1) 用户和服务器的合法性认证:用户和服务器都有各自的识别号,采用 公钥技术,在握手阶段进行数字认证,以确保用户的合法性 2) 数据加密:采用对称密钥加密传输数据 3) 数据的完整性:采用哈希函数等形成数字摘要,保证数据的完整性 但是,SSL 协议也存在着一些问题,SSL 刚开始并不是为了支持电子商务而设计的。电于商务往往是用户、网站、银行三家协作完成,SSL 协议并不能协调各方面的安全传输和信任关系,并且,SSL 并不支持完善的防抵赖功能。SET( Secure Electronic Transaction)安全电子交易协议SET 协议是针对开放
6、网络上安全、有效的银行卡交易,是由 Visa 和 Master card 联合研制的一个能保证通过开放网络进行安全资金支付的技术标准。其实质是一种应用在 Internet 上、以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。SET 本身并不是一个支付系统,而是一个安全协议集,SET规范保证了用户可以安全地在诸如 Internet 这样的开放网络上应用现有的信用卡支付设施来完成交易。SET 较好地解决了信用卡在电子商务交易中的安全问题。SET 协议关键技术 SET 使用多种密钥技术来达到安全交易的要求,其中对称密钥技术、公钥加密技术和 Hash 算法是其核心。综合应用以上三种技术
7、产生了数字签名、数字信封、数字证书等多种加密与认证技术。数字签名是实现认证的重要工具,在网络中的密钥分配、电子安全交易等方面都有重要应用,它能提供身份认证、数据完整性、不可抵赖等安全服务。数字签名分为签名和认证两部分。 数字信封技术: 在数字信封中,信息发送方采用对称密钥来加密信息内容,然后将此对称密钥用接收方的公开密钥来加密(这部分称数字信封)之后,将它和加密后的信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开加密信息。在传递信息时,信息接收方若要解密信息,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。这样就保证
8、了数据传输的真实性和完整性。双重签名技术: 双重签名的目的在连结两个不同接收者消息。在这里,消费者想要发送订单信息 OI 到特约商店,且发送支付命令PI 给银行。特约商店并不需要知道消费者的信用卡卡号,而银行不需要知道消费者订单的详细信息。消费者需要将这两个消息分隔开,而受到额外的隐私保护三、SSL 与 SET 协议比较分析SSL 和 SET 是当前在电子商务中应用最为广泛的安全协议,两者差别主要体现在以下几个方面。1.工作层次SSL 属于传输层的安全技术规范,它不具备电子商务的商务性、协调性和集成性功能。SET 协议位于应用层,它不仅规范了整个商务活动的流程,而且制定了严格的加密和认证标准,
9、具备商务性、协调性和集成性功能。 2.认证机制早期的 SSL 协议并没有提供身份认证机制,虽然在 SSL3. 0 中可以通过数字签名和数字证书实现浏览器和 WEB 服务器之间的身份认证,但仍不能实现多方认证。SET 协议要求所有参与交易活动的各方都必须使用数字证书,较好的解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。3.安全程度SET 协议由于采用了非对称加密、消息摘要和数字签名可以确保信息的机密性、认证性、完整性和不可否认性,特别是 SET 协议采用了双重签名技术来保证各参与方信息的相互隔离,使商家只能看到持卡人的订单信息,而银行只能取得持卡人的信用卡信息。SSL 协议虽也采用
10、了公钥加密和信息摘要等技术,也可以提供机密性、完整性和一定程度的身份验证功能,但缺乏一套完整的认证体系,不能提供电子商务交易活动中非常重要的不可否认性证明。4.运行效率SET 协议非常复杂、庞大、运行速度慢。一个典型的 SET 交易过需验证电子证书 9 次、验证数字签名 6 次、传递证书 7 次、进 5 次签名 4 次对称加密和 4 次非对称加密,整个交易过程非常耗时;而SSL 协议则简单很多,运行效率也比 SET 协议高。5.部署成本SSL 协议已被大部分的浏览器和 WEB 服务器内置,无须安装专门软件;而 SET 协议中客户端要安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件,部署成本高。SSL 协议与 SET 协议比较汇总如表 1 所示。SSL 协议 SET 协议工作层次 传输层 应用层认证机制 双方认证 多方认证安全程度 较高(不提供不可否认性) 很高(提供不可否认性)运行效率 高 低部署成本 低 高参考文献:1.陈果.移动电子商务密钥管理协议及加密算法研究D. 湖南:湖南大学,2009.6. 2. 侯小梅,毛宗源,张波.电子商务中加密方法的理论和应用研究J.计算机工程与 应用,2000.11(11)
