《学士论文-计算机类-电子商务安全体系的发展与动态》由会员分享,可在线阅读,更多相关《学士论文-计算机类-电子商务安全体系的发展与动态(5页珍藏版)》请在金锄头文库上搜索。
1、学士论文-计算机类-电子商务安全体系的发展与动态 电子商务安全体系的发展与动态电子商务安全体系的发展与动态关键词: 电子 商务(Electronic Commerce)是在 Internet 开放的 网络 环境下,基于 浏览器/服务器 应用 方式,实现消费者的网上购物、商户之间的网上交易和在 线电子支付的一种新型的商业运营模式。 Internet 上的电子商务可以分为三个方面:信息服务、交易和支付。主要 内 容 包括:电子商情广告;电子选购和交易、电子交易凭证的交换;电子支付与 结算以及售后的网上服务等。主要交易类型有 企业 与个人的交易(B to C 方 式)和企业之间的交易(B to B
2、方式)两种。 参与电子商务的实体一般来讲有四类:顾客(个人消费者或企业集团)、商户(包 括销售商、制造商、储运商)、银行(包括发卡行、收单行)及认证中心。 电子商务是 Internet 爆炸式 发展 的直接产物,是网络技术应用的全新发 展方向。Internet 本身所具有的开放性、全球性、低成本、高效率的特点,也 成为电子商务的内在特征,并使得电子商务大大超越了作为一种新的贸易形式 所具有的价值,它不仅会改变企业本身的生产、经营、管理活动,而且将 影响 到整个 社会 的 经济 运行与结构。 现阶段推动电子商务面临的最大 问题 是如何保障电子商务过程中的安全性, 交易的安全是网上贸易的基础和保障
3、,同时也是电子商务技术的难点。近年来, 国际上已实施和制定了一系列的 方法 来解决网上交易的安全性问题。1、电子商务的安全控制要求概述电子商务发展的核心和关键问题是交易的安全性。由于 Internet 本身的开放性, 使网上交易面临了种种危险,也由此提出了相应的安全控制要求。1.1 信息保密性交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉,就可能 被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商 务的信息传播中一般均有加密的要求。1.2 交易者身份的确定性网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对 方的身份,对商家而言要考虑客户端不能
4、是骗子,而客户也会担心网上的商店 不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。1.3 不可否认性由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的 利益。1.4 不可修改性交易的文件是不可被修改的,如其能改动文件内容,那么交易本身便是不可靠 的,客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修 改,以保障交易的严肃和公正。2、电子商务安全交易的有关标准和实施方法2.1 安全交易的雏形在电子商务实施初期,曾采用过一些简易的安全措施,这些措施包括:(1) 部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码 及成
5、交数额等略去,然后再用电话告之,以防泄密。(2) 另行确认(Order Confirmation):即当在网上传输交易信息之后,再用电 子邮件对交易作确认,才认为有效。(3) 在线服务(Online Service):为了保证信息传输的安全,用企业提供的内 部网来提供联机服务。以上所述的种种方法,均有一定的局限性,且操作麻烦,不能实现真正的安全 可靠性。2.2 安全交易标准的制定近年来,IT 业界与 金融 行业一起,推出不少更有效的安全交易标准。主要有:(1) 安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障 Web 站点间的 交易信息传输的安全性。(2) 安全套接层协议(SSL 协
6、议:Secure Socket Layer)是由网景 (Netscape)公司推出的一种安全通信协议,是对 计算 机之间整个会话进行 加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信 息提供较强的保护。SSL 被用于 Netscape Communicator 和 Microsoft IE 浏览 器,用以完成需要的安全交易操作。在 SSL 中,采用了公开密钥和私有密钥两 种加密方法。(3) 安全交易技术协议(STT:Secure Transaction Technology):由 Microsoft 公司提出,STT 将认证和解密在浏览器中分离开,用以提高安全控制 能力。M
7、icrosoft 将在 Internet Explorer 中采用这一技术。(4) 安全电子交易协议(SET:Secure Electronic Transaction):SET 协议 是由 VISA 和 MasterCard 两大信用卡公司于 1997 年 5 月联合推出的规范。SET 主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保 证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作 性。SET 中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子 安全证书等。目前 公布的 SET 正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保 密、资
8、料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标 准,其交易形态将成为未来“电子商务”的规范。支付系统是电子商务的关键,但支持支付系统的关键技术的未来走向尚未确定。 安全套接层(SSL)和安全电子交易(SET)是两种重要的通信协议,每一种都 提供了通过 Internet 进行支付的手段。但是,两者之中谁将领导未来呢?SET 将立刻替换 SSL 吗?SET 会因其复杂性而消亡吗?SSL 真的能完全满足电子商务 的需要吗?我们可以从以下几点对比作管中一窥:SSL 提供了两台机器间的安全连接。支付系统经常通过在 SSL 连接上传输信用 卡卡号的方式来构建,在线银行和其他金融系统也常常构
9、建在 SSL 之上。虽然 基于 SSL 的信用卡支付方式促进了电子商务的发展,但如果想要电子商务得以 成功地广泛开展的话,必须采用更先进的支付系统。SSL 被广泛应用的原因在 于它被大部分 Web 浏览器和 Web 服务器所内置,比较容易被应用。SET 和 SSL 除了都采用 RSA 公钥算法以外,二者在其他技术方面没有任何相似 之处。而 RSA 在二者中也被用来实现不同的安全目标。SET 是一种基于消息流的协议,它主要由 MasterCard 和 Visa 以及其他一些业 界主流厂商设计发布,用来保证公共网络上银行卡支付交易的安全性。SET 已 经在国际上被大量实验性地使用并经受了考验,但大
10、多数在 Internet 上购的消 费者并没有真正使用 SET。SET 是一个非常复杂的协议,因为它非常详细而准确地反映了卡交易各方之间 存在的各种关系。SET 还定义了加密信息的格式和完成一笔卡支付交易过程中 各方传输信息的规则。事实上,SET 远远不止是一个技术方面的协议,它还说 明了每一方所持有的数字证书的合法含义,希望得到数字证书以及响应信息的 各方应有的动作,与一笔交易紧密相关的责任分担。3、目前安全电子交易的手段在近年来发表的多个安全电子交易协议或标准中,均采纳了一些常用的安全电 子交易的方法和手段。典型的方法和手段有以下几种:3.1 密码技术采用密码技术对信息加密,是最常用的安全
11、交易手段。在电子商务中获得广泛 应用的加密技术有以下两种:(1)公共密钥和私用密钥(public key and private key)这一加密方法亦称为 RSA 编码法,是由 Rivest、Shamir 和 Adlernan 三人所 研 究 发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论 哪一个先与原文件编码相乘,对文件加密,均可由另一个质数再相乘来解密。 但要用一个质数来求出另一个质数,则是十分困难的。因此将这一对质数称为 密钥对(Key Pair)。在加密应用时,某个用户总是将一个密钥公开,让需发信 的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用
12、该 用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可 在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在 Internet 上传输信息的保密和安全。(2)数字摘要(digital digest)这一加密方法亦称安全 Hash 编码法(SHA:Secure Hash Algorithm)或 MD5(MD Standards for Message Digest),由 Ron Rivest 所设计。该编码法采用单向 Hash 函数将需加密的明文“摘要”成一串 128bit 的密文,这一串密文亦称为 数字指纹(Finger Print),它有固定的长度,且不同的明
13、文摘要成密文,其结 果总是不同的,而同样的明文其摘要必定一致。这样这摘要便可成为验证明文 是否是“真身”的“指纹”了。上述两种方法可结合起来使用,数字签名就是上述两法结合使用的实例。3.2 数字签名(digital signature)在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己 的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒, 从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用 数字签名,也能确认以下两点:a. 信息是由签名者发送的。b. 信息在传输过程中未曾作过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒
14、用别人名义 发送信息;或发出(收到)信件后又加以否认等情况发生。书作为交易方身份的验证工具。其技术特点是采用 IBM 的电子商务框架结构、嵌入经国家密码管理委员会认可 的加/解密用软/硬件产品。这个电子商务系统具有如下的安全交易特点:1) 遵循 SET 国际标准、具有 SET 标准规定的安全机制,是 目前 国际互联网上 运行的比较安全的电子商务系统;2) 兼顾国内信用卡/储蓄卡与国际信用卡的业务特点,具有一定的中国特色;3) 具有开放特性,可与经 SETCO 国际组织认证的任何电子商务系统进行互操作;我们可以通过其网上购票操作步骤管窥其安全交易的全过程:第一步:申请单位或个人牡丹信用卡第二步:到 CA 网页申请数字证书第三步:到工商银行信用卡部办理注册手续并领取钱包软件光盘第四步:在 PC 机上安装钱包软件,并加入信用卡信息第五步:从 CA 下载数字证书第六步:上东航网页购买机票第七步:取票登机以上我们详细探讨了电子商务安全体系的 发展 与最新动态,相信随着时间的 推移和技术的发展,电子商务安全体系将越来越完善,足不出户而通过 Internet 电子商务系统实现购物、交易和做生意将成为人们生活的新 时尚 。
