首页
杂志网
当前位置:首页>>微电子>电子商务及其安全技术(1)>正文

电子商务及其安全技术(1)

来源:杂志发表网时间:2015-12-20 所属栏目:微电子

   摘 要:随着因特网的飞速发展,电子商务正得到越来越广泛的应用。电子商务的安全性是影响其成败的一个关键因素。本文首先讨论了电子商务应用中所存在的问题,继而对电子商务的安全性技术进行了分析。最后,对中国电子商务未来的发展进行了探讨并提出了一些建议。
关键词:电子商务 在线支付 安全性 安全套接层协议 安全电子交易协议
1 引言
Internet给整个社会带来了巨大的变革,成为驱动所有产业发展的动力。电子商务是在Internet开放环境下的一种新型的商业运营模式,是网络技术应用的全新发展方向。在此首先对电子商务中存在的问题及其安全性技术加以分析,然后对中国电子商务未来的发展提出了一些建议,以使更多的人士关注电子商务技术,尽快解决现存的问题,推动电子商务的发展。
2 电子商务及其存在的问题
电子商务是指利用简单快捷低成本的电子通讯方式,使买卖双方进行各种商贸活动的新型贸易形式。它改变了传统贸易形式,不仅改变了企业本身的生产、经营、管理活动,而且将导致人类经济、社会和文化的一次新的革命。但目前电子商务的发展中还存在许多问题:
1) 安全协议问题:对安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。
2) 安全管理问题:在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
3) 电子商务没有真正深入商务领域而仅仅局限于信息领域。
4) 技术人才短缺问题:电子商务是在近几年才得到了迅猛发展,许多地方都缺乏足够的技术人才来处理所遇到的各种问题。不少电子商务的开发商对网络技术很熟悉,但是对安全技术了解得偏少,因而难以开发出真正实用的、安全性的产品。
5) 法律问题:电子交易衍生了一系列法律问题,例如网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。
6) 税收问题:电子商务的发展在促进贸易增加税收的同时又对税收制度及其管理手段提出了新要求。
3 电子商务中的安全性技术
安全性技术是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的问题。虽然Internet的开放式的信息交换使之在安全方面存在脆弱性,但现在几乎网络的各个层次都制订了安全协议和具备了相应的安全技术,以保证电子商务的安全性。
3.1 安全的网络平台
安全可靠的网络是实现电子商务的基础,常用的方法是在网络中采用防火墙技术,虚拟专用网(VPN)技术,防病毒保护等。防火墙技术是通过IP过滤和代理服务器软件方法保护企业内部网(Intranet)中数据,只有授权用户才能获准进入企业内部网的系统。虚拟专用网(VPN)技术通过IP隧道等方法来保证企业协作网(Extranet)中企业间数据和企业内部网的远程分支机构和外出职工对中央系统的远程访问数据的安全传递。单纯依靠这些方法保护网络的安全性是不够的,还必须与其它安全措施综合使用才能为为用户提供更为可靠的电子商务基石,例如现在的加密技术、数字签名技术、电子认证技术等。
3.2 在线支付的安全技术
  电子商务的另一个关键问题是要保证在线支付的安全,它是网上购物的重要保证。目前采用的在线支付协议有两种:安全套接层SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议。
3.2.1 SSL协议
SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(Certificate Authority,CA)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
  SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。
  SSL协议握手流程由两个阶段组成:服务器认证和用户认证。
1)服务器认证
  客户端向服务器发送一个“Hello”信息,以便开始一个新的会话连接;服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。
2)用户认证


  经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。
  SSL协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web服务器内置,便于在电子交易中应用。但SSL是一个面向连接的协议,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议不能协调各方面的安全传输和信任关系,为此,Mastercard和Visa共同在网络应用层开发了SET协议。
3.2.2 SET协议
SET协议是一个能保证通过开放网络进行安全资金支付的技术标准。它采用的技术包括,对称密钥加密、公共密钥加密、哈希算法、数字签名技术以及公共密钥授权机制等。
  SET使订单信息和信用卡信息的隔离。在把包含信用卡号码信息的订单送到商家时,商家只能看到订单信息,却看不到信用卡号码信息,并且需要持卡人和商家相互认证,确定通信双方身份,一般由认证中心为双方提供信用担保。
整个电子支付的过程包括:浏览、购买、付款合法性验证以及获取付款等过程。信用卡持卡客户通过浏览器从商家的商品目录寻找所需商品,他拥有支付网关交换密钥的私人密钥,可以发送初始化请求给商家;商家收到客户的初始化请求后,为请求报文分配一个唯一的交易标识号,并用商家的私人密钥进行数字签名,然后将初始化响应报文与商家和支付网关的证书一起传给客户;客户收到该初始化响应后,验证商家和支付网关的证书,确认商家和支付网关的身份,再根据商家的公开密钥确认初始化响应中的商家签名;然后,客户产生订单信息(Ordering Information)和支付命令(Payment Instruction),用私人密钥对订单信息和支付命令进行双重签名;并产生一个随机的对称密钥,用它对双重签名后的支付命令加密,然后再用支付网关交换密钥的公开密钥(public key-exchange key)对客户帐号和对称密钥加密;客户将加密后的订单信息和支付命令发给商家;商家确认客户证书,用客户的公开密钥对订单信息上的双重签名解密,以确保订单在传输过程中无误,并且其中的签名是客户的;然后,商家处理订单信息请求,将支付命令传给支付网关并请求授权,同时还产生一个包括商家的签名证书和指明客户的订单已被接收等信息的购买响应报文,并对该报文数字签名后发给客户;客户用商家的公开密钥来证实购买响应上的签名是商家的,并保存收到的购买响应。如果交易被授权,商家将执行订单上规定的送货等服务。商家使用订货单,要求支付网关付款。

  SET定义了一个完备的[2] 古月. 走近电子商务. 计算机与生活,1999,11: 8~14
[3] 龚炳铮等. 从信息增值到电子商务. 计算机世界,2000,11,20(D45期)
Electronic commerce and its security
(Caulation Centre of Zhumadian Teacher’s College, Zhumadian, 463000, China)
Abstract With the rapid development of the Internet, electronic commerce (EC) is getting more and more applications. Its security is a key factor for EC’s success. This paper first discusses the challenges to EC’s usage, and then mainly analyzes the security technology of EC. At the end, the future development of EC in China is discussed and some suggestions are proposed.
Key words electronic commerce; online payment; security; SSL; SET

点此咨询学术顾问 快人一步得到答案

SCI期刊问答

回到顶部