電子商務(wù)系統(tǒng)安全理論知識(shí)

　　電子商務(wù)系統(tǒng)是保證以電子商務(wù)為基礎(chǔ)的網(wǎng)上交易實(shí)現(xiàn)的體系。市場(chǎng)交易是由參與交易雙方在平等、自由、互利的基礎(chǔ)上進(jìn)行的基于價(jià)值的交換。下面是小編為大家整理的電子商務(wù)系統(tǒng)安全理論知識(shí)，歡迎大家閱讀瀏覽。

　　一、電子商務(wù)對(duì)信息安全的要求

　　(一)機(jī)密性：數(shù)據(jù)傳輸過(guò)程中，必須確保數(shù)據(jù)不外泄。

　　(二)識(shí)別性：系統(tǒng)必須能識(shí)別所有用戶和發(fā)送者。

　　(三)完整性：數(shù)據(jù)在網(wǎng)絡(luò)媒介的傳送過(guò)程中，必須確保數(shù)據(jù)的完整性。

　　(四)無(wú)法否認(rèn)性：通過(guò)信息安全體系的設(shè)計(jì)，當(dāng)數(shù)據(jù)送到對(duì)方，必須確定接受者不能否認(rèn)其曾經(jīng)接到該數(shù)據(jù)。

　　二、電子商務(wù)面臨的安全威脅及解決技術(shù)

　　從目前的狀況看，電子商務(wù)面臨以下的安全威脅：

　　(一)病毒：電子商務(wù)離不開計(jì)算機(jī)網(wǎng)絡(luò)，而病毒制造者通過(guò)傳播計(jì)算機(jī)病毒來(lái)蓄意破壞聯(lián)網(wǎng)計(jì)算機(jī)的程序、數(shù)據(jù)和信息，以達(dá)到某種非法目的。(二)惡意破壞程序是指會(huì)導(dǎo)致不同程度破壞的軟件應(yīng)用或者java小程序。(三)網(wǎng)絡(luò)安全攻擊：常見的有中斷、介入、篡改和偽造。

　　這些技術(shù)的基礎(chǔ)上又建立起更為復(fù)雜的安全協(xié)議和安全技術(shù)，例如SSL(安全套接字層)協(xié)議，SET(安全電子交易)協(xié)議等。

　　三、密碼技術(shù)

　　本文討論的是電子商務(wù)安全協(xié)議SSL和SET都運(yùn)用了密碼技術(shù)，它們是對(duì)稱密碼技術(shù)和非對(duì)稱密碼技術(shù)，本文對(duì)這兩種密碼技術(shù)進(jìn)行簡(jiǎn)單的介紹。

　　(一)對(duì)稱密碼技術(shù)。對(duì)稱密碼技術(shù)是使用相同的密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密，發(fā)送者和接收者用相同的密鑰。

　　(二)非對(duì)稱密碼技術(shù)。用于加密的密鑰和用于解密的密鑰不相同，且由其中一個(gè)推算不出另一個(gè)，這種密碼體制叫非對(duì)稱密碼技術(shù)。非對(duì)稱密碼技術(shù)又稱公鑰密碼技術(shù)，因?yàn)榧用苊荑�是公開的，解密密鑰是保密的，加/解密算法都是公開的。非對(duì)稱密碼技術(shù)中最為廣泛應(yīng)用的是RSA。

　　四、SSL協(xié)議及其安全性分析

　　(一)SSL簡(jiǎn)介。SSL(Secure Socket Layer)是由Netscape首先發(fā)表的一種未來(lái)確保信息在網(wǎng)絡(luò)上流通安全的網(wǎng)絡(luò)數(shù)據(jù)安全傳輸協(xié)議。SSL是利用公開密鑰的.加密技術(shù)(RSA)來(lái)作為客戶端與主機(jī)端在傳送幾門數(shù)據(jù)時(shí)的加密通訊協(xié)議的。

　　SSL協(xié)議位于TCP/IP層和應(yīng)用層之間，代表高層協(xié)議使用TCP/IP層的服務(wù)，在OSI七層模型中處于會(huì)話層。

　　(二)SSL的功能。SSL協(xié)議的工作流程：服務(wù)器認(rèn)證階段：(1)客戶端向服務(wù)器發(fā)送一個(gè)開始信息“Hello”以便開始一個(gè)新的會(huì)話連接;(2)服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息;(3)客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個(gè)主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器;(4)服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個(gè)用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。用戶認(rèn)證階段：在此之前，服務(wù)器已經(jīng)通過(guò)了客戶認(rèn)證，這一階段主要完成對(duì)客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問(wèn)給客戶，客戶則返回?cái)?shù)字簽名后的提問(wèn)和其公開密鑰，從而向服務(wù)器提供認(rèn)證。

　　(三)SSL協(xié)議的實(shí)現(xiàn)。SSL協(xié)議可分為兩層：SSL記錄協(xié)議：它建立在可靠的傳輸協(xié)議之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議：它建立在SSL記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法等。

　　五、SET協(xié)議及其安全性分析

　　(一)SET簡(jiǎn)介。SET(Secure Electronic Transaction)，用來(lái)保護(hù)消費(fèi)者在開放型網(wǎng)絡(luò)持卡付款交易安全的標(biāo)準(zhǔn)。由VISA、Netscape、IBM、SAIC等公司聯(lián)合制訂，運(yùn)用RSA數(shù)據(jù)安全的公開密鑰加密技術(shù)。保護(hù)交易數(shù)據(jù)的安全性和隱藏性。SET通過(guò)雙重?cái)?shù)字簽名的應(yīng)用，確保在開發(fā)式網(wǎng)絡(luò)環(huán)境下，客戶的交易信息不會(huì)被銀行取得，而商店也無(wú)法知道客戶的信用卡信息。

　　(二)SET協(xié)議的工作原理。整個(gè)電子支付的過(guò)程包括：瀏覽、購(gòu)買、付款合法性驗(yàn)證以及獲取付款等過(guò)程。信用卡持卡客戶通過(guò)瀏覽器從商家的商品目錄尋找所需商品，他擁有支付網(wǎng)關(guān)交換密鑰的私人密鑰，可以發(fā)送初始化請(qǐng)求給商家;商家收到客戶的初始化請(qǐng)求后，為請(qǐng)求報(bào)文分配一個(gè)惟一的交易標(biāo)識(shí)號(hào)，并用商家的私人密鑰進(jìn)行數(shù)字簽名，然后將初始化響應(yīng)報(bào)文與商家和支付網(wǎng)關(guān)的證書一起傳給客戶;客戶收到該初始化響應(yīng)后，驗(yàn)證商家和支付網(wǎng)關(guān)的證書，確認(rèn)商家和支付網(wǎng)關(guān)的身份，再根據(jù)商家的公開密鑰確認(rèn)初始化響應(yīng)中的商家簽名私人密鑰對(duì)訂單信息和支付命令進(jìn)行雙重簽名;并產(chǎn)生一個(gè)隨機(jī)的對(duì)稱密鑰，然后，客戶產(chǎn)生訂單信息和支付命令，用雙重簽名后的支付命令加密，再用支付網(wǎng)關(guān)交換密鑰的公開密鑰對(duì)客戶賬號(hào)和對(duì)稱密鑰加密;客戶將加密后的訂單信息和支付命令發(fā)給商家;商家確認(rèn)客戶證書，用客戶的公開密鑰對(duì)訂單信息上的雙重簽名解密，以確保訂單在傳輸過(guò)程中無(wú)誤，并且其中的簽名是客戶的;然后，商家處理訂單信息請(qǐng)求，將支付命令傳給支付網(wǎng)關(guān)并請(qǐng)求授權(quán)，同時(shí)還產(chǎn)生一個(gè)包括商家的簽名證書和指明客戶的訂單已被接收等信息的購(gòu)買響應(yīng)報(bào)文，并對(duì)該報(bào)文數(shù)字簽名后發(fā)給客戶;客戶用商家的公開密鑰來(lái)證實(shí)購(gòu)買響應(yīng)上的簽名是商家的，并保存收到的購(gòu)買響應(yīng)。如果交易被授權(quán)，商家將執(zhí)行訂單上規(guī)定的送貨等服務(wù)。商家使用訂貨單，要求支付網(wǎng)關(guān)付款。

　　SET協(xié)議的SET的交易流程：

　　(1)客戶在網(wǎng)上商店看中商品后，和商家進(jìn)行磋商，然后發(fā)出請(qǐng)求購(gòu)買信息。(2)商家要求客戶用電子錢包付款。(3)電子錢包提示客戶輸入口令后與商家交換握手信息，確認(rèn)商家和客戶兩端均合法。 (4)客戶的電子錢包形成一個(gè)包含訂購(gòu)信息與支付指令的報(bào)文發(fā)送給商家。(5)商家將含有客戶支付指令的信息發(fā)送給支付網(wǎng)關(guān)。(6)支付網(wǎng)關(guān)在確認(rèn)客戶信用卡信息之后，向商家發(fā)送一個(gè)授權(quán)響應(yīng)的報(bào)文。(7)商家向客戶的電子錢包發(fā)送一個(gè)確認(rèn)信息。(8)將款項(xiàng)從客戶賬號(hào)轉(zhuǎn)到商家賬號(hào)，然后向顧客送貨，交易結(jié)束。

　　六、SSL與SET 的發(fā)展

　　SSL與SET在電子商務(wù)領(lǐng)域都有普遍的應(yīng)用，SSL是基于傳輸層的通用安全協(xié)議，是對(duì)數(shù)據(jù)傳輸?shù)哪遣糠旨夹g(shù)規(guī)范。SET協(xié)議位于應(yīng)用層，對(duì)其他各層也有涉及。SET中規(guī)范了整個(gè)商務(wù)的活動(dòng)流程。持卡人、商家、支付網(wǎng)關(guān)、結(jié)算中心、認(rèn)證中心之間的信息流的加密、認(rèn)證，SET協(xié)議都制定了嚴(yán)密的標(biāo)準(zhǔn)。

　　SSL的主要優(yōu)點(diǎn)是應(yīng)用方便，由于不需簽名，加密操作少且均為對(duì)稱加密操作，SSL比SET效率高。SET的主要優(yōu)點(diǎn)是提供了對(duì)交易主體的認(rèn)證和對(duì)交易信息的確認(rèn)，在防止冒名交易和否認(rèn)交易方面的安全性更強(qiáng)。長(zhǎng)期看來(lái)，SSL和SET都將繼續(xù)作為保護(hù)電子商務(wù)安全的主流協(xié)議同時(shí)存在并不斷發(fā)展。

【電子商務(wù)系統(tǒng)安全理論知識(shí)】相關(guān)文章：

電子商務(wù)特征與功能理論知識(shí)11-06

色彩理論知識(shí)10-01

培訓(xùn)模特理論知識(shí)10-14

色彩理論知識(shí)介紹09-01

淺談OA系統(tǒng)安全防護(hù)06-07

聲樂(lè)基礎(chǔ)理論知識(shí)05-18

模特培訓(xùn)的理論知識(shí)09-03

編導(dǎo)技巧與理論知識(shí)09-14

美甲理論知識(shí)大全08-06