電子商務(wù)安全學(xué)術(shù)論文

　　近些年來(lái)，我國(guó)的電子商務(wù)發(fā)展速度較快，但是其安全問題仍然是一大隱患，也是電子商務(wù)最擔(dān)心的問題,為大家分享了電子商務(wù)安全的學(xué)術(shù)論文，歡迎借鑒！

　　【摘要】電子商務(wù)越來(lái)越深入我們的商務(wù)活動(dòng)，電子支付系統(tǒng)是電子商務(wù)中最重要的環(huán)節(jié)之一，主要用來(lái)解決電子商務(wù)中的各交易實(shí)體(用戶、商家、銀行等)間資金流和信息流在Internet上即時(shí)傳遞及其安全性問題，電子商務(wù)安全問題的核心是電子交易的安全性，為了保障電子商務(wù)交易安全，人們開發(fā)了各種用于加強(qiáng)電子商務(wù)安全的協(xié)議。當(dāng)前應(yīng)用比較廣泛的電子商務(wù)安全協(xié)議主要有安全套接層協(xié)議SSL和安全電子交易協(xié)議SET。文中對(duì)這兩種主流協(xié)議進(jìn)行了分析和比較。

　　論文關(guān)鍵詞：電子商務(wù)安全協(xié)議,電子交易,SSL協(xié)議,SET協(xié)議

　　隨著互聯(lián)網(wǎng)日益普及，基于Internet的電子商務(wù)已經(jīng)深入到人們生活的方方面面。安全是電子商務(wù)的基石，如何保證電子商務(wù)交易活動(dòng)中信息的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等是電子商務(wù)發(fā)展中迫切需要解決的問題。為了保障電子商務(wù)交易安全，人們開發(fā)了各種用于加強(qiáng)電子商務(wù)安全的協(xié)議。這些協(xié)議主要有：安全套接層協(xié)議SSL、安全電子交易協(xié)議SET、超文本傳輸協(xié)議SHTTP、3-D secure協(xié)議和安全電子郵件協(xié)議（PEM、S/MIME）等。這其中應(yīng)用最為廣泛的協(xié)議主要有SSL、SET。

　　安全電子交易協(xié)議(SET)和安全套接層協(xié)議(SSL)是兩種重要的'通信協(xié)議，每一種都提供了通過(guò)Internet進(jìn)行支付的手段。事實(shí)上，SET和SSL除了都采用RSA公鑰算法以外，二者在其他技術(shù)方面沒有任何相似之處，而RSA在二者中也被用來(lái)實(shí)現(xiàn)不同的安全目標(biāo)。

　　電子商務(wù)安全協(xié)議

　　1.安全套接層協(xié)議（SSL）

　　安全套接層協(xié)議(Secure Socket Layer，簡(jiǎn)稱SSL)是美國(guó)網(wǎng)景公司（Netscape）推出的一種安全通信協(xié)議，SSL提供了兩臺(tái)計(jì)算機(jī)之間的安全連接，對(duì)整個(gè)會(huì)話進(jìn)行了加密，從而保證了安全傳輸，其主要設(shè)計(jì)目標(biāo)是在Internet環(huán)境下提供端到端的安全連接。它能使客戶/服務(wù)器應(yīng)用之間的通信不被攻擊者。SSL協(xié)議建立在可靠的TCP傳輸控制協(xié)議之上。高層的應(yīng)用層協(xié)議能透明的建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密，從而保證通信的私密性。

　　2.安全電子交易協(xié)議(SET)

　　安全電子交易協(xié)議(SecureElectronicTransaction，簡(jiǎn)稱SET)是美國(guó)Visa和MasterCard兩大信用卡組織聯(lián)合于1997年5月31日推出的電子交易行業(yè)規(guī)范，它提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保交易的保密性、可靠性和不可否認(rèn)性，保證在開放網(wǎng)絡(luò)環(huán)境下使用信用卡進(jìn)行在線購(gòu)物的安全，其實(shí)質(zhì)是一種應(yīng)用在Internet上、以信用卡為基礎(chǔ)的電子付款系統(tǒng)規(guī)范，目的是為了保證網(wǎng)絡(luò)交易的安全。SET本身并不是一個(gè)支付系統(tǒng)，而是一個(gè)安全協(xié)議集，SET規(guī)范保證了用戶可以安全地在諸如Internet這樣的開放網(wǎng)絡(luò)上應(yīng)用現(xiàn)有的信用卡支付設(shè)施來(lái)完成交易。SET較好地解決了信用卡在電子商務(wù)交易中的安全問題。SET已獲得IETF(The Internet Engineer-ing Task Force，簡(jiǎn)稱IETF)標(biāo)準(zhǔn)的認(rèn)可。

　　SSL與SET協(xié)議比較分析

　　SSL和SET是當(dāng)前在電子商務(wù)中應(yīng)用最為廣泛的安全協(xié)議，兩者的差別主要體現(xiàn)在以下幾個(gè)方面。

　　1.工作層次

　　SSL屬于傳輸層的安全技術(shù)規(guī)范，不具備電子商務(wù)的商務(wù)性、協(xié)調(diào)性和集成性功能；而SET協(xié)議位于應(yīng)用層，它規(guī)范了整個(gè)商務(wù)活動(dòng)的流程，從持卡人到商家，到支付網(wǎng)關(guān)，到認(rèn)證中心以及信用卡結(jié)算中心之間的信息流走向和必須采用的加密、認(rèn)證都制定了嚴(yán)密的標(biāo)準(zhǔn)，從而最大限度地保證了商務(wù)性、服務(wù)性和集成性。

　　2.認(rèn)證機(jī)制

　　早期的SSL協(xié)議并沒有提供身份認(rèn)證機(jī)制，雖然在SSL3.0中可以通過(guò)數(shù)字簽名和數(shù)字證書實(shí)現(xiàn)瀏覽器和WEB服務(wù)器之間的身份認(rèn)證，但仍不能實(shí)現(xiàn)多方認(rèn)證，而且SSL中只有商家服務(wù)器的認(rèn)證是必須的，客戶端認(rèn)證則是可選的。SET協(xié)議使用數(shù)字證書來(lái)確認(rèn)交易涉及的各方（包括商家、持卡人、受卡行和支付網(wǎng)關(guān)）的身份，為在線交易提供一個(gè)完整的可信賴的環(huán)境。SET協(xié)議要求所有參與交易活動(dòng)的各方都必須使用數(shù)字證書，較好的解決了客戶與銀行、客戶與商家、商家與銀行之間的多方認(rèn)證問題。

　　3.加密機(jī)制

　　SSL是基于傳輸層加密，它為高層提供了特定接口，使得應(yīng)用方無(wú)須了解傳輸層情況；然而由于傳輸層屬于較高層，常用軟件實(shí)現(xiàn)，這在很大程度上削弱了加密處理能力，同時(shí)，地址信息由低層控制，這種加密無(wú)法免于被攻擊者流量分析。SET的加圖2 SET協(xié)議的工作原理密過(guò)程則不同于SSL，SET中廣泛使用了數(shù)字信封等技術(shù)，并采用嚴(yán)密的系統(tǒng)約束來(lái)保證數(shù)據(jù)傳輸?shù)陌踩�性�?/p>

　　4.完整方面

　　SET協(xié)議將發(fā)送的所有報(bào)文加密后，將為之產(chǎn)生一個(gè)唯一的消息摘要，一旦有人企圖篡改報(bào)文中包含的數(shù)據(jù)，該摘要就會(huì)改變，從而被檢測(cè)到，這就保證了信息的完整性。SSL協(xié)議是使用秘密共享和哈希函數(shù)進(jìn)行MAC計(jì)算來(lái)提供信息的完整性服務(wù)的，它可以確保SSL對(duì)話的通信內(nèi)容在傳遞途中毫無(wú)改變地送達(dá)目的地。

　　5.安全程度

　　在網(wǎng)上交易，安全是關(guān)鍵問題。從網(wǎng)絡(luò)信息傳輸安全角度看，只有確保信息在網(wǎng)上傳輸時(shí)的機(jī)密性、可鑒別性及信息完整性才真正安全。SET協(xié)議是專為電子商務(wù)系統(tǒng)設(shè)計(jì)的，它位于應(yīng)用層，采用公鑰機(jī)制、信息摘要和認(rèn)證體系，其中認(rèn)證中心（CA）就是該體系的重要執(zhí)行者，認(rèn)證體系十分完善，能實(shí)現(xiàn)多方認(rèn)證。而SSL中也采用了采用公鑰機(jī)制、信息摘要和MAC檢測(cè)，可以提供信息保密性、完整性和一定程序的身份鑒別功能，但SSL不能提供完備的防抵賴功能。特別是SSL協(xié)議不能實(shí)現(xiàn)多方認(rèn)證，從網(wǎng)上安全結(jié)算這一角度來(lái)看，顯然SET比SSL針對(duì)性更強(qiáng)，更受客戶青睞。

　　6.運(yùn)行效率

　　SET協(xié)議非常復(fù)雜、龐大、運(yùn)行速度慢。一個(gè)典型的SET交易過(guò)程需驗(yàn)證電子證書9次、驗(yàn)證數(shù)字簽名6次、傳遞證書7次、進(jìn)行5次簽名、4次對(duì)稱加密和4次非對(duì)稱加密，整個(gè)交易過(guò)程非常耗時(shí)；而SSL協(xié)議則簡(jiǎn)單很多，運(yùn)行效率也比SET協(xié)議高。

　　7.部署成本

　　SSL協(xié)議已被大部分的瀏覽器和WEB服務(wù)器內(nèi)置，無(wú)須安裝專門軟件；而SET協(xié)議中客戶端要安裝專門的電子錢包軟件，在商家服務(wù)器和銀行網(wǎng)絡(luò)上也需安裝相應(yīng)的軟件，部署成本高。

　　結(jié)束語(yǔ)

　　相對(duì)于SSL協(xié)議而言，SET協(xié)議更為安全，更適合于消費(fèi)者、商家和銀行三方進(jìn)行網(wǎng)上交易的國(guó)際安全標(biāo)準(zhǔn)。SET協(xié)議是專為電子商務(wù)系統(tǒng)設(shè)計(jì)的，它位于應(yīng)用層，其認(rèn)證體系十分完善，能實(shí)現(xiàn)多方認(rèn)證。在SET的實(shí)現(xiàn)中，消費(fèi)者賬戶信息對(duì)商家來(lái)說(shuō)是保密的。網(wǎng)上銀行采用SET，確保交易各方身份的合法性和交易的不可否認(rèn)性，使商家只能得到消費(fèi)者的訂購(gòu)信息而銀行只能獲得有關(guān)支付信息，確保了交易數(shù)據(jù)的安全、完整和可靠，從而為人們提供了一個(gè)快捷、方便、安全的網(wǎng)上購(gòu)物環(huán)境。因而SET是未來(lái)電子商務(wù)安全技術(shù)的發(fā)展方向。

　　參考文獻(xiàn)

　　[1]何長(zhǎng)領(lǐng).電子商務(wù)交易[M].北京:人民郵電出版社,2001.

　　[2]梁晉,等.電子商務(wù)核心技術(shù)-安全電子交易協(xié)議的理論與設(shè)計(jì)[M].西安:西安電子科技大學(xué)出版社,2000.

　　[3]李琪.電子商務(wù)安全.重慶大學(xué)出版社，2004.

　　[4]李洪心.電子商務(wù)安全.東北財(cái)經(jīng)大學(xué)出版社,2008,9.

　　[5]張愛菊.電子商務(wù)安全技術(shù).清華大學(xué)出版社,2006,12.

　　[6]楊堅(jiān)爭(zhēng).電子商務(wù)安全與支付技術(shù).中國(guó)人民大學(xué)出版社,2006,9.