電子商務(wù)安全學(xué)術(shù)論文

　　近些年來，我國的電子商務(wù)發(fā)展速度較快，但是其安全問題仍然是一大隱患，也是電子商務(wù)最擔(dān)心的問題,為大家分享了電子商務(wù)安全的學(xué)術(shù)論文，歡迎借鑒！

　　【摘要】電子商務(wù)越來越深入我們的商務(wù)活動，電子支付系統(tǒng)是電子商務(wù)中最重要的環(huán)節(jié)之一，主要用來解決電子商務(wù)中的各交易實體(用戶、商家、銀行等)間資金流和信息流在Internet上即時傳遞及其安全性問題，電子商務(wù)安全問題的核心是電子交易的安全性，為了保障電子商務(wù)交易安全，人們開發(fā)了各種用于加強電子商務(wù)安全的協(xié)議。當(dāng)前應(yīng)用比較廣泛的電子商務(wù)安全協(xié)議主要有安全套接層協(xié)議SSL和安全電子交易協(xié)議SET。文中對這兩種主流協(xié)議進行了分析和比較。

　　論文關(guān)鍵詞：電子商務(wù)安全協(xié)議,電子交易,SSL協(xié)議,SET協(xié)議

　　隨著互聯(lián)網(wǎng)日益普及，基于Internet的電子商務(wù)已經(jīng)深入到人們生活的方方面面。安全是電子商務(wù)的基石，如何保證電子商務(wù)交易活動中信息的機密性、真實性、完整性、不可否認(rèn)性和存取控制等是電子商務(wù)發(fā)展中迫切需要解決的問題。為了保障電子商務(wù)交易安全，人們開發(fā)了各種用于加強電子商務(wù)安全的協(xié)議。這些協(xié)議主要有：安全套接層協(xié)議SSL、安全電子交易協(xié)議SET、超文本傳輸協(xié)議SHTTP、3-D secure協(xié)議和安全電子郵件協(xié)議（PEM、S/MIME）等。這其中應(yīng)用最為廣泛的協(xié)議主要有SSL、SET。

　　安全電子交易協(xié)議(SET)和安全套接層協(xié)議(SSL)是兩種重要的'通信協(xié)議，每一種都提供了通過Internet進行支付的手段。事實上，SET和SSL除了都采用RSA公鑰算法以外，二者在其他技術(shù)方面沒有任何相似之處，而RSA在二者中也被用來實現(xiàn)不同的安全目標(biāo)。

　　電子商務(wù)安全協(xié)議

　　1.安全套接層協(xié)議（SSL）

　　安全套接層協(xié)議(Secure Socket Layer，簡稱SSL)是美國網(wǎng)景公司（Netscape）推出的一種安全通信協(xié)議，SSL提供了兩臺計算機之間的安全連接，對整個會話進行了加密，從而保證了安全傳輸，其主要設(shè)計目標(biāo)是在Internet環(huán)境下提供端到端的安全連接。它能使客戶/服務(wù)器應(yīng)用之間的通信不被攻擊者。SSL協(xié)議建立在可靠的TCP傳輸控制協(xié)議之上。高層的應(yīng)用層協(xié)議能透明的建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信的私密性。

　　2.安全電子交易協(xié)議(SET)

　　安全電子交易協(xié)議(SecureElectronicTransaction，簡稱SET)是美國Visa和MasterCard兩大信用卡組織聯(lián)合于1997年5月31日推出的電子交易行業(yè)規(guī)范，它提供了消費者、商家和銀行之間的認(rèn)證，確保交易的保密性、可靠性和不可否認(rèn)性，保證在開放網(wǎng)絡(luò)環(huán)境下使用信用卡進行在線購物的安全，其實質(zhì)是一種應(yīng)用在Internet上、以信用卡為基礎(chǔ)的電子付款系統(tǒng)規(guī)范，目的是為了保證網(wǎng)絡(luò)交易的安全。SET本身并不是一個支付系統(tǒng)，而是一個安全協(xié)議集，SET規(guī)范保證了用戶可以安全地在諸如Internet這樣的開放網(wǎng)絡(luò)上應(yīng)用現(xiàn)有的信用卡支付設(shè)施來完成交易。SET較好地解決了信用卡在電子商務(wù)交易中的安全問題。SET已獲得IETF(The Internet Engineer-ing Task Force，簡稱IETF)標(biāo)準(zhǔn)的認(rèn)可。

　　SSL與SET協(xié)議比較分析

　　SSL和SET是當(dāng)前在電子商務(wù)中應(yīng)用最為廣泛的安全協(xié)議，兩者的差別主要體現(xiàn)在以下幾個方面。

　　1.工作層次

　　SSL屬于傳輸層的安全技術(shù)規(guī)范，不具備電子商務(wù)的商務(wù)性、協(xié)調(diào)性和集成性功能；而SET協(xié)議位于應(yīng)用層，它規(guī)范了整個商務(wù)活動的流程，從持卡人到商家，到支付網(wǎng)關(guān)，到認(rèn)證中心以及信用卡結(jié)算中心之間的信息流走向和必須采用的加密、認(rèn)證都制定了嚴(yán)密的標(biāo)準(zhǔn)，從而最大限度地保證了商務(wù)性、服務(wù)性和集成性。

　　2.認(rèn)證機制

　　早期的SSL協(xié)議并沒有提供身份認(rèn)證機制，雖然在SSL3.0中可以通過數(shù)字簽名和數(shù)字證書實現(xiàn)瀏覽器和WEB服務(wù)器之間的身份認(rèn)證，但仍不能實現(xiàn)多方認(rèn)證，而且SSL中只有商家服務(wù)器的認(rèn)證是必須的，客戶端認(rèn)證則是可選的。SET協(xié)議使用數(shù)字證書來確認(rèn)交易涉及的各方（包括商家、持卡人、受卡行和支付網(wǎng)關(guān)）的身份，為在線交易提供一個完整的可信賴的環(huán)境。SET協(xié)議要求所有參與交易活動的各方都必須使用數(shù)字證書，較好的解決了客戶與銀行、客戶與商家、商家與銀行之間的多方認(rèn)證問題。

　　3.加密機制

　　SSL是基于傳輸層加密，它為高層提供了特定接口，使得應(yīng)用方無須了解傳輸層情況；然而由于傳輸層屬于較高層，常用軟件實現(xiàn)，這在很大程度上削弱了加密處理能力，同時，地址信息由低層控制，這種加密無法免于被攻擊者流量分析。SET的加圖2 SET協(xié)議的工作原理密過程則不同于SSL，SET中廣泛使用了數(shù)字信封等技術(shù)，并采用嚴(yán)密的系統(tǒng)約束來保證數(shù)據(jù)傳輸?shù)陌踩�性�?/p>

　　4.完整方面

　　SET協(xié)議將發(fā)送的所有報文加密后，將為之產(chǎn)生一個唯一的消息摘要，一旦有人企圖篡改報文中包含的數(shù)據(jù)，該摘要就會改變，從而被檢測到，這就保證了信息的完整性。SSL協(xié)議是使用秘密共享和哈希函數(shù)進行MAC計算來提供信息的完整性服務(wù)的，它可以確保SSL對話的通信內(nèi)容在傳遞途中毫無改變地送達(dá)目的地。

　　5.安全程度

　　在網(wǎng)上交易，安全是關(guān)鍵問題。從網(wǎng)絡(luò)信息傳輸安全角度看，只有確保信息在網(wǎng)上傳輸時的機密性、可鑒別性及信息完整性才真正安全。SET協(xié)議是專為電子商務(wù)系統(tǒng)設(shè)計的，它位于應(yīng)用層，采用公鑰機制、信息摘要和認(rèn)證體系，其中認(rèn)證中心（CA）就是該體系的重要執(zhí)行者，認(rèn)證體系十分完善，能實現(xiàn)多方認(rèn)證。而SSL中也采用了采用公鑰機制、信息摘要和MAC檢測，可以提供信息保密性、完整性和一定程序的身份鑒別功能，但SSL不能提供完備的防抵賴功能。特別是SSL協(xié)議不能實現(xiàn)多方認(rèn)證，從網(wǎng)上安全結(jié)算這一角度來看，顯然SET比SSL針對性更強，更受客戶青睞。

　　6.運行效率

　　SET協(xié)議非常復(fù)雜、龐大、運行速度慢。一個典型的SET交易過程需驗證電子證書9次、驗證數(shù)字簽名6次、傳遞證書7次、進行5次簽名、4次對稱加密和4次非對稱加密，整個交易過程非常耗時；而SSL協(xié)議則簡單很多，運行效率也比SET協(xié)議高。

　　7.部署成本

　　SSL協(xié)議已被大部分的瀏覽器和WEB服務(wù)器內(nèi)置，無須安裝專門軟件；而SET協(xié)議中客戶端要安裝專門的電子錢包軟件，在商家服務(wù)器和銀行網(wǎng)絡(luò)上也需安裝相應(yīng)的軟件，部署成本高。

　　結(jié)束語

　　相對于SSL協(xié)議而言，SET協(xié)議更為安全，更適合于消費者、商家和銀行三方進行網(wǎng)上交易的國際安全標(biāo)準(zhǔn)。SET協(xié)議是專為電子商務(wù)系統(tǒng)設(shè)計的，它位于應(yīng)用層，其認(rèn)證體系十分完善，能實現(xiàn)多方認(rèn)證。在SET的實現(xiàn)中，消費者賬戶信息對商家來說是保密的。網(wǎng)上銀行采用SET，確保交易各方身份的合法性和交易的不可否認(rèn)性，使商家只能得到消費者的訂購信息而銀行只能獲得有關(guān)支付信息，確保了交易數(shù)據(jù)的安全、完整和可靠，從而為人們提供了一個快捷、方便、安全的網(wǎng)上購物環(huán)境。因而SET是未來電子商務(wù)安全技術(shù)的發(fā)展方向。

　　參考文獻(xiàn)

　　[1]何長領(lǐng).電子商務(wù)交易[M].北京:人民郵電出版社,2001.

　　[2]梁晉,等.電子商務(wù)核心技術(shù)-安全電子交易協(xié)議的理論與設(shè)計[M].西安:西安電子科技大學(xué)出版社,2000.

　　[3]李琪.電子商務(wù)安全.重慶大學(xué)出版社，2004.

　　[4]李洪心.電子商務(wù)安全.東北財經(jīng)大學(xué)出版社,2008,9.

　　[5]張愛菊.電子商務(wù)安全技術(shù).清華大學(xué)出版社,2006,12.

　　[6]楊堅爭.電子商務(wù)安全與支付技術(shù).中國人民大學(xué)出版社,2006,9.