电子商务安全协议
Xxx
(华中科技大学电子与信息工程系,武汉430074)
摘要:随着人类进入以网络为主的信息时代,Internet 的高速发展带来了商业和经济模式的重大变革。基于 Internet 发展起来的电子商务慢慢成为人们进行商务活动的新模式,但是安全问题成为了制约其发展的重要因素。本文简单介绍了电子商务安全的相关问题以及电子商务中的主流安全协议:SSL协议与SET协议,并对两种协议的优缺点进行了一定的比较分析。
关键词:电子商务,安全协议,SSL,SET
1.电子商务安全概述
随着信息技术的迅速发展,人类正进入以网络为主的信息时代,基于Internet发展起来的电子商务慢慢成为人们进行商务活动的新模式。但是,电子商务的安全问题也是制约其发展的重要因素之一,如何建立一个安全、便捷的电子商务应用环境,保证整个电子商务活动中信息的安全性,使基于Internet的电子交易方式与传统交易方式一样可靠。
1.1.电子商务的定义
电子商务是把现有的计算机软件、硬件设备和网络设施,通过一定的协议连接起来的在电子网络环境下进行各种商品买卖的一种新方式。电子商务改变了传统的面对面交易模式,同时在一定程度上打破了时间和地点的限制。虽然电子商务具有快捷性、方便性、不受时间地点的限制、相对传统交易开销小等诸多优点,但是却存在安全性方面的许多隐患。
1.2.电子商务的安全要素
为了保证电子商务在整个商品交易活动中,可以安全顺利的进行,一般来说,需要电子商务的安全系统必须具备以下几个安全要素:
1)有效性:要求电子商务系统可以对信息,交易实体的有效性进行鉴别
2)机密性:保证信息在存取和传输过程中的安全性
3)数据的完整性:即保护数据的完整性,防止有人没有经过授权就对数
据内容进行修改,同时还要保证数据的一致性
4)可靠性和不可抵赖性:在进行电子商务交易时,交易信息在传输过程
中将为参与交易的个人、企业、国家提供可靠的标识
5)审查能力:过使用电子商务交易系统的日志文件对交易的数据的结果
进行审查、追踪
1.3.电子商务主要安全协议
1)S-HTTP:安全超文本传输协议, 它是一种面向安全信息通信的协议,
它可以和HTTP 结合起来使用。S-HTTP 能与HTTP 信息模型共存并易于与HTTP 应用程序相整合。该协议向www的应用提供可鉴别性、完整性、机密性以及不可否认性等安全措施。
2)iKP:该协议是由IBM公司设计的一种全新的安全电子支付协议,可
以在网上进行安全的交易。该协议最主要的特征是对数据提供密码保护和对解决争端的检查跟踪,可以对客户、商家和银行的网关三方之间进行仲裁。该协议是基于RSA公钥体制的,并能推广到借记卡或电子支票等支付系统中。
3)SSL:安全套接层协议,是Netscape公司率先采用的网络安全协议。
它是传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL广泛支持各种类型网络,同时提供三种基本的安全服务。
对于电子商务应用来说,安全套接层协议可以保证信息的完整性、保密性和真实性。但是,安全套协议不能对应用层的消息进行数字签名,因此不能确定交易的不可否认性,这是安全套协议在电子商务中最大的不足。
4)SET:安全电子交易协议,由Visa与Master card两大信用卡组织联合
IBM、HP等公司1997年开发成功,是为了在Internet进行线上交易时保证信用卡支付的安全而设立的一个开放的规范。Set协议在网上购物环境中提供了商家、顾客和银行三者之间的认证,确保了交易数据的安全性、完整性、可靠性和交易的不可否认性,同时还提供了一定的隐私保护,使其获得IETF标准的认可,也是电子商务发展的方向。
SSL 和SET 是当前在电子商务中应用最为广泛的安全协议,在较长时间内SSL 和SET 将作为电子商务安全保证的主流协议,在下文中会主要介绍这两种常用协议。
2.SSL(S ecure Socket Layer)安全套接层协议
S SL协议向基于TCP/IP 的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。
2.1.SSL协议工作流程
服务器认证阶段:
1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;
3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
用户认证阶段:
经认证的服务器发送一个提问给客户,客户返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。
从SSL 协议所提供的服务及其工作流程可以看出,SSL协议运行的基础是商家对消费者信息保密的承诺,这就有利于商家而不利于消费者。
图 2.1 SSL握手协议
2.2.SSL协议安全性分析
SSL协议可提供如下安全保证:
1)用户和服务器的合法性认证:用户和服务器都有各自的识别号,采用
公钥技术,在握手阶段进行数字认证,以确保用户的合法性
2)数据加密:采用对称密钥加密传输数据
3)数据的完整性:采用哈希函数等形成数字摘要,保证数据的完整性
但是,SSL协议也存在着一些问题,SSL刚开始并不是为了支持电子商务而设计的。电于商务往往是用户、网站、银行三家协作完成,SSL 协议并不能协调各方面的安全传输和信任关系,并且,SSL并不支持完善的防抵赖功能。