電子商務(wù)安全學(xué)術(shù)論文

　　近些年來(lái)，我國的電子商務(wù)發(fā)展速度較快，但是其安全問(wèn)題仍然是一大隱患，也是電子商務(wù)最擔心的問(wèn)題,為大家分享了電子商務(wù)安全的學(xué)術(shù)論文，歡迎借鑒！

　　【摘要】電子商務(wù)越來(lái)越深入我們的商務(wù)活動(dòng)，電子支付系統是電子商務(wù)中最重要的環(huán)節之一，主要用來(lái)解決電子商務(wù)中的各交易實(shí)體(用戶(hù)、商家、銀行等)間資金流和信息流在Internet上即時(shí)傳遞及其安全性問(wèn)題，電子商務(wù)安全問(wèn)題的核心是電子交易的安全性，為了保障電子商務(wù)交易安全，人們開(kāi)發(fā)了各種用于加強電子商務(wù)安全的協(xié)議。當前應用比較廣泛的電子商務(wù)安全協(xié)議主要有安全套接層協(xié)議SSL和安全電子交易協(xié)議SET。文中對這兩種主流協(xié)議進(jìn)行了分析和比較。

　　論文關(guān)鍵詞：電子商務(wù)安全協(xié)議,電子交易,SSL協(xié)議,SET協(xié)議

　　隨著(zhù)互聯(lián)網(wǎng)日益普及，基于Internet的電子商務(wù)已經(jīng)深入到人們生活的方方面面。安全是電子商務(wù)的基石，如何保證電子商務(wù)交易活動(dòng)中信息的機密性、真實(shí)性、完整性、不可否認性和存取控制等是電子商務(wù)發(fā)展中迫切需要解決的問(wèn)題。為了保障電子商務(wù)交易安全，人們開(kāi)發(fā)了各種用于加強電子商務(wù)安全的協(xié)議。這些協(xié)議主要有：安全套接層協(xié)議SSL、安全電子交易協(xié)議SET、超文本傳輸協(xié)議SHTTP、3-D secure協(xié)議和安全電子郵件協(xié)議（PEM、S/MIME）等。這其中應用最為廣泛的協(xié)議主要有SSL、SET。

　　安全電子交易協(xié)議(SET)和安全套接層協(xié)議(SSL)是兩種重要的'通信協(xié)議，每一種都提供了通過(guò)Internet進(jìn)行支付的手段。事實(shí)上，SET和SSL除了都采用RSA公鑰算法以外，二者在其他技術(shù)方面沒(méi)有任何相似之處，而RSA在二者中也被用來(lái)實(shí)現不同的安全目標。

　　電子商務(wù)安全協(xié)議

　　1.安全套接層協(xié)議（SSL）

　　安全套接層協(xié)議(Secure Socket Layer，簡(jiǎn)稱(chēng)SSL)是美國網(wǎng)景公司（Netscape）推出的一種安全通信協(xié)議，SSL提供了兩臺計算機之間的安全連接，對整個(gè)會(huì )話(huà)進(jìn)行了加密，從而保證了安全傳輸，其主要設計目標是在Internet環(huán)境下提供端到端的安全連接。它能使客戶(hù)/服務(wù)器應用之間的通信不被攻擊者。SSL協(xié)議建立在可靠的TCP傳輸控制協(xié)議之上。高層的應用層協(xié)議能透明的建立于SSL協(xié)議之上。SSL協(xié)議在應用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認證工作。在此之后應用層協(xié)議所傳送的數據都會(huì )被加密，從而保證通信的私密性。

　　2.安全電子交易協(xié)議(SET)

　　安全電子交易協(xié)議(SecureElectronicTransaction，簡(jiǎn)稱(chēng)SET)是美國Visa和MasterCard兩大信用卡組織聯(lián)合于1997年5月31日推出的電子交易行業(yè)規范，它提供了消費者、商家和銀行之間的認證，確保交易的保密性、可靠性和不可否認性，保證在開(kāi)放網(wǎng)絡(luò )環(huán)境下使用信用卡進(jìn)行在線(xiàn)購物的安全，其實(shí)質(zhì)是一種應用在Internet上、以信用卡為基礎的電子付款系統規范，目的是為了保證網(wǎng)絡(luò )交易的安全。SET本身并不是一個(gè)支付系統，而是一個(gè)安全協(xié)議集，SET規范保證了用戶(hù)可以安全地在諸如Internet這樣的開(kāi)放網(wǎng)絡(luò )上應用現有的信用卡支付設施來(lái)完成交易。SET較好地解決了信用卡在電子商務(wù)交易中的安全問(wèn)題。SET已獲得IETF(The Internet Engineer-ing Task Force，簡(jiǎn)稱(chēng)IETF)標準的認可。

　　SSL與SET協(xié)議比較分析

　　SSL和SET是當前在電子商務(wù)中應用最為廣泛的安全協(xié)議，兩者的差別主要體現在以下幾個(gè)方面。

　　1.工作層次

　　SSL屬于傳輸層的安全技術(shù)規范，不具備電子商務(wù)的商務(wù)性、協(xié)調性和集成性功能；而SET協(xié)議位于應用層，它規范了整個(gè)商務(wù)活動(dòng)的流程，從持卡人到商家，到支付網(wǎng)關(guān)，到認證中心以及信用卡結算中心之間的信息流走向和必須采用的加密、認證都制定了嚴密的標準，從而最大限度地保證了商務(wù)性、服務(wù)性和集成性。

　　2.認證機制

　　早期的SSL協(xié)議并沒(méi)有提供身份認證機制，雖然在SSL3.0中可以通過(guò)數字簽名和數字證書(shū)實(shí)現瀏覽器和WEB服務(wù)器之間的身份認證，但仍不能實(shí)現多方認證，而且SSL中只有商家服務(wù)器的認證是必須的，客戶(hù)端認證則是可選的。SET協(xié)議使用數字證書(shū)來(lái)確認交易涉及的各方（包括商家、持卡人、受卡行和支付網(wǎng)關(guān)）的身份，為在線(xiàn)交易提供一個(gè)完整的可信賴(lài)的環(huán)境。SET協(xié)議要求所有參與交易活動(dòng)的各方都必須使用數字證書(shū)，較好的解決了客戶(hù)與銀行、客戶(hù)與商家、商家與銀行之間的多方認證問(wèn)題。

　　3.加密機制

　　SSL是基于傳輸層加密，它為高層提供了特定接口，使得應用方無(wú)須了解傳輸層情況；然而由于傳輸層屬于較高層，常用軟件實(shí)現，這在很大程度上削弱了加密處理能力，同時(shí)，地址信息由低層控制，這種加密無(wú)法免于被攻擊者流量分析。SET的加圖2 SET協(xié)議的工作原理密過(guò)程則不同于SSL，SET中廣泛使用了數字信封等技術(shù)，并采用嚴密的系統約束來(lái)保證數據傳輸的安全性。

　　4.完整方面

　　SET協(xié)議將發(fā)送的所有報文加密后，將為之產(chǎn)生一個(gè)唯一的消息摘要，一旦有人企圖篡改報文中包含的數據，該摘要就會(huì )改變，從而被檢測到，這就保證了信息的完整性。SSL協(xié)議是使用秘密共享和哈希函數進(jìn)行MAC計算來(lái)提供信息的完整性服務(wù)的，它可以確保SSL對話(huà)的通信內容在傳遞途中毫無(wú)改變地送達目的地。

　　5.安全程度

　　在網(wǎng)上交易，安全是關(guān)鍵問(wèn)題。從網(wǎng)絡(luò )信息傳輸安全角度看，只有確保信息在網(wǎng)上傳輸時(shí)的機密性、可鑒別性及信息完整性才真正安全。SET協(xié)議是專(zhuān)為電子商務(wù)系統設計的，它位于應用層，采用公鑰機制、信息摘要和認證體系，其中認證中心（CA）就是該體系的重要執行者，認證體系十分完善，能實(shí)現多方認證。而SSL中也采用了采用公鑰機制、信息摘要和MAC檢測，可以提供信息保密性、完整性和一定程序的身份鑒別功能，但SSL不能提供完備的防抵賴(lài)功能。特別是SSL協(xié)議不能實(shí)現多方認證，從網(wǎng)上安全結算這一角度來(lái)看，顯然SET比SSL針對性更強，更受客戶(hù)青睞。

　　6.運行效率

　　SET協(xié)議非常復雜、龐大、運行速度慢。一個(gè)典型的SET交易過(guò)程需驗證電子證書(shū)9次、驗證數字簽名6次、傳遞證書(shū)7次、進(jìn)行5次簽名、4次對稱(chēng)加密和4次非對稱(chēng)加密，整個(gè)交易過(guò)程非常耗時(shí)；而SSL協(xié)議則簡(jiǎn)單很多，運行效率也比SET協(xié)議高。

　　7.部署成本

　　SSL協(xié)議已被大部分的瀏覽器和WEB服務(wù)器內置，無(wú)須安裝專(zhuān)門(mén)軟件；而SET協(xié)議中客戶(hù)端要安裝專(zhuān)門(mén)的電子錢(qián)包軟件，在商家服務(wù)器和銀行網(wǎng)絡(luò )上也需安裝相應的軟件，部署成本高。

　　結束語(yǔ)

　　相對于SSL協(xié)議而言，SET協(xié)議更為安全，更適合于消費者、商家和銀行三方進(jìn)行網(wǎng)上交易的國際安全標準。SET協(xié)議是專(zhuān)為電子商務(wù)系統設計的，它位于應用層，其認證體系十分完善，能實(shí)現多方認證。在SET的實(shí)現中，消費者賬戶(hù)信息對商家來(lái)說(shuō)是保密的。網(wǎng)上銀行采用SET，確保交易各方身份的合法性和交易的不可否認性，使商家只能得到消費者的訂購信息而銀行只能獲得有關(guān)支付信息，確保了交易數據的安全、完整和可靠，從而為人們提供了一個(gè)快捷、方便、安全的網(wǎng)上購物環(huán)境。因而SET是未來(lái)電子商務(wù)安全技術(shù)的發(fā)展方向。

　　參考文獻

　　[1]何長(cháng)領(lǐng).電子商務(wù)交易[M].北京:人民郵電出版社,2001.

　　[2]梁晉,等.電子商務(wù)核心技術(shù)-安全電子交易協(xié)議的理論與設計[M].西安:西安電子科技大學(xué)出版社,2000.

　　[3]李琪.電子商務(wù)安全.重慶大學(xué)出版社，2004.

　　[4]李洪心.電子商務(wù)安全.東北財經(jīng)大學(xué)出版社,2008,9.

　　[5]張愛(ài)菊.電子商務(wù)安全技術(shù).清華大學(xué)出版社,2006,12.

　　[6]楊堅爭.電子商務(wù)安全與支付技術(shù).中國人民大學(xué)出版社,2006,9.