摘 要:本文針對電子商務的資訊保安探討了可供遵循的服務流程及整合技術.提出的服務流程及整合技術模式,可作為未來企業構建安全的電子商務系統或其他的Web-based應用系統的參考模式.
關鍵詞:電子商務資訊保安論文
1、電子商務的安全威脅
電子商務活動是在一個開放、虛擬的場所進行,容易受到駭客的各種攻擊,也會由於系統內部人員的不規範使用和惡意破壞,給電子商務帶來了極大的威脅。電子商務在這樣的環境中,時時處處受到安全的威脅,其安全威脅可分為兩大方面:
(1)計算機網路的潛在安全隱患;
(2)商務安全中存在的安全威脅。
2、電子商務主要的安全要素
電子商務面臨的威脅導致了對電子商務安全的需求。總的來說,電子商務有有效性、機密性(保密性)、完整性(真實性)、認證性、不可抵賴性(不可否認性)等幾方面的安全性需求,為了滿足這些需求,提高電子商務的安全性,網路和管理技術人員研究和開發了多種網路安全技術和協議,這些技術和協議各自有一定的使用範圍,可以提供電子商務交易活動不同程度的安全保障。
3、SSL協議及其安全性分析
3.1 SSL安全傳輸協議
SSL安全套接字層協議應用於Internet上進行保密通訊的一箇中間層安全協議,是目前使用最廣泛的電子商務協議。它位於TCP/IP層和應用層之間,對應用層透明,為應用層程式提供一條安全的網路傳輸通道。
3.2 SSL記錄協議
SSL記錄協議用來對應用層提供的資訊進行分組和組合、壓縮和解壓縮、資料認證和加密。利用SSL協議傳輸的資料都被封裝在SSL記錄協議定義的SSL記錄中。記錄由記錄頭和長度不為0的記錄資料組成。
3.3 SSL安全性分析
SSL協議常見的安全問題主要包括ChangeCipherSpec訊息丟棄、對握手協議的探測攻擊、金鑰交換演算法重放攻擊、版本重放攻擊、通訊業務流分析攻擊和證書攻擊等
4、SET協議及其安全性分析
4.1 SET安全電子交易協議
SET是基於Internet的卡基支付,是授權業務資訊傳輸的安全標準,採用RSA公開金鑰體系對通訊雙方進行認證,利用DES、RC4或任何標準對稱加密方法進行資訊的加密傳輸,並用Hash演算法來鑑別訊息真偽、有無篡改。
SET協議規定了交易各方進行安全交易的具體流程,協議本身比較複雜,設計比較嚴格,安全性高,它能保證資訊傳輸的機密性、真實性、完整性和不可否認性。這一標準被公認為全球網際網路的標準,其交易形態將成為未來電子商務的典範。
4.2 SET協議的系統結構
SET改變了支付系統中各個參與者之間互動的方式。在面對面的零售交易或郵購交易中,電子處理過程始於商家或付款銀行;而在SET交易中,電子支付始於持卡人。
SET協議是一個龐大的協議系統,總共由17個子協議組成。其中主要的子協議包括:持卡人註冊、商家註冊、購買請求、支付認證、支付截獲等,SET協議還有很多可選的輔助子協議包括:證書狀態查詢、支付查詢、授權撤銷、付款撤銷、信用卡撤銷和出錯訊息等
4.3 SET協議安全性分析
資訊機密性。SET支付環境中資訊的機密性是通過使用混合加密演算法加密支付資訊而獲得的。
資料完整性。SET使用數字簽名來保證資料的完整性。
身份驗證。SET使用基於X.509 v3.0的數字證書,通過數字證書和RSA簽名來達到對持卡人帳戶和商家、支付閘道器以及銀行的身份的認證。
不可否認性。SET協議中數字證書的釋出過程也包含了商家和客戶在交易中存在的資訊。
5、SSL協議與SET協議的`比較分析
支付系統是電子商務的關鍵技術,SET和SSL是兩種重要的通過Internet進行安全支付的協議,二者在技術上並沒有多少相似之處。SET是一個多方的報文協議,它定義了銀行、商家、持卡人之間的必須的報文規範,主要是為了解決使用者、商家、銀行之間通過信用卡支付的交易而設計的,而SSL只是簡單地在兩方之間建立一條安全連線。SSL是面向連線的,而SET允許各方之間的報文交換不是實時的。
結合目前我國的具體情況,可得出如下結論:(1)近期,SET與SSL共存,優勢互補。如美國較多采用的是“面向商家的SET協議”,即在銀行與商家之間採用SSL協議,銀行內部採用SET協議,但這對銀行的要求就更高了。(2)遠期,開發一種能融合SET與SSL優點的安全協議和認證體系。即在深入剖析SET、SSL協議的基礎上,建立一個以PKI與CPK(CPK是我國學者提出的一種新的組合公鑰體制:以少量的種子,派生幾乎無限的公鑰)為基礎框架(以CPK體制建立直接級信任(一級信任)和二級信任,解決內部網認證;以PKI建立二級和二級以上信任,解決與外部網的認證。),能相容B2B、B2C的安全協議和認證體系,以適應信用卡、電子現金、電子支票等各種電子交易模式。其發展前景良好,將來必會取代SSL、SET協議成為電子商務的主流安全協議。
安全問題是利害攸關的,如果在電子商務客戶機和伺服器上沒有充分的安全保護措施,電子商務就不能持久。有效的安全策略和充分的安全檢測與保護措施是保護電子溝通和電子商務交易的唯一方法。