① 電子商務安全的措施
適當設置防護措施可以降低或防止來自現實的威脅。在通信安全、計算機安全、物理安全、人事安全、管理安全和媒體安全方面均可採取一定的措施,整個系統的安全取決於系統中最薄弱環節的安全水平,這就需要從系統設計上進行全面的考慮,折中選取。電子商務中的安全措施包括有下述幾類:
(1)保證交易雙方身份的真實性:
常用的處理技術是身份認證,依賴某個可信賴的機構(CA認證中心)發放證書,並以此識別對方。目的是保證身份的精確性,分辨參與者身份的真偽,防止偽裝攻擊。
(2)保證信息的保密性:
保護信息不被泄露或被披露給未經授權的人或組織,常用的處理技術是數據加密和解密,其安全性依賴於使用的演算法和密鑰長度。常見的加密方法有對稱式密鑰加密技術(如DES演算法)和公開密鑰加密技術(如RSA演算法)。(3)保證信息的完整性:
常用數據雜湊等技術來實現。通過散列演算法來保護數據不被未授權者(非法用戶)建立、嵌入、刪除、篡改、重放。典型的散列演算法為美國國家安全局開發的單向散列演算法之一。
(4)保證信息的真實性:
常用的處理手段是數字簽名技術。目的是為了解決通信雙方相互之間可能的欺詐,如發送用戶對他所發送信息的否認、接收用戶對他已收到信息的否認等,而不是對付未知的攻擊者,其基礎是公開密鑰加密技術。目前,可用的數字簽名演算法較多,如RSA數字簽名、ELGamal數字簽名等。
(5)保證信息的不可否認性:
通常要求引入認證中心(CA)進行管理,由CA發放密鑰,傳輸的單證及其簽名的備份發至CA保存,作為可能爭議的仲裁依據。
(6)保證存儲信息的安全性:
規范內部管理,使用訪問控制許可權和日誌,以及敏感信息的加密存儲等。
② 電子商務安全方面的措施有哪些
電子商復務系統的安全重點主要基制於以下兩個方面:
(1)系統安全性:指系統的穩定性和抗攻擊能力,以及在受到攻擊或系統出現軟、硬體故障後的系統恢復能力。
(2)數據安全性:是指保持數據的一致性、完整性,和使用許可權的可控制性等。數據安全性包含以下幾個方面:
①數據的機密性。任何人不能看到其無權看到的信息;其中,比普通加密方式更進一步的是,任何人都不能看到或修改其行政管理概念上的許可權無權獲得的數據(數據加密),這將更符合實際的要求。
②數據的完整性。對發出的數據只有完整到達,才能被完全確認,否則數據不能被認可。
③不可抵賴性。對任何人已經發出的信息,能夠根據信息本身確定數據只能由該人發出,並能確定發出時間等重要信息。
③ 電子商務安全措施有哪些
就整個系統而言,安全性可以分為四個層次
.網路節點的安全
2.通訊的安全性
3.程序的安全性
4.用戶的認證管理
其中2、3、4層是通過操作系統和Web伺服器軟體實現,網路節點的安全性依靠防火牆保證,我們應該首先保證網路節點的安全性。
一、網路節點的安全
1.防火牆
防火牆是在連接Internet和Intranet保證安全最為有效的,防火牆能夠有效地監視網路的通信信息,並記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。
2.防火牆安全策略
應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
3.安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網,則防火牆失效。所以,要保證防火牆發揮作用,必須保證操作系統的安全。只有在安全操作系統的基礎上,才能充分發揮防火牆的功能。在條件許可的情況下,應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1.數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全,一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於:
(1)客戶瀏覽器端與電子商務WEB伺服器端的通訊;
(2)電子商務WEB伺服器與電子商務資料庫伺服器的通訊;
(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。
2.安全鏈路
在客戶端瀏覽器和商務WEB伺服器之間採用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。採用的是瀏覽器預設的4O位加密強度,也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制,SSL首先要求伺服器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(RSA)與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、程序的安全性
即使正確地配置了訪問控制規則,要滿足機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運 行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些。只有通過監視系統並尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1.身份認證
電子商務用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份,IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用ID號和密碼口令的身份確認機制。
2.CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。CA中心一般是公認的可靠組織,它對個人、組織進行審核後,為其發放數字證書,證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。
五、安全管理
為了確保系統的安全性,除了採用上述技術手段外,還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員,按其職責設定其訪問系統的最小許可權。
按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法佔用、冒用合法用戶帳號和密碼。
建立安全維護日誌,記錄與安全性相關的信息及事件,有情況出現時便於跟蹤查詢。定期檢查日誌,以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份,且對資料庫中存放的數據,資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。
④ 保障電子商務安全的手段有哪些
1. 發展電子支付安全技術
2. 從法規和政策上予以扶持
3. 加強行業監管
4. 消費要提高安全意識
⑤ 有哪些技術手段可以保證電子商務的安全
1.不用最安全;2.不得已要用請不上不該上的網站;3;趕緊裝殺毒軟體;4.使用復雜的密碼。
⑥ 目前,解決電子商務安全問題的手段有哪些啊
你可以報一個網路營銷實戰班去學習
⑦ 電子商務系統主要安全手段的基本內容
電子商務系統安全的基本問題(主要包括:電子商務系統安全的基本概念、安全控內制要求、危害系容統安全的主要因素等)。
參考答案:
電子商務安全手段主要有:
(1)電子商務系統防火牆
(2)電子商務信息加密
(3)電子商務數字簽名
(4)電子商務身份認證
(5)電子商務數字時間戳
(6)電子商務數字證書。
具體你可以找下課本上的電子商務系統安全手段部分。
如果還有什麼問題,可以加入電商派直接詢問。
⑧ 提高電子商務安全包括技術手段與管理手段,你認為是技術手段重要還是管理手段重要
隨著Internet的發展,電子商務已經逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人,而其安全問題也變得越來越突出,如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為商家和用戶都十分關心的話題。
電子商務的一個重要技術特徵是利用IT技術來傳輸和處理商業信息。因此,電子商務安全從整體上可分為兩大部分:計算機網路安全和商務交易安全。
計算機網路安全的內容包括:
計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題,實施網路安全增強方案,以保證計算機網路自身的安全性為目標。
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。
計算機網路安全與商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可。沒有計算機網路安全作為基礎,商務交易安全就猶如空中樓閣,無從談起。沒有商務交易安全保障,即使計算機網路本身再安全,仍然無法達到電子商務所特有的安全要求。
計算機網路安全
1.計算機網路的潛在安全隱患
未進行操作系統相關安全配置
不論採用什麼操作系統,在預設安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作系統預設安裝後,再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」 是進行網路攻擊的首選目標。
未進行CGI程序代碼審計
如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
拒絕服務(DoS,Denial of Service)攻擊
隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,范圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。今年2月美國「雅虎」、「亞馬遜」受攻擊事件就證明了這一點。
安全產品使用不當
雖然不少網站採用了一些網路安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。
缺少嚴格的網路安全管理制度
網路安全最重要的還是要思想上高度重視,網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。
2.計算機網路安全體系
一個全方位的計算機網路安全體系結構包含網路的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火牆技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,並增加了審核信息的數量,利用這些審核信息可以跟蹤入侵者。
在實施網路安全防範措施時:
首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;
其次要用各種系統漏洞檢測軟體定期對網路系統進行掃描分析,找出可能存在的安全隱患,並及時加以修補;
從路由器到用戶各級建立完善的訪問控制措施,安裝防火牆,加強授權管理和認證;
利用RAID5等數據存儲技術加強數據備份和恢復措施;
對敏感的設備和數據要建立必要的物理或邏輯隔離措施;
對在公共網路上傳輸的敏感信息要進行強度的數據加密;
安裝防病毒軟體,加強內部網的整體防病毒措施;
建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
網路安全技術是伴隨著網路的誕生而出現的,但直到80年代末才引起關注,90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起了各國計算機安全界的高度重視,計算機網路安全技術也因此出現了日新月異的變化。安全核心系統、VPN安全隧道、身份認證、網路底層數據加密和網路入侵主動監測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網路的整體安全性。安全核心系統在實現一個完整或較完整的安全體系的同時也能與傳統網路協議保持一致。它以密碼核心系統為基礎,支持不同類型的安全硬體產品,屏蔽安全硬體以變化對上層應用的影響,實現多種網路安全協議,並在此之上提供各種安全的計算機網路應用。
互聯網已經日漸融入到人類社會的各個方面中,網路防護與網路攻擊之間的斗爭也將更加激烈。這就對網路安全技術提出了更高的要求。未來的網路安全技術將會涉及到計算機網路的各個層次中,但圍繞電子商務安全的防護技術將在未來幾年中成為重點,如身份認證、授權檢查、數據安全、通信安全等將對電子商務安全產生決定性影響。
商務交易安全
當許多傳統的商務方式應用在Internet上時,便會帶來許多源於安全方面的問題,如傳統的貸款和借款卡支付/保證方案及數據保護方法、電子數據交換系統、對日常信息安全的管理等。電子商務的大規模使用雖然只有幾年時間,但不少公司都已經推出了相應的軟、硬體產品。由於電子商務的形式多種多樣,涉及的安全問題各不相同,但在Internet上的電子商務交易過程中,最核心和最關鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患:
竊取信息
由於未採用加密措施,數據信息在網路上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術手段和方法,將網路上傳送的信息數據在中途修改,然後再發向目的地。這種方法並不新鮮,在路由器或網關上都可以做此類工作。
假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
惡意破壞
由於攻擊者可以接入網路,則可能對網路中的信息進行修改,掌握網上的機要信息,甚至可以潛入網路內部,其後果是非常嚴重的。
因此,電子商務的安全交易主要保證以下四個方面:
信息保密性
交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉,因此在信息傳播中一般均有加密的要求。
交易者身份的確定性
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。
不可否認性
由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環節都必須是不可否認的。
不可修改性
交易的文件是不可被修改的,否則也必然會損害一方的商業利益。因此電子交易文件也要能做到不可修改,以保障商務交易的嚴肅和公正。
電子商務交易中的安全措施
在早期的電子交易中,曾採用過一些簡易的安全措施,包括:
部分告知(Partial Order):即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去,然後再用電話告之,以防泄密。
另行確認(Order Confirmation):即當在網上傳輸交易信息後,再用電子郵件對交易做確認,才認為有效。
此外還有其它一些方法,這些方法均有一定的局限性,且操作麻煩,不能實現真正的安全可靠性。
近年來,針對電子交易安全的要求,IT業界與金融行業一起,推出不少有效的安全交易標准和技術。
主要的協議標准有:
安全超文本傳輸協議(S-HTTP):依靠密鑰對的加密,保障Web站點間的交易信息傳輸的安全性。
安全套接層協議(SSL):由Netscape公司提出的安全交易協議,提供加密、認證服務和報文的完整性。SSL被用於Netscape Communicator和Microsoft IE瀏覽器,以完成需要的安全交易操作。
安全交易技術協議(STT,Secure Transaction Technology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft在Internet Explorer中採用這一技術。
安全電子交易協議(SET,Secure Electronic Transaction)
1996年6月,由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標准SET發布公告,並於1997年5月底發布了SET Specification Version 1.0,它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。
SET 2.0預計今年發布,它增加了一些附加的交易要求。這個版本是向後兼容的,因此符合SET 1.0的軟體並不必要跟著升級,除非它需要新的交易要求。SET規范明確的主要目標是保障付款安全,確定應用之互通性,並使全球市場接受。
所有這些安全交易標准中,SET標准以推廣利用信用卡支付網上交易,而廣受各界矚目,它將成為網上交易安全通信協議的工業標准,有望進一步推動Internet電子商務市場。
主要的安全技術有:
虛擬專用網(VPN)
這是用於Internet交易的一種專用網路,它可以在兩個系統之間建立安全的信道(或隧道),用於電子數據交換(EDI)。它與信用卡交易和客戶發送訂單交易不同,因為在VPN中,雙方的數據通信量要大得多,而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術,只要通信的雙方默認即可,沒有必要為所有的VPN進行統一的加密和認證。現有的或正在開發的數據隧道系統可以進一步增加VPN的安全性,因而能夠保證數據的保密性和可用性。
數字認證
數字認證可用電子方式證明信息發送者和接收者的身份、文件的完整性(如一個發票未被修改過),甚至數據媒體的有效性(如錄音、照片等)。隨著商家在電子商務中越來越多地使用加密技術,人們都希望有一個可信的第三方,以便對有關數據進行數字認證。
目前,數字認證一般都通過單向Hash函數來實現,它可以驗證交易雙方數據的完整性,Java JDK1.1也能夠支持幾種單向Hash演算法。另外,S/MIME協議已經有了很大的進展,可以被集成到產品中,以便用戶能夠對通過E
⑨ 哪些技術手段可以保證電子商務的安全
最起碼的是防火牆,然後是網站後台,資料庫的程序的完整性,交易雙方之間的機密信息傳送的密鑰問題。
知道多少說多少,希望對你有幫助,謝謝!
⑩ 提高電子商務安全性的手段是什麼
一、什麼是電子商務
電子商務一詞源於英文Electronic Commerce,簡寫為EC,指的是利用簡單、快捷、低成本的電子通信方式,買賣雙方不謀面地進行各種商貿活動。電子商務可以利用的電子通信方式有多種,目前主要是以EDI和Internet來完成的。隨著Internet網路的日益發展,電子商務真正的發展將是建立在Internet技術上的,所以也有人把電子商務簡稱為IC(Internet Commerce)。
從貿易活動的角度也可以將電子商務分為兩個層次,低層次的電子商務包括電子商情、電子貿易、電子合同等;高級的電子商務應能利用Internet網路進行全部的貿易活動,在網上完整地實現信息流、商流、資金流和部分物流,即從尋找客戶開始,一直到洽談、訂貨、在線付(收)款、開具電子發票以至電子報關、電子納稅等都通過Internet來完成。要實現完整的電子商務還會涉及到很多方面,除了買家、賣家外,還要有銀行或金融機構、政府機構、認證機構、配送中心等機構的加入才行。由於參與電子商務中的各方在物理上是互不謀面的,因此整個電子商務過程中安全機制在電子商務中發揮著重要的作用。
二、實現電子商務必備的安全因素
從總體上來看,電子商務系統是三層框架結構,底層是網路平台,也就是信息傳送的載體和用戶接入的手段,它包括各種各樣的物理傳送平台和傳送方式;中間層是電子商務基礎平台,包括CA(Certificate Authority)認證體系。支付網關(Payment Gateway)和客戶服務中心等三個部分,其核心是CA認證;第三層就是各種各樣的電子商務應用系統。其中,電子商務基礎平台是各種電子商務應用系統的基礎。
電子商務系統對信息安全的要求主要包括以下六個方面。
①信息的保密性:電子商務系統應該對主要信息進行加密處理,防止對信息的非法操作(包括對信息的非法存取以及非法竊取傳輸過程中的信息等),以避免非法用戶獲取和解讀原始數據。
②數據的可靠性:電子商務以電子形式取代紙張,所以應當採取一定的措施來保證電子貿易信息的有效。需要對網路故障、操作錯誤、應用程序錯誤、硬體故障、系統軟體錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。
③數據的完整性:在數據處理過程中,數據輸入時的意外差錯或欺詐行為可能導致貿易各方信息的差異。此外,數據傳輸過程中的信息丟失、信息重復或信息傳送次序差異也會導致貿易各方信息的不同。因此,要預防對信息的隨意改動,還要防止數據傳輸過程中信息的丟失和重復並保證信息傳送次序的統一。所以,電子商務系統應該提供對數據進行完整性驗證的手段,確保能夠發現數據在傳輸過程中是否被改變了。
④用戶身份的鑒別:電子商務系統應該提供通信雙方進行身份鑒別的機制。一般可以通過數字簽名和數字證書相結合的方式實現用戶身份的鑒別。數字證書應該由可靠的證書認證機構簽發,簽發證書時應對申請用戶提供的身份信息進行真實性驗證。
⑤數據原發者的不可抵賴性:電子商務系統應該具備數據原發者的不可抵賴機制,確定要進行交易的貿易方正是所期望的貿易方。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。
⑥合法用戶的安全性:合法用戶的安全性是指合法用戶的權利不受危害或侵犯,電子商務系統和電子商務的安全管理體系應該實現系統對用戶身份的有效確認、對私有密鑰和口令的有效保護、對非法攻擊的有效防範等,以保障合法用戶的安全性。
三、安全電子交易的協議
目前的安全電子交易協議主要有兩種,即安全套接層(SSL)協議和安全電子交易(SET)協議。
1.SSL協議
SSL協議由Netscape Communication公司設計開發,主要用於提高應用程序之間數據的安全性。該安全協議主要提供對用戶和伺服器的認證;對傳送的數據進行加密和隱藏;確保數據在傳送中不被改變。它能使客戶一伺服器應用之間的通信不被攻擊者竊聽。
(1) SSL協議的特性
SSL提供了兩台機器間的安全連接。支付系統通過在SSL連接上傳輸信用卡卡號的方式來構建,在線銀行和其他金融系統也常常構建在SSL之上。大部分Web瀏覽器和Web伺服器都內置了SSL協議,比較容易應用。SSL協議建立在可靠的傳輸層協議(如TCP)之上,與應用層協議無關。它在應用層協議通信之前就已經完成加密演算法、通信密鑰的協商以及伺服器認證工作。高層的應用層協議(如HTTP,FTP,TELNET等)可以透明地建立於SSL協議之上。應用層協議所傳送的數據都會被加密,從而保證通信的私密性。SSL協議提供的安全信道有以下三種特性:
私密性:在握手協議定義了會話密鑰後,所有的消息都被加密。
確認性:盡管會話的客戶端認證是可選的,但是伺服器端始終是被認證的。
可靠性:傳送的消息包括消息完整性檢查。
(2)SSL協議規范
SSL協議由SSL記錄協議和SSL握手協議兩部分組成。
①SSL記錄協議
在SSL協議中,所有的傳輸數據都被封裝在記錄中。記錄是由記錄頭和記錄數據組成的。所有的SSL通信包括握手消息、安全空白記錄和應用數據都使用SSL記錄層。
②SSL握手協議
SSL握手協議包含兩個階段,第一個階段用於建立私密性通信信道,第二個階段用於客戶認證。
第一階段是通信的初始化階段,首先SSL要求伺服器向瀏覽器出示證書。證書包含有一個公鑰,這個公鑰是由一家可信證書授權機構簽發的。通過內置的一些基礎公共密鑰,客戶的瀏覽器可以判斷伺服器證書正確與否。然後,瀏覽器中的SSL軟體發給伺服器一個隨機產生的傳輸密鑰,此密鑰由已驗證過的公鑰加密。由於傳輸密鑰只能由對應的私有密鑰來解密,這證實了該伺服器屬於一個認證過的公司。隨機產生的傳輸密鑰是核心機密,只有客戶的瀏覽器和此公司的Web伺服器知道這個數字序列。這個兩方共享密鑰的密文可以通過瀏覽器安全地抵達Web伺服器,Internet上的其他人無法解開它。
第二階段的主要任務是對客戶進行認證,此時伺服器已經被認證了。伺服器方向客戶發出認證請求消息。客戶收到伺服器方的認證請求消息後,發出自己的證書,並且監聽對方回送的認證結果。而當伺服器收到客戶的證書後,給客戶回送認證成功消息,否則返回錯誤消息。到此為止,握手協議全部結束。
③SSL交易過程
在接下來的通信中,SSL採用該密鑰來保證數據的保密性和完整性。這就是SSL提供的安全連接。這時客戶需要確認訂購並輸入信用卡號碼。SSL保證信用卡號碼以及其他信息只會被此公司獲取。客戶還可以列印屏幕上顯示的已經被授權的訂單,這樣就可以得到這次交易的書面證據。大多數在線商店在得到客戶的信用卡號碼後出示收到的憑據,這是客戶已付款的有效證據。至此,一個完整的SSL交易過程結束。
但是,SSL提供的保密連接有根大的漏洞。SSL除了傳輸過程以外不能提供任何安全保證,SSL並不能使客戶確信此公司接收信用卡支付是得到授權的。在Internet上,經常會出現一些陌生的店鋪,正因如此,網上商店發生欺詐行為的可能性要比街頭店鋪大得多。進一步說,即使是一個誠實的網上商店,在收到客戶的信用卡號碼後如果沒有採用好的方法保證其安全性,那麼信用卡號也很容易被黑客通過商家伺服器竊取。
2.SET協議
SET是由Visa和MasterCard兩大信用卡組織聯合開發的電子商務安全協議。它是一種基於消息流的協議,用來保證公共網路上銀行卡支付交易的安全性,因而成為Internet上進行在線交易的電子付款系統規范。目前SET協議已在國際上被大量實驗性地使用並經受了考驗,成了事實上的工業標准。
SET是一個復雜的協議,它詳細而准確地反映了卡交易各方之間的各種關系。事實上,SET不只是一個技術方面的協議,它還說明了每一方所持有的數字證書的合法含義,希望得到數字證書以及響應信息的各方應有的動作,與一筆交易緊密相關的責任分擔。SET是一個基於可信的第三方認證中心的方案,它要實現的主要目標有下列三個方面。
①保障付款安全:確保付款資料的隱密性及完整性,提供持卡人、特約商店、收單銀行的認證,並定義安全服務所需要的演算法及相關協定。
②確定應用的互通性:提供一個開放式的標准。明確定義細節,以確保不同廠商開發的應用程序可共同運作,促成軟體互通;在現存各種標准下構建協定,允許在任何軟硬體平台上執行,使標准達到相容性與接受性目標。
③達到全球市場的接受性:在容易使用與對特約商店、持卡人影響最小的前提下,達到全球普遍性。允許在目前使用者的應用軟體下,嵌入付款協定的執行,對收單銀行與特約商店、持卡人與發卡銀行間的關系,以及信用卡組織的基礎構架改變最少。
SET主要用於消費者與商店、商店與收單銀行(付款銀行)之間。其運作方式:簡述如下:
SET的簡易流程
①在消費者與特約商店之間,由持卡人在消費前先確認商店的合法性,由商店出示它的證書。
②持卡人確認後即可下訂單,其訂單經消費者以數字簽名方式確認,而消費者所提供的信用卡資料則另由收單銀行以公鑰予以加密。這里,特約商店會收到兩個經過加密的資料,其中一個是訂單資料,另一個是關於支付的資料;按規定特約商店可以解密前者,但無法解密後者,以避免特約商店搜集或濫用持卡人消費資料。
③特約商店將客戶的資料連同自己的SET證書發給收單銀行,向銀行請求交易授權及授權回復。收單銀行同時檢驗兩個證書以確定是否為合法的持卡人及特約商店。所以,收單銀行由支付網關來解密,核對資料無誤後,再連接到傳統的網路(比如Visa或MasterCard)進行交易授權及清算。
④授權確認後由特約商店向消費者再行確認訂單,交易完成。
⑤特約商店基於該授權向收單銀行提出請款的要求。
⑥支付網關通知持卡人開戶行向商家開戶行付款。
可以看到,在這個過程中,CA扮演了系統的很重要的角色。SET標准著重的是其交易安全及隱密性。其中,數字證書為其核心,它提供了簡單的方法來確保進行電子交易的人們能夠互相信任。信用卡組織提供數字證書給發卡銀行,然後發卡銀行再提供證書給持卡人;同時,信用卡組織也提供數字證書給收單銀行,然後收單銀行再將證書發給特約商店。在進行交易的時候,持卡人和特約商店符合SET的規格軟體會在資料交換前分別確認雙方的身份,也就是檢查由授權的第三者所發給的證書。在SET協定中,有持卡人證書、特約商店證書、支付網關證書、收單銀行證書和發卡銀行證書等五種證書。
持卡人的證書必須由發卡銀行來頒發。在首次上網購物之前,持卡人必須先通過一個客戶端程序將包括姓名、卡號、卡片有效期、郵寄地址等可以證明持卡人身份的基本資料發給發卡銀行。這些資料使用銀行的公鑰加密,可安全地送至銀行。發卡銀行確認此帳戶正確無誤後,便發給持卡人一張具有電子安全數字簽章的證書。持卡人只要將證書儲存在電腦上,即可進行電子購物。同樣,商店也必須取得收單銀行的電子證書才可以接收SET方式的支付。商店要將它的基本資料發送給收單銀行,收單銀行在確認無誤後發出一張數字證書,允許它從事電子交易。
3.SSL和SET協議的比較
事實上,SET和SSL除了都採用RSA公鑰演算法以外,二者在其他技術方面沒有任何相似之處。而RSA在二者中也被用來實現不同的安全目標。SET是一個多方的報文協議,它定義了銀行、商家、持卡人之間必需的報文規范,與此同時SSL只是簡單地在兩方之間建立了安全連接。SSL是面向連接的,而SET允許各方之間的報文交換不是實時的。SET報文能夠在銀行內部網或者其他網路上傳輸,而SSL之上的卡支付系統只能與Web瀏覽器捆綁在一起。SET與SSL相比具有如下優點:
①SET為商家提供了保護自己的手段,使商家免受欺詐的困擾,使商家的運營成本降低。
②對消費者而言,SET保證了商家的合法性,並且用戶的信用卡號不會被竊取,SET替消費者保守了更多的秘密使其在線購物更加輕松。
③銀行和發卡機構以及各種信用卡組織來說,因為SET可以幫助它們將業務擴展到Internet這個廣闊的空間,從而使得信用卡網上支付具有更低的欺騙概率,這使得它比其他支付方式具有更大的競爭力。
④SET對於參與交易的各方定義了互操作介面,一個系統可以由不同廠商的產品構築。
提供這些功能的前提是:SET要求在銀行網路、商家伺服器、顧客的PC上安裝相應的軟體。這些阻止了SET的廣泛發展。另外,SET還要求必須向各方發放證書,這也成為阻礙之一。所有這些使得SET要比SSL昂貴得多。SET的另外一個優點在於:它可以用在系統的一部分。例如,一些商家正在考慮在與銀行連接中使用SET,而與顧客連接時仍然使用SSL。這種方案既迴避了在顧客機器上安裝錢夾軟體;同時又獲得了SET提供的很多優點。在SET中,交易憑證中有客戶的簽名,銀行就會有客戶曾經購物的證據。提供這種能力的特性在密碼學中稱之為認可。它所提供的可靠性的前提是客戶必須保證私人簽字密鑰的安全。
綜上所述,在電子商務過程中,採用何種安全電子交易的協議是非常重要的,既要考慮安全性問題也要考慮實現過程的復雜程度和建設網站的成本。因此,發展電子商務需要根據實際情況,在保證安全的前提下節省成本,以促進我國的網路貿易的快速發展。