Ⅰ 求一篇 电子商务网上交易安全问题探讨 毕业论文 急需!!!
[摘要]电子商务交易的核心问题是安全问题。本文针对电子商务交易中存在的主要安全问题,阐明了目前解决电子商务交易的安全问题的主要技术及措施。
[关键词]电子商务 安全技术 交易安全
一、引言
电子商务是在Internet开放的网络环境下,实现消费者在线购物、企业之间的在线交易和网上电子支付的一种新型的交易方式。由于电子商务具有低成本、高效益、全球性等特点使其很快遍及全世界。电子商务已成为世界经济最具活力的增长点,它的应用将给社会和经济发展带来巨大的变革。然而,目前世界通过电子商务方式完成的贸易额只占同期全球贸易额中的一小部分。究其原因,电子商务是一个复杂的系统工程,它的应用还依靠相应的社会问题和技术问题的逐步解决与完善。其中,电子商务的安全问题是制约电子商务发展的最关键问题。
二、电子商务交易的安全威胁与安全需求
1.安全威胁。电子商务交易中,比较容易受到以下的安全威胁,这些安全威胁经常都会对电子商务造成非常严重的后果:一是交易信息的窃取与篡改,即网络交易中用明文传输的数据被非法入侵者截获并破译之后,进行非法篡改、删除或插入,使信息的完整性遭受破坏。二是信息的假冒,即网络非法攻击者通过假冒合法用户或者模拟虚假信息来实施诈骗行为。
2.安全需求。电子商务交易过程有以下的安全需求,分别是信息的保密性、完整性和不可否认性。电子商务信息的保密性,指的是信息不泄露给非授权用户、实体或过程,或供其利用的特性。电子商务信息的完整性,指的是数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。电子商务信息的不可否认性,指的是避免发生交易中的某一方在进行某种交易行为之后,否认自己曾经进行过该商务行为;或者某一方否认自己曾经接收到对方发出的交易信息。
三、电子商务交易的主要安全技术
1.加密技术是电子商务的最基本的安全技术。在目前技术条件下,加密技术通常分为对称加密和非对称加密两类。
(1)对称密钥加密:采用相同的加密算法,并且加密和解密都使用相同的密钥。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密机密信息,并随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的最核心环节。目前常用的对称加密算法有DES、PCR、IDEA、3DES等。其中DES使用最常用,被国际标准化组织采用作为数据加密的标准。
(2)非对称密钥加密:非对称加密不同于对称加密,其密钥对被分为公开密钥和私有密钥。密钥对生成后,公开密钥对外公开,而私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的发布者,而发布者在得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法有RSA算法。该算法已被国际标准化组织的数据加密技术分委员会推荐为非对称密钥数据加密标准。在对称和非对称两类加密方法中,对称加密的优点是加密速度快(通常比非对称加密快10倍以上)、效率高,被广泛用于大量数据的加密。但该方法的致命缺点是密钥的传输与交换也面临着安全问题,密钥易被截取,而且,若和大量用户进行通信,难以安全管理大量的密钥对,因此对称加密大范围应用存在一定问题。而非对称密钥则相反,其优点是解决了对称加密中密钥数量过多难管理和费用高的不足,也不必担心传输中私有密钥的泄露,保密性能优于对称加密技术。但非对称的缺点是加密算法复杂,加密速度不很理想。目前.电子商务实际运用中常常是两者结合使用。
2.身份认证技术。目前电子商务交易中仅有加密技术不足以保证交易安全,身份认证技术是保证电子商务安全的另一重要技术手段。身份认证的实现包括数字签名技术、数字证书技术等。
(1)数字签名技术
对信息加密只解决了信息传输过程中的保密问题,而防止他人对传输的信息进行篡改或破坏,保证信息的完整性,以及保证信息发送者对发送信息的不可抵赖性,需要采用其它的手段,这一手段就是数字签名。数字签名技术即进行身份认证的技术。在数字化文档上的数字签名类似于纸张上的手写签名,是不可伪造的。接收者能够验证文档确实来自签名者,并且签名后文档没有被修改过,从而保证信息的真实性和完整性。
目前的数字签名是建立在公共密钥体制基础上,它是公用密钥加密技术的另一类应用。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:信息是由签名者发送的;信息自签发后到收到为止未作过任何修改。目前数字签名方法主要有三种,即:RSA签名、DSS签名和Hash签名。这三种算法可单独使用,也可综合在一起使用。
(2)数字证书技术
在公共密钥体制中,私钥只有信息发送者知道,而与之匹配的公钥是公开的,它能保证传输信息的保密性,但没有解决公钥的分发方式。数字签名保证了信息是由签名者发送的以及信息自签发后到收到为止未曾作过任何修改,但不能保证签名者身份的真实性。因此需要有一种措施来管理公钥分发,保证公钥以及与公钥有关的实体身份信息的真实性。这一措施就是数字证书。数字证书是一般由具有权威性、可信任性的第三方机构即认证机构CA所颁发。数字证书是公共密钥体制中的密钥管理媒介,并将公钥和实体身份信息绑定在一起,并包含认证机构的数字签名。数字证书在电子商务中用于公钥的分发、传递,证明电子商务实体身份与公钥相匹配。
四、总结
加密技术和身份认证技术是电子商务交易安全的基础技术,加密技术用于对信息的加密,保证信息的机密性。数字签名和数字信封技术应用了加密技术,建立在公共密钥体制基础上。数字签名技术对信息进行数字签名,保证信息的完整性和不可抵赖性。数字证书技术是对加密技术和数字签名进行支持的技术,用于管理公钥分发,保证公钥以及与公钥有关的实体身份信息的真实性。因此,电子证书必须由权威的第三方认证中心签发。
参考文献:
[1]赵书瑞 ,魏岳.基于SET的电子商务交易安全模式分析[J].商场现代化,2006,(06).
[2]王茜,杨德礼.电子商务的安全体系结构及技术研究[J].计算机工程,2003,(01).
[3]高威.电子商务的安全问题与安全技术[J].内蒙古科技与经济,2005,(13).
[4]郭晶晶,李腊元.基于SET协议的电子商务支付系统的研究[J].计算机应用,2002,(03).
Ⅱ 电子商务安全问题探讨的论文
电子商务安全技术的分析与研究
[摘 要] 本文首先介绍了电子商务安全的现状,分析了存在的主要问题,然后从网络安全技术、数据加密技术、用户认证技术等方面介绍了主要的电子安全技术,并提出了一个合理的电子商务安全体系架构。
[关键词] 电子商务电子支付 安全技术
一、引言
随着网络技术和信息技术的飞速发展,电子商务得到了越来越广泛的应用,越来越多的企业和个人用户依赖于电子商务的快捷、高效。它的出现不仅为Internet的发展壮大提供了一个新的契机,也给商业界注入了巨大的能量。但电子商务是以计算机网络为基础载体的,大量重要的身份信息、会计信息、交易信息都需要在网上进行传递,在这样的情况下,安全性问题成为首要问题。
二、目前电子商务存在的安全性问题
1.网络协议安全性问题:目前,TCP/IP协议是应用最广泛的网络协议,但由于TCP/IP本身的开放性特点,企业和用户在电子交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电子商务网站展开数据包拦截,甚至对数据包进行修改和假冒。
2.用户信息安全性问题:目前最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站,用户使用浏览器登录网络进行交易,由于用户在登录时使用的可能是公共计算机,如网吧、办公室的计算机等情况,那么如果这些计算机中有恶意木马程序或病毒,这些用户的登录信息如用户名、口令可能会有丢失的危险。
3.电子商务网站的安全性问题:有些企业建立的电子商务网站本身在设计制作时就会有一些安全隐患,服务器操作系统本身也会有漏洞,不法攻击者如果进入电子商务网站,大量用户信息及交易信息将被窃取,给企业和用户造成难以估量的损失。
三、电子商务安全性要求
1.服务的有效性要求:电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。
2.交易信息的保密性要求:电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。
3.数据完整性要求:数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。
4.身份认证的要求:电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。
四、电子商务安全技术措施
1.数据加密技术。对数据进行加密是电子商务系统最基本的信息安全防范措施.其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输,从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。
(1)对称密钥加密(SecretKeyEncryption)。对称密钥加密也叫秘密/专用密钥加密,即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。它的优点是加密、解密速度快,适合于对大量数据进行加密,能够保证数据的机密性和完整性;缺点是当用户数量大时,分配和管理密钥就相当困难。
(2)非对称密钥加密(PublicKeyEncryption)。非对称密钥加密也叫公开密钥加密,它主要指每个人都有一对惟一对应的密钥:公开密钥(简称公钥)和私人密钥(简称私钥)公钥对外公开,私钥由个人秘密保存,用其中一把密钥来加密,就只能用另一把密钥来解密。非对称密钥加密算法的优点是易于分配和管理,缺点是算法复杂,加密速度慢。
(3)复杂加密技术。由于上述两种加密技术各有长短,目前比较普遍的做法是将两种技术进行集成。例如信息发送方使用对称密钥对信息进行加密,生成的密文后再用接收方的公钥加密对称密钥生成数字信封,然后将密文和数字信封同时发送给接收方,接收方按相反方向解密后得到明文。
2.数字签名技术。数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息传送的完整性和不可抵赖性。
3.认证机构和数字证书。由于电子商务中的交易一般不会有使用者面对面进行,所以对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信的第三方,用以证实交易双方的身份,数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的文件。在交易支付过程中,参与方必须利用认证中心签发的数字证书来证明自己的身份。
4.使用安全电子交易协议(SET:Secure Electronic Transactions)。是由VISA 和MasterCard两大信用卡组织指定的标准。SET用于划分与界定电子商务活动中各方的权利义务关系,给定交易信息传送流程标准。SET协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。
五、结束语
电子商务是国民经济和社会信息化的重要组成部分,而安全性则是关系电子商务能否迅速发展的重要因素。电子商务的安全是一个复杂系统工程,仅从技术角度防范是远远不够的,还必须完善电子商务方面的立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进电子商务又好又快地发展。
参考文献:
[1]覃 征 李顺东:电子商务概论[M].北京:高等教育出版社,2002.06.
[2]余小兵:浅谈电子商务中的安全问题[J].科技咨询导报,2007.02
[3]曾凤生:电子商务安全需求及防护策略[J].数据库及信息管理,2007.06
仅供参考,请自借鉴。
希望对您有帮助。
Ⅲ 浅谈如何解决电子商务面临的安全问题
1.电子商务面临的网络系统安全问题
电子商务系统是依赖网络实现的商务系统,需要利用Internet基础设施和标准,所以构成电子商务安全框架的底层是网络服务层,它提供信息传送的载体和用户接入的手段,是各种电子商务应用系统的基础,为电子商务系统提供了基本、灵活的网络服务。
电子商务网络系统安全问题包括以下几个方面:
(1)网络部件的不安全因素。
(2)软件不安全因素。
(3)工作人员的不安全因素。
(4)自然环境因素。
2.电子商务面临的电子支付系统安全问题
众所周知,基于Internet平台的电子商务支付系统由于涉及到客户、商家、银行及认证部门等多方机构,以及它们之间可能的资金划拨,所以客户和商家在进行网上交易时必须充分考虑其系统的安全。
目前网上支付中面临的主要安全问题有以下几方面:
(1)支付账号和密码等隐私支付信息在网络传送过程中被窃取或盗用。
(2)支付金额被更改。
(3)不能有效验证收款人的身份。
3.电子商务面临的认证系统安全问题
1.信息泄漏
在电子商务中表现为商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第
三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。如信用卡的账号和用户名被人获悉,就可能被盗用。
2.篡改
在电子商务中表现为商业信息的真实性和完整性的问题。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除或重改,这样就使信息失去了真实性和完整性。假如两公司签订了一份由一公司向另一公司供应原料的合同,若赶上原料价格上涨,供货方公司篡改价格将使自己大幅受益,而采购公司将蒙受损失。
3.身份识别
在网络交易中如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等,进行身份识别后,交易双方就可防止相互猜疑的情况。
4.蓄意否认事实
由于商情的千变万化,商务合同一旦签订就不能被否认,否则必然会损害一方的利益。因此,电子商务就提出了相应的安全控制要求。
(1)电子商务中面临的法律安全问题。随着国际信息化、网络化进化的不断发展,在电子商务领域利用计算机网络进行犯罪的案件与日俱增,其犯罪的花样和手段不断翻新。
(2)电子合同中的法律问题。电子商务合同的订立是在不同地点的计算机系统之间完成的。许多国家的法律要求必须有书面形式的交易单证作为证明交易有效和作为交易的证据;否则,这种合同属于无效合同。关于电子合同能否视为书面合同,并取得与书面文件同等的效力,是各国法律尚未解决的问题,与传统书面文件相比,电子文件有一定的不稳定性,一些来自外界的对计算机网络的干扰,都可能造成信息的丢失、损坏、更改。
(3)银行电子化服务的法律问题。银行是电子支付和结算的最终执行者,起着联结买卖双方的纽带作用,但对一些从事电子货币业务的银行来说,犯罪分子伪造电子货币,给银行带来了直接经济损失。
(4)电子资金转账的法律问题。电子资金转账的法律是个特殊问题,但是我国现行的《票据法》并不承认经过数字签名认证的非纸质的电子票据支付和结算方式。并且支付不可撤消,付款人或第三人不能要求撤消已经完成的电子资金转账。
(5)电子商务中的知识产权保护问题。电子商务活动中交易的客体及交易的行为经常涉及传统的知识产权领域。
(6)电子商务中的消费者权益保护问题。电子商务等新的交易方式给消费者权益保护带来各种新的维权问题。随着科技进步,新产品的大量出现,消费知识滞后的矛盾也更加突出。
Ⅳ 试述如何保证电子商务支付中的安全问题
虽然,计算机专家在网上银行安全问题上下了极大的攻夫,采取了多种措施,然而,道高一尺,魔高一丈,网络黑客的攻击仍然使专家们头疼不已。安全问题仍旧是电子支付中闻关键、最重要的问题。这个问题直接关系到电子交易各方的利益:买方存在信用卡密码被窃或泄露从而是导致资金流失的风险,以及商家是虚假的从而造成钱付了却收不到货的局面;卖方存在未能识别电子伪钞进而向不真实的买主交货,进而导致“钱货两空”的结果;银行则存在向虚假商家兑现后因买方收不到从而拒付的风险。由于种种风险的存在,各方当事人对在Internet网上从事电子交易就不免心存疑虑。同时,网上交易所能带来的巨大机遇和丰厚利润也无时无刻不在吸引着那些喜欢冒险入侵者,买方、卖方和银行都必须承担来自外部的风险。
电子支付中的信息安全一般情况下所说的信息安全有一守的区别。它除了具有一般信息的含义外,还具有金融业和商业信息的特征。更多的、更重要的方面还在于它的进一步发展,必然涉及国民经济建设中资金的调拨,涉及国家经济命脉的重要内容。所以,必须高度重视电子支付中的信息安全问题。
从我国目前电子支付的发展情况看,迫切需要解决下面几个问题:
(1)积极向电子支付国际通用标准靠拢。虽然目前尚未公布正式的电子支付的国际标准,但西方国家较多采用的是Visa 和MasterCard共同开发的SET标准。由于该标准得到了 IBM 、HP、 Microsoft、 Netscape、 VeriFone、 GTE、 VeriSign等很多大公司的支持,它已成为事实上的工业标准,并获得IETF标准的认可。就目前情况看,SET是电子支付安全的一种较好的解决方案,需要组织力量认真地加以研究。各单位在设计电子支付系统时,也应考虑今后与国际接轨的问题。
(2)建立认证中心(CA)的问题。电子支付中的安全技术日趋成熟,但至今为止,我国尚没有相应的认证中心,这种状况严重阻碍了电子支付的发展。SET协议中的一个关键环节是设置了对买卖双方的认证中心,并提供了基本可告靠的认证技术。现在的问题是,必须确定CA认证权的归属问题。银行部门希望拥有CA的认证权,以便今后能够自由地选择高服务质量的信息服务商。电信部门也希望拥有这一权利,以便能够自由地选择银行。贸易部门处于自身方便的考虑,更希望拥有这一权利。所以,克服部门的局限性,从整个国家的利益出发,尽快合理设置认证中心,是一项极为紧迫的任务。在过去的几十年中,我们已经失去了许多发展的好机会,这一次,应当有一个清醒的认识。
Ⅳ 网上交易安全问题探讨
安全问题主要就是信用问题,解决办法,目前就是第三方支付平台,如淘宝上的支付宝.至于电子商务的发展前景嘛,很不错,如果只看前景的话,应该说很好,虽然有很多问题尚待解决.安全技术方面倒没什么,只要网站的安全作好就OK了.
Ⅵ 电子商务交易存在的安全问题有哪些
电子商务存在的安全问题有:
1、开放性
开放性和资源共享是Internet最大的特点,但它的问题却不容忽视的。正是这种开放性给电子商务带来了安全威胁。
2、缺乏安全机制的传输协议
TCP/IP协议是建立在可信的环境之下,缺乏相应的安全机制,这种基于地址的协议本身就会泄露口令,根本没有考虑安全问题;TCP/IP协议是完全公开的,其远程访问的功能使许多攻击者无须到现场就能够得手,连接的主机基于互相信任的原则等这些性质使网络更加不安全。
3、软件系统的漏洞
随着软件系统规模的不断增大,系统中的安全漏洞或"后门"也不可避免的存在。如cookie程序、JAVA应用程序、IE浏览器等这些软件与程序都有可能给我们开展电子商务带来安全威胁。
4、信息电子化
电子化信息的固有弱点就是缺乏可信度,电子信息是否正确完整是很难由信息本身鉴别的,而且在Internet传递电子信息,存在着难以确认信息的发出者以及信息是否被正确无误地传递给接收方的问题。
(三)计算机网络安全威胁与商务交易安全威胁给电子商务带来的安全问题
1、信息泄露
在电子商务中表现为商业机密的泄露,以上计算机网络安全威胁与Internet的安全隐患可能使得电子商务中的信息泄漏,主要包括两个方面:(1)交易一方进行交易的内容被第三方窃取。(2)交易一方提供给另一方使用的文件第三方非法使用。
2、篡改
正是由于以上计算机网络安全威胁与Internet的安全隐患,电子的交易信息在网络上传输的过程中,可能被他人非法地修改、删除或重放(指只能使用一次的信息被多次使用),这样就使信息失去了真实性和完整性。
3、身份识别
正是由于电子商务交易中交易两方通过网络来完成交易,双方互不见面、互不认识,计算机网络的安全威胁与Internet的安全隐患,也可能使得电子商务交易中出现身交易身份伪造的问题。
4、信息破坏
计算机网络本身容易遭到一些恶意程序的破坏,如计算机病毒、特洛伊木马程序、逻辑炸弹等,导致电子商务中的信息在传递过程被破坏。
5、破坏信息的有效性
电子商务中的交易过程中是以电子化的信息代替纸面信息,这些信息我们也必须保证它的时间的有效与本身信息的有效,必须能确认该信息确是由交易一方签发的,计算机网络安全威胁与Internet的安全隐患,使得我们很难保证电子商务中的信息有效性。
6、泄露个人隐私
隐私权是参与电子商务的个人非常关心的一个问题。参与到电子商务中的个人就必须提供个人信息,计算机网络安全威胁与Internet的安全隐患有可能导致个人信息泄露,破坏到个人隐私。
Ⅶ 电子商务网上支付系统安全性研究
http://news.iresearch.cn/0468/20070904/69705.shtml
http://news.iresearch.cn/events/20070913/70119.shtml
http://news.iresearch.cn/viewpoints/69360.shtml
http://www.iresearch.cn/search.shtml?%E7%BD%91%E4%B8%8A%E6%94%AF%E4%BB%98
也许对你有用,太专业的我帮不到你.
Ⅷ 电子商务的安全支付问题
1、电子商务的安全控制要求概述
电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
1.1信息保密性
交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
1.2交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家而言要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。
1.3不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。
1.4不可修改性
交易的文件是不可被修改的,如其能改动文件内容,那么交易本身便是不可靠的,客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
2、电子商务安全交易的有关标准和实施方法
2.1安全交易的雏形
在电子商务实施初期,曾采用过一些简易的安全措施,这些措施包括:
(1) 部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。
(2) 另行确认(Order Confirmation):即当在网上传输交易信息之后,再用电子邮件对交易作确认,才认为有效。
(3) 在线服务(Online Service):为了保证信息传输的安全,用企业提供的内部网来提供联机服务。
以上所述的种种方法,均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
2.2安全交易标准的制定
近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有:
(1) 安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
(2) 安全套接层协议(SSL协议:Secure Socket Layer)是由网景(Netscape)公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。
(3) 安全交易技术协议(STT:Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。
(4) 安全电子交易协议(SET:Secure Electronic Transaction):SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来“电子商务”的规范。
支付系统是电子商务的关键,但支持支付系统的关键技术的未来走向尚未确定。安全套接层(SSL)和安全电子交易(SET)是两种重要的通信协议,每一种都提供了通过Internet进行支付的手段。但是,两者之中谁将领导未来呢?SET将立刻替换SSL吗?SET会因其复杂性而消亡吗?SSL真的能完全满足电子商务的需要吗?我们可以从以下几点对比作管中一窥:
SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建,在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展,但如果想要电子商务得以成功地广泛开展的话,必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置,比较容易被应用。
SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。
SET是一种基于消息流的协议,它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布,用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验,但大多数在Internet上购的消费者并没有真正使用SET。
SET是一个非常复杂的协议,因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上,SET远远不止是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,希望得到数字证书以及响应信息的各方应有的动作,与一笔交易紧密相关的责任分担。
3、目前安全电子交易的手段
在近年来发表的多个安全电子交易协议或标准中,均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种:
3.1密码技术
采用密码技术对信息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种:
(1)公共密钥和私用密钥(public key and private key)
这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘,对文件加密,均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数,则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
(2)数字摘要(digital digest)
这一加密方法亦称安全Hash编码法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。
上述两种方法可结合起来使用,数字签名就是上述两法结合使用的实例。
3.2数字签名(digital signature)
在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:
a. 信息是由签名者发送的。
b. 信息在传输过程中未曾作过任何修改。
这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。
数字签名采用了双重加密的方法来实现防伪、防赖。其原理为:
(1) 被发送文件用SHA编码加密产生128bit的数字摘要(见上节)。
(2) 发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。
(3) 将原文和加密的摘要同时传给对方。
(4) 对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。
(5) 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。否则不然。
3.3数字时间戳(digital time-stamp)
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。
在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:digital time-stamp service)就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest),2)DTS收到文件的日期和时间,3)DTS的数字签名。
时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。由Bellcore创造的DTS采用如下的过程:加密时将摘要信息归并到二叉树的数据结构;再将二叉树的根值发表在报纸上,这样更有效地为文件发表时间提供了佐证。注意,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。因此,时间戳也可作为科学家的科学发明文献的时间认证。
3.4数字凭证(digital certificate, digital ID)
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。
数字凭证的内部格式是由CCITT X.509国际标准所规定的,它包含了以下几点:
(1) 凭证拥有者的姓名,
(2) 凭证拥有者的公共密钥,
(3) 公共密钥的有效期,
(4) 颁发数字凭证的单位,
(5) 数字凭证的序列号(Serial number),
(6) 颁发数字凭证单位的数字签名。
数字凭证有三种类型:
(1) 个人凭证(Personal Digital ID):它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件(S/MIME)来进行交易操作。
(2) 企业(服务器)凭证(Server ID):它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
(3) 软件(开发者)凭证(Developer ID):它通常为Internet中被下载的软件提供凭证,该凭证用于和微软公司Authenticode技术(合法化软件)结合的软件,以使用户在下载软件时能获得所需的信息。
上述三类凭证中前二类是常用的凭证,第三类则用于较特殊的场合,大部分认证中心提供前两类凭证,能提供各类凭证的认证中心并不普遍。
3.5认证中心(CA:Certification Authority)
在电子交易中,无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS:Certification Practice Statement)来实施服务操作。
上述五个方面介绍了安全电子交易的常用手段,各种手段常常是结合在一起使用的,从而构成比较全面的安全电子交易体系。
4、应用动态
根据最新报道,我国第一个安全电子商务系统:“网上订票与支付系统”经过半年试运行后,于1999年8月8日投入正式运行,其发起单位由上海市政府商业委员会、上海市邮电管理局、中国东方航空股份有限公司、中国工商银行上海市分行、上海市电子商务安全证书管理中心有限公司等共同发起、投资与开发。
系统结构采用网上订票与支付系统由四个子系统组成:商户子系统、客户子系统、银行支付网关子系统、数字证书授权与认证子系统。
商户子系统的第一个应用是用来购买购买飞机票的中国东方航空公司网站。网址为:www.cea.online.sh.cn;它是中国安全电子商务第一网站。
客户子系统是安装于PC机上的电子钱包软件,是信用卡持有人进行网上消费的支付工具。电子钱包中必须加入客户的信用卡信息与数字证书之后,方可进行网上消费。
支付网关子系统通常是指由收款银行运行的一套设备,用来处理商户的付款信息以及持卡人发出的付款指令。
数字证书授权与认证子系统为每个交易参与方生成一个数字证书作为交易方身份的验证工具。
其技术特点是采用IBM的电子商务框架结构、嵌入经国家密码管理委员会认可的加/解密用软/硬件产品。这个电子商务系统具有如下的安全交易特点:
1) 遵循SET国际标准、具有SET标准规定的安全机制,是目前国际互联网上运行的比较安全的电子商务系统;
2) 兼顾国内信用卡/储蓄卡与国际信用卡的业务特点,具有一定的中国特色;
3) 具有开放特性,可与经SETCO国际组织认证的任何电子商务系统进行互操作;
Ⅸ 结合案例,分析目前网上支付安全问题的特点
一、电子商务网上支付的安全隐患
(一)网上支付的安全问题。
造成网上支付发展的安全风险主要有三个方面:一是银行网站本身的安全性。二是交易信息在商家与银行之间传递的安全性。三是交易信息在消费者与银行之间传递的安全性。无论是何种风险,其根本原因都是由于登录密码或支付密码泄露造成的。
1、密码管理不善。
大
部分公司和个人受到网络攻击的主要原因是密码政策管理不善。大多数用户将姓名、生日、电话号码设置为密码。有86%的用户在所有网站上使用的都是同一个密
码或者有限的几个密码。许多攻击者还会直接使用软件破解一些安全性低的密码。因此建议用户使用安全性高的复杂密码,防止密码被黑客破译的可能。
2、网络病毒的入侵。
现今流行的很多木马病毒都是专门用于窃取网上银行密码而编制的。木马会监视IE浏览器正在访问的网页,如果发现用户正在登录个人银行,直接进行键盘记录输入的账号、密码,或者弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码,然后通过邮件将窃取的信息发送出去。
3、钓鱼平台。
“网
络钓鱼”攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,如将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌。受骗者往往会泄露
自己的财务数据,如信用卡号、账户号和口令等。中国互联网络信息中心(CNNIC)统计,截至今年2月底,联盟累计认定并处理了钓鱼网站39854个。仅
1、2月份,网购、电子商务网站类就占据了举报受理总数的90%。2011年2月,处理钓鱼网站1159个,较2010年2月(574个)相比,同比增长
112%,而2011年前两个月处理的钓鱼网站较2010年同期增长2278个。更为惊人的是,在2011年1月和2月通过联盟认定并处理的钓鱼网站中,
网购、电子商务网站类约占举报受理总数的90%。
(二)网上支付的信用问题。
在网络支付中由于其虚拟性,超时空性等特点,使双方互不相见,也难以客观地判断对方的信用等级,致使网络支付双方对对方的信用产生怀疑,也因此阻碍了网络支付的发展。
根
据《中国电子商务诚信状况调查》统计显示,有23.5%的企业和26.34%的个人认为电予商务最让人担心的是诚信问题,电子商务的诚信已经成为公众和企
业最关注的问题之一。调查表明,64.2%的公众和71.1%的企业在网上交易时会查看卖方的信用评价,企业信用状况无疑是解决电子商务诚信问题的一个很
大因素,但目前我国还没有一个权威公正的信用体系。
(三)网上支付的法律问题。
目前制约网上支付发展的立法问题主要包括:谁来发行电子货币;如何进行网络银行的资格认定;怎样监管网络银行的业务等。目前中国在电子商务方面,有关的政策不够明朗化,相应的法律法规、标准还都没有建立,跨部门、跨地区的协调存在较大的问题。
(四)网上安全认证机构建设混乱。
CA
在认证过程中面临许多潜在的风险,这主要表现在:(1)支付的信用安全问题。各CA颁发的电子证书各自为政、交叉混乱的情况仍然存在,身份认证系统不完善
不统一,认证作用只是保证一对一的网上交易安全可信,而不能保证多家统一联网交易的便利。(2)缺乏协调统一的规划设计和没有行业技术标准。各个认证中心
都是独立构建的,引进的技术和产品各有不同,也没有共同的标准,在这样的情况下,要实现互通确实面临很大困难。