電子商務(wù)的安全性分析

電子商務(wù)的安全性分析

1電子商務(wù)《電子通訊》容電子商務(wù)來自英語電子服務(wù)器，并縮寫為ce。其內(nèi)容包含兩個方面,一是電子方式,二是商貿(mào)活動。電子商務(wù)指的是利用簡單、快捷、低成本的電子通訊方式,買賣雙方不見面地進(jìn)行各種商貿(mào)活動。目前電子商務(wù)工程正在全國迅速發(fā)展,實現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動過程中系統(tǒng)的安全性。2交易雙方安全威脅在電子商務(wù)過程中,買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系,由于距離的限制,因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難,電子商務(wù)交易雙方都面臨安全威脅。電子商務(wù)的安全要素主要體現(xiàn)在以下幾個方面。2.1ec信息的有效性EC以電子形式取代了紙張,那么如何保證這種電子形式貿(mào)易信息的有效性則是開展EC的前提。EC作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽。因此,要對網(wǎng)絡(luò)故障、操作錯誤、系統(tǒng)錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。2.2維護(hù)商業(yè)加密。在網(wǎng)絡(luò)環(huán)境的EC作為貿(mào)易的一種手段,其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。EC是建立在一個開放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機密是EC全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。2.3信息狀態(tài)的因果報告不同EC簡化了貿(mào)易過程,減少了人為的干預(yù),同時也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略,保持貿(mào)易各方信息的完整性是EC應(yīng)用的基礎(chǔ)。因此,要預(yù)防對信息的隨意生成、修改和刪除,同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。2.4以簽名和印章作為識別消費者的標(biāo)識EC可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方,這一問題則是保證EC順利進(jìn)行的關(guān)鍵。在無紙化的EC方式下,通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已不可能,因此,要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識。為了滿足電子商務(wù)的安全要求,EC系統(tǒng)必須利用安全技術(shù)為EC活動參與者提供可靠的安全服務(wù),主要包括:鑒別服務(wù)、訪問控制服務(wù)、機密性服務(wù)、不可否認(rèn)服務(wù)等。3網(wǎng)絡(luò)安全設(shè)計安全電子交易(SET,SecureElectronicTransaction)是一個通過開放網(wǎng)絡(luò)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)。SET向基于信用卡進(jìn)行電子化交易的應(yīng)用提供了實現(xiàn)安全措施的規(guī)則。SET主要由3個文件組成,分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。SET主要目標(biāo)是:①信息在Internet上安全傳輸,保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客竊取;②定單信息和個人賬號信息的隔離,包含持卡人賬號信息的定單送到商家時,商家只能看到定貨信息,而看不到持卡人的賬戶信息;③持卡人和商家相互認(rèn)證,以確定通信雙方的身份,一般由第三方機構(gòu)負(fù)責(zé)為在線通信雙方提供信用擔(dān)保;④要求軟件遵循相同協(xié)議和報文格式,使不同廠家開發(fā)的軟件具有兼容和互操作功能,并且可以運行在不同的硬件和操作系統(tǒng)平臺上。3.1支付卡授權(quán)、支付及支付網(wǎng)關(guān)根據(jù)安全電子商務(wù)的目標(biāo)和要求,圖1給出了SET的一般模型:(1)持卡人,是發(fā)行者發(fā)行的支付卡(例如MasterCard和Visa)的授權(quán)持有者。(2)商家,是有貨物或服務(wù)出售給持卡人的個人或組織。通常,這些貨物或服務(wù)可以通過Web站點或電子郵件提供。(3)支付者,建立商家的賬戶并實現(xiàn)支付卡授權(quán)和支付的金融組織。支付者為商家驗證給定的信用卡賬戶是能用的;支付者也對商家賬戶提供了支付的電子轉(zhuǎn)賬。(4)支付網(wǎng)關(guān),這是由支付者或指定的第三方完成的功能。為了實現(xiàn)授權(quán)或支付功能,支付網(wǎng)關(guān)在SET和現(xiàn)有的銀行卡支付的網(wǎng)絡(luò)系統(tǒng)作為接口。在Internet上,商家與支付網(wǎng)關(guān)交換SET信息,而支付網(wǎng)關(guān)與支付者的財務(wù)處理系統(tǒng)具有一定直接連接或網(wǎng)絡(luò)連接。(5)證書權(quán)威機構(gòu),這是為持卡人、商家和支付網(wǎng)關(guān)發(fā)行X.509v3公共密碼證書的可信實體。3.2在線購物處理流程監(jiān)控并無定單支付的原因上的下一步工作是一個過程電子商務(wù)的工作流程與實際的購物流程非常接近,使得電子商務(wù)與傳統(tǒng)商務(wù)可以很容易融合。從顧客通過瀏覽器進(jìn)入在線商店開始,一直到所定貨物送貨上門或所定服務(wù)完成,以及賬戶上的資金轉(zhuǎn)移,所有這些都是通過Internet完成的。如何保證網(wǎng)上傳輸數(shù)據(jù)的安全和交易對方的身份確認(rèn)是電子商務(wù)能否得到推廣的關(guān)鍵。這正是SET所要解決的最主要的問題。一個包括完整的購物處理流程的SET的工作過程如下。持卡人使用瀏覽器在商家的WEB主頁上查看在線商品目錄,并選擇要購買的商品。持卡人填寫定單,定單可通過電子化方式從商家傳過來,或由持卡人的電子購物軟件建立。有些在線商場可以讓持卡人與商家協(xié)商物品價格。持卡人選擇付款方式,此時SET開始介入。持卡人發(fā)送給商家一個完整的定單及要求付款指令。在SET中,定單和付款指令由持卡人進(jìn)行數(shù)字簽名,同時利用雙重簽名技術(shù)保證商家看不到持卡人的賬號信息。商家收到定單后,向持卡人的金融機構(gòu)請求支付認(rèn)可。通過支付網(wǎng)關(guān)到銀行,再到發(fā)卡機構(gòu)確認(rèn),批準(zhǔn)交易。然后返回確認(rèn)信息給商家。商家發(fā)送定單確認(rèn)信息給顧客。顧客端軟件可記錄交易日志,以備將來查詢。商家給顧客裝運貨物,或完成訂購的服務(wù)。到此為止,一個購買過程已經(jīng)結(jié)束。商家可以立即請求銀行將錢從購物者的賬號轉(zhuǎn)移到商家賬號,也可以等到某一時間,請求成批劃賬處理。商家從持卡人的金融機構(gòu)請求支付。在操作的每一步,持卡人、商家和支付網(wǎng)關(guān)都通過CA來驗證通信主體的身份,以確保通信的對方不是冒名頂替。3.3產(chǎn)品認(rèn)證(1)哈希算法的分析SET中主要的證書是持卡人證書和商家證書。持卡人證書是支付卡的一種電子化的表示。持卡人證書不包括賬號和終止日期信息,而是用單向哈希算法根據(jù)賬號和截止日期生成的一個碼,如果知道賬號、截止日期、密碼值即可導(dǎo)出這個碼值,反之不行。商家證書就像是貼在商家收款臺小窗上的付款卡貼畫,以表示它可以用什么卡來結(jié)算。在SET環(huán)境中,一個商家至少應(yīng)有一對證書,與一個銀行打交道;一個商家也可以有多對證書,表示它與多個銀行有合作關(guān)系,可以接受多種付款方法。除了持卡人證書和商家證書以外,還有支付網(wǎng)關(guān)證書、銀行證書、發(fā)卡機構(gòu)證書。(2)ca對商家認(rèn)證證書的頒發(fā)機構(gòu)稱作CertificateAuthority,通常簡稱CA。持卡人可從公開媒體上獲得商家的公開密鑰,但持卡人無法確定商家不是冒充的(有信譽),于是持卡人請求CA對商家認(rèn)證。CA對商家進(jìn)行調(diào)查、驗證和鑒別后,將包含商家公開密鑰的證書經(jīng)過數(shù)字簽名傳給持卡人。同樣,商家也可對持卡人進(jìn)行驗證。CA的主要功能包括:接收注冊請求,處理、批準(zhǔn)/拒絕請求,頒發(fā)證書。在實際運作中,CA也可由大家都信任的一方擔(dān)當(dāng),例如在客戶、商家、銀行三角關(guān)系中,客戶使用的是由某個銀行發(fā)的卡,而商家又與此銀行有業(yè)務(wù)關(guān)系(有賬號)。在此情況下,客戶和商家都信任該銀行,可由該銀行擔(dān)當(dāng)CA角色,接收、處理客戶證書和商家證書的驗證請求。又例如,對商家自己發(fā)行的購物卡,則可由商家自己擔(dān)當(dāng)CA角色。(3)實體簽名證書的驗證在雙方通信時,通過出示由某個CA簽發(fā)的證書來證明自己的身份,如果對簽發(fā)證書的CA本身不信任,則可驗證CA的身份,依次類推,一直到公認(rèn)的權(quán)威CA處,就可確信證書的有效性。每個證書與簽發(fā)證書的實體簽名證書關(guān)聯(lián)。SET證書正是通過信任層次來逐級驗證的。如,C的證書是由B的CA簽發(fā)的,而B的證書又是由A的CA簽發(fā)的,A是權(quán)威機構(gòu),通常稱為根CA。驗證到了根CA處,就可確信C的證書是合法的。在網(wǎng)上購物實現(xiàn)中,持卡人的證書與發(fā)卡機構(gòu)的證書關(guān)聯(lián),而發(fā)卡機構(gòu)證書通過不同品牌卡的證書連接到根CA,而根的公開密鑰對所有的SET軟件都是已知的,可以校驗每一個證書。4電子單據(jù)的傳輸用戶對電子商務(wù)活動安全性的需求及可使用的網(wǎng)絡(luò)安全措施,主要包括如下幾方面:(1)判定通信中的貿(mào)易伙伴的真實性常用的處理技術(shù)是身份認(rèn)證,依賴某個可信賴的機構(gòu)(CA)發(fā)放證書,雙方交換信息之前通過CA獲取對方的證書,并以此識別對方;安全電子交易(SET)規(guī)范為在Internet上進(jìn)行安全的電子商務(wù)提供了一個開放的標(biāo)準(zhǔn)。(2)保證電子單證的秘密性,防范電子單證的內(nèi)容被第三方讀取常用處理技術(shù)是數(shù)據(jù)加密和解密,包括對稱密鑰加密技術(shù)和非對稱密鑰加密技術(shù),單證傳輸?shù)陌踩砸蕾囉谑褂玫乃惴ê兔荑€長度。規(guī)范內(nèi)部管理,使用訪問控制權(quán)限和日志,以及敏感信息的加密存儲等。當(dāng)使用WWW服務(wù)器支持電子商務(wù)活動時,應(yīng)注意數(shù)據(jù)的備份和恢復(fù),并采用防火墻技術(shù)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全性。5確定合適的樣品,確立可靠的樣品電子商