2023年[谈谈电子商务的交易安全]电子商务安全的概念.docx

2023年谈谈电子商务的交易安全电子商务安全的概念 电子商务是Internet爆炸式发展的干脆产物,是网络技术应用的全新发展方向。现阶段推动电子商务面临的最大问题是如何保障电子商务过程中的平安性,交易的平安是网上贸易的基础和保障,同时也是电子商务技术的难点。近年来,国际上已实施和制定了一系列的方法来解决网上交易的平安性问题。 一、电子商务的平安限制要求概述 电子商务发展的核心和关键问题是交易的平安性。由于Internet本身的开放性,使网上交易面临了种种危急,也由此提出了相应的平安限制要求。1、信息保密性。交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丢失商机。因此在电子商务的信息传播中一般均有加密的要求。2、交易者身份的确定性。网上交易的双方很可能素昧平生,相隔千里。要使交易胜利,首先要能确认对方的身份,对商家而言要考虑客户端不能是骗子,而客户也会担忧网上的商店不是一个弄虚作假的黑店。因此能便利而牢靠地确认对方身份是交易的前提。3、不行否认性。由于商情的千变万化,交易一旦达成是不能被否认的。否则必定会损害一方的利益。4、不行修改性。交易的文件是不行被修改的,如其能改动文件内容,那么交易本身便是不行靠的,客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不行修改,以保障交易的肃穆和公正。 二、电子商务平安交易的有关标准和实施方法 1、平安交易的雏形。在电子商务实施初期,曾采纳过一些简易的平安措施,这些措施包括:(1) 部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。(2) 另行确认(Order Confirmation):即当在网上传输交易信息之后,再用电子邮件对交易作确认,才认为有效。(3) 在线服务(Online Service):为了保证信息传输的平安,用企业供应的内部网来供应联机服务。以上所述的种种方法,均有肯定的局限性,且操作麻烦,不能实现真正的平安牢靠性。 2、平安交易标准的制定。近年来,IT业界与金融行业一起,推出不少更有效的平安交易标准。主要有:(1) 平安超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的平安性。(2) 平安套接层协议(SSL协议:Secure Socket Layer)是由网景(Netscape)公司推出的一种平安通信协议,是对计算机之间整个会话进行加密的协议,供应了加密、认证服务和报文完整性。它能够对信用卡和个人信息供应较强的爱护。(3) 平安交易技术协议(STT:Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在阅读器中分别开,用以提高平安限制实力。(4) 平安电子交易协议(SET:Secure Electronic Transaction):SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子平安证书等。目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为将来“电子商务”的规范。支付系统是电子商务的关键,但支持支付系统的关键技术的将来走向尚未确定。平安套接层(SSL)和平安电子交易(SET)是两种重要的通信协议,每一种都供应了通过Internet进行支付的手段。 三、目前平安电子交易的手段 在近年来发表的多个平安电子交易协议或标准中,均接受了一些常用的平安电子交易的方法和手段。典型的方法和手段有以下几种: 1、密码技术。采纳密码技术对信息加密,是最常用的平安交易手段。在电子商务中获得广泛应用的加密技术有以下两种:(1)公共密钥和私用密钥(public key and private key)这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所探讨独创的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘,对文件加密,均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数,则是非常困难的。因此将这一对质数称为密钥对(Key Pair)。(2)数字摘要(digital digest)这一加密方法亦称平安Hash编码法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所设计。该编码法采纳单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一样。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。 2、数字签名(digital signature)。在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采纳数字签名,也能确认以下两点:a. 信息是由签名者发送的。b. 信息在传输过程中未曾作过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等状况发生。数字签名采纳了双重加密的方法来实现防伪、防赖。 3、数字时间戳(digital time-stamp)。交易文件中,时间是非常重要的信息。在书面合同中,文件签署的日期和签名一样均是非常重要的防止文件被伪造和篡改的关键性内容。在电子交易中,同样需对交易文件的日期和时间信息实行平安措施,而数字时间戳服务(DTS:digital time-stamp service)就能供应电子文件发表时间的平安爱护。 4、数字凭证(digital certificate, digital ID)数字凭证又称为数字证书,是用电子手段来证明一个用户的身份和对网络资源的访问的权限。 5、认证中心(CA:Certification Authority)。在电子交易中,无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而须要有一个具有权威性和公正性的第三方(third party)来完成。认证中心(CA)就是担当网上平安电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。