- 相關(guān)推薦
電子商務(wù)及其安全技術(shù)(2)
經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問(wèn)給客戶,客戶則返回?cái)?shù)字簽名后的提問(wèn)和其公開(kāi)密鑰,從而向服務(wù)器提供認(rèn)證。SSL協(xié)議支持各種加密算法,實(shí)現(xiàn)簡(jiǎn)單,獨(dú)立于應(yīng)用層協(xié)議,且被大部分瀏覽器和Web服務(wù)器內(nèi)置,便于在電子交易中應(yīng)用。但SSL是一個(gè)面向連接的協(xié)議,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,在涉及多方的電子交易中,SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系,為此,Mastercard和Visa共同在網(wǎng)絡(luò)應(yīng)用層開(kāi)發(fā)了SET協(xié)議。
3.2.2 SET協(xié)議
SET協(xié)議是一個(gè)能保證通過(guò)開(kāi)放網(wǎng)絡(luò)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)。它采用的技術(shù)包括,對(duì)稱(chēng)密鑰加密、公共密鑰加密、哈希算法、數(shù)字簽名技術(shù)以及公共密鑰授權(quán)機(jī)制等。
SET使訂單信息和信用卡信息的隔離。在把包含信用卡號(hào)碼信息的訂單送到商家時(shí),商家只能看到訂單信息,卻看不到信用卡號(hào)碼信息,并且需要持卡人和商家相互認(rèn)證,確定通信雙方身份,一般由認(rèn)證中心為雙方提供信用擔(dān)保。
整個(gè)電子支付的過(guò)程包括:瀏覽、購(gòu)買(mǎi)、付款合法性驗(yàn)證以及獲取付款等過(guò)程。信用卡持卡客戶通過(guò)瀏覽器從商家的商品目錄尋找所需商品,他擁有支付網(wǎng)關(guān)交換密鑰的私人密鑰,可以發(fā)送初始化請(qǐng)求給商家;商家收到客戶的初始化請(qǐng)求后,為請(qǐng)求報(bào)文分配一個(gè)唯一的交易標(biāo)識(shí)號(hào),并用商家的私人密鑰進(jìn)行數(shù)字簽名,然后將初始化響應(yīng)報(bào)文與商家和支付網(wǎng)關(guān)的證書(shū)一起傳給客戶;客戶收到該初始化響應(yīng)后,驗(yàn)證商家和支付網(wǎng)關(guān)的證書(shū),確認(rèn)商家和支付網(wǎng)關(guān)的身份,再根據(jù)商家的公開(kāi)密鑰確認(rèn)初始化響應(yīng)中的商家簽名;然后,客戶產(chǎn)生訂單信息(Ordering Information)和支付命令(Payment Instruction),用私人密鑰對(duì)訂單信息和支付命令進(jìn)行雙重簽名;并產(chǎn)生一個(gè)隨機(jī)的對(duì)稱(chēng)密鑰,用它對(duì)雙重簽名后的支付命令加密,然后再用支付網(wǎng)關(guān)交換密鑰的公開(kāi)密鑰(public key-exchange key)對(duì)客戶帳號(hào)和對(duì)稱(chēng)密鑰加密;客戶將加密后的訂單信息和支付命令發(fā)給商家;商家確認(rèn)客戶證書(shū),用客戶的公開(kāi)密鑰對(duì)訂單信息上的雙重簽名解密,以確保訂單在傳輸過(guò)程中無(wú)誤,并且其中的簽名是客戶的;然后,商家處理訂單信息請(qǐng)求,將支付命令傳給支付網(wǎng)關(guān)并請(qǐng)求授權(quán),同時(shí)還產(chǎn)生一個(gè)包括商家的簽名證書(shū)和指明客戶的訂單已被接收等信息的購(gòu)買(mǎi)響應(yīng)報(bào)文,并對(duì)該報(bào)文數(shù)字簽名后發(fā)給客戶;客戶用商家的公開(kāi)密鑰來(lái)證實(shí)購(gòu)買(mǎi)響應(yīng)上的簽名是商家的,并保存收到的購(gòu)買(mǎi)響應(yīng)。如果交易被授權(quán),商家將執(zhí)行訂單上規(guī)定的送貨等服務(wù)。商家使用訂貨單,要求支付網(wǎng)關(guān)付款。
SET定義了一個(gè)完備的電子交易流程,較好地解決了電子交易中各方間復(fù)雜的信任關(guān)系和安全連接,確保了電子交易中信息的真實(shí)性、保密性、防抵賴性和不可更改性。但由于SET協(xié)議龐大而又復(fù)雜,銀行、商家和客戶均需改造才能實(shí)現(xiàn)互操作,使得SET協(xié)議被普遍使用還需有一個(gè)過(guò)程。在我國(guó),大多尚處在對(duì)SSL協(xié)議的應(yīng)用上,要完全實(shí)現(xiàn)SET協(xié)議安全支付還要有一個(gè)過(guò)程。
3.3 其它安全問(wèn)題
對(duì)于電子商務(wù)的安全性來(lái)講,有了防火墻與安全協(xié)議和規(guī)范還不夠,一方面,網(wǎng)絡(luò)本身的物理差錯(cuò)是難以避免的;另一方面,Internet主干網(wǎng)和DNS服務(wù)器的可靠性,撥號(hào)連接質(zhì)量與速度還不能滿足人們的需求;另外,惡意代碼對(duì)網(wǎng)絡(luò)系統(tǒng)的威脅,單純依敕技術(shù)是很難解決的,從某種意義上講,依靠管理加強(qiáng)內(nèi)部人員的安全防范意識(shí)等比安全技術(shù)更為重要。因此,要加強(qiáng)電子商務(wù)的安全性應(yīng)從多方面入手。
4 對(duì)我國(guó)電子商務(wù)的發(fā)展的幾點(diǎn)建議
1) 提高服務(wù)的安全性。電子商務(wù)飛快的發(fā)展速度,致使其安全技術(shù)和安全管理都跟不上,這已成為越來(lái)越突出的問(wèn)題,但不能因?yàn)榘踩珕?wèn)題而制約了電子商務(wù)的發(fā)展,使安全成為發(fā)展的瓶頸,發(fā)展是首位的,沒(méi)有發(fā)展安全就無(wú)從談起。
2) 加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)普及程度。發(fā)展電子商務(wù)的目的在于降低交易成本,提高交易效率,因此應(yīng)積極發(fā)展高速寬帶通信信道,重點(diǎn)建設(shè)光纜和衛(wèi)星通信,同時(shí)積極利用現(xiàn)有通信線路發(fā)展ISDN和ADSL接入,利用有線電視線路,試驗(yàn)發(fā)展HFC接入網(wǎng)。
3) 盡快完善有關(guān)網(wǎng)絡(luò)安全等方面的法律。我國(guó)政府在《中華人民共和國(guó)合同法》中規(guī)定了以電子媒體為載體的合同具有法律約束力,對(duì)推廣電子商務(wù)有很大的促進(jìn)作用,但是在諸多方面還需順應(yīng)網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷完善。
4) 加快銀行、稅務(wù)以及郵政等物流環(huán)節(jié)的信息化建設(shè)步伐,建立企業(yè)到企業(yè)(BtoB)、企業(yè)到客戶(BtoC) 的商務(wù)溝通,實(shí)現(xiàn)網(wǎng)上資金流動(dòng),解決目前有形商品交易環(huán)節(jié)中的流通因難。
【電子商務(wù)及其安全技術(shù)(2)】相關(guān)文章:
徒手體操的技術(shù)因素及其作用08-07
電子商務(wù)發(fā)展中計(jì)算機(jī)安全技術(shù)的應(yīng)用08-18
電子商務(wù)個(gè)人總結(jié)經(jīng)典(2篇)10-07
分布式對(duì)象技術(shù)及其在Web上的應(yīng)用08-09
電子商務(wù)安全論文07-22
論技術(shù)院校師資隊(duì)伍的隱憂及其對(duì)策08-13
技術(shù)述職報(bào)告2篇06-08