电子商务系统安全理论知识

电子商务系统平安理论知识

电子商务系统平安理论知识

电子商务系统是保证以电子商务为根底的网上交易实现的体系。市场交易是由参与交易双方在平等、自由、互利的根底上进展的基于价值的交换。下面是WTT为大家整理的电子商务系统平安理论知识，欢送大家阅读阅读。

一、电子商务对信息平安的要求

(一)机密性：数据传输过程中，必须确保数据不外泄。

(二)识别性：系统必须能识别所有用户和发送者。

(三)完好性：数据在网络媒介的传送过程中，必须确保数据的完好性。

(四)无法否认性：通过信息平安体系的设计，当数据送到对方，必须确定承受者不能否认其曾经接到该数据。

二、电子商务面临的平安威胁及解决技术

从目前的状况看，电子商务面临以下的平安威胁：

(一)病毒：电子商务离不开计算机网络，而病毒制造者通过传播计算机病毒来蓄意破坏联网计算机的程序、数据和信息，以到达某种非法目的。(二)恶意破坏程序是指会导致不同

程度破坏的软件应用或者java小程序。(三)网络平安攻击：常见的有中断、介入、篡改和伪造。

这些技术的根底上又建立起更为复杂的平安协议和平安技术，例如SSL(平安套接字层)协议，SET(平安电子交易)协议等。

三、密码技术

本文讨论的是电子商务平安协议SSL和SET都运用了密码技术，它们是对称密码技术和非对称密码技术，本文对这两种密码技术进展简单的介绍。

(一)对称密码技术。对称密码技术是使用一样的密钥对数据进展加密和解密，发送者和接收者用一样的密钥。

(二)非对称密码技术。用于加密的密钥和用于解密的密钥不一样，且由其中一个推算不出另一个，这种密码体制叫非对称密码技术。非对称密码技术又称公钥密码技术，因为加密密钥是公开的，解密密钥是保密的，加/解密算法都是公开的。非对称密码技术中最为广泛应用的是RSA。

四、SSL协议及其平安性分析^p

(一)SSL简介。SSL(Secure Socket Layer)是由Netscape 首先发表的一种将来确保信息在网络上流通平安的网络数据平安传输协议。SSL是利用公开密钥的.加密技术(RSA)来作为客户端与主机端在传送几门数据时的加密通讯协议的。

SSL协议位于TCP/IP层和应用层之间，代表高层协议使用TCP/IP层的效劳，在OSI七层模型中处于会话层。

(二)SSL的功能。SSL协议的工作流程：效劳器认证阶段：(1)客户端向效劳器发送一个开场信息“Hello”以便开场一个新的会话连接;(2)效劳器根据客户的信息确定是否需要生成新的主密钥，如需要那么效劳器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;(3)客户根据收到的效劳器响应信息，产生一个主密钥，并用效劳器的公开密钥加密后传给效劳器;(4)效劳器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证效劳器。用户认证阶段：在此之前，效劳器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的效劳器发送一个提问给客户，客户那么返回数字签名后的提问和其公开密钥，从而向效劳器提供认证。

(三)SSL协议的实现。SSL协议可分为两层：SSL记录协议：它建立在可靠的传输协议之上，为高层协议提供数据封装、压缩、加密等根本功能的支持。SSL握手协议：它建立在SSL记录协议之上，用于在实际的数据传输开场前，通讯双方进展身份认证、协商加密算法等。

五、SET协议及其平安性分析^p

(一)SET简介。SET(Secure Electronic Transaction)，用来保护消费者在开放型网络持卡付款交易平安的标准。由

VISA、Netscape、IBM、SAIC等公司结合制订，运用RSA数据平安的公开密钥加密技术。保护交易数据的平安性和隐藏性。SET通过双重数字签名的应用，确保在开发式网络环境下，客户的交易信息不会被银行获得，而商店也无法知道客户的信誉卡信息。

(二)SET协议的工作原理。整个电子支付的过程包括：阅读、购置、付款合法性验证以及获取付款等过程。信誉卡持卡客户通过阅读器从商家的商品目录寻找所需商品，他拥有支付网关交换密钥的私人密钥，可以发送初始化恳求给商家;商家收到客户的初始化恳求后，为恳求报文分配一个惟一的交易标识号，并用商家的私人密钥进展数字签名，然后将初始化响应报文与商家和支付网关的证书一起传给客户;客户收到该初始化响应后，验证商家和支付网关的证书，确认商家和支付网关的身份，再根据商家的公开密钥确认初始化响应中的商家签名私人密钥对订单信息和支付命令进展双重签名;并产生一个随机的对称密钥，然后，客户产生订单信息和支付命令，用双重签名后的支付命令加密，再用支付网关交换密钥的公开密钥对客户账号和对称密钥加密;客户将加密后的订单信息和支付命令发给商家;商家确认客户证书，用客户的公开密钥对订单信息上的双重签名解密，以确保订单在传输过程中无误，并且其中的签名是客户的;然后，商家处理订单信息恳求，将支付命

令传给支付网关并恳求受权，同时还产生一个包括商家的签名证书和指明客户的订单已被接收等信息的购置响应报文，并对该报文数字签名后发给客户;客户用商家的公开密钥来证实购置响应上的签名是商家的，并保存收到的购置响应。假如交易被受权，商家将执行订单上规定的送货等效劳。商家使用订货单，要求支付网关付款。

SET协议的SET的交易流程：

(1)客户在网上商店看中商品后，和商家进展磋商，然后发出恳求购置信息。(2)商家要求客户用电子钱包付款。(3)电子钱包提示客户输入口令后与商家交换握手信息，确认商家和客户两端均合法。 (4)客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家。(5)商家将含有客户支付指令的信息发送给支付网关。(6)支付网关在确认客户信誉卡信息之后，向商家发送一个受权响应的报文。(7)商家向客户的电子钱包发送一个确认信息。(8)将款项从客户账号转到商家账号，然后向顾客送货，交易完毕。

六、SSL与SET 的开展

SSL与SET在电子商务领域都有普遍的应用，SSL是基于传输层的通用平安协议，是对数据传输的那局部技术标准。SET协议位于应用层，对其他各层也有涉及。SET中标准了整个商务的活动流程。持卡人、商家、支付网关、结算中心、认