電子商務安全學術論文

電子商務安全學術論文

　　近些年來，我國的電子商務發展速度較快，但是其安全問題仍然是一大隱患，也是電子商務最擔心的問題,為大家分享了電子商務安全的學術論文，歡迎借鑒！

　　【摘要】電子商務越來越深入我們的商務活動，電子支付系統是電子商務中最重要的環節之一，主要用來解決電子商務中的各交易實體(用戶、商家、銀行等)間資金流和信息流在Internet上即時傳遞及其安全性問題，電子商務安全問題的核心是電子交易的安全性，為了保障電子商務交易安全，人們開發了各種用于加強電子商務安全的協議。當前應用比較廣泛的電子商務安全協議主要有安全套接層協議SSL和安全電子交易協議SET。文中對這兩種主流協議進行了分析和比較。

　　論文關鍵詞：電子商務安全協議,電子交易,SSL協議,SET協議

　　隨著互聯網日益普及，基于Internet的電子商務已經深入到人們生活的方方面面。安全是電子商務的基石，如何保證電子商務交易活動中信息的機密性、真實性、完整性、不可否認性和存取控制等是電子商務發展中迫切需要解決的問題。為了保障電子商務交易安全，人們開發了各種用于加強電子商務安全的協議。這些協議主要有：安全套接層協議SSL、安全電子交易協議SET、超文本傳輸協議SHTTP、3-D secure協議和安全電子郵件協議（PEM、S/MIME）等。這其中應用最為廣泛的協議主要有SSL、SET。

　　安全電子交易協議(SET)和安全套接層協議(SSL)是兩種重要的'通信協議，每一種都提供了通過Internet進行支付的手段。事實上，SET和SSL除了都采用RSA公鑰算法以外，二者在其他技術方面沒有任何相似之處，而RSA在二者中也被用來實現不同的安全目標。

　　電子商務安全協議

　　1.安全套接層協議（SSL）

　　安全套接層協議(Secure Socket Layer，簡稱SSL)是美國網景公司（Netscape）推出的一種安全通信協議，SSL提供了兩臺計算機之間的安全連接，對整個會話進行了加密，從而保證了安全傳輸，其主要設計目標是在Internet環境下提供端到端的安全連接。它能使客戶/服務器應用之間的通信不被攻擊者。SSL協議建立在可靠的TCP傳輸控制協議之上。高層的應用層協議能透明的建立于SSL協議之上。SSL協議在應用層協議通信之前就已經完成加密算法、通信密鑰的協商以及服務器認證工作。在此之后應用層協議所傳送的數據都會被加密，從而保證通信的私密性。

　　2.安全電子交易協議(SET)

　　安全電子交易協議(SecureElectronicTransaction，簡稱SET)是美國Visa和MasterCard兩大信用卡組織聯合于1997年5月31日推出的電子交易行業規范，它提供了消費者、商家和銀行之間的認證，確保交易的保密性、可靠性和不可否認性，保證在開放網絡環境下使用信用卡進行在線購物的安全，其實質是一種應用在Internet上、以信用卡為基礎的電子付款系統規范，目的是為了保證網絡交易的安全。SET本身并不是一個支付系統，而是一個安全協議集，SET規范保證了用戶可以安全地在諸如Internet這樣的開放網絡上應用現有的信用卡支付設施來完成交易。SET較好地解決了信用卡在電子商務交易中的安全問題。SET已獲得IETF(The Internet Engineer-ing Task Force，簡稱IETF)標準的認可。

　　SSL與SET協議比較分析

　　SSL和SET是當前在電子商務中應用最為廣泛的安全協議，兩者的差別主要體現在以下幾個方面。

　　1.工作層次

　　SSL屬于傳輸層的安全技術規范，不具備電子商務的商務性、協調性和集成性功能；而SET協議位于應用層，它規范了整個商務活動的流程，從持卡人到商家，到支付網關，到認證中心以及信用卡結算中心之間的信息流走向和必須采用的加密、認證都制定了嚴密的標準，從而最大限度地保證了商務性、服務性和集成性。

　　2.認證機制

　　早期的SSL協議并沒有提供身份認證機制，雖然在SSL3.0中可以通過數字簽名和數字證書實現瀏覽器和WEB服務器之間的身份認證，但仍不能實現多方認證，而且SSL中只有商家服務器的認證是必須的，客戶端認證則是可選的。SET協議使用數字證書來確認交易涉及的各方（包括商家、持卡人、受卡行和支付網關）的身份，為在線交易提供一個完整的可信賴的環境。SET協議要求所有參與交易活動的各方都必須使用數字證書，較好的解決了客戶與銀行、客戶與商家、商家與銀行之間的多方認證問題。

　　3.加密機制

　　SSL是基于傳輸層加密，它為高層提供了特定接口，使得應用方無須了解傳輸層情況；然而由于傳輸層屬于較高層，常用軟件實現，這在很大程度上削弱了加密處理能力，同時，地址信息由低層控制，這種加密無法免于被攻擊者流量分析。SET的加圖2 SET協議的工作原理密過程則不同于SSL，SET中廣泛使用了數字信封等技術，并采用嚴密的系統約束來保證數據傳輸的安全性。

　　4.完整方面

　　SET協議將發送的所有報文加密后，將為之產生一個唯一的消息摘要，一旦有人企圖篡改報文中包含的數據，該摘要就會改變，從而被檢測到，這就保證了信息的完整性。SSL協議是使用秘密共享和哈希函數進行MAC計算來提供信息的完整性服務的，它可以確保SSL對話的通信內容在傳遞途中毫無改變地送達目的地。

　　5.安全程度

　　在網上交易，安全是關鍵問題。從網絡信息傳輸安全角度看，只有確保信息在網上傳輸時的機密性、可鑒別性及信息完整性才真正安全。SET協議是專為電子商務系統設計的，它位于應用層，采用公鑰機制、信息摘要和認證體系，其中認證中心（CA）就是該體系的重要執行者，認證體系十分完善，能實現多方認證。而SSL中也采用了采用公鑰機制、信息摘要和MAC檢測，可以提供信息保密性、完整性和一定程序的身份鑒別功能，但SSL不能提供完備的防抵賴功能。特別是SSL協議不能實現多方認證，從網上安全結算這一角度來看，顯然SET比SSL針對性更強，更受客戶青睞。

　　6.運行效率

　　SET協議非常復雜、龐大、運行速度慢。一個典型的SET交易過程需驗證電子證書9次、驗證數字簽名6次、傳遞證書7次、進行5次簽名、4次對稱加密和4次非對稱加密，整個交易過程非常耗時；而SSL協議則簡單很多，運行效率也比SET協議高。

　　7.部署成本

　　SSL協議已被大部分的瀏覽器和WEB服務器內置，無須安裝專門軟件；而SET協議中客戶端要安裝專門的電子錢包軟件，在商家服務器和銀行網絡上也需安裝相應的軟件，部署成本高。

　　結束語

　　相對于SSL協議而言，SET協議更為安全，更適合于消費者、商家和銀行三方進行網上交易的國際安全標準。SET協議是專為電子商務系統設計的，它位于應用層，其認證體系十分完善，能實現多方認證。在SET的實現中，消費者賬戶信息對商家來說是保密的。網上銀行采用SET，確保交易各方身份的合法性和交易的不可否認性，使商家只能得到消費者的訂購信息而銀行只能獲得有關支付信息，確保了交易數據的安全、完整和可靠，從而為人們提供了一個快捷、方便、安全的網上購物環境。因而SET是未來電子商務安全技術的發展方向。

　　參考文獻

　　[1]何長領.電子商務交易[M].北京:人民郵電出版社,2001.

　　[2]梁晉,等.電子商務核心技術-安全電子交易協議的理論與設計[M].西安:西安電子科技大學出版社,2000.

　　[3]李琪.電子商務安全.重慶大學出版社，2004.

　　[4]李洪心.電子商務安全.東北財經大學出版社,2008,9.

　　[5]張愛菊.電子商務安全技術.清華大學出版社,2006,12.

　　[6]楊堅爭.電子商務安全與支付技術.中國人民大學出版社,2006,9.