您好,欢迎访问三七文档
确保有效开展电子商务活动,关键是要保证电子商务系统的安全性,也就是要保证基于Internet的电子商务环境的安全和电子商务交易过程的安全。如何确保电子商务环境的安全和电子商务交易过程的安全,为客户在网上从事商务活动提供信心保证,是决定电子商务系统成败的关键,是电子商务健康全面发展的保障。1.电子商务交易安全问题电子商务交易过程中,商家要发布产品信息,确认订购信息,收货款;客户要获取产品信息,传递订购信息,支付货款。买卖双方都存在安全问题,其中主要包括交易信息安全、支付安全和诚信安全。1.1交易信息安全交易信息包括商家的产品信息和订单确认信息、客户的订单信息。交易信息具有机密性,不能被篡改。交易信息安全主要是防止交易信息被截获或截获后被破译,以及防止数据被恶意篡改和破坏。1.2支付安全支付信息主要是客户的银行帐号、交易金额、以及个人识别码(PIN)和电子货币信息。支付过程中必须保证这些信息的安全。同时,对商家来说,可能存在虚假定单,假冒者以客户名义订购货物,而要求客户付款;对客户来说,可能存在欺骗性网站,盗取客户敏感信息,导致资金被窃取。如何保证客户支付信息安全以及买卖双方身份的真实性,是支付安全主要考虑的问题。1.3诚信安全电子商务的交易信息和支付信息有了安全保障,也并不能让买卖双方放心从事网上交易。我们知道电子商务的在线支付形式有电子现金、电子支票、信用卡支付。但是采用这几种方式,都要求客户先付款,商家再发货。这样客户的付款以后,会担心收不到货物或者收到劣质的货物。如果是先发货,然后付款,那么商家会担心客户是否会付款。因此,诚信安全也是影响电子商务支付型业务快速发展的问题。2解决方案保证电子商务的安全,也就是要保证基于Internet的电子商务环境的安全和电子商务交易的安全。针对电子商务的安全问题,需要有相应的安全技术加以解决。对于电子商务环境安全问题,主要是主要通过数据备份和灾难恢复技术、防火墙技术、数据加密解密技术和防病毒技术加以解决,这里不作详细介绍。对于电子商务交易安全问题,采用以下技术加以解决。2.1数据加密技术由于交易信息在传输过程中有可能遭到侵犯者的窃听而失去机密性,加密技术是电子商务采取的主要保密安全措施,是最常用的保密安全手段。加密技术也就是利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密包括两个元素:算法和密钥。密钥和算法对加密同等重要。密钥加密技术的密码体制分为对称密钥体制和公共密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密和非对称加密。对称加密以数据加密标准(DES,DataEncryptionStandard)算法为典型代表,非对称加密通常以RSA(RivestShamirAd1eman)算法为代表。2.2数字签名对信息进行加密只解决了信息保密问题,而防止他人对传输的信息进行篡改或破坏,保证信息的完整性,以及保证信息发送者对发送信息的不可抵赖性,需要采用其它的手段,这一手段就是数字签名。在电子商务系统中,数字签名技术有着特别重要的地位,数据签名技术能够保证:信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;发送方对于自己发送的信息不能抵赖。目前的数字签名是建立在公共密钥体制基础上,它是公用密钥加密技术的另一类应用。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:信息是由签名者发送的;信息自签发后到收到为止未曾作过任何修改。应用广泛的数字签名方法主要有三种,即:RSA签名、DSS签名和Hash签名。这三种算法可单独使用,也可综合在一起使用。2.3数字信封数字签名也是建立在公共密钥体制基础上,它也是公用密钥加密技术的另一类应用。所谓数字信封是指信息发送方用信息接收方的公开密钥将一个会话密钥加密,形成一个数字信封,然后发送给接收方,只有指定的接收方才能使用自己的秘密密钥打开数字信封,获取其中的对称密钥,并使用对称密钥解读发送方传送过来的信息。2.4数字证书在公共密钥体制中,私钥只有信息发送者知道,而与之匹配的公钥是公开的,它能保证传输信息的机密性,但没有解决公钥的分发方式。数字签名保证了信息是由签名者发送的以及信息自签发后到收到为止未曾作过任何修改,但不能保证签名者身份的真实性。因此需要有一种措施来管理公钥分发,保证公钥以及与公钥有关的实体身份信息的真实性。这一措施就是数字证书。数字证书是一般由具有权威性、可信任性的第三方机构即认证机构(CertificateAuthority,CA)所颁发。数字证书是公共密钥体制中的密钥管理媒介,并将公钥和实体身份信息绑定在一起,并包含认证机构的数字签名。数字证书在电子商务中用于公钥的分发、传递,证明电子商务实体身份与公钥相匹配。3.电子商务安全的网络实现技术电子商务的安全技术是解决电子商务安全的技术手段,需要在电子商务系统所在的网络环境中实现,这些安全技术手段是通过网络安全协议实现。目前网络安全协议包括安全套接层协议(SecureSocketsLayer,SSL)和安全电子交易协议(SecureElectronicTransaction,SET)。3.1安全套接层协议(SSL)SSL(SecureSocketLayer)是由Netscape设计的一种开放协议,主要目的是在两个通信应用程序之间提供机密性和数据完整性。它为基于TCP/IP的客户机/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议以保证应用层数据传输的安全性。但是,SSL是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。在客户直接在线支付的电子商务系统中,由于有银行参与,按照SSL协议,客户购买的信息首先发到商家,商家再将信息转发银行,银行验证客户信息的合法性后,通知商家付款成功,商家再通知客户购买成功,并将商品寄送客户。SSL协议运行的基点是商家对客户信息保密的承诺。在整个过程中我们也可以注意到,商家通过银行对客户身份进行认证,但客户没有对商家身份进行认证,SSL协议有利于商家而不利于客户。但是,SSL协议独立于应用层协议,且被大部分的浏览器和Web服务器所内置,便于在电子商务交易中应用。因此目前大部分电子商务系统仍然使用SSL协议。同时通过支付中介对客户和商家进行认证,解决了SSL协议中客户对商家身份没有进行认证的问题。因此在引入了支付中介的电子商务系统中一般采用SSL协议保证交易信息安全和支付安全。3.2安全电子交易协议在电子商务系统中,保证买卖双方传输数据的安全成为电子商务的重要问题。为了克服SSL安全协议的缺点,满足电子交易持续不断地增加的安全要求,两大国际信用卡组织(VISA和MasterCard)联合Microsoft、IBM等共同制定了安全电子交易(SecureElectronicTransactions,SET)协议。这是一个为在线交易设立的以信用卡为基础的电子付款规范,SET系统在对客户信用卡认证的前提下,又增加了对商家身份的认证。SET主要使用电子认证技术,其认证过程使用RSA和DES算法,因此,可以为电子商务提供很强的安全保护。SET规格充分发挥了认证中心的作用,在信息传递过程中使用了数字证书、加密技术,数字签名,数字信封等技术,保证了传递信息的机密性,数据的完整性和不可抵赖性。在电子商务交易过程中,使用SET协议,客户在交易过程中提供两组信息,一组是向商家提供的订购信息,一组是向银行提供的支付信息,SET协议使用数字信封和数字签名技术保证商家并不知道客户的银行支付帐号有关的信息,同时银行也不知道具体的订购内容,保证客户资料信息的安全。虽然SET协议规范了客户、商店、支付网关,收单银行,发卡银行的资料传送与身分识别以及电子签名等等机制,安全性大大提高。但SET的缺点也很多,最大的问题是使用麻烦,客户要使用SET协议进行电子商务交易,需要在电脑上安装电子钱包软件,且要向发行申请认证,还要记得钱包密码。而且换一台电脑又不能进行交易,除非这个客户比较懂电脑可以把档案带着走。这对大部分的客户来说是一个障碍。也导致SET在实际应用中较少使用。4.电子商务交易形式客户通过支付中介与商家在线支付的电子商务交易,它的交易过程如下:①客户利用已有的计算机通过Internet选定物品,并下电子订单;②商家做出应答,告诉消费者的订单的相关情况,并接受订单;③消费者选择通过支付中介付款方式,并付款给支付中介;④商家接到支付中介到款通知后发送货物,并提交发货信息;⑤客户收货满意后,同意付款给商家;⑥商家收到货款。这种交易方式客户不是直接付款给商家,而是先付款给支付中介,由支付中介代为安全保管。客户收货满意后,才通知支付中介支付货款给商家,因此客户可以放心的付款。商家在确认支付中介已收到货款后才发货,因此,可以放心的发货。目前,C2C模式的电子商务系统一般采用这种支付形式的进行电子商务交易。如阿里巴巴网站使用的支付保、易趣网站使用的安付通,就是保证网上安全交易的支付中介。采用支付中介的网上交易做到了“货到付款”与“款到发货”,解决了诚信安全问题,支付中介在交易过程中充当值得信赖的第三方并且控制付款流程,提高了网上交易的安全,有了它,买卖双方就可以放心的通过支付中介进行网上交易了。5结论基于上述分析,将为我们的网站采用的安全措施如下:1.使用数字签名来保证信息的完整性和不可抵赖性;2.使用数字信封来保证信息只有指定的接收者才能看到;3.使用数字证书保证公钥以及与公钥有关的实体身份信息的真实性;另外找一家权威的和可信赖的第三方来为数字证书作签发。4.采用SSL协议保证交易信息安全和支付安全。5.采用客户通过支付中介与商家在线支付的电子商务交易形式来保证诚信安全。
本文标题:电子商务安全方案
链接地址:https://www.777doc.com/doc-2209569 .html