电子商务安全协议.doc

电子商务平安协议

Xxx

〔华中科技大学电子与信息工程系，武汉430074〕

摘要：随着人类进入以网络为主的信息时代，Internet的高速开展带来了商业和经济模式的重大变革。基于Internet开展起来的电子商务慢慢成为人们进行商务活动的新模式，但是平安问题成为了制约其开展的重要因素。本文简单介绍了电子商务平安的相关问题以及电子商务中的主流平安协议：SSL协议与SET协议，并对两种协议的优缺点进行了一定的比拟分析。

关键词：电子商务，平安协议，SSL，SET

电子商务平安概述

随着信息技术的迅速开展，人类正进入以网络为主的信息时代，基于Internet开展起来的电子商务慢慢成为人们进行商务活动的新模式。但是，电子商务的平安问题也是制约其开展的重要因素之一，如何建立一个平安、便捷的电子商务应用环境，保证整个电子商务活动中信息的平安性，使基于Internet的电子交易方式与传统交易方式一样可靠。

电子商务的定义

电子商务是把现有的计算机软件、硬件设备和网络设施，通过一定的协议连接起来的在电子网络环境下进行各种商品买卖的一种新方式。电子商务改变了传统的面对面交易模式，同时在一定程度上打破了时间和地点的限制。虽然电子商务具有快捷性、方便性、不受时间地点的限制、相对传统交易开销小等诸多优点，但是却存在平安性方面的许多隐患。

电子商务的平安要素

为了保证电子商务在整个商品交易活动中，可以平安顺利的进行，一般来说，需要电子商务的平安系统必须具备以下几个平安要素：

有效性：要求电子商务系统可以对信息，交易实体的有效性进行鉴别

机密性：保证信息在存取和传输过程中的平安性

数据的完整性：即保护数据的完整性，防止有人没有经过授权就对数据内容进行修改，同时还要保证数据的一致性

可靠性和不可抵赖性：在进行电子商务交易时，交易信息在传输过程中将为参与交易的个人、企业、国家提供可靠的标识

审查能力：过使用电子商务交易系统的日志文件对交易的数据的结果进行审查、追踪

电子商务主要平安协议

S-HTTP：平安超文本传输协议,它是一种面向平安信息通信的协议，它可以和HTTP结合起来使用。S-HTTP能与HTTP信息模型共存并易于与HTTP应用程序相整合。该协议向www的应用提供可鉴别性、完整性、机密性以及不可否认性等平安措施。

iKP：该协议是由IBM公司设计的一种全新的平安电子支付协议，可以在网上进行平安的交易。该协议最主要的特征是对数据提供密码保护和对解决争端的检查跟踪，可以对客户、商家和银行的网关三方之间进行仲裁。该协议是基于RSA公钥体制的，并能推广到借记卡或电子支票等支付系统中。

SSL：平安套接层协议，是Netscape公司率先采用的网络平安协议。它是传输通信协议〔TCP/IP〕上实现的一种平安协议，采用公开密钥技术。SSL广泛支持各种类型网络，同时提供三种根本的平安效劳。对于电子商务应用来说，平安套接层协议可以保证信息的完整性、必威体育官网网址性和真实性。但是，平安套协议不能对应用层的消息进行数字签名，因此不能确定交易的不可否认性，这是平安套协议在电子商务中最大的缺乏。

SET：平安电子交易协议，由Visa与Mastercard两大信用卡组织联合IBM、HP等公司1997年开发成功，是为了在Internet进行线上交易时保证信用卡支付的平安而设立的一个开放的标准。Set协议在网上购物环境中提供了商家、顾客和银行三者之间的认证，确保了交易数据的平安性、完整性、可靠性和交易的不可否认性，同时还提供了一定的隐私保护，使其获得IETF标准的认可，也是电子商务开展的方向。

SSL和SET是当前在电子商务中应用最为广泛的平安协议，在较长时间内SSL和SET将作为电子商务平安保证的主流协议，在下文中会主要介绍这两种常用协议。

SSL〔SecureSocketLayer〕平安套接层协议

SSL协议向基于TCP/IP的客户/效劳器应用程序提供了客户端和效劳器的鉴别、数据完整性及信息机密性等平安措施。

SSL协议工作流程

效劳器认证阶段：

1〕客户端向效劳器发送一个开始信息“Hello”以便开始一个新的会话连接；

2〕效劳器根据客户的信息确定是否需要生成新的主密钥，如需要那么效劳器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；

3〕客户根据收到的效劳器响应信息，产生一个主密钥，并用效劳器的公开密钥加密后传给效劳器；

4〕效劳器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证效劳器。

用户认证阶段：

经认证的效劳器发送一个提问给客户，客户返回〔数字〕签名后的提问和其公开密钥，从而向效劳器提供认证。

从SSL协议所提供的效劳及其工作流程可以看出，SSL协议运行的根底是商家对消费者信息必威体育官网网址的承诺，这就有利于商