基于电子商务安全技术的应用研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于电子商务安全技术的应用研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:电子商务作为一种新兴的商业模式,该文对电子商务领域的安全进行探讨,指出目前电子交易中出现的隐患问题,介绍主流的电子商务安全技术,并且构建出基于移动支付的电子支付模型系统。
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)23-942-02
The Research for Security Technology Based on E-business
LIANG Li-zhong
(Software College, South China University of Technology, Guangzhou 510641, China)
Abstract:Electronic-business as a new business pattern, the thesis introduces the security ofE-B,by the way,introduce the problems of electronic trade, besides, introduce the security technology of E-B, finally, analyse the model of electronic paying.
Key words: electronic-business; ecurity of network; electronic paying
1 引言
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电子商务过程的顺利进行。即实现电子商务保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
2 电子商务安全技术
目前,进行电子商务交易的企业所面临的主要安全问题有:
1)机密性:为防止信息被非授权的人窃听,需要保证电子商务中涉及的大量机密信息在本地存储和在网络的传输过程中不被窃取。
2)认证:在电子商务活动中,需要对双方进行认证,以保证交易双方身份的正确性。确保要进行交易的贸易方的真实身份确实与对方宣称的身份一致,是保证电子商务顺利进行的关键之一。
3)完整性:要防止信息的丢失、伪造、篡改、删除和传送次序的混乱,保证电子商务中所传输的交易信息不被中途篡改及通过重复发送进行虚假交易等。
4)不可否认性:在电子商务的交易完成后,要保证交易的任何一方无法否认己发生的交易.
针对这些安全问题,加密解密技术、消息认证(Message Authentication)技术、数字签名技术和数字证书技术被提出来,通过它们及其组合可以增强电子商务的安全性。
Java开发的工具包JDK(Java Development Kit)提供了实现信息加密解密、数字签名和数字证书的各种类、函数和方法。
2.1 加密/解密
所谓数据加密就是通过对原始的文件或数据(称为明文)用某种算法进行处理,使其转变为对未经授权的读者而言不可理解的一段信息(称为密文),这段转变后的信息只能在输入相应的密钥之后才能显示出其本来的内容。通过这样的途径来达到保护数据不被未经授权者窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。
电子商务活动中的大量电子信息在网络上传输的时候,都需要保证信息的机密性,这时,加密技术起到关键作用。另外,加密技术是其它安全技术的基础,很多其它安全技术都是以加密技术为基础的,比如后面提到的数字签名等.
2.2 消息认证
消息认证(也有称作报文认证)是用来校验所接收的消息是否来自所宣称的发送方,并且该消息没有被篡改的技术。消息认证用来解决网络传输中的信息伪装、内容篡改、插入删除和消息顺序的改变等非法攻击等。
在电子商务活动中,通过消息认证算法和认证协议,如果发生发送方所传输的交易信息被伪装、篡改、插入和删除,以及交易信息顺序被改变等情况,都可以被接收方发现,这样可以保证信息的完整性,防止电子商务活动中恶意的破坏活动。
2.3 数字签名
客观世界中,书信或文件是根据亲笔签名或者印玺来证明其真实性。在计算机网络中,被传送报文的签名者身份的标识是由数字签名技术来完成的。数字签名利用一套规则和一个参数对所要签名的数据进行计算,计算的结果能够确认签名者的身份和数据的完整性。
通过数字签名,接收方能够核实发送方对信息的签名,发送方事后不能抵赖对报文的签名,接收方和其它人由于没有发送方的私钥,也就不能伪造对信息的签名。对于一个用户来讲,实施数字签名时首先要生成他的密钥对,并且分别保存。
2.4 数字证书
数字证书是一段包含用户身份信息、用户公钥信息以及证书认证中心(CA)数字签名的文件,它由证书认证中心管理。认证中心作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务,它的数字签名可以确保证书信息的真实性。
网上为安全传输信息,传输前传输的双方首先互相交换证书,验证彼此的身份;然后,发送方利用证书中的加密密钥和签名密钥对要传输的数字信息进行加密和签名,这就保证了只有合法的用户才能接收该信息,同时保证了传输信息的机密性、真实性、完整性和不可否认性。从而保证网上信息的安全传输。
3 电子支付模型
典型的基于信用卡的网上支付类型有三种:
1)第三方经纪人模型(图1)
第三方经纪人支付模型特点如下:
① 用户在第三方付费系统服务器上开一个帐户;
② 用户使用这个帐户付款;
③ 商家自由度大,风险小;
④ 支付是通过双方都信任的第三方(经纪人)完成。
2)简单加密支付模型(图2)
① 用户只需在银行开立一个普通信用卡帐户,在支付时,用户提供信用卡号码和密码;
② 传输时要进行加密,只有业务提供商或第三方付费处理系统能够识别;
③ 一系列的加密、授权、认证以及相关信息传递,使交易成本提高,所以这种方式不适合用于小额交易。
3)安全电子交易(SET)模型(图3)
电子安全交易,简称SET,是一个在开放的互联网上实现安全电子交易的一个国际协议和标准。它采用RSA公开密钥体系对通信双方进行认证。
综合比较以上三种典型电子支付方式:
① 基于第三方经纪人的网上支付模式大大降低了消费者和商户的风险,比较流行,由于第三方经济人对帐户的管理非实名制,给了网上盗取他人银行帐号洗钱的可能;
② 对于简单加密的网上电子支付,使用简便,但保密性不够强,要注意计算机的病毒尤其是木马病毒的防止;
③ 基于SET网上电子支付由于交易的参与方均要验证数字证书,结构过于复杂,安全门槛设置太高,在网络状况不好时,处理熟读慢。因为交易的参与方均要使用文件或移动证书,理论上安全可靠。
④ 现阶段国内个人用户最安全的模式是使用各银行自行颁发的CA证书,用户使用网上电子支付时,银行要验证客户的证书。
4 基于移动支付确认的电子支付模型
将简单加密模型经过改进,在用户到发卡行申请开户时,发卡行将用户行用卡与用户手机绑定,用户进行网上支付时,必须得到用户的手机信息确认。
目前,国内手机用户数量庞大,属于普及性的通信产品,短信资费低廉,招商银行已开通WAP2.0手机银行业务,中国工商银行已开通短信银行业务。
利用手机短消息确认支付信息快捷,但手机屏幕及键盘太小,输入大量信息不便,综合计算机和手机两者的优势,用户在进行网上支付时,输入卡号和密码后,收单行处理后反馈给用户手机“是否确认”信息,等待用户确认,如果没有得到用户的确认,收单行不予支付。这样,就保证了用户资金的安全性。
基于移动支付确认的电子支付模型如图4所示。
5 结束语
在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为安全工程,而不是解决方案来实施。
参考文献:
[1] 刘军,季常煦,曾洁琼.电子商务系统的规划与设计[M].北京:人民邮电出版社,2001.
[2] 吴应良.电子商务原理与应用[M].广州:华南理工大学出版社,2003.
[3] 孙卫琴,李洪成.Tomcat与Java Web开发技术详解[M].北京:电子工业出版社,2004.
[4] 赵强,乔新亮.J2EE应用开发[M].北京:电子工业出版社,2003.
[5](美)Eckel B. Thinking in Java Third Edition[M].北京:机械工业出版社,2006.
[6](美)Horstmann C S, Cornell G. Core Java VolumeI[M].北京:机械工业出版社,2006.