電子商務發展的核心和關鍵問題是交易的安全性。由於互聯網本身的開放性,網上交易面臨著各種危險,並提出了相應的安全控制要求。
1.1信息保密性
交易中的商業信息需要保密。如果知道信用卡的賬號和用戶名,就有可能被盜,如果訂貨和付款的信息被競爭對手知道,就有可能失去商機。因此,在電子商務的信息傳播中,壹般需要加密。
1.2交易者身份的確定性
網上交易的雙方很可能是陌生人,相隔千裏。要讓交易成功,首先要能夠確認對方的身份。對於商家來說,要考慮到當事人不可能是騙子,顧客會擔心網店不是詐騙黑店。因此,方便可靠地確認對方身份是交易的前提。
1.3不可否認性
由於商業條件千變萬化,交易壹旦達成,就無法否認。否則必然會損害壹方的利益。
1.4不可修改性
交易記錄的單據不能修改。如果它能改變文件的內容,那麽交易本身就是不可靠的,客戶或商家可能會遭受損失。所以電子交易單據也應該是不可更改的,以保證交易的嚴肅性和公平性。
2、電子商務安全交易的相關標準和實施方法
2.1安全交易原型
在電子商務的早期階段,采用了壹些簡單的安全措施,包括:
(1)偏單:網上交易時省略信用卡號、交易金額等最關鍵的數據,然後電話告知,防止泄露。
(2)訂單確認:即交易信息在線傳輸後,通過電子郵件確認交易。
(3)在線服務:為了保證信息傳輸的安全性,利用企業提供的內網提供在線服務。
上面提到的方法都有壹定的局限性,操作比較麻煩,不能做到真正的安全可靠。
2.2安全交易標準的制定
近年來,IT行業和金融行業壹起推出了許多更有效的安全交易標準。主要包括:
(1)安全超文本傳輸協議(S-HTTP):它依靠密鑰對的加密來保證網站之間交易信息傳輸的安全性。
(2)安全套接字層(SSL協議)是Netscape推出的安全通信協議,對計算機之間的整個會話進行加密,並提供加密、認證服務和消息完整性。可以為信用卡和個人信息提供強有力的保護。在Netscape Communicator和Microsoft IE瀏覽器中使用SSL來完成所需的安全交易操作。在SSL中,采用公鑰和私鑰。
(3)安全交易技術(STT):由微軟提出,STT在瀏覽器中分離認證和解密,提高安全控制能力。微軟將在ie瀏覽器中采用這項技術。
(4)安全電子交易協議(SET): SET協議是VISA和MasterCard於1997年5月聯合推出的規範。SET主要是為了解決用戶、商戶、銀行之間通過信用卡進行支付的交易,從而保證支付信息的保密性、支付過程的完整性、商戶和持卡人的合法身份、可操作性。SET中的核心技術主要包括公鑰加密、電子數字簽名、電子信封、電子安全證書等。
目前官方公布的SET文本涵蓋了電子商務交易中信用卡的交易協議、信息保密、數據完整性、數字認證、數字簽名等內容。該標準被公認為全球互聯網的標準,其交易形式將成為未來“電子商務”的規範。
支付系統是電子商務的關鍵,但支撐支付系統的關鍵技術的未來趨勢尚未確定。安全套接字層(SSL)和安全電子交易(SET)是兩個重要的通信協議,每個協議都提供了通過互聯網進行支付的手段。但是誰將領導未來呢?SET會立即替換SSL嗎?SET die會不會因為復雜?SSL真的能滿足電子商務的需求嗎?我們可以窺見以下幾點:
SSL提供了兩臺機器之間的安全連接。支付系統通常通過在SSL連接上傳輸信用卡號來構建,而在線銀行和其他金融系統通常構建在SSL上。雖然基於SSL的信用卡支付方式促進了電子商務的發展,但如果要成功地廣泛發展電子商務,必須采用更先進的支付系統。SSL被廣泛使用,因為它內置於大多數Web瀏覽器和Web服務器中,並且易於應用。
SET和SSL除了RSA公鑰算法之外,其他技術都沒有相似之處。在這兩種情況下,RSA也用於實現不同的安全目標。
SET是基於消息流的協議,主要由MasterCard、Visa等業內主流廠商設計並發布,用於保障公眾網絡上銀行卡支付交易的安全性。SET在國際上已經得到了廣泛的應用和實驗性的測試,但是大多數在網上購買的消費者並沒有真正使用它。
SET是壹個非常復雜的協議,因為它以非常詳細和準確的方式反映了卡交易各方之間的各種關系。SET還定義了加密信息的格式和各方在完成卡支付交易過程中傳輸信息的規則。事實上,SET不僅僅是壹個技術協議。它還解釋了各方持有的數字證書的法律含義,希望獲得數字證書和響應信息的各方應采取的行動,以及與壹項交易密切相關的責任分擔。
3、當前安全電子交易的手段。
在近年來公布的許多安全電子交易協議或標準中,采用了壹些常用的安全電子交易的方法和手段。典型的方法和手段如下:
3.1密碼技術
利用密碼技術對信息進行加密是最常用的安全交易手段。電子商務中廣泛使用的加密技術有兩種:
(1)公鑰和私鑰
這種加密方法也被稱為RSA編碼方法,是由Rivest,Shamir和Adlernan開發的。它使用兩個非常大的質數相乘產生的乘積來加密。無論這兩個素數中的哪壹個先乘以原始文件代碼來加密文件,另壹個素數都可以相乘來解密。但是用壹個質數找到另壹個質數是非常困難的。因此,這壹對素數稱為密鑰對。在加密的應用中,用戶總是公開壹個密鑰,這樣需要發送信件的人就可以用他的公鑰加密信息並發送給用戶。壹旦信息被加密,它只能用用戶已知的私鑰解密。可以在網上找到具有數字證書身份的人的公開* * *密鑰,或者在要求對方發送消息時主動將公開* * *密鑰傳輸給對方,從而保證了網上傳輸信息的保密性和安全性。
(2)數字文摘
這種加密方法也稱為SHA:安全散列算法(SHA)或MD5(消息摘要的MD標準),是由Ron Rivest設計的。這種編碼方式使用單向哈希函數將待加密的明文“抽象”成壹系列128bit的密文。這壹系列的密文也叫數字印刷,長度固定,不同的明文抽象成密文,結果總是不壹樣的,但同壹明文的摘要必須壹致。這樣,這個摘要就可以成為驗證明文是否“真實”的“指紋”。
以上兩種方法可以結合起來,數字簽名就是這兩種方法結合的壹個例子。
3.2數字簽名(digital signature)
簽署書面文件是確認文件的壹種手段。簽名有兩個功能。首先,它確認了文件已經被簽署的事實,因為壹個人的簽名是難以否認的。二是因為簽名不易偽造,確認了文件真實的事實。數字簽名和書面文檔簽名有相似之處。使用數字簽名還可以確認以下兩點:
A.信息是由簽名者發送的。
b信息在傳輸過程中未被修改。
這樣,數字簽名由於容易被修改,可以用來防止電子信息被篡改;或者以他人名義發送信息;或者發(收)壹封信然後否認。
數字簽名采用雙重加密方法實現防偽和防欺詐。其原理是:
(1)發送的文件用SHA碼加密,生成128位的數字摘要(見上壹節)。
(2)發送者用他自己的私人鑰匙重新加密摘要,形成數字簽名。
(3)將原文和加密摘要同時發送給對方。
(4)對方用發送方的公鑰解密摘要,用SHA碼加密收到的文件,生成另壹個摘要。
(5)在接收端將解密的摘要與接收文件重新加密生成的摘要進行比較。如果兩者壹致,說明信息在傳輸過程中沒有被破壞或篡改。否則,否則。
3.3數字時間戳
時間是交易文件中非常重要的信息。在書面合同中,簽署文件的日期和簽名壹樣重要,以防止文件被偽造和篡改。
在電子交易中,還需要對交易單據的日期和時間信息采取安全措施,DTS(數字時間戳服務)可以為電子單據的發布時間提供安全保護。
數字時間戳服務(DTS)是由專門機構提供的在線安全服務。時間戳是壹個加密的憑證文檔,它包括三個部分:1)要加時間戳的文件的摘要,2)DTS接收文件的日期和時間,3)DTS的數字簽名。
時間戳生成的過程是這樣的:用戶首先用HASH碼對需要時間戳的文件進行加密,形成摘要,然後將摘要發送給DTS。DTS在添加接收文件摘要的日期和時間信息後對文件進行加密(數字簽名),然後將其發送回用戶。Bellcore創建的DTS采用了以下過程:加密時,將抽象信息合並到二叉樹的數據結構中;然後在報紙上公布二叉樹的根值,更有效地為文獻的公布時間提供證據。註意,書面簽署文件的時間是簽名人自己寫的,而數字時間戳不是。它是由認證單元DTS根據DTS收到文檔的時間添加的。因此,時間戳也可以作為科學家科學發明文件的時間認證。
3.4數字證書(數字標識)
數字證書(Digital certificate)又稱數字證書,是以電子方式證明壹個用戶的身份和對網絡資源的訪問權。在網上電子交易中,如果雙方出示各自的數字憑證,並使用它們進行交易,那麽雙方就無需擔心對方身份的真實性。數字代金券可用於電子郵件、電子商務、群件、電子資金轉賬和其他目的。
數字憑證的內部格式由CCITT X.509國際標準規定,包括以下幾點:
(1)憑證所有人姓名,
(2)證書所有者的公用鑰匙,
(3)公鑰的有效期,
(四)頒發數字證書的單位,
(5)數字憑證的序列號,
(6)簽發數字證書的單位的數字簽名。
有三種類型的數字憑證:
(1)個人數字身份證(Personal Digital ID):只為某個用戶提供壹個證書,幫助他在網上進行安全交易。個人身份的數字證書通常安裝在客戶端的瀏覽器中。並通過安全電子郵件(S/MIME)進行交易操作。
(2)企業(服務器)證書(服務器ID):通常為互聯網上的Web服務器提供壹個證書,擁有Web服務器的企業可以使用擁有該證書的網站進行安全的電子交易。具有憑證的Web服務器將自動加密它與客戶端Web瀏覽器通信的信息。
(3)軟件(開發者)證書(Developer ID):通常為互聯網上下載的軟件提供壹個證書,用於結合微軟公司Authenticode技術(正版化軟件)的軟件,以便用戶在下載軟件時獲取所需信息。
以上三類代金券中,前兩類是常用代金券,第三類用於比較特殊的場合。大部分認證中心提供前兩類憑證,能提供各類憑證的認證中心並不常見。
3.5 CA:證書頒發機構(CA)
在電子交易中,無論是數字時間戳服務(DTS)還是數字證書(Digital ID)的簽發,都不是由交易雙方自己完成的,而是由權威、公正的第三方來完成的。認證中心(CA)是承擔網上安全電子交易的認證服務,頒發數字證書,確認用戶身份的服務機構。認證中心通常是企業服務機構,其主要任務是接受數字證書的申請、頒發和管理。認證中心根據CPS(認證實踐聲明)實施服務操作。
以上五個方面介紹了安全電子交易的常用手段,各種手段往往組合在壹起,形成壹個比較全面的安全電子交易體系。
4.應用趨勢
據最新報道,中國第壹個安全的電子商務系統:“在線預訂與支付系統”經過半年的試運行,於8月8日1999上線運行。其發起單位由上海市政府商務委員會、上海市郵電管理局、中國東方航空股份有限公司、中國工商銀行上海市分行、上海電子商務安全證書管理中心有限公司等共同發起、投資、開發。
系統結構采用在線預訂和支付系統,由四個子系統組成:商戶子系統、客戶子系統、銀行支付網關子系統和數字證書授權認證子系統。
商戶子系統的第壹個應用是購買飛機票的東航網站。網址:www.cea.online.sh.cn;是國內第壹家安全電子商務網站。
客戶子系統是安裝在PC上的電子錢包軟件,是信用卡持卡人在線消費的支付工具。客戶的信用卡信息和數字證書必須添加到電子錢包中,然後才能進行在線消費。
支付網關子系統通常是指由收單行運營的壹套設備,用於處理商戶的支付信息和持卡人發出的支付指令。
數字證書授權和認證子系統為每個交易參與者生成數字證書,作為交易方身份的驗證工具。
其技術特點是采用了IBM的電子商務框架結構,嵌入了國家密碼管理委員會批準的用於加密/解密的軟硬件產品。該電子商務系統具有以下安全交易的特征:
1)遵循SET國際標準,具有SET標準規定的安全機制,是目前運行在互聯網上相對安全的電子商務系統;
2)兼顧國內信用卡/儲蓄卡和國際信用卡的業務特點,具有壹定的中國特色;
3)開放,可與SETCO認證的任何電子商務系統互操作;