返回
电子商务安全协议探讨

电子商务安全协议探讨

ID:33934694

大小:1.97 MB

页数:67页

时间:2019-03-01

电子商务安全协议探讨_第1页
电子商务安全协议探讨_第2页
电子商务安全协议探讨_第3页
电子商务安全协议探讨_第4页
电子商务安全协议探讨_第5页
资源描述:

《电子商务安全协议探讨》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、西南财经大学硕士学位论文电子商务安全协议探讨姓名:施娟申请学位级别:硕士专业:金融学指导教师:蔡学望20010501论文摘要电子商务作为一种新兴的商业模式在全球引起了轰动。借助于不断增长的成本低廉的Intemet,电子商务以其低成本、高效率的优势向传统商业模式提出挑战。在电子商务发展的诸多关键点中,安全因素是不可忽视的重点。电子商务安全包括保证交易的机密性、身份鉴别的口j行性、交易4i可否认性及交易的有效性和资源的可控性。安全本身是一个系统概念,系统中任何环节薄弱都将使整个系统的安全性降低。电子商务安全是一个包含诸多成分的复杂体系,

2、但本文不对构成该体系的各成分一一论述,本文的讨论范围仅限于电子商务安全协议范围。本文总结了两个主流的电子商务安全协议——SSL和SET,对其安全性进行分析比较,以期对电子商务安全协议有清楚的认识和客观的评价。SSL(安全套接字层)协议是最早应用于电子商务的安全协议之一。Netscape当初开发SSL是为了实现服务器和客户端的安全连接及双方的身份认证。在电子商务发展迅速而专门的安全协议尚未出台之时,SSL被作为最适宜的电子商务安全协议入选。协议分上下两层,下层SSL记录层协议,主要是定制数据格式和传送数据;上层SSL握手协议,主要是实

3、现通信双方的身份鉴别并协商建立安全的通信连接所需的参数。记录层协议工作在握手协议商定的会话环境中,而握手协议作为上层协议使用记录层协议提供的服务,依靠记录层协议完成挥手消息的传递。握手开始时的会话环境是无任何保护的明文通信。SSL结合运用了公钥密码技术、对称密码技术和完整性保护技术来实现其目标,采用数字证书证明实体身份。SSL认为大多数情况下服务器不需要验证客户端,故对客户端的验证是可选的。服务器证书将被发送给客户端,客户端通过验证证书鉴别服务器的可靠性,并用证书中的公钥加密一个预备秘密传给服务器。在公钥体系中,仅有相应的私钥才可解

4、开特定公钥加密的密文,SSL据此保证只有服务器和客户端拥有预备秘密作为生成会话密钥的种子。SSL使用对称密码算法加密通信数据,并对传输的数据进行完整性检验。SSL用加密套件表示对称密码算法和完整性检验使用的单向散列函数的组合,SSL支持的加密套件从最强的三重DES+SHA一1到最弱的无加密+MD5验证,双方连接具体使用哪种套件在握手时商定,通常选择双方都支持的最强的加密套件。对称密码算法使用的密钥由双方分别将预备秘密进行一系列相同的处理过程产生。在实际应用中,SSL能够根据选择的加密会件对传输内容的机密性予以一定程度的保护,能够防止

5、网络监听攻击、报文重发攻击,也能较好地阻止“中间人”攻击。但SSL握手协议的内容全部以明文形式传递,有可能被篡改而导致双方选择较弱的加密套件。由于SSL主要针对信息发布,通常不验证客户端身份,因而在电子商务中使用SSL时常常要以带外方式(如电话、E.mail等)验证客户端身份。此外,在传统的采用SSL的电子商务交易模型中,客户的敏感数据(如银行卡帐号信息等)需经过商家传递给银行,不能保护客户免受商家欺诈。现行的SSL电子商务交易模型对此进行了改进,使客户的敏感信息不经过商家直接传递给银行。SSL不支持交易的不可否认性,必须采用带外方

6、式确认交易。对于破坏交易有效性的因素,包括截取并丢弃数据包、拒绝服务攻击以及对主机系统的攻击,SSL均不能防范。SET(安全电子交易)协议是1996年才提出的专门针对Internet等不安全网络上采用银行卡支付的电子交易的安全协议。SET根据实际的交易步骤在协议中规定了若干处理过程,包括持卡人注册、商家注册、购买请求、支付授权、支付请款等。SET是三方支付协议,支付网关作为银行系统与商家和客户的接口参与SET。在使用SET支付以前,参与的三方(客户、商家、支付网关)必须取得相关的数字证书。SET证书分两类:签名证书和密钥交换证书。签

7、名证书用于对发送消息的实体进行身份鉴别,密钥交换证书用于传递加密数据的对称密铡。SET中持卡人只有签名证书,商家和支付网关既有签名证书又有密钥交换证书。证书是SET实现安全通信和实体身份鉴别的重要手段,SET采用了严格的树状层次证书管理体系结构。树状结构中除根证书外的每一实体的证书均由上一级实体颁发,证书中包含上级实体的签名和指向上级实体证书的链接。在根证书可信的条件下,通过逐层向卜验证证书颁发者签名必定可以验证证书的可信性。为保证根证书的可信,SET的初始根证书包含在SET软件中颁发,根证书的更新也采取与其他证书不同的力+式。SE

8、T采用CRL鉴别有效期内由于私钥泄露、身份信息改变等原因被撤消的证书。SET定义了BCI结构来维护一个品牌域中的所有CRL,通过传递证书、CRL或BCI的指纹传递信息,接收方通过指纹判断发送方是否拥有最新的CRL和BCI信息。与SSL

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。