电子交易的安全认证技术.pdf

电子交易的安全认证技术

学号：********

g姓名：***

于2007年10月15日星期一

电子交易的安全认证技术

认证包含信息认证数据源认证和实体认证（身份识别），用以

防止欺骗、伪装等攻击。对消息进行数字签名，采用信息认证码

MAC

（）或用单钥对消息进行加密可实现消息认证。实体认证协议可分为单向认证和

双向认证协议。前者是指协议仅能完成两个实体中一方对另一方的认证，而后者则

可实现两个通信实体间的相互认证。

当许多传统的商务方式应用在Internet上时，便会带来许多源于安全方面的问

题，如传统的贷款和借款卡支付/保证方案及数据保护方法、电子数据交换系统、对

日常信息安全的管理等。电子商务的大规模使用虽然只有几年时间，但不少公司都

已经推出了相应的软、硬件产品。由于电子商务的形式多种多样，涉及的安全问题

各不相同，但在Internet上的电子商务交易过程中，最核心和最关键的问题就是交

易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患：

1、窃取信息

由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的

网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律

和格式，进而得到传输信息的内容，造成网上传输信息泄密。

2、篡改信息

当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的

信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上

都可以做此类工作。

3、假冒

由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假

冒的信息或者主动获取信息，而远端用户通常很难分辨。

4、恶意破坏

由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信

息，甚至可以潜入网络内部，其后果是非常严重的。

因此，电子商务的安全交易主要保证以下四个方面：

1.信息必威体育官网网址性

交易中的商务信息均有必威体育官网网址的要求。如信用卡的账号和用户名等不能被他人知悉，

因此在信息传播中一般均有加密的要求。

2.交易者身份的确定性

网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的

身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄

欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。

3.不可否认性

由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。

因此电子交易通信过程的各个环节都必须是不可否认的。

4.不可修改性

交易的文件是不可被修改的，否则也必然会损害一方的商业利益。因此电子交易文

件也要能做到不可修改，以保障商务交易的严肃和公正。

■

电子商务交易中的安全措施:

在早期的电子交易中，曾采用过一些简易的安全措施，包括：

电子商务资料库：即在网上交易中将最关键的数据如信用卡号码及成交数额等

略去，然后再用电话告之，以防泄密。

另行确认(OrderConfirmation)：即当在网上传输交易信息后，再用电子邮件

对交易做确认，才认为有效。

此外还有其它一些方法，这些方法均有一定的局限性，且操作麻烦，不能实现真正

的安全可靠性。

■

近年来，主要的协议标准有：

1.安全超文本传输协议(S-HTTP)：依靠密钥对的加密，保障Web站点间的交易信

息传输的安全性。

2.安全套接层协议(SSL)：由Netscape公司提出的安全交易协议，提供加密、

认证服务和报文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE浏

览器，以完成需要的安全交易操作。

3.安全交易技术协议(STT,SecureTransactionTechnology)：由

Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能

力。Microsoft在InternetExplorer中采用这一技术。

4.SET,SecureElectronicTransacti