電子商務(wù)中安全機(jī)制與安全協(xié)議問題研究

引言：電子商務(wù)的高速發(fā)展已經(jīng)在全球范圍內(nèi)開始，但是在電子商務(wù)快速發(fā)展的同時(shí)，電子商務(wù)的安全問題也越來(lái)越嚴(yán)重，雖然這些問題無(wú)法影響電子商務(wù)的全球化進(jìn)程，但是也嚴(yán)重影響了電子商務(wù)的進(jìn)一步發(fā)展，嚴(yán)重給電子商務(wù)使用者帶來(lái)了嚴(yán)重的損失。電子支付系統(tǒng)是電子商務(wù)中的重要組成，而安全協(xié)議又是這一部分最重要的安全保護(hù)方式，所以研究安全協(xié)議是提高電子商務(wù)安全性的很好方式。本文將電子安全協(xié)議主要的兩種SSL協(xié)議和SET協(xié)議進(jìn)行對(duì)比和分析，以便于電子商務(wù)信息安全的提升。

前言

隨著電子商務(wù)的興起，世界貿(mào)易已經(jīng)發(fā)生巨大變化，電子商務(wù)已經(jīng)在商務(wù)領(lǐng)域有著不可替代的作用，為全球貿(mào)易進(jìn)程貢獻(xiàn)自己的力量。但是電子商務(wù)的安全問題也在越來(lái)越嚴(yán)重，大量的經(jīng)濟(jì)犯罪都以電子商務(wù)作為目標(biāo)，這對(duì)于電子商務(wù)的發(fā)展產(chǎn)生了極為嚴(yán)重的負(fù)面影響，也為廣大使用者造成了巨大的損失。

一、電子商務(wù)中的安全機(jī)制

電子商務(wù)中的安全技術(shù)主要分為網(wǎng)絡(luò)安全技術(shù)和密碼安全技術(shù)。這兩種技術(shù)的功能和針對(duì)性都有很大的區(qū)別。網(wǎng)絡(luò)安全技術(shù)主要涉及計(jì)算機(jī)的安全保護(hù)，針對(duì)于信息的發(fā)出端和數(shù)據(jù)的接收端進(jìn)行全面的保護(hù)，這一部分的技術(shù)主要有，防火墻、操作系統(tǒng)保護(hù)、反黑客技術(shù)等等。密碼安全技術(shù)的針對(duì)方向和功用與網(wǎng)絡(luò)安全技術(shù)不同，主要是保護(hù)信息的安全，通過加密等方式對(duì)于信息進(jìn)行保護(hù)，所以在信息的傳輸和使用中，選擇一個(gè)強(qiáng)大的加密算法十分的重要[1]。

這兩種安全保護(hù)機(jī)制通過功能上的互補(bǔ)保證了電子商務(wù)的安全性，從系統(tǒng)和信息兩個(gè)角度對(duì)于信息的安全進(jìn)行全面的保護(hù)。

二、PKI安全技術(shù)

PKI即公開秘鑰基礎(chǔ)設(shè)施，是現(xiàn)階段網(wǎng)絡(luò)安全保障的最佳體系結(jié)構(gòu)，其核心主要是由認(rèn)證、注冊(cè)、存儲(chǔ)三個(gè)主要系統(tǒng)構(gòu)成，再加上備份系統(tǒng)、恢復(fù)系統(tǒng)、作廢處理系統(tǒng)形成一個(gè)完整的數(shù)據(jù)安全系統(tǒng)。認(rèn)證中心一般都是由具有信用的第三方擔(dān)任，負(fù)責(zé)提供證書，發(fā)出電子證書和撤銷證書以及密鑰管理的工作。注冊(cè)中心則進(jìn)行數(shù)字申請(qǐng)的認(rèn)證工作。存儲(chǔ)部分是用來(lái)保存證書數(shù)據(jù)的環(huán)節(jié)，提供一定的查詢服務(wù)。SSL協(xié)議和SET協(xié)議都是以PKI技術(shù)為實(shí)現(xiàn)載體的，也是PKI技術(shù)中對(duì)未注明的兩大安全協(xié)議。

三、SSL協(xié)議和SET協(xié)議

（一）SSL協(xié)議

SSL協(xié)議又被稱為安全套接層，是一種傳輸層技術(shù)。這一協(xié)議是當(dāng)前網(wǎng)絡(luò)購(gòu)物中主要的安全協(xié)議。這一協(xié)議利用RSA數(shù)字簽名算法，可以支持多種密鑰加密算法，主要用于一對(duì)一的信息安全保護(hù)。再有SSL的使用簡(jiǎn)單，架設(shè)方便，而且成本相對(duì)較低，很多的Web服務(wù)器都可以支持這一安全協(xié)議的使用。這一協(xié)議同樣有不足的地方，在電子商務(wù)中單一使用SSL安全協(xié)議的安全性并不高，所以一般的電子商務(wù)中，SSL協(xié)議都是配套表單簽名進(jìn)行使用的[2]。

（二）SET協(xié)議

SET協(xié)議是在SSL協(xié)議之后提出的，因?yàn)镾SL存在一定的安全缺陷，所以提出SET協(xié)議作為SSL協(xié)議在缺陷領(lǐng)域的替代品。SET協(xié)議是一種在電子交易中保護(hù)客戶信息安全的系統(tǒng)，同樣使用的是RSA密碼算法。在這一系統(tǒng)中的主要安全性保證來(lái)自于雙鑰密碼體制，增加密碼長(zhǎng)度和聯(lián)機(jī)動(dòng)態(tài)授權(quán)認(rèn)證檢查機(jī)制。雙鑰密碼體制對(duì)于文件進(jìn)行加密，增加加密工作的復(fù)雜程度。增加密碼長(zhǎng)度可以有效地提高數(shù)據(jù)的安全性，提高解密的難度和時(shí)間。動(dòng)態(tài)機(jī)制可以保證數(shù)據(jù)的傳統(tǒng)和認(rèn)證在同一時(shí)段保持互聯(lián)，認(rèn)證和授權(quán)同時(shí)進(jìn)行，降低了電子交易中的延續(xù)性，減少了用戶安全風(fēng)險(xiǎn)存在的時(shí)間，而且還可以保證數(shù)據(jù)傳輸?shù)耐暾?，確定交易中各方的身份真實(shí)[3]。

四、SSL協(xié)議和SET協(xié)議比較

在經(jīng)過對(duì)于兩種安全協(xié)議的分析后可以發(fā)現(xiàn)，兩者在三個(gè)方面有著本質(zhì)上的區(qū)別。

（一）應(yīng)用成本

從成本方面來(lái)看，SSL協(xié)議更具有優(yōu)勢(shì)，因?yàn)樵诳蛻粜枰褂肧ET協(xié)議前，必須先進(jìn)行電子證書的申請(qǐng)，另外還需要安裝SET專用的電子錢包系統(tǒng)。而SSL協(xié)議屬于更加簡(jiǎn)便的使用方式，需要交易時(shí)可以直接使用，沒有其他多余的流程，免除了安裝電子錢包等工作所支出的時(shí)間成本。

（二）安全程度

安全程度是兩個(gè)協(xié)議最重要的區(qū)別，SET協(xié)議的安全程度要高于SSL協(xié)議。正因如此，電子商務(wù)中整個(gè)交易幾乎都使用SET安全協(xié)議，銀行、客戶、商家、支付網(wǎng)關(guān)都需要更加安全的保護(hù)。而SSL協(xié)議的實(shí)際使用范圍只有客戶與商家之間的信息交流中用到。簡(jiǎn)單的說，就是設(shè)計(jì)經(jīng)濟(jì)信息安全的部分都由SET協(xié)議負(fù)責(zé)，而SSL協(xié)議所負(fù)責(zé)的只是客戶與商家在交易過程中的信息交流，這一部分因?yàn)椴簧婕翱蛻舻慕?jīng)濟(jì)安全，不會(huì)造成嚴(yán)重的后果，所以安全要求較低。

（三）認(rèn)證機(jī)制

認(rèn)證機(jī)制的區(qū)別在于SET系統(tǒng)的的安全性較高，對(duì)于認(rèn)證的要求也更高，凡是參與到SET交易中的各方都需要現(xiàn)在系統(tǒng)中申請(qǐng)電子證書，進(jìn)行身份的識(shí)別，也就是說在身份無(wú)法識(shí)別或者不進(jìn)行身份識(shí)別的情況下，使用者無(wú)法參與到SET交易當(dāng)中。與之不同的是，SSL協(xié)議對(duì)于認(rèn)證方面相當(dāng)?shù)膶挿海碳宜褂玫姆?wù)器是需要進(jìn)行認(rèn)證的，但是客戶端可以不進(jìn)行認(rèn)證。也就是說，在使用SSL協(xié)議的情況下，第三方要確定商家的信息，而對(duì)于客戶沒有束縛。

總結(jié)

綜上所述可以發(fā)現(xiàn)，電子商務(wù)的安全問題現(xiàn)階段已經(jīng)形成一個(gè)相對(duì)穩(wěn)定和成熟的安全保護(hù)體系，在沒有出現(xiàn)大的安全威脅之前這一體系將會(huì)持續(xù)相當(dāng)長(zhǎng)的一段時(shí)間。SET協(xié)議的安全性已經(jīng)完全凌駕于SSL協(xié)議，但是其使用成本和方便程度還有待于提高?？偟膩?lái)看電子商務(wù)的安全保障需要繼續(xù)的研究和加強(qiáng)，這是一個(gè)復(fù)雜而系統(tǒng)的工程[4]。在未來(lái)的很長(zhǎng)一段時(shí)間中，電子商務(wù)的安全問題不會(huì)影響到電子商務(wù)的發(fā)展，但是針對(duì)于電子商務(wù)的安全威脅也在不斷的發(fā)展，所以不斷的延吉和實(shí)踐，提出更加安全更加有效地安全協(xié)議，保證交易流程中的信息安全。只有保證電子商務(wù)的安全性，才能提高電子商務(wù)的生命力，是電子商務(wù)蓬勃發(fā)展，減少因?yàn)榘踩珕栴}所受到的損失。

參考文獻(xiàn)

[1]楊帆，范穎.我國(guó)電子商務(wù)安全管理機(jī)制研究[J].蘭州文理學(xué)院學(xué)報(bào)（自然科學(xué)版），2014，02（02）：46-49.

[2]劉明良，沈潔.電子商務(wù)中安全機(jī)制與安全協(xié)議問題研究[J].現(xiàn)代計(jì)算機(jī)，2013，14（05）：16-18.

[3]高悅翔.電子商務(wù)安全協(xié)議的設(shè)計(jì)與形式化分析[D].成都：西南交通大學(xué)，2013.

[4]張慶麗.電子商務(wù)安全策略研究[D].鄭州：河南大學(xué)，2012.

（作者單位：江蘇省連云港市花果山風(fēng)景區(qū)管理處）