淺析電子商務(wù)安全協(xié)議

摘要：電子商務(wù)在提供機(jī)遇和便利的同時(shí)，也面臨著一個(gè)巨大的挑戰(zhàn)，即交易的安全問(wèn)題。基于對(duì)電子商務(wù)安全體系的了解IT業(yè)界和金融行業(yè)一起推出了不少有效的安全措施，本文將從TCP/IP體系結(jié)構(gòu)的角度對(duì)電子商務(wù)的安全協(xié)議進(jìn)行詳細(xì)分析。

關(guān)鍵詞：電子商務(wù) 協(xié)議 SSL TLS SET

1 傳輸層安全協(xié)議

1.1 安全套接字層協(xié)議（SSL）

安全套接層協(xié)議是由網(wǎng)景公司推出的一種安全通信協(xié)議，是對(duì)計(jì)算機(jī)之間整個(gè)會(huì)話進(jìn)行加密的協(xié)議，提供了保密、認(rèn)證服務(wù)和報(bào)文完整性。它可以有效的保護(hù)信用卡以及個(gè)人信息。Netscape Communicator和Microsoft IE瀏覽器中通常會(huì)用到SSL，這樣能夠更好的進(jìn)行安全交易操作。SSL中的加密方法包括公開密鑰和私有密鑰。

1.2 傳輸層安全協(xié)議（TLS）

主要是在兩個(gè)通信應(yīng)用程序之間使用安全傳輸層協(xié)議（TLS），從而保證更高的保密性和數(shù)據(jù)完整性。該協(xié)議主要包括TLS 記錄協(xié)議和TLS握手協(xié)議，前者處于較低層，它的位置是在某個(gè)可靠的傳輸協(xié)議上面。

①協(xié)議結(jié)構(gòu)

TLS協(xié)議包括兩個(gè)協(xié)議組，即TLS記錄協(xié)議和TLS 握手協(xié)議，每組都包括了不少各有差異的格式信息。我們可以將TLS記錄協(xié)議定義為一種分層協(xié)議，每層都會(huì)有長(zhǎng)度、描述和內(nèi)容等字段。他可以對(duì)接收到的數(shù)據(jù)進(jìn)行解密、校驗(yàn)，或者是解壓縮、重組等，之后高層客戶機(jī)會(huì)接受以上的信息。TLS連接狀態(tài)即為TLS記錄協(xié)議的操作環(huán)境，其中包括壓縮算法、加密算法和MAC算法。不同大小無(wú)空塊的連續(xù)數(shù)據(jù)可以通過(guò)高層輸送到TLS記錄層。關(guān)于密鑰計(jì)算方面要注意的有：記錄協(xié)議在各種算法的協(xié)助下，通過(guò)握手協(xié)議提供的安全參數(shù)獲得密鑰、IV和MAC密鑰。

②TLS握手協(xié)議過(guò)程

改變密碼規(guī)格協(xié)議；警惕協(xié)議；握手協(xié)議。

③TLS記錄協(xié)議

TLS 記錄協(xié)議具有連接安全性，這種安全性的特性包括以下兩點(diǎn)：

私有，即對(duì)稱加密用以數(shù)據(jù)加密。密鑰在經(jīng)過(guò)對(duì)稱加密后，每個(gè)連接有一個(gè)且僅有一個(gè)密鑰，而且這個(gè)密鑰基于另一個(gè)協(xié)議協(xié)商。我們?cè)俨患用艿臅r(shí)候也能使用記錄協(xié)議。

可靠，即信息傳輸包括使用密鑰的MAC，能夠?qū)π畔⑦M(jìn)行周密的檢查。安全功能主要就是為了做好MAC 計(jì)算。如果沒(méi)有MAC，記錄協(xié)議還是會(huì)正常運(yùn)行，但一般僅僅是在這種模式中是可以的，即有另一個(gè)協(xié)議正在使用記錄協(xié)議傳輸協(xié)商安全參數(shù)。我們?cè)趯?duì)各種高層協(xié)議進(jìn)行封裝時(shí)，可以考慮TLS 記錄協(xié)議。握手協(xié)議屬于這種封裝協(xié)議，在應(yīng)用程序協(xié)議傳輸和接收其第一個(gè)數(shù)據(jù)字節(jié)前，它能讓服務(wù)器與客戶機(jī)實(shí)現(xiàn)相互認(rèn)證，加密密鑰和協(xié)商加密算法。

④ TLS握手協(xié)議

TLS握手協(xié)議具有連接安全性，這種安全性的屬性包括以下幾點(diǎn)：

第一，可以使用非對(duì)稱的，或公共密鑰的密碼術(shù)對(duì)對(duì)等方的身份進(jìn)行認(rèn)證。此認(rèn)證體現(xiàn)了一種可選性，但是要強(qiáng)調(diào)的是，最少要有一個(gè)結(jié)點(diǎn)方；第二，共享加密密鑰的協(xié)商具有安全性。協(xié)商加密后，偷竊者就非常不容易再進(jìn)行偷竊了。要注意的是，連接已經(jīng)被認(rèn)證后是不可以再獲得加密的，就算是進(jìn)入連接中間的攻擊者也無(wú)法做到；第三，協(xié)商是可靠的。在未經(jīng)通信方成員檢測(cè)的情況下，不管是誰(shuí)都無(wú)法修改通信協(xié)商。

總之TLS是保證因特網(wǎng)應(yīng)用程序通信隱私和數(shù)據(jù)完整的協(xié)議。TLS和SSL的擴(kuò)展，經(jīng)常將他們表述為SSL/TLS、SSL/TLS協(xié)議由兩層組成，即TLS握手協(xié)議允許服務(wù)和客戶端間的認(rèn)證，以及在傳輸真實(shí)數(shù)據(jù)前加密算法和溝通密鑰。TLS記錄協(xié)議位于可靠傳輸協(xié)議之上，如TCP。它確認(rèn)通過(guò)數(shù)據(jù)加密的連接是隱秘和可靠的。TLS記錄協(xié)議也用來(lái)包裝更高層協(xié)議，人員TLS握手協(xié)議。由于服務(wù)器客戶端都需要進(jìn)行認(rèn)證，SSL/TLS可以防御中間人攻擊。此外，由于加密數(shù)據(jù)，它可以防御并截獲傳輸中的數(shù)據(jù)包。

2 應(yīng)用層安全協(xié)議

2.1 安全電子交易協(xié)議（SET）

1996年，美國(guó)Visa和MasterCard兩個(gè)非常知名的信用卡組織，與國(guó)際上一些知名的科技機(jī)構(gòu)一起，經(jīng)過(guò)協(xié)商提出了應(yīng)用于Internet上的在線交易安全標(biāo)準(zhǔn)，這一標(biāo)準(zhǔn)主要針對(duì)的是以銀行卡為基礎(chǔ)的在線交易。

① SET協(xié)議的好處

幫助商家制定了保護(hù)自己的一些方法，這樣就能夠保障商家在經(jīng)營(yíng)中的安全性，減少商家的運(yùn)營(yíng)成本。

對(duì)于買方的好處是，SET協(xié)議能夠保障商家的經(jīng)營(yíng)是合法的，而且能夠保障用戶的信用卡號(hào)的安全，SET協(xié)議能夠幫助買方保護(hù)好他們的秘密，讓他們能夠更加安全的在線進(jìn)行購(gòu)物。

使信用卡網(wǎng)上支付的信譽(yù)度變得更高，提高競(jìng)爭(zhēng)力。

SET協(xié)議給參與交易的各方設(shè)置了互操作接口，不同廠商的產(chǎn)品可以共同使用一個(gè)系統(tǒng)。

② SET協(xié)議的不足之處

協(xié)議中并未明確的規(guī)定收單銀行給在線商店付款前，是不是一定要收到買方的貨物接受證書，不然如果在線商店的貨物沒(méi)有達(dá)到相關(guān)的質(zhì)量標(biāo)準(zhǔn)，買方有疑義時(shí)，會(huì)出現(xiàn)糾紛。協(xié)議未對(duì) “非拒絕行為”進(jìn)行擔(dān)保，這說(shuō)明在線商店并不能證明訂購(gòu)是否是簽署證書的買方發(fā)出的。SET技術(shù)規(guī)范并未清楚的規(guī)定在事物處理結(jié)束后，怎樣能夠安全地保存這些數(shù)據(jù)，或者是銷毀這類數(shù)據(jù)。在每一次進(jìn)行SET協(xié)議交易時(shí)，協(xié)議的使用都是很繁瑣的，不是很方便，增加了使用的成本，且只有當(dāng)客戶有電子錢包時(shí)才能使用。

SET主要針對(duì)的就是用戶、商家和銀行之間通過(guò)信用卡進(jìn)行的支付交易，目的是更好的保護(hù)支付信息的機(jī)密，保障支付過(guò)程的完整，保護(hù)商戶及持卡人的合法身份，操作性較好。SET中的核心技術(shù)包括公開密鑰加密、電子數(shù)字簽名等。

SET是一種基于消息流的協(xié)議，一般都是通過(guò)Visa和MasterCard以及其他一些業(yè)界主流廠商設(shè)計(jì)發(fā)布，以此來(lái)實(shí)現(xiàn)公共網(wǎng)絡(luò)上銀行卡支付交易的安全性。在國(guó)際方面，SET已經(jīng)受住了很多次的考驗(yàn)，獲得了良好的效果，但很多在Internet上購(gòu)物的消費(fèi)者實(shí)際上并未真正使用SET。

SET是一種非常復(fù)雜的協(xié)議，它能夠清楚地向我們展現(xiàn)卡支付交易各方之間的各種關(guān)系。SET還對(duì)加密信息的格式進(jìn)行了規(guī)定，完善了每筆卡支付交易時(shí)各方傳輸信息的規(guī)則。實(shí)際上，將SET定義為技術(shù)方面的協(xié)議是很不夠的，他還體現(xiàn)了每一方所持有的數(shù)字證書的合法性。

2.2 PGP協(xié)議

PGP加密技術(shù)是一個(gè)給予RSA公鑰加密體系的郵件加密軟件，提出了公共鑰匙的加密技術(shù)。PGP加密技術(shù)創(chuàng)造性地把RSA公鑰體系和傳統(tǒng)加密體系結(jié)合起來(lái)，并且在數(shù)字簽名和密鑰認(rèn)證管理機(jī)制上有巧妙的設(shè)計(jì)，因此PGP成為目前最流行的公鑰加密軟件包。

2.3 安全超文本傳輸協(xié)議（HTTPS）

SSL的一個(gè)普通用途就是瀏覽器和網(wǎng)頁(yè)服務(wù)的HTTP通信安全。安全模式就是由SSL/TLS發(fā)送“無(wú)格式”的HTTP協(xié)議并依據(jù)SSL命名的超文本傳輸協(xié)議。有時(shí)將其指定為支持HTTP協(xié)議的擴(kuò)展HTTPSS。SSL/TLS建立客戶端和服務(wù)間的安全連接并傳輸大量數(shù)據(jù)，HTTPS是為安全傳輸個(gè)人信息而設(shè)計(jì)的。

參考文獻(xiàn)：

[1]《電子商務(wù)概論》.賈玢主編.北京交通大學(xué)出版社，2009年.

[2]《信息安全與通信保密》.2012年第7期.

[3]《計(jì)算機(jī)工程與應(yīng)用》.2009年第23期.