（农业机械化工程专业论文）安全电子交易set协议的研究.pdf

中文摘要 电子商务作为2 0 世纪9 0 年代出现的新生事物，止以其便捷、高效、低成本的优势，逐 步成为新兴的商务活动模式和理念，在世界范嗣g , j 对各国经济发展带来了深刻的影响，已经 成为世界各国制定其经济政策的重要依据。 由j - 电子商务是建立住开放的i n t e r n e t 平台上的，而在开放的网络上传输的任何信息都町 能被他人载取，冈此，要发展电子商务必须解决安全问题。电子商务安全包括计算机网络安 全和商务交易安全。而商务交易安全主要是通过加密技术、安全机制、安全协议进行保证的。 电子商务中的安全协议主要采_ l js s l 协议和s e t 协议。 s e t 协议是基于信用管在线支付的电子商务系统的安全协议。s e t 通过制定标准和采州 各种技术手段，解决了当时困扰电子商务发展的安全问题。目前，它已经获得| e t f 标准的认 可，已经成为事实上的i ：业标准。 但是，一方面由于s e t 对加解密方案有所限制，即限于使用d e s 和r s a 算法对信息进 行加密，而目前d e s 和r s a 算法都有被破解的例子，其安全性逐渐受到人们的怀疑；另 方面，美国对密码产品出口的严格限制，而各国都希望采用有自主知识产权的加解密方案， 这些都对s e t 协议适应性和安全性提出了更高的要求。冈此迫切需要研究对s e t 协议的改进， 以提高其安全性和适应性，加快其推“应州。 本文针对s e t 协议的安全性和适廊性问题，以重庆市攻关项目“基于组合加密技术的s e t 协议研究”为基础，通过对电子商务的安全体系进行全面的分析，对s e t 协议的系统结构、 安全体系、安全技术、交易过程进行全面系统的研究，同时对多数字证书、多数字签名生成 及认证方法进行了深入的探讨，提出采_ l f 叠套加密和协商加密两种组合方式的组合加解密力 絮来提高s e t 协议的适麻性与安全性，并对引入新加密方案的s e t 的交易过程以及新方案的 安全性、适应性和可扩展性进行了分析论证。 i 新方案在实现技术上，主要是对现有软件增加对多种加密算法的支持，冈而在实施f 没 有太大的难度，并且对原有系统改动不大，而引入新方案的s e t 协议在安全性和适应性方面 有所提高，具有较好实用性。 关键词：电子商务，s e t 协议，组合加密，安全体系 。 + a b s t r a c t w i t hg r e a tc o n v e n i e n c e ，h i g he f f i c i e n c ya n dl o w 。c o s t ，e l e c t r o n i cc o m m e r c eh a sb e c o m ea p o p u l a rb u s i n e s s t r a n s a c t i o ns i n c e1 9 9 0 s i th a sh a dg r e a ti n f l u e n c eo nw o r l d w i d ee c o n o m i c d e v e l o p m e n ta n db e c o m e o n eo f t h ed e c i d e r sf o rg o v e r n m e n t st of o r m u l a t ee c o n o m i cp o l i c i e s b a s e do na n o p e ni n t e m e t ，a n y t r a n s a c t i o nm e s s a g eo fe l e c t r o n i cc o m m e r c et r a n s m i t t e d t h r o u g hi n t e r n e tw o u l db ep r o b a b l yi n t e r c e p t e d ，s oi t i s g r e a t l yd e m a n d i n gt o s o l v et h es e c u r i t y p r o b l e mf o rd e v e l o p i n ge l e c t r o n i cc o m m e r c e e l e c t r o n i c c o m m e r c ec o n s i s t so f n e t w o r k s e c u r i t ya n d b u s i n e s st r a n s a c t i o ns e c u r i t y e n c r y p t i o nt e c h n o l o g y 、s e c u r i t ys y s t e ma n d s e c u r i t yp r o t o c o l s a r et h e m a j o rs u p p o r t sf o rp r e s e n tb u s i n e s st r a n s a c t i o n ，w h i l es e c u r i t yp r o t o c o lu s u a l l ya d o p t ss s l a n ds e t p r o t o c 0 1 s e ti sa no p e nt e c h n i c a ls t a n d a r df o rt h ec o m m e r c ei n d u s t r ya saw a yt of a c i l i t a t es e c u r e p a y m e n to fc a r dt r a n s a c t i o n so v e ri n t e m e t s e th a sb e e na d a p t e dt os o l v em a n ys e c u r i t yp r o b l e m s t h a to n c es t r a n d e dt h ed e v e l o p m e n to f e l e c t r o n i cc o m m e r c e b yl a y i n gd o w n s t a n d a r d sa n da d o p t i n g v a r i o u st e c h n i c a lm e a s u r e s a tp r e s e n ti th a sb e e nr e c o g n i z e db yi e t fa n db e c o m ea na c t u a l i n d u s t r i a ls t a n d a r d h o w e v e r , w i t hr e s t r i c t i o n so fe n c r y p t i o na n dd e c i p h e r i n gs o l u t i o n s ，s u c ha sm o s ts o l u t i o n sa r e m e r e l yd e p l o y e db yv i r u eo ft h ea l g o r i t h m so fd e sa n dr s a ，p l u sb o t ha l g o r i t h m sw e r eo n c e d e c i p h e r e d a s t h e c o n s e q u e n c e ，t h es e c u r i t y o fs e ti s b e i n gc h a n l l e n g e d m e a n w h i l eu s g o v e r n m e n ta l s os e t ss t r i c tl i m i t i o no v e rc r y p t o g r a mp r o d u c t se x p o r t ，o t h e rn a t i o n sh e n c em o r e w o u l dl i k et ou s et h e i ro w ne n c r y p t i o n d e c i p h e r i n g a l g o r i t h m s s e ta d a p t a b i l i t y a n d s e c u r i t y w i t h o u td o u b tm u s ts a r i s f y h i g h e rr e q u i r e m e n t s t h e r e f o r ei t i sv e r t u r g e n t t or e s e a r c ht h e i m p r o v e m e n t o fs e t p r o t o c o l ，t y p i c a l l y t h et h ep a r t so fs e t s e c u r i t ya n da d a p t a b i l i t y t h i sp a p e rf o c u s e so ns e t a d a p t a b i l i t ya n ds e c u r i t y , b a s e do nt h ep i v o tp r o j e c t s e tr e s e a r c h b a s e do nc o m b i n a t o r i c se n c r y p t i o nt e c h n o l o g y ”s p o n s o r e db y c h o n g q i n gm u n i c i p a lg o v e r n m e n t t h r o u g ht h o r o u g ha n dc o m p r e h e n s i v ea n a l y s eo ne l e c t r o n i cc o m m e r c es e c u r i t ya r c h i t e c t u r e ， r e s e a r c ho ns e tt h a ti n v o l v e sa r c h i t e c t u r e 、s e c u r i t yi n f r a s t r u c t u r e 、s e c u r i t y t e c h n o l o g i e sa sw e l la s t r a n s t i t i o np r o c e s s ，p l u sf u r t h e re x p l o r i a t i o no nm u l t i d i g i t a l c e r t i f i c a t e s 、m u l t i - d i g i t a ls i g n a t u r e p r o d u c t i o na n da u t h e n t i c a t i o n ，t h ep a p e r w i l lf o r w a r dan e ws o l u t i o nb yi n t r o d u c i n gac o m b i n a t i o n e n c r y p t i o nt e c h n o l o g y w h i c hi n c l u d e sn e s t i n g e n c r y p t i o na n dn e g o t i a t i o ne n c r y p t i o nt e c h n o l o g i e st o i m p r o v es e tp r o t o c o la d a p a b i l i t ya n ds e c u r i t y , a sw e l la sw i l lo f f e ra na n a l y s ea n da r g u a m a t a t i o nt o p r o v e t h es e tt r a n s a c t i o n s e c u r i t y 、a d a p a b i l i t y a n de x t e n s i o ne n h a n c e m e n t b y v i r u eo ft h e i n t r o d u c t i o no f t h en e w t e c h n o l o g y t h en e ws o l u t i o nm a i n l yc o n c e n t r a t e so np r o v i d i n gm u l t i e n c r y p t i o na l g o r i t h m ss u p p o r tf o r c u r r e n ts o f h a r e s t h u st h ei m p l e m e n t a t i o ni sn o tv e r yh a r d ，b e s i d e st h e o r i g i n a ls y s t e mn e e dn o tt o b ec h a n g e dal o t e n h a n c e ds e t b yi n t r o d u c i n gn e wt e c h n o l o g yh a sb e e np r o v e dt os t r e n g t h e ni t s s e c u r i t ya n da d a p t a b i l i t ya n di so f g r e a tp r a c t i c a b i l i t y k e y w o r d s ：e l e c t r o n i cc o m m e r c e ，s e c u r i t ye l e c t r o n i ct r a n s a c t i o np r o t o c o l ，c o m b i n a t o r i c s 、 e n c r y p t i o n ，s e c u d t y a r c h i t e c t u r e 2 1 问题的提出 第一部分文献综述 电子商务最早产生于2 0 世纪6 0 年代 一是基于e d i ( e l e c t r o n i cd a t ai n t e r c h a n g e 电子商务。 发展于9 0 年代。电子商务的发展经历了两个阶段， 电子数据交换) 的电子商务，二是基于i n t e r n e t 的 2 0 世纪9 0 年代后，由于计算机的，1 一泛应1 l j ，网络的普及和成熟，信用卡的普及应川，电 子安全交易协议的制定，政府的支持和推动，基于i n t e m e t 的电子商务得到快速发展。特别是 s e t ( s e c u r e e l e c t r o n i c t r a n s a c t i o n p r o t o c 0 1 ) 安全电子交易协议的推出，以及该协议得到人多 数厂商的认可和支持，为开发网络上的电子商务提供了一个关键的安全环境l l “，这对电子商 务的发展产生了极大的推动作用。 i n t e m e t 覆盖1 5 0 多个国家和地区，连接了1 5 万多个网络，拥有2 2 0 万台主机，已成为 全球最大的互联网络m j 。正是因为i n t e r n e t 使用费用低廉、覆盖面广、功能全面、使用灵活， 电子商务才成为i n t e r n e t 应用的最大热点。 目前，据权威资料显示，全球已有2 6 亿人加入了因特网，并且每天在网上进行商务活动 的人数也多达1 亿人。专家认为，电子商务作为2 1 世纪经济的重要增长点，其作用不亚于2 0 0 年前的工业革命“。世界范围内的政府部门、公众服务机构、电信企业、银行等多种服务机 构以及各类企业和数以亿计的个人用户，都开始广泛地参与电子商务活动。电子商务年平均 增长速度为1 5 0 ，成为有史以来少有的快速发展领域。现在，电子商务已经成为国际上各个 国家制定经济政策的主要依据之一l l 。 我国的电子商务发展始于九十年代初期，1 9 9 8 年我国电子商务得到了空前的发展。从i b m 的“电子商务大都会”到各种名目的电子商务研讨会，从外经贸部的“中国商品交易市场”、 “首都电子商务：c 程”到以电子贸易为主要内容的“金贸i + 程”，有关电子商务的活动和项目 人量涌现。1 9 9 8 年我国的电子商务交易额不到1 亿美元，2 0 0 0 年，我国的电子商务总交易额 已达7 7 1 6 亿元。我国电子商务的形成才刚刚经历几年时间，按目前的趋势，其发展速度不 于国际发展速度，有着良好的前景。 电子商务作为一种新的商务活动模式，已经对社会经济、企业经营管理、人类的生活方 式、消费方式等带来了巨大的影响，必将带来一场史无前例的革命，并将人类真正带入信息 社会。可见，电子商务有广阔的发展空间雨i 前景。 然而，由于电子商务的物质基础i n t e r n e t 的虚拟性、动态性和开放性，使得电子商务的实 施和发展必须解决好数据传输的安全问题。电子商务的安全包括计算机网络安全和商务交易 安全两部分。计算机网络安全主要是针对计算机网络白身的安全，包括设备安全、操作系统 安全和数据库安全。交易安全则是指围绕传统商务在i n t e m e t 上应用产生的各种安全问题，在 计算机网络安全的基础上，如何保障电子商务过程顺利进行，即实现电子商务的保密性、完 整性、可鉴别性，不可伪造性和不可抵赖性。 商务交易安全主要是通过加密技术、安全机制、安全协议进行保证的。电子商务中主要 采用的安全协议有s s l ( s e c u r i t ys o c k e tl a y e r ) 安全套接层协议和s e t 协议。 s e t 协议是由美国v i s a 和m a s t e r c a r d 两人信用 组织提出的应用于i n t e m e t 上的以信j h e 为基础的电子支付系统协议。它采川公钥密码体制和x 5 0 9 数字证书标准，主要应川丁bt o c 模式中保障支付信息的安全性。s e t 协议本身比较复杂，设计比较严格，安全性高，它能 保证信息传输的机密性、真实性、完整性和不可否认性。目前，s e t 协议已经成为事实上的 f 业标准，并获得i e t f 标准的认可。 但是，s e t 协议到目前为i r 并未吸引足够的商家和消费者，并没有得到“泛的应j j 。其 原冈在于( 1 ) s e t 协议本身比较复杂，不像多数银7 7 , f r 商家想象的那样容易实现：( 2 ) s e t 协议对加解密方案的限制，在s e t 协议中规定使刚d e s 和r s a 算法对信息进行加密，而目 前d e s 和r s a 算法都有被破解的例子口，其安全性已经受到人们的怀疑；( 3 ) 美国对密码 产i 铺出口的严格限制，而各国都希望采用有自主知识产权的加解密方案。我国就规定加密产 品不得进口，必须采用我国自行研究并经国家密码委员会鉴定并批准的数据加解密算法。这 些一方面阻碍了s e t 协议的推r _ 应用，另一方面也对s e t 协议的适应性和安全性提出了更高 的要求，要求其能适应各国自主知识产权的加密算法，要求其有更高的安全性。 要提高s e t 协议的安全性和适应性，以加快其推广应用，需要对s e t 协议进行研究，并 加以改进，使s e t 协议支持各种不同的加密算法，来解决其适应性及安全性的局限。这也止 是本文的目的所在。 2 电子商务概述 2 1 电子商务概念 电子商务源于英文e l e c t r o n i cc o m m e r c e ，简写为e c 。顾名思义，其内容包含两个方面， 一是电子方式，二是商贸活动。电子商务至今还没有一个准确的定义。 1 9 9 7 年1 1 月，国际商会在法国首都巴黎举行了世界电子商务会议。会议对电子商务概念 作了较权威的阐述：电子商务是指对整个贸易活动实现电子化。从涵盖范围方面定义：l 乜子 商务是各参与方之间在计算机网络，特别是i n t e r n e t 平台上，按一定标准以电子方式而不是 以物理交换或直接物理接触方式完成任何形式的业务交易。这里的电子方式包括电子数捌交 换( e d i ) 、电子支付手段、电子订货系统、电子邮件、传真、网络、电子公告系统条码、图象 处理、智能卡等；从技术方面可以定义为：电子商务是多技术的集成体，包括交换数据( 如 电子数据交换、电子邮件) 、获得数据( 共享数据库、电子公告牌) 以及自动捕获数据( 条形 码) 等”。 简单地说，电子商务是商贸活动的一种新模式，它以计算机网络，特别是i n t e r n e t 为平 台，利用简单、快捷、低成本的电子通讯方式，通过数据加密、数字签名及认证等技术，使 买卖的各参与方不谋面且安全地进行各种商贸活动。 2 2 电子商务的分类 电子商务业务种类繁多，根据不同的分类标准可划分为不同的类型。 ( 1 ) 按电子商务活动内容来分 直接电子商务：主要指无形货物或服务的订货与付款等活动。 间接电子商务：有形的货物或者服务的订货与付款等活动。 ( 2 ) 按电子商务活动是否涉及支付来分 非支付型电子商务：指不进行网上支付和货物运送的电子商务，内容包括：信息发布、 信息查询、在线谈判、合同文本的形成等，均不涉及银行支付。在这种电子商务中，只有物 质和信息的流动，而没有资金的流动。 支付型电子商务：指进行网上支付和货物运送的电子商务。内容包括：除包含i h x , f , j - 1 7 电子商务的全部内容外，还包括银行的支付、交割活动以及供货方的货物运送活动。这种电 4 子商务包含了物质和信息的流动，也包含了资金的流动。 ( 3 ) 按电子商务业务涉及的交易实体分 b 2 b ：企业与企业之间的电子商务( b u s i n e s st ob u s i n e s s ) ，是电子商务应用最主要和 虽受重视的形式。企业可以使用i n t e r n e t 或其他网络对每笔交易寻找最佳合作伙伴， 完成 从定购到结算的全部交易行为。b 2 b 的主要模式可分为大型企业b 2 b 网站，第三方经营b 2 b 网站，行业生态b 2 b 网站。 b 2 c ：即企业与消费者之间的电子商务( b u s i n e s st oc u s t o m e r ) ，是以i n t e r n t 为手段， 实现公众消费和提供服务，是消费者利用i n t e r n e t 直接参与经济活动的形式，主要以信用 进行支付。 b 2 g ：企业与政府方面的电子商务( b u s i n e s s t og o v e r n m e n t ) ，指企业与政府机构的各 项事务，包括政府采购、商检、征税及企j l p 与政府间各种手续的报批等。 ( 4 ) 按电子商务使用的网络类型分 e d i 网络电子商务：是按照一个公认的标准和协议，将商业文件标准化和格化式，通过计 算机网络，与贸易伙伴进行电子商务业务。 i n t e r n e t 网络电子商务：是指利用i n t e r n e t 网络开展的电子商务活动，是目前电子商务 的主要形式。 i n t r a n e t 网络电子商务：是利用内联网进行的的电子商务活动。i n t r a n e t 是在i n t e r n e t 基础上发展起来的企业内部网。 2 3 电子商务的功能和特点 ( 1 ) 电子商务的功能 电子商务可提供网上交易和管理的全过程服务，它具有：广告宣传、咨询洽谈、网上订 购、网上支付、电子帐户、服务传递、意见征询、交易管理等功能。 ( 2 ) 电子商务的应用特性 电子商务的特性可归结为以下几点：商务性、服务性、集成性、可扩展性、安全性、协 调性。 商务性：电子商务最基本的特性，即提供买、卖交易的服务、手段和机会。 服务性：电子商务提供的客户服务，其客户不再受地域的限制，客户享受便捷的服务。 集成性：电子商务中用到了大量新技术，具有事务处理的整体性和统一性，它能规范事 务处理的工作流程，将人工操作和电子信息处理集成为一个不可分割的整体。 可扩展性：可扩展的系统才是稳定的，电子商务必须具有可扩展性。 安全性：在电子商务中，安全性是必须考虑的核心问题。对交易各方，如果交易安全性 缺乏把握，他们根本就不敢在网上进行买卖。电子商务必须提供安全解决方案，包括加密机 制、签名机制、分布式安全管理、存取控制、防火墙、防病毒保护等。 安全技术是电子商务的核心技术。 国际上多家公司联合开展了安全电子交易的技术标准和方案研究，并发布了s e t ( 安全 电子交易) 和s s l ( 安全套接层) 等协议标准，使企业能建立一种安全的电子商务环境。 协调性：商务活动是一种协调过程，它需要雇员和客户、生产方、供货方以及商务伙伴 间的协调1 “j 。 3 电子商务的系统结构 3 1 电子商务系统结构 一个完善的电子商务系统应该包括哪些部分，目前还没有权威的论述，但从各种电f 商 务系统的总体上来看，电子商务系统是二二层框架结构。 ( 1 ) 底层是网络平台：它是信息传送的载体和用户接入的手段，包括各种各样的物理传 送平台和传送方式。 ( 2 ) 中间是电子商务基础平台：它是整个电子商务体系的安全基础，它为电子商务提供 所需要的各种安全技术，包括实现传输数据的安全性、完整性、抗抵赖性及身份认证的各种 技术。 ( 3 ) 第三层是电子商务应用系统：包括各种各样的电子商务业务系统，可分为支付型业 务系统和非支付型业务系统，主要是支付体系。 电子商务系统的各个元素，诸如c a ( c e r t i f i c a t ea u t h o r i t y ) 中心、支付网关、业务应 用系统、用户终端等均连接在网络平台，并通过该网络实现完整的电子商务；电子商务的交 易安全是由电子商务基础平台保证的。 3 2 电子商务支付系统 电子商务支付系统是电子商务系统的重要组成部分，是消费者、商家和金融机构之间使 川安全电子手段交换商品或服务，把新型支付手段( 包括电子现金、信用卡、借记膏、智能 卡等) 的支付信息通过网络安全传送到银行或相应的处理机构，来实现电子支付”1 。 支付是电子商务活动的核心，国际通j _ 的网上支付方式主要有： ( 1 ) 信用卡支付 信用卡支付是当今网上支付最流行的支付方式，使用时，将卡号和密码提交给商家( s s i ， 协议) 或银行( s e t 协议) ，由银行实现相关的支付。s e t 协议是以信用卡为基础的安全电子 支付系统的协议，是目前公认的信用卡借记卡的网上交易的国际标准。 ( 2 ) 电子现金 电子现金( e c a s h 或d i g i t a lc u r r e n c y ) 是以数字化形式存在的现金货币，具有用途多、 使用灵活、匿名性好、快速简便的特点，无需直接与银行连接便可使用，适j = ；| 于小额交易。 其主要好处是可以提高效率，方便州户使川。 ( 3 ) 电子支票 电子支票( e c h e c k 或e c h e q u e ) 是一种纸基支票的电子表示形式一般是通过专l h 删 络、设备、软件及一套完整规范化协议完成数据传输和安全性控制，是较为完善的网上支付 方式。其发展的主要问题是将其逐步过渡到公共互联网络上进行传输。 ( 4 ) 微支付 微支付( m i c r o p a y m e n t s ) 的特征是能够处理任意小量的钱，适合于冈特网上“不可触摸 ( n o n t a n g i b l e ) 商品”的销售。微支付要求商品的发送与支付要几乎同时发生在因特网t 。 s e t 协议和s s l 协议都不支持微支付方式1 3 1 i 。 4 电子商务的交易过程 4 1 传统商务的运作过程 商贸实务运作过程是企业在具体进行一个商贸交易过程中的实际操作步骤和处理的过 程。这一过程如果按照组织内部的管理活动可分为以下三个部分：事务流，物流，资金流。 传统商贸交易过程中的实务操作由交易前的准备、贸易磋商、合同与执行、支付与清算 等环节组成。 4 2 电子商务的交易过程 在电子商务环境下，商贸实务的运作过程虽然也有交易前的准备、贸易的磋商、合同的 签定与执行以及资金的支付等环节，但是交易具体使用的运作方法是完全不同的。 ( 1 ) 交易前的准备：在电子商务营销模式中，交易的供需信息都是通过交易双方的网址 和网络主页完成的，双方信息的沟通具有快速和高效率的的特点。 ( 2 ) 贸易的磋商：电子商务中的贸易磋商过程将纸面单证变成在网络系统支持下| 的电子 化的记录、文件和报文在网络上的传递过程，并由专门的数据交换协议来保证网络信息传递 的正确性、安全性和快速性。 ( 3 ) 合同的签定与执行：电子商务环境下的网络协议和电子商务应用系统的功能保证了 交易双方所有的贸易磋商文件的正确性和可靠性，并且在第三方授权的情况下具有法律效力， 可以作为在执行过程中产生纠纷的仲裁依据。 ( 4 ) 资金的支付：电子商务中交易的资金支付采用信用卡、电子支票、电子现金和电子 钱包等形式以在网上支付的方式进行”。 5 电子商务的安全技术 5 1 电子商务的安全要素 电子商务中普遍存在窃取信息、篡改信息、假冒、恶意破坏等几种安全隐患，因此电子 商务主要的安全要素有”“： ( 1 ) 有效性 电子商务为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益 和声誉，因此保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。这就要求对 网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在 威胁加以控制和预防，以保证贸易数据是有效的。 ( 2 ) 机密性 电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。电子商 务是建立在一个较为开放的网络环境( 特别是i n t e r n e t ) 平台上，维护商业机密是电子商务全 面推广应用的重要保障，因此，必须预防非法的信息存取和信息在传输过程中被非法窃取。 ( 3 ) 完整性 由于数据输入时的意外差错或欺诈行为，以及数据传输过程中信息的丢失、信息重复或信 息传送的次序差异，都可能导致贸易各方信息的差异。贸易各方信息的完整性将影响到贸易 各方的交易和经营策略，傈持贸易各方信息的完整性是屯子商务应用的基础。因此，要预防对 信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送 次序的统一。 ( 4 ) 可靠性、不可抵赖性和可鉴别性 电子商务直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是进行交易 所期望的贸易方这一问题则是保证电子商务顺利进行的关键。 在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易单据等书面文佴上签名或印 章来鉴别贸易伙伴，确定合同、契约、单据的可靠性并预防抵赖行为的发生，这也就是人们常 说的“向纸黑字”。在无纸化的电子商务方式下，通过手写签名和印章进亍亍对贸易方的鉴别已 是不可能的，因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标 识。 ( 5 j 审查能力 根据机密性和完整性的要求。应对数据审查的结果进行记录。 电子商务的安全问题主要由加密技术、安全机制、安全协议予以保证的。 5 2 电子商务的加密技术 加密技术是电子商务采取的主要安全措施，贸易各方可根据需要在信息交换的各阶段使 用。目前，加密技术分为两类：对称加密体系和非对称加密体系。 ( 1 ) 对称加密 对称加密又称密钥加密，它采用对称密码编码技术，对信息加密和解密使用相同的密钥， 即加密密钥也是解密密钥。对称加密算法使用起来简单快捷，密钥较短，且破译困难。对称 加密系统的保密性主要取决于密钥的安全性”“”i 。 目前使用的对称加密算法有：d e s 、3 d e s 、i d e a 、r c 4 、r c 5 、s a f e r 和b l a w f i s h 等。 d e s ( u sf e d e r a ld a t ae n c r y p t i o ns t a n d a r d ) 数据加密标准，是最著名的采用对称密码 体制的算法，作为美国政府的数据加密标准，其被应用到非常广泛的范围中。 i d e a ( i n t e r n a t i o n a ld a t ae 矗c r y p t i o na l g o r i t h r a ) 国际数据加密算法。是在瑞士苏黎 世开发的一种算法，这个算法被认为非常安全。这是目前世界上最好的公开的加密算法，这 也是种比较新的算法。 r c 4 是r s a 数据安全公司开发的一种密码算法。这个算法非常快，被一泛使用于计算 机保密通信领域。 ( 2 ) 非对称加密 在非对称加密体系中，密钥被分解为公开密钥( p u b l i c k e y ) 和私有密钥( p r i v a t e k e y ) 。 公开密钥与私有密钥必须配对使用，如果用公开密钥对数据进行加密，只有用对应的私有密 钥才能解密：橹应地，如果用私有密钥对数据迸行加密，刚只有用对应的公开密钥才能解密。 因为加密和解密使用的是两个不同的密钥，因此这种算法叫作非对称加密算法，也称为公钥 加密2 ”。 非对称加密算法的保密性比较好，它消除了胡户交换密铜的安全| 生问题，但加密和解密 花费时间长、速度慢，它不适合于对长信息加密而只适用于对少量数据进行加密。 典型的非对称加密算法有r s a 、背包密码，e ”i p t i cc d r v e 、e l o a m a 算法等。 r s a ( 即r i v e s t ，s h a m i r ，a d l e m a n ) 算法是非对称加密领域内最为著名的算法，但是它存 在的主要问题是算法的运算速度铰慢。冈此，在实际的应用中通常不采用这一算法对信息晕 人的信息( 如大的e d i 交易) 进行加密。 ( 3 ) p k i 技术 p k i ( p l 】b l i ck e yi n l r a s t r u c t u r e ) 公钥基础设施是一种新的安全技术，它由公开密钥 密码技术、数字证书、证书发放机构c a 和关于公开密钥的安全策略等基本成分共同组成的， 提供公钥加密和数字签名服务的系统或平台，是一套完整的i n t e r n e t 安全解决方案。 p k i 体系结构采用证书管理公钥，通过第三方的可信机构c a ，把用户的公钥和用户的其 他标识信息( 如名称、e 一- m a i l 、身份证号等) 捆绑在一起，在i n t e r n e t 网上验证用户的身份， p k i 体系结构把公钥密码和对称密码结合起来，在i n t e r n e t 网上实现密钥的自动管理，保证 网上数据的机密性、完整性。 一个典型、有效的p k i 应用系统至少应具有以下部分：公钥密码证书管理、黑名单的发 布和管理、密钥的备份和恢复、自动更新密钥、自动管理历史密钥、支持交叉认证“。 ( 4 ) 电子商务的认证技术 电子商务中参与各方的身份认证主要是使用数字证书、数字签名和数字信封等技术实现 的。 5 3 电子商务的安全协议 ( 1 ) s s l 安全套接层协议 s s l 协议( 安全套接层协议) 是由n e t s c a p e 公司研究制定的安全协议，该协议向基于 t c p i p 的客户服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安 全措施。该协议通过在应用程序进行数据交换前交换s s l 初始握手信息来实现有关安全特性 的审查。在s s l 握手信息中采用了d e s 、m d 5 等加密技术来实现机密性和数据完接性，并采用 x 5 0 9 数字证书实现鉴别。该协议已成为事实上的工业标准，并被广泛应用于i n t e r n e t 和 i n t r a n e t 的服务器产品和客户端产品中。如n e t s c a p e 公司、微软公司、i b m 公司等领导 i n t e r n e t 和i n t r n e t 网络产品的公司已在使用该协议。 ( 2 ) s - h t t p 安全超文本传输协议 s h t t p 协议是对h t t p 协议的扩展，目的是保证商业贸易的传输安全。该协议向w w w 的应 用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。 ( 3 ) u n e d i f a c t 标准 u n e d i f a c t 协议( u n i t e dn a t i o n s e l e c t r o n i cd a t ai n t e r c h a n g ef o ra d m i n i s t r a t i o n c o m m e r c ea n dt r a n s p o r t ) 是联合国用于行政、商业和交通运输的e d i 标准。u n e d i f a c t 报文 是唯一的国际通用的e d i 标准。利用i n t e r n e t 进行e d i 已成为人们日益关注的领域，保证e d i 的安全成为主要解决的问题。 u n e d i f a c t 的安全措施主要是通过集成式和分离式两种途径来实现。集成式的途径是通 过在u n e d i f a c t 报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报 文来源的鉴别和不可抵赖性：而分离式途径则是通过发送3 种特殊的u n e d i f a c t 报文( 即a u t c k 、k e y m a n 和c i p h e r 来达到保障安全的目的。 ( 4 ) 安全电子交易规范( s e t ) s e t 向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由v i s a 国际 组织和万事达组织共同制定的一个能保证通过开放网络( 包括i n t e r n e t ) 进行安全资金支付的 技术标准。s e t 主要由3 个文件组成，分别是s e t 业务描述、s e t 程序员指南和s e t 协议描述。 s e t1 0 版已经公布并可应用于任何银行支付服务。 在电子商务的安全协议中比较有发展前途的是s s l 协议和s e t 协议。 9 6 安全电子交易s e t 协议综述 6 1 安全电子交易s e t 协议概述 ( i ) s e t 概述 1 9 9 5 年，包括m a s t e r c a r d 、i b m 和n e t s c a p e 在内的联盟开始着手进行安全电子支付协议 ( s e p p ) 的开发，v i s a 和微软组成的联盟开始开发安全交易技术( s t t ) 。由于两大信用卡组 织m a s t e r c a r d 和v i s a 分别支持独立的网络支付解决方案，影响了网络支付的发展。 1 9 9 6 年这些公司宣布它们将联合开发一种统一的标准，叫安全电子交易( s e t ) 。1 9 9 7 年 5 月，s e t 协议由v i s a 和n a s t e r c a r d 两大信用 公司联合推出，在i n t e r n e t 支付产业中许 多重要的组织，如i b m 、h p 、m i c r o s o f t ，n e t s c a p e 、g t e ，v i r i s i g n 等都声明支持s e t 。 s e t 主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付 信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。 s e t 协议是p k i 框架下的一个典型实现。其核心技术主要有公开密钥加密、数字签名、数 字信封、消息摘要、数字证书等。主要应用于bt oc 模式中保障支付信息的安全性。 在s e t 协议中，通过d e s 算法、r s a 算法、s h a 一1 算法的联合使用，保证了数据的一致性 和完整性，并可实现交易以预防抵赖；通过数字信封、双重签名，确保用户信息的隐私性和 关联性。 s e t 协议规定了交易各方进行安全交易的具体流程，协议本身比较复杂，设计比较严格， 全性高，它能保证信息传输的机密性、真实性、完整性和不可否认性。这一标准被公认为全 球网际网络的标准，其交易形态将成为未来电子商务的典范”。 目前，s e t 协议已获得i e t f 标准认可，己成为事实上的工业标准。 ( 2 ) s e t 的主要目标 s e t 的主要目标： 信息在i n t e m e t 上的安全传输，保证网上传输的数据不被黑客窃听。 定单信息和个人帐号信息的隔离。在将包括持卡入帐号信息的定单送到商家时，商家 只能看到定货信息，而看不到持卡人的帐户信息。 持卡人和商家相互认证，以确定通信双方的身份。一般由第三方机构负责为在线通信 双方提供信用担保。 要求软件遵循相同的协议和消息格式，使不同厂家开发的软件具有兼容和相互操作功 能，并且可以运行在不同的硬件和操作系统平台上。 ( 3 ) s e t 的参与各方及协议涉及范围 s e t 协议处理步骤与常规的信用卡交易处理过程基本相同，只是它是通过因特网来实现 的。在s e t 协议系统中。参与交易的主要有以f 实体：持卡人、商家、收单银行、发卡银行、 支付网关。 s e t 规范涉及的范围：加密算法的应用( 例如r s a 和d e s ) ，证书信息和对象格式，购买 信息和对象格式，认可信息和对象格式，划帐信息和对象格式，对话实体之间消息的传输协 议n 6 2 s e t 安全技术 在s e t 协议中通过采用加密技术和数字证书、数字签名及认证技术来保证s e t 支付系统 的安全性。 目前广为使用的加密技术有密钥加密系统和公钥加密系统。在s e t 的加密处理中，这两 种方法都用到了。s e t 将对称密钥的快速、低成本和非对称密钥的有效性完美地结合在一起。 在s e t 中，密钥如密系统采州d e s 加密算法，公钥加密系统要用r s a 加密算法，对1 f 金融 数据使用d e s 加密算法进行加密，对 数据使用d e s 加密算法和r s a 算法加强加密。 s e t 使用的安全认证技术的主要形式有： ( 1 ) 数字证书 数字证书是交易各方的合法身份凭证，其中包含了所有者的加密和签名公钥，并且可