基于网络协议(Internet)的电子商务安全技术应用研究.doc

基于安全全议（Internet）的电子商务安全技术应用研究摘 要据1月16日消息，中国互联网络信息中心（CNNIC）今日在京发布第29次中国互联网络发展状况统计报告（以下简称报告）。报告显示，截至2011年12月底，中国网民规模突破5亿。互联网普及率较2010年提升4个百分点，相比2007年以来平均每年6个百分点的提升，增长速度有所回落。电子商务的发展前景十分诱人,但安全问题始终是影响电子商务发展的关键因素。安全问题威胁着交易中每一方的利益,客户由此产生的疑虑会影响到交易的成败,甚至会影响电子商务的进一步的发展。要保证电子商务的顺利发展,就必须高度重视安全问题。如何建立一个安全、便捷的电子商务应用环境,保证整个商务活动中信息的安全性,使基于Internet的电子交易方式与传统交易方式一样安全可靠,已经成为大家十分关心的问题。本文客观分析了电子商务发展过程中所面临挑战，客观的介绍了电子商务系统中主要的安全技术包括 防火墙技术、虚拟专用网、数据加密技术、安全协议等。确保在进行电子商务交易时的安全性、可靠性。关键字：电子商务安全、安全防范技术、安全协议目 录1 绪 论31.1 研究背景及意义31.2 国内外研究现状31.2.1 国外电子商务安全的发展现状31.2.2 国内电子商务发展现状41.3 研究内容51.4 组织结构52 电子商务概述52.1 电子商务概述52.2 电子商务安全现状62.3 电子商务网络安全需求72.4电子商务安全性分析83 电子商务安全问题具体表现83.1 信息泄露83.2身份仿冒93.3 恶意抵赖93.4拒绝服务93.5诚信安全问题94 电子商务安全技术114.1 防火墙技术114.2数据加密技术124.2.1 对称加密算法124.2.2 非对称加密算法134.3 认证技术144.3.1 数字签名154.3.2 数字时间戳154.3.3数字证书164.4 电子商务交易安全协议164.4.1 安全套接层协议164.4.2 安全电子交易(SET)协议174.4.3 安全超文本传输协议174.5.4安全协议的现状和展望185 总 结 与 展 望18致 谢19参考文献中英文？！20 1 绪 论摘要呢？！1.1 研究背景及意义电子商务在我国开始于上个世纪90年代末期，经过10多年的发展取得了惊人的成就。中国互联网络信息中心(CNNIC)于2010年1月15日发布的第25次中国互联网络发展状况统计报告显示l:截至2009年12月，我国的上网人数己经达到了3.84亿，其中通过宽带上网的用户数为3.46亿，域名数量达到1682万个;网络购物用户规模1.08亿，网络购物使用率继续上升;网络支付的使用率达到24.5%，用户规模9406万，年增幅高达80.9%，是用户增长最快的网络应用，越来越多的网民开始使用网上支付。但是，调查也显示:31.5%的网民遭遇过帐号密码被盗的问题，56.6%的网民遭遇过木马病毒的攻击，65.9%的网民认为“网络交易不安全”。由此可见，Internet本身的开放性，使得依赖于Intranet网络的电子商务活动遭遇了严重的安全问题。电子商务运作中的网络安全问题己成为阻碍电子商务发展的一个主要因素。针对网络安全问题，国际标准化组织早在1989年就对051互联网络环境的安全性进行了深入的研究，并在此基础上提出了051的安全体系标准，并制定了五种安全服务:身份认证、访问控制、数据保密、数据完整性和不可否认服务。只有取得这五大安全服务，才能保证电子商务交易是安全的，网络交易才能够继续存在和发展。因此，研究如何构造电子商务安全保障体系、开发安全的电子商务交易系统是我国电子商务发展的迫切需求，具有重要的现实意义。1.2 国内外研究现状1.2.1 国外电子商务安全的发展现状 电子商务的运用最早出现在美国，电子商务概念最早是由美国经济学家托马斯马龙教授提出，他把电子商务分为狭义电子商务和广义电子商务。前者指的是在运用电子化的买与卖的过程中，卖方找到潜在的客户并了解其需求，而买方找到潜在的卖主并了解其产品的销售条件等。后者指的是商业活动中所有的方面都得到了信息技术的支持，这些活动不仅包括了买和卖，还有设计、制造等。20世纪70年代，银行之间开始利用自有网络实现资金的转账，利用电子信息来处理电子付款。70年代末到80年代，企业间流行用电子数据交换(EDI)和电子邮件，可以节省办公纸张费用、提高企业效率并促进企业与外部的沟通，使EDI和电子邮件得以迅速普及。到了80年代中期，在线服务的开展为全球提供了互动和知识分享，并为全球经济一体化打下了坚实的基础。与此同时，电子技术在企业中的广泛应用也为企业的管理增色不少。90年代万维网(WWW)在Internet中的应用，提供了电子信息的出版和分解等能力，使企业能够获得更加便宜的商务方式，最重要的是它缩小了大型企业和中小企业之间市场地位的差距，为中小企业提供了与大型企业竟争的机会。1.2.2 国内电子商务发展现状电子商务得以迅速发展的首要条件就是外部环境的完善。近年来，随着国务院有关加快电子商务发展的意见、电子签名法等一系列政策法规的出台实施，以及相关宏观调控措施的开展，为电子商务的健康有序发展提供了良好的条件。首先，有关国际组织正在研究制订“企业与政府迈向电子商务的全球行动计划”，这是建立电子商务国际环境的主要步骤。其次，我国正在通过建立信息安全、网络安全等方面的法律来解决电子商务合同、单证、电子签名、电子货币的合法性问题，从而形成一套完善的商业法律环境。另外，在国家有 效的宏观调控措施下，一个开放、有序的市场经济竞争环境正在形成。公共信息基础设施也是电子商务发展的重要环境，信息通信部门正在逐步完善建立公用数据网、互联网、内联网、外联网等，为电子商务提供实现网上认证中心、订货、支付等安全交易的运行环境。由于Internet的开放性、松散性、无后效性，忽略了安全问题，给电子商务带来安全隐患。这对于像网上银行等这样的金融机构来说，其资金的不安全不仅对该机构的生存构成极大威胁，乃至对整个国家的经济安全都会产生重要的影响。此外，开发具有自主知识产权的网上交易系统以及相关的加密技术及其兼容性等也是电子商务安全的重要课题，还需要采取一系列相应的措施。1.3 研究内容这是罗列大纲，就是你的论文结构，不是研究内容！重写！本文第一章节绪论介绍了国内外电子商务发展现状以研究背景和意义；第二章节详细分析了电子商务定义、电子商务发展中安全现状、安全需求及安全性分析；第三章节简要分析下电子商务安全问题的具体表现；第四章简要分析下基于网络安全的电子商务常见的几种安全技术。1.4 组织结构第一部分：绪论。主要介绍与本课题有关的国内外研究现状、本课题的研究意义和主要研究内容。第二部分：电子商务概述。第三部分：电子商务安全问题具体表现。第四部分：电子商务安全技术。第五部分：总结与展望。2 电子商务概述2.1 电子商务概述电子商务是指以电子及电子技术为手段以商务为核心，把原来传统的销售、购物渠道转移到互联网上，打破空间和地域化的壁垒，使商品交易达到全球化、网络化、无纸化、个性化与一体化。与传统商务活动方式相比，具有交易成本低 效率高 透明化等优点，受到了多数商务人士的青睐与此同时同时，安全问题严重制约着电子商务的进一步发展。电子商务安全是一个多层次、多方位的系统的概念：从广义上讲，电子商务安全就是确保网络上的信息和资源不被非授权用户所使用。这种非法使用的内容包括:非法浏览、修改、删除或复制安全信A截获或破坏曰令和数据包、植入后门等。从狭义上讲，电子商务安全是指电子商务信息的安全，主要包括两个方面：信息的存储安全和信息的传输安全。2.2 电子商务安全现状1电子商务系统不够安全，遭受黑客攻击严重。CNN工02005年公布的中国互联网络发展状况统训一报告显示，在日前网上购物最人问题一项中，有34. 3%的人选择了“安全性得不到保障”，在用户选择网上银行最看重的因素中，有47. 5%的人选择了“交易的安全性”可见，网上交易的安全性已经成为制约电子商务发展的重要因素。2 电子商务安全方而的基础设施也比较薄弱。大多数电子商务网站的安全机制完全依赖于浏览器和Web服务器提供的安全协议，电子商务中的电子交易和支付系统成为了计算机犯罪活动的新日标。电子商务安全以前大都担当着“救火队”的角色，头痛医头，脚痛医脚。这种“治标不治本”的做法，问题总是层出不穷。近年来，人们已经开始着手从体系结构来解决问题，应当说在理论上已取得了明显进展，但到实践运用还有需要更大的努力。3 支持产品不过硬市场上有关电子商务安全的产品数量不少，但真正通过认证的相当少。主要是因为不少安全措施是从网上“移植”来的。另外，不少电子商务安全技术的厂商对网络技术很熟悉，但对安全技术普遍了解得不够，很难开发出真正实用的、足够的安全技术和产品。目前构成我国信息基础设施的网络、硬件、软件等产品几乎完全建立在以美国为首的少数几个发达国家的核心信息技术之上。4 人为因素的威胁 电子商务面临的安全威胁主要来源于三个方面:一是非人为、自然力造成的数据丢失、设备失效、线路阻断:二是人为，但属于操作人员无意的失误造成的数据丢失;三是来自外部和内部人员的恶意攻击和入侵。2.3 电子商务网络安全需求1、信息的保密性信息的保密性是指信息在传输过程或存储中不被他人窃取。因此，信息需要加密以及在必要的节点上设置防火墙。例如信用卡号在网上传输时，如果非持卡人从网上拦截并知道了这个号码，他也可以用这个号码在网上购物。因此，必须对要保密的信息进行加密，然后再放到网上传输。2、信息的完整性信息的完整性是从信息传输和存储两个方面来看的。在存储时，要防止非法窜改和破坏网站上的信息。在传输过程中，接收端收到的信息与发送的信息完全一样，说明在传输过程中信息没有遭到破坏。尽管信息在传输过程中被加了密，能保证第三方看不到真正的信息，但并不能保证信息不被修改。例如，如果发送的信用卡号码是“9821”，接收端收到的却是“9864”，这样，信息的完整性就遭到了破坏。3、信息的不可否认性信息的不可否认性是指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。由于商情的千变万化，交易达成后是不能否认的，否则，必然会损坏一方的利益。例如，买方向卖方订购钢铁，订货时市场的价格较低，收到订单时价格上涨了，如果卖方否认收到的定单的时间，甚至否认收到定单，那么买方就会受到损失。再例如，买方在网上买了光盘，不能说没有买，谎称寄出的定单不是自己的，而是信用卡被盗用。4、交易者身份的真实性交易者身份的真实性是指交易双方确实是存在的，不是假冒的。网上交易的双方相隔很远，互不了解，要使交易成功，必须互相信任，确认对方是真实的，对商家要考虑客户不是骗子，对客户要考虑商店不是黑店，有信誉。5、系统的可靠性电子商务系统的可靠性是指防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失效或失误。6、信息的有效性要对各种事项进行防范和控制，以保证贸易数据在确定的时刻、确定的地点是有效的。2.4电子商务安全性分析电子商务的实现依赖于网络，没有网络的存在，电子商务无从谈起。但是电子商务却是继网络之后才出现的，是网络发展过程中的产物。所以当初网络的建立仅考虑了网洛不会因为局部故障而影响信息的传输这个问题，并没有顾及电子商务安全，这样它的全球性、开放性和共享性就使得电子商务过程中传输的信息安全存在先天不足，黑客们扰可以利用公共的网络环境，传播各种病毒等。使网上交易面临种种危险。 随着各种网络应用工具的传播，黑客己经大众化了，目前我国发生的“黑客事件”，大多属于低层次的攻击事件。但我们基本上还是无能为力，无从防范。1999年4月26日的CIH病毒的爆发，就使中国4万多台电脑不能正常运行，大多数电脑的C盘数据被毁不。中国民航的20多台电脑被感染。其中，1999年下半年的航班时刻表的数据也被波坏，工作人员4个多月的辛苦付之一旦。国内很多企业的数据都或多或少的被破坏，黑客攻击很大程度上影响了电子商务的发展。现代化的企业信息建设强调七分管理三分技术，在电子商务安全中也不例外。但是目前从事电子商务的企业多数都缺乏管理，也因此给企业自身的电子商务带来了影响。其次，由于目前还缺乏对网络犯罪有效的反击和跟踪手段，黑客对一网站恶意的攻击同样是威胁电子商务安全的一个重要原因。最后，很多己经开发出来的软件会存在许多的安全漏洞，这就给了攻击者可乘之机，通过这些软件的漏洞，攻击者就可以编写代码传播病毒等。同时软件开发人员为了方便，也会在软件里留下“后门”，这也是导致电子商务安全问题的一个原因。这些是引起电子商务安全隐患的重要原因，它们严重影响了电子商务的发展。3 电子商务安全问题具体表现3.1 信息泄露在信息传送的过程中，由于信息没有采用加密措施，调制解调器之间的信息以明文的形式传送，入侵者使用相同的调制解调器就可以截获所传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信号的具体内容，造成传输信息的泄漏。在电子商务中信息的泄漏主要为商业机密的泄漏，其主要分为两个方面:一交易双方进行交易的内容被第三方窃取；二交易一方提供给另一方使用的文件被第三方非法使用。3.2身份仿冒攻击者通过建立与服务器名字相同的另一个服务器来假冒销售者:以虚假订单获取他人的机密数据，比如，某人想要了解另一个人在销售商处的信誉时，他以另一个人的名字向销售商订购昂贵的商品，然后观察销售商的行动，假如销售商认可该定单，则说明这个观察者的信誉高，否则，则说明这个观察者的信誉不高。3.3 恶意抵赖电子商务的交易应该同传统的交易一样具有不可抵赖性。因为有些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息、或内容；收信者事后否认曾经收到过某条消息或内容，购买者做了定货单不承认，商家卖出的商品因价格差而不承认原有的交易等。3.4拒绝服务拒绝服务是指攻击者可能向销售商的服务器发送大量的虚假定单来挤占他的资源，使合法接入的信息、业务或其他资源受到阻碍，从而使合法用户不能得到正常的服务。如使一个业务被滥用而使其他用户不能正常工作。拒绝服务是目前为止尚无有效措施予以阻止的攻击方法。拒绝服务攻击有两类:一是向网络或主机发送大量非法或无效的请求，使其消耗可用资源却无法继续提供正常的网络服务。二是利用操作系统、软件、网络协议、网络服务等的安全漏洞，通过网站发送特制的数据请求，使网络应用服务器崩溃而停止服务。3.5诚信安全问题当电子商务的支付信息和交易信息有了安全保障时，买卖双方也不能放心的从事网上交易。大家知道电子商务的在线支付形式有电子支票、电子钱包、电子现金、信用卡支付等。但是采用这几种支付方一式，都要求消费者先付款，然后商家再发货。这样消费者付款以后，就会担心收不到货物或者收到品质较差的货物。如果是商家先发货，然后消费者再付款，商家则会担心消费者是否会付款。因此，诚信安全也是影响电子商务快速发展的一个重要问题。数据显示，2006年中国互联网投诉同比增长1. 1%，主要表现在因为异地交易和无店铺交易，消费者无法真实了解该商品的具体情况，只能通过广告来比较鉴别，具有明显的不确定性。卖家提供虚假信息，收钱不发货，骗取钱财。依托的网站不承担责任，推诱拖延。利用网络行骗，盗用用户名和密码。据楚天金报消息，汉口的苏先生在“淘宝网”上发布了一条消息，称需要购买一本名叫教父的小说。不料被骗子盯上，对方称只要先付一分钱即发货，而实际上，其指定的支付页面竟是假网页，就这样被人盗取了银行卡的账号和密码，被骗走13725元，给自己造成了经济损失。因此我们要高度重视交易中的诚信安全问题，来更好的维护消费者的合法权益。案例网站运行于Solaris2.5上，系统管理员经常发现网站的管理模块有不明用户进入，入侵者能用管理员的帐号查看，修改用户数据，查看用户密码。从6月以来不断有用户投诉密码被更改，邮箱邮件被别人收走。还有的栏目信息被入侵者修改，换成莫名其妙的内容，更猖狂的是，该入侵者居然公然加了一个自己的帐号，并将其设置为管理员。经本站安全技术人员C检查，其网站至少存在2个致命漏洞，一个中等程度的漏洞和若干个配置错误。其中一个致命漏洞在于RPC程序中的一个守护进程。该守护进程的漏洞在Internet上发布已经有半年，但管理员既没有对该进程的程序打补丁，也没有关掉该服务。实际上这个服务是没有必要打开的。这个守护进程中存在一个缓冲区溢出错误，并且有黑客针对该错误写了一段攻击程序，公布在黑客BBS上。该攻击程序通过缓冲区溢出错误可以使入侵者在这台机器上用任何身份执行任何指令。该溢出发生的时候这个守护进程程序报错，这表明入侵者的确是利用这个漏洞进入系统的。该网站上的另一个中等程度的漏洞是finger服务，该服务暴露了这台机器的用户名。本站安全技术人员通过修改系统初始化文件和修补漏洞的工作以后，有效地防止了以后同类现象发生。如何防范自身系统漏洞和黑客攻击保证电子商务交易过程中信息的安全？4 电子商务安全技术电子商务的开展在网络安全方面上还存在很多问题。面对电子商务中形形色色的安全漏洞，我们必须要采取相应的方法来保障电子商务活动的安全进行。安全问题是企业应用电子商务最担心的问题。下面就着重探讨分析下基于网络中电子商务的安全技术。4.1 防火墙技术 防火墙(Fire-Wall)是指隔离在本地网络与外界网络间的一道防御系统。防火墙是一种计算机硬件和软件的组合，在互联网与内部网之间建立一个安全的网关(Security-Gate-Way），从而保护内部网免受非法用户的侵入。通常人们认为防火墙是位于两个或多个网络间，实施网络之间控制的一组组件的集合。如4.1图所示：智能防火墙的设计思想是利用智能防御核心，自动统计、分析通过防火墙的各种数据，探测出各种扫描、攻击，一旦出现情况立即断开与该主机的任何联接从而达到保护内部服务器和主机的安全。防护墙的优缺点：防火墙技术的优点：一是通过过滤不安全的服务，极大地提高网络安全和减少子网中主机的风险；二是可以提供对系统的访问控制；三是可以阻击攻击者获取攻击网络系统的有用信息；四是防火墙还可以记录与统计通过它的网络通信，提供关于网络使用的统计数据，根据统计数据来判断可能的攻击和探测；五是防火墙提供制定与执行网络安全策略的手段，它可以对企业内部网实现集中的安全管理。防火墙技术的缺点：一是防火墙不能防止绕过防火墙的攻击；二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制，因此可能受到黑客的攻击；三是防火墙不能保证数据的秘密性，不能对数据进行鉴别，也不能保证网络不受病毒的攻击。4.2数据加密技术加密技术是电子商务的最基本的安全措施，有效地确保实现信息数据的私有性和安全性。加密技术是指通过使用代码或密码来保障数据的安全性。欲加密的数据称为明文，明文经过某种加密算法作用后，转换成密文，我们将明文转换为密文的这一过程称为加密，将密文经解密算法作用后形成明文输出的这一过程称为解密。加密算法中使用的参数称为密钥。密钥长度越长，密钥的空间就越大，遍历密钥空间所花的时间就越多，破译的可能性就越小。以密钥为标准，可将密钥系统分为对称密钥系统和非对称密钥系统。数据加密技术的核心就是要设计高强度的加密算法 。4.2.1 对称加密算法对称加密算法又称单钥密码算法是指在明文的加密过程和密文的解密过程中采用相同的算法，交换共享的私有密钥。如果交易的各方能够保证密钥交换阶段没有发生密钥泄露，可通过对称加密方法机密机密信息和通过报文一起发送报文摘要或报文散列值来实现信息的机密性和报文的完整性。其特点是数据的发送方和接收方使用的是同一把私有密钥，即把明文加密成密文和把密文解密成明文用的是同一把私有密。对称加密的代表是1997年美国颁布的DES算法。加解密过程如4.3.1图所示。 DES解密过程和加密过程相似，但生成16个密钥的顺序正好相反。尽管在破译DES方面取得了许多进展，但至今仍未能找到比穷举搜索法更有效的方法。1997年1月，美国RSA数据安全公司的其安全年会上举办了一个密钥挑战竞赛，曾悬赏1万美圆破译长度为56Bit的DES算法。美国克罗拉多州的一个程序员用了96天的时间，在internet数万名志愿者的协同工作下，成功的找到了DES的密钥，获得了RSA公司办法的1万美圆的奖励。这一事件表明依靠Internet的分布式计算能力，用穷举法译DES已成为可能，从而使人们认识到随着计算机能力的增长，必须相应的增加算法的密钥的长度。对称密码技术的优点在于实现容易，使用方便，加密速度快；其主要的弱点在于密钥数量大，管理困难，密钥的传输过程必须绝对的安全，一旦密钥泄露则直接影响到信息的安全性。对称密码技术的缺点：通信双方在进行通信之前需要通过一个安全信道事先交换密钥，这在实际应用中通常是非常困难的。如果事先约定密钥，则进行网络通信的每个人都要保留其他人的密钥，这将是密钥管理变的非常困难。4.2.2 非对称加密算法 非对称密钥技术又叫公开密钥技术。非对称加密算法又称双钥密码算法是指在对信息的加密和解密过程中使用不同的密钥。每个用户保留两个不同的密钥:公钥和私钥。公钥通过非保密方式公开，私钥加以保存。发送方用接收方的公钥将明文加密后发出，接收方接收后用私钥将其解密。非对称加密的代表是RSA和ECC。如图4.3.2所示RSA算法加解密过程。加密密钥是公开的，称为公开密钥。解密密钥上保密的，称为私钥。加密算法和解密算法都是公开的，每个用户有一个对外公开的加密密钥和对外保密的解密密钥。私钥由公钥决定，但却不能由公钥计算出来。理论上解密密钥可由加密密钥推算出来，但这种算法设计中实际上是不可能的，或者即使能够推算出来，但要花费很长的时间而成为不可行的。所以公开加密密钥也不会危害私钥的安全。在RSA算法中，大多数加密程序均采用1024位以上。因为它无须收发双方同时参与加密过程非常适合于电子函件系统的加密。尽管RSA算法既可用于加密，也可以用于数字签名，但其加密、解密运算复杂，速度慢，所以目前该算法适用于少量数据的加密，更多的用于加密密钥。但是它存在的主要问题是算法的运算速度较慢，产生的密钥很麻烦，最快的情况DES也比其快上100倍，所以这种技术一般只用于少量信息加密。4.3 认证技术在一个完整的电子商务活动中，所有的交易信息都是通过电子数据的方式进行交换，交易各方不直接见面，对于交易各方合法身份的识别是电子商务技术的关键，这就需要身份认证，为实现交易的完整性和不可抵赖性也需要认证技术。认证技术包括数字签名技术，身份认证技术和认证协议。4.3.1 数字签名数字签名（DigitalSignature）技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。发送者发送的信息一般会产生别人无法伪造的一段数字，这段数字是对信息发送者发送信息的真实性的一个证明，是防止通信双方发生否认、伪造、篡改、冒充等的一种新型数字认证技术，是传统文件手写签名的模拟。作为一种签名方式数字签名与书面签名有着同样的作用。数字签名要提供3个不同的功能，即通过数字签名能够实现对消息发出者身份的认证、不可抵赖性和完整性。无签名者合作接收者无法验证签名的特点，能有效保护签名者的利益。数字签名的基本要求:(1)签名可核实:接收方用发送方的公钥对其签名解密实现签名核实，以确定签名者的身份。(2) 签名者不可抵赖:如果发送者A要抵赖曾发送报文P给接收方B,接收方B可以将发送方A的签名ESK(H(P)出示给仲裁机构，仲裁机构很容易用公钥去证实A确实发送报文P给B，由于其他的用户不知道签名者的私人密钥，不肯能产生同样的签名文件，故签名是不可抵赖的。(3) 签名不可伪造:只有签名者知道他的私人密钥，别人无法伪造他的签名，从而确定了文件是真实的。(4) 签名不可重用:签名是文件的一部分，是不可能将签名移到另一个文件上。(5) 签名的文件是不可改变的:如果被签名的文件有任何改变，那么该签名的文件就不可能用签名者的公开密钥进行解密。4.3.2 数字时间戳书面合同中文件的签署日期和签名一样是十分重要的防止文件被篡改伪造的关键，数字签名中的时间标记被称为时间戳。数字时间戳服务是提供电子文件发表时间的安全保护。用户首先将需要加时间戳的文件加密形成摘要，然后将摘要发送到被交易各放新来的时间标记权威机构，请该机构对发送的数据进行时间标记，该机构在指定的数据后加上当时的日期、时间然后对数据文件加密送回用户。4.3.3数字证书电子商务活动中无论是数字时间戳服务，还是数字凭证的发放都需要有一个具有权威性和公正性的第三方认证机构来承担。CA中心是公正的第三方，它为建立身份认证过程的权威性框架奠定了基础，为交易的参与方提供了安全策略。它为网上交易构筑了一个互相信任的环境，结束了网上身份认证、公钥分发及信息安全等一系列问题。由此可见，CA是保证电子商务安全的关键。CA中心对含有公钥的证书进行数字签名，使证书无法伪造。每个用户可以获得CA中心的公开密钥(CA根证书)，验证任何一张数字证书的数字签名，从而确定证书是否是CA中心签发、数字证书是否合法。4.4 电子商务交易安全协议4.4.1 安全套接层协议 安全套层协议（secure sockets layer），英语缩写为SSL协议，它是由网景（Netscape）公司1994年推出的一种安全通信协议，是对计算机之间整个会话进行加密的协议，提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器，用以完成需要的安全交易操作。在SSL中，采用了公开密钥和私有密钥两种加密方法。SSL安全协议主要提供三方面的服务。一是用户和服务器的合法性保证，利用证书技术和可靠的第三方CA，可以让客户机和服务器相互识别对方身份。为了验证证书持有者是其合法用户，SSL要求证书的持有者在握手时相互交换数字证书，通过验证来保证对方身份的合法性；二是加密数据以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥，也有公开密钥，在客户机和服务器交换数据之前，先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术，以保证其机密性与数据的完整性，并且经数字证书鉴别；三是维护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供完整的信息服务，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。4.4.2 安全电子交易(SET)协议 安全电子交易协议（SecureElectronicTransactions），英语缩写为SET协议，它是由是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证。SET是一个非常复杂的协议，因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。在基于SET的电子商务交易系统中，主要包括的参与者有：持卡者，它是指付款卡在网络上实现支付的用户，按照在线商店的要求填写定货单，用发卡银行的信用卡付款。发卡银行，它是指发行信用卡给给持卡者的信用机构，并在持卡者申请SET数字证书时，对持卡者进行核实。在线商店，它是指在网络上提供商品销售服务的服务提供者，提供商品或服务，具备使用相应电子货币的条件。收单银行，通过支付网关处理消费者与在线商店之间的交易付款。支付网关，它主要实现支付信息从internet到银行内部网络的转换，并对商家和持卡者进行认证。CA认证中心，它是基于SET电子商务体系结构中，负责确认交易对方的身份和信誉度，以及对消费者的支付手段认证。SET协议在安全性上的体现只要在于，它保证电子商务参与者信息的相互隔离，客户的资料加密或打包后通过商家到达银行，但商家不能看到客户的帐号信息；它保证信息在internet上安全传输，防止信息数据被黑客或者内部人员窃取；它解决了多方的认证问题，不仅要消费者的信用卡认证，而且要对在线商店的信誉度认证；它保证网上交易的实时性，所有的支付过程都在线完成的。4.4.3 安全超文本传输协议 安全超文本传输协议（Secure Hyper-Text-Transfer-Protocol），英语缩写为S-HTTP。它依靠密钥的加密，保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充，增加了报文的安全性，是基于SSL技术的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。4.5.4安全协议的现状和展望SSL协议是国际上最早应用电子商务的一种网络安全协议，在一些发达国家有许多网上商店至今仍在使用。在美国几乎所有提供安全交易的在线网址都是靠网景公司的SSL提供安全交易，SSL保护使用公钥编码方案传输的数据。但是SSL运行的基点是商家对客户信息保密的承诺。缺乏客户对商家的认证，在认证交易双方方面几乎无能为力。但由于电子商务现在处于早期发展阶段，使用电子商务的公司一般是大型企业，其信用度较高。这样随着电子商务的发展和推广，电子商务的厂商也会大幅度增加，对厂商认证的问题就会越来越突出，SSL的缺点也就暴露出来了。SET协议被称为电子商务商家免受欺骗的法宝，因此得到许多电子商务软件厂商的支持。在是在国际上处于试用阶段，并无成熟的应用。其原因也是多方面的，银行不会为在线信用卡欺骗付费，而商家缺乏推动SET的动机。目前已经有34个国家的150家金融机