電子商務(wù)是Internet爆炸式發(fā)展的直接產(chǎn)物,是網(wǎng)絡(luò)技術(shù)應(yīng)用的全新發(fā)展方向,F(xiàn)階段推動(dòng)電子商務(wù)面臨的最大問(wèn)題是如何保障電子商務(wù)過(guò)程中的安全性,交易的安全是網(wǎng)上貿(mào)易的基礎(chǔ)和保障,同時(shí)也是電子商務(wù)技術(shù)的難點(diǎn)。近年來(lái),國(guó)際上已實(shí)施和制定了一系列的方法來(lái)解決網(wǎng)上交易的安全性問(wèn)題。
一、電子商務(wù)的安全控制要求概述
電子商務(wù)發(fā)展的核心和關(guān)鍵問(wèn)題是交易的安全性。由于Internet本身的開(kāi)放性,使網(wǎng)上交易面臨了種種危險(xiǎn),也由此提出了相應(yīng)的安全控制要求。1、信息保密性。交易中的商務(wù)信息有保密的要求。如信用卡的帳號(hào)和用戶(hù)名被人知悉,就可能被盜用,訂貨和付款的信息被競(jìng)爭(zhēng)對(duì)手獲悉,就可能喪失商機(jī)。因此在電子商務(wù)的信息傳播中一般均有加密的要求。2、交易者身份的確定性。網(wǎng)上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認(rèn)對(duì)方的身份,對(duì)商家而言要考慮客戶(hù)端不能是騙子,而客戶(hù)也會(huì)擔(dān)心網(wǎng)上的商店不是一個(gè)弄虛作假的黑店。因此能方便而可靠地確認(rèn)對(duì)方身份是交易的前提。3、不可否認(rèn)性。由于商情的千變?nèi)f化,交易一旦達(dá)成是不能被否認(rèn)的。否則必然會(huì)損害一方的利益。4、不可修改性。交易的文件是不可被修改的,如其能改動(dòng)文件內(nèi)容,那么交易本身便是不可靠的,客戶(hù)或商家可能會(huì)因此而蒙受損失。因此電子交易文件也要能做到不可修改,以保障交易的嚴(yán)肅和公正。
二、電子商務(wù)安全交易的有關(guān)標(biāo)準(zhǔn)和實(shí)施方法
1、安全交易的雛形。在電子商務(wù)實(shí)施初期,曾采用過(guò)一些簡(jiǎn)易的安全措施,這些措施包括:(1) 部分告知(Partial Order):即在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)如信用卡號(hào)碼及成交數(shù)額等略去,然后再用電話告之,以防泄密。(2) 另行確認(rèn)(Order Confirmation):即當(dāng)在網(wǎng)上傳輸交易信息之后,再用電子郵件對(duì)交易作確認(rèn),才認(rèn)為有效。(3) 在線服務(wù)(Online Service):為了保證信息傳輸?shù)陌踩闷髽I(yè)提供的內(nèi)部網(wǎng)來(lái)提供聯(lián)機(jī)服務(wù)。以上所述的種種方法,均有一定的局限性,且操作麻煩,不能實(shí)現(xiàn)真正的安全可靠性。
2、安全交易標(biāo)準(zhǔn)的制定。近年來(lái),IT業(yè)界與金融行業(yè)一起,推出不少更有效的安全交易標(biāo)準(zhǔn)。主要有:(1) 安全超文本傳輸協(xié)議(S-HTTP):依靠密鑰對(duì)的加密,保障Web站點(diǎn)間的交易信息傳輸?shù)陌踩浴?2) 安全套接層協(xié)議(SSL協(xié)議:Secure Socket Layer)是由網(wǎng)景(Netscape)公司推出的一種安全通信協(xié)議,是對(duì)計(jì)算機(jī)之間整個(gè)會(huì)話進(jìn)行加密的協(xié)議,提供了加密、認(rèn)證服務(wù)和報(bào)文完整性。它能夠?qū)π庞每ê蛡(gè)人信息提供較強(qiáng)的保護(hù)。(3) 安全交易技術(shù)協(xié)議(STT:Secure Transaction Technology):由Microsoft公司提出,STT將認(rèn)證和解密在瀏覽器中分離開(kāi),用以提高安全控制能力。(4) 安全電子交易協(xié)議(SET:Secure Electronic Transaction):SET協(xié)議是由VISA和MasterCard兩大信用卡公司于1997年5月聯(lián)合推出的規(guī)范。SET主要是為了解決用戶(hù)、商家和銀行之間通過(guò)信用卡支付的交易而設(shè)計(jì)的,以保證支付信息的機(jī)密、支付過(guò)程的完整、商戶(hù)及持卡人的合法身份、以及可操作性。SET中的核心技術(shù)主要有公開(kāi)密匙加密、電子數(shù)字簽名、電子信封、電子安全證書(shū)等。目前公布的SET正式文本涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整及數(shù)字認(rèn)證、數(shù)字簽名等。這一標(biāo)準(zhǔn)被公認(rèn)為全球網(wǎng)際網(wǎng)絡(luò)的標(biāo)準(zhǔn),其交易形態(tài)將成為未來(lái)“電子商務(wù)”的規(guī)范。支付系統(tǒng)是電子商務(wù)的關(guān)鍵,但支持支付系統(tǒng)的關(guān)鍵技術(shù)的未來(lái)走向尚未確定。安全套接層(SSL)和安全電子交易(SET)是兩種重要的通信協(xié)議,每一種都提供了通過(guò)Internet進(jìn)行支付的手段。
三、目前安全電子交易的手段
在近年來(lái)發(fā)表的多個(gè)安全電子交易協(xié)議或標(biāo)準(zhǔn)中,均采納了一些常用的安全電子交易的方法和手段。典型的方法和手段有以下幾種:
1、密碼技術(shù)。采用密碼技術(shù)對(duì)信息加密,是最常用的安全交易手段。在電子商務(wù)中獲得廣泛應(yīng)用的加密技術(shù)有以下兩種:(1)公共密鑰和私用密鑰(public key and private key)這一加密方法亦稱(chēng)為RSA編碼法,是由Rivest、Shamir和Adlernan三人所研究發(fā)明的。它利用兩個(gè)很大的質(zhì)數(shù)相乘所產(chǎn)生的乘積來(lái)加密。這兩個(gè)質(zhì)數(shù)無(wú)論哪一個(gè)先與原文件編碼相乘,對(duì)文件加密,均可由另一個(gè)質(zhì)數(shù)再相乘來(lái)解密。但要用一個(gè)質(zhì)數(shù)來(lái)求出另一個(gè)質(zhì)數(shù),則是十分困難的。因此將這一對(duì)質(zhì)數(shù)稱(chēng)為密鑰對(duì)(Key Pair)。(2)數(shù)字摘要(digital digest)這一加密方法亦稱(chēng)安全Hash編碼法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所設(shè)計(jì)。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文,這一串密文亦稱(chēng)為數(shù)字指紋(Finger Print),它有固定的長(zhǎng)度,且不同的明文摘要成密文,其結(jié)果總是不同的,而同樣的明文其摘要必定一致。這樣這摘要便可成為驗(yàn)證明文是否是“真身”的“指紋”了。
2、數(shù)字簽名(digital signature)。在書(shū)面文件上簽名是確認(rèn)文件的一種手段,簽名的作用有兩點(diǎn),一是因?yàn)樽约旱暮灻y以否認(rèn),從而確認(rèn)了文件已簽署這一事實(shí);二是因?yàn)楹灻灰追旅,從而確定了文件是真的這一事實(shí)。數(shù)字簽名與書(shū)面文件簽名有相同之處,采用數(shù)字簽名,也能確認(rèn)以下兩點(diǎn):a. 信息是由簽名者發(fā)送的。b. 信息在傳輸過(guò)程中未曾作過(guò)任何修改。這樣數(shù)字簽名就可用來(lái)防止電子信息因易被修改而有人作偽;或冒用別人名義發(fā)送信息;或發(fā)出(收到)信件后又加以否認(rèn)等情況發(fā)生。數(shù)字簽名采用了雙重加密的方法來(lái)實(shí)現(xiàn)防偽、防賴(lài)。
3、數(shù)字時(shí)間戳(digital time-stamp)。交易文件中,時(shí)間是十分重要的信息。在書(shū)面合同中,文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性?xún)?nèi)容。在電子交易中,同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施,而數(shù)字時(shí)間戳服務(wù)(DTS:digital time-stamp service)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。
4、數(shù)字憑證(digital certificate, digital ID)數(shù)字憑證又稱(chēng)為數(shù)字證書(shū),是用電子手段來(lái)證實(shí)一個(gè)用戶(hù)的身份和對(duì)網(wǎng)絡(luò)資源的訪問(wèn)的權(quán)限。
5、認(rèn)證中心(CA:Certification Authority)。在電子交易中,無(wú)論是數(shù)字時(shí)間戳服務(wù)(DTS)還是數(shù)字憑證(Digital ID)的發(fā)放,都不是靠交易的雙方自己能完成的,而需要有一個(gè)具有權(quán)威性和公正性的第三方(third party)來(lái)完成。認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書(shū)、并能確認(rèn)用戶(hù)身份的服務(wù)機(jī)構(gòu)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:談?wù)勲娮由虅?wù)的交易安全
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10819415397.html