收藏本站
《西南财经大学》 2001年
收藏 | 手机打开
二维码
手机客户端打开本文

电子商务安全协议探讨

施娟  
【摘要】: 电子商务作为一种新兴的商业模式在全球引起了轰动。借助于不 断增长的成本低廉的Internet,电子商务以其低成本、高效率的优势向 传统商业模式提出挑战。在电子商务发展的诸多关键点中,安全因素 是不可忽视的重点。电子商务安全包括保证交易的机密性、身份鉴别 的可行性、交易不可否认性及交易的有效性和资源的可控性。安全本 身是一个系统概念,系统中任何环节薄弱都将使整个系统的安全性降 低。电子商务安全是一个包含诸多成分的复杂体系,但本文不对构成 该体系的各成分一一论述,本文的讨论范围仅限于电子商务安全协议 范围。本文总结了两个主流的电子商务安全协议——SSL和SET,对 其安全性进行分析比较,以期对电子商务安全协议有清楚的认识和客 观的评价。 SSL(安全套接字层)协议是最早应用于电子商务的安全协议之 一。Netscape当初开发SSL是为了实现服务器和客户端的安全连接及 双方的身份认证。在电子商务发展迅速而专门的安全协议尚未出台之 时,SSL被作为最适宜的电子商务安全协议入选。协议分上下两层, 下层SSL记录层协议,主要是定制数据格式和传送数据;上层SSL 握手协议,主要是实现通信双方的身份鉴别并协商建立安全的通信连 接所需的参数。记录层协议工作在握手协议商定的会话环境中,而握 手协议作为上层协议使用记录层协议提供的服务,依靠记录层协议完 成握手消息的传递。握手开始时的会话环境是无任何保护的明文通信。 SSL结合运用了公钥密码技术、对称密码技术和完整性保护技术来实 现其目标,采用数字证书证明实体身份。SSL认为大多数情况下服务 器不需要验证客户端,故对客户端的验证是可选的。服务器证书将被 发送给客户端,客户端通过验证证书鉴别服务器的可靠性,并用证书 中的公钥加密一个预备秘密传给服务器。在公钥体系中,仅有相应的 私钥才可解开特定公钥加密的密文,SSL据此保证只有服务器和客户 端拥有预备秘密作为生成会话密钥的种子。SSL使用对称密码算法加 密通信数据,并对传输的数据进行完整性检验。SSL用加密套件表示 对称密码算法和完整性检验使用的单向散列函数的组合,SSL支持的 加密套件从最强的三重DES+SHAl到最弱的无加密+MDS验证,双 方连接具体使用哪种套件在握手时商定,通常选择双方都支持的最强 的加密套件。对称密码算法使用的密钥由双方分别将预备秘密进行一 系列相同的处理过程产生。在实际应用中,SSL能够根据选择的加密 鲁件对传输内容的机密性予以一定程度的保护,能够防止网络监听攻 击、报文重发攻击,也能较好地阻止“中间人”攻击。但SSL握手协 议的内容全部以明文形式传递,有可能被篡改而导致双方选择较弱的 加密套件。由于SSL主要针对信息发布,通常不验证客户端身份,因 而在电于商务中使用 SSL时常常要以带外方式怕电话、E-mail等) 验证客户端身份。此外,在传统的采用SSL的电子商务交易模型中, 客户的敏感数据怕银行卡帐号信息等)需经过商家传递给银行,不 能保护客户免受商家欺诈。现行的SSL电子商务交易模型对此进行了 改进,使客户的敏感信息不经过商家亘接传递给银行。SSL不支待交 易的不可否认性,必须采用带外方式确认交易。对于破坏交易有效性 的因素,包括截取并丢弃数据包、拒绝服务攻击以及对主机系统的攻 击,S SL均不能防范。 S*T安全电子交易)协议是1996年才提出的专门针对1血*t 等不安全网络上采用银行卡支付的电子交易的安全协议。SET根据实 际的交易步骤在协议中规定了若干处理过程,包括持卡人注册、商家 注册、购买请求、支付授权、支付请款等。SET是三方支付协议,支 付网关作为银行系统与商家和客户的接口参与SET。在使用SET支付 以前,参与的三方(客户、商家、支付网关)必须取得相关的数字证 书。SET证书分两类:签名证书和密钥交换证书。签名证书用于对发 送消息的实体进行身份鉴别,密钥交换证书用于传递加密数据的对称 密钥。SET中持卡人只有签名证书,商家和支付网关既有签名证书又 有密钥交换证书。证书是SET实现安全通信和实体身份鉴别的重要手 段,SET采用了严格的树状层次证书管理体系结构。树状结构中除根 证书外的每一实体的证书均由上一级实体颁发,证书中包含上级实体 的签名和指向上级实体证书的链接。在根证书可信的条件下,通过逐 2 层向卜验证证书颁发者答名必定可以验证证书的可信性。为保证根证 书的可信,SET的初始根证书包含在SET软件中颁发,根证书的更新 也采取与其他证竹不问的力式石ET采用CRL鉴别有效期内由于私钥 泄
【学位授予单位】:西南财经大学
【学位级别】:硕士
【学位授予年份】:2001
【分类号】:TP393.08

【相似文献】
中国期刊全文数据库 前10条
1 熊宛星;薛开平;洪佩琳;麻常莎;;基于二维区间Hash链的RFID安全协议[J];中国科学技术大学学报;2011年07期
2 胡千;景凤宣;谢晓尧;;基于CA的移动终端安全支付系统的研究与设计[J];贵州师范大学学报(自然科学版);2011年03期
3 张慧;赵有健;;安全协议中防御拒绝服务攻击的请求成功率保证算法[J];小型微型计算机系统;2011年06期
4 周倜;李梦君;李舟军;;安全协议逻辑程序不停机性快速预测的动态方法[J];计算机学报;2011年07期
5 顾翔;张臻;邱建林;;无线安全协议设计方法研究[J];计算机科学;2011年09期
6 李志全;王猛;苑苗苗;;基于Hash函数的RFID安全认证协议研究[J];电脑开发与应用;2011年07期
7 董学文;牛文生;马建峰;盛立杰;;Ad-hoc路由协议的串空间安全性扩展[J];计算机科学;2011年07期
8 陈冠胜;;移动办公安全技术分析及比较[J];中国电力企业管理;2009年30期
9 杨元原;马文平;刘维博;白晓峰;;一种可检测类型缺陷攻击的SAT改进模型[J];沈阳工业大学学报;2011年04期
10 赵书峰;黄刘生;;计算两相交圆精确面积的安全协议[J];微电子学与计算机;2011年07期
中国重要会议论文全文数据库 前10条
1 侯红霞;;信息安全专业“安全协议”课程的教改探讨[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年
2 冯荷飞;曹子宁;;交错时序认知逻辑在安全协议中的应用[A];逻辑学及其应用研究——第四届全国逻辑系统、智能科学与信息科学学术会议论文集[C];2008年
3 王聪;王智学;;基于UML2.0的安全协议建模方法[A];江苏省系统工程学会第十一届学术年会论文集[C];2009年
4 谢鸿波;周明天;;安全协议的形式化技术:述评[A];’2004计算机应用技术交流会议论文集[C];2004年
5 解云峰;李之棠;石曙东;;基于串空间模型的安全协议形式化分析方法研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
6 顾永跟;傅育熙;朱涵;吕银华;;基于进程演算的安全协议形式化分析[A];2005年全国理论计算机科学学术年会论文集[C];2005年
7 康松;王勋华;;门卫安全协议 一种简单的适用于公共数据网的安全协议[A];第十一届全国计算机安全技术交流会论文集[C];1996年
8 刘家芬;周明天;;对安全协议重放攻击的分类研究(英文)[A];计算机技术与应用进展——全国第17届计算机科学与技术应用(CACIS)学术会议论文集(下册)[C];2006年
9 徐梦茗;李斌;肖聪;;怎样用好AVISPA工具[A];第十一届保密通信与信息安全现状研讨会论文集[C];2009年
10 周东清;李燕;苏庆福;;一种基于层次型拓扑结构的无线传感器网络安全协议的设计[A];第二十一次全国计算机安全学术交流会论文集[C];2006年
中国重要报纸全文数据库 前10条
1 潘家永;春游的“安全协议”是否有效?[N];解放日报;2003年
2 潘家永;这种春游“安全协议”是否有效[N];民主与法制时报;2004年
3 潘家永;春游“安全协议”无效[N];经济参考报;2004年
4 曾铭;3-D安全协议 创造“三赢”电子交易[N];中国电子报;2004年
5 王乐民;中美签署药械安全协议[N];健康报;2007年
6 记者 舒玮;“安全协议”是学校的“挡箭牌”吗?[N];雅安日报;2008年
7 ;春游“安全协议”合法吗[N];中国妇女报;2003年
8 葛怀宇;美伊安全协议难产[N];工人日报;2008年
9 律师潘家永;“安全协议”是学校的尚方宝剑吗[N];北京日报;2003年
10 于毅;美伊长期安全协议是一剂良药吗?[N];光明日报;2008年
中国博士学位论文全文数据库 前10条
1 邓淼磊;几类安全协议的研究与设计[D];西安电子科技大学;2010年
2 谢鸿波;安全协议形式化分析方法的关键技术研究[D];电子科技大学;2011年
3 赵辉;安全协议形式化分析技术的研究[D];大连理工大学;2010年
4 李俊霖;物联网传感网络安全协议形式化研究[D];云南大学;2011年
5 冯超;计算可靠的安全协议验证方法研究[D];国防科学技术大学;2011年
6 贾洪勇;安全协议的可组合性分析与证明[D];北京邮电大学;2009年
7 石曙东;网络协议安全性分析中的逻辑化方法研究[D];华中科技大学;2009年
8 范红;安全协议形式化分析理论与方法[D];中国人民解放军信息工程大学;2003年
9 闫丽丽;基于串空间理论的安全协议研究[D];西南交通大学;2012年
10 李世群;普适计算中的安全问题研究[D];上海交通大学;2007年
中国硕士学位论文全文数据库 前10条
1 施娟;电子商务安全协议探讨[D];西南财经大学;2001年
2 张旋;基于无线网络的入侵检测系统研究[D];武汉理工大学;2006年
3 郭伟;基于OPNET的Mesh安全协议仿真平台研究[D];西安电子科技大学;2010年
4 林萍娟;基于有限域上遍历矩阵的安全协议实现研究[D];吉林大学;2006年
5 李大科;手机银行安全协议设计与分析研究[D];河海大学;2004年
6 陈强;安全协议的形式化分析研究[D];清华大学;2005年
7 陈娴;RFID安全协议及加密算法研究[D];电子科技大学;2010年
8 刘万授;基于UML安全协议的建模和自动检测[D];华南师范大学;2005年
9 石昊苏;基于串空间模型分析与验证密码安全协议[D];中国科学院研究生院(软件研究所);2004年
10 周锋波;基于XML的SET支付系统的研究与实现[D];山东大学;2005年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026