|
|
*注:关键词如:会计信息、VB、学生、酒店、审计、VF等。关键词2是为了更加准确的找到你要的(但建议不要填上关键词2,因为这样查找的范围就小了)。
|
|
|
|
论文题目:
|
电子商务安全协议分析与展望,毕业论文
|
|
|
电子商务安全协议分析与展望,毕业论文
|
|
|
[摘要]文章针对电子商务中的安全协议SSL和SET,分析了它们的原理、优点和缺点,并提出了对两种协议进行改进和融合的设想。
[关键词]电子商务 安全 SSL协议 SET协议
随着互联网的迅猛发展,电子商务的前景十分诱人。然而,电子商务并没有像预期的那样繁荣,在经历了前几年的“虚火”以后,进入了一个平缓发展时期。人们开始意识到,电子商务的发展受到许多因素的制约,如社会认同、交易成本、物流配送、信用与法律问题、安全问题等。在这些问题当中,安全问题是一个核心问题。
电子商务基于开放的互联网,必然面临各种安全风险,如信息泄露或被篡改、欺骗、抵赖等。电子商务安全涉及信息的保密性和完整性、交易身份的真实性、不可否认性以及可审计性。对电子商务而言,支付安全是一个关键环节,众多的安全技术都是通过安全协议实施的。因此,研究简洁、有效的安全协议对电子商务安全至关重要。目前,电子商务中使用的安全协议主要有安全套节层协议(SSL)和安全电子交易协议(SET)。下面重点分析和比较这两种协议。
一、SSL协议
由Netscape公司开发的SSL协议,已经由IETF作为传输层安全协议(TLS)的蓝本。SSL是面向连接的通信安全协议,运行于传输层和应用层之间,为两个通信实体提供认证、数据的保密性和完整性服务。SSL目前版本为3.0。
SSL协议由记录协议、握手协议等构成,其中记录协议位于SSL协议的底层,用于封装上层的协议;握手协议则用于通信双方协商协议版本、加密算法和参数,相互验证身份,最后生成会话密钥。要建立安全通信信道,就必须经过一个“握手”过程。握手过程如下:
1.客户机和服务器依次向对方发送Hello消息(包含所用SSL协议版本号、会话标识、压缩算法、加密算法、随机数等),以协商算法,交换随机数。
2.客户机对服务器认证,若服务器发来的证书通过了验证则继续下一步,否则表示连接失败。客户机创建Pre-master-key,用服务器的公钥加密Pre-master-key并传送给服务器。若服务器对客户机有认证请求,则向服务器发送客户机的证书和数字签名。
3.服务器对客户机进行认证(可选),若不成功则终止会话。若成功,则由Pre-master-key等计算出主密钥master-key。
4.服务器和客户机根据主密钥分别产生自己的写密钥和读密钥,用于会话的加密和解密。至此握手结束,以后客户机和服务器双方将在一条秘密通道上进行通信。
二、SET协议
SET是一种基于消息流的协议,是由MasterCard和Visa以及IBM、微软等公司开发的,用来保证互联网上银行卡支付交易的安全性。SET自1997年问世以来,已经在国际上经受了大量实验性的考验,但多数Internet上的消费者尚未真正使用SET。SET协议非常复杂,它描述了交易各方之间的关系,对信息格式、加密方式、交易流程等进行了详尽的定义。SET不仅是一个技术协议,而且还规定了各方的数字证书的含义、响应动作以及与交易相关的责任认定。SET协议支付模型如图1所示,虚线左边为互联网,右边为银行网络。
图1 SET协议支付模型
SET交易流程如下:
1.客户请求验证商家CA证书;商家将自己的数字证书以及网关证书传给客户;客户验证商家的身份。
2.客户选择商品,填写并发送订单。选择支付方式,激活电子钱包,输入密码,选择一张经SET认证的信用卡。订单指令OI和支付指令PI由持卡人进行双重数字签名,使得商家看不到持卡人的账号信息,银行也看不到客户订货信息。
3.商家接受购物请求后,验证持卡人证书,然后通过数字签名和加密将支付指令PI发给支付网关,向银行索取授权。
4.支付网关首先检查商家证书及其数据完整性,然后检查持卡人证书及支付数据,如果合法,则通过收单银行向发卡银行申请授权。支付网关与银行之间的业务在金融专用网络上进行,SET不作规定。
5.发卡银行核实持卡人卡号、信用额度和有效期后,将授权指令送回收单银行,再由支付网关向商家传送授权成功的信息。
6.商家检查网关证书及数据完整性,然后向客户发送订单确认信息。如成功,则商家得到交易成功标志后,可通过物流系统向客户发货。客户端软件可记录交易日志,以备将来查询。
至此,持卡人购物过程结束。接下来进入商家获款阶段。当确认消费者收到货品时,商家通过支付网关向收单银行发出获款请求,银行进行账务划转和清算。
三、SSL协议与SET协议的比较
SSL和SET的共同点是它们都使用了加密技术,包括RSA、DES算法等。但这两种协议的区别是明显的。SET是一个多方的报文协议,它定义了银行、商家、持卡人之间的报文规范,而SSL只是简单地在两方之间建立一条安全连接。SET报文能够在银行内部网或者其它网络上传输,而SSL协议肯定与Web浏览器捆绑在一起。
1.SSL的优势与劣势
SSL是一个比较成熟的通信传输协议。由于SSL已嵌入Web浏览器和服务器,使用方便,因此得到广泛应用,而且它对应用层来说是透明的,不需要修改应用程序,这给用户带来了很大的便利。因此网上银行、支付系统在传输机密数据时,经常使用SSL协议。
另一方面,SSL协议并非专门为电子商务设计,它负责端到端的安全连接,只保证信息传输过程中不被窃取、篡改,但不提供其它安全保证,比如:商家的服务器中存放的客户信息可能会被泄露或者受到黑客攻击。从SSL的握手过程来看,它提供的仅仅是对浏览器和服务器的鉴别,而不是对客户、商家的身份认证,所以,单纯依靠SSL不能防止假冒欺骗行为,也不能防止交易之后可能发生的抵赖行为。
防止客户抵赖的一种方法是向持卡人颁发数字证书,以鉴别客户的真实身份。这样,基于SSL的安全协议又向SET靠近了一步。另一种方法是采用“表单签名”,利用这一功能对应用层消息进行数字签名,从而弥补SSL缺乏数字签名和不可否认性的缺陷。
另外,对中国用户来说,SSL协议的一个严重缺陷就是加密强度太弱,这是因为美国政府限制出口到我国的SSL的密钥长度仅有40位。
2.SET的优势与劣势
SET协议最明显的特征是通过CA认证体系,建立交易各方的信任关系。它不仅具有加密机制,更重要的是通过数字签名、数字信封等实现身份鉴别和不可否认性。SET对商家尤其是客户提供了更加周到的安全保护,最大限度地降低遭受欺诈的风险。SET规范了电子商务活动的流程,即规范了从持卡人到商家、到支付网关、到认证中心及银行之间的信息流向和严密的加密、认证标准。SET的“双重签名”机制能够最大限度地保护消费者的利益。
SET对软硬件环境要求较高,交易成本也较高。首先,SET交易是基于信用卡的,因此它面向的是社会中的一部分群体——持卡族;其次,要有一个权威的认证中心(CA),审核并颁发各种电子证书,包括持卡人证书、特约商户证书、支付网关证书、收单行证书和发卡行证书;第三,要给银行、商家和客户端分别安装专门的软件,比如客户端的电子钱包软件用于完成身份鉴别、加密、数字签名等一系列工作。为了安全存放私钥及证书,客户最好拥有智能卡、读卡器等设备。
目前流行的一种折衷方案就是所谓“面向商家的SET”,即银行与商家之间使用SET,而商家与客户之间仍使用SSL。这种方案回避了客户端安装电子钱包软件,但没有彻底解决客户容易遭受欺诈的问题。
3.对安全协议的认识
在比较SSL和SET时,有必要澄清以下几个模糊认识:
(1)SET比SSL花费时间多?
据统计,采用SET协议完成一次交易大约需要1~2分钟,而采用SSL协议只需要数秒钟,因此一般认为SET要比SSL费时很多。但是不要忽略,SSL与SET的付款方式根本不同。在基于SSL的交易中,商家在接收到客户的订货信息后,采用的往往是传统手工处理方式,即电话或传真确认、汇款或通过金融网络向信用卡的发卡行请求支付。而在SET协议中,商家在收到客户的订单和支付指令后,信用卡的信息通过支付网关自动转到传统的金融网络,在得到发卡银行的授权后即可进行发货、转账。其间,涉及到客户、商家、CA、支付网关、收单行和发卡行等多个实体,每次交易要验证证书9次,验证数字签名6次,传递证书7次,签名5次,对称和非对称加密各4次。因此,SET比SSL花费时间多也就不足为奇了。
另一方面,由于SSL是传输层的协议,它对网上传输的所有信息都加密,因此每次传输的速度都相对较慢,尤其是当网页中图片较多时。实验表明,多数Web服务器在执行SSL相关任务时,吞吐量会显著下降,连接速度是平时的1/50。而SET是应用层协议,它能有选择地只对网上传输的敏感性信息(比如Form中输入的信用卡号)进行加密。因此,若完成同样的任务,SSL要比SET花费更多时间。
(2)怎样看待SET的交易成本?
不可否认,在电子商务中采用SET协议要比采用SSL协议昂贵,这主要是完成SET交易的基础设施费用。目前,SET交易还不普遍的主要原因就是投入高而产出少。要改变这种局面,就必须提高交易的规模和数量,降低交易成本。当然,这是需要时间的。电子商务及其安全协议的发展将是互相促进的,相信企业特别是银行界能够在发展电子商务和降低交易成本方面大有作为。
(3)怎样看待SET协议的适用范围?
电子商务的模式包括B2B(企业对企业)、B2C(企业对消费者)、C2C(消费者对消费者)、B2G(企业对政府)等模式。其中,B2B和B2C模式最为常见。由于B2B模式的电子商务投入少,见效快,因此B2B模式受到企业和银行的青睐,成为当前电子商务的主流。但从长远来看,B2C模式不容忽视。我国信用卡市场的潜力巨大,随着经济的飞速发展,我国将与欧美发达国家一样,信用卡的使用非常普遍,交易数量和金额也大幅度增加。可以说,B2C模式的发展将预示着真正的电子商务春天的到来。有的观点认为,SET协议只适用于B2C模式,前途不大。笔者则认为:B2C本身在电子商务中前景广阔;作为第一个完善的电子商务支付协议,SET对电子商务的各种交易模式都具有借鉴的价值。
四、结论
有关SSL和SET优劣的争论还在进行。采用哪种安全协议,首先要考虑安全因素,其次是成本因素和方便使用。安全是要付出代价的,包括成本、速度、效率等,因此在实际应用中,应综合考虑各方面的因素。
开发一种能融合B2B和B2C模式的安全协议是一个亟待解决的问题。对适合B2B模式SSL协议,需要修补缺陷,并与PKI结合,增强认证、授权和数字签名功能;对适合B2C模式的SET协议,则应简化流程以提高效率。那么是否要为不同模式的电子商务,采用各自的安全协议,建立各自的认证体系呢?答案是否定的。我们必须以PKI为基础框架,建立一个统一的兼容B2B、B2C的安全协议和认证体系,否则将造成巨大的浪费。因此必须在深入剖析SET和SSL协议的基础上,开发一种新的安全支付协议,以适应信用卡、电子现金、电子支票等多种交易方式。
综上所述,电子商务的安全协议将是SSL和SET共存,互相取长补短,近期以SSL协议为主,最终将过渡到一种融合SET与SSL的新型安全协议。
(作者来稿日期:2003年10月27日)
 此主题相关文件 231620.doc
本站提供除计算机信息管理以外免费毕业论文。
|
|
如果是计算机课程、软件设计、信息管理毕业论文、计算机毕业设计、毕业论文,请查看购卖参考论文流程
请按标明的价格进行网上支付:
【声明】:为了使这个免费参考论文站能长期运行下去,请大家在需要本站信息管理、计算机毕业设计、毕业参考论文时,请支付一点网络维护费。只要您到款,我们就通过邮件发给您需要参考的论文。
我的手机与我的银行帐号联网的.你存款后我的手机在十分钟会有提示的.你存款好后,马上发email给我说明你要的论文及存款时间、金额.
(一般都开着的:早上8:00--23:00)
email:bestlw@163.com 或 bestlw@yahoo.com.cn
声明:
1、严惩其它站点复制本站论文内容!作为自己的商业使用!
2、为了防止盗制,我们做了一些处理,给大家带来不便之处,请谅解!
3、这里将建成全国最大的免费参考论文库,原大家多多投稿:bestlw@163.com。
4、部分内容如有遇上作者版权,请与我们联系我们及时以删除。
5、本站部分论文只提供参考,盗用发表者自负责任!
|
|
|
