电子商务安全协议分析与比较

电孑商务　１信息资源的风险。信息技术高度发展的今天．信息在企业　的经营管理中地位变得尤为重要，是企业的重要生产要素和资　本　在一定程度上可以决定企业在激烈市场竞争中的成败。网络　介质，财务数据流动中的签字盖章等传统确认手段不复存在，从　而使信息资源的安全性受到质疑，具体表现在：　电子商务安全协议分析与比较　彪刘利枚湖南商学院计算机与电工程学院　本文受湖南省自然科学基金项目（０６ＪＪ５０１　１　ｏ）；湖南省教育厅　项目（０７Ｃ４０２）资助　【摘要】电子商务安全问题的核・　是电子交易的安全性，为　环境下．财务信息的传递借助网络完成，磁介质代替了传统的纸　＿石（１）财务信息在传递过程中是否被篡改或泄露。由于搭截侦　听、口令试探和窃取、身份假冒等都会在技术上引起信息的安全　问题。作为信息接受方，有理由怀疑收到的从不同地域传来的数　据在传递过程中是否已被黑客或竞争对手非法截取和恶意篡改：　了保障电子商务交易安全，人们开发了各种用于加强电子商务安　全的协议。当前应用比较广泛的电子商务安全协议主要有安全套　接层协议ｓＳＬ、安全电子交易协议ＳＥＴ和三方域安全协议５一Ｄ　而数据发送方也会有类似的担心，即发送的信息能否安全传递并　被接受方正确识别和下载。另一方面，在企业内部，如果信息系　统使用权限划分不当．内部控制不严，也容易造成信息被篡改和　窃取。　ｓｅｃｕｒｅ。文中对这三种主流协议进行了深入的分析和比较。　［关键词】电子商务～安全协议ＳＳＬ　ＳＥＴ　３－Ｄ　ｓｅｃｕｒｅ　、引言　ｌ　（２）本地财务信息是否被破坏。随着网络财务管理系统的应　用．企业的信息将更多的保存在计算机及其存储设备上，一方面，　随着互联网日益普及．基于Ｉｎｔｅｒｎｅｔ的电子商务已经深入到人　们生活的方方面面。安全是电子商务的基石，如何保证电子商务　操作人员的不当操作或故意破坏，计算机病毒的发作都可能造成　；交易活动中信息的机密性、真实性、完整性、不可否认性和存取　计算机硬件系统故障，进而可能造成系统的崩溃和数据的全部丢　控制等是电子商务发展中迫切需要解决的问题。为了保障电子商　失；另一方面．在企业内部．如果信息系统使用权限划分不当，内　部控制不严，也容易造成信息被篡改和窃取。　务交易安全．人们开发了各种用于加强电子商务安全的协议。这　些协议主要有：安全套接层协议ＳＳＬ、安全电子交易协议ＳＥＴ、超　文本传输协议ＳＨＴＴＰ、３－Ｄ　ｓｅｃｕｒｅ协议和安全电子邮件协议（ＰＥＭ、　２建立管理制度防范风险　（１）建立岗位责任制。指实行用户权限分级授权管理　明确用　Ｓ／ＭＩＭＥ）等。这其中应用最为广泛的协议主要有ＳＳＬ、ＳＥＴ和３一　：Ｄ　ｓｅｃｕｒｅ协议。　户的岗位职责和权限。结合密码管理措施．使各个用户进入系统　时必须输入自己的账号和口令，进入系统之后也只能使用其权责　范围内的功能。同时．在划分岗位权责时，必须；睁不相容的职务　分离　如数据输入人员不得具有审核的权限等。建立岗位责任制　是防范风险的关键，绝不能留下漏洞使人有机可乘。　（２）建立档案管理制度。首先．系统投入使用之后，原系统的　所有程序文件、软、硬件技术资料应作为档案进行保管．由专人　负责．严格限制无权用户和有权用户的规定外接触。档案的调用　二、电子商务安全协议　１安全套接层协议（ＳＳＬ）　安全套接层协议（Ｓｅｃｕｒｅ　Ｓｏｃｋｅｔ　Ｌａｙｅｒ，简称ＳＳＬ）是美国网景　公司（Ｎｅｔｓｃａｐｅ）推出的一种安全通信协议．其主要设计目标是　在ｌｎｔｅｒｎｅｔ环境下提供端到端的安全连接。它能使客户／服务器应　用之间的通信不被攻击者窃听。ＳＳＬ协议建立在可靠的传输层协　议之上。高层的应用层协议能透明的建立于ＳＳＬ协议之上。ＳＳＬ协　议在应用层协议通信之前就已经完成加密算法、通信密钥的协商　也必须经过批准　并做好详细的登记备查。其次．系统产生的所　§以及服务器认证工作。在此之后应用层协议所传送的数据都会被　有数据和文件都必须定期备份．并统一制定备份数据的存放地　加密，从而保证通信的私密性。　点、保留时间、损坏文件重建等措施。再次．对于企业的机密信　ｌ　２．安全电子交易协议（ＳＥＴ）　息和重要文件都应当加密或妥善保管和备份。　安全电子交易协议（Ｓｅｃｕｒｅ　Ｅｌｅｃｔｒｏｎｉｃ　Ｔｒａｎｓａｃｔｉｏｎ．简称ＳＥＴ）是　（３）建立系统防护制度。操作人员必须严格的按照操作规程使　美国Ｖｉｓａ和ＭａｓｔｅｒＣａｒｄ两大信用卡组织联合于１　９９７年５月３１日推　用财务管理系统．各自使用和管理职责范围内的硬件设备．不得　ｌ出的电子交易行业规范．其实质是一种应用在Ｉｎｔｅｒｎｅｔ上、以信用　越权使用、也禁止非操作人员使用。通过系统的功能对所有操作　卡为基础的电子付款系统规范．目的是为了保证网络交易的安　活动予以记录，并定期由系统管理人员进行监察和检验，及时发　全。ＳＥＴ本身并不是一个支付系统，而是一个安全协议集．ＳＥＴ规　现违规操作。此外，操作人员应自觉按照规定运用防火墙、防病　《范保证了用户可以安全地在诸如Ｉｎｔｅｒｎｅｔ这样的开放网络上应用现　毒软件等保护系统的正常运行。　有的信用卡支付设施来完成交易。ＳＥＴ较好地解决了信用卡在电　参考文献：　子商务交易中的安全问题。ＳＥＴ已获得ＩＥＴＦ《Ｔｈｅ　Ｉｎｔｅｒｎｅｔ　Ｅｎｇｉｎｅｅｒ－　ｉｎｇ　Ｔａｓｋ　Ｆｏｒｃｅ，［１】林乐珍：网络财务管理风险对策【Ｊ】．中国电力企业管理，　２ＯＯ８／１　０：２３－２６　　‘简称ＩＥＴＦ）标准的认可。　３．三方域安全协议（３－Ｄ　ｓｅｃｕｒｅ）　【２］刘金平金莉：运用现代网络技术，提升农经管理水平［Ｊ】．　＿　三方域安全协议（Ｔｈｒｅｅ－Ｄｏｍａｉｎ　Ｓｅｃｕｒｅ，简称３－Ｄ　ｓｅｃｕｒｅ）是　农村经营管理，２００８／０５：５２－３５　Ｖｉｓａ等继ＳＥＴ协议之后，推出的新一代的安全交易技术。与ＳＥＴ协　［５］张振敏：试论现代医院财务管理创新［Ｊ】．中国卫生经济，　：议一样，它也是ＰＫＩ（Ｐｕｂｌｉｃ　Ｋｅｙ　Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ）框架下基于可信第三　２Ｏ０８／ｏ５：１　７－１　９　方的开放规范，设计目标同样是为在Ｉｎｔｅｒｎｅｔ上传输的信用卡支付　《商场现代他　２００８年１　２月（下旬刊）总第５６１期　电孑商务　信息提供安全保护机制。３Ｄ—Ｓｅｃｕｒｅ协议主要采用ＳＳＬ加密技术　和商家服务器插件ＭＰＩ（Ｍｅｒｃｈａｎｔ　Ｓｅｒｖｅｒ　Ｐｌｕｇ—ｉｎ）技术来实现。　付卡信息在网络中传递的安全　生。３Ｄ—Ｓｅｃｕｒ１ｅ协议的这些功能是　通过一个能够在支付交易过程中明确各方责任的模型——三方域　卡域、收单域和互操作域。　四、ＳＥＴ与３－Ｄ　Ｓｅｃｕｒｅ协议比较分析　为了提高交易效率，降低部署成本．３－Ｄ　Ｓｅｃｕｒｅ协议对ＳＥＴ协　１．机密性　ＳＥＴ协议和３一Ｄ　Ｓｅｃｕｒｅ协议都使用对称和非对称两种加密技　　在线交易中．它既能够查询并鉴别持卡人的身份．又能够保护支　议进行了简化　两者的差别主要体现在以下几个方面。Ｔ协议采用双重签名技术来保证　模型（Ｔｈｒｅｅ　Ｄｏｍａｉｎ　Ｍｏｄｅ１）。三方域模型的主要组成包括：发　术来保证数据的机密性。但是ＳＥ消费者机密信息对商家进行保密，而在３－Ｄ　Ｓｅｃｕｒｅ协议中消费者　的信息对商家来说是可见的。　２．不可否认性　三　ＳＳＬ与ＳＥＴ协议比较分析　ＳＳＬ和ＳＥＴ是当前在电子商务中应用最为广泛的安全协议．两　者的差别主要体现在以下几个方面。　１．工作层次　ＳＳＬ协议工作于应用层和传输层之间．高层的应用层协议（例　如：ＨＴＴＰ．ＦＴＰ．ＴＥＬＮＥＴ等）能透明地建立于ＳＳＬ协议之上。而ＳＥＴ　工作于应用层。　２认证机制　早期的ＳＳＬ协议并没有提供身份认证机制．虽然在ＳＳＬ３．０　中可以通过数字签名和数宇证书实现浏览器和ＷＥＢ￣Ｅ务器之间的　身份认证，但仍不能实现多方认证。ＳＥＴ协议要求所有参与交易　活动的各方都必须使用数字证书．较好的解决了客户与银行、客　户与商家、商家与银行之间的多方认证问题。　３．安全程度　ＳＥＴ协议由于采用了非对称加密、消息摘要和数字签名可以　确保信息的机密性、认证性、完整性和不可否认性．特别是ＳＥＴ　协议采用了双重签名技术来保证各参与方信息的相互隔离，使商　家只能看到持卡人的订单信息，而银行只能取得持卡人的信用卡　信息。ＳＳＬ协议虽也采用了公钥加密和信息摘要等技术，也可以　提供机密性　完整性和一定程度的身份验证功能，但缺乏一套完　整的认证体系　不能提供电子商务交易活动中非常重要的不可否　认性证明。　４运行效率　ＳＥＴ协议非常复杂、庞大、运行速度慢。一个典型的ＳＥＴ交易　过程需验证电子证书９次　验证数字签名６次　传递证书７次、进　行５次签名、４次对称加密和４次非对称加密　整个交易过程非常　耗时；而ＳＳＬ协议则简单很多，运行效率也比ＳＥＴ协议高。　５．部署成本　ＳＳＬ协议已被大部分的浏览器和ＷＥＢ服务器内置，无须安装　专门软件：而ＳＥＴ协议中客户端要安装专门的电子钱包软件，在　商家服务器和银行网络上也需安装相应的软件，部署成本高。　ＳＳＬ协议与ＳＥＴ协议比较汇总如表１所示。　表１　ＳＳＬ协议与ＳＥｒ协议比较　～＼　ｓｓＬ协议　ＳＥＴ协议　工作层次　传输层　应用层　认证机制　双方认证　多方认证　安全程度　较高（不提供不可　很高（提供不可否认　否认性）　性）　运行效率　｛司　低　部署成本　低　高　《商场现代化　２００８年１　２周（下旬ＴＩｊ）总第５６１期　ＳＥＴ协议使用数字签名来保证交易行为的不可否认性。３－Ｄ　Ｓｅｃｕｒｅ协议规定发卡机构在通过持卡者向商家服务器发送信息之　前，先要对其进行数字签名．以提供不可否认的证据。和ＳＥＴ相　比．３一Ｄ　Ｓｅｃｕｒｅ协议没有大量使用数字签名．但仍然可以提供不　可否认性证明。　３．身份认证　ＳＥＴ协议使用证书和数字签名对消息来源进行身份认证。每　个参与者都使用两个非对称密钥对．需要拥有两个由证书颁发机　构同时产生和签署的证书。３－Ｄ　Ｓｅｃｕｒｅ协议主要使用证书和口令　对消息来源进行身份认证。不要求持卡者配备证书　但要求其他　参与方都要有证书。　４复杂性　与ＳＥＴ协议相比．３－Ｄ　Ｓｅｃｕｒｅ协议在保证满足安全性要求的　基础上简化了证书交换与大量的数字签名过程，从而使在线交易　时间大大缩短，提高交易效率．降低部署成本。ＳＳＬ协议与３－Ｄ　Ｓｅｃｕｒｅ协议比较汇总如表２所示。　表２　ＳＳＬ协议与ＳＥＴ协议比较　————～　ＳＥＴ协议　３．Ｄ　Ｓｅｃｌｕｅ　议　机密性　消费者个人信息对商　消费者个人信息对　家保密　商家不保密　不可否认性　支持，效率低　支持，效率高　身份认证　交易各方均要配　不要求持卡者配备　备证书　证书　复杂性　较高（效率低、　相对简单（效率高，　部署成本高）　部署成本低）　五、总结　ＳＳＬ、ＳＥＴ和３一Ｄ　ｓｅｃｕｒｅ协议是当前应用最为广泛的电子商务　安全协议。三者相比，ＳＳＬ协议相对简单　效率高且容易部署，但　是它不支持多方认证．不支持不可否认性等电子商务安全性需　求；ＳＥＴ协议虽然能够完全满足电子商务的安全性需求．但存在　着协议复杂．效率低下，难以部署等问题。三者当中３－Ｄ　Ｓｅｃｕｒｅ　协议在保证满足安全性要求的基础上，对两者进行了适当的折　衷，从而使在线交易时问大大缩短．使得电子商务在线交易的实　施更加简捷。　参考文献：　【１】陆垂伟：电子商务中安全支付协议的研究【Ｊ】．商场现代化，　２００６（０６）　［２］戴小波：基于ＳＥＴ协议的安全电子商务研究［Ｊ】．微计算机信　息，２００６（２１）　【３］ＳＥＴ　Ｓｅｃｕｒｅ　Ｅｌｅｃｔｒｏｎｉｃ　Ｔｒａｎｓ＆ｃｔｉｏｎ　Ｓｐｅｃｉｆｉｃａｔｉｏｎ．Ｂｏｏｋ　ｌ：Ｂｕｓｉｎｅｓｓ　Ｄｅｓｅｒｉｐｔｉｏｎ［ｓ】．Ｖｅｒｓｉｏｎ　１．Ｏ，１　９９７