电子商务安全协议的两难_电子商务技术
ssl和set都是电子商务中的核心安全技术,但是,由于技术和人为的因素,这两种技术目前都存在着应用局限性。
保证电子商务安全,其核心在于安全协议。目前应用得最广泛的是安全套接层协议(ssl),它已成为事实上的工业标准。它基于强公钥加密技术及rsa的专用密钥技术,建立进程对进程安全传输服务和加密传输信道,把参与通信的相应进程之间的数据信道按“私用”和“已认证”进行监管。ssl协议独立于应用层,可加载任何高层应用协议,因此,ssl协议适合为各类客户/服务器产品提供安全传输服务。
ssl协议提供一种加密的握手会话,使客户端和服务器端实现身份验证、协商加密算法和压缩算法、交换密钥。这种握手会话通过数字签名和数字证书来实现客户和服务器双方的身份验证,采用des、md5等加密技术实现数据的保密性和完整性。在用数字证书对双方的身份验证后,双方就可以用密钥进行安全会话。
改进后的ssl版本3分为ssl记录层和ssl协商层,它们分别对应以下两个协议:
(1)ssl记录协议。它涉及应用程序提供的分段、压缩、数据认证和加密。
(2)ssl握手协议。用来交换版本号、加密算法、(相互)身份认证并交换密钥。
internet号码分配当局(iana)已经为具备ssl功能的应用分配了固定端口号,例如,带ssl的http被分配的端口号为443,带ssl的smtp被分配的端口号为465,带ssl的nntp被分配的端口号为563。
但是,ssl目前并不完备,缺陷是只能保证传输过程的安全,无法知道在传输过程中是否受到窃听,黑客可破译ssl的加密数据,破坏和盗窃web。此外,ssl在全球的大规模使用还有一定的难度。ssl产品的出口受到美国国家安全局的限制,美国政府只允许加密密钥为40位以下的算法出口,而美国的商家一般都使用128位的ssl,致使美国以外的国家很难真正在电子商务中充分利用ssl。新的ssl协议被命名为tls(transport layer security),安全可靠性可有所提高,但仍不能消除原有技术的基本缺陷。又由于ssl协议将客户的信用卡号传送给商家,容易被心术不正的商家欺诈。
因此,ssl目前面临着非常大的应用难题。为了实现更加完善的电子交易,master card和visa以及其他一些厂商制订并发布了set协议。
set协议是专为保护持卡人、发卡人、商家和收单者之间,在因特网上进行信用卡支付的安全交易协议。该方法将销售商服务器中的信用卡号码进行编码,规定了信用卡持卡人用其信用卡通过internet进行付费的方法,向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。这套机制的后台有一个证书颁发结构,提供对x.509证书的支持。只有银行和信用卡公司才能知道该号码。set协议为电子交易提供的安全措施,保证了电子交易的机密性、数据完整性、身份的合法性和抗否认性,使人们在网上被欺诈的机会要比现实生活中少得多。但是,set协议不能解决电子商务所遇到的全部问题,且它不同寻常地复杂,该协议的描述有好几百页之多,目前该协议几乎面临停顿,而国内仅有少数应用。
保证电子商务安全,其核心在于安全协议。目前应用得最广泛的是安全套接层协议(ssl),它已成为事实上的工业标准。它基于强公钥加密技术及rsa的专用密钥技术,建立进程对进程安全传输服务和加密传输信道,把参与通信的相应进程之间的数据信道按“私用”和“已认证”进行监管。ssl协议独立于应用层,可加载任何高层应用协议,因此,ssl协议适合为各类客户/服务器产品提供安全传输服务。
ssl协议提供一种加密的握手会话,使客户端和服务器端实现身份验证、协商加密算法和压缩算法、交换密钥。这种握手会话通过数字签名和数字证书来实现客户和服务器双方的身份验证,采用des、md5等加密技术实现数据的保密性和完整性。在用数字证书对双方的身份验证后,双方就可以用密钥进行安全会话。
改进后的ssl版本3分为ssl记录层和ssl协商层,它们分别对应以下两个协议:
(1)ssl记录协议。它涉及应用程序提供的分段、压缩、数据认证和加密。
(2)ssl握手协议。用来交换版本号、加密算法、(相互)身份认证并交换密钥。
internet号码分配当局(iana)已经为具备ssl功能的应用分配了固定端口号,例如,带ssl的http被分配的端口号为443,带ssl的smtp被分配的端口号为465,带ssl的nntp被分配的端口号为563。
但是,ssl目前并不完备,缺陷是只能保证传输过程的安全,无法知道在传输过程中是否受到窃听,黑客可破译ssl的加密数据,破坏和盗窃web。此外,ssl在全球的大规模使用还有一定的难度。ssl产品的出口受到美国国家安全局的限制,美国政府只允许加密密钥为40位以下的算法出口,而美国的商家一般都使用128位的ssl,致使美国以外的国家很难真正在电子商务中充分利用ssl。新的ssl协议被命名为tls(transport layer security),安全可靠性可有所提高,但仍不能消除原有技术的基本缺陷。又由于ssl协议将客户的信用卡号传送给商家,容易被心术不正的商家欺诈。
因此,ssl目前面临着非常大的应用难题。为了实现更加完善的电子交易,master card和visa以及其他一些厂商制订并发布了set协议。
set协议是专为保护持卡人、发卡人、商家和收单者之间,在因特网上进行信用卡支付的安全交易协议。该方法将销售商服务器中的信用卡号码进行编码,规定了信用卡持卡人用其信用卡通过internet进行付费的方法,向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。这套机制的后台有一个证书颁发结构,提供对x.509证书的支持。只有银行和信用卡公司才能知道该号码。set协议为电子交易提供的安全措施,保证了电子交易的机密性、数据完整性、身份的合法性和抗否认性,使人们在网上被欺诈的机会要比现实生活中少得多。但是,set协议不能解决电子商务所遇到的全部问题,且它不同寻常地复杂,该协议的描述有好几百页之多,目前该协议几乎面临停顿,而国内仅有少数应用。