電子商務安全協議的兩難

    保證電子商務安全，其核心在于安全協議。目前應用得最廣泛的是安全套接層協議（SSL），它已成為事實上的工業標準。它基于強公鑰加密技術及RSA的專用密鑰技術，建立進程對進程安全傳輸服務和加密傳輸信道，把參與通信的相應進程之間的數據信道按“私用”和“已認證”進行監管。SSL協議獨立于應用層，可加載任何高層應用協議，因此，SSL協議適合為各類客戶/服務器產品提供安全傳輸服務。

    SSL協議提供一種加密的握手會話，使客戶端和服務器端實現身份驗證、協商加密算法和壓縮算法、交換密鑰信息。這種握手會話通過數字簽名和數字證書來實現客戶和服務器雙方的身份驗證，采用DES、MD5等加密技術實現數據的保密性和完整性。在用數字證書對雙方的身份驗證后，雙方就可以用密鑰進行安全會話。

    改進后的SSL版本3分為SSL記錄層和SSL協商層，它們分別對應以下兩個協議：

    （1）SSL記錄協議。它涉及應用程序提供的信息分段、壓縮、數據認證和加密。

    （2）SSL握手協議。用來交換版本號、加密算法、(相互)身份認證并交換密鑰。

    Internet號碼分配當局(IANA)已經為具備SSL功能的應用分配了固定端口號，例如，帶SSL的HTTP被分配的端口號為443，帶SSL的SMTP被分配的端口號為465，帶SSL的NNTP被分配的端口號為563。

    但是，SSL目前并不完備，缺陷是只能保證傳輸過程的安全，無法知道在傳輸過程中是否受到竊聽，黑客可破譯SSL的加密數據，破壞和盜竊Web信息。此外，SSL在全球的大規模使用還有一定的難度。SSL產品的出口受到美國國家安全局的限制，美國政府只允許加密密鑰為40位以下的算法出口，而美國的商家一般都使用128位的SSL，致使美國以外的國家很難真正在電子商務中充分利用SSL。新的SSL協議被命名為TLS（Transport Layer Security），安全可靠性可有所提高，但仍不能消除原有技術的基本缺陷。又由于SSL協議將客戶的信用卡號傳送給商家，容易被心術不正的商家欺詐。

    因此，SSL目前面臨著非常大的應用難題。為了實現更加完善的電子交易，Master Card和Visa以及其他一些廠商制訂并發布了SET協議。

    SET協議是專為保護持卡人、發卡人、商家和收單者之間，在因特網上進行信用卡支付的安全交易協議。該方法將銷售商服務器中的信用卡號碼進行編碼，規定了信用卡持卡人用其信用卡通過Internet進行付費的方法，向基于信用卡進行電子化交易的應用提供了實現安全措施的規則。這套機制的后臺有一個證書頒發結構，提供對X.509證書的支持。只有銀行和信用卡公司才能知道該號碼。SET協議為電子交易提供的安全措施，保證了電子交易的機密性、數據完整性、身份的合法性和抗否認性，使人們在網上被欺詐的機會要比現實生活中少得多。但是，SET協議不能解決電子商務所遇到的全部問題，且它不同尋常地復雜，該協議的描述有好幾百頁之多，目前該協議幾乎面臨停頓，而國內僅有少數應用。

電子商務安全協議的兩難

【電子商務安全協議的兩難】相關文章：

兩難04-29

兩難作文04-30

兩難境地散文04-28

電子商務安全論文08-28

電子商務安全的探討04-30

進退兩難的句子11-15

進退兩難的心情說說02-28

生活總是兩難的說說名言11-02

規矩與自由：育兒中的兩難04-29

電子商務信息的安全規范04-29