网络安全协议简介-网络安全防范项目教程

在Internet上的电子商务交易过程中，最最核心和最最关键的问题是交易的安全。

1.电子商务安全中普遍存在的安全隐患

（1）窃取信息

由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

（2）篡改信息

当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

（3）假冒

由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

（4）恶意破坏

由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

2.电子商务的安全交易的主要保证

（1）信息保密性

交易中的商务信息均有保密的要求，如信用卡的账号和用户名等不能被他人知悉，因此在信息传播中一般均有加密的要求。

（2）交易者身份的确定性

网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此，方便而可靠地确认对方身份是交易的前提。

（3）不可否认性

由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此，电子交易通信过程的各个环节都必须是不可否认的。

（4）不可修改性

交易的文件是不可被修改的，否则也必然会损害一方的商业利益。因此，电子交易文件也要能做到不可修改，以保障商务交易的严肃和公正。

3.电子商务交易中早期的安全措施(www.xing528.com)

在早期的电子交易中，曾采用过以下一些简易的安全措施。

（1）部分告知（Partial Order）

即在网上交易中将最关键的数据，如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。

（2）另行确认（Order Confirmation）

即当在网上传输交易信息后，再用电子邮件对交易做确认，才认为有效。

此外还有其他一些方法，这些方法均有一定的局限性，且操作麻烦，不能实现真正的安全可靠性。

4.电子商务安全交易标准和技术

近年来，针对电子交易安全的要求，IT业界与金融行业一起，推出了不少有效的安全交易标准和技术。主要的协议标准有如下4种。

（1）安全超文本传输协议（S-HTTP）

依靠密钥对的加密，保障Web站点间交易信息传输的安全性。

（2）安全套接层协议（Secure Sockets Layer，SSL）

由Netscape（网景）公司提出的安全交易协议，提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器，以完成需要的安全交易操作。SSL安全协议现在成为了Internet网上安全通信与交易的标准。SSL协议使用通信双方的客户证书以及CA根证书，允许客户/服务器应用以一种不能被偷听的方式通信，在通信双方间建立起了一条安全的、可信任的通信通道。

SSL安全协议主要提供三方面的服务：认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上；加密数据以隐藏被传送的数据；维护数据的完整性，确保数据在传输过程中不被改变。

SSL是一个介于HTTP与TCP之间的一个可选层，不过现在几乎所有的通信都要经过这个协议的加密。SSL协议分为两部分：Handshake Protocol和Record Protocol。其中Handshake Protocol用来协商密钥，协议的大部分内容就是通信双方如何利用它来安全地协商出一份密钥；Record Protocol则定义了传输的格式。

（3）安全交易技术协议（Secure Transaction Technology，STT）

由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft在Internet Explorer中采用这一技术。

（4）安全电子交易协议（Secure Electronic Transaction，SET）

1996年6月，由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET发布公告，并于1997年5月底发布了SET Specification Version 1.0，它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET 2.0预计2014年发布，它增加了一些附加的交易要求。这个版本是向后兼容的，因此符合SET 1.0的软件并不必要跟着升级，除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全，确定应用之互通性，并使全球市场接受。

所有这些安全交易标准中，SET标准以推广利用信用卡支付网上交易而广受各界瞩目，它将成为网上交易安全通信协议的工业标准，有望进一步推动Internet电子商务市场。