电子商务系统中信息安全技术分析与研究

3-1安全逻辑结构图 电子商务系统是依赖网络实现的商务系统，需要利用Internet基础设施和标准，所以构成电子商务安全框架的底层是网络服务层。它是各种电子商务应用系统的基础，并提供信息传送的载体和用户接入的手段及安全通信服务，保证网络最基本的运行安全。网络服务层是电子商务系统基本、灵活的网络服务平台.

为确保电子商务系统全面安全，必须建立完善的加密技术和认证机制。加密 技术是保证电子商务系统安全所采用的最基本的安全措旋，它用于满足电子商务 对保密性的需求。安全认证层中的认证技术是保证电子商务安全的又一必要手 段，它对加密技术层中提供的多种加密算法进行综合运用，进一步满足电子商务 对完整性、抗否认性、可靠性的要求。在图3-I所示的电子商务安全框架体系中,加密技术层、安全认证层、安全协议层，即专为电子交易数据的安全而构筑。其中,安全协议层是加密技术层和安全认证层的安全控制技术的综合运用和完善。 它为电子商务安全交易提供保障机制和交易标准。

3.2电子商务安全交易规范(SET)

进行电子交易时最重要的是要提供信息的加密传输、能鉴别参与交易的各方、确保商品付款指令和订购数据的完整性。为满足这些需要，SET(Securitylectronic Transaction)协议使用了一系列安全保密手段来提供信息傈密性、确保数据完整性和鉴别交易的双方。

SET是一种在因特网上实现安全电子交易的协议标准。目前，SET是为网上支付业务安全所制定的唯一具有现实意义的国际标准。 3.2.1SET协议中使用的密码系统

在SET协议中同时使用了传统密钥体制和公开密钥密码体制两种方法。 在传统密码体制中，加密和解密使用相同的密钥。

公开密钥密码体制是一种不对称密码系统，使用密钥对，一个用于加密，一个用于解密。每个用户拥有两个密钥：公开密钥和私用密钥。用户在使用时将公开密钥宣布，保密私用密钥。由于该密钥对的特殊性质，使得用公开密钥加密的信息只有使用相应的私用密钥才能解密。最著名的公开密钥算法是RSA。公开密钥密码体制使得一个商家可以只创建一个密钥对，将其中的公开密钥发布，使用户将加密的信息传给商家。

在SET中使用的安全手段有以下几种： 1加密：用户将信息加密保证了信息的秘密性。

直接加密方法。当两个用户想安全的交换信息时，互相交换各自的公钥，保密私钥。

对称密钥的使用。SET使用密码技术来确保消息的秘密性。在SET中，消息数据通过个随机生成的对称密钥加密，再将此密钥用接收者的公钥加密(被称作消息的“数字信封”后与加密消息一起传送到接收方。在援到数字信封后，接收者使用自己的私钥解密获得随机成的对称密钥，再用该密钥将原始信息还原出来。

(2)数字签名：数字签名确保了信息的完整性和不可否认性““。 密钥的使用。对于能够同时确保数据秘密性和真实性的公钥密码体制，由于公钥和私钥的数学关系，使得使用任一密钥加密的数据都可以通过相匹配的密钥解密，赦而，发送者也可以将消息用其私钥加密后发出，任何接收者在接到发送者的消息后都可以通过其公钥将消息还原。

数字摘要。从一条消息中利用单向安全HASH函数抽取一串唯一的固定长度的数据表示该消息的数字摘要，数字摘要具有唯一性．即不同消息对应的摘要不同(在相当大的概率上)，同一消息对应的摘要总相同。

数字签名。用发送者私钥加密数字摘要，就得到了数字签名。接收到数

字签名的接收者即可以确定该消息确实来自消息的发送者。同时，由于对消息中任意一位改动后，将造成数字摘要不可预知的变化，所以接收者可以通过利用同一个安全HASH函数从接收到的消息中抽取数字摘要和接收到的数字摘要进行比较来验证消息在传送过程中是否被改变。

两个密钥对。SET使用了单独的公／私钥对来产生数字签名。这样，SET中的各方就拥有了两个密钥对：一个密钥对用于加密和解密过程，它是对称密钥；另一个密钥对用于创建和验证数字签名，而这对密钥是非对称密钥。

(3)凭证：用户凭证可以进一步加强用户的身份验证。 对验证的需要。在双方使用公钥系统进行交易之前，都希望能确定对方的身份。

对第三方的需要。一种安全传输的密钥传送方式使用可以信赖的第三方来 验证公钥。这样一个机构称为认证中心。认证中心根据用户发布的凭证来验证该 用户的声明。由于SET各方有两套密钥对，因此也有两个凭证，并且都由认证中 心签发。

(4)双签名：SET使用了一种新的数字签名应用，即双签名。用户A向用户 提出一份购物申请，并向银行提出委托，在用户B接收到这份申请时付款。但用户A不想让银行知道购物的内容，也不想让用户B知道其账号，而仅仅只需要在 用户B接收订购时得到付款，即可通过双签名达到目的。

生成双签名。双签名通过分别为两个消息A，B生成数字摘要，并将两个摘 要结合起来，再抽取得到摘要C，将摘要C用发送者的私钥加密，在发送消息时， 将消息A，以及加密后的摘要C一起发送给A的接收者，将消息B，以及加密后的摘要C一起发送给B的接收者，以便进行双签名验证。

验证双签名。接收到消息后，可以先为该消息生成数字摘要，将其与另一 消息的摘要结合起来，再计算此结果的数字摘要c’，将c’与接收到的解密摘要 进行比较，如果相同，则证明该消息是正确的，即该消息在传送过程中没有被 改动。

3.2.2使用SET协议的付款过程

(1)持卡人为了利用SET协议进行安全电子交易，必须首先在认证中心(CA) 注册(见图3-2)。

a．持卡人软件向cA申请交换密钥凭证。

b．cA接收初始请求后生成应答消息，并对它数字签名后与cA凭证一起发送给持卡人。

c．持卡人软件接收应答并验证cA凭证，验证通过后，由持卡人键入帐号，持卡人软件生成申请注册表请求，加密后发往cA。

d．CA接到请求后解密，得到持卡人账号，生成注册表，签名后与cA凭证一起发送给持卡人。

e．持卡人接收注册表并验证CA凭证，验证通过后，填写注册表并由持卡人软件生成一对公／私密钥，将注册表与其公钥一起加密形成申请凭证，送往CA。 f．cA解密接收的申请凭证并验证，通过后为持卡人生成凭证，与CA凭证一起加密后发送给持卡人。

g．持卡人软件验证cA凭证后，保存得到的持卡人凭证，用于在将来进行电子交易。

图3-2 持卡人认证中心注册

(2)商家必须在认证中心(CA)注册后，才能接收持卡人的SET付款指令或通过付款网关进行SET协议(见图3—3)。

图3—3商家在认证中心注册

a商家软件向cA中请交换密匙凭证和相应的注册表。

bCA接收初始请求，将注册表加密后与cA凭证一起发送给商家。

c．商家软件接收注册表并解密，验证cA凭证，验证通过后，由商家软件 生成两对公／私密钥，并填写注册表，将注册表与两个公钥一起加密生成凭证申 请，送往cA。

d．CA解密接收的申请凭证并验证，通过后为商家生成两个凭证(对应两个公钥)，与CA凭证一起加密后发送给持卡人。