揭秘电子商务安全——商务交易安全

本文大概： 2200字 阅读需要： 5分钟

哈喽，又见面了，这里是@葫芦学堂

众所周知，网络已经渗透至我们生活的各方各面，互联网的应用使我们的交易行为逐渐从线下转战至线上，营销方式的转型也直接带动着中国电子商务的迅猛发展。无论身处何地，安全是最重要的，电商领域更不例外，电子商务安全从整体上分为两大部分：计算机网络安全和商务交易安全。

今天的葫芦学堂带大家揭秘电子商务安全——商务交易安全那些事~

01

商务交易 安全隐患

（1）窃取信息

当在互联网的商务交易环境未采用加密措施时，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上时可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。

（2）篡改信息

当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。

（3）假冒

由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。

（4）恶意破坏

由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部进行恶意破坏，其后果是非常严重的。

02

商务交易 安全技术

商务交易安全紧紧围绕着传统商务在互联网应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务交易过程的顺利进行。

各种商务交易安全服务都是通过安全技术来实现的，主要包括加密技术、认证技术和电子商务安全协议等。

（一）加密技术

加密技术是电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。

（1）对称加密

对称加密又称私钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。

（2）非对称加密

非对称加密又称公钥加密，使用一对密钥来分别完成加密和解密操作，其中一个公开发布（即公钥），另一个由用户自己秘密保存（即私钥）。信息交换的过程是：甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开，得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方，甲方再用自己保存的私钥对加密信息进行解密。

（二）认证技术

认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。

（1）数字签名

数字签名也称电子签名，如同出示手写签名一样，能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来，发送方从报文文本中生成一个散列值，并用自己的私钥对这个散列值进行加密，形成发送方的数字签名；然后，将这个数字签名作为报文的附件和报文一起发送给报文的接收方；报文的接收方首先从接收到的原始报文中计算出散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密；如果这两个散列值相同，那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充、篡改等问题。

（2）数字证书

数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成，包括一个用户公钥，加上密钥所有者的用户身份标识符，以及被信任的第三方签名。第三方一般是用户信任的证书权威机构（CA），如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书，然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书，并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据，提供了一种验证各自身份的方式，用户可以用它来识别对方的身份。

（三）电子商务的安全协议

除上文提到的各种安全技术之外，电子商务交易的运行还有一套完整的安全协议。比较成熟的协议有SET、SSL等。

（1）安全套接层协议SSL

SSL协议位于传输层和应用层之间，由SSL握手协议、SSL记录协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数，对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC，然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。

（2）安全电子交易协议SET

SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系，给定交易信息传送流程标准。SET主要由三个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。

SET协议是专为电子商务系统设计的。它位于应用层，其认证体系十分完善，能实现多方认证。在SET的实现中，消费者帐户信息对商家来说是保密的。但是SET协议十分复杂，交易数据需进行多次验证，用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外，还有发卡行、收单行、认证中心、支付网关等其它参与者。

电子商务交易过程中的安全隐患及防范措施，大家都明白了吗？没有的话再研读一遍吧。

【划重点】保障电商交易安全——请加密、认证、安全协议，重要的事情默念三遍（加密 加密 加密 认证……）

第一期｜大家好，给大家介绍下，这是我的蓝颜2号@葫芦学堂

葫芦学堂，给大家放送的不仅是网络安全知识还有涉及我们身边方方面面的知识哦~

留言回复我们，说出你想了解的。

葫芦学堂，都能给你答案。

我们下期再见~