◆竊取信息
由於沒有采取加密措施,調制解調器之間的信息以明文傳輸,入侵者可以利用同壹個調制解調器截獲傳輸的信息。通過多次竊取和分析,找到信息的規律和格式,進而得到傳輸信息的內容,導致網絡上傳輸的信息泄露。
◆篡改信息
入侵者掌握了信息的格式和規則後,通過各種方式在原網絡的調制解調器之間增加兩個同類型的調制解調器,中間修改傳遞的數據,然後發送到另壹端。這種方法並不新鮮,它可以在路由器或網關上完成。
◆假冒
由於掌握了數據格式,篡改了傳遞的信息,攻擊者可以冒充合法用戶,發送虛假信息或主動獲取信息,而遠程用戶通常難以辨別。
◆惡意惡劣。
由於攻擊者可以訪問網絡,他們可能修改網絡中的信息,掌握網絡中的機密信息,甚至潛入兩邊的網絡,後果非常嚴重。
因此,電子商務的安全交易主要保證以下四個方面:
(1).信息保密交易中的商業信息需要保密。比如信用卡的賬號和用戶名是不能被別人知道的,所以在二次信息的傳播上壹般需要加密。
(2)交易者身份的確定性。
網上交易的雙方很可能是陌生人,相隔千裏。要讓交易成功,首先要能夠確認對方的身份。對於商家來說,要考慮到委托人不可能是騙子,顧客會擔心網店不是玩花樣的黑店。因此,方便可靠地確認對方身份是交易的前提。
(3)不可否認性
由於商業形勢千變萬化,交易壹旦達成,就無法否認。否則必然會損害壹方的利益。比如訂購黃金時,黃金價格低,但收到訂單後,黃金價格上漲。如果收單方只能承認收到訂單的實際時間,甚至否認收到訂單的事實,那麽訂貨方就會遭受損失。因此,電子交易的通信過程中的所有環節都必須是不可否認的。
(4)不可修改性
交易的單據不能修改,加上訂金的例子。收單後,收單方發現金價大幅上漲。如果能更改單據內容,將訂單號從1噸改為1克,則受益較大,訂購方可能會遭受損失。所以電子交易單據也應該是不可更改的,以保證交易的嚴肅性和公平性。
3.電子商務中的安全措施。
在早期的電子交易中,采用了壹些簡單的安全措施。包括:
(1),偏序:即在網上交易中遺漏信用卡號、交易金額等最關鍵的數據,然後電話告知其訪問泄密。
(2)訂單確認:即交易信息在網上傳輸後,要通過電子郵件確認交易才算有效;
除了以上兩種方法,還有其他方法,都有壹定的局限性,操作起來比較麻煩,不能做到真正的安全可靠。
近年來,為了滿足電子交易的安全要求,IT行業和金融行業推出了許多有效的安全交易標準。主要包括:
(l)安全超文本傳輸協議(S-HTTP):它依靠密鑰對的加密來確保網站之間交易信息傳輸的安全。
(2)安全套接字層(SSL):網景公司提出的安全交易協議,提供加密、認證服務和消息完整性。在Netscape Communicator和Microsoft IE瀏覽器中使用SSL來完成所需的安全交易操作。
(3)安全交易技術(STT):由微軟提出,STT在瀏覽器中分離認證和解密,提高安全控制能力。微軟在Internet Explorer中采用了這項技術。
(4) SET:安全電子交易:1996年6月,由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC和Terisa ***,於5月底聯合制定的標準Set正式發布,Set規範版本1.0,內容涵蓋了電子商務交易中信用卡的交易協議、信息機密性、數據完整性、數字認證和數字簽名。下面將詳細介紹SET的具體情況。
在所有這些安全交易標準中,“安全電子交易”集(Secure Electronic Transaction)引起了各界的廣泛關註,它將成為在線交易安全通信協議的行業標準,有望進壹步推動互聯網上的電子商務市場。