¡Extremadamente ansioso! ! ! !
El de arriba no se puede abrir~
Capítulo 1 Introducción a la seguridad y gestión del comercio electrónico
1 Problemas de seguridad que enfrenta el comercio electrónico
1. 1. 1 Problemas de seguridad del propio sistema de red de comercio electrónico
1. 1. 2 Problemas de seguridad durante la transmisión de información de transacciones de comercio electrónico
1 1.3 Cuestiones de gestión de la seguridad interna del comercio electrónico
1. 1. 4 Cuestiones de garantía jurídica para la seguridad del comercio electrónico
1.
1. 1. 6 Cuestiones de pago seguro en el comercio electrónico
1. 2 Proceso de comercio electrónico
1. comercio
1. 2. 2 Proceso de transacción de productos básicos en línea
1. 3 Modelo de comercio electrónico
l.
1. 3. 2 Tipo de intermediario en línea modelo de comercio electrónico
1.4 Gestión de la seguridad del comercio electrónico
1. gestión
1. 4. 2 Método de gestión de seguridad del comercio electrónico
Preguntas de repaso
Preguntas para pensar
Capítulo 2 Riesgos de seguridad en el Proceso de comunicación
2.1 Seguridad y riesgos de Internet
p>
2.1 Teoría del análisis de riesgos
2. Análisis en Internet
2. 1. 3 Los más vulnerables a ataques en Internet Enlaces débiles
2. Riesgos de seguridad en los protocolos de comunicación de Internet
2. 2. 1 Introducción a los protocolos de comunicación de Internet
2. 2. 2 Protocolos de Internet Riesgos de seguridad
2. 3 Riesgos de las aplicaciones de Internet
2. Problemas de seguridad de la transferencia de archivos (FTP)
2. 3. 2 Problemas de seguridad del inicio de sesión remoto (Telnet)
2. 3 Problemas de seguridad de WWW
2. 3. 4 Problemas de seguridad del correo electrónico
2. 3. 5 Problemas de seguridad de los servicios DNS
2. 6 Problemas de seguridad del sistema de archivos de red (NFS)
Preguntas de repaso
Preguntas para pensar
Capítulo 3 Control de seguridad del proceso de comunicación
1 Tecnología de cifrado para garantizar una comunicación segura en redes no seguras
p>
3. 1. 1 Bases teóricas de la criptografía
3. 1. 2 Tecnología de cifrado de clave simétrica
3.
3. 2 Protocolo de seguridad de aplicaciones de comercio electrónico
3. 2. 1 Protocolo de capa de conexión segura (SSL)
3. 2 Protocolo de transacciones electrónicas seguras (SET).
3. 2. 3 Otros protocolos de seguridad
3. 3 Certificado digital
3. 1 Principio y autenticación del certificado digital
3. 3. 2 Centro de certificación (CA)
3. 4 Infraestructura de clave pública
3. 4. 1 Introducción a PKI
3. 2 Servicios de confianza y significado de la tecnología PKI
3. 3 Estándares y arquitectura de PKI
3. 4 Aplicaciones de PKI
Preguntas de revisión
p>Preguntas para pensar
No. Capítulo 4 Riesgos de seguridad de los sitios web
4.1 Seguridad de la información y delitos informáticos
4. Seguridad de los sitios web
4. 1. 2 Contramedidas Gestión de virus
4.
3 Delitos informáticos
4. 2 Riesgos de seguridad en el control de acceso (Sistema de autenticación)
4. 1 Selección de contraseña
4. métodos de captura de contraseñas
4. 2. 3 Protección de archivos de contraseñas
4. 3 Riesgos de seguridad de los servicios de información www, Gopher y FTP
4. 1 Riesgos de seguridad del servidor www
4. 3. 2 Riesgos de seguridad del servidor Gopher
4. 3 Riesgos de seguridad del servidor FTP anónimo
Revisión. Preguntas
Preguntas para pensar
Capítulo 5 Control de seguridad del sitio web
5. 1 Estándares y organización de seguridad del sistema
5 . Libro (EE.UU.) (TCSEC)
5. 1. 2 Directorio de estándares ITSEC europeos
5. 2 Configuración de seguridad del sitio web
5 . configuración de servidores de uso común en entorno Windows NT
5. 2. Configuración de seguridad del sitio web
5. Arquitectura, clasificación y funciones del firewall
5. 1 Definición y propósito del firewall
5. 3. 2 Principales características de diseño del firewall
5. 3. 3 Arquitectura del sistema firewall
5. 4 Cortafuegos basado en filtros de paquetes
5. 3. 5 Repetidor de línea y cortafuegos de puerta de enlace de aplicaciones
5. 6 Limitaciones de los sistemas de cortafuegos
5. 4 Invasion Simulator
5. 4. 1 Descripción general de Invasion Simulator
5. 4. 2 Software de verificación de seguridad del sistema
5.
5. 5 Control de seguridad de la base de datos
5. 5. 1 Seguridad
5. 5. 2 Integridad
5. 3 Control de concurrencia
5. 5. 4 Recuperación de bases de datos
Preguntas de repaso
Preguntas para pensar
Capítulo 6 Gestión y riesgos empresariales en entornos inseguros Sistemas
6.1 Riesgos relacionados con redes de comunicación inseguras
6. 1 . Riesgos que enfrentan los consumidores
6.
6.2 Riesgos relacionados con las intranets corporativas
6. 2.1 Actividades de sabotaje por parte de empleados dimitidos
6.2 Amenazas de empleados actuales
p>
6.3 Riesgos en la transmisión de datos de transacciones comerciales entre socios comerciales
6. 1 La relación entre la intranet corporativa, la extranet corporativa e Internet
6.3.2 Interceptación de datos
6.3.3 Sujeto a medidas de confidencialidad Riesgos que enfrentan los archivos, archivos maestros y datos de referencia mantenidos
4 Modelo de gestión de riesgos<. /p>
6. 4. 1 Modelo de Gestión de Riesgos
6 4. 2 Tipos de riesgos del comercio electrónico
6. >
6.4.4 El papel del control interno en la gestión de riesgos
6.5 Controlar los riesgos e implementar planes
6.1 Controlar el gasto insuficiente y controlar el gasto. riesgos
6. 5. 2 Plan de rescate en caso de desastres
6 6 Garantía de terceros para el comercio electrónico
6.1 Formulación estándar
6. 6. 2 Confirmación de legalidad
6. 6. 3 Mecanismo de impacto
6. 4 Resolución de disputas
6. Agentes Inteligentes y Comercio Electrónico
6.
1 Definición de agente inteligente
6. 7. 2 Capacidad del agente inteligente
6. 7. 3 Combinación de agentes
6. Comercio electrónico
6. 7. 5 Limitaciones de los agentes
6. 7. 6 Agentes y seguridad
Preguntas de revisión
Pensamiento Pregunta
Capítulo 7 Entorno legal y regulatorio del comercio electrónico
7.1 Situación actual de la legislación nacional y extranjera sobre comercio electrónico
7. Legislación de comercio electrónico Estado actual
7. 2 Estado actual de la legislación de comercio electrónico en mi país
2 Políticas y cuestiones legales relacionadas con la tecnología de cifrado
7. 2. 1 Problemas con la longitud de la clave de cifrado
7. 2. Problemas de almacenamiento y recuperación de claves de terceros
7. p>
7. 3 Problemas de privacidad en Internet
7. 3. 1 Descripción general de los derechos de privacidad y los derechos de privacidad en Internet
7. Derechos
7. 3. 3 Protección legal extranjera de los derechos de privacidad en línea
7. 3. 4 Protección legal relevante de los derechos de privacidad en línea
7. Problemas de enlaces de red
7. 4. 1 Descripción general de los enlaces de red
7. 4. 2 Disputas y disputas legales causadas por enlaces de red
7. Disputas por infracción de nombres de dominio
7. 5. 1 El concepto, características jurídicas y funciones de los nombres de dominio
7. 2 La definición de disputas por infracción de nombres de dominio
7. 5. 3 Las manifestaciones de las disputas por infracción de nombres de dominio
p>
7. 5. 4 Legislación extranjera sobre disputas por infracción de nombres de dominio
7. La legislación actual de mi país sobre disputas por infracción de nombres de dominio
7.6 Cuestiones fiscales del comercio electrónico
7. 1 Teoría básica de la tributación
7. 2 Retos e impacto del comercio electrónico en el sistema tributario actual
7. 3 Contramedidas fiscales al comercio electrónico extranjero
7. política fiscal sobre el comercio
Preguntas de revisión
Preguntas para pensar
Apéndice A Eventos importantes en la legislación internacional sobre comercio electrónico
Apéndice B Promulgación e implementación de Comercio Electrónico Nacional
Apéndice C Índice de Solicitudes de Aclaraciones (RFC) relacionadas con la seguridad de la red
* Profesor del Instituto de Ingeniería de la Información, Universidad Nacional Chung Cheng y Director del Oficina de Consultoría del Ministerio de Educación
** Estudiante de doctorado del Instituto de Ingeniería de la Información, Universidad Nacional Chung Cheng
Prólogo
Internet y el mundo salvaje Se puede decir que la Web (WWW) es la tecnología de la información más popular y de mayor alcance a finales del siglo XX. Debido al vigoroso desarrollo y rápido crecimiento de Internet, su naturaleza ilimitada y el combustible de la tecnología WWW, Internet se ha convertido en la red de difusión de información y el medio de marketing más grande de los tiempos modernos. En un futuro previsible, el ciberespacio se convertirá en el centro comercial más grande del siglo XXI.
El comercio electrónico, con Internet como columna vertebral de su aplicación, no sólo brinda oportunidades comerciales ilimitadas a las empresas y proporciona ventajas en la competencia comercial, sino que también afecta gradualmente la competitividad de la economía general del país. Por lo tanto, muchas empresas y comerciantes nacionales han invertido en este centro comercial electrónico emergente. Las unidades gubernamentales pertinentes están formulando activamente políticas pertinentes y desarrollando diversas medidas de respuesta, y las instituciones de investigación académica también están comprometidas con la investigación y el desarrollo de arquitectura y tecnología de transacciones seguras. respuesta a los problemas de seguridad de la información y las disputas transaccionales que surgen de esta ola de auge del comercio electrónico.
Este artículo analiza principalmente la seguridad de las transacciones del comercio electrónico y presenta el sistema de pago electrónico.
1. Introducción al comercio electrónico
En primer lugar, damos una breve introducción al comercio electrónico. El desarrollo del comercio electrónico surgió de la necesidad de las empresas de simplificar los procesos de trabajo internos, mejorar las interacciones con los clientes e intercambiar información entre empresas y socios comerciales. Las aplicaciones comunes incluyen la conversión electrónica de fondos entre bancos a través de Internet, pagos electrónicos entre empresas y empresas en cadena que utilizan Internet para el intercambio electrónico de datos (EDI) y la transmisión de correo electrónico (correo electrónico) [1, 2, 3, 4]. No fue hasta la década de 1990 que apareció la tecnología WWW en Internet, que no sólo proporcionó a Internet un método diversificado de difusión de información, sino que también facilitó el desarrollo del comercio electrónico. El comercio electrónico proporciona a las empresas un método de publicidad, marketing y transacción más barato, abre un centro comercial electrónico virtual [4] y crea más oportunidades de negocio.
Utilizando el intercambio de información global y la publicidad, podemos reducir los costos de marketing y brindar una respuesta rápida y un servicio al cliente de bajo costo. Por lo tanto, la mayoría de las empresas se sienten atraídas por los beneficios económicos que proporciona el comercio electrónico, así como por el. vasto y sin fronteras Atraídos por el mercado de consumo, atacamos activamente este mercado en línea para mantener la competitividad. Podemos decir que todas las actividades comerciales como la transmisión de información, la comercialización de productos, servicios o pagos a través de Internet están dentro del ámbito del comercio electrónico.
2. Arquitectura del comercio electrónico
El comercio electrónico no sólo cambia la forma en que se realizan las transacciones (bienes de información no físicos, servicios de información y dinero electrónico), sino que también es muy diferente. del mercado tradicional A continuación presentaremos la arquitectura general del comercio electrónico (que se muestra en la Figura 1 [2]).
Figura 1 Diagrama de arquitectura general del comercio electrónico
(1), infraestructura de red
Además de la red de información existente, el llamado ciberespacio, Se deben integrar diferentes tipos de sistemas de transmisión y diversas formas de redes de transmisión, incluidas redes regionales, líneas telefónicas, redes de televisión por cable, sistemas de comunicación por radio y satélite, para convertirse en un sistema de autopista de la información. Sólo con una red de información completa y rápida todo tipo de materiales multimedia (incluidos textos, sonidos, imágenes, gráficos y vídeos) podrán viajar sin obstáculos por Internet. A través de diferentes formas de redes de transmisión que están conectadas entre sí, podemos usar nuestra PC para conectarnos a Internet a través de llamadas telefónicas en casa, acceder a la computadora host de Disney Company, navegar por los diversos productos de la compañía o disfrutar de la última película animada.
(2) Contenido multimedia e infraestructura de publicación en línea
La autopista de la información es una base de transmisión para la transmisión de datos multimedia. WWW es actualmente la tecnología de publicación e intercambio de recursos en línea más popular. Las personas o empresas pueden publicar fácilmente resultados de investigaciones o información de productos a través de descripciones en lenguaje de marcado de hipertexto (HTML). Además de HTML, actualmente varios lenguajes visuales u orientados a objetos (como JAVA, VB) también tienen tecnologías relacionadas para soportar contenido multimedia y publicación en línea.
(3) Infraestructura de transmisión de mensajes y envío y recepción de información
Cuando la información digital se transmite en Internet, se compone de una serie de 0 y 1 si no hay datos. tipo o formato La información relevante no puede distinguir el significado original de la información (que puede ser texto, números, sonidos o imágenes), por lo que el método de transmisión del mensaje debe proporcionar un método de comunicación para datos formateados o no formateados, y los datos deben procesarse mientras Envío y recepción de información. Interpretación y conversión. Para garantizar la seguridad del comercio electrónico, el método de transmisión del mensaje debe garantizar que otros no copien ni alteren en secreto el mensaje durante el proceso de transmisión.
(4) Infraestructura general de servicios comerciales
La infraestructura de servicios comerciales sirve principalmente para resolver las deficiencias de las herramientas de pago en línea y la protección insuficiente de la seguridad de la información. Para que los pagos en línea sean exitosos y garantizar que la información relevante pueda transmitirse de manera segura, la infraestructura de los servicios de pago debe desarrollar métodos con codificación de contraseñas y autenticación de identidad para garantizar la seguridad de la transmisión de información en Internet y evitar transacciones de suplantación.
Por lo tanto, la investigación y el desarrollo de transacciones seguras y herramientas de pago en línea seguras (como billeteras electrónicas) es la tarea principal para promover el comercio electrónico y también es una clave importante para el éxito o el fracaso del comercio electrónico.
(5).Dos pilares del comercio electrónico
Para la promoción de aplicaciones de comercio electrónico y diversas construcciones de infraestructura, la coordinación de políticas públicas y la investigación y desarrollo de normas técnicas. Se prevé que sean dos pilares importantes. En cuanto a la protección de los derechos de autor, los derechos de privacidad, la protección del consumidor, la detección de transacciones ilegales, la supervisión de la información en línea y el arbitraje de disputas sobre transacciones, es necesario formular políticas públicas y disposiciones legales pertinentes para coordinar. Además, para garantizar la compatibilidad de toda la red, la estandarización de diversas herramientas, interfaces de usuario y protocolos de transmisión es absolutamente necesaria al desarrollar diversas infraestructuras y aplicaciones de comercio electrónico.
3. Seguridad de las transacciones
Cada vez más empresas proporcionan información de productos y servicios a través de Internet, pero todavía son conscientes de implementar transacciones en línea en la Internet pública, principalmente porque lo hacen. Todavía tengo dudas sobre la seguridad de la red y las transacciones. De manera similar, debido a consideraciones de seguridad en las transacciones, muchos consumidores también desconfían de pagar directamente en Internet. Actualmente, la información se transmite a través de Internet y puede ser robada o alterada por un tercero, especialmente la información personal y financiera confidencial (como números de cuenta y contraseñas, números de tarjetas de crédito o recursos de red). La posibilidad de que los datos aún estén comprometidos. ser destruido, alterado, filtrado o mal utilizado debido a la intrusión de piratas informáticos.
Los consumidores se mostrarán reacios a proporcionar información de pagos y tarjetas de crédito en Internet si no hay garantía de que las transacciones se puedan realizar de forma segura. Además, para evitar disputas sobre transacciones, los comerciantes no se atreven a ofrecer servicios de compras en línea precipitadamente. Para que el comercio electrónico se desarrolle exitosa y vigorosamente, es necesario aumentar la confianza de los consumidores en la confiabilidad de las transacciones y mejorar la protección de las redes públicas contra intrusiones ilegales externas. Por lo tanto, la seguridad de las transacciones es una cuestión que debe superarse con urgencia y es muy valorada en el desarrollo actual del comercio electrónico.
(1) Requisitos para la seguridad de las transacciones
Un sistema de transacciones seguro debe tener las siguientes características:
Privacidad: Las transacciones deben mantener su inviolabilidad de los mensajes enviados y. recibido a través de Internet no puede ser leído, modificado o interceptado por ningún intruso. Antes de que los piratas informáticos invadan un sistema informático, a menudo utilizan el espionaje de la red para recopilar información importante, como números de cuenta, contraseñas y nombres de usuario que los usuarios ingresan antes de iniciar sesión en el sistema, y luego invaden el sistema con sus nombres falsos.
Confidencialidad: Las transacciones no se pueden rastrear a través de la red pública y los intermediarios no autorizados no pueden obtener copias de las transacciones. Todo el tráfico de información en un entorno de comercio electrónico es confidencial. Una vez que el mensaje se entrega con éxito al destino, excepto la información de auditoría, se eliminará toda la información relevante existente en el entorno público. Y la información debe almacenarse bajo un sistema con total protección.
Integridad: Las transacciones no deben ser destruidas ni interferidas. Se confirma que el contenido de la transacción electrónica no ha sido modificado durante la transmisión entre el cliente y el servidor, es decir, la información no puede agregarse, eliminarse o modificarse arbitrariamente durante el procesamiento de la transacción.
Por lo tanto, para garantizar la seguridad de las transacciones, es necesario contar con la asistencia de sólidas medidas de defensa de la seguridad de la red (como firewalls) y tecnologías seguras de confidencialidad de la información (como tecnología de cifrado, firmas digitales y certificados). .
(2) Seguridad de la red – firewall
Los firewalls se utilizan tanto en la red interna corporativa (una red confiable y segura) como en la red pública externa (poco confiable Establecer una barrera de seguridad entre el entorno de red) para bloquear la intrusión de piratas informáticos externos, mientras que los internos aún pueden obtener el servicio general desde el exterior. Se puede decir que un firewall es la implementación de una política de seguridad. Solo ciertos usuarios que están legalmente autorizados o siguen reglas de servicio específicas pueden conectarse a la red protegida dentro de la empresa. En otras palabras, el firewall obliga a todas las conexiones a pasar a través de ella. , y permitir la revisión de los datos según las especificaciones de acceso establecidas.
Paquetes de filtrado de enrutador (Paquetes): La primera generación de tecnología de firewall es el filtrado de paquetes de enrutador. El enrutador de inspección filtra los paquetes de información que pasan a través del firewall de acuerdo con reglas de inspección para detectar paquetes problemáticos.
Servidor Proxy: La segunda generación de tecnología de firewall es el servidor proxy. La computadora host que realiza el servicio de proxy se llama Application Gateway y se ubica en la red de la empresa e Internet entre los usuarios, proporcionando agencia. servicios o servicios intermediarios a usuarios de ambas partes. Toda la información que entre y salga de la red de la empresa deberá enviarse a través de este intermediario.
(3), seguridad WWW
Para realizar comercio electrónico, la autenticación mutua y la confirmación entre el cliente y el servidor son muy importantes en la red pública no confiable. Cuando un mensaje se transmite a través de la Internet pública, debe contener alguna información que indique el sistema desde el que se originó. La WWW no cifra los datos que pasan a través de ella y cualquiera que intercepte la transmisión de datos de la WWW puede acceder a los datos contenidos en ella. Por motivos de seguridad, Netscape desarrolló SSL (Secure Socket Layer) para resolver los problemas de seguridad de la transmisión de información en la WWW. Al utilizar SSL, si los datos se transmiten al destino incorrecto, la información que contiene se perderá, excepto el remitente. y los destinatarios legítimos (como los números de tarjetas de crédito) no pueden ser leídos por terceros. A través de SSL, los datos se cifran automáticamente antes de enviarse y se descifrarán en el extremo receptor legítimo. Para aquellos que no tienen la clave de descifrado, la información recibida es sólo un montón de 0 y 1 sin sentido.
(4) Tecnología de seguridad de la información
El comercio electrónico depende en gran medida de la tecnología de criptografía. Los datos transmitidos en Internet pueden protegerse mediante tecnología de criptografía. es robado por un hacker durante la circulación, no puede restaurar (descifrar) el mensaje. Actualmente, las tecnologías de cifrado más utilizadas se pueden clasificar en dos tipos: cifrado tradicional (clave privada) (Private-key) y cifrado de clave pública (Public-key) [5, 6].
1 Cifrado de clave privada
El cifrado de clave privada también se denomina cifrado simétrico. La misma clave se utiliza para cifrar y descifrar mensajes (clave). Todos los participantes deben confiar y comprenderse plenamente entre sí, y cada participante conserva una copia de la clave. El remitente y el destinatario deben compartir la misma clave antes de intercambiar mensajes. En el proceso de coordinación de la generación de claves, se debe garantizar que cualquier información relacionada con la generación de claves no sea escuchada (distribuida a través de un canal seguro). Una vez que la clave es obtenida o calculada por un tercero, la información no está protegida. El método de cifrado de clave secreta más utilizado es el Estándar de cifrado de datos (DES).
Los métodos de cifrado tradicionales son rápidos y adecuados para cifrar grandes cantidades de datos. Sin embargo, la distribución de claves (generación, transmisión y almacenamiento de claves) entre corresponsales en una red pública es engorrosa. Por lo tanto, es difícil aplicar directamente el método de cifrado de clave secreta al comercio electrónico a menos que exista un método de distribución de clave segura.
2 Cifrado de clave pública
El cifrado de clave pública también se denomina cifrado asimétrico. Se utilizan diferentes claves para cifrar y descifrar mensajes, y se utiliza una clave para cifrar el mensaje. y se utiliza otra clave para restaurar el mensaje. Cada uno de los comunicadores en Internet tiene dos claves: una que está abierta a todos (clave pública) y otra que uno mismo mantiene en secreto (clave). Pero ambos deben estar protegidos contra modificaciones o robos. Suponiendo que la Parte A quiere enviar datos a la Parte B, la Parte A primero usa la clave pública de la Parte B para cifrar los datos antes de enviarlos. Una vez que la Parte B recibe los datos, puede descifrarlos con su propia clave y obtener los datos originales. El método de cifrado de clave pública más famoso es RSA.
Aunque el cifrado de clave pública no tiene el problema de la distribución de claves, los cálculos de cifrado y descifrado requieren mucho tiempo, por lo que es más adecuado para cifrar mensajes o datos resumidos. Además, las claves públicas colocadas en Internet pueden modificarse ilegalmente. Por lo tanto, en la aplicación del comercio electrónico, debe haber certificados digitales y la cooperación de un tercero confiable para mejorar la seguridad y confiabilidad, o un método de cifrado híbrido (es decir, utilizar cifrado de clave pública para distribuir la clave de cifrado de clave secreta). ) ) para mejorar la velocidad de cifrado y descifrado.
3 Firma Digital
La firma digital se desarrolla a partir del método de cifrado de clave pública y se utiliza para demostrar la autenticidad de la fuente y el contenido de un mensaje. Dado que los comunicadores en Internet no pueden confirmar la identidad de los demás, se pueden utilizar firmas digitales [6] para verificar la identidad del remitente. El receptor puede asegurarse de que el remitente envió un mensaje y que no ha sido alterado, y el remitente no puede negar que el mensaje fue enviado.
De hecho, las firmas digitales son como nuestros sellos. Por lo general, para demostrar que el documento fue emitido por nosotros, estamparemos nuestro sello o firma en el documento como prueba. Cuando el remitente quiere enviar un archivo, primero convierte los datos en un resumen del mensaje a través de una función Hash y luego envía el resumen del mensaje junto con el archivo. Si alguien ha modificado el archivo en el medio, el destinatario recalculará el archivo modificado a través de la función Hash y encontrará que el resumen calculado no coincide con el resumen enviado por el transmisor. Esto significa que el archivo transmitido está en el medio de la transmisión. Ha sido manipulado para que podamos detectar con éxito la falsificación de otras personas.
¿Cómo verificar la identidad del remitente? El remitente solo necesita cifrar (firmar) el resumen del mensaje con su propia clave antes de enviarlo. Si el receptor puede descifrar (verificar) correctamente el resumen del mensaje con la clave pública del remitente después de obtener el resumen cifrado, el receptor puede estar al 100%. seguro del mensaje. El archivo proviene del remitente.
4 Certificado digital
La clave pública se utiliza como herramienta de cifrado para que otros se transmitan datos a sí mismos en la red pública. Si la clave pública se falsifica y distribuye, el falsificador lo hará. Puede hacerse pasar por usted, interceptar los datos que se le envían y utilizar la clave equivalente para descifrar los datos. Por lo tanto, antes de enviar datos, primero debemos identificar a la otra parte y confirmar que la clave pública pertenece al destinatario antes de que podamos enviar los datos. Para lograr la confirmación de la clave pública, se puede completar mediante la autenticación de la clave pública, que es un certificado digital [2].
En aplicaciones de comercio electrónico, necesitamos un tercero confiable para realizar la autenticación de clave pública. Este tercero es la denominada Autoridad de certificación (CA), y la CA debe ser una función en la que el remitente y el destinatario puedan confiar. Emitirá un certificado digital según la solicitud del solicitante legítimo. La información de identificación del solicitante (nombre), la clave pública y la firma de la CA en la clave pública una vez respaldada por la firma de la CA, podemos confiar en esta clave pública. En Internet podemos identificarnos entre nosotros mediante la verificación de la clave pública de la CA. De esta manera, diferentes personas pueden realizar comercio electrónico con un alto grado de confianza.
Con el uso de certificados digitales, hemos fortalecido aún más la verificación de identidad. Al utilizar un centro de administración de certificados único, los certificados digitales pueden controlar de manera efectiva la interacción entre los participantes en las transacciones de comercio electrónico. Trust proporciona una forma simple y conveniente. método.
4. Estándar de Transacciones Electrónicas Seguras (Secure Electronic Transaction, SET)
SET es un acuerdo entre VISA y MasterCard, dos importantes organizaciones emisoras de tarjetas, para garantizar la seguridad de los consumidores que utilizan el crédito. transacciones con tarjeta en línea e IBM Los estándares de transacciones electrónicas seguras [7, 8, 9] iniciados conjuntamente por *** permiten a los usuarios utilizar tarjetas de crédito para realizar transacciones con confianza mediante el uso de protocolos de pago seguros en la Internet pública.
(1) Arquitectura SET
Un entorno SET estándar incluye los siguientes componentes (como se muestra en la Figura 2 [7]):
l protocolo de comunicación SET: Proporcionar información de pago privada, información de autenticación de tarjetas de crédito, tiendas y agencias de pago.
l Titular de la tarjeta: Utilice la billetera electrónica (Electronic Wallet) que contiene el estándar SET para ayudar al titular de la tarjeta a acudir al centro de certificación (CA) para obtener el certificado electrónico de la tarjeta de crédito, generar la clave pública y secreta. clave, almacenar y administrar claves y certificados electrónicos, actualizar y consultar certificados electrónicos, proporcionar autorización y protocolos SET necesarios para las transacciones, administrar consultas y datos del historial de transacciones, integrar E-Cash, E-Check y Micropago (en el futuro), conjunto de configuración arriba.
l Emisor de tarjetas: proporciona a los consumidores la solicitud de tarjetas de crédito y la gestión del consumo. El emisor de la tarjeta debe proporcionar al titular de la tarjeta una billetera electrónica y el solicitante puede acudir al centro de certificación a través de WWW o correo electrónico. .
l Agencia de cobranza, pasarela de pago: ayuda a la agencia de cobranza a obtener el certificado electrónico de la tarjeta de crédito del centro de certificación (CA), generar la clave y la clave pública, almacenar y administrar el certificado y la clave electrónicos, Electrónica actualización y consulta de certificados, intercambio de claves públicas cifradas con el banco adquirente, provisión de autorización y protocolos SET necesarios para las transacciones, provisión de solicitudes posteriores a la transacción, compensación y protocolos SET, conexión con el servidor del banco, generación de informes y registros de datos históricos, Ajustes de configuración.
l Store (Merchant Server): ayuda a los comerciantes electrónicos a obtener certificados electrónicos de tarjetas de crédito del centro de certificación (CA), almacenar y administrar certificados y claves electrónicos, actualizar y consultar certificados electrónicos e intercambiar claves públicas cifradas. con el banco adquirente, proporciona la autorización y el acuerdo SET necesarios para las transacciones, proporciona cobro y compensación posteriores a la transacción y acuerdos SET, proporciona registros de datos relacionados con transacciones, servicios de devolución y ajustes de configuración.
l Agencia de certificación (también conocida como centro de gestión de certificados): proporciona servicios de autenticación para titulares de tarjetas, tiendas y pasarelas de pago.
El diagrama de arquitectura SET se muestra en la Figura 2:
Figura 2 Diagrama de arquitectura SET
(2), pago por Internet
En En el proceso de transacciones electrónicas, los usuarios utilizan efectivo electrónico para realizar transacciones con comerciantes. El efectivo electrónico, como su nombre indica, es efectivo que puede circular en Internet. La ventaja de utilizar efectivo es que los consumidores pueden mantener la privacidad y no necesitan hacerlo. transferir información personal importante, como transacciones con tarjetas de crédito, si se filtra, y además, la mayoría de las cosas que los consumidores intercambian en línea suelen ser productos de información de menor precio, ¡el efectivo es mucho más fácil de usar que las tarjetas de crédito en este momento! Además, la mayoría de los consumidores generalmente aceptan más el efectivo que las tarjetas de crédito, por lo que el efectivo electrónico se convertirá gradualmente en una nueva corriente principal.
En el mecanismo SET, cada consumidor que quiera gastar dinero en línea debe instalar un software llamado "billetera electrónica" en su computadora. Esta billetera electrónica es como una billetera en la vida real, responsable de. almacenar efectivo electrónico comprado por los consumidores a los bancos. A continuación, enumeramos un proceso de transacción completo:
Paso 1: Primero, el consumidor retira efectivo electrónico del banco.
Paso 2: Después de verificar la identidad del consumidor, el banco debita la cuenta real del consumidor y deposita la cantidad equivalente de efectivo electrónico en la billetera electrónica del consumidor.
Paso 3: Cuando el consumidor se conecta a la tienda en línea a través de un navegador WWW para ver los productos y decide comprar un determinado producto, presiona el botón "Comprar" y el software de la tienda. El software de billetera electrónica que solicita productos se envía a los consumidores.
Paso 4: La billetera electrónica comienza a activar la función de gestión y paga el efectivo electrónico que figura en el pedido al software de la tienda.
Paso 5: Después de recibir el efectivo electrónico del consumidor, la tienda lo enviará al banco para verificar si el efectivo electrónico es efectivo electrónico legal emitido por el banco.
Paso 6: Si la verificación es correcta, el banco notificará a la tienda que la verificación fue exitosa y convertirá el efectivo electrónico en la cantidad correspondiente en efectivo real y lo depositará en la cuenta de la tienda. ¡La tienda ahora puede entregar de forma segura los productos solicitados por los consumidores! Esto completa una transacción en línea.
Figura 3 Proceso de pago por Internet
V. Conclusión
El comercio electrónico es una aplicación comercial construida en Internet. WWW hace del comercio electrónico un compromiso comercial. actividades a mayor escala económica a costos relativamente bajos. Que el comercio electrónico pueda florecer y controlar el sustento económico futuro depende enteramente de la investigación y el desarrollo de diversas tecnologías de seguridad de datos y del establecimiento de una arquitectura de transacciones segura.
La aplicación de Internet brinda oportunidades comerciales y cambios en muchos comportamientos económicos. Esta moda no solo trae impacto y cambios a las empresas, sino que también lleva a los usuarios a ingresar a un mundo de compras en un centro comercial virtual. Por ejemplo: tiendas en línea sin escaparates, bancos en línea sin mostradores, agentes de valores en línea sin locales comerciales, seminarios en línea sin locales, tiendas de libros electrónicos sin papel, bibliotecas y museos digitales, etc. Cómo se adaptarán los usuarios y cómo responderán las agencias gubernamentales a los problemas y disputas causados por diversos tipos de comercio electrónico será un desafío importante antes de entrar en el siglo XXI.
Referencias
R. Kalakota y A. B. Whinston (1996), Frontiers of Electronic Commerce, Nueva York, Addison-Wesley Publishing Company, 1996
R. y A. B. Whinston (1997), Comercio Electrónico: Guía del Gerente, Nueva York, Addison-Wesley Publishing Company, 1997.
Guo Yun (1997): La nueva apariencia de las empresas en la era del comercio electrónico,
URL: /cgi-bin/vee/sf/set, junio de 1996.
Lian Weili (1998): Comercio electrónico: arquitectura de transacciones seguras, Fortune News, número de diciembre, págs. 11-16.
Sitio web de aplicación comercial en Internet del Ministerio de Asuntos Económicos,
URL: http://www.ec.org.tw/.