被无视的网络交易平台安全与诚信
2007-12-18 16:47:42 来源:WEB开发网2.安全的网络数据传输:保障支付平台的隐私
虽然支付平台已经拥有了有效的证书,但是用户的交易并不会因此得到真正保障,所有数据传输都要经过许多网络设备进行中转,而且为了确保易用性,交易平台必须是最能普及大众的形式,而不能仅局限于厂商自己开发的交易程序,这样一来,最终的选择只能有一个,那就是以“网站”的形式出现,所以交易平台被设计为动态页面,用户在网站上面完成人与人之间的交互。
但是这个形式却给支付平台的安全性带来了威胁:最普遍存在的网站形式,其数据也是以最普遍的明文方式传输的,并且,这些数据可以被拦截和篡改,如果用户无法确保自己输入的金额数目在重重传输中会不会被篡改,那么这种交易方式还有什么值得信任的呢?
为了打消用户的顾虑,任何合法的支付平台厂商都会使用一种旁人无法查看和篡改数据内容的方式来进行网络传输,那就是“安全的HTTP传输协议”,它建立在数据加密的基础上。
通常的网站交互数据传输是通过“HTTP协议”进行的,它占用80端口,然而这并不是唯一的网站交互形式,为了不让现有的HTTP传输通道过于复杂,人们另外启用一个专门的HTTP加密数据传输通道,这就是“安全套接字协议层”(Security Socket Layer,SSL)以及“安全HTTP协议”(HTTP Security,HTTPS),这个加密的数据传输协议使用443端口。建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一起发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个惟一的安全通道。
更多精彩
赞助商链接