電子商務的安全協議不包括smime

『壹』 電子商務中的安全協議是什麼意思

安全協議是以密碼學為基礎的消息交換協議，其目的是在網路環境中提供各種安全服務。密碼學是網路安全的基礎，但網路安全不能單純依靠安全的密碼演算法。安全協議是網路安全的一個重要組成部分，我們需要通過安全協議進行實體之間的認證、在實體之間安全地分配密鑰或其它各種秘密、確認發送和接收的消息的非否認性等。

安全協議是建立在密碼體制基礎上的一種交互通信協議，它運用密碼演算法和協議邏輯來實現認證和密鑰分配等目標。

安全協議可用於保障計算機網路信息系統中秘密信息的安全傳遞與處理，確保網路用戶能夠安全、方便、透明地使用系統中的密碼資源。安全協議在金融系統、商務系統、政務系統、軍事系統和社會生活中的應用日益普遍，而安全協議的安全性分析驗證仍是一個懸而未決的問題。在實際社會中，有許多不安全的協議曾經被人們作為正確的協議長期使用，如果用於軍事領域的密碼裝備中，則會直接危害到軍事機密的安全性，會造成無可估量的損失。這就需要對安全協議進行充分的分析、驗證，判斷其是否達到預期的安全目標。

網路安全是實現電子商務的基礎，而一個通用性強，安全可靠的網路協議則是實現電子商務安全交易的關鍵技術之一，它也會對電子商務的整體性能產生很大的影響。由美國Netscape公司開發和倡導的SSL協議（Secure Sockets Layer，安全套接層），它是目前安全電子商務交易中使用最多的協議之一，內容主要包括協議簡介、記錄協議、握手協議、協議安全性分析以及應用等。本文在簡單介紹SSL協議特點和流程的基礎上，詳細介紹了SSL協議的應用和配置過程。

1 、SSL協議簡介

SSL作為目前保護Web安全和基於HTTP的電子商務交易安全的事實上的，被許多世界知名廠商的Intranet和Internet網路產品所支持，其中包括Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客戶機和伺服器產品，如IE和Netscape瀏覽器，IIS、Domino Go WebServer、Netscape Enterprise Server和Appache等Web Server等。

SSL採用對稱密碼技術和公開密碼技術相結合，提供了如下三種基本的安全服務：秘密性。SSL客戶機和伺服器之間通過密碼演算法和密鑰的協商，建立起一個安全通道。以後在安全通道中傳輸的所有信息都經過了加密處理，網路中的非法竊聽者所獲取的信息都將是無意義的密文信息。

完整性。SSL利用密碼演算法和hash函數，通過對傳輸信息特徵值的提取來保證信息的完整性，確保要傳輸的信息全部到達目的地，可以避免伺服器和客戶機之間的信息內容受到破壞。

認證性。利用證書技術和可信的第三方CA，可以讓客戶機和伺服器相互識別的對方的身份。為了驗證證書持有者是其合法用戶(而不是冒名用戶)，SSL要求證書持有者在握手時相互交換數字證書，通過驗證來保證對方身份的合法性。

SSL協議的實現屬於SOCKET層，處於應用層和傳輸層之間，由SSL記錄協議（SSL RECORD PROTOCOL）和SSL握手協議（SSL HAND-SHAKE PROTOCOL）組成的，其結構如圖1所示：

SSL可分為兩層，一是握手層，二是記錄層。SSL握手協議描述建立安全連接的過程，在客戶和伺服器傳送應用層數據之前，完成諸如加密演算法和會話密鑰的確定，通信雙方的身份驗證等功能；SSL記錄協議則定義了數據傳送的格式，上層數據包括SSL握手協議建立安全連接時所需傳送的數據都通過SSL記錄協議再往下層傳送。這樣，應用層通過SSL協議把數據傳給傳輸層時，已是被加密後的數據，此時TCP/IP協議只需負責將其可靠地傳送到目的地，彌補了 TCP/IP協議安全性較差的弱點。

Netscape公司已經向公眾推出了SSL的參考實現（稱為SSLref）。另一免費的SSL實現叫做SSLeay。SSLref和SSLeay均可給任何TCP/IP應用提供SSL功能，並且提供部分或全部源代碼。Internet號碼分配當局（IANA）已經為具備SSL功能的應用分配了固定埠號，例如，帶SSL的HTTP（https）被分配以埠號443，帶SSL的SMTP（ssmtp）被分配以埠號465，帶SSL的NNTP （snntp）被分配以埠號563。

微軟推出了SSL版本2的改進版本，叫做PCT（私人通信技術）。SSL和PCT非常類似。它們的主要差別是它們在版本號欄位的最顯著位（The Most Significant Bit）上的取值有所不同：SSL該位取0，PCT該位取1。這樣區分之後，就可以對這兩個協議都給予支持。

1996年4月，IETF授權一個傳輸層安全（TLS）工作組著手制訂一個傳輸層安全協議（TLSP），以便作為標准提案向IESG正式提交。TLSP將會在許多地方酷似SSL。

2 、SSL安全性

目前，幾乎所有操作平台上的WEB瀏覽器（IE、Netscatp）以及流行的Web伺服器（IIS、Netscape Enterprise Server等）都支持SSL協議。因此使得使用該協議便宜且開發成本小。但應用SSL協議存在著不容忽視的缺點：

1. 系統不符合國務院最新頒布的《商用密碼管理條例》中對商用密碼產品不得使用國外密碼演算法的規定，要通過國家密碼管理委員會的審批會遇到相當困難。

2. 系統安全性差。SSL協議的數據安全性其實就是建立在RSA等演算法的安全性上，因此從本質上來講，攻破RSA等演算法就等同於攻破此協議。由於美國政府的出口限制，使得進入我國的實現了SSL的產品（Web瀏覽器和伺服器）均只能提供512比特RSA公鑰、40比特對稱密鑰的加密。目前已有攻破此協議的例子：1995年8月，一個法國學生用上百台工作站和二台小型機攻破了Netscape對外出口版本；另外美國加州兩個大學生找到了一個「陷門」，只用了一台工作站幾分鍾就攻破了Netscape對外出口版本。

但是，一個安全協議除了基於其所採用的加密演算法安全性以外，更為關鍵的是其邏輯嚴密性、完整性、正確性，這也是研究協議安全性的一個重要方面，如果一個安全協議在邏輯上有問題，那麼它的安全性其實是比它所採用的加密演算法的安全性低，很容易被攻破。從目前來看，SSL比較好地解決了這一問題。不過SSL協議的邏輯體現在SSL握手協議上，SSL握手協議本身是一個很復雜的過程，情況也比較多，因此我們並不能保證SSL握手協議在所有的情況下邏輯上都是正確的，所以研究SSL協議的邏輯正確性是一個很有價值的問題。

另外，SSL協議在「重傳攻擊」上，有它獨到的解決辦法。SSL協議為每一次安全連接產生了一個128位長的隨機數——「連接序號」。理論上，攻擊者提前無法預測此連接序號，因此不能對伺服器的請求做出正確的應答。但是計算機產生的隨機數是偽隨機數，它的實際周期要遠比2128小，更為危險的是有規律性，所以說SSL協議並沒有從根本上解決「信息重傳」這種攻擊方法，有效的解決方法是採用「時間戳」。但是這需要解決網路上所有節點的時間同步問題。

總的來講，SSL協議的安全性能是好的，而且隨著SSL協議的不斷改進，更多的安全性能、好的加密演算法被採用，邏輯上的缺陷被彌補，SSL協議的安全性能會不斷加強。

3、 windows 2000中SSL的配置與應用SSL的典型應用主要有兩個方面，一是客戶端，如瀏覽器等；另外一個就是伺服器端，如Web伺服器和應用伺服器等。目前，一些主流瀏覽器（如IE和 Netscape等）和IIS、Domino Go WebServer、Netscape Enterprise Server、Appache等Web伺服器都提供了對SSL的支持。要實現瀏覽器（或其他客戶端應用）和Web伺服器（或其他伺服器）之間的安全SSL 信息傳輸，必須在Web伺服器端安裝支持SSL的Web伺服器證書，在瀏覽器端安裝支持SSL的客戶端證書（可選），然後把URL中的「http://」 更換。

『貳』 淘寶交易過程中涉及到哪些電子商務安全技術和安全協議

正常電腦購買都不會出現什麼問題的啊，你購買的時候，要了解淘寶的交易規則，然後用支付寶或者網銀支付的時候，要同意支付寶或者網銀的使用規則，一般支付寶的，都是需要支付寶數字證書支持的。

『叄』 什麼是電子商務安全協議

隆力奇直銷
Modern e-commerce security policy
[Abstract] In this paper, an open Internet environment, e-commerce security threats and security needs of e-commerce security technologies, including encryption, authentication, security protocols and firewall technology, VPN technology, and on this basis a reasonable strategy for e-commerce security.
[Key words] e-commerce encryption technology, authentication technology security policy

With the continuous development of the Internet, e-commerce as a combination of network and commercial procts, is close to people's lives, more and more people attracted attention. However, e to the openness of the Internet and the anonymity, there are a lot of inevitable security risks. In e-commerce, security is the core issue must be taken into account, the requirements to provide network security solutions.
A, e-commerce security issues
E-commerce in the Internet an open network environment, always a threat to security, the security threats can be divided into four broad categories: 1. The interception and theft of information: If no measures taken or encryption strength of encryption is not enough to attack through the use of various means of illegal access to confidential user information. 2. The distortion of information: the attacker using various technologies and means of information on the network mid-course correction, concurrent to the destination, thereby undermining the integrity of information. 3. Information counterfeiting: the attacker through the network to decrypt data or business law information, pseudo-legal users or send fake messages to deceive their customers. 4. Transaction repudiation: refers to the transaction or both unilateral repudiation of the transaction.
E-commerce security threats faced by the emergence of electronic commerce has led to the demand for security, including confidentiality, integrity, authentication and non-repudiation, validity of five aspects.
Second, e-commerce security technology
For e-commerce security technologies, including encryption, authentication technology and e-commerce security protocols, firewall technology.
1. Encryption technology
In order to ensure the security of data and transactions to prevent fraud, to confirm the true identity of the transaction between the two sides, e-commerce encryption technology to be used, encryption technology means that by using the code or password to protect data security. For data encryption as an express, express, after effects of a certain encryption algorithm, to convert ciphertext, we will be expressly for the ciphertext for this process is known as encryption, to ciphertext by the decryption algorithm output express after the formation of this a process known as decryption. Encryption algorithm used as the key parameters. The longer the key length, the space key, and traverse the key space, the more time spent, the smaller the possibility of deciphering. Encryption technology can be divided into two categories: symmetric and asymmetric encryption technology, encryption technology. Symmetric encryption technology, data encryption standard DES (Data Encryption Standard) algorithm for a typical representative. Usually non-symmetric encryption technology to RSA (Rivest Shamir Adleman) algorithm to represent.
2. Authentication
Commonly used security authentication technology are:
(1) digital signature. Signature is used to ensure the authenticity of documents, the validity of a measure, as to proce the same as handwritten signatures. Ways is to hash function and public key algorithm combining sender text from the message generates a hash value, and use their own private key to encrypt the hash value to form a sender's digital signature; then this digital signature as the message text of the annex and the reported message to send to the receiver; message from the receiver to receive the first message in the original hash value is calculated, and then using the sender's public key to attached to the message to decrypt the digital signature; If these two the same hash value, then the recipient will be able to confirm the digital signature is the sender.
(2) digital certificates. CA digital certificate is issued for the identity of the parties to the transaction documents, it is a digital signature by the CA, including the applicant a certificate (public key owner) personal information and public key files. Based on public key system (PKI) digital certificate is used to verify both the identity of e-commerce transaction security tool, since it was made by the Certificate Authority Center digital signature, so that no third parties can not modify the contents of the certificate. Only the parties to apply for any transaction to the appropriate digital certificate in order to participate in the security of e-commerce transactions on the Internet.
(3) digital time stamp. In order to prevent transactions in the electronic document signed by the time the information is modified, the digital time-stamp provided by the corresponding security. Digital Time Stamp Service (DTS) is provided by specialized agencies. Digital Time Stamp is an encrypted certificate after the formation of the document, which includes three components: the documents need to add time stamp Abstract; DTS document received date and time; DTS digital signature institutions.

『肆』 關於電子商務的選擇題，後天期末考~ 有些答案不確定，請各位幫幫忙~

CDBAD DCADA AADA 多選 ABCD BD

『伍』 SSL安全協議的主要功能不包括

SSL通信的工作原理
SSL協議的主要用途是在兩個通信應用程序之間提供私密性和可靠性，這個過程通過3個元素來完成：

（1）握手協議：這個協議負責被子用於客戶機和伺服器之間會話的加密參數。當一個SSL客戶機和伺服器第一次開始通信時，它們在一個協議版本上達成一致，選擇加密演算法和認證方式，並使用公鑰技術來生成共享密鑰。

（2）記錄協議：這個協議用於交換應用數據。應用程序消息被分割成可管理的數據塊，還可以壓縮，並產生一個MAC（消息認證代碼），然後結果被加密並傳輸。接受方接受數據並對它解密，校驗MAC，解壓並重新組合，把結果提供給應用程序協議。

（3）警告協議：這個協議用於每時示在什麼時候發生了錯誤或兩個主機之間的會話在什麼時候終止。

SSL協議通信的握手步驟如下：

第1步，SSL客戶機連接至SSL伺服器，並要求伺服器驗證它自身的身份；

第2步，伺服器通過發送它的數字證書證明其身份。這個交換還可以包括整個證書鏈，直到某個根證書頒發機構（CA）。通過檢查有效日期並確認證書包含可信任CA的數字簽名來驗證證書的有效性。

第3步，伺服器發出一個請求，對客戶端的證書進行驗證，但是由於缺乏公鑰體系結構，當今的大多數伺服器不進行客戶端認證。

第4步，協商用於加密的消息加密演算法和用於完整性檢查的哈希函數，通常由客戶端提供它支持的所有演算法列表，然後由伺服器選擇最強大的加密演算法。

第5步，客戶機和伺服器通過以下步驟生成會話密鑰：

·客戶機生成一個隨機數，並使用伺服器的公鑰（從伺服器證書中獲取）對它加密，以送到伺服器上。

·伺服器用更加隨機的數據（客戶機的密鑰可用時則使用客戶機密鑰，否則以明文方式發送數據）響應。

·使用哈希函數從隨機數據中生成密鑰。
SSL VPN的主要優勢和不足

上面我們介紹了有關SSL VPN的一些基本情況，但是就像任何新技術的產生一樣，相對傳統的技術肯定會存在一些重要的優點，當然不足之處通常也是有的，下面就分別予以介紹。

1．SSL VPN的主要優點

這樣一種新型的VPN技術主要優勢體現在哪裡呢？目前這種VPN技術的應用正逐漸呈上升趨勢，原因何在呢？下面就是幾個主要的方面：

（1）無需安裝客戶端軟體：在大多數執行基於SSL協議的遠程訪問是不需要在遠程客戶端設備上安裝軟體。只需通過標準的Web瀏覽器連接網際網路，即可以通過網頁訪問到企業總部的網路資源。這樣無論是從軟體協議購買成本上，還是從維護、管理成本上都可以節省一大筆資金，特別是對於大、中型企業和網路服務提供商。

（2）適用大多數設備：基於Web訪問的開放體系可以在運行標準的瀏覽器下可以訪問任何設備，包括非傳統設備，如可以上網的電話和PDA通訊產品。這些產品目前正在逐漸普及，因為它們在不進行遠程訪問時也是一種非常理想的現代時尚產品。

（3）適用於大多數操作系統：可以運行標準的網際網路瀏覽器的大多數操作系統都可以用來進行基於Web的遠程訪問，不管操作系統是Windows、Macintosh、UNIX還是 Linux。可以對企業內部網站和Web站點進行全面的訪問。用戶可以非常容易地得到基於企業內部網站的資源，並進行應用。

（4）支持網路驅動器訪問：用戶通過SSL VPN通信可以訪問在網路驅動器上的資源。

（5）良好的安全性：用戶通過基於SSL的Web訪問並不是網路的真實節點，就像IPSec安全協議一樣。而且還可代理訪問公司內部資源。因此，這種方法可以非常安全的，特別是對於外部用戶的訪問。

（6）較強的資源控制能力：基於Web的代理訪問允許公司為遠程訪問用戶進行詳盡的資源訪問控制。

（7）減少費用：為那些簡單遠程訪問用戶（僅需進入公司內部網站或者進行Email通信），基於SSL 的VPN網路可以非常經濟地提供遠程訪問服務。

（8）可以繞過防火牆和代理伺服器進行訪問：基於SSL的遠程訪問方案中，使用NAT（網路地址轉換）服務的遠程用戶或者網際網路代理服務的用戶可以從中受益，因為這種方案可以繞過防火牆和代理伺服器進行訪問公司資源，這是採用基於IPSec安全協議的遠程訪問所很難或者根本做不到的。

2．SSL VPN的主要不足之處

上面介紹SSL VPN技術這么多優勢，那麼為什麼現在不是所有用戶都使用SSL VPN，且據權威調查機構調查顯示目前絕大多部分企業仍採用IPSec VPN呢？SSL VPN的主要不足在哪裡呢？

（1）必須依靠網際網路進行訪問：為了通過基於SSL VPN進行遠程工作，當前必須與網際網路保持連通性。因為此時Web瀏覽器實質上是扮演客戶伺服器的角色，遠程用戶的Web瀏覽器依靠公司的伺服器進行所有進程。正因如此，如果網際網路沒有連通，遠程用戶就不能與總部網路進行連接，只能單獨工作。

（2）對新的或者復雜的Web技術提供有限支持：基於SSL的VPN方案是依賴於反代理技術來訪問公司網路的。因為遠程用戶是從公用網際網路來訪問公司網路的，而公司內部網路信息通常不僅是處於防火牆後面，而且通常是處於沒有內部網IP地址路由表的空間中。反代理的工作就是翻譯出遠程用戶Web瀏覽器的需求，通常使用常見的URL地址重寫方法，例如，內部網站也許使用內部DNS伺服器地址鏈接到其他的內部網鏈接，而URL地址重寫必需完全正確地讀出以上鏈接信息，並且重寫這些URL地址，以便這些鏈接可以通過反代理技術獲得路由，當有需要時，遠程用戶可以輕松地通過點擊路由進入公司內部網路。對於URL地址重寫器完全正確理解所傳輸的網頁結構是極其重要的，只有這樣才可正確顯示重寫後的網頁，並在遠程用戶計算機瀏覽器上進行正確地操作。

（3）只能有限地支持Windows應用或者其它非Web系統：因為大多數基於SSL的VPN都是基Web瀏覽器工作的，遠程用戶不能在Windows,、UNIX、Linux、AS400或者大型系統上進行非基於Web界面的應用。雖然有些SSL提供商已經開始合並終端服務來提供上述非Web應用，但不管如何，目前SSL VPN還未正式提出全面支持，這一技術還有待討論，也可算是一個挑戰。

（4）只能為訪問資源提供有限安全保障：當使用基於SSL協議通過Web瀏覽器進行VPN通信時，對用戶來說外部環境並不是完全安全、可達到無縫連接的。因為SSL VPN只對通信雙方的某個應用通道進行加密，而不是對在通信雙方的主機之間的整個通道進行加密。在通信時，在Web頁面中呈現的文件很難也基本上無法保證只出現類似於上傳的文件和郵件附件等簡單的文件，這樣就很難保證其它文件不被暴露在外部，存在一定的安全隱患

『陸』 通常電子商務信息安全協議有哪些

通常有:1.安全數據交換協議SET,2.安全套接層SSL協議，3.S-HTTP安全超文本傳輸協議,4.iKP。

『柒』 電子商務安全

本書內容分為8章。第1章介紹電子商務安全的基本概念、電子商務安全系統的體系結構及內相關技術；第2章介容紹信息加密技術與應用；第3章介紹計算機網路安全技術，包括防火牆、虛擬專用網、病毒知識等；第4章介紹公鑰基礎設施；第5章介紹電子支付技術；第6章介紹安全套接層協議，包括認證演算法、實現和協議分析等；第7章介紹電子商務安全的SET安全電子交易協議；第8章介紹其他電子商務安全技術，包括無線電子商務安全技術、信息隱藏、數字水印和數字版權。
本書可作為電子商務、信息管理、計算機、國際貿易類專業本科生和研究生的教材，也可以作為相關領域高級管理人員的培訓教材或參考用書。
電子商務安全技術 本書目錄
第1章電子商務安全概論
第2章信息加密技術與應用
第3章計算機網路安全
第4章公鑰基礎設施
第5章電子支付技術
第6章安全套接層協議SSL
第7章安全電子交易協議SET
第8章其他電子商務安全技術
參考文獻

『捌』 電子商務安全協議的定義

伴隨著internet的蓬勃發展，電子商務正以其高效、低成本的優勢，逐步成為新興的經營模式和理念，b2b、b2c等經營模式的不斷優化和成熟更是推動了世界范圍內電子商務的發展。人們己不再滿足於信息瀏覽和發布，而是渴望著能夠享受網路所帶來的更多的便利。為了滿足人們的需求，越來越多的網站投身到提供電子商務服務的行列中來，越來越多的企業開始將自己的業務通過internet的形式直接提供給客戶，一個基於internet的全球電子商務框架正在形成。而移動電子商務不僅具備電子商務快速、靈活、方便等特點，更是以其隨時隨地接入互聯網進行商務活動的隨時性、可移動性，引發其作為信息時代寵兒的「高溫」效應。但是，由於電子商務本身存在的安全問題以及移動設施引發的新的商務安全隱患，使得其安全問題成為「高溫」下的炸彈，直接關繫到移動電子商務模式的運行前景。

移動電子商務雖然誕生於電子商務，但是其通過移動終端上網的特性決定了它存在和普通電子商務不同的安全性。在探討移動安全的特性時，我們首先要考慮的是移動終端本身的安全性。只有當移動電子商務賴以依存的移動終端安全了，才可能進一步談其它的移動安全問題。如今用於上網的移動終端主要有手提電腦、手機、pda等等，保障這些設備本身的安全以及在使用這些設備時遵循安全操作規范進行操作是移動電子商務安全保障的一個前提。當設備安全的前提得以保證後，我們就需要保證移動電子商務在應用中的安全，通常我們需要保障以下的一些安全問題：

1、無線應用軟體效能監控與系統效能管理；
2、審核和檢測針對移動電子商務的存取是否合法或授權；
3、網頁做到安全性認證的整合，以確保資料安全以及人員存取合法
與保密；
4、數字證書或加密管理，實現不可否認性與完整性；
5、wireless lan是否有入侵以及數據包中是否隱藏病毒；
6、wireless網路的效能以及預測失敗或錯誤預警事件；
7、pda等設備在與電腦連接存取時的安全(包括wap、wireless等存取方式)；
8、gateway主機以及所提供的服務加以監控；
9、實網路環境中加強防火牆、入侵偵測和弱點掃描，使企業交易內部的主機得到完全的保護。

這九點中在前面的論述己經提到了一些解決方法，針對移動的特性，可通過vpn來解決移動上網中的安全問題。vpn一一虛擬專用網就是在公用的internet網路上通過隧道協議建立起安全的私有網路。它可以滿足以下三個安全的需要：
1、和你正在通信的人確實是那個你想要通信的人，你可能遇到的安全性問題是，在通信過程中，可能會碰到一個偽裝者。
2、沒有人能偷聽你的通信內容，你的通信信息是保密的。
3、你接收到的通信信息在傳輸過程中沒有被篡改。

這三點用信息的安全術語來說就是第一：認證，確認信息源；第二：信息保密性，傳輸的信息是加密的；第三：數據完整性，確認數據沒有被篡改。只有當我們達到了這三點要求，才有可能保證移動電子商務在交易過程中的安全。
虛擬專用網主要基於以下技術：
1、ipsec，ietf (internet 工程師任務組)制定的ip安全標准；
2、通過認證機構(ca)發放數字證書和進行第二方認證，或使用「共享密鑰認證」用於小規模的安全虛擬專用網；
3、隧道技術，允許公司內部專用ip地址穿越internet。通過這些技術，再集成上pki(公共密鑰體系)就可以說是最完美最嚴密的vpn解決方案了，它通過密鑰管理、安全交換以及隧道協議來實現上述的移動設備的通訊安全。

移動電子商務還有一個顯著的特徵就是一般通過無線上網來進行商務交易。目前所用的無線上網技術主要有:無線應用協議(wap)、移動ip技術、藍牙技術、802.11b協議。無線應用協議是移動電子商務的核心技術之一，通過wap，手機用戶就可以隨時隨地的接入互聯網，真正做到不受時間和地域限制的移動電子商務。移動ip技術通過在網路層改變ip協議，從而實現notebook在網路中的無逢漫遊，進行不間斷的電子商務交易。藍牙技術是一種取代線纜、實現數字空間的無線互聯的一種技術，它可以很方便的和周圍的網路設備進行連接，建立一個基於個人空間的無線網路。

802.11b協議是和藍牙技術類似的一種技術，它實現的功能和藍牙一樣，但是其傳輸協議和傳輸距離都要強於藍牙，它是基於企業的無線網路。這些無線協議本身的安全直接關繫到移動電子商務的安全問題。假如我們使用的是802.11b技術進行移動上網，那麼就等於將無線登陸入口公之於眾，並「鼓勵」所有擁有與之相匹配的網路適配卡的人登錄，這時就需要使用wep(一種資料加密的處理方式)和虛擬專用網共同來保障其安全性。如果使用手機上網，那麼我們就要注意數據傳輸過程中的加密問題，wap手機是無法進行端到端的加密，因此使用的是wap網關來保障數據的保密性。但是wap網關在使用過程中極易被黑客攻破，因此要真正實現安全，我們通常把無線傳輸層協議(wtls)和wap網關配套使用，並針對窄帶通信信道進行優化，從而實現以下的功能：
1、數據完整性:確保終端和應用程序伺服器之間傳送數據的正確性。
2、私有性:確保在終端和應用程序伺服器之間傳送數據的私有性，任何中途試圖截獲數據流的設備均無法破譯。
3、簽權:可以在終端和應用程序伺服器之間建立簽權機制。
4、拒絕服務保護:可以檢測和拒絕那些要求重傳的數據或未成功檢驗的數據。w t l s使許多常見的拒絕服務攻擊更難以實現，從而保護了上層協議。

這樣我們就可以有效的實現人們在使用手機進行電子商務活動時的安全問題了。目前，由於藍牙產品本身的安全性沒有得到很好的解決，其安全機制很薄弱，因此在移動電子商務交易過程中我們建議暫時不使用藍牙產品，待其本身的安全機製得以提高後，那麼藍牙技術在移動電在商務中的運用會逐步增多。

隨著無線通訊技術的發展，移動電子商務也展示出更加亮麗的前景，它創造的是一種「無論何時何地」的新概念。賽博研究機構最近發布的一份題為《中國移動電子商務的現狀及未來發展》專業研究報告稱，基於無線互聯網的移動電子商務(m-commerce)在國內擁有良好的市場前景，其發展將超過電子商務。在這如此熱的領域里，我們還應該清醒的看到移動電子商務中存在的許多安全問題，詳細分析其可能出現的情況並加以解決。只有當我們真正解決了移動電子商務中的安全隱患，排除了這枚炸彈，才可能吸引更多的人使用移動電子商務，才能帶動移動電子商務的飛速發展。

『玖』 電子商務的安全策略包括哪些

一、網路節點的安全

1.防火牆

防火牆是在連接Internet和Intranet保證安全最為有效的方法，防火牆能夠有效地監視網路的通信信息，並記憶通信狀態，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統。

2.防火牆安全策略

應給予特別注意的是，防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合，它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源，這種安全策略應包括：規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施，以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統，而沒有全面的安全策略，那麼防火牆就形同虛設。

3.安全操作系統

防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網，則防火牆失效。所以，要保證防火牆發揮作用，必須保證操作系統的安全。只有在安全操作系統的基礎上，才能充分發揮防火牆的功能。在條件許可的情況下，應考慮將防火牆單獨安裝在硬體設備上。

二、通訊的安全

1.數據通訊

通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全，一定程度上取決於加密的演算法和加密的強度。電子商務系統的數據通信主要存在於：

(1)客戶瀏覽器端與電子商務WEB伺服器端的通訊;

(2)電子商務WEB伺服器與電子商務資料庫伺服器的通訊;

(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。

2.安全鏈路

在客戶端瀏覽器和電子商務WEB伺服器之間採用SSL協議建立安全鏈接，所傳遞的重要信息都是經過加密的，這在一定程度上保證了數據在傳輸過程中的安全。目前採用的是瀏覽器預設的4O位加密強度，也可以考慮將加密強度增加到128位。為在瀏覽器和伺服器之間建立安全機制，SSL首先要求伺服器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征伺服器證書的正確性，必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(RSA)與伺服器協商一個對稱演算法及密鑰，然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。

三、應用程序的安全性

即使正確地配置了訪問控制規則，要滿足計算機系統的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件，特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行，而不是只有有限的指令子集在特權模式下運行，其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源，如一個文件和目錄。不是顯式地設置訪問控制(最少許可)，程序員認為這個預設的許可是正確的。

這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令，特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如，緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。訪問控制系統中沒有什麼可以檢測到這些問題。只有通過監視系統並尋找違反安全策略的行為，才能發現象這些問題一樣的錯誤。

四、用戶的認證管理

1.身份認證

電子商務企業用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份，IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能，所以只採用ID號和密碼口令的身份確認機制。

2.CA證書

要在網上確認交易各方的身份以及保證交易的不可否認性，需要一份數字證書進行驗證，這份數字證書就是CA證書，它由認證授權中心(CA中心)發行。CA中心一般是社會公認的可靠組織，它對個人、組織進行審核後，為其發放數字證書，證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。

五、安全管理

為了確保系統的安全性，除了採用上述技術手段外，還必須建立嚴格的內部安全機制。

對於所有接觸系統的人員，按其職責設定其訪問系統的最小許可權。

按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法佔用、冒用合法用戶帳號和密碼。

建立網路安全維護日誌，記錄與安全性相關的信息及事件，有情況出現時便於跟蹤查詢。定期檢查日誌，以便及時發現潛在的安全威脅。

對於重要數據要及時進行備份，且對資料庫中存放的數據，資料庫系統應視其重要性提供不同級別的數據加密。

安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。