㈠ 電子商務的安全保密技術包括哪些方面
電子商務的安全保密技術包括以下幾方面:
1、數字簽名技術、
2、認證技術、
3、密鑰管理技術、
4、網路安全技術,
5、安全協議和PKI技術,
6、移動商務安全技術
㈡ 簡述電子商務安全性的要求
從安全和信任關系來看,在傳統交易過程中,買賣雙方是面對面的版,因此很容易保證交易權過 程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網路來聯系的,彼此遠 隔千山萬水,由於英特網既不安全,也不可信,因而建立交易雙方的安全和信任關系相當困 難。電子商務交易雙方(銷售者和消費者)都面臨不同的安全威脅。
㈢ 提高電子商務安全性的手段是什麼
一、什麼是電子商務
電子商務一詞源於英文Electronic Commerce,簡寫為EC,指的是利用簡單、快捷、低成本的電子通信方式,買賣雙方不謀面地進行各種商貿活動。電子商務可以利用的電子通信方式有多種,目前主要是以EDI和Internet來完成的。隨著Internet網路的日益發展,電子商務真正的發展將是建立在Internet技術上的,所以也有人把電子商務簡稱為IC(Internet Commerce)。
從貿易活動的角度也可以將電子商務分為兩個層次,低層次的電子商務包括電子商情、電子貿易、電子合同等;高級的電子商務應能利用Internet網路進行全部的貿易活動,在網上完整地實現信息流、商流、資金流和部分物流,即從尋找客戶開始,一直到洽談、訂貨、在線付(收)款、開具電子發票以至電子報關、電子納稅等都通過Internet來完成。要實現完整的電子商務還會涉及到很多方面,除了買家、賣家外,還要有銀行或金融機構、政府機構、認證機構、配送中心等機構的加入才行。由於參與電子商務中的各方在物理上是互不謀面的,因此整個電子商務過程中安全機制在電子商務中發揮著重要的作用。
二、實現電子商務必備的安全因素
從總體上來看,電子商務系統是三層框架結構,底層是網路平台,也就是信息傳送的載體和用戶接入的手段,它包括各種各樣的物理傳送平台和傳送方式;中間層是電子商務基礎平台,包括CA(Certificate Authority)認證體系。支付網關(Payment Gateway)和客戶服務中心等三個部分,其核心是CA認證;第三層就是各種各樣的電子商務應用系統。其中,電子商務基礎平台是各種電子商務應用系統的基礎。
電子商務系統對信息安全的要求主要包括以下六個方面。
①信息的保密性:電子商務系統應該對主要信息進行加密處理,防止對信息的非法操作(包括對信息的非法存取以及非法竊取傳輸過程中的信息等),以避免非法用戶獲取和解讀原始數據。
②數據的可靠性:電子商務以電子形式取代紙張,所以應當採取一定的措施來保證電子貿易信息的有效。需要對網路故障、操作錯誤、應用程序錯誤、硬體故障、系統軟體錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。
③數據的完整性:在數據處理過程中,數據輸入時的意外差錯或欺詐行為可能導致貿易各方信息的差異。此外,數據傳輸過程中的信息丟失、信息重復或信息傳送次序差異也會導致貿易各方信息的不同。因此,要預防對信息的隨意改動,還要防止數據傳輸過程中信息的丟失和重復並保證信息傳送次序的統一。所以,電子商務系統應該提供對數據進行完整性驗證的手段,確保能夠發現數據在傳輸過程中是否被改變了。
④用戶身份的鑒別:電子商務系統應該提供通信雙方進行身份鑒別的機制。一般可以通過數字簽名和數字證書相結合的方式實現用戶身份的鑒別。數字證書應該由可靠的證書認證機構簽發,簽發證書時應對申請用戶提供的身份信息進行真實性驗證。
⑤數據原發者的不可抵賴性:電子商務系統應該具備數據原發者的不可抵賴機制,確定要進行交易的貿易方正是所期望的貿易方。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。
⑥合法用戶的安全性:合法用戶的安全性是指合法用戶的權利不受危害或侵犯,電子商務系統和電子商務的安全管理體系應該實現系統對用戶身份的有效確認、對私有密鑰和口令的有效保護、對非法攻擊的有效防範等,以保障合法用戶的安全性。
三、安全電子交易的協議
目前的安全電子交易協議主要有兩種,即安全套接層(SSL)協議和安全電子交易(SET)協議。
1.SSL協議
SSL協議由Netscape Communication公司設計開發,主要用於提高應用程序之間數據的安全性。該安全協議主要提供對用戶和伺服器的認證;對傳送的數據進行加密和隱藏;確保數據在傳送中不被改變。它能使客戶一伺服器應用之間的通信不被攻擊者竊聽。
(1) SSL協議的特性
SSL提供了兩台機器間的安全連接。支付系統通過在SSL連接上傳輸信用卡卡號的方式來構建,在線銀行和其他金融系統也常常構建在SSL之上。大部分Web瀏覽器和Web伺服器都內置了SSL協議,比較容易應用。SSL協議建立在可靠的傳輸層協議(如TCP)之上,與應用層協議無關。它在應用層協議通信之前就已經完成加密演算法、通信密鑰的協商以及伺服器認證工作。高層的應用層協議(如HTTP,FTP,TELNET等)可以透明地建立於SSL協議之上。應用層協議所傳送的數據都會被加密,從而保證通信的私密性。SSL協議提供的安全信道有以下三種特性:
私密性:在握手協議定義了會話密鑰後,所有的消息都被加密。
確認性:盡管會話的客戶端認證是可選的,但是伺服器端始終是被認證的。
可靠性:傳送的消息包括消息完整性檢查。
(2)SSL協議規范
SSL協議由SSL記錄協議和SSL握手協議兩部分組成。
①SSL記錄協議
在SSL協議中,所有的傳輸數據都被封裝在記錄中。記錄是由記錄頭和記錄數據組成的。所有的SSL通信包括握手消息、安全空白記錄和應用數據都使用SSL記錄層。
②SSL握手協議
SSL握手協議包含兩個階段,第一個階段用於建立私密性通信信道,第二個階段用於客戶認證。
第一階段是通信的初始化階段,首先SSL要求伺服器向瀏覽器出示證書。證書包含有一個公鑰,這個公鑰是由一家可信證書授權機構簽發的。通過內置的一些基礎公共密鑰,客戶的瀏覽器可以判斷伺服器證書正確與否。然後,瀏覽器中的SSL軟體發給伺服器一個隨機產生的傳輸密鑰,此密鑰由已驗證過的公鑰加密。由於傳輸密鑰只能由對應的私有密鑰來解密,這證實了該伺服器屬於一個認證過的公司。隨機產生的傳輸密鑰是核心機密,只有客戶的瀏覽器和此公司的Web伺服器知道這個數字序列。這個兩方共享密鑰的密文可以通過瀏覽器安全地抵達Web伺服器,Internet上的其他人無法解開它。
第二階段的主要任務是對客戶進行認證,此時伺服器已經被認證了。伺服器方向客戶發出認證請求消息。客戶收到伺服器方的認證請求消息後,發出自己的證書,並且監聽對方回送的認證結果。而當伺服器收到客戶的證書後,給客戶回送認證成功消息,否則返回錯誤消息。到此為止,握手協議全部結束。
③SSL交易過程
在接下來的通信中,SSL採用該密鑰來保證數據的保密性和完整性。這就是SSL提供的安全連接。這時客戶需要確認訂購並輸入信用卡號碼。SSL保證信用卡號碼以及其他信息只會被此公司獲取。客戶還可以列印屏幕上顯示的已經被授權的訂單,這樣就可以得到這次交易的書面證據。大多數在線商店在得到客戶的信用卡號碼後出示收到的憑據,這是客戶已付款的有效證據。至此,一個完整的SSL交易過程結束。
但是,SSL提供的保密連接有根大的漏洞。SSL除了傳輸過程以外不能提供任何安全保證,SSL並不能使客戶確信此公司接收信用卡支付是得到授權的。在Internet上,經常會出現一些陌生的店鋪,正因如此,網上商店發生欺詐行為的可能性要比街頭店鋪大得多。進一步說,即使是一個誠實的網上商店,在收到客戶的信用卡號碼後如果沒有採用好的方法保證其安全性,那麼信用卡號也很容易被黑客通過商家伺服器竊取。
2.SET協議
SET是由Visa和MasterCard兩大信用卡組織聯合開發的電子商務安全協議。它是一種基於消息流的協議,用來保證公共網路上銀行卡支付交易的安全性,因而成為Internet上進行在線交易的電子付款系統規范。目前SET協議已在國際上被大量實驗性地使用並經受了考驗,成了事實上的工業標准。
SET是一個復雜的協議,它詳細而准確地反映了卡交易各方之間的各種關系。事實上,SET不只是一個技術方面的協議,它還說明了每一方所持有的數字證書的合法含義,希望得到數字證書以及響應信息的各方應有的動作,與一筆交易緊密相關的責任分擔。SET是一個基於可信的第三方認證中心的方案,它要實現的主要目標有下列三個方面。
①保障付款安全:確保付款資料的隱密性及完整性,提供持卡人、特約商店、收單銀行的認證,並定義安全服務所需要的演算法及相關協定。
②確定應用的互通性:提供一個開放式的標准。明確定義細節,以確保不同廠商開發的應用程序可共同運作,促成軟體互通;在現存各種標准下構建協定,允許在任何軟硬體平台上執行,使標准達到相容性與接受性目標。
③達到全球市場的接受性:在容易使用與對特約商店、持卡人影響最小的前提下,達到全球普遍性。允許在目前使用者的應用軟體下,嵌入付款協定的執行,對收單銀行與特約商店、持卡人與發卡銀行間的關系,以及信用卡組織的基礎構架改變最少。
SET主要用於消費者與商店、商店與收單銀行(付款銀行)之間。其運作方式:簡述如下:
SET的簡易流程
①在消費者與特約商店之間,由持卡人在消費前先確認商店的合法性,由商店出示它的證書。
②持卡人確認後即可下訂單,其訂單經消費者以數字簽名方式確認,而消費者所提供的信用卡資料則另由收單銀行以公鑰予以加密。這里,特約商店會收到兩個經過加密的資料,其中一個是訂單資料,另一個是關於支付的資料;按規定特約商店可以解密前者,但無法解密後者,以避免特約商店搜集或濫用持卡人消費資料。
③特約商店將客戶的資料連同自己的SET證書發給收單銀行,向銀行請求交易授權及授權回復。收單銀行同時檢驗兩個證書以確定是否為合法的持卡人及特約商店。所以,收單銀行由支付網關來解密,核對資料無誤後,再連接到傳統的網路(比如Visa或MasterCard)進行交易授權及清算。
④授權確認後由特約商店向消費者再行確認訂單,交易完成。
⑤特約商店基於該授權向收單銀行提出請款的要求。
⑥支付網關通知持卡人開戶行向商家開戶行付款。
可以看到,在這個過程中,CA扮演了系統的很重要的角色。SET標准著重的是其交易安全及隱密性。其中,數字證書為其核心,它提供了簡單的方法來確保進行電子交易的人們能夠互相信任。信用卡組織提供數字證書給發卡銀行,然後發卡銀行再提供證書給持卡人;同時,信用卡組織也提供數字證書給收單銀行,然後收單銀行再將證書發給特約商店。在進行交易的時候,持卡人和特約商店符合SET的規格軟體會在資料交換前分別確認雙方的身份,也就是檢查由授權的第三者所發給的證書。在SET協定中,有持卡人證書、特約商店證書、支付網關證書、收單銀行證書和發卡銀行證書等五種證書。
持卡人的證書必須由發卡銀行來頒發。在首次上網購物之前,持卡人必須先通過一個客戶端程序將包括姓名、卡號、卡片有效期、郵寄地址等可以證明持卡人身份的基本資料發給發卡銀行。這些資料使用銀行的公鑰加密,可安全地送至銀行。發卡銀行確認此帳戶正確無誤後,便發給持卡人一張具有電子安全數字簽章的證書。持卡人只要將證書儲存在電腦上,即可進行電子購物。同樣,商店也必須取得收單銀行的電子證書才可以接收SET方式的支付。商店要將它的基本資料發送給收單銀行,收單銀行在確認無誤後發出一張數字證書,允許它從事電子交易。
3.SSL和SET協議的比較
事實上,SET和SSL除了都採用RSA公鑰演算法以外,二者在其他技術方面沒有任何相似之處。而RSA在二者中也被用來實現不同的安全目標。SET是一個多方的報文協議,它定義了銀行、商家、持卡人之間必需的報文規范,與此同時SSL只是簡單地在兩方之間建立了安全連接。SSL是面向連接的,而SET允許各方之間的報文交換不是實時的。SET報文能夠在銀行內部網或者其他網路上傳輸,而SSL之上的卡支付系統只能與Web瀏覽器捆綁在一起。SET與SSL相比具有如下優點:
①SET為商家提供了保護自己的手段,使商家免受欺詐的困擾,使商家的運營成本降低。
②對消費者而言,SET保證了商家的合法性,並且用戶的信用卡號不會被竊取,SET替消費者保守了更多的秘密使其在線購物更加輕松。
③銀行和發卡機構以及各種信用卡組織來說,因為SET可以幫助它們將業務擴展到Internet這個廣闊的空間,從而使得信用卡網上支付具有更低的欺騙概率,這使得它比其他支付方式具有更大的競爭力。
④SET對於參與交易的各方定義了互操作介面,一個系統可以由不同廠商的產品構築。
提供這些功能的前提是:SET要求在銀行網路、商家伺服器、顧客的PC上安裝相應的軟體。這些阻止了SET的廣泛發展。另外,SET還要求必須向各方發放證書,這也成為阻礙之一。所有這些使得SET要比SSL昂貴得多。SET的另外一個優點在於:它可以用在系統的一部分。例如,一些商家正在考慮在與銀行連接中使用SET,而與顧客連接時仍然使用SSL。這種方案既迴避了在顧客機器上安裝錢夾軟體;同時又獲得了SET提供的很多優點。在SET中,交易憑證中有客戶的簽名,銀行就會有客戶曾經購物的證據。提供這種能力的特性在密碼學中稱之為認可。它所提供的可靠性的前提是客戶必須保證私人簽字密鑰的安全。
綜上所述,在電子商務過程中,採用何種安全電子交易的協議是非常重要的,既要考慮安全性問題也要考慮實現過程的復雜程度和建設網站的成本。因此,發展電子商務需要根據實際情況,在保證安全的前提下節省成本,以促進我國的網路貿易的快速發展。
㈣ 電子商務安全是什麼
電子商務主要的安全要素
(1)有效性
EC以電子形式取代了紙張,那麼如何保證這種電子形式的貿易信息的有效性則是開展E的前提。EC作為貿易的一種形式,其信息的有效性將直接關繫到個人、企業或國家的經濟利益和聲譽。因此,要對網路故障、操作錯誤、應用程序錯誤、硬體故障、系統軟體錯誤及計算機病毒所產生的潛在威脅加以控制和預防,以保證貿易數據在確定的時刻、確定的地點是有效的。
(2)機密性
EC作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。EC是建立在一個較為開放的網路環境上的(尤其Internet是更為開放的網路),維護商業機密是EC全面推廣應用的重要保障。因此,要預防非法的信息存取和信息在傳輸過程中被非法竊取。
(3)完整性
EC簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業信息的完整、統一的問題。由於數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。貿易各方信息的完整性將影響到貿易各方的交易和經營策略,保持貿易各方信息的完整性是EC應用的基礎。因此,要預防對信息的隨意生成、修改和刪除,同時要防止數據傳送過程中信息的丟失和重復並保證信息傳送次序的統一。
㈤ 什麼是電子商務運營過程中的機密性
零售電商通過技術手段找到某一類最大的需求,通過流量規則、服務、商業模式等制定平台調性最大的滿足這部分需求,與此同時滿足最大需求的同時或將不能兼顧另一端的需求,比如消費升級就不能兼顧高性價比等,當某一需求通過技術手段可以高效率實現時,可能會誕生出新的平台,如演算法推薦的電商平台、直播電商,沖擊傳統的電商平台
㈥ 畫圖說明如何保證電子商務的保密性、完整性、不可抵賴性和身份的確定性
電子商務使用各種電子手段實現價值的業務活動主要是依靠網路,特別是互聯網,它已經成為一個主要的互聯網應用模式是一個必然的趨勢和金融和業務。建立一個安全的電子商務應用環境,並提供足夠的保護信息已經成為一個電子商務必須面對的一個問題。
重要的的電子商務技術特點是利用網路傳輸和處理商業信息,因此,電子商業安全主要包括兩個方面:網路安全和業務安全以及執行這些安全依靠一些具體的安全技術,遵守安全協議。
1網路安全問題
網路安全主要是指計算機和網路安全可能存在的問題,那就是要保護電子商務平台的可用性和安全性的網路安全是電子商務的基礎,問題的表現通常是:
1.1計算機網路安全問題帶來了潛在的安全隱患
電腦配置的操作系統還沒有涉及到網路安全,不管是什麼操作系統,就會存在一定的安全在默認安裝條件的問題,但只有操作系統安裝後,默認情況下,再配上一個長的密碼安全的想法是不可靠的,因為電腦軟體的漏洞和「後門」往往是網路攻擊的首選目標。
1.2入侵者風險降低的問題引起的網路安全,由於網路的全球性,開放性,共享發展,使任何人都可以自由訪問互聯網,其中還包括一名黑客,入侵者和病毒製造者的利潤增加刺激。他們的攻擊方法也越來越威脅到電子商務正變得越來越明顯。相對來說,攻擊的風險是非常小的,甚至是攻擊後消失得無影無蹤,使對方幾乎沒有實現的可能性報復他們的活動更加猖獗。 「雅虎」,「亞馬遜」曾受到攻擊的事件說明了這一點。 > 1.3安全設備所造成的不當使用網路安全問題
雖然絕大多數與網路安全設備的網站,有的甚至花費巨資,但由於安全設備因素或使用這些設備並沒有發揮應有的或預期。許多安全廠商的產品人員的技術背景要求很高,往往超出一般的網路管理人員,甚至是製造商最初做正確安裝到用戶的技術要求,配置,一旦系統的變化,需要改變的設置與安全有關的設備,很容易產生大量的安全問題。通常意義上的網路管理人員往往不能夠進行這樣的工作。
因此,在實施網路安全預防措施應做到:第一,加強主機本身的安全性,做好安全配置,及時安裝安全補丁,以減少漏洞;安裝防殺毒軟體和軟體防火牆,整體防病毒措施,加強內部網路使用的各種系統漏洞檢測軟體定期對網路系統的掃描分析,找出可能的安全隱患,並及時修復,建立和提高各級從路由器到用戶的訪問控制措施,安裝防火牆,加強授權管理和認證,相應的數據存儲技術,提高了數據備份和恢復措施;敏感的設備和數據,以建立必要的物理或邏輯隔離措施;一定強度的數據加密要在公共網路上傳輸的敏感信息;創建一個詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊的同時,充分利用相關交易安全和計算機安全法法規已經公布的電子商務交易保駕護航。此外,在面對一般的網路管理員的技術水平,可以用於聯合開發和維護的網路建設和維護,不斷提高和完善自己的球隊的技術水平經過前期的建設和維護,使其成長逐漸對網路安全主管
網路管理員的高度重視意識形態安全問題是十分必要的技術階段的一代人的需求具有一定的滯後,並建立和實施了嚴格的和全面的網路安全系統和戰略往往可以暫時無法實現的技術取代,畢竟,這才是真正的網路安全的基礎。
通常包含了全方位的計算機網路安全體系結構的網路,訪問控制,安全,系統安全,用戶安全,信息加密,安全傳輸和管理安全的物理安全性。這一切的實現依賴於各種各樣的國家的最先進的計算機安全技術,身份認證,訪問控制,加密技術,防火牆技術,安全審計技術,安全管理,系統漏洞檢測技術,黑客跟蹤技術與安全核心系統,VPN安全隧道,身份認證,網路底層數據加密和網路入侵主動安全技術越來越先進和復雜,從不同的層面加強計算機網路的整體安全性,多渠道的嚴密的保安監視應用程序逐步建立防禦之間的攻擊和保護資源,增加的難度惡意入侵
為了確保電子商務活動的順利進行,必須提高網路系統的安全性提供了穩定可靠的,強大的支持。
2業務的安全問題
企業安全業務交易體現在網路媒體的安全問題,也就是實現電子商務的保密性信息,完整性,真實性和不可抵賴性。
在早期的電子盤交易中,使用了一些簡單的安全措施,如在網上交易最關鍵的數據,如信用卡號碼通過電話告知,以防止泄漏,網上交易量和交易額,然後確認交易等方式來確保其真實性和不可抵賴性。該方法不僅容易操縱,並有一定的局限性,無法實現真正的安全。
2.1企業安全中普遍存在一些安全風險
2.1.1竊取信息
在傳輸過程中不使用加密或加密強度是不夠的,純文本或幾乎明文傳輸的數據信息在網路上。入侵者通過移動設備或線截取法截取傳送的信息的數據包,通過比較,發現它們的格式和竊取的數據參數的分析規則,然後發送的信息的內容,導致泄漏貿易秘密的消費支出,帳戶密碼和其他信息。
2.1.2篡改信息
當入侵者掌握了信息的格式和規則,信息網路傳播截獲,然後發送到原先指定的目的地,通過各種技術方法和手段,從而破壞了信息的真實性。入侵者通過信息流的順序改變,改變的信息內容,刪除一些信息,甚至插入一些額外的信息,使接收方做出錯誤的判斷和決策。進一步
2.1.3信息假冒
掌握的數據和信息可以被篡改的格式由攻擊者可以冒充合法用戶訪問和發送消息,遠程收件人或發件人通常不容易區分的常見的方式偽造用戶和企業訂單接收到的文件,或程序的許可權。
2.1.4破壞
攻擊者已經侵入網路,已收到的許可權的信息在網路上,現在網路有機地甚至刪除其後果是非常嚴重的。
2.2業務安全要求
2.2.1業務信息的交易信息的保密性,需要遵循一定的保密規則,因為它的信息往往代表著國家,企業和個人的商業秘密。郵寄包或通過可靠的通信渠道發送商業信息,以達到保密的目的和要求,在傳統的基於紙張的貿易和電子商務的一個更為開放的互聯網環境,它是依靠網路本身形成基於開放的互聯網市場,它獲得了電子商務在這個新環境的支持,勢必將使用相應的技術和手段,擴大和改善信息的保密性。一般使用加密技術來實現的。
2.2.2信息的完整性
不可否認電子商務的出現到計算機,而不是最復雜的勞動在各個方面對企業的貿易,開放網路的形式,簡單的集成信息系統和自動化處理信息,如何保持各方的貿易信息誠信,團結,有一個問題,由於在數據輸入的偶然誤差(如電腦機,斷電等情況自動處理),可能會導致到貿易各方的信息不一致。此外,數據傳輸過程中人為或自然損耗的信息(如丟包),重復信息或信息傳播秩序差(如網路擁塞重發)可能會導致不同的交易方和誠信的貿易各種當事人之間的信息勢必會影響到交易的過程中,和業務戰略。保持雙方的貿易信息的完整性是電子商務的方式來獲得應用程序必須完整的基礎,一般通過提取信息消息摘要
2.2.3信息將出現在交易的不可抵賴性交易抵賴現象,如發件人發送操作完成後,否認如何確定誰發送消息,或反之亦然,接受接收到的信息是不承認已收到的新聞文章。收到任何在交易過程中交易信息在交易各方是他們的合作夥伴之一,對方是不是假的,和諧的保證成功的電子商務活動。信息可以保證數字簽名的郵件發送到獲得一般用來確定身份證書機構CA證書。我們不知道,遠在千里之外,使他們成為合作夥伴,畢竟不是一件容易的事情。
當然,在電子商務的發展,必然會出現的電子商務活動以及眾多的要求,如在簽署協議後的交易信息定義的老齡化,是否和相信電子商務技術和法律來規范人們的需求,並幫助他們實現,以確保的電子商務交易和公平的嚴重性。
電子商務安全技術
加密技術的一個重要手段,確保電子商務,電子商務的安全性,以確保安全使用加密技術的3.1加密技術敏感信息的加密,保證
3.1.1加密技術狀態
許多IT技術,加密技術層出不窮,為人們提供了很多電子商務的保密性,完整性,真實性和不可抵賴性服務。的選擇,但同時也帶來了一個問題 - 兼容性,不同的企業可能使用不同的標准。
另外,加密技術一直由國家控制的,如SSL出口美國的限制,美國國家安全局(NSA),美國的企業一般可以使用128位SSL,但只允許加密出口40以下演算法的關鍵。而40位的SSL加密強度,但它的安全系數明顯低於128位SSL很多美國以外的國家,是難以真正充分利用SSL在電子商務中,這不能不說是一個遺憾。目前,中國的上海電子商務安全證書管理中心的128位SSL演算法來彌補空缺,在全國,也帶來了廣闊的前景,為中國的電子商務的安全。
3.1.2常用的加密技術/>對稱密鑰的加密演算法:對稱密碼系統,而不是從傳統的簡單的換位密碼演變的加密模式序列和塊密碼可以分為兩大類。
非對稱加密演算法:也被稱為公鑰演算法,其特點是兩個關鍵的公鑰和私鑰,兩人必須成對使用,以完成整個過程的加密和解密的技術,特別適用於加密數據在分布式系統中被廣泛使用在網路中的公眾。公共密鑰,用於加密的數據作為數據源,並接受相應的私鑰解密數據託管。
不可逆的加密演算法:加密過程不需要密鑰和加密數據無法解密,只有輸入相同的數據在同一可逆加密演算法的比較,得到相同的加密數據。 ,因為它不具有一個鍵,所以沒有密鑰的保管和分配方面的問題,但由於其加密計算工作量,比通常僅在有限數量的數據,如在計算機系統中的密碼信息進行加密的情況下。
3.1.3電子商務的常用加密技術
數字摘要:也被稱為安全散列編碼方法的編碼方法使用單向散列函數將被加密的明文「摘要」成一串128bit的密文的密文,該字元串也被稱為數字指紋,具有固定的長度,並明確表示其結果密文的摘要是不一樣的,相同的明文其摘要一致。
數字簽名:數字簽名是數字摘要,公用密鑰演算法兩種加密方法結合起來使用,它是數據包的發送方從報文文本生成一個128位的散列值(消息摘要)的數字簽名作為報文的附件和報文的發送方用自己的私鑰對這個散列值進行加密來形成發送方的數字簽名,然後一起發送給收件人的第一個數據包都有一個128位的散列值的數據包的接收者從接收到的原始數據包(或消息摘要),然後使用發送方的公共密鑰來解密該數字簽名的報文附加的計算,如果兩個散列值是相同的,那麼接收方將能夠確認該數字簽名的寄件人可實現對原始報文的認證和不可抵賴性的數字簽名,有效地防止了拒絕簽名,以及非正當簽名者假冒
數字時間戳:在交易時所採取的安全措施文件由專門的機構提供的在線安全服務。時間戳的證書加密的文檔,其中包括:形成該文件的摘要需要添加一個時間戳,數字的時間標記的服務接收的數字簽名,該文件的日期和時間,數字時間戳服務的
數字證書:數字證書,也被稱為數字證書來確認用戶的身份和對網路資源的訪問,通過電子手段,主要是個人證書,企業證書(伺服器),軟體(開發者)憑證。
3.2認證技術在網路上通過的權威性和公正性的第三方 - 認證中心,應用程序用戶的身份信息(如姓名,身份證號等)捆綁他的公鑰一起上驗證
網路以確定用戶的身份。數字時間戳服務和前面提到的發行數字證書認證中心,也通過。
3.3支付網關技術支付網關,通常位於公眾之間的網路和傳統的銀行網路(或終端之間的收費系統),其主要功能:對數據包解密來自公眾網路,並在按照與銀行系統,內部通訊協議的數據重新打包,銀行體系內的接收傳回的響應消息,將數據轉換成公共網路傳輸的數據格式,和完整的通信,協議轉換和數據加密加密解密功能的支付網關技術,保護銀行的內部網路之外,支付網關還具有一鍵保護和證書管理,和其他功能(一些內部網關還支持存儲和列印數據擴展)。
電子商務安全協議技術
SSL協議4.1 SSL(安全套接層協議)也稱為安全套接字層協議,面向連接的協議,現在使用的主要協議之一但首先,我不是專為電子商務的協議,使用公開密鑰體制和X.509數字證書技術保護信息傳輸的SSL協議來發送和接收數據在應用層的談判前的保密性和完整性到應用層的加密演算法,連接密鑰和認證通信雙方,由於其獨立性,從應用層協議提供了一種安全的傳輸通道,往往在電子交易通道上的透明載入任何級別的應用程序協議(如HTTP ,FTP,Telnet等),以確保在應用層的數據傳輸的安全性。可用於以固定傳送信用卡號碼,但因為它是一個面向連接的協議,只適合點 - 到 - 點之間轉讓信息,它可以只提供認證的雙方不能滿足今天的主流中驗證方三方合作的商業模式,因此確保信息的不可抵賴性是有缺陷的。
4.2 SET協議(安全電子交易)
SET協議也稱為安全電子交易,電子交易,基於信用卡的應用規則來實現安全的措施相比,SSL協議,並做了一些改進。業務的安全問題常常為他們在交易中的交易信息保密,並不會被竊取,持卡人希望企業要真實有效的客戶訂單,並在交易過程中,交易雙方都希望的身份驗證為了防止被騙鑒於這種情況,對方Visa和MasterCard兩大信用卡組織,以及微軟等公司共同開發的SET協議,誰也不能保證安全資金支付的技術標准,通過一個開放的網路(包括互聯網),它採用公鑰密碼體制和X.509數字證書標准,主要用於保護網上購物的安全性信息。消費由於SET認證,商家和銀行來彌補缺乏SSL以確保交易數據的安全性,完整性,可靠性和交易的不可抵賴性,尤其是確保消費者銀行卡號暴露給商家的優點,因此它已成為舉世公認的信用卡/借記卡網上交易的國際安全標准。
另外安全超文本傳輸協議(SHTTP)和安全交易技術協議(STT)。電子商務協議規范。
5結束語
安全是電子商務的心臟和靈魂。電子商務網路安全和業務安全,網路安全和業務安全性的雙重要求是分不開的計算機網路安全作為基礎的商業交易的安全性,如空中樓閣,出了問題,業務安全,即使電腦網路本身再安全,仍然無法達到電子商務的具體的安全要求和電子商務技術和各種協議是可以實現的安全保證。
㈦ 電子商務安全包括哪些方面
在正確看待電子商務的安全問題時,有幾個觀念值得注意:
其一,安全是一個系統的概念。安全問題不僅僅是個技術性的問題,不僅僅只涉及到技術,更重要的還有管理,而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二,安全是相對的。房子的窗戶上只有一塊玻璃,一般說來這已經很安全,但是如果非要用石頭去砸,那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性,因為大家都有一個普遍的認識:玻璃是不能砸的,有了窗玻璃就可以保證房子的安全。同樣,不要追求一個永遠也攻不破的安全技術,安全與管理始終是聯系在一起的。也就是說安全是相對的,而不是絕對的,如果要想以後的網站永遠不受攻擊,不出安全問題是很難的,我們要正確認識這個問題。
其三,安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C,都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價,如果能考慮到安全速度就得慢一點,把安全性保障得更好一些,當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題,對安全的要求就低一些;如果牽涉到支付問題對安全的要求就要高一些,所以安全是有成本和代價的。...在正確看待電子商務的安全問題時,有幾個觀念值得注意:
其一,安全是一個系統的概念。安全問題不僅僅是個技術性的問題,不僅僅只涉及到技術,更重要的還有管理,而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二,安全是相對的。房子的窗戶上只有一塊玻璃,一般說來這已經很安全,但是如果非要用石頭去砸,那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性,因為大家都有一個普遍的認識:玻璃是不能砸的,有了窗玻璃就可以保證房子的安全。同樣,不要追求一個永遠也攻不破的安全技術,安全與管理始終是聯系在一起的。也就是說安全是相對的,而不是絕對的,如果要想以後的網站永遠不受攻擊,不出安全問題是很難的,我們要正確認識這個問題。
其三,安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C,都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價,如果能考慮到安全速度就得慢一點,把安全性保障得更好一些,當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題,對安全的要求就低一些;如果牽涉到支付問題對安全的要求就要高一些,所以安全是有成本和代價的。作為一個經營者,應該綜合考慮這些因素;作為安全技術的提供者,在研發技術時也要考慮到這些因素。
其四,安全是發展的、動態的。今天安全明天就不一定很安全,因為網路的攻防是此消彼長、道高一尺、魔高一丈的事情,尤其是安全技術,它的敏感性、競爭性以及對抗性都是很強的,這就需要不斷地檢查、評估和調整相應的安全策略。沒有一勞永逸的安全,也沒有一蹴而就的安全。
㈧ 電子商務安全要素有哪些
電子商務安全要素有以下四點:
1、有效性、真實性
有效性、真實性是指能對信息、實體的有效性。真實性進行鑒別,電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關繫到個人、企業和國家的經濟利益和聲譽。如何保證這種電子貿易信息的有效性和真實性成了經營電子商務的前提。
2、機密性
機密性是指保證信息不會泄漏給非授權人或實體電子商務作為一種貿易手段,其信息是個人、企業或國家的商業機密。網路交易必須保證發送者和接受者之間交換信息的保密性,而電子商務建立在一個較為開放的網路環境上,商業保密就成為電子商務全面推廣應用的重點保護對象。
3、數據的完整性
數據的完整性要求防止數據非授權的輸入、修改、刪除或破壞,保證數據的一致性信息的完整性將影響到貿易各方的交易和經營策略,保持這種完整性是電子商務應用的基礎,數據輸入時的意外差錯或欺詐行為可能導致貿易各方信息的差異。數據傳輸過程中的信息丟失、信息重發或信息傳送次序的差異也會導致貿易各方信息不相同。
4、可靠性、不可抵賴性
可靠性是要求保證合法用戶對信息和資源的使用不會遭到不正當的拒絕;不可抵賴性是要求建立有效的責任機制,防止實體否認其行為在互聯網上每個人都是匿名的,原發方字發送數據後不能抵賴;接收方在接收數據後也不能抵賴。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已經不可能。
㈨ 如何保障電子商務的安全
一、提高服務的安全性
首先,應用防火牆技術。所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合。防火牆是近期發展起來的一種保護計算機網路安全的技術性措施,它是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型:包過濾防火牆、代理防火牆、雙穴主機防火牆。其次,應用網關技術。應用級網關是在網路應用層上建立協議過濾和轉發功能。它針對特定的網路應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、登記和統計,形成報告。應用網關對某些易於登錄和控制所有輸入輸出的通訊環境給予嚴格的控制,以防有價值的程序和數據被竊取。
二、數據加密技術
加密技術和身份認證技術是電子商務交易安全的基礎技術,加密技術用於對信息的加密,保證信息的機密性。數字簽名和數字信封技術應用了加密技術,建立在公共密鑰體制基礎上。數字簽名技術對信息進行數字簽名,保證信息的完整性和不可抵賴性。由於交易信息在傳輸過程中有可能遭到侵犯者的竊聽而失去機密性,加密技術是電子商務採取的主要保密安全措施,是最常用的保密安全手段。加密技術也就是利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地後再用相同或不同的手段還原(解密)。加密包括兩個元素:演算法和密鑰。密鑰和演算法對加密同等重要。密鑰加密技術的密碼體制分為對稱密鑰體制和公共密鑰體制兩種。相應地,對數據加密的技術分為兩類,即對稱加密和非對稱加密。對稱加密以數據加密標准演算法為典型代表,非對稱加密通常以演算法為代表。如果不採用加密技術,則會影響電子商務的發展,或者成為發展的瓶頸。
三、完善管理機制
安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。電子商務的安全運行必須從多方面入手,僅在技術角度防範是遠遠不夠的。安全方案的實施,離不開管理。信息安全意識的加強和培育是實現安全管理的必備條件。它的基本原則是:要求發生在系統中的行為都是有許可權的行為,並且符合程序控制的要求。從管理上完善機制,加強其有效性,往往可以解決許多技術層次解決不了的問題。