1. 信息安全協議有哪些<<信息安全概論>>
1.IPSec
IPSec 是Internet Protocol Security的縮寫,它是設計為IPv4和IPv6協議提供基於加密安全的協議,它使用AH和ESP協議來實現其安全,使用 ISAKMP/Oakley及SKIP進行密鑰交換、管理及安全協商(Security Association)。IPSec安全協議工作在網路層,運行在它上面的所有網路通道都是加密的。IPSec安全服務包括訪問控制、數據源認證、無連 接數據完整性、抗重播、數據機密性和有限的通信流量機密性。IPSec使用身份認證機制進行訪問控制,即兩個IPSec實體試圖進行通信前,必須通過 IKE協商SA,協商過程中要進行身份認證,身份認證採用公鑰簽名機制,使用數字簽名標准(DSS)演算法或RSA演算法,而公通常是從證書中獲得的; IPSec使用消息鑒別機制實現數據源驗證服務,即發送方在發送數據包前,要用消息鑒別演算法HMAC計算MAC,HMAC將消息的一部分和密鑰作為輸入, 以MAC作為輸出,目的地收到IP包後,使用相同的驗證演算法和密鑰計算驗證數據,如果計算出的MAC與數據包中的MAC完全相同,則認為數據包通過了驗 證;無連接數據完整性服務是對單個數據包是否被篡改進行檢查,而對數據包的到達順序不作要求,IPSec使用數據源驗證機制實現無連接完整性服務; IPSec的抗重播服務,是指防止攻擊者截取和復制IP包,然後發送到源目的地,IPSec根據 IPSec頭中的序號欄位,使用滑動窗口原理,實現抗重播服務;通信流機密性服務是指防止對通信的外部屬性(源地址、目的地址、消息長度和通信頻率等)的 泄露,從而使攻擊者對網路流量進行分析,推導其中的傳輸頻率、通信者身份、數據包大小、數據流標識符等信息。IPSec使用ESP隧道模式,對IP包進行 封裝,可達到一定程度的機密性,即有限的通信流機密性。
2.SSL協議
安全套接層(Security Socket Layer,SSL)協議就是設計來保護網路傳輸信息的,它工作在傳輸層之上,應用層之下,其底層是基於傳輸層可靠的流傳輸協議(如TCP)。SSL協議 最早由Netscape公司於1994年11月提出並率先實現(SSLv2)的,之後經過多次修改,最終被IETF所採納,並制定為傳輸層安全 (Transport Layer Security,TLS)標准。該標准剛開始制定時是面向Web應用的安全解決方案,隨著SSL部署的簡易性和較高的安全性逐漸為人所知,現在它已經成 為Web上部署最為廣泛的信息安全協議之一。近年來SSL的應用領域不斷被拓寬,許多在網路上傳輸的敏感信息(如電子商務、金融業務中的信用卡號或PIN 碼等機密信息)都紛紛採用SSL來進行安全保護。SSL通過加密傳輸來確保數據的機密性,通過信息驗證碼(Message Authentication Codes,MAC)機制來保護信息的完整性,通過數字證書來對發送和接收者的身份進行認證。
實際上SSL協議本身也是個分層的協議,它由消息子層以及承載消息的記錄子層組成。
SSL 記錄協議首先按照一定的原則如性能最優原則把消息數據分成一定長度的片斷;接著分別對這些片斷進行消息摘要和MAC計算,得到MAC值;然後再對這些片斷 進行加密計算;最後把加密後的片斷和MAC值連接起來,計算其長度,並打上記錄頭後發送到傳輸層。這是一般的消息數據到達後,記錄層所做的工作。但有的特 殊消息如握手消息,由於發送時還沒有完全建立好加密的通道,所以並不完全按照這個方式進行;而且有的消息比較短小,如警示消息(Alert),出於性能考 慮也可能和其它的一些消息一起被打包成一個記錄。
消息子層是應用層和SSL記錄層間的介面,負責標識並在應用層和SSL記錄層間傳輸數據或者對握 手信息和警示信息的邏輯進行處理,可以說是整個SSL層的核心。其中尤其關鍵的又是握手信息的處理,它是建立安全通道的關鍵,握手狀態機運行在這一層上。 警示消息的處理實現上也可以作為握手狀態機的一部分。SSL協議為了描述所有消息,引入了SSL規范語言,其語法結構主要仿照C語言,而是無歧義、精簡 的。
3. S-HTTP
安全超文本傳輸協議(Secure HyperText Transfer Protocol,S-HTTP)是EIT公司結合 HTTP 而設計的一種消息安全通信協議。S-HTTP協議處於應用層,它是HTTP協議的擴展,它僅適用於HTTP聯結上,S-HTTP可提供通信保密、身份識 別、可信賴的信息傳輸服務及數字簽名等。S-HTTP 提供了完整且靈活的加密演算法及相關參數。選項協商用來確定客戶機和伺服器在安全事務處理模式、加密演算法(如用於簽名的非對稱演算法 RSA 和 DSA等、用於對稱加解密的 DES 和 RC2 等)及證書選擇等方面達成一致。
S-HTTP 支持端對端安全傳輸,客戶機可能「首先」啟動安全傳輸(使用報頭的信息),如,它可以用來支持加密技術。S-HTTP是通過在S-HTTP所交換包的特殊頭標志來建立安全通訊的。當使用 S-HTTP時,敏感的數據信息不會在網路上明文傳輸。
4. S/MIME
S/MIME 是Secure / Multipurpose Internet Mail Extensions的縮寫,是從PEM (Privacy Enhanced Mail)和MIME(Internet郵件的附件標准)發展而來的。S/MIME是利用單向散列演算法(如SHA-1、MD5等)和公鑰機制的加密體系。 S/MIME的證書格式採用X.509標准格式。S/MIME的認證機制依賴於層次結構的證書認證機構,所有下一級的組織和個人的證書均由上一級的組織負 責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系是樹狀結構的。另外,S/MIME將信件內容加密簽名後作為特殊的附件傳送。
2. 通常電子商務信息安全協議有哪些
通常有:1.安全數據交換協議SET,2.安全套接層SSL協議,3.S-HTTP安全超文本傳輸協議,4.iKP。
3. 電子商務系統對信息安全的要求有哪些
你好
樓主
電子商務對信息的傳輸安全有一下幾點要求:
一、信息保密性
(有加密要求);內
二、交易者容身份的確定性
;
三、不可否認性(由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益)
四、不可修改性(交易的文件是不可被修改的,如其能改動文件內容,那麼交易本身便是不可靠的,客戶或商家可能會因此而蒙受損失。因此電子交易文件也要能做到不可修改,以保障交易的嚴肅和公正)
希望我的回答能幫助你,如滿意的話請麻煩選擇為最佳答案哦
謝謝!~
4. 電子商務信息安全技術
信息安全復技術在電子商務系統中的製作用非常重要,它守護著商家和客戶的重要機密,維護著商務系統的信譽和財產,同時為服務方和被服務方提供極大的方便,因此,只有採取了必要和恰當的技術手段才能充分提高電子商務系統的可用性和可推廣性。
信息安全技術(計算機信息安全管理)3+1(二年制)
培養目標:培養掌握系統與網路安全的基本理論與病毒防範、黑客攻擊手段分析與防範技術,能熟練應用信息安全產品,熟悉信息安全管理規范,具有開發、維護和管理信息安全系統能力的高等技術應用型人才,是學院的重點專業。
就業方向:畢業後可到政府部門、企事業單位、各類計算機網路公司、銀行、證券公司,從事網路安全管理、計算機信息安全管理、信息安全產品銷售服務及技術支持、信息安全系統開發維護等工作。
主要課程:網路管理,信息安全概論,現代密碼學,網路安全實踐,信息安全管理與策略。
5. 電子商務系統安全和電子商務信息安全的關系
這個問題實際上就是系統安全和信息安全的差別。
前者只注重整個系統的安全內,包括容機房(包括機房電磁屏蔽、UPS、電源等)、網路(包括節點、交換設備等)、主機(包括伺服器、網路終端等)、軟體、操作系統、資料庫等安全。
後者是注重除了系統安全以外,整個體系的安全,包括一些日常工作中的信息安全、紙質的信息安全等等方面。
6. 電子商務與網路信息安全的關系
[ 摘要] 電子商務對人類社會經濟產生了重大影響,在創造巨大經專濟效益的同時,也從根本屬上改變了整個社會商務活動發展進程。我國電子商務在曲折進程中,已有很大程度的發展,同時也存在諸多問題。本文客觀地分析了電子商務的安全需求、安全技術發展現狀及存在的問題,對加快電子商務的發展步伐提出了一些重要思考。 [ 關鍵詞] 電子商務;安全需求;安全技術;協議技術電子商務( Electronic Commerce)是上世紀90 年代初期在西方發達國家首先興起的一種嶄新的利用國際互聯網路Internet 這種先進通訊工具的企業經營方式。它是通過網路技術的應用,快速而且有效的進行各種商務活動的全新方法。電子商務無疑是近幾年來使用頻率最高的詞彙之一, 隨著電子商務的興起,它的信息安全問題也日益引人注目。由於電子商務是在公開的網上進行的,支付信息、訂貨信息、談判信息、機密的商務往來文件等大量商務信息在計算機系統中存放、傳輸和處理,所以如果不能很好地解決信息安全問題,電子商務的發展肯定會受到影響。
7. 電子商務信息安全的要求有哪些
哈哈,電商班的么。。我是奧特曼。。
8. 電子商務安全是指什麼
簡單說就是計算機網路安全和商務交易安全。
網路安全從其本質上來講就是網路上的信息安全。它涉及的領域相當廣泛。這是因為在目前的公用通信網路中存在著各種各樣的安全漏洞和威脅。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論,都是網路安全所要研究的領域,包括物理安全、網路安全、傳輸安全、應用安全、用戶安全。
電子商務安全要素體現在:
信息的機密性:密碼技術
信息的完整性:散列函數
數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異;
數據傳輸過程中的信息丟失、重復、差異;
黑客對信息的篡改和假冒
完整性一般可通過提取消息文摘獲得,包括兩方面:
數據傳輸的完整性
完整性檢查、上下文檢查:內容的差異和語法規則
信息的有效性:電子文檔的法律確認
認證性:身份確認
信息的不可抵賴性:數字簽名
不可修改性:完整性
部分告知:交易與支付的部分分離
另行確認
系統的可靠性
計算機失效、程序錯誤、傳輸錯誤、硬體故障、系統軟體錯誤、計算機病毒、自然災害等
電子商務安全技術主要有:
密碼技術
加密技術是保證電子商務安全的重要手段,是信息安全的核心。
密鑰管理技術
最棘手的問題:分發和存儲
數字簽名:公鑰加密技術
網路安全技術
操作系統安全、防火牆技術、VPN、漏洞檢測、審核技術等
9. 電子商務信息安全存在的問題
一、電子商務信息安全問題
由於Inter本身的開放性,使電子商務系統面臨著各種各樣的安全威脅。目前,電子商務主要存在的安全隱患有以下幾個方面。
1.身份冒充問題
攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,進行信息欺詐與信息破壞,從而獲得非法利益。主要表現有:冒充他人身份;冒充他人消費、栽贓;冒充主機欺騙合法主機及合法用戶等。
2.網路信息安全問題
主要表現在攻擊者在網路的傳輸信道上,通過物理或邏輯的手段,進行信息截獲、篡改、刪除、插入。截獲,攻擊者可能通過分析網路物理線路傳輸時的各種特徵,截獲機密信息或有用信息,如消費者的賬號、密碼等。篡改,即改變信息流的次序,更改信息的內容;刪除,即刪除某個信息或信息的某些部分;插入,即在信息中插入一些信息,讓收方讀不懂或接受錯誤的信息。
3.拒絕服務問題
攻擊者使合法接入的信息、業務或其他資源受阻。主要表現為散布虛假資訊,擾亂正常的資訊通道。包括:虛開網站和商店,給用戶發電子郵件,收訂貨單;偽造大量用戶,發電子郵件,窮盡商家資源,使合法用戶不能正常訪問網路資源,使有嚴格時間要求的服務不能及時得到響應。
4.交易雙方抵賴問題
某些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。如:發布者事後否認曾經發送過某條信息或內容;收信者事後否認曾經收到過某條信息或內容;購買者做了訂貨單不承認;商家賣出的商品質量差但不承認原有的交易。在網路世界裡誰為交易雙方的糾紛進行公證、仲裁。
5.計算機系統安全問題
計算機系統是進行電子商務的基本設備,如果不注意安全問題,它一樣會威脅到電子商務的信息安全。計算機設備本身存在物理損壞,數據丟失,信息泄露等問題。計算機系統也經常會遭受非法的入侵攻擊以及計算機病毒的破壞。同時,計算機系統存在工作人員管理的問題,如果職責不清,許可權不明同樣會影響計算機系統的安全。
二、電子商務安全機制
1.加密和隱藏機制
加密使信息改變,攻擊者無法讀懂信息的內容從而保護信息;而隱藏則是將有用的信息隱藏在其他信息中,使攻擊者無法發現,不僅實現了信息的保密,也保護了通信本身。
2.認證機制
網路安全的基本機制,網路設備之間應互相認證對方身份,以保證正確的操作權力賦予和數據的存取控制。網路也必須認證用戶的身份,以保證正確的用戶進行正確的操作並進行正確的審計。
3.審計機制
審計是防止內部犯罪和事故後調查取證的基礎,通過對一些重要的事件進行記錄,從而在系統發現錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。審計信息應具有防止非法刪除和修改的措施。
4.完整性保護機制
用於防止非法篡改,利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務,當信息源的完整性可以被驗證卻無法模仿時,收到信息的一方可以認定信息的發送者,數字簽名就可以提供這種手段。
5.權力控制和存取控制機制
主機系統必備的安全手段,系統根據正確的認證,賦予某用戶適當的操作權力,使其不能進行越權的操作。該機制一般採用角色管理辦法,針對系統需要定義各種角色,如經理、會計等,然後對他們賦予不同的執行權利。
6.業務填充機制
在業務閑時發送無用的隨機數據,增加攻擊者通過通信流量獲得信息的困難。同時,也增加了密碼通信的破譯難度。發送的隨機數據應具有良好模擬性能,能夠以假亂真。