㈠ 电子商务的安全保密技术包括哪些方面
电子商务的安全保密技术包括以下几方面:
1、数字签名技术、
2、认证技术、
3、密钥管理技术、
4、网络安全技术,
5、安全协议和PKI技术,
6、移动商务安全技术
㈡ 简述电子商务安全性的要求
从安全和信任关系来看,在传统交易过程中,买卖双方是面对面的版,因此很容易保证交易权过 程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系的,彼此远 隔千山万水,由于英特网既不安全,也不可信,因而建立交易双方的安全和信任关系相当困 难。电子商务交易双方(销售者和消费者)都面临不同的安全威胁。
㈢ 提高电子商务安全性的手段是什么
一、什么是电子商务
电子商务一词源于英文Electronic Commerce,简写为EC,指的是利用简单、快捷、低成本的电子通信方式,买卖双方不谋面地进行各种商贸活动。电子商务可以利用的电子通信方式有多种,目前主要是以EDI和Internet来完成的。随着Internet网络的日益发展,电子商务真正的发展将是建立在Internet技术上的,所以也有人把电子商务简称为IC(Internet Commerce)。
从贸易活动的角度也可以将电子商务分为两个层次,低层次的电子商务包括电子商情、电子贸易、电子合同等;高级的电子商务应能利用Internet网络进行全部的贸易活动,在网上完整地实现信息流、商流、资金流和部分物流,即从寻找客户开始,一直到洽谈、订货、在线付(收)款、开具电子发票以至电子报关、电子纳税等都通过Internet来完成。要实现完整的电子商务还会涉及到很多方面,除了买家、卖家外,还要有银行或金融机构、政府机构、认证机构、配送中心等机构的加入才行。由于参与电子商务中的各方在物理上是互不谋面的,因此整个电子商务过程中安全机制在电子商务中发挥着重要的作用。
二、实现电子商务必备的安全因素
从总体上来看,电子商务系统是三层框架结构,底层是网络平台,也就是信息传送的载体和用户接入的手段,它包括各种各样的物理传送平台和传送方式;中间层是电子商务基础平台,包括CA(Certificate Authority)认证体系。支付网关(Payment Gateway)和客户服务中心等三个部分,其核心是CA认证;第三层就是各种各样的电子商务应用系统。其中,电子商务基础平台是各种电子商务应用系统的基础。
电子商务系统对信息安全的要求主要包括以下六个方面。
①信息的保密性:电子商务系统应该对主要信息进行加密处理,防止对信息的非法操作(包括对信息的非法存取以及非法窃取传输过程中的信息等),以避免非法用户获取和解读原始数据。
②数据的可靠性:电子商务以电子形式取代纸张,所以应当采取一定的措施来保证电子贸易信息的有效。需要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
③数据的完整性:在数据处理过程中,数据输入时的意外差错或欺诈行为可能导致贸易各方信息的差异。此外,数据传输过程中的信息丢失、信息重复或信息传送次序差异也会导致贸易各方信息的不同。因此,要预防对信息的随意改动,还要防止数据传输过程中信息的丢失和重复并保证信息传送次序的统一。所以,电子商务系统应该提供对数据进行完整性验证的手段,确保能够发现数据在传输过程中是否被改变了。
④用户身份的鉴别:电子商务系统应该提供通信双方进行身份鉴别的机制。一般可以通过数字签名和数字证书相结合的方式实现用户身份的鉴别。数字证书应该由可靠的证书认证机构签发,签发证书时应对申请用户提供的身份信息进行真实性验证。
⑤数据原发者的不可抵赖性:电子商务系统应该具备数据原发者的不可抵赖机制,确定要进行交易的贸易方正是所期望的贸易方。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
⑥合法用户的安全性:合法用户的安全性是指合法用户的权利不受危害或侵犯,电子商务系统和电子商务的安全管理体系应该实现系统对用户身份的有效确认、对私有密钥和口令的有效保护、对非法攻击的有效防范等,以保障合法用户的安全性。
三、安全电子交易的协议
目前的安全电子交易协议主要有两种,即安全套接层(SSL)协议和安全电子交易(SET)协议。
1.SSL协议
SSL协议由Netscape Communication公司设计开发,主要用于提高应用程序之间数据的安全性。该安全协议主要提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变。它能使客户一服务器应用之间的通信不被攻击者窃听。
(1) SSL协议的特性
SSL提供了两台机器间的安全连接。支付系统通过在SSL连接上传输信用卡卡号的方式来构建,在线银行和其他金融系统也常常构建在SSL之上。大部分Web浏览器和Web服务器都内置了SSL协议,比较容易应用。SSL协议建立在可靠的传输层协议(如TCP)之上,与应用层协议无关。它在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。高层的应用层协议(如HTTP,FTP,TELNET等)可以透明地建立于SSL协议之上。应用层协议所传送的数据都会被加密,从而保证通信的私密性。SSL协议提供的安全信道有以下三种特性:
私密性:在握手协议定义了会话密钥后,所有的消息都被加密。
确认性:尽管会话的客户端认证是可选的,但是服务器端始终是被认证的。
可靠性:传送的消息包括消息完整性检查。
(2)SSL协议规范
SSL协议由SSL记录协议和SSL握手协议两部分组成。
①SSL记录协议
在SSL协议中,所有的传输数据都被封装在记录中。记录是由记录头和记录数据组成的。所有的SSL通信包括握手消息、安全空白记录和应用数据都使用SSL记录层。
②SSL握手协议
SSL握手协议包含两个阶段,第一个阶段用于建立私密性通信信道,第二个阶段用于客户认证。
第一阶段是通信的初始化阶段,首先SSL要求服务器向浏览器出示证书。证书包含有一个公钥,这个公钥是由一家可信证书授权机构签发的。通过内置的一些基础公共密钥,客户的浏览器可以判断服务器证书正确与否。然后,浏览器中的SSL软件发给服务器一个随机产生的传输密钥,此密钥由已验证过的公钥加密。由于传输密钥只能由对应的私有密钥来解密,这证实了该服务器属于一个认证过的公司。随机产生的传输密钥是核心机密,只有客户的浏览器和此公司的Web服务器知道这个数字序列。这个两方共享密钥的密文可以通过浏览器安全地抵达Web服务器,Internet上的其他人无法解开它。
第二阶段的主要任务是对客户进行认证,此时服务器已经被认证了。服务器方向客户发出认证请求消息。客户收到服务器方的认证请求消息后,发出自己的证书,并且监听对方回送的认证结果。而当服务器收到客户的证书后,给客户回送认证成功消息,否则返回错误消息。到此为止,握手协议全部结束。
③SSL交易过程
在接下来的通信中,SSL采用该密钥来保证数据的保密性和完整性。这就是SSL提供的安全连接。这时客户需要确认订购并输入信用卡号码。SSL保证信用卡号码以及其他信息只会被此公司获取。客户还可以打印屏幕上显示的已经被授权的订单,这样就可以得到这次交易的书面证据。大多数在线商店在得到客户的信用卡号码后出示收到的凭据,这是客户已付款的有效证据。至此,一个完整的SSL交易过程结束。
但是,SSL提供的保密连接有根大的漏洞。SSL除了传输过程以外不能提供任何安全保证,SSL并不能使客户确信此公司接收信用卡支付是得到授权的。在Internet上,经常会出现一些陌生的店铺,正因如此,网上商店发生欺诈行为的可能性要比街头店铺大得多。进一步说,即使是一个诚实的网上商店,在收到客户的信用卡号码后如果没有采用好的方法保证其安全性,那么信用卡号也很容易被黑客通过商家服务器窃取。
2.SET协议
SET是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议。它是一种基于消息流的协议,用来保证公共网络上银行卡支付交易的安全性,因而成为Internet上进行在线交易的电子付款系统规范。目前SET协议已在国际上被大量实验性地使用并经受了考验,成了事实上的工业标准。
SET是一个复杂的协议,它详细而准确地反映了卡交易各方之间的各种关系。事实上,SET不只是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,希望得到数字证书以及响应信息的各方应有的动作,与一笔交易紧密相关的责任分担。SET是一个基于可信的第三方认证中心的方案,它要实现的主要目标有下列三个方面。
①保障付款安全:确保付款资料的隐密性及完整性,提供持卡人、特约商店、收单银行的认证,并定义安全服务所需要的算法及相关协定。
②确定应用的互通性:提供一个开放式的标准。明确定义细节,以确保不同厂商开发的应用程序可共同运作,促成软件互通;在现存各种标准下构建协定,允许在任何软硬件平台上执行,使标准达到相容性与接受性目标。
③达到全球市场的接受性:在容易使用与对特约商店、持卡人影响最小的前提下,达到全球普遍性。允许在目前使用者的应用软件下,嵌入付款协定的执行,对收单银行与特约商店、持卡人与发卡银行间的关系,以及信用卡组织的基础构架改变最少。
SET主要用于消费者与商店、商店与收单银行(付款银行)之间。其运作方式:简述如下:
SET的简易流程
①在消费者与特约商店之间,由持卡人在消费前先确认商店的合法性,由商店出示它的证书。
②持卡人确认后即可下订单,其订单经消费者以数字签名方式确认,而消费者所提供的信用卡资料则另由收单银行以公钥予以加密。这里,特约商店会收到两个经过加密的资料,其中一个是订单资料,另一个是关于支付的资料;按规定特约商店可以解密前者,但无法解密后者,以避免特约商店搜集或滥用持卡人消费资料。
③特约商店将客户的资料连同自己的SET证书发给收单银行,向银行请求交易授权及授权回复。收单银行同时检验两个证书以确定是否为合法的持卡人及特约商店。所以,收单银行由支付网关来解密,核对资料无误后,再连接到传统的网络(比如Visa或MasterCard)进行交易授权及清算。
④授权确认后由特约商店向消费者再行确认订单,交易完成。
⑤特约商店基于该授权向收单银行提出请款的要求。
⑥支付网关通知持卡人开户行向商家开户行付款。
可以看到,在这个过程中,CA扮演了系统的很重要的角色。SET标准着重的是其交易安全及隐密性。其中,数字证书为其核心,它提供了简单的方法来确保进行电子交易的人们能够互相信任。信用卡组织提供数字证书给发卡银行,然后发卡银行再提供证书给持卡人;同时,信用卡组织也提供数字证书给收单银行,然后收单银行再将证书发给特约商店。在进行交易的时候,持卡人和特约商店符合SET的规格软件会在资料交换前分别确认双方的身份,也就是检查由授权的第三者所发给的证书。在SET协定中,有持卡人证书、特约商店证书、支付网关证书、收单银行证书和发卡银行证书等五种证书。
持卡人的证书必须由发卡银行来颁发。在首次上网购物之前,持卡人必须先通过一个客户端程序将包括姓名、卡号、卡片有效期、邮寄地址等可以证明持卡人身份的基本资料发给发卡银行。这些资料使用银行的公钥加密,可安全地送至银行。发卡银行确认此帐户正确无误后,便发给持卡人一张具有电子安全数字签章的证书。持卡人只要将证书储存在电脑上,即可进行电子购物。同样,商店也必须取得收单银行的电子证书才可以接收SET方式的支付。商店要将它的基本资料发送给收单银行,收单银行在确认无误后发出一张数字证书,允许它从事电子交易。
3.SSL和SET协议的比较
事实上,SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。SET是一个多方的报文协议,它定义了银行、商家、持卡人之间必需的报文规范,与此同时SSL只是简单地在两方之间建立了安全连接。SSL是面向连接的,而SET允许各方之间的报文交换不是实时的。SET报文能够在银行内部网或者其他网络上传输,而SSL之上的卡支付系统只能与Web浏览器捆绑在一起。SET与SSL相比具有如下优点:
①SET为商家提供了保护自己的手段,使商家免受欺诈的困扰,使商家的运营成本降低。
②对消费者而言,SET保证了商家的合法性,并且用户的信用卡号不会被窃取,SET替消费者保守了更多的秘密使其在线购物更加轻松。
③银行和发卡机构以及各种信用卡组织来说,因为SET可以帮助它们将业务扩展到Internet这个广阔的空间,从而使得信用卡网上支付具有更低的欺骗概率,这使得它比其他支付方式具有更大的竞争力。
④SET对于参与交易的各方定义了互操作接口,一个系统可以由不同厂商的产品构筑。
提供这些功能的前提是:SET要求在银行网络、商家服务器、顾客的PC上安装相应的软件。这些阻止了SET的广泛发展。另外,SET还要求必须向各方发放证书,这也成为阻碍之一。所有这些使得SET要比SSL昂贵得多。SET的另外一个优点在于:它可以用在系统的一部分。例如,一些商家正在考虑在与银行连接中使用SET,而与顾客连接时仍然使用SSL。这种方案既回避了在顾客机器上安装钱夹软件;同时又获得了SET提供的很多优点。在SET中,交易凭证中有客户的签名,银行就会有客户曾经购物的证据。提供这种能力的特性在密码学中称之为认可。它所提供的可靠性的前提是客户必须保证私人签字密钥的安全。
综上所述,在电子商务过程中,采用何种安全电子交易的协议是非常重要的,既要考虑安全性问题也要考虑实现过程的复杂程度和建设网站的成本。因此,发展电子商务需要根据实际情况,在保证安全的前提下节省成本,以促进我国的网络贸易的快速发展。
㈣ 电子商务安全是什么
电子商务主要的安全要素
(1)有效性
EC以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展E的前提。EC作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
(2)机密性
EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。EC是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。
(3)完整性
EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
㈤ 什么是电子商务运营过程中的机密性
零售电商通过技术手段找到某一类最大的需求,通过流量规则、服务、商业模式等制定平台调性最大的满足这部分需求,与此同时满足最大需求的同时或将不能兼顾另一端的需求,比如消费升级就不能兼顾高性价比等,当某一需求通过技术手段可以高效率实现时,可能会诞生出新的平台,如算法推荐的电商平台、直播电商,冲击传统的电商平台
㈥ 画图说明如何保证电子商务的保密性、完整性、不可抵赖性和身份的确定性
电子商务使用各种电子手段实现价值的业务活动主要是依靠网络,特别是互联网,它已经成为一个主要的互联网应用模式是一个必然的趋势和金融和业务。建立一个安全的电子商务应用环境,并提供足够的保护信息已经成为一个电子商务必须面对的一个问题。
重要的的电子商务技术特点是利用网络传输和处理商业信息,因此,电子商业安全主要包括两个方面:网络安全和业务安全以及执行这些安全依靠一些具体的安全技术,遵守安全协议。
1网络安全问题
网络安全主要是指计算机和网络安全可能存在的问题,那就是要保护电子商务平台的可用性和安全性的网络安全是电子商务的基础,问题的表现通常是:
1.1计算机网络安全问题带来了潜在的安全隐患
电脑配置的操作系统还没有涉及到网络安全,不管是什么操作系统,就会存在一定的安全在默认安装条件的问题,但只有操作系统安装后,默认情况下,再配上一个长的密码安全的想法是不可靠的,因为电脑软件的漏洞和“后门”往往是网络攻击的首选目标。
1.2入侵者风险降低的问题引起的网络安全,由于网络的全球性,开放性,共享发展,使任何人都可以自由访问互联网,其中还包括一名黑客,入侵者和病毒制造者的利润增加刺激。他们的攻击方法也越来越威胁到电子商务正变得越来越明显。相对来说,攻击的风险是非常小的,甚至是攻击后消失得无影无踪,使对方几乎没有实现的可能性报复他们的活动更加猖獗。 “雅虎”,“亚马逊”曾受到攻击的事件说明了这一点。 > 1.3安全设备所造成的不当使用网络安全问题
虽然绝大多数与网络安全设备的网站,有的甚至花费巨资,但由于安全设备因素或使用这些设备并没有发挥应有的或预期。许多安全厂商的产品人员的技术背景要求很高,往往超出一般的网络管理人员,甚至是制造商最初做正确安装到用户的技术要求,配置,一旦系统的变化,需要改变的设置与安全有关的设备,很容易产生大量的安全问题。通常意义上的网络管理人员往往不能够进行这样的工作。
因此,在实施网络安全预防措施应做到:第一,加强主机本身的安全性,做好安全配置,及时安装安全补丁,以减少漏洞;安装防杀毒软件和软件防火墙,整体防病毒措施,加强内部网络使用的各种系统漏洞检测软件定期对网络系统的扫描分析,找出可能的安全隐患,并及时修复,建立和提高各级从路由器到用户的访问控制措施,安装防火墙,加强授权管理和认证,相应的数据存储技术,提高了数据备份和恢复措施;敏感的设备和数据,以建立必要的物理或逻辑隔离措施;一定强度的数据加密要在公共网络上传输的敏感信息;创建一个详细的安全审计日志,以便检测并跟踪入侵攻击的同时,充分利用相关交易安全和计算机安全法法规已经公布的电子商务交易保驾护航。此外,在面对一般的网络管理员的技术水平,可以用于联合开发和维护的网络建设和维护,不断提高和完善自己的球队的技术水平经过前期的建设和维护,使其成长逐渐对网络安全主管
网络管理员的高度重视意识形态安全问题是十分必要的技术阶段的一代人的需求具有一定的滞后,并建立和实施了严格的和全面的网络安全系统和战略往往可以暂时无法实现的技术取代,毕竟,这才是真正的网络安全的基础。
通常包含了全方位的计算机网络安全体系结构的网络,访问控制,安全,系统安全,用户安全,信息加密,安全传输和管理安全的物理安全性。这一切的实现依赖于各种各样的国家的最先进的计算机安全技术,身份认证,访问控制,加密技术,防火墙技术,安全审计技术,安全管理,系统漏洞检测技术,黑客跟踪技术与安全核心系统,VPN安全隧道,身份认证,网络底层数据加密和网络入侵主动安全技术越来越先进和复杂,从不同的层面加强计算机网络的整体安全性,多渠道的严密的保安监视应用程序逐步建立防御之间的攻击和保护资源,增加的难度恶意入侵
为了确保电子商务活动的顺利进行,必须提高网络系统的安全性提供了稳定可靠的,强大的支持。
2业务的安全问题
企业安全业务交易体现在网络媒体的安全问题,也就是实现电子商务的保密性信息,完整性,真实性和不可抵赖性。
在早期的电子盘交易中,使用了一些简单的安全措施,如在网上交易最关键的数据,如信用卡号码通过电话告知,以防止泄漏,网上交易量和交易额,然后确认交易等方式来确保其真实性和不可抵赖性。该方法不仅容易操纵,并有一定的局限性,无法实现真正的安全。
2.1企业安全中普遍存在一些安全风险
2.1.1窃取信息
在传输过程中不使用加密或加密强度是不够的,纯文本或几乎明文传输的数据信息在网络上。入侵者通过移动设备或线截取法截取传送的信息的数据包,通过比较,发现它们的格式和窃取的数据参数的分析规则,然后发送的信息的内容,导致泄漏贸易秘密的消费支出,帐户密码和其他信息。
2.1.2篡改信息
当入侵者掌握了信息的格式和规则,信息网络传播截获,然后发送到原先指定的目的地,通过各种技术方法和手段,从而破坏了信息的真实性。入侵者通过信息流的顺序改变,改变的信息内容,删除一些信息,甚至插入一些额外的信息,使接收方做出错误的判断和决策。进一步
2.1.3信息假冒
掌握的数据和信息可以被篡改的格式由攻击者可以冒充合法用户访问和发送消息,远程收件人或发件人通常不容易区分的常见的方式伪造用户和企业订单接收到的文件,或程序的权限。
2.1.4破坏
攻击者已经侵入网络,已收到的权限的信息在网络上,现在网络有机地甚至删除其后果是非常严重的。
2.2业务安全要求
2.2.1业务信息的交易信息的保密性,需要遵循一定的保密规则,因为它的信息往往代表着国家,企业和个人的商业秘密。邮寄包或通过可靠的通信渠道发送商业信息,以达到保密的目的和要求,在传统的基于纸张的贸易和电子商务的一个更为开放的互联网环境,它是依靠网络本身形成基于开放的互联网市场,它获得了电子商务在这个新环境的支持,势必将使用相应的技术和手段,扩大和改善信息的保密性。一般使用加密技术来实现的。
2.2.2信息的完整性
不可否认电子商务的出现到计算机,而不是最复杂的劳动在各个方面对企业的贸易,开放网络的形式,简单的集成信息系统和自动化处理信息,如何保持各方的贸易信息诚信,团结,有一个问题,由于在数据输入的偶然误差(如电脑机,断电等情况自动处理),可能会导致到贸易各方的信息不一致。此外,数据传输过程中人为或自然损耗的信息(如丢包),重复信息或信息传播秩序差(如网络拥塞重发)可能会导致不同的交易方和诚信的贸易各种当事人之间的信息势必会影响到交易的过程中,和业务战略。保持双方的贸易信息的完整性是电子商务的方式来获得应用程序必须完整的基础,一般通过提取信息消息摘要
2.2.3信息将出现在交易的不可抵赖性交易抵赖现象,如发件人发送操作完成后,否认如何确定谁发送消息,或反之亦然,接受接收到的信息是不承认已收到的新闻文章。收到任何在交易过程中交易信息在交易各方是他们的合作伙伴之一,对方是不是假的,和谐的保证成功的电子商务活动。信息可以保证数字签名的邮件发送到获得一般用来确定身份证书机构CA证书。我们不知道,远在千里之外,使他们成为合作伙伴,毕竟不是一件容易的事情。
当然,在电子商务的发展,必然会出现的电子商务活动以及众多的要求,如在签署协议后的交易信息定义的老龄化,是否和相信电子商务技术和法律来规范人们的需求,并帮助他们实现,以确保的电子商务交易和公平的严重性。
电子商务安全技术
加密技术的一个重要手段,确保电子商务,电子商务的安全性,以确保安全使用加密技术的3.1加密技术敏感信息的加密,保证
3.1.1加密技术状态
许多IT技术,加密技术层出不穷,为人们提供了很多电子商务的保密性,完整性,真实性和不可抵赖性服务。的选择,但同时也带来了一个问题 - 兼容性,不同的企业可能使用不同的标准。
另外,加密技术一直由国家控制的,如SSL出口美国的限制,美国国家安全局(NSA),美国的企业一般可以使用128位SSL,但只允许加密出口40以下算法的关键。而40位的SSL加密强度,但它的安全系数明显低于128位SSL很多美国以外的国家,是难以真正充分利用SSL在电子商务中,这不能不说是一个遗憾。目前,中国的上海电子商务安全证书管理中心的128位SSL算法来弥补空缺,在全国,也带来了广阔的前景,为中国的电子商务的安全。
3.1.2常用的加密技术/>对称密钥的加密算法:对称密码系统,而不是从传统的简单的换位密码演变的加密模式序列和块密码可以分为两大类。
非对称加密算法:也被称为公钥算法,其特点是两个关键的公钥和私钥,两人必须成对使用,以完成整个过程的加密和解密的技术,特别适用于加密数据在分布式系统中被广泛使用在网络中的公众。公共密钥,用于加密的数据作为数据源,并接受相应的私钥解密数据托管。
不可逆的加密算法:加密过程不需要密钥和加密数据无法解密,只有输入相同的数据在同一可逆加密算法的比较,得到相同的加密数据。 ,因为它不具有一个键,所以没有密钥的保管和分配方面的问题,但由于其加密计算工作量,比通常仅在有限数量的数据,如在计算机系统中的密码信息进行加密的情况下。
3.1.3电子商务的常用加密技术
数字摘要:也被称为安全散列编码方法的编码方法使用单向散列函数将被加密的明文“摘要”成一串128bit的密文的密文,该字符串也被称为数字指纹,具有固定的长度,并明确表示其结果密文的摘要是不一样的,相同的明文其摘要一致。
数字签名:数字签名是数字摘要,公用密钥算法两种加密方法结合起来使用,它是数据包的发送方从报文文本生成一个128位的散列值(消息摘要)的数字签名作为报文的附件和报文的发送方用自己的私钥对这个散列值进行加密来形成发送方的数字签名,然后一起发送给收件人的第一个数据包都有一个128位的散列值的数据包的接收者从接收到的原始数据包(或消息摘要),然后使用发送方的公共密钥来解密该数字签名的报文附加的计算,如果两个散列值是相同的,那么接收方将能够确认该数字签名的寄件人可实现对原始报文的认证和不可抵赖性的数字签名,有效地防止了拒绝签名,以及非正当签名者假冒
数字时间戳:在交易时所采取的安全措施文件由专门的机构提供的在线安全服务。时间戳的证书加密的文档,其中包括:形成该文件的摘要需要添加一个时间戳,数字的时间标记的服务接收的数字签名,该文件的日期和时间,数字时间戳服务的
数字证书:数字证书,也被称为数字证书来确认用户的身份和对网络资源的访问,通过电子手段,主要是个人证书,企业证书(服务器),软件(开发者)凭证。
3.2认证技术在网络上通过的权威性和公正性的第三方 - 认证中心,应用程序用户的身份信息(如姓名,身份证号等)捆绑他的公钥一起上验证
网络以确定用户的身份。数字时间戳服务和前面提到的发行数字证书认证中心,也通过。
3.3支付网关技术支付网关,通常位于公众之间的网络和传统的银行网络(或终端之间的收费系统),其主要功能:对数据包解密来自公众网络,并在按照与银行系统,内部通讯协议的数据重新打包,银行体系内的接收传回的响应消息,将数据转换成公共网络传输的数据格式,和完整的通信,协议转换和数据加密加密解密功能的支付网关技术,保护银行的内部网络之外,支付网关还具有一键保护和证书管理,和其他功能(一些内部网关还支持存储和打印数据扩展)。
电子商务安全协议技术
SSL协议4.1 SSL(安全套接层协议)也称为安全套接字层协议,面向连接的协议,现在使用的主要协议之一但首先,我不是专为电子商务的协议,使用公开密钥体制和X.509数字证书技术保护信息传输的SSL协议来发送和接收数据在应用层的谈判前的保密性和完整性到应用层的加密算法,连接密钥和认证通信双方,由于其独立性,从应用层协议提供了一种安全的传输通道,往往在电子交易通道上的透明加载任何级别的应用程序协议(如HTTP ,FTP,Telnet等),以确保在应用层的数据传输的安全性。可用于以固定传送信用卡号码,但因为它是一个面向连接的协议,只适合点 - 到 - 点之间转让信息,它可以只提供认证的双方不能满足今天的主流中验证方三方合作的商业模式,因此确保信息的不可抵赖性是有缺陷的。
4.2 SET协议(安全电子交易)
SET协议也称为安全电子交易,电子交易,基于信用卡的应用规则来实现安全的措施相比,SSL协议,并做了一些改进。业务的安全问题常常为他们在交易中的交易信息保密,并不会被窃取,持卡人希望企业要真实有效的客户订单,并在交易过程中,交易双方都希望的身份验证为了防止被骗鉴于这种情况,对方Visa和MasterCard两大信用卡组织,以及微软等公司共同开发的SET协议,谁也不能保证安全资金支付的技术标准,通过一个开放的网络(包括互联网),它采用公钥密码体制和X.509数字证书标准,主要用于保护网上购物的安全性信息。消费由于SET认证,商家和银行来弥补缺乏SSL以确保交易数据的安全性,完整性,可靠性和交易的不可抵赖性,尤其是确保消费者银行卡号暴露给商家的优点,因此它已成为举世公认的信用卡/借记卡网上交易的国际安全标准。
另外安全超文本传输协议(SHTTP)和安全交易技术协议(STT)。电子商务协议规范。
5结束语
安全是电子商务的心脏和灵魂。电子商务网络安全和业务安全,网络安全和业务安全性的双重要求是分不开的计算机网络安全作为基础的商业交易的安全性,如空中楼阁,出了问题,业务安全,即使电脑网络本身再安全,仍然无法达到电子商务的具体的安全要求和电子商务技术和各种协议是可以实现的安全保证。
㈦ 电子商务安全包括哪些方面
在正确看待电子商务的安全问题时,有几个观念值得注意:
其一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二,安全是相对的。房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。
其三,安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。...在正确看待电子商务的安全问题时,有几个观念值得注意:
其一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二,安全是相对的。房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。
其三,安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。作为一个经营者,应该综合考虑这些因素;作为安全技术的提供者,在研发技术时也要考虑到这些因素。
其四,安全是发展的、动态的。今天安全明天就不一定很安全,因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全,也没有一蹴而就的安全。
㈧ 电子商务安全要素有哪些
电子商务安全要素有以下四点:
1、有效性、真实性
有效性、真实性是指能对信息、实体的有效性。真实性进行鉴别,电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业和国家的经济利益和声誉。如何保证这种电子贸易信息的有效性和真实性成了经营电子商务的前提。
2、机密性
机密性是指保证信息不会泄漏给非授权人或实体电子商务作为一种贸易手段,其信息是个人、企业或国家的商业机密。网络交易必须保证发送者和接受者之间交换信息的保密性,而电子商务建立在一个较为开放的网络环境上,商业保密就成为电子商务全面推广应用的重点保护对象。
3、数据的完整性
数据的完整性要求防止数据非授权的输入、修改、删除或破坏,保证数据的一致性信息的完整性将影响到贸易各方的交易和经营策略,保持这种完整性是电子商务应用的基础,数据输入时的意外差错或欺诈行为可能导致贸易各方信息的差异。数据传输过程中的信息丢失、信息重发或信息传送次序的差异也会导致贸易各方信息不相同。
4、可靠性、不可抵赖性
可靠性是要求保证合法用户对信息和资源的使用不会遭到不正当的拒绝;不可抵赖性是要求建立有效的责任机制,防止实体否认其行为在互联网上每个人都是匿名的,原发方字发送数据后不能抵赖;接收方在接收数据后也不能抵赖。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已经不可能。
㈨ 如何保障电子商务的安全
一、提高服务的安全性
首先,应用防火墙技术。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合。防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型:包过滤防火墙、代理防火墙、双穴主机防火墙。其次,应用网关技术。应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。应用网关对某些易于登录和控制所有输入输出的通讯环境给予严格的控制,以防有价值的程序和数据被窃取。
二、数据加密技术
加密技术和身份认证技术是电子商务交易安全的基础技术,加密技术用于对信息的加密,保证信息的机密性。数字签名和数字信封技术应用了加密技术,建立在公共密钥体制基础上。数字签名技术对信息进行数字签名,保证信息的完整性和不可抵赖性。由于交易信息在传输过程中有可能遭到侵犯者的窃听而失去机密性,加密技术是电子商务采取的主要保密安全措施,是最常用的保密安全手段。加密技术也就是利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密包括两个元素:算法和密钥。密钥和算法对加密同等重要。密钥加密技术的密码体制分为对称密钥体制和公共密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密和非对称加密。对称加密以数据加密标准算法为典型代表,非对称加密通常以算法为代表。如果不采用加密技术,则会影响电子商务的发展,或者成为发展的瓶颈。
三、完善管理机制
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全方案的实施,离不开管理。信息安全意识的加强和培育是实现安全管理的必备条件。它的基本原则是:要求发生在系统中的行为都是有权限的行为,并且符合程序控制的要求。从管理上完善机制,加强其有效性,往往可以解决许多技术层次解决不了的问题。