㈠ 电子商务安全的内容概括为三个方面内容
您好,安全性 在电子商务中,安全性是一个至关重要的核心问题,它要求回网络能提答供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等,这与传统的商务活动有着很大的不同。。?欢迎向158教育在线知道提问
㈡ 电子商务安全
本书内容分为8章。第1章介绍电子商务安全的基本概念、电子商务安全系统的体系结构及内相关技术;第2章介容绍信息加密技术与应用;第3章介绍计算机网络安全技术,包括防火墙、虚拟专用网、病毒知识等;第4章介绍公钥基础设施;第5章介绍电子支付技术;第6章介绍安全套接层协议,包括认证算法、实现和协议分析等;第7章介绍电子商务安全的SET安全电子交易协议;第8章介绍其他电子商务安全技术,包括无线电子商务安全技术、信息隐藏、数字水印和数字版权。
本书可作为电子商务、信息管理、计算机、国际贸易类专业本科生和研究生的教材,也可以作为相关领域高级管理人员的培训教材或参考用书。
电子商务安全技术 本书目录
第1章电子商务安全概论
第2章信息加密技术与应用
第3章计算机网络安全
第4章公钥基础设施
第5章电子支付技术
第6章安全套接层协议SSL
第7章安全电子交易协议SET
第8章其他电子商务安全技术
参考文献
㈢ 电子商务安全包括哪些方面
在正确看待电子商务的安全问题时,有几个观念值得注意:
其一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二,安全是相对的。房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。
其三,安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。...在正确看待电子商务的安全问题时,有几个观念值得注意:
其一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二,安全是相对的。房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。
其三,安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。作为一个经营者,应该综合考虑这些因素;作为安全技术的提供者,在研发技术时也要考虑到这些因素。
其四,安全是发展的、动态的。今天安全明天就不一定很安全,因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全,也没有一蹴而就的安全。
㈣ 电子商务安全的内容概括为哪三个方面内容
您好,安全性 在电子商务中,安全性是一个至关重要的核心问题,它要求网络能版提供一种端到端权的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等,这与传统的商务活动有着很大的不同。。?欢迎向158教育在线知道提问
㈤ 简述电子商务的安全要素
这个很重要的呀,首面要网站服务器及网站程序安全,这个你要懂得。再就是专一些常见的骗术你属要懂的,我的小站“9528女士精品网”现在有个莫名的弹窗,怎么找不出来,凝是域名被劫持了。 电子商务也是专业人士玩的起的。
㈥ 电子商务安全是什么样的
电子商抄务它的安全要从几个方面袭去说:首先要看他的社会风险,看它是不是有危害社会的因素如果没有那么这点可以;其次是看它符合不符合现行的国家法律,也就是有没有合法的牌照,如果没问题,那么这点也可以:还有就是看这个电子商务他在国家工信部是否有正式注册以及它的平台是否安全(指技术方面)如果没问题那么这点也可以:最后就是要看它是否具有政治风险,如果也没有,那么您就可以放心大胆地去做就是了。我的回答是否满意。?
㈦ 电子商务安全技术的发展状况
1、电子商务的安全控制要求概述
电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
1.1信息保密性
交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
1.2交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家而言要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。
1.3不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。
1.4不可修改性
交易的文件是不可被修改的,如其能改动文件内容,那么交易本身便是不可靠的,客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
2、电子商务安全交易的有关标准和实施方法
2.1安全交易的雏形
在电子商务实施初期,曾采用过一些简易的安全措施,这些措施包括:
(1) 部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。
(2) 另行确认(Order Confirmation):即当在网上传输交易信息之后,再用电子邮件对交易作确认,才认为有效。
(3) 在线服务(Online Service):为了保证信息传输的安全,用企业提供的内部网来提供联机服务。
以上所述的种种方法,均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
2.2安全交易标准的制定
近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有:
(1) 安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
(2) 安全套接层协议(SSL协议:Secure Socket Layer)是由网景(Netscape)公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。
(3) 安全交易技术协议(STT:Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。
(4) 安全电子交易协议(SET:Secure Electronic Transaction):SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来“电子商务”的规范。
支付系统是电子商务的关键,但支持支付系统的关键技术的未来走向尚未确定。安全套接层(SSL)和安全电子交易(SET)是两种重要的通信协议,每一种都提供了通过Internet进行支付的手段。但是,两者之中谁将领导未来呢?SET将立刻替换SSL吗?SET会因其复杂性而消亡吗?SSL真的能完全满足电子商务的需要吗?我们可以从以下几点对比作管中一窥:
SSL提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建,在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展,但如果想要电子商务得以成功地广泛开展的话,必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置,比较容易被应用。
SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。而RSA在二者中也被用来实现不同的安全目标。
SET是一种基于消息流的协议,它主要由MasterCard和Visa以及其他一些业界主流厂商设计发布,用来保证公共网络上银行卡支付交易的安全性。SET已经在国际上被大量实验性地使用并经受了考验,但大多数在Internet上购的消费者并没有真正使用SET。
SET是一个非常复杂的协议,因为它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET还定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。事实上,SET远远不止是一个技术方面的协议,它还说明了每一方所持有的数字证书的合法含义,希望得到数字证书以及响应信息的各方应有的动作,与一笔交易紧密相关的责任分担。
3、目前安全电子交易的手段
在近年来发表的多个安全电子交易协议或标准中,均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种:
3.1密码技术
采用密码技术对信息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种:
(1)公共密钥和私用密钥(public key and private key)
这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘,对文件加密,均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数,则是十分困难的。因此将这一对质数称为密钥对(Key Pair)。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
(2)数字摘要(digital digest)
这一加密方法亦称安全Hash编码法(SHA:Secure Hash Algorithm)或MD5(MD Standards for Message Digest),由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这摘要便可成为验证明文是否是“真身”的“指纹”了。
上述两种方法可结合起来使用,数字签名就是上述两法结合使用的实例。
3.2数字签名(digital signature)
在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:
a. 信息是由签名者发送的。
b. 信息在传输过程中未曾作过任何修改。
这样数字签名就可用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发出(收到)信件后又加以否认等情况发生。
数字签名采用了双重加密的方法来实现防伪、防赖。其原理为:
(1) 被发送文件用SHA编码加密产生128bit的数字摘要(见上节)。
(2) 发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。
(3) 将原文和加密的摘要同时传给对方。
(4) 对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。
(5) 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。否则不然。
3.3数字时间戳(digital time-stamp)
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。
在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:digital time-stamp service)就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest),2)DTS收到文件的日期和时间,3)DTS的数字签名。
时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。由Bellcore创造的DTS采用如下的过程:加密时将摘要信息归并到二叉树的数据结构;再将二叉树的根值发表在报纸上,这样更有效地为文件发表时间提供了佐证。注意,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。因此,时间戳也可作为科学家的科学发明文献的时间认证。
3.4数字凭证(digital certificate, digital ID)
数字凭证又称为数字证书,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。
数字凭证的内部格式是由CCITT X.509国际标准所规定的,它包含了以下几点:
(1) 凭证拥有者的姓名,
(2) 凭证拥有者的公共密钥,
(3) 公共密钥的有效期,
(4) 颁发数字凭证的单位,
(5) 数字凭证的序列号(Serial number),
(6) 颁发数字凭证单位的数字签名。
数字凭证有三种类型:
(1) 个人凭证(Personal Digital ID):它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字凭证通常是安装在客户端的浏览器内的。并通过安全的电子邮件(S/MIME)来进行交易操作。
(2) 企业(服务器)凭证(Server ID):它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
(3) 软件(开发者)凭证(Developer ID):它通常为Internet中被下载的软件提供凭证,该凭证用于和微软公司Authenticode技术(合法化软件)结合的软件,以使用户在下载软件时能获得所需的信息。
上述三类凭证中前二类是常用的凭证,第三类则用于较特殊的场合,大部分认证中心提供前两类凭证,能提供各类凭证的认证中心并不普遍。
3.5认证中心(CA:Certification Authority)
在电子交易中,无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,都不是靠交易的双方自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心(CA)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CPS:Certification Practice Statement)来实施服务操作。
上述五个方面介绍了安全电子交易的常用手段,各种手段常常是结合在一起使用的,从而构成比较全面的安全电子交易体系。
4、应用动态
根据最新报道,我国第一个安全电子商务系统:“网上订票与支付系统”经过半年试运行后,于1999年8月8日投入正式运行,其发起单位由上海市政府商业委员会、上海市邮电管理局、中国东方航空股份有限公司、中国工商银行上海市分行、上海市电子商务安全证书管理中心有限公司等共同发起、投资与开发。
系统结构采用网上订票与支付系统由四个子系统组成:商户子系统、客户子系统、银行支付网关子系统、数字证书授权与认证子系统。
商户子系统的第一个应用是用来购买购买飞机票的中国东方航空公司网站。网址为:www.cea.online.sh.cn;它是中国安全电子商务第一网站。
客户子系统是安装于PC机上的电子钱包软件,是信用卡持有人进行网上消费的支付工具。电子钱包中必须加入客户的信用卡信息与数字证书之后,方可进行网上消费。
支付网关子系统通常是指由收款银行运行的一套设备,用来处理商户的付款信息以及持卡人发出的付款指令。
数字证书授权与认证子系统为每个交易参与方生成一个数字证书作为交易方身份的验证工具。
其技术特点是采用IBM的电子商务框架结构、嵌入经国家密码管理委员会认可的加/解密用软/硬件产品。这个电子商务系统具有如下的安全交易特点:
1) 遵循SET国际标准、具有SET标准规定的安全机制,是目前国际互联网上运行的比较安全的电子商务系统;
2) 兼顾国内信用卡/储蓄卡与国际信用卡的业务特点,具有一定的中国特色;
3) 具有开放特性,可与经SETCO国际组织认证的任何电子商务系统进行互操作;
㈧ 请讲解一些电子商务安全的重要概念
电子商务安全问题及措施研究
2005年第11期(总第85期)
--------------------------------------------------------------------------------
彭银香,白贞武
(湖南经济管理干部学院,湖南 长沙 410004)
【摘 要】电子商务在改变人们的商务模式的同时,安全问题也成为人们日益关注的重点。文章分析了电子商务应用中所存在的问题,并从计算机网络安全、商务交易安全出发,提出了电子商务应采取的主要安全措施。
【关键词】电子商务;网络安全;交易安全;加密;认证;协议
【中图分类号】 TP393 【文献标识码】 A 【文章编号】 1008-1151(2005)11-0162-02
【收稿日期】2005-08-05
【作者简介】彭银香(1972—),女,湖南邵阳人,湖南经济管理干部学院讲师,研究方向:网络安全,电子商务。
随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。相对于传统商务模式,电子商务具有便捷、高效的特点与优点。但目前全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的一小部分。究其原因,电子商务是一个复杂的系统工程,它的实现还依赖于众多从社会问题到技术问题的逐步解决与完善。其中,电子商务安全是制约电子商务发展的一个核心和关键问题,电子商务安全技术也成为各界关注和研究的热点。
一、电子商务安全问题
保证交易数据的安全是电子商务系统的关键。由于Internet本身的开放性,使电子商务系统面临着各种各样的安全威胁。目前电子商务主要存在的安全隐患有以下几个方面:
(1)对合法用户的身份冒充。攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
(2)对信息的窃取。攻击者在网络的传输信道上,通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。
(3)对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注入伪造消息等,从而使信息失去真实性和完整性。
(4)拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻,例如使一个业务口被滥用而使其他用户不能正常工作。
(5)对发出的信息予以否认。某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(6)非法入侵和病毒攻击。计算机网络会经常遭受非法的入侵攻击以及计算机病毒的破坏。
电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此,电子商务安全从整体上可分为计算机网络安全和商务交易安全两大部分。
二、计算机网络安全措施
计算机网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。
(一)保护网络安全。网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:
(1)全面规划网络平台的安全策略。
(2)制定网络安全的管理措施。
(3)使用防火墙。
(4)尽可能记录网络上的一切活动。
(5)注意对网络设备的物理保护。
(6)检验网络平台系统的脆弱性。
(7)建立可靠的识别和鉴别机制。
(二)保护应用安全。保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。
由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。
虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
(三)保护系统安全。保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:
(1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。
(2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。
(3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
三、商务交易安全措施
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。
各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。
(一)加密技术。加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。
(1)对称加密。对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。
(2)非对称加密。非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。
(二)认证技术。认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。
(1)数字签名。数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。
(2)数字证书。数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。
(三)电子商务的安全协议。除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。
(1)安全套接层协议SSL。SSL协议位于传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。
(2)安全电子交易协议SET。SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。
SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其它参与者。
四、结语
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
随着电子商务的发展,电子交易手段更加多样化,安全问题会变得更加重要和突出。电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为系统工程,而不是解决方案来实施。
【参考文献】
[1]杨德礼,王茜.电子商务的安全体系结构及技术研究[J].计算机工程,2003,29(1).
[2]樊晋宁.电子商务的安全问题和相应措施[J].科技情报开发与经济,2004,14(8).
[3]柯新生.网络支付与结算[M].电子工业出版社,2004.
㈨ 简述电子商务有哪六个安全因素
电子商务的安全要抄素包括袭哪些?
信息的保密性(信息的保密性是指网络信息通过加密技术进行的加密处理 保证其在传输活存储过程中不被他人窃取。)
信息的完整性(不因意外或人为因素而遭到破坏,保证信息的完整和统一)
信息的有效性(具有传统口头协议 书面协议的一样效力,不能加以反悔或抵赖)
实体的认证性(通过CA认证机构和其发放的数字证书来实现的)
系统的可靠性(在一定时段内连续工作的时间长度)