电子商务安全身份认证的过程

㈠ 1．简述CA认证的过程。 2．简述数字签名在检测信息完整性方面的原理。 3．简述电子商务流程。 4．简述反弹

电子签名在电子政务、商务中起重要作用

互联网（Internet）技术的飞速发展不断地影响着人们的思维，改进了我们的工作、生活方式，给我们带来无限的快乐和方便，如它代替了电话、信件、报纸等，普通网站和电子邮件带来的影响本文不再重复，随着《中华人民共和国电子签名法》的颁布和实施，电子政务和电子商务将给我们的工作和生活带来巨大的影响。

电子政务(e-government)，指政府机构在其管理和服务职能中运用现代信息技术，实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，建成一个精简、高效、廉洁、公平的政府运作模式。

电子商务(e-business) ，指使用Web技术帮助企业精简流程、增进生产力、提高效率。使公司易与合作伙伴、供货商和客户进行沟通，连接后端数据系统，并以安全的方式进行商业事项处理。Internet技术的出现，使人们借助互联网络广泛地从事商品与服务的电子化交易，这不仅大大扩展了交易范围，而且可以有效地缩短交易时间，降低交易成本。

一、 电子政务、电子商务系统呼唤安全

电子政务和电子商务承载着政府机关、企业和个人的重要信息，这些信息在操作、传输、处理等各个环节都必须保证其完整性、保密性、不可抵赖性。概括起来，通过网络实现电子政务、电子商务系统所面临的安全问题有：

1、 身份认证：如何准确判断用户是否为系统的合法用户；

2、 用户授权：合法用户进入系统后，他具有什么样的权限，能访问哪些信息，是否具有修改或删除权限；

3、 保密性：如何保证系统中涉及的大量需保密的信息通过网络传输过程中不被窃取；

4、 完整性：如何保证系统中所传输的信息不被中途篡改及通过重复发送进行虚假交易；

5、 抗抵赖性：如何保证系统中的用户签发后又不承认自己曾认可的内容。

由于传统的“用户名+口令”的认证方式存在较多安全隐患，如口令有可能被破解；并且通过登录的用户名无法有效判断登录系统用户的真实身份，从而导致非法用户可以伪造、假冒系统用户的身份；登录到系统可以借机进行篡改、破坏等。

在电子政务、电子商务系统运行过程中，系统安全和信息安全是非常重要和必需的，万一出现不安全的意外情况，应能及时发现、立即补救。

二、 保证系统和信息安全的措施

保证系统和信息安全的关键在于管理和技术两个方面，应从技术保障体系、运行管理体系、社会服务体系和基础设施建设等四个方面构建系统的安全管理体系。下面将从技术角度来分析如何实施系统的信息安全：

1、 数字证书认证中心（Certificate Authority，简称为CA），通过数字证书解决身份认证中必须解决的保密性、完整性和不可抵赖性问题，由数字证书认证中心产生、分配并管理所有涉及网络资源的实体所需的身份认证数字证书。这部分内容可参见《通过数字证书确认用户合法身份》，本文不作重点论述。

2、 特权管理基础设施（Privilege Management Infrastructure，简称为PMI），是一种支持很多应用系统的基础设施，它通过定义角色、用户、安全策略等，经过对用户的认证和授权，实现了对资源的管理以及对用户的访问控制，从而解决了信息安全中重要的权限管理的问题。这部分内容可参见《通过PMI实现权限管理》，本文不作重点论述。

3、 电子签名，《中华人民共和国电子签名法》第十四条指出“可靠的电子签名与手写签名或者盖章具有同等的法律效力”，这就从法律的高度规定了“当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力”。可靠的电子签名应同时满足以下四个条件：

（1）电子签名制作数据用于电子签名时，属于电子签名人专有: 通常情况下，可由签名数据的审计部门人员和系统管理员在相互监督的情况下共同完成签名数据的制作过程。待制作过程结束后，可将制作时的原始图像文件共同锁起来或彻底销毁。

（2）签署时电子签名制作数据仅由电子签名人控制：电子签名数据通常与数字证书捆绑使用，通过数字证书的认证，系统密码和电子签名口令的验证来确保仅由电子签名人控制其对应数据。

（3）签署后对电子签名的任何改动能够被发现：对电子签名的改动，从技术角度来说，是比较容易被发现的。

（4）签署后对数据电文内容和形式的任何改动能够被发现：这点非常重要，它关系到电子签名能否起到与手写签名或盖章同等法律效力的关键，无论对数据电文内容的修改，还是对其形式的修改，都应能检验出来，并明显地标识。

三、 电子签名系统的功能

电子签名，泛指所有以电子形式存在，依附在电子文件并与其逻辑关联，可用以辨识电子文件签署者的身份，以保证文件的完整性，并表示签署者同意电子文件所陈述的内容。一般来说，对电子签名的认定，都是从技术角度而言的，主要是指通过特定的技术方案来鉴别当事人的身份及确保其内容和开式不被篡改的安全保障措施；从广义上讲，电子签名不仅包括我们通常意义上讲的“非对称性密钥加密”，也包括计算机口令、生物笔迹辨别、指纹识别，以及新近出现的眼虹膜透视辨别法、面纹识别等。目前，最成熟且普遍使用的电子签名技术是以公钥及密钥的“非对称型”密码技术制作的。

有人把电子签名分成数字签名和电子签章，分别对应手写签名和盖章；有些软件开发商也分成数字签名系统和电子签章系统，这是从报价策略、满足用户不同需求和应用规模来划分的，其关键技术的原理和实现方法是一致的。一个电子签名系统应包括以下功能：

1、电子制章：将手写签名、图章或图片等通过扫描或数码照相等方式，制成签名的数据文件，由电子制章子系统将它与数字证书捆绑，既可存放在印章管理中心，又可倒入IC卡或cKEY等（但不能倒出），只允许电子签名本人使用。

2、电子签名：能在Word、Excel、WPS等格式的电子文档上任意地方签署单位公章或个人签名，图章上浮透明显示，效果如同纸质盖章或签名；支持多个单位或个人会签，签名前图章可移动。

3、文档验证：任何人都可以对文档的完整性进行验证，即如果签署后的签名、文档的内容或形式发生了变更，验证时则会提示文档验证不通过；验证不通过的图章通过增加横杠等形式来表示。

4、签名认证：认证所用图章的真实性和可靠性。

5、撤消签名：签署用户本人可撤消其曾经盖过的章，例如对图章位置不满意，可用此功能撤消图章后，移动到合适位置再签。但此功能只对原签署者有效；撤消签章只能从最后一位用户开始。

6、查看证书：查看签署者的相关资料。

7、查看签名时间：查看签署者签署文档的时间。

8、删除样章：无法用Del键删除样章，只能通过此功能删除样章。

9、文档锁定：文档锁定功能主要用于保护文档不被篡改。一旦文档被锁定，则文档将不可再更改；解锁时，首先认证操作人的身份，身份认证通过后再进行口令校验，两者都通过的情况下方可解锁。

10、打印份数设置：为了适用各种应用的要求，确保签名后的文档的打印可控性，最好能实现相对复杂的打印控制功能。

随着应用的不断深入和技术的飞速发展，电子签名系统的功能将得到进一步完善和增加，为人们的工作和生活带来更多的便利；但同时也给安全保密提出了更高的要求。

四、 电子签名的应用情况

电子文件（包括公文、公告、合同、订单、票据、设计图纸等）是通过电脑进行操作、传输、存储和处理的数字化产物，与纸质文件相比，电子文件具有存储体积小、检索速度快、远距离快速传递及同时满足多用户共享等优点。随着计算机和网络信息技术的发展和应用普及，越来越多的文件直接在计算机上产生和传输；但随着电子政务发展的同时，一些重要文件、公告的传送依然是白纸黑字盖上大红公章，信邮人送，没有充分发挥电子文件的高效率，其主要原因在于操作者担心电子文件在网上可能被人下载、复制、偷窥、篡改等，因此使文件发送者望而却步。各电子认证服务提供者针对这一问题开发了电子签名系统，采用基于公钥的安全体制，保证电子文件的安全管理；配合其它电子政务平台，使正式公文的网络传送成为现实，解决了电子文件保密、完整、不可否认等方面的要求。

随着网上办公和交易活动的增多，在有纸化办公向无纸化办公转变的历程中，传统印章已逐渐不适应信息社会的新形势。在这样的情况下，电子印章的出现使权力与权利人更好地结合在一起，就像不可能放弃电话、电子邮件，固守着传统的邮局一样，人们也不可能回避电子签名带来的影响。

今年4月1日，《中华人民共和国电子签名法》正式生效，它将对各种商业行为和公众带来法律保障。电子签名有可能引发一场类似电子邮件逐步替代大部分传统邮件一样的变革。有信息专家认为，电子印章的出现和普及，是实现信息传递流程全程电子化的最后一环，是彻底实现“无纸化办公”的前提条件之一。随着“无纸化运动”的推进，以及电子政务、电子商务的发展，电子文件越来越多地替代了纸质文件，这也使电子签名部分取代实物印章、手写签名成为必然的潮流和趋势，如同电报取代驿站、电话取代电报、电子邮件取代寄信一样，电子签名将成为信息技术发展史上的一个新的里程碑。

㈡ 企业的电子商务安全认证主要包括哪几个方面

安全交易和支付主要保证以下四个方面：
一、信息保密性：交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉，因此在信息传播中一般均有加密的要求。
二、交易者身份的确定性：网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
三、不可否认性：由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。
四、不可修改性：交易的文件是不可被修改的，否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改，以保障商务交易的严肃和公正。
电子商务安全认证中心(CA)的基本功能是：
1、生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。
2、 对数字证书和数字签名进行验证。
3、 对数字证书进行管理，重点是证书的撤消管理，同时追求实施自动管理（非手工管理）。
4、 建立应用接口，特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。

㈢ 电子商务身份认证的主要目的是什么

安全!它们是判明和确定交易双方真实身份的两个重要环节。

㈣ 目前电子商务安全中常用的身份认证方式有哪四种

电子商务安全的认证，就是对某个实体提供确保声明，表明其身份或所拥有的权限。

目前电子商务安全中常用的身份认证方式有：
a.网络系统中常用的身份认证方式：口令识别、生物特征识别。
b.认证机构——CA机构，又称为证书授证中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。
c.口令识别法：是最简单应用最广泛的认证机制。
d.指纹识别技术。
e.人脸识别技术。

㈤ 电子商务的安全机制

移动电子商务安全机制探讨[摘要] 文章分析了目前移动电子商务业务所面临的安全性问题，并结合移动电子商务的技术体系结构，从移动通信网络的角度出发，对影响移动电子商务发展前景的有关安全机制进行了探讨。
[关键词] 移动电子商务 安全机制 移动通信

移动电子商务（M-Commerce）是指通过手机、PDA、笔记本电脑等移动通信设备与无线上网技术结合所构成的一个电子商务体系。相对于传统的电子商务体系而言，移动电子商务可以使使用者在任何时间、任何地点都能够得到整个网络的信息与服务，增加了商务活动的灵活性、便利性、随时性，为企业带来了更多的商业机会。但由于电子商务本身存在的安全问题以及移动设施引发的新的商务安全隐患，使得移动电子商务的安全成为业内人士关注的热点，直接关系到移动电子商务模式的运行前景。

一、移动电子商务面临的安全性问题

1.来自移动通信终端的安全威胁
与有线终端相比，移动通信终端的资源状况非常有限，CPU的处理能力、内存的容量、数据传输速率等都与有线终端存在很大的差距，使得在有限的资源中开展的业务受到很大的限制。移动通信终端体积小、重量轻，便于随身携带使用，但也容易丢失和被窃。这使得攻击者可以通过所获取来的移动终端上的数据资源如数字证书、机密数据等，非授权访问企业内部网络的系统资源，或破坏移动通信终端中的数据完整性。目前手持移动设备最大的问题就是缺少对特定用户的实体认证机制。
2.无线通信网络本身的威胁
移动电子商务是基于移动通信系统的无线数据通信技术的。无线通信网络是通过一个开放的信道进行通信，无法像有线网络那样依靠信道的安全来保护信息，这就使得它在给无线用户带来通信自由和灵活性的同时，也带来了诸多不安全因素。这对于使用无线网络的用户信息安全、个人安全等都构成了潜在的威胁。
3.移动Ad-hoc网络存在的安全问题
Ad-Hoc网络是一种没有有线基础设施支持的移动网络，在不依赖基础网络设施的前提下由一定范围内的移动终端动态的建立可以互联的网络。由于移动Ad-Hoc网络所固有的开放的媒质、分布式的合作、动态的拓扑结构、受限的网络能力及缺乏中心授权机制等特点，使这种网络特别容易遭受攻击。

二、移动电子商务安全机制

目前，推动移动电子商务发展的技术主要包括有WAP(无线应用协议)技术、蓝牙技术、移动IP技术、无线局域网技术等。下面就这几个方面所实施的安全机制进行探讨。
1.无线应用协议(WAP)
无线应用协议是移动电子商务的核心技术之一,它由一系列协议组成，提供了一套开放、统一的技术平台，用来标准化无线通信设备，负责将Internet和移动通信网连接到一起，客观上已成为移动终端上网的标准。WAP的安全机制是由WTLS(无线传输层安全)协议、WIM(无线身份识别模块)、WPKI(无线公共密钥系统)、WMLScript(无线标记语言脚本)4部分组成。WTLS协议类似于互联网传输层安全协议，可以确保在WAP装置和WAP网关之间的安全通信;WIM是安装在WAP设备中的一个WAP身份识别模块，将安全功能从移动终端转移到抗损害设备中;WPKI是将互联网电子商务中PKI的安全机制优化延伸引入到移动电子商务中，提供身份认证的机制;WMLScript是一种能够提高编程功能的语言，可以用在基于WAP的应用开发中。
2.蓝牙技术
蓝牙技术是一种低成本、低功率的无线局域网技术。其为保护通信安全而采用的安全机制包括：采用跳频技术，提供一定的安全保障；使用字管理机制，作为蓝牙系统鉴权和加密的基础；严谨的链接字产生机制，以申请者的蓝牙设备地址、一个PIN码、PIN码的长度和一个随机数作为参数，通过E22 算法产生初始化字Kunit，并以此为基础进行相应的加密及鉴权操作；高安全性的蓝牙鉴权机制，以双鉴权的做法保证通信双方的身份认定；有效的数据加密技术，不仅对数据包加密，而且对加密过程的中间数据进行加密，防止系统被攻击和数据被窃取。
3.移动IP技术
移动IP技术通过在网络层改变IP协议，允许移动节点在不重新启动、不中断任何进行中的通信的前提下，移动自己的位置，从而实现移动通信终端在网络中的无逢漫游。但此项技术虽给用户提供一个方便快捷的信息交互环境，却也为恶意的技术闯入大开便捷之门，因此移动IP技术采用了隧道技术、安全路由、切换外地代理时的认证机制、采用IPSEC安全协定及数据加密、身份认证等多项安全措施，以确保可靠通信。
4.无线局域网(WLAN)技术
WLAN的安全机制包括物理措施和协议安全两个方面。采用扩频技术、服务集标识符访问控制、用户认证口令控制和访问控制列表等方式实现物理安全。WLAN安全领域的最新标准是IEEE 802.11i标准，其中有对有线等价协议改进的临时密钥完整性协议及先进加密标准来保护数据传输的安全，有IEEE 802.1x/EAP来达到认证、鉴权和动态密钥分配，有EAP/SIM (可扩展认证协议/用户识别卡)、EAP/AKA (可扩展认证协议/认证与密钥协商)使WLAN与GSM网络以及未来的3G网络能够互通。
随着移动通信技术的不断成熟，移动电子商务以其技术领先性与市场适应性体现出明显的竞争实力。更个性化的移动客户服务、更精确的移动营销方法、更高效的移动办公系统、更快速的移动信息采集与管理、更安全方便的移动支付手段以及更丰富的行业应用将为企业创造更高的商业效率。只有完善移动电子商务的安全技术问题，才能推动移动电子商务的飞速发展。

参考文献:
[1]唐晓东:电子商务中的信息安全[M].北京交通大学出版社,2006,9
[2]倪源:增强的无线局域网安全技术分析[J].中兴通讯技术,2003,6
[3]汪红松:移动电子商务的安全问题研究[J].电子商务, 2006,18
[4]贾晓芸:无线通信的安全机制[J].中国计算机报, 2007,7 <br <="p=">

㈥ 电子商务安全涉及哪三种因素，包括哪四个环节

三因素：

（）基本加密算法；

（2）以基本加密算法为基础的CA体系以及数字信封、数字签名等基本安全技术；

（3）以基本加密算法、安全技术、CA体系为基础的各种安全应用协议。

四环节：

（1）数据传输的安全性。对数据传输的安全性需求即是保证在公网上传送的数据不被第三方窃取。

对数据的安全性保护是通过采用数据加密（包括秘密密钥加密和公开密钥加密）来实现的，数字信封技术是结合秘密密钥加密和公开密钥加密技术实现的保证数据安全性的技术。

（2）数据的完整性。对数据的完整性需求是指数据在传输过程中不被篡改。数据的完整性是通过采用安全的散列函数和数字签名技术来实现的。双重数字签名可以用于保证多方通信时数据的完整性。

（3）身份验证。由于网上的通信双方互不见面，必须在交易时（交换敏感信息时）确认对方等真实身份；在涉及到支付时，还需要确认对方的账户信息是否真实有效。身份认证是采用口令字技术、公开密钥技术或数字签名技术和数字证书技术来实现的。

（4）交易的不可抵赖。网上交易的各方在进行数据传输时，必须带有自身特有的、无法被别人复制的信息，以保证交易发生纠纷时有所对证。这是通过数字签名技术和数字证书技术来实现的。

(6)电子商务安全身份认证的过程扩展阅读：

电子商务可提供网上交易和管理等全过程的服务。因此，它具有广告宣传、咨询洽谈、网上定购、网上支付、电子账户、服务传递、意见征询、交易管理等各项功能。

1、广告宣传

电子商务可凭借企业的Web服务器和客户的浏览，在Internet上发布各类商业信息。客户可借助网上的检索工具迅速地找到所需商品信息，而商家可利用网上主页和电子邮件在全球范围内作广告宣传。

与以往的各类广告相比，网上的广告成本最为低廉，而给顾客的信息量却最为丰富。

2、咨询洽谈

电子商务可借助非实时的电子邮件，新闻组和实时的讨论组来了解市场和商品信息、洽谈交易事务，如有进一步的需求，还可用网上的白板会议（Whiteboard Conference）来交流即时的图形信息。

网上的咨询和洽谈能超越人们面对面洽谈的限制、提供多种方便的异地交谈形式。

3、网上订购

电子商务可借助Web中的邮件交互传送实现网上的订购。网上的订购通常都是在产品介绍的页面上提供十分友好的订购提示信息和订购交互格式框。

当客户填完订购单后，通常系统会回复确认信息单来保证订购信息的收悉。订购信息也可采用加密的方式使客户和商家的商业信息不会泄漏。

4、网上支付

电子商务要成为一个完整的过程。网上支付是重要的环节。客户和商家之间可采用信用卡账号实施支付。在网上直接采用电子支付手段将可省略交易中很多人员的开销。网上支付将需要更为可靠的信息传输安全性控制以防止欺骗、窃听、冒用等非法行为。

5、电子账户

网上的支付必须有电子金融来支持，即银行或信用卡公司及保险公司等金融单位要为金融服务提供网上操作的服务。而电子账户管理是其基本的组成部分。

信用卡号或银行账号都是电子账户的一种标志。而其可信度需配以必要技术措施来保证，如数字凭证、数字签名、加密等，这些手段的应用提供了电子账户操作的安全性。

6、服务传递

对于已付了款的客户应将其订购的货物尽快地传递到他们的手中。而有些货物在本地，有些货物在异地，电子邮件将能在网络中进行物流的调配。

而最适合在网上直接传递的货物是信息产品。如软件、电子读物、信息服务等。它能直接从电子仓库中将货物发到用户端。

7、意见征询

电子商务能十分方便地采用网页上的“选择”、“填空”等格式文件来收集用户对销售服务的反馈意见。这样使企业的市场运营能形成一个封闭的回路。客户的反馈意见不仅能提高售后服务的水平，更使企业获得改进产品、发现市场的商业机会。

8、交易管理

整个交易的管理将涉及人、财、物多个方面，企业和企业、企业和客户及企业内部等各方面的协调和管理。

因此，交易管理是涉及商务活动全过程的管理。电子商务的发展，将会提供一个良好的交易管理的网络环境及多种多样的应用服务系统。这样，能保障电子商务获得更广泛的应用。

㈦ 电子商务有哪些安全交易认证技术

电子商务安全要素

安全问题是企业应用电子商务最担心的问题，而如何保障电子商务活动的安全，将一直是电子商务的核心研究领域。作为一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递；其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。下面介绍电子商务涉及的安全要素.
1.有效性
电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
2.机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个较为开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。
3.完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。
4.可靠性
电子商务直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方是保证电子商务顺利进行的关键。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
5.即需性
即需性是防止延迟或拒绝服务，即需安全威胁的目的就在于破坏正常的计算机处理或完全拒绝服务。在电子商务中，延迟一个消息或消除它会带来灾难性的后果。
6.身份认证
指交易双方可以相互确认彼此的真实身份，确认对方就是本次交易中所称的真正交易方。这一过程为授权和审计所必需，也是实现授权、审计的访问控制过程运行的前提，是计算机网络安全系统不可缺少的组成部分。
7.审查能力
根据机密性和完整性的要求,应对数据审查的结果进行记录。审查能力是指每个经授权的用户的活动的唯一标识和监控，以便对其所使用的操作内容进行审计和跟踪。

三、电子商务交易安全技术
由于电子商务活动所涉及的大量机密信息都必须通过网络传播，并且以电子数据的形式存储，要求有完善的安全技术来保证电子商务交易的安全。目前，电子商务过程中主要采用的安全技术有加密技术、认证技术和安全认证协议。
1.加密技术
加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。在加密和解密的过程中，由加密者和解密者使用的加解密可变参数叫做密钥。目前，获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。
2.认证技术
安全认证的主要作用是进行信息认证。主要包括安全认证技术和安全认证机构两个方面。安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等；电子商务认证中心就是承担网上安全交易认证服务，能签发数字证书，并能确认用户身份的服务机构。
3.安全认证协议
目前电子商务中有两种安全认证协议被广泛使用，即安全套接层SSL协议和安全电子交易SET协议。SSL协议一般服务于银行对企业或企业对企业的电子商务。SET协议位于应用层，用来保证互联网上银行卡支付交易安全性。所以SET一般服务于持卡消费、网上购物的电子商务。

四、结束语
随着网络技术的提高，基于互联网的电子商务在近年来获得了巨大的发展，成为一种全新的商务模式，具有很大的发展前途；这种电子商务模式对管理水平、信息传递技术都提出了更高的要求，其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电于商务应用环境，对交易信息提供足够的保护，是商家和用户都十分关注的话题。安全问题己成为电子商务的核心问题，解决电子商务网络交易中的安全问题，是保证电子商务顺利发展的基础，安全性成为电子商务能否成功发展的决定性因素。电子商务网络交易中的安全问题还有待于继续探讨。

㈧ 关于电子商务中的身份认证，怎么防范黑客之类的入侵者

电子商务源于英文ELECTRONIC
COMMERCE，指的是利用简单、快捷、低成本的电子通讯方式，买卖双方不谋面地进行各种商贸活动。随着电子商务的普及，人们已经习惯于网上购物，网上
银行和电子支付等新兴事物，然而网络安全始终是制约电子商务发展的一个主要瓶颈。
一、电子商务的身份认证
在
电子商务活动中，由于所有的个人和交易信息要在一个开放的网络(如Internet)进行传输和交换，故我们需要身份认证技术去验证客户的身份。身份认证
一般基于客户拥有什么(如令牌，智能卡或者ID卡)，客户知道什么(如静态密码)，客户有什么特征(如指纹，虹膜和脑电波等)。国内外常见身份认证技术包
括：用户名/密码方式 、IC卡认证、USB
Key认证和生物特征认证等。随着网络和黑客技术的发展，用户名/密码方式认证已经被证明是不安全的。由于静态的密码方案不能抵御重放攻击，字典攻击且密
码容易忘记，
所以其安全性是很低的，不能满足电子商务中身份认证的要求。目前国内外的一些较成熟的身份认证技术，基本上是用硬件来实现的(如IC卡和USB
Key认证技术等)。
二、各种身份认证技术的比较
1.

静态的用户名和口令方案。在众多的身份认证方案中，静态的用户名和口令方案至今仍是使用最广泛的方案，特别是针对那些安全性要求不强的应用场合，如论
坛，BBS和电子信箱。目前公司和个人受到网络攻击的主要原因是静态密码政策管理不善。大多数用户使用的密码都是字典中可查到的普通单词、姓名或者其他简
单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。最近一次全国性安全事件发生在2011年12月。当时CSDN的安全系统
遭到黑客攻击，600万用户的登录名、密码及邮箱遭到泄漏。黑客在获取了CSDN的用户登录名和密码后，再用这个密码尝试登录注册邮箱，如果成功则利用很
多网站常用的密码取回功能得到了该用户的其他关联网站的账号和密码。总而言之，静态密码身份认证方案的优点是实施成本低，不需要购置特殊的设备，用户体验
性好，但其安全性较低。
2.
客户证书USBKey(U盾)方案。从技术角度看，客户证书USBKey是用于网上银行电子签名和数字认证的工具，它内置微型智能卡处理器，采用1024
位非对称密钥算法对网上数据进行加密、解密和数字签名，确保网上交易的保密性、真实性、完整性和不可否认性。目前国内几大商业银行，如工商银行、农业银行
和交通银行等都采用了USBKey方案。网络黑客即使知道了客户的登录密码和支付密码，但如果没有USBKey在手，黑客还是不能够从你的帐户转出一分
钱。故这种身份认证方式可以很好地避免账号、密码被盗等可能出现的风险。USBKey方案的优点是安全性很强，但由于涉及到了硬件故其成本较高，且
USBKey使用前需要先安装驱动。对于一些常常出差或者需要在不同机器上使用USBKey的客户来说，由于计算机各种操作系统(如Windows和
Linux)和硬件(各种不同品牌机器)的差异性，可能在安装时会遇到一些兼容性问题，这大大减低了用户的体验满意度。
3.
短信认证方案。目前一些大型电子商务网站往往采取“静态密码+短信认证”方案。该类系统使用数字物理噪声源产生完全随机变化的动态(验证)密码,并通过无
线通信方式将该动态密码发送到用户的无线通信终端(寻呼机或移动电话等)
上。譬如支付宝网站在用户支付小额金额时只需输入支付密码，但额度如果超过一定额度(如200元)，则支付宝网站向用户手机(注册时登记的号码)发一条验
证短信，然后用户在网站上输入6位的手机验证码和支付密码后才能完成付款。采用这种身份认证方式的优点是既保证了小额支付的快捷性，又保证了大额支付的安
全性。但由于该认证系统的实时性和稳定性在很大的程度上依赖于无线通信网的状态，当网络出现拥塞时将导致验证密码传输会有较大的时延,甚至将使系统无法正
常完成身份认证过程，而且由于短信的发送会产生大量的短信费用，对中小型电子商务网站来说仍然是不小的开销。
4.
动态口令认证方案。动态口令又称为一次性口令OTP(One-Time-Password)，其特点是用户根据服务商提供的动态口令令牌的显示数字来输入
动态口令，而且每个登录服务器的口令只使用一次，窃听者无法用窃听到的登录口令来做下一次登录，同时利用单向散列函数(如
Sha-1算法等)的不可逆性，防止窃听者从窃听到的登录口令推出下一次登录口令。中国银行就是采用了动态口令认证方案。该方案的特点使用简单，用户无须
安装任何驱动，操作时只需输入当前显示的6位动态口令即可。其不足之处是安全性没有USBKey强，如在2011年上半年，全国各地出现了多起中国银行动
态口令泄露安全事件。黑客们首先设计了多个钓鱼网站，然后引诱中银用户输入登录密码和动态口令。动态口令虽然为一次性口令，但其在60秒之内是可反复使用
的。故黑客得到了用户的登录密码和动态口令之后，只要在1分钟内登录进真正的中银系统后就可以完成转账等窃取用户资金的操作了。

再参考http://wenku..com/view/6f54036925c52cc58bd6be2f.html 你就完全知道了

现在最多使用的是CA和数字证书两种技术