Ⅰ 电子商务中,数字证书的作用是什么
由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。数字证书是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的,人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的。
数字证书也必须具有唯一性和可靠性。为了达到这一目的,需要采用很多技术来实现。通常,数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密钥。
数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。
目前的数字证书类型主要包括:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。
随着Internet的普及、各种电子商务活动和电子政务活动的飞速发展,数字证书开始广泛地应用到各个领域之中,目前主要包括:发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。
Ⅱ 电子商务认证技术的发展史
电子商务源于英文ELECTRONIC COMMERCE,指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。随着电子商务的普及,人们已经习惯于网上购物,网上银行和电子支付等新兴事物,然而网络安全始终是制约电子商务发展的一个主要瓶颈。
电子商务的身份认证
在电子商务活动中,由于所有的个人和交易信息要在一个开放的网络(如Internet)进行传输和交换,故我们需要身份认证技术去验证客户的身份。身份认证一般基于客户拥有什么(如令牌,智能卡或者ID卡),客户知道什么(如静态密码),客户有什么特征(如指纹,虹膜和脑电波等)。国内外常见身份认证技术包括:用户名/密码方式 、IC卡认证、USB Key认证和生物特征认证等。随着网络和黑客技术的发展,用户名/密码方式认证已经被证明是不安全的。由于静态的密码方案不能抵御重放攻击,字典攻击且密码容易忘记, 所以其安全性是很低的,不能满足电子商务中身份认证的要求。目前国内外的一些较成熟的身份认证技术,基本上是用硬件来实现的(如IC卡和USB Key认证技术等)。
各种身份认证技术的比较
静态的用户名和口令方案。在众多的身份认证方案中,静态的用户名和口令方案至今仍是使用最广泛的方案,特别是针对那些安全性要求不强的应用场合,如论坛,BBS和电子信箱。目前公司和个人受到网络攻击的主要原因是静态密码政策管理不善。大多数用户使用的密码都是字典中可查到的普通单词、姓名或者其他简单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。最近一次全国性安全事件发生在2011年12月。当时CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。黑客在获取了CSDN的用户登录名和密码后,再用这个密码尝试登录注册邮箱,如果成功则利用很多网站常用的密码取回功能得到了该用户的其他关联网站的账号和密码。总而言之,静态密码身份认证方案的优点是实施成本低,不需要购置特殊的设备,用户体验性好,但其安全性较低。
客户证书USBKey(U盾)方案。从技术角度看,客户证书USBKey是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。目前国内几大商业银行,如工商银行、农业银行和交通银行等都采用了USBKey方案。网络黑客即使知道了客户的登录密码和支付密码,但如果没有USBKey在手,黑客还是不能够从你的帐户转出一分钱。故这种身份认证方式可以很好地避免账号、密码被盗等可能出现的风险。USBKey方案的优点是安全性很强,但由于涉及到了硬件故其成本较高,且USBKey使用前需要先安装驱动。对于一些常常出差或者需要在不同机器上使用USBKey的客户来说,由于计算机各种操作系统(如Windows和Linux)和硬件(各种不同品牌机器)的差异性,可能在安装时会遇到一些兼容性问题,这大大减低了用户的体验满意度。
短信认证方案。目前一些大型电子商务网站往往采取“静态密码+短信认证”方案。该类系统使用数字物理噪声源产生完全随机变化的动态(验证)密码,并通过无线通信方式将该动态密码发送到用户的无线通信终端(寻呼机或移动电话等) 上。譬如支付宝网站在用户支付小额金额时只需输入支付密码,但额度如果超过一定额度(如200元),则支付宝网站向用户手机(注册时登记的号码)发一条验证短信,然后用户在网站上输入6位的手机验证码和支付密码后才能完成付款。采用这种身份认证方式的优点是既保证了小额支付的快捷性,又保证了大额支付的安全性。但由于该认证系统的实时性和稳定性在很大的程度上依赖于无线通信网的状态,当网络出现拥塞时将导致验证密码传输会有较大的时延,甚至将使系统无法正常完成身份认证过程,而且由于短信的发送会产生大量的短信费用,对中小型电子商务网站来说仍然是不小的开销。
动态口令认证方案。动态口令又称为一次性口令OTP(One-Time-Password),其特点是用户根据服务商提供的动态口令令牌的显示数字来输入动态口令,而且每个登录服务器的口令只使用一次,窃听者无法用窃听到的登录口令来做下一次登录,同时利用单向散列函数(如 Sha-1算法等)的不可逆性,防止窃听者从窃听到的登录口令推出下一次登录口令。中国银行就是采用了动态口令认证方案。该方案的特点使用简单,用户无须安装任何驱动,操作时只需输入当前显示的6位动态口令即可。其不足之处是安全性没有USBKey强,如在2011年上半年,全国各地出现了多起中国银行动态口令泄露安全事件。黑客们首先设计了多个钓鱼网站,然后引诱中银用户输入登录密码和动态口令。动态口令虽然为一次性口令,但其在60秒之内是可反复使用的。故黑客得到了用户的登录密码和动态口令之后,只要在1分钟内登录进真正的中银系统后就可以完成转账等窃取用户资金的操作了。
三、结束语
作为一种商务活动过程,电子商务将带来一场史无前例的革命,而电子商务网站的安全性问题也越来越受到人们的重视,其身份认证也已从最初的逻辑认证发展到物理认证最终将达到生物认证,希望在不久的将来安全可靠的电子商务会将人类真正带入信息社会。
Ⅲ CA认证在电子商务交易过程中的具体作用
CA认证的作用就是PKI体系抄的作用。袭
PKI(Public Key Infrastructure),即公钥基础结构。PKI利用公钥加密技术为网上电子商务的开展提供了一套安全基础平台,用户利用PKI平台提供的安全服务进行安全通信。
PKI(公开密钥体系)一词被解释成为是一种框架体系,通过它,在不安全的信道上的通信的用户可实现信息数据的安全交换,满足商务对保密性,完整性,身份认证及不可否认性的安全需求,其构成主要包括硬件、软件、人员、指导原则及方法。它的好处在于:第一,网上交易双方可通过值得信赖的第三方机构完成交易,由于金融机构的特殊身份常使其充当第三方认证机构的角色,因此可将交易双方的风险降至最低;其次,PKI的应用发展已从区域型逐步发展到全球性,如著名的Identrust 组织建立了一套支持全球数字证书发放的体系,包括不同证书机构之间合作的程序以及对争议、索赔等问题的处理等,使具有法律约束力的电子商务得以在全球范围内展开。
Ⅳ 安全在电子商务中有什么地位和作用
随着信息技术、网络技术和Internet的飞速发展,电子商务成为越来越多的人关注的焦点。电子商务使得人们可以在网上通过建立网站树立自己的形象,发布自己的产品信息,宣传产品广告,提供售后服务,甚至可以提供网上交谈、电子合同签订、电子交易和资金结算等。但是,事物的发展都存在两面性,一方面电子商务给我们带来了便利,同时在进行电子商务活动时,需要在Internet上传输消费者和商家的一些机密信息,如用户信用卡、商家用户信息和订购信息等,而这些信息一直是网络非法入侵者或黑客的攻击目标。如何保证电子商务安全,如何对敏感信息和个人信息提供机密性保障、认证交易双方的合法身份以及数据的完整性和交易的不可否认性,已经成为电子商务发展的瓶颈,对这些问题的担心也是导致很多人不愿意进行网上购物和支付的主要要原因。
所以在当代电子商务盛行的时代,确宝电子商务的安全是非常有必要的。
Ⅳ 电子商务中信息认证的作用有哪些
电子商务中的信息认证的作用如下:
1、平台设置信息认证,是为了进行筛内选,提升信息的准确容性与安全性以及真实性,认证后的信息会更加让人信服。
2、信息认证之后,可以在多个平台上进行展现,有更好的排名。
3、信息认证后,会受到人们的关注,在移动互联网社会,会带来分享与口碑的提升。
Ⅵ 安全认证技术主要有(电子商务作业)
电商商务概论课程代码00896书上有
Ⅶ 在电子商务方面,认证技术包括哪几个方面
1、导入
2、信用问题
3、网络设施不完善
4、认证技术在电子商务中的应用
Ⅷ 电子商务中如何运用数字签名和证书技术
有关数字签名在电子商务领域的应用,以下整理自网友,供参考:
电子商务(e-business) ,指使用Web技术帮助企业精简流程、增进生产力、提高效率。使公司易与合作伙伴、供货商和客户进行沟通,连接后端数据系统,并以安全的方式进行商业事项处理。
Internet技术的出现,使人们借助互联网络广泛地从事商品与服务的电子化交易,这不仅大大扩展了交易范围,而且可以有效地缩短交易时间,降低交易成本。
电子商务承载着政府机关、企业和个人的重要信息,这些信息在操作、传输、处理等各个环节都必须保证其完整性、保密性、不可抵赖性。概括起来,通过网络实现电子政务、电子商务系统所面临的安全问题有:
1、身份认证:如何准确判断用户是否为系统的合法用户;
2、用户授权:合法用户进入系统后,对其访问哪些信息,是否有修改或删除做出权限管控;
3、保密性:如何保证系统中涉及的大量需保密的信息通过网络传输过程中不被窃取;
4、完整性:如何保证系统中所传输的信息不被中途篡改及通过重复发送进行虚假交易;
5、抗抵赖性:如何保证系统中的用户签发后又不承认自己曾认可的内容。
由于传统的“用户名+口令”的认证方式存在较多安全隐患,如口令有可能被破解;并且通过登录的用户名无法有效判断登录系统用户的真实身份,从而导致非法用户可以伪造、假冒系统用户的身份;登录到系统可以借机进行篡改、破坏等。
在电子商务系统运行过程中,系统安全和信息安全是非常重要和必需的,万一出现不安全的意外情况,应能及时发现、立即补救。