电子商务安全协议有哪些

A. 电子商务中的安全协议是什么意思

安全协议是以密码学为基础的消息交换协议，其目的是在网络环境中提供各种安全服务。密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法。安全协议是网络安全的一个重要组成部分，我们需要通过安全协议进行实体之间的认证、在实体之间安全地分配密钥或其它各种秘密、确认发送和接收的消息的非否认性等。

安全协议是建立在密码体制基础上的一种交互通信协议，它运用密码算法和协议逻辑来实现认证和密钥分配等目标。

安全协议可用于保障计算机网络信息系统中秘密信息的安全传递与处理，确保网络用户能够安全、方便、透明地使用系统中的密码资源。安全协议在金融系统、商务系统、政务系统、军事系统和社会生活中的应用日益普遍，而安全协议的安全性分析验证仍是一个悬而未决的问题。在实际社会中，有许多不安全的协议曾经被人们作为正确的协议长期使用，如果用于军事领域的密码装备中，则会直接危害到军事机密的安全性，会造成无可估量的损失。这就需要对安全协议进行充分的分析、验证，判断其是否达到预期的安全目标。

网络安全是实现电子商务的基础，而一个通用性强，安全可靠的网络协议则是实现电子商务安全交易的关键技术之一，它也会对电子商务的整体性能产生很大的影响。由美国Netscape公司开发和倡导的SSL协议（Secure Sockets Layer，安全套接层），它是目前安全电子商务交易中使用最多的协议之一，内容主要包括协议简介、记录协议、握手协议、协议安全性分析以及应用等。本文在简单介绍SSL协议特点和流程的基础上，详细介绍了SSL协议的应用和配置过程。

1 、SSL协议简介

SSL作为目前保护Web安全和基于HTTP的电子商务交易安全的事实上的，被许多世界知名厂商的Intranet和Internet网络产品所支持，其中包括Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客户机和服务器产品，如IE和Netscape浏览器，IIS、Domino Go WebServer、Netscape Enterprise Server和Appache等Web Server等。

SSL采用对称密码技术和公开密码技术相结合，提供了如下三种基本的安全服务：秘密性。SSL客户机和服务器之间通过密码算法和密钥的协商，建立起一个安全通道。以后在安全通道中传输的所有信息都经过了加密处理，网络中的非法窃听者所获取的信息都将是无意义的密文信息。

完整性。SSL利用密码算法和hash函数，通过对传输信息特征值的提取来保证信息的完整性，确保要传输的信息全部到达目的地，可以避免服务器和客户机之间的信息内容受到破坏。

认证性。利用证书技术和可信的第三方CA，可以让客户机和服务器相互识别的对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户)，SSL要求证书持有者在握手时相互交换数字证书，通过验证来保证对方身份的合法性。

SSL协议的实现属于SOCKET层，处于应用层和传输层之间，由SSL记录协议（SSL RECORD PROTOCOL）和SSL握手协议（SSL HAND-SHAKE PROTOCOL）组成的，其结构如图1所示：

SSL可分为两层，一是握手层，二是记录层。SSL握手协议描述建立安全连接的过程，在客户和服务器传送应用层数据之前，完成诸如加密算法和会话密钥的确定，通信双方的身份验证等功能；SSL记录协议则定义了数据传送的格式，上层数据包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送。这样，应用层通过SSL协议把数据传给传输层时，已是被加密后的数据，此时TCP/IP协议只需负责将其可靠地传送到目的地，弥补了 TCP/IP协议安全性较差的弱点。

Netscape公司已经向公众推出了SSL的参考实现（称为SSLref）。另一免费的SSL实现叫做SSLeay。SSLref和SSLeay均可给任何TCP/IP应用提供SSL功能，并且提供部分或全部源代码。Internet号码分配当局（IANA）已经为具备SSL功能的应用分配了固定端口号，例如，带SSL的HTTP（https）被分配以端口号443，带SSL的SMTP（ssmtp）被分配以端口号465，带SSL的NNTP （snntp）被分配以端口号563。

微软推出了SSL版本2的改进版本，叫做PCT（私人通信技术）。SSL和PCT非常类似。它们的主要差别是它们在版本号字段的最显著位（The Most Significant Bit）上的取值有所不同：SSL该位取0，PCT该位取1。这样区分之后，就可以对这两个协议都给予支持。

1996年4月，IETF授权一个传输层安全（TLS）工作组着手制订一个传输层安全协议（TLSP），以便作为标准提案向IESG正式提交。TLSP将会在许多地方酷似SSL。

2 、SSL安全性

目前，几乎所有操作平台上的WEB浏览器（IE、Netscatp）以及流行的Web服务器（IIS、Netscape Enterprise Server等）都支持SSL协议。因此使得使用该协议便宜且开发成本小。但应用SSL协议存在着不容忽视的缺点：

1. 系统不符合国务院最新颁布的《商用密码管理条例》中对商用密码产品不得使用国外密码算法的规定，要通过国家密码管理委员会的审批会遇到相当困难。

2. 系统安全性差。SSL协议的数据安全性其实就是建立在RSA等算法的安全性上，因此从本质上来讲，攻破RSA等算法就等同于攻破此协议。由于美国政府的出口限制，使得进入我国的实现了SSL的产品（Web浏览器和服务器）均只能提供512比特RSA公钥、40比特对称密钥的加密。目前已有攻破此协议的例子：1995年8月，一个法国学生用上百台工作站和二台小型机攻破了Netscape对外出口版本；另外美国加州两个大学生找到了一个“陷门”，只用了一台工作站几分钟就攻破了Netscape对外出口版本。

但是，一个安全协议除了基于其所采用的加密算法安全性以外，更为关键的是其逻辑严密性、完整性、正确性，这也是研究协议安全性的一个重要方面，如果一个安全协议在逻辑上有问题，那么它的安全性其实是比它所采用的加密算法的安全性低，很容易被攻破。从目前来看，SSL比较好地解决了这一问题。不过SSL协议的逻辑体现在SSL握手协议上，SSL握手协议本身是一个很复杂的过程，情况也比较多，因此我们并不能保证SSL握手协议在所有的情况下逻辑上都是正确的，所以研究SSL协议的逻辑正确性是一个很有价值的问题。

另外，SSL协议在“重传攻击”上，有它独到的解决办法。SSL协议为每一次安全连接产生了一个128位长的随机数——“连接序号”。理论上，攻击者提前无法预测此连接序号，因此不能对服务器的请求做出正确的应答。但是计算机产生的随机数是伪随机数，它的实际周期要远比2128小，更为危险的是有规律性，所以说SSL协议并没有从根本上解决“信息重传”这种攻击方法，有效的解决方法是采用“时间戳”。但是这需要解决网络上所有节点的时间同步问题。

总的来讲，SSL协议的安全性能是好的，而且随着SSL协议的不断改进，更多的安全性能、好的加密算法被采用，逻辑上的缺陷被弥补，SSL协议的安全性能会不断加强。

3、 windows 2000中SSL的配置与应用SSL的典型应用主要有两个方面，一是客户端，如浏览器等；另外一个就是服务器端，如Web服务器和应用服务器等。目前，一些主流浏览器（如IE和 Netscape等）和IIS、Domino Go WebServer、Netscape Enterprise Server、Appache等Web服务器都提供了对SSL的支持。要实现浏览器（或其他客户端应用）和Web服务器（或其他服务器）之间的安全SSL 信息传输，必须在Web服务器端安装支持SSL的Web服务器证书，在浏览器端安装支持SSL的客户端证书（可选），然后把URL中的“http://” 更换。

B. 电子商务安全包括哪些方面

在正确看待电子商务的安全问题时，有几个观念值得注意：
其一，安全是一个系统的概念。安全问题不仅仅是个技术性的问题，不仅仅只涉及到技术，更重要的还有管理，而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二，安全是相对的。房子的窗户上只有一块玻璃，一般说来这已经很安全，但是如果非要用石头去砸，那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性，因为大家都有一个普遍的认识：玻璃是不能砸的，有了窗玻璃就可以保证房子的安全。同样，不要追求一个永远也攻不破的安全技术，安全与管理始终是联系在一起的。也就是说安全是相对的，而不是绝对的，如果要想以后的网站永远不受攻击，不出安全问题是很难的，我们要正确认识这个问题。
其三，安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C，都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价，如果能考虑到安全速度就得慢一点，把安全性保障得更好一些，当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题，对安全的要求就低一些；如果牵涉到支付问题对安全的要求就要高一些，所以安全是有成本和代价的。...在正确看待电子商务的安全问题时，有几个观念值得注意：
其一，安全是一个系统的概念。安全问题不仅仅是个技术性的问题，不仅仅只涉及到技术，更重要的还有管理，而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。
其二，安全是相对的。房子的窗户上只有一块玻璃，一般说来这已经很安全，但是如果非要用石头去砸，那就不安全了。我们不会因为石头能砸碎玻璃而去怀疑它的安全性，因为大家都有一个普遍的认识：玻璃是不能砸的，有了窗玻璃就可以保证房子的安全。同样，不要追求一个永远也攻不破的安全技术，安全与管理始终是联系在一起的。也就是说安全是相对的，而不是绝对的，如果要想以后的网站永远不受攻击，不出安全问题是很难的，我们要正确认识这个问题。
其三，安全是有成本和代价的。无论是现在国外的B-to-B还是B-to-C，都要考虑到安全的代价和成本的问题。如果只注重速度就必定要以牺牲安全来作为代价，如果能考虑到安全速度就得慢一点，把安全性保障得更好一些，当然这与电子商务的具体应用有关。如果不直接牵涉到支付等敏感问题，对安全的要求就低一些；如果牵涉到支付问题对安全的要求就要高一些，所以安全是有成本和代价的。作为一个经营者，应该综合考虑这些因素；作为安全技术的提供者，在研发技术时也要考虑到这些因素。
其四，安全是发展的、动态的。今天安全明天就不一定很安全，因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情，尤其是安全技术，它的敏感性、竞争性以及对抗性都是很强的，这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全，也没有一蹴而就的安全。

C. 电子商务的安全保密技术包括哪些方面

电子商务的安全保密技术包括以下几方面：

1、数字签名技术、
2、认证技术、
3、密钥管理技术、
4、网络安全技术，
5、安全协议和PKI技术，
6、移动商务安全技术

D. 支付宝使用哪些安全协议

支付宝采用SET协议保证安全性。
安全电子交易协议 (Secure Electronic Transaction,简称SET协议)，是基于信用卡在线支付的电于商务安全协议，它是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付命令的机密、支付过程的完整、商户及持卡人的合法身份，以及可操作性。SET通过制定标准和采用各种密码技术手段，解决了当时困扰电子商务发展的安全问题。
SET是在开放网络环境中的卡支付安全协议，它采用公钥密码体制(PKI)和X.509电子证书标准，通过相应软件、电子证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。SET协议用以支持B-C这种类型的电子商务模式，即消费者持卡在网上购物与交易的模式。
SET协议的功能
SET协议是信用卡在因特网上进行支付的一种开放式安全协议和格式。解决持卡人、商家和银行之间通过信用卡来进行网上支付的交易，旨在保证支付命令的机密性、支付过程的完整性、商家以及持卡人身份的合法性以及可操作性。
SET协议采用的加密和认证技术
SET使用多种密钥技术来达到安全交易的要求，其中对称密钥技术、公钥加密技术和Hash算法是其核心。综合应用以上三种技术产生了数字签名、数字信封、数字证书等加密与认证技术。
SET标准的应用与局限性
SET 1.0版自1997年推出以来推广应用较慢，没有达到预期的效果。最大的挑战在于定期进行网上购物的消费者极少，原因主要是SET协议为了保证安全性而牺牲了简便性、操作过于复杂、成本较高、具有较大竞争力的SSL协议的广泛应用以及部分经济发达国家的法律规定了持卡人承担较低的信用卡风险等。SET协议提供了多层次安全保障，复杂程度显著增加；这些安全环节在一定程度上增加了交易的复杂性。
另外，SET协议目前只局限于银行卡的网上支付，对其他方式的支付没有给出很好的解决方案。SET协议只支持B2C模式的电子商务，而不支持目前最具有前途和影响力的B2B电子商务交易。
SET由于其高度的安全性和规范性，使其逐步发展成为目前安全电子支付的国际标准。由于SSL协议的成本低、速度快、使用简单，对现有网络系统不需进行大的修改，因而目前取得了广泛的应用。但随着电子商务规模的扩大，网络欺诈的风险性也在提高，在未来的电子商务中SET协议将会逐步占据主导地位。

E. 电子商务的安全协议中的哪个协议的作用是保障web网站数据的安全

Web数据库是基于Internet/Intranet的应用系统，由于互连网开放性和通信协议的安全缺陷，以及在网络环境中数据存储和对其访问与处理的分布性特点，网上传输的数据容易受到破坏、窃取、篡改、转移和丢失。这些危害通常是对网络的攻击引起的。到现在，针对Web数据库的应用级入侵已经变得越来越猖獗，如SQL注入、跨站点脚本攻击和未经授权的用户访问等。所有这些入侵都有可能绕过前台安全系统并对数据库系统攻击。如何保证Web数据库的安全性已成为新的课题。电子商务营销http://www.zhangxiaolei.com/

F. 淘宝交易过程中涉及到哪些电子商务安全技术和安全协议

正常电脑购买都不会出现什么问题的啊，你购买的时候，要了解淘宝的交易规则，然后用支付宝或者网银支付的时候，要同意支付宝或者网银的使用规则，一般支付宝的，都是需要支付宝数字证书支持的。

G. 安全协议都有哪些分类

所谓协议就是两个或者两个以上的参与者为完成某项任务所采取的一系列步骤。这些步骤是有序的，必须依次执行，只有前一步完成了，才能执行后一步骤。协议至少需要两个参与者。一个人也可以通过执行一系列步骤来完成某项任务，但它不构成协议。另外，通过执行协议必须能够完成某项任务。某些看似协议，但它没有完成任何任务，也不能成为协议。

• 协议具有以下特点：
• 协议的每个参与者都必须了解协议，事先知道所要完成的所有步骤。
• 协议的每个参与者都必须同意并遵守协议。
• 协议必须是清楚的，也就是说，每一步骤必须明确定义，不会引起误解。
• 协议必须是完整的，对每种可能的情况都要规定具体的操作。

所谓安全协议（也称密码协议）就是应用密码技术构成的协议。参与密码协议的各方可能是朋友或可信任的人，也可能是敌人或相互不信任的人。安全协议的目的就是在完成某项任务的同时，不仅能够发现或防止协议参与者彼此之间的欺骗行为，还要能够避免敏感信息被敌手窃取或篡改。安全协议必须包含某种密码算法，其研究包括两个方面：协议的安全性分析和各种实用安全协议的设计。

目前学术界还没有一个被广泛认可的安全协议的分类方法。一般来说，看问题的角度不同，分类就会不同。从安全协议实现的目的来看，可以将现有的最常用的安全协议分为以下6类。

1. 密钥建立协议。这类协议用于完成会话密钥的建立。一般情况下是在参与协议的两个或者多个实体之间建立共享的密钥。协议中的密码算法可以是对称密码算法，也可以是公钥密码算法。已有很多密钥建立协议，如Diffie-Hellman协议、Blom协议、MQV协议、端-端协议、MTI协议等等。
2. 认证协议。这类协议用于防止假冒、篡改、否认等攻击，实现身份认证、消息完整性认证、数据源和目标认证等，主要包括实体认证（身份认证，又称身份识别）协议和数字签名协议。最优代表性的身份认证协议有两类：一类是1984年Shamir提出的基于身份的身份认证协议；另一类是1986年Fiat等人提出的零知识身份认证协议。随后，人们在这两类协议的基础上又提出了一系列实用的身份认证协议，如Schnorr协议、Okamoto协议、Guillou-Quisquater协议和Feige-Fiat-Shamir协议等等。数字签名协议主要有两类：一类是普通数字签名协议，该类数字签名协议通常称为数字签名算法，如RSA数字签名算法、DSA等；另一类是特殊数字签名协议，如不可否认的数字签名协议、Fail-Stop数字签名协议、群数字签名协议等。
3. 认证密钥交换协议。这类协议将认证协议和密钥交换协议结合在一起，先对通信实体的身份进行认证，在认证成功的基础上，为下一步安全通信分发所使用的会话密钥。常见的认证密钥交换协议有互联网密钥交换（IKE）协议、分布式认证安全服务（DASS）协议、Kerberous协议、X.509协议等。
4. 电子商务协议。这类协议用于电子商务系统中以确保电子支付和电子交易的安全性、可靠性和公平性。电子商务系统中交易的双方利益目标往往不一致，因此这类协议最令人关注的是其公平性，即协议应该保证交易的双方都不能通过损害对方利益而得到其不应得的利益。常见的电子商务协议包括SET协议、iKP协议和电子现金等。
5. 安全通信协议。这类协议用于计算机通信网络中保证信息的安全交换。常见的安全通信协议有PPTP/L2PP协议、IPSec协议、SSL/TLS协议、PGP协议、S/MIME协议、S-HTTP协议和SNMPv3协议等。
6. 安全多方计算协议。这类协议的目的是保证分布式环境中各参与方以安全的方式共同执行分布式的计算任务。这类协议的两个最基本的安全要求是保证协议的正确性和各参与方私有输入的秘密性，即协议执行完成之后每个参与方都应该得到正确的输出，并且除此之外不能获知其他任何消息。这类协议包括秘密共享、掷币、安全广播、网上选举、电子投标和拍卖、合同签署、匿名交易、保密信息检索、保密数据库访问、联合签名和联合解密等。
   (转载请提前告知)

H. 电子商务安全方面的措施有哪些

适当设置防护措施可以降低或防止来自现实的威胁。在通信安全、计算机安全、物理安全、人事安全、管理安全和媒体安全方面均可采取一定的措施，整个系统的安全取决于系统中最薄弱环节的安全水平，这就需要从系统设计上进行全面的考虑，折中选取。

电子商务中的安全措施包括有下述几类：

(1)保证交易双方身份的真实性：常用的处理技术是身份认证，依赖某个可信赖的机构(CA认证中心)发放证书，并以此识别对方。目的是保证身份的精确性，分辨参与者身份的真伪，防止伪装攻击。

(2)保证信息的保密性：保护信息不被泄露或被披露给未经授权的人或组织，常用的处理技术是数据加密和解密，其安全性依赖于使用的算法和密钥长度。常见的加密方法有对称式密钥加密技术(如DES算法)和公开密钥加密技术(如RSA算法)。

(3)保证信息的完整性：常用数据杂凑等技术来实现。通过散列算法来保护数据不被未授权者(非法用户)建立、嵌入、删除、篡改、重放。典型的散列算法为美国国家安全局开发的单向散列算法之一。

(4)保证信息的真实性：常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈，如发送用户对他所发送信息的否认、接收用户对他已收到信息的否认等，而不是对付未知的攻击者，其基础是公开密钥加密技术。目前，可用的数字签名算法较多，如RSA数字签名、ELGamal数字签名等。

(5)保证信息的不可否认性：通常要求引入认证中心(CA)进行管理，由CA发放密钥，传输的单证及其签名的备份发至CA保存，作为可能争议的仲裁依据。

(6)保证存储信息的安全性：规范内部管理，使用访问控制权限和日志，以及敏感信息的加密存储等。当使用WWW服务器支持电子商务活动时，应注意数据的备份和恢复，并采用防火墙技术保护内部网络的安全性。

I. 通常电子商务信息安全协议有哪些

通常有:1.安全数据交换协议SET,2.安全套接层SSL协议，3.S-HTTP安全超文本传输协议,4.iKP。

J. 什么是电子商务安全协议

隆力奇直销
Modern e-commerce security policy
[Abstract] In this paper, an open Internet environment, e-commerce security threats and security needs of e-commerce security technologies, including encryption, authentication, security protocols and firewall technology, VPN technology, and on this basis a reasonable strategy for e-commerce security.
[Key words] e-commerce encryption technology, authentication technology security policy

With the continuous development of the Internet, e-commerce as a combination of network and commercial procts, is close to people's lives, more and more people attracted attention. However, e to the openness of the Internet and the anonymity, there are a lot of inevitable security risks. In e-commerce, security is the core issue must be taken into account, the requirements to provide network security solutions.
A, e-commerce security issues
E-commerce in the Internet an open network environment, always a threat to security, the security threats can be divided into four broad categories: 1. The interception and theft of information: If no measures taken or encryption strength of encryption is not enough to attack through the use of various means of illegal access to confidential user information. 2. The distortion of information: the attacker using various technologies and means of information on the network mid-course correction, concurrent to the destination, thereby undermining the integrity of information. 3. Information counterfeiting: the attacker through the network to decrypt data or business law information, pseudo-legal users or send fake messages to deceive their customers. 4. Transaction repudiation: refers to the transaction or both unilateral repudiation of the transaction.
E-commerce security threats faced by the emergence of electronic commerce has led to the demand for security, including confidentiality, integrity, authentication and non-repudiation, validity of five aspects.
Second, e-commerce security technology
For e-commerce security technologies, including encryption, authentication technology and e-commerce security protocols, firewall technology.
1. Encryption technology
In order to ensure the security of data and transactions to prevent fraud, to confirm the true identity of the transaction between the two sides, e-commerce encryption technology to be used, encryption technology means that by using the code or password to protect data security. For data encryption as an express, express, after effects of a certain encryption algorithm, to convert ciphertext, we will be expressly for the ciphertext for this process is known as encryption, to ciphertext by the decryption algorithm output express after the formation of this a process known as decryption. Encryption algorithm used as the key parameters. The longer the key length, the space key, and traverse the key space, the more time spent, the smaller the possibility of deciphering. Encryption technology can be divided into two categories: symmetric and asymmetric encryption technology, encryption technology. Symmetric encryption technology, data encryption standard DES (Data Encryption Standard) algorithm for a typical representative. Usually non-symmetric encryption technology to RSA (Rivest Shamir Adleman) algorithm to represent.
2. Authentication
Commonly used security authentication technology are:
(1) digital signature. Signature is used to ensure the authenticity of documents, the validity of a measure, as to proce the same as handwritten signatures. Ways is to hash function and public key algorithm combining sender text from the message generates a hash value, and use their own private key to encrypt the hash value to form a sender's digital signature; then this digital signature as the message text of the annex and the reported message to send to the receiver; message from the receiver to receive the first message in the original hash value is calculated, and then using the sender's public key to attached to the message to decrypt the digital signature; If these two the same hash value, then the recipient will be able to confirm the digital signature is the sender.
(2) digital certificates. CA digital certificate is issued for the identity of the parties to the transaction documents, it is a digital signature by the CA, including the applicant a certificate (public key owner) personal information and public key files. Based on public key system (PKI) digital certificate is used to verify both the identity of e-commerce transaction security tool, since it was made by the Certificate Authority Center digital signature, so that no third parties can not modify the contents of the certificate. Only the parties to apply for any transaction to the appropriate digital certificate in order to participate in the security of e-commerce transactions on the Internet.
(3) digital time stamp. In order to prevent transactions in the electronic document signed by the time the information is modified, the digital time-stamp provided by the corresponding security. Digital Time Stamp Service (DTS) is provided by specialized agencies. Digital Time Stamp is an encrypted certificate after the formation of the document, which includes three components: the documents need to add time stamp Abstract; DTS document received date and time; DTS digital signature institutions.