浅析电子商务安全协议
目录
摘要: (2)
关键词: (2)
1.电子商务的主要安全要素 (3)
1)、信息有效性、真实性 (3)
2)、信息机密性 (3)
3)、信息完整性 (3)
4)、信息可靠性、不可抵赖性和可鉴别性 (4)
2.电子商务的安全技术讨论 (4)
2.1 电子商务的安全技术之一-----数据加密技术 (4)
1)常用的加密技术分类: (5)
对称密钥密码算法 (5)
不对称型加密算法 (5)
不可逆加密算法 (6)
2)电子商务领域常用的加密技术 (6)
数字摘要(digital digest) (6)
数字签名(digital signature) (6)
数字时间戳(digital time-stamp) (7)
数字证书(digital certificate,digital ID) (7)
2.2 电子商务的安全技术之二------身份认证技术 (8)
1 )认证系统的基本原理 (8)
2 )认证系统结构 (9)
3)中国金融认证中心CFCA的建设情况 (10)
2.3电子商务的安全技术之三网上支付平台及支付网关 (10)
3.与电子商务安全有关的协议技术讨论: (11)
1)、SSL协议简介 (11)
2)、SET协议简介 (12)
3)、SET的认证 (14)
4)、SET的购物流程 (15)
5.安全协议:SET协议与SSL协议比较 (17)
1)、认证机制 (17)
2)、设置成本 (17)
3)、安全性 (17)
4)、基于W eb的应用 (18)
6.电子商务安全技术未来的发展 (19)
A.判定通信中的贸易伙伴的真实性 (20)
B.保证电子单证的秘密性,防范电子单证的内容被第三方读取 (20)
摘要:本文在分析电子商务的主要安全要素的基础上,具体介绍采用目前电子商务领域的三种安全技术,来消除电子商务活动中的安全隐患。
关键词:电子商务安全套接层协议安全电子交易认证中心
1.电子商务的主要安全要素
目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面临安全威胁。电子商务的安全要素主要体现在以下几个方面:
1)、信息有效性、真实性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2)、信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3)、信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
4)、信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的。原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
2.电子商务的安全技术讨论
2.1 电子商务的安全技术之一-----数据加密技术
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。
面向网络的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。
面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,例如使用kerberos服务的telnet、nfs、rlogion等,以及用作电子邮件加密的pem(privacy enhanced mail)和pgp(pretty good privacy)。这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
1)常用的加密技术分类:
对称密钥密码算法
对称(传统)密码体制是从传统的简单换位代替密码发展而来的,自1977年美国颁布des密码算法作为美国数据加密标准以来,对称密钥密码体制得到了迅猛发展,得到了世界各国关注和使用。对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类。
不对称型加密算法
也称公用密钥算法,其特点是有二个密钥即公用密钥和私有
密钥,只有二者配合使用才能完成加密和解密的全过程。
由于不对称算法拥有二个密钥,因此它特别适用于分布式系统中的数据加密,在Internet中得到了广泛应用。其中公用密钥在网上公布,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的收信方妥善保管。
不可逆加密算法
其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题,适合于分布式网络系统上使用,但是其加密计算工作量大,所以通常用于数据量有限的情形的加密,例如计算机系统中的口令的加密。
2)电子商务领域常用的加密技术
数字摘要(digital digest)
这一加密方法亦称安全Hash编码法,由Ron Rivest所设计。该编码法采用单向Hash 函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是"真身"的"指纹"了。
数字签名(digital signature)
数字签名将数字摘要、公用密钥算法两种加密方法结合起来
使用。在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。
数字时间戳(digital time-stamp)
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp) 是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest),2)DTS收到文件的日期和时间,3)DTS的数字签名。
数字证书(digital certificate,digital ID)
数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。
数字凭证有三种类型:
·个人凭证(Personal Digital ID)
·企业(服务器)凭证(Server ID)
·软件(开发者)凭证(Developer ID)
上述三类凭证中前二类是常用的凭证,第三类则用于较特殊
的场合,大部分认证中心提供前两类凭证。
2.2 电子商务的安全技术之二------身份认证技术
为解决Internet的安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的Internet安全解决方案,即目前被广泛采用的PKI(Public Key Infrastructure公钥基础设施)体系结构。PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份,PKI 体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。
在电子交易中,无论是数字时间戳服务(DTS)还是数字证书(Digital ID)的发放,都不是靠交易的自己能完成的,而需要有一个具有权威性和公正性的第三方(third party)来完成。认证中心(Certificate Authority)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(Certification Practice Statement)来实施服务操作。
1 )认证系统的基本原理
利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性,可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA,
CA为用户发放电子证书,用户之间(比如网银服务器和某客户之间)利用证书来保证信息安全性和双方身份的合法性。
2 )认证系统结构
整个系统是一个大的网络环境,系统从功能上基本可以划分为CA、RA和Web Publisher。
核心系统根CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都有严格的规定,并且系统设计为一离线网络。CA的功能是在收到来自RA的证书请求时,颁发证书。一般的个人证书发放过程都是自动进行,无须人工干预。
证书的登记机构Register Authority,简称RA,分散在各个网上银行的地区中心。RA与网银中心有机结合,接受客户申请,并审批申请,把证书正式请求通过建设银行企业内部网发送给CA 中心。RA与CA双方的通信报文也通过RSA进行加密,确保安全。系统的分布式结构适于新业务网点的开设,具有较好的扩充性。通信协议为TCP/IP。
证书的公布系统Web Publisher,简称WP,置于Internet 网上,是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA颁发之后,CA用E-mail 通知用户,然后用户须用浏览器从这里下载证书。
证书链服务(有时也称"交叉认证")是一个CA扩展其信任范围或被认可范围的一种实现机制。如果企业或机构已经建立了自己的CA系统,通过第三方认证中心对该机构或企业的CA签发
CA证书,能够使得该企业或机构的CA发放的证书被所有信任第三方认证中心的浏览器、邮件客户所信任。
3)中国金融认证中心CFCA的建设情况
中国对电子商务的发展也给予了应有的重视。中国金融认证中心CFCA(China Financial Certificate Authority)。已于2000年6月29日开始对社会各界提供证书服务,系统进入运行状态。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为参与电子商务各方的各种认证需求提供证书服务,建立彼此的信任机制,为全国范围内的电子商务及网上银行等网上支付业务提供多种模式的认证服务,在不远的将来实现与国外CA 的交叉认证。
2.3电子商务的安全技术之三网上支付平台及支付网关网上支付平台分为CTEC支付体系(基于CTCA/GDCS)和SET 支付体系(基于CTCA/SET)。网上支付平台支付型电子商务业务提供各种支付手段,包括基于SET标准的信用卡支付方式、以及符合CTEC标准的各种支付手段。
目前,在国内可以提供网上支付功能服务或者网上支付网关接口的银行有:
中国工商银行牡丹卡中国银行长城借记卡
中国银行长城信用卡招商银行一网通卡
中国建设银行龙卡 MASTER/VISA/JCB卡(适用全球)
上述除中国银行长城借记卡则采用了SET1.2的加密方式
外,其余全部采用SSL-128加密方式。
支付网关位于公网和传统的银行网络之间,其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部的传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。即支付网关主要完成通信、协议转换和数据加解密功能,并且可以保护银行内部网络。此外,支付网关还具有密钥保护和证书管理等其它功能。3.与电子商务安全有关的协议技术讨论:
1)、SSL协议简介
SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。它被视为 Internet 上 Web 浏览器和服务器的标准安全性措施。SSL 提供了用于启动 TCP/IP 连接的安全性“信号交换”。这种信号交换导致客户和服务器同意将使用的安全性级别,并履行连接的任何身份验证要求。它通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL可分为两层,一是握手层,二是记录层。SSL握手层协议描述建立安全连接的过程,在客户和服务器传送应用层数据之前,完成诸如加密算法和会话密钥的确定、通信双方的身份验证等到功能。SSL记录协议则定义了数据传送的格式,上层数据包括SSL握手层协议建立安全连接时所需传送数据都通过SSL记录
协议再往下层传送,这样,应用层通过SSL协议把数据传送给传输层时,已是被加密的数据,此时,TCP/IP协议只需要负责将其可靠地传送到目的地,弥补了TCP/IP协议安全性较差的弱点。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。SSL协议独立于应用层协议,因此,在电子交易中被用来安全传送信用卡号码。
中国目前多家银行均采用SSL协议,如在目前中国的电子商务系统中能完成实时支付,用的最多的招行一网通采用的就是SSL协议。所以,从目前实际使用的情况看,SSL还是人们最信赖的协议。
SSL当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端。它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成, SSL协议并不能协调各方间的安全传输和信任关系;还有,购货时用户要输入通信地址,这样将可能使得用户收到大量垃圾信件。
因此,为了实现更加完善的电子交易,MasterCard和Visa 以及其它一些业界厂商制订并发布了SET协议。
2)、SET协议简介
安全电子交易(SET,SecureElectronicTransaction)是一
个通过开放网络(包括Internet)进行安全资金支付的技术标准,由VISA和MasterCard组织共同制定,1997年5月联合推出。由于它得到了IBM、HP、Microsoft、Netscape、VeriFone、GTE、Terisa和VeriSign等很多大公司的支持,已成为事实上的工业标准,目前已获得IETF标准的认可。
SET协议是在开放网络环境中的信用卡支付安全协议,它采用公钥密码体制(PKT)和X.509电子证书标准,通过相应软件、电子证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。
SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。SET主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET规范涉及的范围有:加密算法的应用(例如RSA和DES);证书信息和对象格式;购买信息和对象格式;确认信息和对象格式;划帐信息和对象格式;对话实体之间消息的传输协议。SET1.0版已经公布并可应用于任何银行支付服务。
SET主要目标是:①信息在Internet上安全传输,保证网上传输的数据不被黑客窃取;②定单信息和个人帐号信息的隔离,当包含持卡人帐号信息的定单送到商家时,商家只能看到定货信息,而看不到持卡人的帐户信息;③持卡人和商家相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通信双方提
供信用担保;④要求软件遵循相同协议和报文格式,使不同厂家开发的软件具有兼容和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
3)、SET的认证
(1)证书。SET中主要的证书是持卡人证书和商家证书。持卡人证书是支付卡的一种电子化的表示。持卡人证书不包括帐号和终止日期信息,而是用单向哈希算法根据帐号和截止日期生成的一个码,如果知道帐号、截止日期、密码值即可导出这个码值,反之不行。商家证书就像是贴在商家收款台小窗上的付款卡贴画,以表示它可以用什么卡来结算。在SET环境中,一个商家至少应有一对证书,与一个银行打交道;一个商家也可以有多对证书,表示它与多个银行有合作关系,可以接受多种付款方法。除了持卡人证书和商家证书以外,还有支付网关证书、银行证书、发卡机构证书。
(2)CA。持卡人可从公开媒体上获得商家的公开密钥,但持卡人无法确定商家不是冒充的(有信誉),于是持卡人请求CA对商家认证。CA对商家进行调查、验证和鉴别后,将包含商家公开密钥的证书经过数字签名传给持卡人。同样,商家也可对持卡人进行验证。
CA的主要功能包括:接收注册请求,处理、批准/拒绝请求,颁发证书。在实际运作中,CA也可由大家都信任的一方担当,例如在客户、商家、银行三角关系中,客户使用的是由某个银行发
的卡,而商家又与此银行有业务关系(有帐号)。在此情况下,客户和商家都信任该银行,可由该银行担当CA角色,接收、处理客户证书和商家证书的验证请求。又例如,对商家自己发行的购物卡,则可由商家自己担当CA角色。
(3)证书的树形验证结构。在双方通信时,通过出示由某个CA签发的证书来证明自己的身份,如果对签发证书的CA本身不信任,则可验证CA的身份,依次类推,一直到公认的权威CA处,就可确信证书的有效性。每一个证书与签发证书的实体的签名证书关联。SET证书正是通过信任层次来逐级验证的。例如,C的证书是由B的CA签发的,而B的证书又是由A的CA签发的,A是权威的机构,通常称为根CA。验证到了根CA处,就可确信C的证书是合法的。
在网上购物实现中,持卡人的证书与发卡机构的证书关联,而发卡机构证书通过不同品牌卡的证书连接到根CA,而根的公开密钥对所有的SET软件都是已知的,可以校验每一个证书。4)、SET的购物流程
电子商务的工作流程与实际的购物流程非常接近,使得电子商务与传统商务可以很容易融合,用户使用也没有什么障碍。从顾客通过浏览器进入在线商店开始,一直到所定货物送货上门或所定服务完成,以及帐户上的资金转移,所有这些都是通过公共网络(Internet)完成的。如何保证网上传输数据的安全和交易对方的身份确认是电子商务能否得到推广的关键。这正是SET所要
解决的最主要的问题。一个包括完整的购物处理流程的SET的工作过程如下:
(1)持卡人使用浏览器在商家的WEB主页上查看在线商品目录,浏览商品。
(2)持卡人选择要购买的商品。
(3)持卡人填写定单,包括项目列表、价格、总价、运费、搬运费、税费。定单可通过电子化方式从商家传过来,或由持卡人的电子购物软件建立。有些在线商场可以让持卡人与商家协商物品的价格(例如出示自己是老客户的证明,或给出竞争对手的价格信息)。
(4)持卡人选择付款方式,此时SET开始介入。
(5)持卡人发送给商家一个完整的定单及要求付款的指令。在SET中,定单和付款指令由持卡人进行数字签名,同时利用双重签名技术保证商家看不到持卡人的帐号信息。
(6)商家收到定单后,向持卡人的金融机构请求支付认可。通过支付网关到银行,再到发卡机构确认,批准交易。然后返回确认信息给商家。
(7)商家发送定单确认信息给顾客。顾客端软件可记录交易日志,以备将来查询。
(8)商家给顾客装运货物,或完成订购的服务。到此为止,一个购买过程已经结束。商家可以立即请求银行将钱从购物者的帐号转移到商家帐号,也可以等到某一时间,请求成批划帐处理。
(9)商家从持卡人的金融机构请求支付。在认证操作和支付操作中间一般会有一个时间间隔,例如在每天的下班前请求银行结一天的帐。
前三步与SET无关,从第四步开始SET起作用,一直到第九步,在处理过程中,通信协议、请求信息的格式、数据类型的定义等,SET都有明确的规定。在操作的每一步,持卡人、商家和支付网关都通过CA来验证通信主体的身份,以确保通信的对方不是冒名顶替。
5.安全协议:SET协议与SSL协议比较
1)、认证机制
SET协议的安全要求较高,所有参与SET交易的成员都必须先申请数字证书来识别身份,而在SSL协议中只有商家端的服务器需要认证,客户端认证则是有选择的。
2)、设置成本
持卡者希望申请SET交易,除了必须先申请数字证书之外,也必须在计算机上安装符合SET规格的电子钱包软件,而SSL交易则不需要另外安装安全软件。
3)、安全性
一般公认SET协议的安全性较SSL协议高,主要因为在整个交易过程中包括持卡人到商家端、商家到付款转接站再到银行网络,都受到严密的保护,而SSL协议的安全范围只限于持卡人到商家端的信息交换。
4)、基于Web的应用
SET协议是为信用卡交易提供安全的,它更通用一些,虽然它在很多方面优于SSL协议,但仍然不能解决电子商务所遇到的全部问题。如果电商务应用只通过Web或是电子邮件,则可能并不需要SET协议。
SSL协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server方式。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。SSL协议独立于应用层协议,因此,在电子交易中被用来安全传送信用卡号码。
SSL的应用及局限:中国目前多家银行均采用SSL协议,从目前实际使用的情况来看,SSL还是人们最信赖的协议。但是SSL 当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端。它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成, SSL协议并不能协调各方间的安全传输和信任关系;还有,购货时用户要输入通信地址,这样将可能使得用户收到大量**信件。
SET协议(Secure Electronic Transaction)安全电子交
易
------专门为电子商务而设计的协议,但仍然不能解决电子商务所遇到全部问题
电子商务在提供机遇和便利的同时,也面临着一个最大的挑战,即交易的安全问题。在网上购物的环境中,持卡人希望在交易中保密自己的帐户信息,使之不被人盗用;商家则希望客户的定单不可抵赖,并且,在交易过程中,交易各方都希望验明其他方的身份,以防止被欺骗。针对这种情况,由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构,共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准,这就是"安全电子交易"(SET)。它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性。由于SET 提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。
SET的局限性:SET是专门为电子商务而设计的协议,虽然它在很多方面优于SSL协议,但仍然不能解决电子商务所遇到的全部问题。
6.电子商务安全技术未来的发展
电子商务尚是一个机遇和挑战(风险)共存的新领域,这种挑战不仅来源于传统的习惯、来源于计划体制和市场体制的冲突、
更来源于对可使用的安全技术的信赖。总之,用户对电子商务活动安全性的需求,以及可使用的网络安全措施,主要包括在如下几方面:
A.判定通信中的贸易伙伴的真实性
常用的处理技术是身份认证,依赖某个可信赖的机构(CA)发放证书,双方交换信息之前通过CA获取对方的证书,并以此识别对方;安全电子交易(SET)规范为在Internet上进行安全的电子商务提供了一个开放的标准。
B.保证电子单证的秘密性,防范电子单证的内容被第三方读取
常用处理技术是数据加密和解密,包括对称密钥加密技术和非对称密钥加密技术,单证传输的安全性依赖于使用的算法和密钥长度。规范内部管理,使用访问控制权限和日志,以及敏感信息的加密存储等。当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术(有专家建议直接采用物理分割WWW服务器和内部网络的连接)保护内部网络的安全性。
随着电子商务的发展,安全问题更加重要和突出,要想解决好这个问题,必须由安全技术和标准作保障。安全是一个“相对的”词汇,电子商务的发展促使对安全技术进行不断探索研究和开发应用,以建立一个安全的商务环境。本文介绍的安全技术和标准规范是EC应用中主要涉及的技术,还有一些安全技术及标准规范尚未列出。要保证EC安全可靠,首先要明确EC的安全隐患、安全等级和采用安全措施的代价,再选择相应的安全措施。EC应
对电子商务安全现状的看法 目前电子商务的安全问题比较严重,最突出的表现在计算机网络安全和商业诚信问题上。因为篇幅问题,本文只侧重于计算机网络安全问题的描述和解决对于其他方面的问题不作详细的分析。与以往相比电子商务安全呈现出以下特点: (一)木马病毒爆炸性增长,变种数量的快速增加 据统计,仅2009年上半年挂载木马网页数量累计达2.9亿个,共有11.2亿人次网民访问挂载木马,2010年元旦三天就新增电脑病毒50万。病毒的数量不仅增速变快,智能型,病毒变种更新速度快是本年度病毒的又一个特征。总体而言,目前的新木马不多,更多的是它的变种,因为目前反病毒软件的升级速度越来越快,病毒存活时间越来越短,因此,今天的病毒投放者不再投放单一的病毒,而是通过病毒下载器来进行病毒投放,可以自动从指定的网址上下载新病毒,并进行自动更新,永远也无法斩尽杀绝所有的病毒。同时病毒制造、传播者利用病毒木马技术进行网络盗窃、诈骗活动,通过网络贩卖病毒、木马,教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多,电子商务网络犯罪也逐渐开始呈公开化、大众化的趋势。 (二)网络病毒传播方式的变化 过去,传播病毒通过网络进行。目前,通过移动存储介质传播的案例显著增加,存储介质已经成为电子商务网络病毒感染率上升的主要原因。由于U盘和移动存储介质广泛使用,病毒、木马通过autorun.inf文件自动调用执行U盘中的病毒、木马等程序,然后感染用户的计算机系统,进而感染其他U盘。与往年相比,今年通过网络浏览或下载该病毒的比例在下降。不过,从网络监测和用户寻求帮助的情况来看,大量的网络犯罪通过“挂马”方式来实现。“挂马”是指在网页中嵌入恶意代码,当存在安全漏洞的用户访问这些网页时,木马会侵入用户系统,然后盗取用户敏感信息或者进行攻击、破坏。通过浏览网页方式进行攻击的方法具有较强的隐蔽性,用户更难于发现,潜在的危害性也更大。 (三)网络病毒给电子商务造成的损失继续增加
电子商务安全协议 Xxx (华中科技大学电子与信息工程系,武汉430074) 摘要:随着人类进入以网络为主的信息时代,Internet 的高速发展带来了商业和经济模式的重大变革。基于 Internet 发展起来的电子商务慢慢成为人们进行商务活动的新模式,但是安全问题成为了制约其发展的重要因素。本文简单介绍了电子商务安全的相关问题以及电子商务中的主流安全协议:SSL协议与SET协议,并对两种协议的优缺点进行了一定的比较分析。 关键词:电子商务,安全协议,SSL,SET 1.电子商务安全概述 随着信息技术的迅速发展,人类正进入以网络为主的信息时代,基于Internet发展起来的电子商务慢慢成为人们进行商务活动的新模式。但是,电子商务的安全问题也是制约其发展的重要因素之一,如何建立一个安全、便捷的电子商务应用环境,保证整个电子商务活动中信息的安全性,使基于Internet的电子交易方式与传统交易方式一样可靠。 1.1.电子商务的定义 电子商务是把现有的计算机软件、硬件设备和网络设施,通过一定的协议连接起来的在电子网络环境下进行各种商品买卖的一种新方式。电子商务改变了传统的面对面交易模式,同时在一定程度上打破了时间和地点的限制。虽然电子商务具有快捷性、方便性、不受时间地点的限制、相对传统交易开销小等诸多优点,但是却存在安全性方面的许多隐患。 1.2.电子商务的安全要素 为了保证电子商务在整个商品交易活动中,可以安全顺利的进行,一般来说,需要电子商务的安全系统必须具备以下几个安全要素: 1)有效性:要求电子商务系统可以对信息,交易实体的有效性进行鉴别 2)机密性:保证信息在存取和传输过程中的安全性 3)数据的完整性:即保护数据的完整性,防止有人没有经过授权就对数 据内容进行修改,同时还要保证数据的一致性
电子商务安全交易的有关标准和实施方法 (1、早期曾采用过的地方 在电子商务实施初期,曾采用过一些简易的安全措施,这些措施包括: 部分告知(Partial Order即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。 另行确认(Order Confirmation即当在网上传输交易信息之后,应再用电子邮件对交易作确认,才认为有效。 在线服务(Online Service为了保证信息传输的安全,用企业提供的内部网来提供联机服务。 以上所述的种种方法,均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。 (2、近年推出的安全交易标准 近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有: 安全超文本传输协议(S-HTTP依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。 安全套按层协议(SSL:Secure Sockets Layer由Netscape公司提出的安全交易协议,提供加密、认证服务和报文完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。 安全交易技术协议(STT:Secure Transaction Technology由 Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。
安全电子交易协议(SET:Secure Electronic Transaction 1995年,信用卡国际组织、资讯业者及网络安全专业团体等开始组成策略联盟,共同研究开发电子商务(Electronic Commerce的安全交易。 1996年6月,由IBM,Master Card International,Visa International,Microsoft,Netscape,GTE,VeriSign,SAIC,Terisa共同制定的标准SET正式公告,涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来"电子商务"的规范。
电子商务安全与防护 电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。 1、电子商务信息安全现状 现如今,网上购物已经成为普通消费者的购物选择之一,逐渐成为消费的主流。截至2007年6月,我国互联网用户已经从2001年的2650万户激增到目前的1.62亿户,仅次于美国2.11亿户的网民规模,位居世界第二。可见网上购物拥有很大的一批消费群。在网购盛行的时代,理智的消费者已经逐渐意识到,网上购物为我们带来方便的同时,由于网络安全问题,也带给我们更多危险的可能。电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志《信息安全杂志》披露,从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的可能性高出9%,被非法入侵的频率高出10%,而被诈骗的可能性更是比一般企业高出2.2倍作为网上购物核心环节的“支付环节”,其安全性、便捷性是买卖双方都想追求的目标。电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。 2、主要面临的安全问题 2.1 网络环境安全问题 一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础,涉及的方面较广,如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等,其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制
电子商务的安全问题研究及分析对策 摘要 近年来,随着电子技术的发展,“电子商务”、“电子合同”等这类的词随处可见。的确,电子技术给我们的生活带来了很大的变化。我们现在可以实现网上购物;公司企业越来越重视网上销售和网上订货。这种新的交易方式的快速、便捷、高效率,满足了现代商业对交易效率的要求,使我们有理由相信,它还将继续深入我们的生活。随着计算机信息安全的发展、法律的逐渐完善,我国电子商务中的安全问题得到了有效解决,但是随着技术的发展我国电子商务中又产生了一些新的问题。 关键词:电子商务;隐私权;定型化契约;加密技术;入侵检测技术安全分析 电子商务具有跨越地域范围,不受时间因素制约等优势,随着全球经济一体化进程的不断发展,它将渗透到人们的日常生活中。随着技术水平的提高和发展,电子商务中的基本安全问题得到了解决,但同时也涌现出一些新的安全问题。我们可以通过制定、修善相关法律法规、采用新技术、强化安全管理、加强宣传教育等对策加以有效解决。 电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中,潮起潮落,安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统,其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统,它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略,是由组织的性质与需求所决定的。 一、电子商务安全中的法律问题及对策 在电子商务中,传统交易下所产生的纠纷及风险并没有随着高科技的发展而消失,相反网络的虚拟性、流动性、隐匿性对交易安全及消费者权益保护提出了更多的挑战,因此制定相应的法律法规来约束互联网用户的行为是电子商务的基础。我国政府十分重视电子商务的法律法规的制定,目前制定的有关法律法规有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《中华人民共和国计算机信息网络国际互联网络安全保护管理办法》、《电子签名法》等,它们直接约束了计算机安全和电子商务的安全。这些法律法规在电子商务中发挥着重大的作用,但是这些已经制订
1、简述电子商务流程 答:(1)电子商务的基本交易过程:①交易前的准备;②交易谈判和签订合同;③办理交易进行前的手续;④交易合同的履行、服务和索赔。(2)网上商品交易流程:①网上商品直销流程:消费者进入网站、浏览商品;消费者在提供者的网站上填写信息,订购商品;消费者选择付款方式,供应方查看消费者的信息,比如账户余额是否足够;供应方发货,同时银行将款项划入供应方;消费者检查收货。 ②网上商品中介交易流程:交易双方将供需信息发布在网络交易中心;交易双方根据网上商品交易中心提供的信息选择自己的交易对象,网上商品交易中心协助双方合同的签订以及其他的相关手续;交易双方在网络交易中心指定的银行进行付款、转账等手续;商品交易中心送货或由卖方直接送给买方;买方验货收货。 2、概括电子商务模式的类型 答:从参与的主体和实现商务活动的方式的角度考虑,基于Internet电子商务模式可以概括为网上直销型电子商务模式和网上中介型电子商务模式两种。网上直销型电子商务模式分为:(1)企业与企业间网上直销型电子商务模式:①买方集中模式;②卖方集中模式;③专业服务模式。(2)网上零售模式:①实物商品电子商务模式;②无形商品电子商务模式:网上订阅模式,付费浏览模式,广告支付模式,网上赠与模式。(2)网上中介型电子商务模式:①企业与企业间网上中介型电子商务模式;②消费者与消费者间的网上中介型电子商务模式;③网上商城模式。 3、结合自己的亲身经历,思考在电子商务交易中会涉及哪些安全问题?(信息传输风险,信用风险,管理风险,法律风险,网上支付风险) 电子商务所面临的安全问题主要包括以下几个方面。(1)窃取信息。数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。(2)篡改信息。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。(3)身份仿冒。攻击者运用非法手段盗用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。(4)抵赖。某些用户对发出或收到的信息进行恶意否认,以逃避应承担的责任。(5)病毒。网络化,特别是Internet的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。(6)其他安全威胁。电子商务的安全威胁种类繁多,有故意的也有偶然的,存在于各种潜在方面。例如:业务流分析,操作人员的不慎重所导致的信息泄露,媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。 4、电子商务网络系统自身的安全问题(1)物理实体安全问题(2)计算机软件系统潜在的安全问题(3)网络协议的安全漏洞(4)黑客的恶意攻击(5)计算机病毒攻击(6)安全产品使用不当 5、电子商务交易信息传输过程中面临哪些安全问题? (1)信息机密性面临的威胁:主要指信息在传输过程中被盗取。(2)信息完整性面临的威胁:主要指信息在传输的过程中被篡改、删除或插入。(3)交易信息的可认性面临的威胁:主要指交易双方抵赖已经做过的交易或传输的信息。(4)交易双方身份真实性面临的威胁:主要指攻击者假冒交易者的身份进行交易。 电子商务企业内部安全管理问题(1)网络安全管理制度问题(2)硬件资源的安全管理问题(3)软件和数据的维护与备份安全管理问题 6、电子商务安全管理方法(了解P19) 从安全技术,安全管理制度和法律制度三个方面7、电子商务安全管理的制度体现在哪些方面?答:电子商务安全管理的制度体现在以下几个方面:(1)人员管理制度。(2)保密制度。(3)跟踪、审计、稽核制度。(4)网络系统的日常维护制度。(5)病毒防范制度。 8、风险分析的目的:风险分析的最终目的是彻底消除风险,保障风险主体安全。具体包括以下几个方面:(1)透彻了解风险主体、查明风险客体以及识别和评估风险因素;(2)根据风险因素的性质,选择、优化风险管理的方法,制定可行的风险管理方案,以备决策;(3)总结从风险分析实践中得出的经验,丰富风险分析理论。 9、风险分析的原则:风险分析的原则是分析人员在进行风险分析时辨别和评估各种风险因素所持的态度以及在分析中采用各种技术的原则它是独立于风险分析的对象(风险主体、风险客体和风险因素等)之外的认知系统遵循的原则。
(听风阁论坛)电商平台服务协议、交易规则 【总则】 针对XXX科技有限公司所属电子商务平台“(听风阁论坛)”,以下简称平台。在业务开展过程中制定本服务协议、交易规则。为了保障(听风阁论坛)平台各方主体的合法权益,规范各方主体行为,维护商务市场秩序,遵守和维护国家法律法规,制定本方案。 (听风阁论坛)平台所有电子商务活动,适用本方案。本方案所称电子商务活动,是指通过互联网等信息网络销售商品或者提供服务的经营活动。《中华人民共和国电子商务法》对销售商品或者提供服务有规定的,适用其规定。金融类产品和服务,利用信息网络提供新闻信息、音视频节目、出版以及文化产品等内容方面的服务,根据《中华人民共和国电子商务法》相关规定,不适用本方案。 【服务协议】 1、平台将遵循公开、公平、公正的原则,制定平台服务协议和交易规则,明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务。 2、平台将记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;法律、行政法规另有规定的,依照其规定。 3、平台将提供明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。平台收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,平台应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。 4、平台收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。
5.1.1 SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上,运行在TCP/IP协议之上而在其他高层协议(如HTTP、Telnet、FTP和IMAP等)之下,如图5-1所示。在建立一次SSL连接之前,首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时,支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己,还允许这两个机器之间建立安全的加密连接,同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议,其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式,它位于一些可靠的传输层协议之上(如TCP),用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上,并被SSL记录协议所封装。它描述建立安全连接的过程,在客户和服务器传送应用层数据之前,该协议允许服务器与客户机之间协商加密算法和会话密钥,完成通信双方的身份验证等功能。 图5-1 SSL协议的分层结构 5.1.2 SSL记录协议 SSL记录协议(Record Protocol)定义了传输的格式,包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示: 图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块,把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快,压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的
MAC算法对压缩块计算MAC,用指定的对称加密算法加密压缩块和MAC,形成密文块。 4.对密文块添加SSL记录头,然后送到传输层,传输层受到这个SSL记录层数据单元后,记上TCP报头,得到TCP数据包。 图5-3 SSL记录协议中数据项的格式 5.1.3 SSL握手协议 图5-4 SSL建立新会话时的握手过程 1)建立新会话时的握手过程 握手协议用于数据传输之前。它可以进行服务器与客户之间的身份鉴别,同时通过服务器和客户协商,决定采用的协议版本、加密算法,并确定加密数据所需的对称密钥,随后采用公钥加密技术产生共享机密信息(例如对称密钥)。每次连接,握手协议都要建立一个会话。会话中包含了一套可在多次会话中使用的加密安全参数,从而减轻了每次建立会话的负担。然而,必须指出的是,SSL中的每次连接时,在握手协议中产生的对称密钥都是独特的,这种每次更换密钥的方法显然在更大程度上确保了系统的不易攻破性。 根据是否验证对方的证书,SSL的握手过程可以分为以下三种验证模式:客户和服务器都被验证;只验证客户机,不验证服务器,这是Internet上使用最广泛的形式;客户和服务器都不验证,也称为完全匿名模式。SSL握手协议建立一个新的会话的过程如图5-4所示,具体如下: 阶段1:确定一些相关参数,包括协议版本、会话ID、加密规格、压缩算法和初始随机数 (1)客户端发送client_hello消息给服务器,向服务器传送客户端支持的SSL协议的版
关于我国旅游业电子商务现状及对策分析 2010-9-25 9:35孙华金【大中小】【打印】【我要纠错】 [论文摘要]旅游业是被认为最适合电子商务模式的领域之一。旅游业开展电子商务不仅可以降低成本、产生新的利润增长点,而且可以增强企业的竞争力,本文从我国旅游业电子商务的现状分析入手,探讨发展旅游业电子商务的对策。 旅游电子商务就是以网络为主体,以旅游信息库、电子化商业银行为基础,利用最先进的电子手段运作旅游业及其分销系统的商务体系。虽然在中国,旅游电子商务还不完善,而且在实施的过程中也出现了许多问题,但旅游电子商务是不可逆转的趋势,它必将取代传统的旅游经营方式。 一、旅游业开展电子商务的优势 (一)对于旅游企业来说,开展电子商务的优势: 1?降低了旅游企业经营成本。首先,减少企业交换信息的成本。企业之间的信息沟通与交流是企业间形成各种关系的基础,开通电子商务的旅游企业,借助于Internet可以很方便地与其他企业建立网络型商务联系。而这种企业间网络型商务关系形成的直接效果是减少企业的交换信息成本。其次,降低企业的交易成本。电子商务的一大优点是能够节约交易费用。据互联网研究与发展中心发布的《中国电子商务指数报告》的测算结果表明,电子商务比传统交易方式节省11?61%的费用和9?34%的时间。 2?电子商务为旅游企业提供了一种全新的信息发布媒体与快捷的销售渠道。旅行社可以将景点特色、人文景观、服务设施和交通情况等,以图文声像的方式制作成不同语言界面的网上浏览主页,供全球范围的消费者浏览查询;利用电子邮件向特定的客人发送有针对性的信息并提高信息的接受率。电子商务与以往的各类广告相比,成本更低廉,为旅游社提供更快捷的市场信息。电子商务借助电子邮件实现网上订购,提高了支付速度和效率。利用电子商务过程中记录的各种信息,企业管理人员可以更准确地进行市场调查,控制整个交易过程中涉及到的人、财、物,协调和管理企业之间、企业和客户以及企业内部各方面的事务。 3?旅游电子商务没有物流的制约。旅游业本身并不是以实物交换为主的行业,从旅游业的需求方来说, 旅游者购买的是一种经历;从供给方来说,旅游企业提供各种服务,以此来赢得收入,并不涉及任何实物交换。这与做实物经营的企业比起来就省去了许多后顾之忧。从旅游业的行业特点来看,旅游业更适合开展电子商务,电子商务涉及到信息流、资金流与物流的协调整合问题,而旅游业却并不涉及到复杂的物流问题,资金也可以通过网上结算的方式直接付款。旅游产品比实物形态的产品拥有明显的优势,其生产和销售的过程是在服务过程中完成的,同时旅游产品就是将食、住、行、游、购、娱等产品信息组合在一起,传达给有旅游需求的人群,旅游产品的销售过程实际上是产品信息的传递过程。 (二)对于消费者来说,旅游电子商务的优势: 1?便捷性。旅游电子商务可以为消费者提供全面的目的地信息,为其提供目的地预览并为决策提供参考信息;另外也可以利用品牌优势及第三方认证,解决服务的信誉问题;还可以突破时空界限,为消费者提供全天候、跨地域的服务。
电子商务安全研究 【正文】 一、电子商务及其特点与现状 1、电子商务定义 国际商会将电子商务定义为:电子商务是指实现整个贸易过程中各阶段的贸易活动的电子化。 从涵盖范围方面可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易。 从技术方面可以定义为:电子商务是一种多技术的集合体,包括交换数据,获取数据以及自动捕捉数据等。 电子商务涵盖的业务包括:信息交换,售前售后服务,销售,电子支付,运输,组建虚拟企业,公司和贸易伙伴可以共同拥有和运营的共享的商业方法等。 2、电子商务的特点 (1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。 (4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。 3、电子商务的现状 当今世界是数字化的信息社会,高新技术尤其是电子信息技术对各行各业的影响从未像现在这样明显。电子商务就是在这个信息时代背景
下产生并迅速发展起来,它已逐渐成为人们进行商务活动的新模式。 美国著名未来学家阿尔温·托夫勒说:“电脑网络的建立和普及将彻底改变人类生存及生活的模式,控制与掌握网络的人就是未来命运的主宰。谁掌握了信息,控制了网络,谁就拥有整个世界。”的确,网络的国际化、社会化、开放化、个人化诱发出无限的商机,电子商务的迅速崛起,使网络成为国际竞争的新战场。 近几年,我国的电子商务也蓬勃发展,像阿里巴巴、E-BAY、淘宝网等已取得相当的成功,给人们的生活观念与方式带来了巨大的改变。 2002年世界电子商务交易额超1万亿元。在我国,2003年抗击非典的过程中,电子商务在畅通商业信息流方面,第一次发挥了显著作用,广交会上电子商务的作用日益突出,这些都为我国电子商务的进一步普及,起到了积极推动作用。2003年,中国已成为世界第五大国际贸易国。中国经济的高速发展,为电子商务发展提供了良好的经济环境,中国进一步对外开放,中国经济将与各国经济更加紧密地依存,这些都为电子商务的发展提供了巨大的市场机会。 但是,作为一个刚刚完成从计划经济向市场经济转型过程的发展中国家,由于我国电子商务起步晚、发展快,以致配套的技术及管理等方面跟不上,致使安全成为其发展过程中的阻碍因素。中国发展电子商务面临的众多的困难和问题中,最突出的问题是安全问题,这不仅在我国,对世界电子商务的发展也是最主要的问题。 二、电子商务安全存在的问题 1、电子商务环境安全问题 电子商务环境安全包括计算机系统安全、数据安全、网络安全和应用安全 (1)计算机安全 计算机是一种硬件设备,硬件设备难免出现故障,一旦出现,将会影响电子商务系统的运行。尤其是计算机的硬盘,一旦损坏,数据就会丢失,损失就无法挽回,需要对计算机硬件和数据进行备份。计算机系
21、电子商务安全面临的威胁 其中你问的问题是第二条,安全威胁问题。其实,就目前的各大银行的网上银行和电子支付而言,安全性已经很高,尤其是使用了口令卡、U盾、暗语等技术之后,安全性已经大大提高,基本可以杜绝安全隐患。只是,当前网络用户网络水平不高,对电子支付、电子商务心存疑虑,惧怕资金账户被人窃取或者担心购买的物品的质量,而不敢大胆网络消费。 目前主要的安全威胁是各类木马软件,用来记录密码、帐号等信息。对于网络安全意识不高、计算机水平不高的普通网民来说,无法彻底杜绝木马入侵,这是一个威胁。不过前面我说了,使用电子银行提供的口令卡(工商银行)、U盾(工行、建行),安全问题几乎100%保障。而且成本也极低(口令卡免费领取,U 盾60元上下)。 要克服这些问题,改变消费观念,加强网络安全普及最关键。健全物流系统,配货送货渠道解决,然后完善法规制度,保证有法可依。 电子商务的安全问题及对策研究 2009-04-09 14:53:09| 分类:默认分类| 标签:|字号大中小订阅 摘要:电子商务的开展面临着计算机网络的安全威胁和传统的商务活动在Internet上进行时由于Internet本身的隐患带来的安全威胁,这两个方面的安全威胁导致电子商务一系列的安全问题。通过利用电子商务安全技术,制定电子商务安全管理制度、加强诚信教育、建立社会诚信体系这三个方面的对策,我们可以营造一个能保证信息保密、信息完整、通信不可抵赖、不可否认、确认交易各方身份、信息有效、 个人隐私权得到保护的安全的电子商务环境。 关键词:电子商务、安全问题、安全技术、计算机网络 随着互联网的发展,电子商务成为了目前最时髦最吸引力的事物,同时由于电子商务具有传统商务不具有的优势,电子商务被越来越多的企业利用,电子商务也成为促进国家经济发展的一种重要力量。在电子商务的发展过程,很多问题也逐渐暴露出来,成为制约电子商务发展的重要原因,其中安全问题成为了众多问题中最重要最核心的问题。为了促进电子商务更好的发展,更好的为国民经济的发展服务,解决电 子商务中的安全问题就成了关键性的问题。 一、电子商务存在的安全问题
电子商务安全问题的现状与未来 摘要:在全球信息化影响下,电子商务需要不断完善。针对电子商务现状制定实施恰当的产业政策十分必要。本文从电子商务技术发展环境、存在的问题、发展趋势探讨分析了我国电子商务发展的现状。 关键词:电子商务;发展趋势;教育产业;应用前景 电子商务源于英文ELECTRONIC COMMERCE,简写为EC。内容包含两方面,一是电子方式,二是商贸活动。一般指利用电子信息网络等电子化手段进行的商务活动以及商务活 动的电子化与网络化。电子商务还包括政府机构、企事业单位各种内部业务的电子化。电子商务是一种现代化商业和行政方法,通过改善产品和服务质量、提高服务传递速度,通过计算机网络加快信息交流以支持决策。 一、我国电子商务面临的困境与问题 1. 消费观念问题。我国金融体系的呆板和服务意识的淡漠,直接造成中国的消费市场缺乏信用消费概念支持,信用体系一直缺乏完善的保障机制与信用机制,货币电子化进程缓慢。银行与银行之间、银行与消费者之间画地为牢,迫使那些想尝试信用消费的人必须为此付出额外的精神和财力 代价。于是当电子商务这种新型商业模式出现时,众多消费
者只能是裹足不前,电子商务模式依然远不足与现实生活中的传统商业模式相匹敌。 2. 搜索技术与标准问题。搜索引擎看起来很简单:用户输入一个查询关键词,搜索引擎就按照关键词语到数据库去查找,并返回最合适的WEB页链接。但根据NEC研究所与INKTOMI公司最近研究结果表明,目前在互联网上至少10 亿网页需要建立索引。而现在搜索引擎仅仅能对5亿网页建立索引,仍然有一半不能索引。这主要不是由于技术原因,而是由于在线商家希望保护商品价格的隐私权。因此当用户在网上购物时,不得不一个网站一个网站搜索下去,直到找到满意价格的物品为止。各国电子商务的交易方式和手段存在差异,面对无国界、全球贸易,需要在电子商务交易过程中建立相关的统一标准,以解决电子商务活动的相互操作问题。 3. 电子商务的安全与管理问题。电子商务的安全问题仍是影响电子商务发展的主要因素。在开放的网络上处理交易,如何保证传输数据的安全成为电子商务能否普及的最重要 的因数之一。调查公司曾对电子商务的应用前景进行过在线调查,当问到为什么不愿意在线购物时,绝大多数人的问题是担心遭到黑客的侵袭而导致信用卡信息丢失。因此,有一部分人或企业因担心安全问题而不愿意使用电子商务,安全成为电子商务发展中最大的障碍。管理的概念应该涵盖商务
电子商务交易中安全问题分析及对策研究 摘要:随着互联网不断发展,基于网络资源的电子商务交易渐渐火了,网上购物 在给人们带来众多实惠的同时,也存在诸多安全问题,电子商务交易双方都面临 安全威胁。如果这个核心问题得不到很好解决,将严重影响电子商务的发展。 关键词:电子商务网上交易安全问题安全技术对策 随着电子商务的高速发展,网上犯罪屡屡发生,网购骗局层出不穷。比如在Internet上进行恶意攻击、窃取商业机密、冒用他人的信用卡、篡改名单等犯罪 行为时有发生,人们对电子商务的安全提高了警惕,安全问题已经成为电子商务 发展的关键问题。 一、电子商务交易中存在的安全问题 1.网络系统存在的安全隐患。网络系统和应用软件中通常都会存在一些BUG,别有用心的人利用这些漏洞向买卖双方的电脑发起进攻,导致某个程序或网络丧 失功能。如:计算机病毒的侵袭、黑客非法入侵、线路窃听等很容易使重要数据 在传递过程中泄露,威胁电子商务交易的安全。 2.交易信息存在的安全隐患。(1)是网络交易中用明文传输的数据被非法入侵 者截获并破译之后,进行非法篡改、删除或插入,使信息的完整性遭受破坏;(2) 是网络非法攻击通过假冒合法用户或者模拟虚假信息来实施诈骗行为;(3)是交易 抵赖,包括多个方面,如:购买者下了订单不承认,商家卖出的商品因价格差异 而不承认原有的交易等。 3.信用方面存在的危机。在电子商务交易中存在的信用问题主要表现在以下 几个方面: (1)是来自买方的信用问题,对于消费者来说,可能在网络上利用信用 卡进行恶意透支,或者使用伪造的信用卡来骗取卖方的货物;(2)是来自卖方的信 用问题,卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全根据 合同来履行合同内容,造成买方权益的损害。 4.支付结算方面存在的安全隐患。电子商务交易的核心内容是信息沟通和交流,交易双方通过Internet进行洽谈、支付结算。从交易的结算方式看,已经可 以通过支付宝、网上银行、QQ钱包和微信钱包等多种方式来完成结算。但存在 大量的虚假网站,骗取钱财。 5.物流配送服务方面存在的安全隐患。主要表现为: (1)是当消费者在网上购买的商品在运输过程中出现损毁时,网站、产品供应商、快递公司之间互相推诿,推卸 责任,导致消费者无法获得赔偿; (2)是快递公司规定不按商品的价值,只按运输 费用的几倍赔偿; (3)是快递公司自行规定消费者签字后再验货,验货发现商品缺 失或损坏,又以其已签字为由拒不承担赔偿责任。 二、解决电子商务交易安全问题的对策 1.加强计算机网络安全应采取的措施 (1)使用防火墙技术:防火墙是一种行之有效且应用广泛的网络安全机制, 防止Internet上的不安全因素蔓延到局域网内部。防火墙可以从通信协议的各个 层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。因此,买卖双方都应很好地使用这一技术,保障网络的安全运行。 (2)使用反病毒技术:计算机病毒的防范是网络安全性建设中重要的一环, 在网络环境下,病毒传播扩散加快,仅用单机版杀毒软件已经很难彻底清除网络 病毒,必须有适合于局域网的全方位杀毒产品。如果在网络内部使用电子邮件进 行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件。所以最好使用
学习电子商务安全与管理心得体会 随着经济的发展,电子商务也越来越普及,越来越多的公司、个人在网上来交易,电子商务在人们的心中越来越不可缺少。但是,随着网络的普及,各种木马病毒、网上欺骗事件越来越多,阻碍了电子商务的发展。所以,电子商务安全与合理的管理是电子商务发展的保障。 一、安全交易标准的制定 近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有: 1、安全超文本传输协议:依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。 2、安全套接层协议:是由网景公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。 3、安全交易技术协议:由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。 4、安全电子交易协议:SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。 二、目前安全电子交易的手段 1、密码技术 采用密码技术息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种: (1)公共密钥和私用密钥 这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
论电子商务安全交易协议(一) 摘要]由于因特网的开放性,在电子商务的发展中,网上交易安全问题成为制约电子商务发展的瓶颈。目前国际上通用的电子商务安全支付协议主要有两个,即SSL协议和SET协议。本文对两种电子支付安全协议进行了详细的介绍,对协议的特点、功能、安全性进行了对比,阐述了两种协议保障电子商务交易安全的过程。 关键词]电子商务安全安全套接层协议安全电子交易协议 在电子商务过程中,买卖双方是通过网络来联系的,因而建立交易双方的安全和信任关系是相当困难的。这样使得电子商务交易双方都面临不同的安全威胁。而电子商务的主要特征是在线支持,为了加强电子商务交易的安全性,需要采用数据加密和身份认证技术,以便营造一种可信赖的电子交易环境。目前有两种安全支付协议被采用,即安全套接层SSL协议和安全电子交易SET协议。 一、安全套接层协议 安全套接层协议SSL(SecureSocketsLayer)是Netscape公司1995年推出的一种安全通信协议。SSL提供了两台计算机之间的安全连接,对计算机整个会话进行了加密,从而保证了信息传输的安全,实现浏览器与Web服务器之间的安全通信,在Internet上广泛应用于处理与金融有关的敏感信息。 SSL协议是一种保护Web通信的工业标准,能够对信用卡和个人信息、电子商务提供较强的加密保护。 1.SSL协议提供安全连接的基本特点 (1)连接是保密的:对于每个连接都有一个惟一的会话密钥,采用对称密码体制(如DES、RC4等)来加密数据; (2)连接是可靠的:消息的传输采用MAC算法(如MD5、SHA等)进行完整性检验;(3)对端实体的鉴别采用非对称密码体制(如RSA、DSS等)进行认证。 2.SSL协议提供的服务 (1)数据和服务器的合法认证。使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号,由公开密钥编排。为了验证用户,SSL协议要求在握手交换数据中做数字认证,以此来确保用户的合法性。 (2)加密数据以便隐藏被传送的数据。SSL协议采用的加密技术既有对称密钥也有公开密钥。具体来说,就是客户机与服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术,以保证数据的机密性,防止非法用户破译。 (3)维护数据的完整性。SSL协议采用Hash函数和机密共享的方法,提供完整信息性的服务,来建立客户机与服务器之间的安全通道,使经过处理的业务在传输过程中能够完整、准确地到达目的地。 3.SSL协议的构成 SSL协议分为两层:SSL握手协议和SSL记录协议。 (1)SSL握手协议。SSL握手协议用于在通信双方建立安全传输通道,是在客户机与服务器之间交换信息强化安全性的协议。具体实现以下功能: ①在客户端验证服务器,SSL协议采用公钥方式进行身份认证; ②在服务器端验证客户(可选的); ③客户端和服务器之间协商双方都支持的加密算法和压缩算法。 ④产生对称加密算法的会话密钥; ⑤建立加密SSL连接。 SSL握手协议最终使双方建立起合适的会话状态信息要素,包括对话标识、对等证书、压缩方法、加密说明、会话密钥等信息。
1,*电子商务面临的安全问题 1,电子商务经常受各种病毒的威胁 2,电子商务网络安全容易被黑客攻击 3,电子商务信息安全问题仍较严重 4,电子商务交易得不到安全保障 5,电子支付服务体系不完善 6,电子商务诚信环境亟待改善 7,电子商务安全管理体系不健全 8,电子商务用户安全意识淡薄 2*电子商务安全需求 1,电子商务活动参与各方身份的可认证性 2,电子商务信息的保密性 3,电子商务信息的完整性 4,电子商务信息的有效性 5,电子商务交易的不可抵赖性 3*电子商务安全的含义 电子商务安全是指销售者和商家或服务提供方相关信息,网络服务系统,身份是识别等方面的安全,即电子商务交易双方信息都要把保密,电子商务系统帐号不能被第三方获知,商品或服务提供方的的的订货和付款信息等商业秘密也不能为竞争对手或黑客等非本用户所知,并且若电子商务交易活动一旦完成,相关电子商务信息未经双方出重新协商,不可随意更改和否认。 4*电子商务安全主要研究内容 1,电子商务安全技术 2,电子商务的信息安全 3,电子商务的网络安全 4,电子商务的交易安全 5,电子商务安全管理 6,电子商务安全的法律法规 5*论述题 查阅相关资料,结合实际情况对当前我国电子商务安全现状进行分析。 6*当前密码学领域的加密技术主要有:一类是基于数学密码理论的加密技术,如对称加密,非对称加密技术,公钥基础设施,密钥管理与分发,数字签名,分组密码,序列密码,身份认证,虚拟专用网等,另一类是基于非数字密码理论的加密技术,如量子加密,生物加密技术,光学加密技术等。 7*一个完整的密码体系包括明文未加密的信息,密文已加密的信息,加密和解密的密钥,加密和解密算法4个基本要素。 8*对称加密技术 典型的对称加密算法主要有数据加密标准,三重,高级加密标准,国际数据加密算法,美国麻理省工学院的 9* 10*非对称加密技术也称公开密钥加密技术或双密钥加密技术,加密和解密分别使用两个成对的密钥来实现,分别称为公开密钥和私有密钥,私钥是唯一性和私有性。其中,用于加密的密钥可以公开,任何人都可以知道,但解密密钥只有密者知道,即发送方使用公钥加密数据之后,接收方只能自己拥有密钥来解密。
我国移动电子商务现状与趋势分析 金融125 62 李长城 我国还处于移动电子商务发展的初级阶段,其理论研究、行业标准、交易安全、商业模式和消费者接纳等方面还需要进一步完善和提升,但是我国移动电子商务发展势头迅猛、潜力巨大。文章从移动电子商务的概念出发,结合中国移动电子商务的现状,指出了目前中国移动电子商务所面临的问题及对策,并探讨了中国移动电子商务的发展趋势。 关键词:中国移动电子商务;现状;问题及对策;趋势 移动电子商务是传统互联网电子商务在移动领域的延伸和发展,是指通过手机、PDA、笔记本电脑等移动通信设备与因特网结合进行信息查询、商务交易及对信息、服务和商品的价值交换等电子商务活动的过程和行为。随着移动通信技术、互联网技术和信息处理技术的快速发展,人们已经不再满足于传统的商务活动,而是希望随时随地进行收发电邮、移动支付、定购各种商品等商务活动,所以移动电子商务成为人们关注和研究的热点。与传统通过台式电脑平台开展的电子商务相比,移动电子商务拥有更为广泛的用户基础,因此,也具有更为广阔的应用前景,特别是在当前3G背景下,移动电子商务正逐渐凭借技术和应用上的优越性,显示出强大的生命力。 一、中国移动电子商务现状 迄今为止,我国移动电子商务技术的发展经历了三个阶段。第一个阶段是以短讯为基础的技术;第二个阶段的移动电子商务采用基于WAP技术的方式;第三个阶段是以2009年发放牌照为标志、能够实现无缝漫游和移动宽带的3G时代。3G背景下,无线通信产品能够为人们提供速度高达2Mb/s的宽带多媒体业务,支持高质量的语音分组交换数据多媒体业务和多用户速率通信。 (一)移动客户群庞大 根据工业和信息化部的数据显示,2009年中国手机终端的数量已经达到亿,接近上网用户数量的3倍,而来自CNNIC的数据显示,2009年底中国手机网民的数量已突破亿,手机网民规模呈现迅速增长的势头。这表明我国移动电子商务业