论电子商务安全交易协议(一)
摘要]由于因特网的开放性,在电子商务的发展中,网上交易安全问题成为制约电子商务发展的瓶颈。目前国际上通用的电子商务安全支付协议主要有两个,即SSL协议和SET协议。本文对两种电子支付安全协议进行了详细的介绍,对协议的特点、功能、安全性进行了对比,阐述了两种协议保障电子商务交易安全的过程。
关键词]电子商务安全安全套接层协议安全电子交易协议
在电子商务过程中,买卖双方是通过网络来联系的,因而建立交易双方的安全和信任关系是相当困难的。这样使得电子商务交易双方都面临不同的安全威胁。而电子商务的主要特征是在线支持,为了加强电子商务交易的安全性,需要采用数据加密和身份认证技术,以便营造一种可信赖的电子交易环境。目前有两种安全支付协议被采用,即安全套接层SSL协议和安全电子交易SET协议。
一、安全套接层协议
安全套接层协议SSL(SecureSocketsLayer)是Netscape公司1995年推出的一种安全通信协议。SSL提供了两台计算机之间的安全连接,对计算机整个会话进行了加密,从而保证了信息传输的安全,实现浏览器与Web服务器之间的安全通信,在Internet上广泛应用于处理与金融有关的敏感信息。
SSL协议是一种保护Web通信的工业标准,能够对信用卡和个人信息、电子商务提供较强的加密保护。
1.SSL协议提供安全连接的基本特点
(1)连接是保密的:对于每个连接都有一个惟一的会话密钥,采用对称密码体制(如DES、RC4等)来加密数据;
(2)连接是可靠的:消息的传输采用MAC算法(如MD5、SHA等)进行完整性检验;(3)对端实体的鉴别采用非对称密码体制(如RSA、DSS等)进行认证。
2.SSL协议提供的服务
(1)数据和服务器的合法认证。使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号,由公开密钥编排。为了验证用户,SSL协议要求在握手交换数据中做数字认证,以此来确保用户的合法性。
(2)加密数据以便隐藏被传送的数据。SSL协议采用的加密技术既有对称密钥也有公开密钥。具体来说,就是客户机与服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术,以保证数据的机密性,防止非法用户破译。
(3)维护数据的完整性。SSL协议采用Hash函数和机密共享的方法,提供完整信息性的服务,来建立客户机与服务器之间的安全通道,使经过处理的业务在传输过程中能够完整、准确地到达目的地。
3.SSL协议的构成
SSL协议分为两层:SSL握手协议和SSL记录协议。
(1)SSL握手协议。SSL握手协议用于在通信双方建立安全传输通道,是在客户机与服务器之间交换信息强化安全性的协议。具体实现以下功能:
①在客户端验证服务器,SSL协议采用公钥方式进行身份认证;
②在服务器端验证客户(可选的);
③客户端和服务器之间协商双方都支持的加密算法和压缩算法。
④产生对称加密算法的会话密钥;
⑤建立加密SSL连接。
SSL握手协议最终使双方建立起合适的会话状态信息要素,包括对话标识、对等证书、压缩方法、加密说明、会话密钥等信息。
(2)SSL记录协议。SSL记录协议提供通信、认证功能,从高层接收到数据后要经过分段、压缩和加密处理,最后由传输层发送出去。在SSL协议中所有的传输数据都被封装在记录中,SSL记录协议规定了记录头和记录数据的格式。每个SSL记录包含内容类型、协议版本号、记录长度、数据有效载荷、MAC等信息。
二、安全电子交易协议
安全电子交易协议SET(SecureElectronicTransaction),是1996年由Visa(维萨)与MasterCard(万事达)两大国际信用卡公司联合制订的安全电子交易规范。它提供了消费者、商家和银行之间的认证,确保网上交易的保密性、数据完整性、交易的不可否认性和交易的身份认证,保证在开放网络环境下使用信用卡进行在线购物的安全。
目前,SET协议由SETCo负责推广、发展和认证。SETCo是由Visa和MasterCard这两个公司为首组成的SET厂商集团,把SET标识授予成功通过SET兼容性试验的软件厂商。
1.SET协议中采用的数据加密过程的特点
(1)交易参与者的身份鉴别采用数字证书的方式来完成,数字证书的格式一般采用X.509国际标准;
(2)交易的不可否认性用数字签名的方式来实现。由于数字签名是由发送方的私钥产生,而发送方的私钥只有他本人知道,所以发送方便不能对其发送过的交易数据进行抵赖;
(3)用报文摘要算法来保证数据的完整性;
(4)由于非对称加密算法的运算速度慢,所以要和对称加密算法联合使用,用对称加密算法来加密数据,用数字信封来交换对称密钥。
2.SET协议的数据交换过程
SET协议的购物系统由持卡人、商家、支付网关、收单行和发卡行五个部分组成,这五大部分之间的数据交换过程如下:(1)持卡人决定购买,向商家发出购买请求;
(2)商家返回商家证书等信息;
(3)持卡人验证商家身份,将定购信息和支付信息安全传送给商家,但支付信息对商家来说是不可见的(用银行公钥加密);
(4)商家验证支付网关身份,把支付信息传给支付网关,要求验证持卡人的支付信息是否有效;
(5)支付网关验证商家身份,通过传统的银行网络到发卡行验证持卡人的支付信息是否有效,并把结果返回商家;
(6)商家返回信息给持卡人,按照订单信息送货;
(7)商家定期向支付网关发送要求支付信息,支付网关通知发卡行划账,并把结果返回商家,交易结束。
电子商务安全协议 Xxx (华中科技大学电子与信息工程系,武汉430074) 摘要:随着人类进入以网络为主的信息时代,Internet 的高速发展带来了商业和经济模式的重大变革。基于 Internet 发展起来的电子商务慢慢成为人们进行商务活动的新模式,但是安全问题成为了制约其发展的重要因素。本文简单介绍了电子商务安全的相关问题以及电子商务中的主流安全协议:SSL协议与SET协议,并对两种协议的优缺点进行了一定的比较分析。 关键词:电子商务,安全协议,SSL,SET 1.电子商务安全概述 随着信息技术的迅速发展,人类正进入以网络为主的信息时代,基于Internet发展起来的电子商务慢慢成为人们进行商务活动的新模式。但是,电子商务的安全问题也是制约其发展的重要因素之一,如何建立一个安全、便捷的电子商务应用环境,保证整个电子商务活动中信息的安全性,使基于Internet的电子交易方式与传统交易方式一样可靠。 1.1.电子商务的定义 电子商务是把现有的计算机软件、硬件设备和网络设施,通过一定的协议连接起来的在电子网络环境下进行各种商品买卖的一种新方式。电子商务改变了传统的面对面交易模式,同时在一定程度上打破了时间和地点的限制。虽然电子商务具有快捷性、方便性、不受时间地点的限制、相对传统交易开销小等诸多优点,但是却存在安全性方面的许多隐患。 1.2.电子商务的安全要素 为了保证电子商务在整个商品交易活动中,可以安全顺利的进行,一般来说,需要电子商务的安全系统必须具备以下几个安全要素: 1)有效性:要求电子商务系统可以对信息,交易实体的有效性进行鉴别 2)机密性:保证信息在存取和传输过程中的安全性 3)数据的完整性:即保护数据的完整性,防止有人没有经过授权就对数 据内容进行修改,同时还要保证数据的一致性
电子商务第三方交易平台管理办法 第一章总则 第一条(目的和依据) 为规范电子商务第三方交易平台的经营活动,保护企业和消费者合法权益,营造公平、诚信的交易环境,保障交易安全,促进电子商务快速、健康发展,依据中华人民共和国有关法律法规制定本办法。 第二条(适用范围) 在中华人民共和国境内从事电子商务第三方交易平台经营活动适用本办法,但国家另有规定的除外。 第三条(定义) 本办法所称电子商务第三方交易平台(简称第三方交易平台)是指在电子商务活动中为买卖双方提供信息和交易服务的电子商务网站。 本办法所称第三方交易平台经营者是指从事电子商务第三方交易平台运营并为买卖双方提供交易服务的公民、法人和其他组织。第三方交易平台是平台经营者为开展网上交易提供的计算机信息系统,该系统包括计算机、互联网、相关硬件和软件等。 本办法所称第三方交易平台站内经营者是指在第三方设立的交易平台上从事买卖活动的公民、法人和其他组织。 本办法所称第三方交易平台辅助服务提供者是指为优化网上交易环境和促进网上交易,为买卖双方提供身份认证、信用评估、网络广告发布、网上支付、物流配送、交易保险等辅助服务的公民、法人和其他组织。 第四条(管理部门) 商务行政主管部门会同有关部门负责电子商务第三方交易平台的政策促进、规范指导和综合协调。 第五条(运行原则) 第三方交易平台经营者在设定修改业务规则和处理争议时应当遵守公正、公平、独立的原则。 第三方交易平台经营者同时在自营平台内经营站内经营的,应当将两者业务分开,并在
1234 12网站予以公示。 鼓励依法设立和经营第三方交易平台,鼓励构建有利于第三方交易平台发展的技术支撑体系。 鼓励第三方交易平台经营者、行业协会和相关组织探索电子商务信用评价体系、争议解决机制,以及交易安全制度。 第三方交易平台经营者应当依法办理工商登记注册。 第三方交易平台经营者应当在其网站主页面或者从事经营活动的网页醒目位置公开以下信息: ()营业执照、组织机构代码; ()互联网信息服务许可登记或经备案的电子验证标识; ()经营地址、邮政编码、电话号码、电子信箱等联系信息及法律文书送达地址; ()法律、法规规定其他应披露的信息。 第三方交易平台经营者在其平台上从事商品交易或服务的,还应当公布所经营产品取得的许可证书、认证证书及产品名称、生产者等信息。 第三方交易平台经营者应当妥善保存网上交易各方的注册信息及交易信息,保存期限不得少于两年。 第三方交易平台服务提供者也应当保存相关辅助服务信息,保存期限不得少于两年。第三方交易平台站内经营者有权在保存期限内自助查询、下载或打印自己的信息。 第三方交易平台经营者的用户协议及其修改应提前公示,并抄送当地消费者权益保护机构。 用户协议应当包括以下内容: ()用户注册条件; ()交易规则; 第六条(鼓励与促进) 第七条(经营者资质)第八条(经营者信息公示)第九条(数据存储与查询) 第十条(用户协议) 第二章经营活动规范
1、简述电子商务流程 答:(1)电子商务的基本交易过程:①交易前的准备;②交易谈判和签订合同;③办理交易进行前的手续;④交易合同的履行、服务和索赔。(2)网上商品交易流程:①网上商品直销流程:消费者进入网站、浏览商品;消费者在提供者的网站上填写信息,订购商品;消费者选择付款方式,供应方查看消费者的信息,比如账户余额是否足够;供应方发货,同时银行将款项划入供应方;消费者检查收货。 ②网上商品中介交易流程:交易双方将供需信息发布在网络交易中心;交易双方根据网上商品交易中心提供的信息选择自己的交易对象,网上商品交易中心协助双方合同的签订以及其他的相关手续;交易双方在网络交易中心指定的银行进行付款、转账等手续;商品交易中心送货或由卖方直接送给买方;买方验货收货。 2、概括电子商务模式的类型 答:从参与的主体和实现商务活动的方式的角度考虑,基于Internet电子商务模式可以概括为网上直销型电子商务模式和网上中介型电子商务模式两种。网上直销型电子商务模式分为:(1)企业与企业间网上直销型电子商务模式:①买方集中模式;②卖方集中模式;③专业服务模式。(2)网上零售模式:①实物商品电子商务模式;②无形商品电子商务模式:网上订阅模式,付费浏览模式,广告支付模式,网上赠与模式。(2)网上中介型电子商务模式:①企业与企业间网上中介型电子商务模式;②消费者与消费者间的网上中介型电子商务模式;③网上商城模式。 3、结合自己的亲身经历,思考在电子商务交易中会涉及哪些安全问题?(信息传输风险,信用风险,管理风险,法律风险,网上支付风险) 电子商务所面临的安全问题主要包括以下几个方面。(1)窃取信息。数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。(2)篡改信息。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。(3)身份仿冒。攻击者运用非法手段盗用合法用户身份信息,利用仿冒的身份与他人交易,获取非法利益,从而破坏交易的可靠性。(4)抵赖。某些用户对发出或收到的信息进行恶意否认,以逃避应承担的责任。(5)病毒。网络化,特别是Internet的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。(6)其他安全威胁。电子商务的安全威胁种类繁多,有故意的也有偶然的,存在于各种潜在方面。例如:业务流分析,操作人员的不慎重所导致的信息泄露,媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。 4、电子商务网络系统自身的安全问题(1)物理实体安全问题(2)计算机软件系统潜在的安全问题(3)网络协议的安全漏洞(4)黑客的恶意攻击(5)计算机病毒攻击(6)安全产品使用不当 5、电子商务交易信息传输过程中面临哪些安全问题? (1)信息机密性面临的威胁:主要指信息在传输过程中被盗取。(2)信息完整性面临的威胁:主要指信息在传输的过程中被篡改、删除或插入。(3)交易信息的可认性面临的威胁:主要指交易双方抵赖已经做过的交易或传输的信息。(4)交易双方身份真实性面临的威胁:主要指攻击者假冒交易者的身份进行交易。 电子商务企业内部安全管理问题(1)网络安全管理制度问题(2)硬件资源的安全管理问题(3)软件和数据的维护与备份安全管理问题 6、电子商务安全管理方法(了解P19) 从安全技术,安全管理制度和法律制度三个方面7、电子商务安全管理的制度体现在哪些方面?答:电子商务安全管理的制度体现在以下几个方面:(1)人员管理制度。(2)保密制度。(3)跟踪、审计、稽核制度。(4)网络系统的日常维护制度。(5)病毒防范制度。 8、风险分析的目的:风险分析的最终目的是彻底消除风险,保障风险主体安全。具体包括以下几个方面:(1)透彻了解风险主体、查明风险客体以及识别和评估风险因素;(2)根据风险因素的性质,选择、优化风险管理的方法,制定可行的风险管理方案,以备决策;(3)总结从风险分析实践中得出的经验,丰富风险分析理论。 9、风险分析的原则:风险分析的原则是分析人员在进行风险分析时辨别和评估各种风险因素所持的态度以及在分析中采用各种技术的原则它是独立于风险分析的对象(风险主体、风险客体和风险因素等)之外的认知系统遵循的原则。
电子商务安全交易的有关标准和实施方法 (1、早期曾采用过的地方 在电子商务实施初期,曾采用过一些简易的安全措施,这些措施包括: 部分告知(Partial Order即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。 另行确认(Order Confirmation即当在网上传输交易信息之后,应再用电子邮件对交易作确认,才认为有效。 在线服务(Online Service为了保证信息传输的安全,用企业提供的内部网来提供联机服务。 以上所述的种种方法,均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。 (2、近年推出的安全交易标准 近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有: 安全超文本传输协议(S-HTTP依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。 安全套按层协议(SSL:Secure Sockets Layer由Netscape公司提出的安全交易协议,提供加密、认证服务和报文完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。 安全交易技术协议(STT:Secure Transaction Technology由 Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。
安全电子交易协议(SET:Secure Electronic Transaction 1995年,信用卡国际组织、资讯业者及网络安全专业团体等开始组成策略联盟,共同研究开发电子商务(Electronic Commerce的安全交易。 1996年6月,由IBM,Master Card International,Visa International,Microsoft,Netscape,GTE,VeriSign,SAIC,Terisa共同制定的标准SET正式公告,涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来"电子商务"的规范。
(听风阁论坛)电商平台服务协议、交易规则 【总则】 针对XXX科技有限公司所属电子商务平台“(听风阁论坛)”,以下简称平台。在业务开展过程中制定本服务协议、交易规则。为了保障(听风阁论坛)平台各方主体的合法权益,规范各方主体行为,维护商务市场秩序,遵守和维护国家法律法规,制定本方案。 (听风阁论坛)平台所有电子商务活动,适用本方案。本方案所称电子商务活动,是指通过互联网等信息网络销售商品或者提供服务的经营活动。《中华人民共和国电子商务法》对销售商品或者提供服务有规定的,适用其规定。金融类产品和服务,利用信息网络提供新闻信息、音视频节目、出版以及文化产品等内容方面的服务,根据《中华人民共和国电子商务法》相关规定,不适用本方案。 【服务协议】 1、平台将遵循公开、公平、公正的原则,制定平台服务协议和交易规则,明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务。 2、平台将记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;法律、行政法规另有规定的,依照其规定。 3、平台将提供明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。平台收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,平台应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。 4、平台收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。
5.1.1 SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上,运行在TCP/IP协议之上而在其他高层协议(如HTTP、Telnet、FTP和IMAP等)之下,如图5-1所示。在建立一次SSL连接之前,首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时,支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己,还允许这两个机器之间建立安全的加密连接,同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议,其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式,它位于一些可靠的传输层协议之上(如TCP),用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上,并被SSL记录协议所封装。它描述建立安全连接的过程,在客户和服务器传送应用层数据之前,该协议允许服务器与客户机之间协商加密算法和会话密钥,完成通信双方的身份验证等功能。 图5-1 SSL协议的分层结构 5.1.2 SSL记录协议 SSL记录协议(Record Protocol)定义了传输的格式,包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示: 图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块,把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快,压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的
MAC算法对压缩块计算MAC,用指定的对称加密算法加密压缩块和MAC,形成密文块。 4.对密文块添加SSL记录头,然后送到传输层,传输层受到这个SSL记录层数据单元后,记上TCP报头,得到TCP数据包。 图5-3 SSL记录协议中数据项的格式 5.1.3 SSL握手协议 图5-4 SSL建立新会话时的握手过程 1)建立新会话时的握手过程 握手协议用于数据传输之前。它可以进行服务器与客户之间的身份鉴别,同时通过服务器和客户协商,决定采用的协议版本、加密算法,并确定加密数据所需的对称密钥,随后采用公钥加密技术产生共享机密信息(例如对称密钥)。每次连接,握手协议都要建立一个会话。会话中包含了一套可在多次会话中使用的加密安全参数,从而减轻了每次建立会话的负担。然而,必须指出的是,SSL中的每次连接时,在握手协议中产生的对称密钥都是独特的,这种每次更换密钥的方法显然在更大程度上确保了系统的不易攻破性。 根据是否验证对方的证书,SSL的握手过程可以分为以下三种验证模式:客户和服务器都被验证;只验证客户机,不验证服务器,这是Internet上使用最广泛的形式;客户和服务器都不验证,也称为完全匿名模式。SSL握手协议建立一个新的会话的过程如图5-4所示,具体如下: 阶段1:确定一些相关参数,包括协议版本、会话ID、加密规格、压缩算法和初始随机数 (1)客户端发送client_hello消息给服务器,向服务器传送客户端支持的SSL协议的版
电子商务网络交易平台解决方案 电子商务模式现状 结合近年电子商务的实践,具有代表性的产品电子商务的业务模式有以下七种: 目录模式(catalogue)也有学者把这种模式称之为网上黄页(Web Yellow Page) 信息中介(Information Intermediary) 虚拟社区(Virtual Communities) 电子商店(e-shop) 电子采购(e-Procurement) 价值链整合(Value Chan Integration) 第三方交易市场(Third-Party Marketttpiace) 通过归类分析,把电子商务模式大体上分为三类: 第一类是初级模式,包括目录模式、信息中介模式、虚拟社区模式。其共同点 是不进行产品实物的网上交易,而是为产品网上实物交易提供服务。 1、目录模式,一是链接到某一综合信息平台上(门户网站如雅虎等);二是建立 自己的网站用以发布信息。这种模式主要是介绍各类公司的经营特点,推荐产品, 宣传企业的业绩。 2、产品信息中介模式,主要是以提供信息中介服务来帮助产品企业获得相关 产品信息,在某种程度上仅仅是商务服务行为。 3、产品虚拟社区,虽然能为整个价值链或价值链系统增加信息交换量,但并 不属于价值链上的任何一个元素。因为如此,它正式成为一种附加功能,主要用它 为其他商业模式(电子商店、第三方交易场所、价值链整合商)提供辅助功能。其发 展上也存在着局限性。
通过总结可以发现:上述这三种模式主要是从不同的角度分别为产品企业的电子商务提供宣传、信息和交流沟通服务,基本上只是一个信息交换平台,仅仅是电子商务发展的初级模式。 第二类是电子商务具有较大规模和较强实力的高级模式:包括电子商店模式、电子采购模式、价值链整合模式。其共同点是进行产品实物的网上交易。但是它们的情况又各不相同。 4、产品电子商店模式的驱动者一般是卖方或买方单方,整个模式的发展受宏观网络环境和客户对网络采购偏好的影响很大。另外,交易过程需要交易各方如中介方、金融、物流、保险、税务的配合,一般不具势力的网站,在目前环境下很难实现交易。 5、产品电子商务的电子采购模式实施的前提产品企业内部信息化已经完善,并且需要将后端应用连接起来的灵活接口,在此基础上要增加适合企业的供应链系统,物流配送系统,只有这样库存管理以及相应的电子采购系统完善配套才能实现,也就是说要实现ERP、CRM、SCM及电子采购系统的融合才能实现该模式。 而目前中国的实际情况是大多数产品企业连内部信息化尚未实现。故现阶段要采取此种模式较为困难。 6、开展价值链整合电子商务模式的,主要是资金比较充足的上市产品企业或行业内知名企业集团,对于一般企业应用这种模式还存在一些困难和障碍。主要表现在:环境问题、相关价值链上企业间配合问题、人才问题等方面,而最重要的还是资金问题。虽然电子商务能够降低交易成本,但是,庞大的资金投入也不是一般企业所能承担的。即便能够承担,庞大的初期投入、长期维护运营费用跟降低的交易成本之间的比较优势一时也很难平衡。因此,一般来说,采用价值链整合模式的产品企业自身必须是一个具有号召力的大企业或服务提供商,往往这种模式的采用者大多是具有知名品牌和较大的规模的产品企业。对于中国来说,产品企业目前绝
实验一系统安全设置 [实验目的和要求] 1、掌握本地安全策略的设置 2、掌握系统资源的共享及安全的设置技术 3、掌握管理安全设置的技术 [实验容] 1、本地安全策略 2、资源共享 3、管理安全设置 [实验步骤] 一、本地安全策略 “控制面板”---“管理工具”---“本地安全策略”,如图1-1。 图1-1 本地安全设置图1-2 拒绝本地登录在“用户权利指派”中查看:哪些用户不可以在本地登录?哪些用户可以从网络访问计算机?哪些用户可以关闭计算机? 答:分别见图1-2,1-3和1-4。
图1-3从网络访问计算机图1-4 关闭系统 在“安全选项”中查看:如何使计算机在登录前必须按“CTRL+ALT+DEL”?未签名驱动程序的安装是如何设置的?如何禁止网络用户访问CD-ROM? 答:找到“交互式登录:不需要按CTRL+ALT+DEL”,双击打开,选择“已禁用(S)”后单击“确定”按钮。 找到“设备:未签名驱动程序的安装操作”,在下拉菜单中选择“允许安装但发出警告”,单击“确定”按钮即可。 找到“设备:只有本地登录的用户才能访问CD-ROM”,打开选择“已启用(E)”,点击“确定”按钮即可。 二、文件共享 如何设置共享文件,并通过网上邻居访问共享文件? 设置共享文件: 方法一:“工具--文件夹选项--查看--使用简单文件夹共享”。这样设置后,其他用户只能以Guest用户的身份访问你共享的文件或者是文件夹。 方法二:“控制面板--管理工具--计算机管理”,在“计算机管理”这个对话框中,依次点击“文件夹共享--共享”,然后在右键中选择“新建共享”即可。 选择你要共享的文件,右击选择“属性”,打开如图1-5显示的窗口。勾选“在网络上共享这个文件夹”即可在网络邻居访问这个文件。 图1-5 文件夹属性 三、管理安全设置 1、对“Internet选项”中的“安全”设置进行分析。为了保证浏览网页的方便,你认为哪些设置必需放开?而哪些设置又可能引起安全问题? 我认为对于网络的大部分设置应设为启用可方便浏览网页;对于ActiveX控间和插件的设置若设置为禁用可能会引起安全问题。 2、windows防火墙中的“例外”是什么意思?如何让某个应用程序不受防火墙限制?
YOUR LOGO 如有logo可在此插入合同书—CONTRACT TEMPLATE— 精诚合作携手共赢 Sincere Cooperation And Win-Win Cooperation
温州电子商务交易平台协议(正式版) The Purpose Of This Document Is T o Clarify The Civil Relationship Between The Parties Or Both Parties. After Reaching An Agreement Through Mutual Consultation, This Document Is Hereby Prepared 注意事项:此协议书文件主要为明确当事人或当事双方之间的民事关系,同时保障各自的合法权益,经共同协商达成一致意见后特此编制,文件下载即可修改,可根据实际情况套用。 甲方:_______________ 乙方:_______________ 鉴于甲方作为零售商、乙方作为供应商,双方存在商品购销/代销关系;鉴于甲方初步开发建设了_________电子商务交易平台;鉴于双方同意通过_________电子商务交易平台进行包括订货、补货、退货、销售及库存等信息查询在内的业务活动。 经过友好协商,双方就下列事宜达成一致意见: 一、电子商务交易平台的使用 1.本协议生效后,在系统运行初期,原来的传真联系方式仍然有效,当系统运行一段时期后,经甲方发出通知,将停止原传真往来模式的使用,完全执行本协议的规定。
2.甲方每天定时向乙方传送数据信息,乙方应在甲方传送数据信息后的2-3个小时内立即进行反馈:甲方于每天上午11:00、下午3:00分别两次在电子商务交易平台上发布订单等数据信息;乙方在每天下午的2:00和5:00以前进行两次反馈操作。 二、使用要求 1.甲方负责电子商务交易平台系统的维护、运行,提供每天24小时的不间断服务。 2.甲方负责对乙方的系统维护人员进行培训,并对乙方在实际操作与运用中的技术问题提供技术咨询服务。 3.乙方应遵守《_______________》,按照该手册的规定登录平台、维护机构信息、进行订单、退货单、对帐单的网上接收、查询和反馈。 4.甲方更新手册应及时通知乙方,乙方应遵守更新后的使用手册。 5.双方应确保数据信息的准确性与及时性。
学习电子商务安全与管理心得体会 随着经济的发展,电子商务也越来越普及,越来越多的公司、个人在网上来交易,电子商务在人们的心中越来越不可缺少。但是,随着网络的普及,各种木马病毒、网上欺骗事件越来越多,阻碍了电子商务的发展。所以,电子商务安全与合理的管理是电子商务发展的保障。 一、安全交易标准的制定 近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有: 1、安全超文本传输协议:依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。 2、安全套接层协议:是由网景公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。在SSL中,采用了公开密钥和私有密钥两种加密方法。 3、安全交易技术协议:由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。 4、安全电子交易协议:SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。 二、目前安全电子交易的手段 1、密码技术 采用密码技术息加密,是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种: (1)公共密钥和私用密钥 这一加密方法亦称为RSA编码法,是由Rivest、Shamir和Adlernan三人所研究发明的。在加密应用时,某个用户总是将一个密钥公开,让需发信的人员将信息用其公共密钥加密后发给该用户,而一旦信息加密后,只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到,亦可在请对方发信息时主动将公共密钥传给对方,这样保证在Internet上传输信息的保密和安全。
电子商务交易中安全问题分析及对策研究 摘要:随着互联网不断发展,基于网络资源的电子商务交易渐渐火了,网上购物 在给人们带来众多实惠的同时,也存在诸多安全问题,电子商务交易双方都面临 安全威胁。如果这个核心问题得不到很好解决,将严重影响电子商务的发展。 关键词:电子商务网上交易安全问题安全技术对策 随着电子商务的高速发展,网上犯罪屡屡发生,网购骗局层出不穷。比如在Internet上进行恶意攻击、窃取商业机密、冒用他人的信用卡、篡改名单等犯罪 行为时有发生,人们对电子商务的安全提高了警惕,安全问题已经成为电子商务 发展的关键问题。 一、电子商务交易中存在的安全问题 1.网络系统存在的安全隐患。网络系统和应用软件中通常都会存在一些BUG,别有用心的人利用这些漏洞向买卖双方的电脑发起进攻,导致某个程序或网络丧 失功能。如:计算机病毒的侵袭、黑客非法入侵、线路窃听等很容易使重要数据 在传递过程中泄露,威胁电子商务交易的安全。 2.交易信息存在的安全隐患。(1)是网络交易中用明文传输的数据被非法入侵 者截获并破译之后,进行非法篡改、删除或插入,使信息的完整性遭受破坏;(2) 是网络非法攻击通过假冒合法用户或者模拟虚假信息来实施诈骗行为;(3)是交易 抵赖,包括多个方面,如:购买者下了订单不承认,商家卖出的商品因价格差异 而不承认原有的交易等。 3.信用方面存在的危机。在电子商务交易中存在的信用问题主要表现在以下 几个方面: (1)是来自买方的信用问题,对于消费者来说,可能在网络上利用信用 卡进行恶意透支,或者使用伪造的信用卡来骗取卖方的货物;(2)是来自卖方的信 用问题,卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全根据 合同来履行合同内容,造成买方权益的损害。 4.支付结算方面存在的安全隐患。电子商务交易的核心内容是信息沟通和交流,交易双方通过Internet进行洽谈、支付结算。从交易的结算方式看,已经可 以通过支付宝、网上银行、QQ钱包和微信钱包等多种方式来完成结算。但存在 大量的虚假网站,骗取钱财。 5.物流配送服务方面存在的安全隐患。主要表现为: (1)是当消费者在网上购买的商品在运输过程中出现损毁时,网站、产品供应商、快递公司之间互相推诿,推卸 责任,导致消费者无法获得赔偿; (2)是快递公司规定不按商品的价值,只按运输 费用的几倍赔偿; (3)是快递公司自行规定消费者签字后再验货,验货发现商品缺 失或损坏,又以其已签字为由拒不承担赔偿责任。 二、解决电子商务交易安全问题的对策 1.加强计算机网络安全应采取的措施 (1)使用防火墙技术:防火墙是一种行之有效且应用广泛的网络安全机制, 防止Internet上的不安全因素蔓延到局域网内部。防火墙可以从通信协议的各个 层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。因此,买卖双方都应很好地使用这一技术,保障网络的安全运行。 (2)使用反病毒技术:计算机病毒的防范是网络安全性建设中重要的一环, 在网络环境下,病毒传播扩散加快,仅用单机版杀毒软件已经很难彻底清除网络 病毒,必须有适合于局域网的全方位杀毒产品。如果在网络内部使用电子邮件进 行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件。所以最好使用
目的要求:通过学习了解电子商务环境中的安全威胁后解决安全威胁的技术手段和方案 重点难点:解决安全威胁的技术手段和方案 组织教学:点名考勤;复习;引入新课;讲解理论知识;实例演示;指导学生练习;总结 总结复习导入新课:。 提问:1、什么是电子商务? 教学方式、手段、媒介:讲授、多媒体;媒介:教材 教学内容: 第一节电子商务 一、公钥基础设施 公钥基础设施是由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成,管理密钥和证书的系统或平台。 用于解决电子商务中安全问题的PKI 技术。PKI(Public Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI 的核心组成部分 CA(Certification Authority),即认证中心,它是数字证书的签发机构。数字证书,有时被称为数字身份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。 1、认证中心 认证中心(Certificate Authority, 简称CA),也称之为电子认证中心,是电子商务的一个核心环节,是在电子交易中承担网上安全电子交易认证服务,签发数字证书,确认用户身份,与具体交易行为无关权威第三方权威机构。 为安全电子交易中之重要单位,为一公正、公开的代理组织,接受持卡人和特约商店的申请,会同发卡及收单银行核对其申请资料是否一致,并负责电子证书之发放、管理及取消等事宜。是在线交易的监督者和担保人。主要进行电子证书管理、电子贸易伙伴关系建立和确认、密钥管理、为支付系统中的各参与方提供身份认证等。CA类似于现实生活中公证人的角色,具有权威性,是一个普遍可信的第三方。 认证中心可官方将某个公钥授权给用户。如果一个公司在内部或同可靠的商业伙伴交往时使用了数字证书,就可能会出现这样一个机构。Netscape和Xcert提供了用于管理数字证书的证明服务器。 当很多用户共用一个证明权威时,证明权威应该是个受到大家信赖的可靠方。证明权威甚至可以是个规模更大、公用程度更高的实体,比如GTE、Nortel或Verisign,它们在验证身份和签发数字证书上的严谨态度早已众口皆碑。
电子商务平台分类有哪些 除草剂的类别有哪些 相信参加东莞电子商务培训或是东莞网络推广培训的学员都知道电子商务最常见的分类为:ABC、B2B、B2C、C2C、B2M、M2C、B2A(即B2G)、C2A(即C2G)、O2O、C2B、B2B2C分类电子商务模式等,现在学习电子商务是非常不错的选,也是大家的首选课程。那么我们看看别人的总结: 一、ABC:ABC模式=Agents to Business to Consumer ABC 模式是新型电子商务模式的一种,被誉为继阿里巴巴b2b模式、京东商城b2c模式以及天猫btoc、淘宝c2c模式之后电子商务界的第四大模式。是由代理商(Agents)、商家(Business)和消费者(Consumer)共同搭建的集生产、经营、消费为一体的电子商务平台。三者之间可以转化。大家相互服务,相互支持,你中有我,我中有你,真正形成一个利益共同体。 二、B2B:B2B = Business to Business. 商家(泛指企业)对商家的电子商务,即企业与企业之间通过互联网进行产品、服务及信息的交换。通俗的说法是指进行电子商务交易的供需双方都是商家(或企业、公司),她(他)们使用了Internet的技术或各种商务网络平台,完成商务交易的过程。这些过程包括:发布供求信息,订货及确认订货,支付过程及票据的签发、传送和接收,确定配
送方案并监控配送过程等。有时写作B to B,但为了简便干脆用其谐音B2B(2即two)。 三、B2C:B2C = Business to Customer B2C模式是我国最早产生的电子商务模式,以8848网上商城正式运营为标志,如今的B2C电子商务网站非常的多,比较大型的有京东商城、哈妹网等。 四、C2C:C2C = Consumer to Consumer C2C同B2B、B2C 一样,都是电子商务的几种模式之一。不同的是C2C是用户对用户的模式,C2C商务平台就是通过为买卖双方提供一个在线交易平台,使卖方可以主动提供商品上网拍卖,而买方可以自行选择商品进行竞价。 五、B2M:B2M = Business to Manager B2M是相对于B2B、B2C、C2C的电子商务模式而言,是一种全新的电子商务模式。而这种电子商务相对于以上三种有着本质的不同,其根本的区别在于目标客户群的性质不同,前三者的目标客户群都是作为一种消费者的身份出现,而B2M所针对的客户群是该企业或者该产品的销售者或者为其工作者,而不是最终消费者。 六、M2C:M2C = Manager to Consumer M2C是针对于B2M 的电子商务模式而出现的延伸概念。B2M环节中,企业通过网络平台发布该企业的产品或者服务,职业经理人通过网络获取该企业的产品或者服务信息,并且为该企业提供产品销售或者提供
电子商务安全管理 (学号:XXX 专业:安全科学与工程 XX大学环境与安全工程学院) 摘要:电子商务的发展是互联网上最大的应用趋势,是国际经贸全新的一种形式,是我国经济生活牛的新手段。文章通过简要分析电子商务安全管理存在的隐患,探讨了防范电子商务安全问题的法律手段、技术手段和监管手段,从而为达到完善电子商务安全管理的目的提供理论依据。 关键词:电子商务;安全管理;技术;原则 Safety Management of E-commerce Abstract:Development of electronic commerce on the Internet is the largest application trends, is a new form of international economic and trade . Through a brief analysis of the existence of e-commerce security management problems, discussed the legal means to prevent e-commerce security issues, technical means and means of supervision, so as to achieve the purpose of improving the safety management of e-commerce to provide a theoretical basis. Key words:electronic commerce; safety management; technology; principles 1.引言 电子商务的安全管理,就是通过一个完整的综合保障体系,来规避信息传输风险、信用风险、管理风险和法律风险,以保证网上交易的顺利进行。电子商务安全管理,应采用综合防范的思路,一是技术方面的考虑,如防火墙技术、网络防毒。信息加密、身份认证、授权等。二是必须加强监管,建立各种有关的合理制度,并加强严格监督,如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。 2.电子商务中存在的安全问题 随着电子商务应用范围的日益扩大,呈现出大规模、跨行业、跨组织的发展趋势。但其发展也正面临着诸多瓶颈性问题,安全问题首当其冲,突出体现在以下几个方面。 1.交易的安全性得不到保障 电子商务的安全问题仍然是影响电子商务发展的主要因素。由于网络技术的迅速发展,电子商务引起大家的广泛注意,在开放的网络上进行商贸活动。但如何保证传输数据的安全成为电子商务能否普及的最重要的因素。交易双方进行交易的内容被第三方窃取.交易一方提供给另一方使用的证明文件被第三方非法使用,从而进行商业欺诈。当攻击者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传输的信息数据篡改,然后再发向目的地,破坏数据的真实性和完整性。
安全体系结构 (一)安全体系结构图 如图3所示,电子商务安全体系由四层组成,由下至上分别是:安全协议层、安全认证层、加密技术层、网络安全层。 图3 电子商务网站安全体系结构 (二)安全体系分层 整个电子商务网站安全体系由下至上分为四层:安全协议层、安全认证层、加密技术层、网络安全层。这四个安全层包含了从安全交易协议到入侵攻击预防的整个防御及安全策略体系。下面就来看一下每一层分别有哪些作用。 (1)网络安全层 网络安全层包含了防御攻击的VPN技术、漏洞扫描技术、入侵检测技术、反
病毒技术、防火墙技术、安全审计技术等,通过一系列的技术防御保证网络被访问时的安全,防止漏洞被攻击、网络被入侵。 (2)加密技术层 加密技术主要保障信息在传输过程中的安全性,防止信息在传输过程中被窃取或篡改。加密技术一般分为对称加密技术与非对称加密技术。 (3)安全认证层 安全认证层涉及到数字签名、数字时间、数字信封、信息摘要、数字凭证、认证机构等。安全认证层可以验证交易双方数据的完整性、真实性及有效性。(4)安全协议层 安全协议层置于电子商务安全体系的最下层,也是电子交易中非常关键的一个部分,通过协议层完成交易。一般电子商务中使用的安全协议有SSL协议和SET协议。 访问控制技术 访问控制是指对网络中的某些资源的访问要进行控制,只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和非法访问。常用的访问控制技术有:入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等。 数字认证技术 数字认证也称数字签名,即用电子方式来证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。 数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用HASH函数将一段长的报文通过函数变换,转换为一段定长的报文。
论电子商务安全交易协议(一) 摘要]由于因特网的开放性,在电子商务的发展中,网上交易安全问题成为制约电子商务发展的瓶颈。目前国际上通用的电子商务安全支付协议主要有两个,即SSL协议和SET协议。本文对两种电子支付安全协议进行了详细的介绍,对协议的特点、功能、安全性进行了对比,阐述了两种协议保障电子商务交易安全的过程。 关键词]电子商务安全安全套接层协议安全电子交易协议 在电子商务过程中,买卖双方是通过网络来联系的,因而建立交易双方的安全和信任关系是相当困难的。这样使得电子商务交易双方都面临不同的安全威胁。而电子商务的主要特征是在线支持,为了加强电子商务交易的安全性,需要采用数据加密和身份认证技术,以便营造一种可信赖的电子交易环境。目前有两种安全支付协议被采用,即安全套接层SSL协议和安全电子交易SET协议。 一、安全套接层协议 安全套接层协议SSL(SecureSocketsLayer)是Netscape公司1995年推出的一种安全通信协议。SSL提供了两台计算机之间的安全连接,对计算机整个会话进行了加密,从而保证了信息传输的安全,实现浏览器与Web服务器之间的安全通信,在Internet上广泛应用于处理与金融有关的敏感信息。 SSL协议是一种保护Web通信的工业标准,能够对信用卡和个人信息、电子商务提供较强的加密保护。 1.SSL协议提供安全连接的基本特点 (1)连接是保密的:对于每个连接都有一个惟一的会话密钥,采用对称密码体制(如DES、RC4等)来加密数据; (2)连接是可靠的:消息的传输采用MAC算法(如MD5、SHA等)进行完整性检验;(3)对端实体的鉴别采用非对称密码体制(如RSA、DSS等)进行认证。 2.SSL协议提供的服务 (1)数据和服务器的合法认证。使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号,由公开密钥编排。为了验证用户,SSL协议要求在握手交换数据中做数字认证,以此来确保用户的合法性。 (2)加密数据以便隐藏被传送的数据。SSL协议采用的加密技术既有对称密钥也有公开密钥。具体来说,就是客户机与服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术,以保证数据的机密性,防止非法用户破译。 (3)维护数据的完整性。SSL协议采用Hash函数和机密共享的方法,提供完整信息性的服务,来建立客户机与服务器之间的安全通道,使经过处理的业务在传输过程中能够完整、准确地到达目的地。 3.SSL协议的构成 SSL协议分为两层:SSL握手协议和SSL记录协议。 (1)SSL握手协议。SSL握手协议用于在通信双方建立安全传输通道,是在客户机与服务器之间交换信息强化安全性的协议。具体实现以下功能: ①在客户端验证服务器,SSL协议采用公钥方式进行身份认证; ②在服务器端验证客户(可选的); ③客户端和服务器之间协商双方都支持的加密算法和压缩算法。 ④产生对称加密算法的会话密钥; ⑤建立加密SSL连接。 SSL握手协议最终使双方建立起合适的会话状态信息要素,包括对话标识、对等证书、压缩方法、加密说明、会话密钥等信息。