电子商务安全协议 Xxx (华中科技大学电子与信息工程系,武汉430074) 摘要:随着人类进入以网络为主的信息时代,Internet 的高速发展带来了商业和经济模式的重大变革。基于 Internet 发展起来的电子商务慢慢成为人们进行商务活动的新模式,但是安全问题成为了制约其发展的重要因素。本文简单介绍了电子商务安全的相关问题以及电子商务中的主流安全协议:SSL协议与SET协议,并对两种协议的优缺点进行了一定的比较分析。 关键词:电子商务,安全协议,SSL,SET 1.电子商务安全概述 随着信息技术的迅速发展,人类正进入以网络为主的信息时代,基于Internet发展起来的电子商务慢慢成为人们进行商务活动的新模式。但是,电子商务的安全问题也是制约其发展的重要因素之一,如何建立一个安全、便捷的电子商务应用环境,保证整个电子商务活动中信息的安全性,使基于Internet的电子交易方式与传统交易方式一样可靠。 1.1.电子商务的定义 电子商务是把现有的计算机软件、硬件设备和网络设施,通过一定的协议连接起来的在电子网络环境下进行各种商品买卖的一种新方式。电子商务改变了传统的面对面交易模式,同时在一定程度上打破了时间和地点的限制。虽然电子商务具有快捷性、方便性、不受时间地点的限制、相对传统交易开销小等诸多优点,但是却存在安全性方面的许多隐患。 1.2.电子商务的安全要素 为了保证电子商务在整个商品交易活动中,可以安全顺利的进行,一般来说,需要电子商务的安全系统必须具备以下几个安全要素: 1)有效性:要求电子商务系统可以对信息,交易实体的有效性进行鉴别 2)机密性:保证信息在存取和传输过程中的安全性 3)数据的完整性:即保护数据的完整性,防止有人没有经过授权就对数 据内容进行修改,同时还要保证数据的一致性
浅谈电子商务网上支付安全问题(南财自考毕 业论文) 南京财经大学本科毕业论文 浅谈电子商务网上支付安全问题 摘要: 电子商务不仅使企业降低了生产与销售成本,而且给消费者提供 了更多的可选择资源。所以近二十年来,我国的电子商务取得了迅猛的发展,已经深入国民经济和百姓日常生活的各个方面。但是,网上支付作为电子商务交易过程中最重要的环节之一,其安全问题依旧是阻碍电子商务健康发展的瓶颈。电子商务的安全问题不仅会造成不可估量的的经济损失,而且使得人民对电子商务的信心受创。首先通过了解现有的网上支付工具及其特点,然后对现阶段网上支付的出现的安全问题进行了分析,最后提出了解决这些安全问题的相应对策。采取多种措施应解决安全问题,促进我国电子商务的健康和谐的发展。 关键词:电子商务;网上支付;安全 1 南京财经大学本科毕业论文 Abstract
Electronic merce not only makes the enterprises production and reduce cost of sales, and to provide consumers with more choice of resources. In recent twenty years, China's e-merce has achieved rapid development, has been the national economy and people's daily life in all aspects. However, the online payment of e-merce transaction process as one of the most important segment, its security problem is still hindered the healthy development of the bottleneck of electronic merce. The security problem of electronic merce will not only cause inestimable economic losses, but also makes people's faith to the electronic mercial hit. First, by understanding the existing online payment tool and its characteristics, then on the stage of the online payment security problems are analyzed, finally put forward a solution to these problems of the corresponding countermeasures. Adopt a variety of measures to solve the security problem of electronic merce in China, promote the healthy and harmonious development Key words: electronic merce;online payment; security 2
浅析电子商务安全协议 目录 摘要: (2) 关键词: (2) 1.电子商务的主要安全要素 (3) 1)、信息有效性、真实性 (3) 2)、信息机密性 (3)
3)、信息完整性 (3) 4)、信息可靠性、不可抵赖性和可鉴别性 (4) 2.电子商务的安全技术讨论 (4) 2.1 电子商务的安全技术之一-----数据加密技术 (4) 1)常用的加密技术分类: (5) 对称密钥密码算法 (5) 不对称型加密算法 (5) 不可逆加密算法 (6) 2)电子商务领域常用的加密技术 (6) 数字摘要(digital digest) (6) 数字签名(digital signature) (6) 数字时间戳(digital time-stamp) (7) 数字证书(digital certificate,digital ID) (7) 2.2 电子商务的安全技术之二------身份认证技术 (8) 1 )认证系统的基本原理 (8) 2 )认证系统结构 (9) 3)中国金融认证中心CFCA的建设情况 (10) 2.3电子商务的安全技术之三网上支付平台及支付网关 (10) 3.与电子商务安全有关的协议技术讨论: (11) 1)、SSL协议简介 (11) 2)、SET协议简介 (12) 3)、SET的认证 (14) 4)、SET的购物流程 (15) 5.安全协议:SET协议与SSL协议比较 (17) 1)、认证机制 (17) 2)、设置成本 (17) 3)、安全性 (17) 4)、基于W eb的应用 (18) 6.电子商务安全技术未来的发展 (19) A.判定通信中的贸易伙伴的真实性 (20) B.保证电子单证的秘密性,防范电子单证的内容被第三方读取 (20) 摘要:本文在分析电子商务的主要安全要素的基础上,具体介绍采用目前电子商务领域的三种安全技术,来消除电子商务活动中的安全隐患。 关键词:电子商务安全套接层协议安全电子交易认证中心
一电子支付安全问题分析 社会信用度欠缺,用户对电子支付的安全性信心不足 据《中国电子商务诚信状况调查》显示,有%的企业和26. 34%的个人认为电子商务最让人担心的是诚信问题,电子商务的诚信已经成为公众和企业最关注的问题之一。目前,在网上传得沸沸扬扬的“江西精彩生活”利用传销电子商务“外衣”拉人事件就给了人们不良印象,唐庆南创办开通的太平洋直购官方网站,以“收取保证金”“购物返利”等形式推出了涉及供应商、渠道商、消费者和电子商务平台四方的BMC模式。以“拉人头”“收取入门费”等方式发展渠道商,收取保证金,获取非法利益,造成了严重的社会危害,涉嫌传销违法犯罪。这一案例使得人们对于网上交易又开始望而却步。电子支付产业发展迅速,但市场秩序仍不规范 随着互联网的迅猛发展,网上金融服务在世界范围内部如火如荼地开展了起来。2010年,江西省农村信用社网上银行--“百福网上银行”正式开通,江西省农村信用社发放的百福借记卡数量增长明显,同时积极与第三方机构合作,成功开发多功能受理终端并快速实现投放和应用,有效满足了江西省农村信用社持卡用户和中小商户的支付需求。与以往相比,用户可选择的支付手段和方式丰富了许多。 然而,电子支付的巨大市场前景与目前整体产业环境形成较大落差,造成了这一产业方向不明的现状。目前国内有关法律法规对电子支付的权利和义务规定不清晰,缺乏网络消费和服务权益保护管理规则,没有专门的法律来规范网络银行的经营和使用。特别是在客户信息披露和隐私权保护方面,还缺乏比较成熟的经验。第三方支付企业的法律性质的定位问题;第三方支付企业是否具备向用户提供电子支付服务的资质与能力的问题;银行与第三方支付机构对电子支付过程中应当采取哪些风险防范的问题;在电子支付过程中发生纠纷时责任的划分与举证责任的认定问题等。另外,我国网络银行的信息跟踪、检测、信息报告交流制度的相关法律规则都未建立,在利用网络签订经济合同、提供金融服务和保护银行与客户双方权利的过程中存在诸多尚待改进之处。网络侵权行为和网络信息恶意被盗行为时有发生网络侵权行为主要有: (1)互联网服务提供商(ISP Internet ServiceProvider)的侵权行为。例如:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。 (2)互联网内容提供商( ICP
5.1.1 SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上,运行在TCP/IP协议之上而在其他高层协议(如HTTP、Telnet、FTP和IMAP等)之下,如图5-1所示。在建立一次SSL连接之前,首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时,支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己,还允许这两个机器之间建立安全的加密连接,同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议,其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式,它位于一些可靠的传输层协议之上(如TCP),用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上,并被SSL记录协议所封装。它描述建立安全连接的过程,在客户和服务器传送应用层数据之前,该协议允许服务器与客户机之间协商加密算法和会话密钥,完成通信双方的身份验证等功能。 图5-1 SSL协议的分层结构 5.1.2 SSL记录协议 SSL记录协议(Record Protocol)定义了传输的格式,包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示: 图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块,把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快,压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的
MAC算法对压缩块计算MAC,用指定的对称加密算法加密压缩块和MAC,形成密文块。 4.对密文块添加SSL记录头,然后送到传输层,传输层受到这个SSL记录层数据单元后,记上TCP报头,得到TCP数据包。 图5-3 SSL记录协议中数据项的格式 5.1.3 SSL握手协议 图5-4 SSL建立新会话时的握手过程 1)建立新会话时的握手过程 握手协议用于数据传输之前。它可以进行服务器与客户之间的身份鉴别,同时通过服务器和客户协商,决定采用的协议版本、加密算法,并确定加密数据所需的对称密钥,随后采用公钥加密技术产生共享机密信息(例如对称密钥)。每次连接,握手协议都要建立一个会话。会话中包含了一套可在多次会话中使用的加密安全参数,从而减轻了每次建立会话的负担。然而,必须指出的是,SSL中的每次连接时,在握手协议中产生的对称密钥都是独特的,这种每次更换密钥的方法显然在更大程度上确保了系统的不易攻破性。 根据是否验证对方的证书,SSL的握手过程可以分为以下三种验证模式:客户和服务器都被验证;只验证客户机,不验证服务器,这是Internet上使用最广泛的形式;客户和服务器都不验证,也称为完全匿名模式。SSL握手协议建立一个新的会话的过程如图5-4所示,具体如下: 阶段1:确定一些相关参数,包括协议版本、会话ID、加密规格、压缩算法和初始随机数 (1)客户端发送client_hello消息给服务器,向服务器传送客户端支持的SSL协议的版
《电子商务安全与支付》考纲、试题 、答案 一、考试说明 《电子商务安全与支付》是电子商务的分支学科,它主要针对翻新的网络破坏和犯罪形式,新的安全技术不断出现和被采用,有力地保障了电子商务的正常开展,本门课程重点探讨信息系统安全防范技术、虚拟专用网络技术、数据备份与灾难恢复技术、安全交易加密技术、安全交易认证技术、安全交易协议技术等问题,同时涉及交易系统安全管理,介绍电子商务安全的相关法律和电子商务安全解决方案。 本课程闭卷考试,满分100分,考试时间90 分钟。考试试题题型及答题技巧如下: 一、单项选择题(每题2分,共20 分) 二、多选选择题(每题3分,共15 分) 三、名词解释题(每题 5 分,共20 分) 四、简答题(每题9分,共27 分) 答题技巧:能够完整例举出所有答题点,不需要全部展开阐述,适当展开一些,但一定要条理清晰,字迹工整,结构明朗。 五、分析题(每题9 分,共18分) 答题技巧:对所考查的问题进行比较详尽的分析,把握大的方向的同时要尽可能的展开叙述,对问题进行分析,回答问题要全面,同时注意书写流畅、条理清晰。 二、复习重点内容 第1xx 电子商务安全概述 1. 网络攻击的分类(重点掌握):WEB欺骗、网络协议攻击、IP欺骗、远程攻击
2. 电子商务的安全性需求(了解):有效性、不可抵赖性、严密性 3?因特网的主要安全协议(了解):SSL协议、S-HTTP协议、SET协议 4. 数字签名技术、防火墙技术(了解) 第2xx 信息系统安全防范技术、 1 .电子商务的安全性需求(重点掌握):有效性、不可抵赖性、严密性 2. 计算机病毒按入侵方式分为操作系统型病毒、文件型病毒(了解) 3. 计算机病毒的传播途径(重点掌握):(1)因特网传播:① 通过电子邮件传播,② 通过浏览网页和下载软件传播,③ 通过及时通讯软件传播;(2)局域网传播;(3)通过不可转移的计算机硬件设备传播;(4)通过移动存储设备传播;(5)无线设备传播。 4. 特洛伊木马种类(重点掌握):破坏型特洛伊木马、破坏型特洛伊木马、 远程访问型特洛伊木马、常规的计算机病毒的防范措施(重点掌握):(1)建立良好的安全习惯;(2)关闭或删除系统中不键盘记录型特洛伊木马 5. 需要的服务;(3)经常升级操作系统的安全补丁;(4)使用复杂的密码;(5)迅速隔离受感染的计算机;(6) 安徽专业的防病毒软件进行全面监控;(7)及时安装防火墙 6.防火墙的类型(重点掌握):包过滤防火强、代理服务器防火墙 7?防火墙的安全业务(重点掌握):用户认证、域名服务、邮件处理、IP安全保护第 3 章虚拟专用网络技术 1. VPN网络安全技术包括(了解):隧道技术、数据加解密技术、秘钥管理技术、设备身份认证技术。 2?隧道协议的构成(了解):PPTP协议、L2TP IPSec/SSTP 第4xx 数据备份与灾难恢复技术
安全评估实验报告 时间:2011-6-15,14:00-17:30 地点:南一楼803室35号实验台 实验人员:张坤 u200814086 一、试验目的: 首先学习利用工具对本地主机运行状态进行安全评估,分析本地主机安全隐患,并生成相应的报告文件。对系统进行综合评估,发现主机应用服务状态,对外安全隐患。利用X-Scan 扫描系统漏洞并分析,对漏洞进行防御。 将评估结果形成一个完整的评估报告,并对被分析的网络系统提出改进建议,提升其整体安全性。 二、试验步骤: (1) SecAnalyst运行状态评估 通过Secanalyst可以扫描出系统基于进程和文件的安全隐患。 (2) MBSA综合评估 微软设计的基于Windows系统的综合扫描工具。 (3) X-scan攻击扫描评估 X-Scan是完全免费软件,无需注册,无需安装(解压缩即可运行,自动检查并安装WinPCap驱动程序)。采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能。扫描内容包括:远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。对于多数已知漏洞,我们给出了相应的漏洞描述、解决方案及详细描述链接,其它漏洞资料正在进一步整理完善中。 (4) MSAT安全评估 微软安全风险评估工具(MSAT)是一种免费工具,它的设计是为了帮助企业来评估当前的IT安全环境中所存在的弱点。它按优先等级列出问题,并提供如何将风险降到最低的具体指导。MSAT是一种用来巩固您计算机安全环境和企业安全的工具,它简便而实惠。它通过快速扫描当前的安全状况来启动程序,然后使用MSAT来持续监测您的基础设施应对安全威胁的能力。 三、实验记录: 1) SecAnalyst运行状态评估报告如下: #T0 SecAnalyst 分析报告版本:0, 4, 0, 47 #操作系统 : Microsoft Windows XP Professional Service Pack 3 (Build 2600) (CHS)
目的要求:通过学习了解电子商务环境中的安全威胁后解决安全威胁的技术手段和方案 重点难点:解决安全威胁的技术手段和方案 组织教学:点名考勤;复习;引入新课;讲解理论知识;实例演示;指导学生练习;总结 总结复习导入新课:。 提问:1、什么是电子商务? 教学方式、手段、媒介:讲授、多媒体;媒介:教材 教学内容: 第一节电子商务 一、公钥基础设施 公钥基础设施是由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成,管理密钥和证书的系统或平台。 用于解决电子商务中安全问题的PKI 技术。PKI(Public Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI 的核心组成部分 CA(Certification Authority),即认证中心,它是数字证书的签发机构。数字证书,有时被称为数字身份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。 1、认证中心 认证中心(Certificate Authority, 简称CA),也称之为电子认证中心,是电子商务的一个核心环节,是在电子交易中承担网上安全电子交易认证服务,签发数字证书,确认用户身份,与具体交易行为无关权威第三方权威机构。 为安全电子交易中之重要单位,为一公正、公开的代理组织,接受持卡人和特约商店的申请,会同发卡及收单银行核对其申请资料是否一致,并负责电子证书之发放、管理及取消等事宜。是在线交易的监督者和担保人。主要进行电子证书管理、电子贸易伙伴关系建立和确认、密钥管理、为支付系统中的各参与方提供身份认证等。CA类似于现实生活中公证人的角色,具有权威性,是一个普遍可信的第三方。 认证中心可官方将某个公钥授权给用户。如果一个公司在内部或同可靠的商业伙伴交往时使用了数字证书,就可能会出现这样一个机构。Netscape和Xcert提供了用于管理数字证书的证明服务器。 当很多用户共用一个证明权威时,证明权威应该是个受到大家信赖的可靠方。证明权威甚至可以是个规模更大、公用程度更高的实体,比如GTE、Nortel或Verisign,它们在验证身份和签发数字证书上的严谨态度早已众口皆碑。
电子商务与物流实验指导书 《电子商务》错误!未指定书签。 指导教师: 经济管理学院
实验四:银行的网上支付系统与电子商务安全 一、实验目标 1.掌握几种网上支付模式。 2.理解网上支付模式的原理以及最安全的网上支付模式。 3.了解电子商务交易涉及的安全协议 二、实验程序及内容 1、对常用的几种支付模式(网上银行支付、第三方支付平台支付、虚拟货币支付)通过网上支付进行深入了解并写出实验报告。 2、请登陆支付宝安全中心,了解支付宝通过哪些手段来保障消费者的支付安全。 3、了解电子商务交易主要涉及哪些安全协议。
四、实验报告 (一)实验人信息 姓名:学号: 实验时间: (二)实验结果 1.网上支付体系涉及哪些主体?这些主体在支付系统中扮演何种角色? 答:网上支付主体。涉及网上商家、持卡人、银行和第三方认证机构。 2.第三方支付平台公司的优势和劣势是什么? 答: (一)第三方支付平台的优势: a)简化交易操作。第三方支付平台采用了与众多银行合作的方式,从而极大地方便了 网上交易的进行,对于商家来说,不需要安装各个银行的认证软件,从一定程度上简化了操作。 b)降低商家和银行的成本。对于商家第三方支付平台可以降低企业运营成本;对于银 行,可以直接利用第三方的服务系统提供服务,帮助银行节省网关开发成本。第三方支付平台能够提供增值服务,帮助商家网站解决实时交易查询和交易系统分析,提供方便及时的退款和止付服务。 c)第三方支付平台可以对交易双方的交易进行详细的记录,从而防止交易双方对交易 行为可能的抵赖,以及为在后续交易中可能出现的纠纷问题提供相应的证据。(二)第三方支付平台的劣势: a)法律制度不够完善 由于法律的不完备,并且没有建立起国家的信用体制,第三方支付的安全得不到很好的保证,独立于网络之外的物流活动的诚信风险依然存在。第三方支付存在的不足主要表现在:交易中出现纠纷买卖双方往往各执一词,相关部门取证困难;支付平台流程有漏洞,不可避免地出现人为耍赖,不讲信用的情况,这已成为第三方支付发展道路上必须完善和改进的地方。对第三方支付平台的监管也是个大问题。尽管第三方支付平台与银行签订了战略合作协议,但这些银行对“支付宝”账户上的资金是否“专款专用”并没有监督的权利和义务。这样就导致支付宝公司本身“类银行”的相关业务处于监管真空状态,这给使用“支付宝”的资金安全留下财务隐患。第三方支付工具提供了买卖双方现金交易的平台,这样就会导致有些人通过第三方支付工具进行洗钱,而有时候某些第三方支付工具不需要实名制就可以完成交易,同时国内的第三方支付平台都没有防止恶意交易的相关措施,这样洗钱就更为容易。如果相应的法律文件还不出台,第三方支付工具将有可能沦为不法分子的洗钱工具,为网络赌博等提供资金渠道。如果某个第三方
安全体系结构 (一)安全体系结构图 如图3所示,电子商务安全体系由四层组成,由下至上分别是:安全协议层、安全认证层、加密技术层、网络安全层。 图3 电子商务网站安全体系结构 (二)安全体系分层 整个电子商务网站安全体系由下至上分为四层:安全协议层、安全认证层、加密技术层、网络安全层。这四个安全层包含了从安全交易协议到入侵攻击预防的整个防御及安全策略体系。下面就来看一下每一层分别有哪些作用。 (1)网络安全层 网络安全层包含了防御攻击的VPN技术、漏洞扫描技术、入侵检测技术、反
病毒技术、防火墙技术、安全审计技术等,通过一系列的技术防御保证网络被访问时的安全,防止漏洞被攻击、网络被入侵。 (2)加密技术层 加密技术主要保障信息在传输过程中的安全性,防止信息在传输过程中被窃取或篡改。加密技术一般分为对称加密技术与非对称加密技术。 (3)安全认证层 安全认证层涉及到数字签名、数字时间、数字信封、信息摘要、数字凭证、认证机构等。安全认证层可以验证交易双方数据的完整性、真实性及有效性。(4)安全协议层 安全协议层置于电子商务安全体系的最下层,也是电子交易中非常关键的一个部分,通过协议层完成交易。一般电子商务中使用的安全协议有SSL协议和SET协议。 访问控制技术 访问控制是指对网络中的某些资源的访问要进行控制,只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和非法访问。常用的访问控制技术有:入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等。 数字认证技术 数字认证也称数字签名,即用电子方式来证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。 数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用HASH函数将一段长的报文通过函数变换,转换为一段定长的报文。
网络支付安全协议的比较分析 ——SSL和SET的比较 姓名:沈凤芹 班级:09国贸(3)班 学号:2009220115
[摘要]安全协议是目前电子支付技术安全问题中的热点,安全套接层协议(SSL)和安全电子交易协议( SET)是电子商务中支持支付系统的关键技术。文章通过分析这两种协议的工作原理,对两者的特点进行了对比。 [关键词]电子支付安全SSL协议SET协议 网络和信息技术的不断发展和渗透,使得电子商务得到了飞速的发展。然而,电子商务在提供机遇和便利的同时,也面临着一个最大的挑战,即交易的安全问题。其中,安全协议是保证电子商务安全的核心所在。 目前,国内外使用的保障电子商务支付系统安全的协议包括:安全套接层协议SSL (Secure Socket Layer)、安全电子交易协议SET(Secure Electronic Transaction)等协议标准。 SET协议和SSL协议对于研究电子商务的人员来说并不陌生,当今电子商务发展的核心问题是交易的安全性问题,这也是企业应用电子商务最担心的问题,因此如何在开放的公用网上构筑安全的交易模式,一直是人们研究的热点和大家关注的话题,要构筑一个安全的电子交易模式,应满足以下五个方面,这也是OSI规定的五种标准的安全服务: (1)数据保密:防止信息被截获或非法存取而泄密。 (2)对象认证:通信双方对各自通信对象的合法性、真实性进行确认,以防第三者假冒。(3)数据完整性:阻止非法实体对交换数据的修改、插入、删除及防止数据丢失。 (4)防抗抵赖:用于证实已发生过的操作,防止交易双方对发生的行为抵赖。 (5)访问控制:防止非授权用户非法使用系统资源。 迄今为止,国内外已经出现了多种电子支付协议,目前有两种安全在线支付协议被广泛采用,即安全套接层SSL协议和安全电子交易SET协议,二者均是成熟和实用的安全协议。 一、SSL协议 SSL协议一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术,是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。 1.SSL协议提供的服务主要有 (1)用户和服务器的合法性认证; (2)加密数据以隐藏被传送的数据; (3)维护数据的完整性,确保数据能完整准确地传输到目的地。 该协议它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server方式。它包括:服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说,使用SSL可保证信息的真实性、完整性和保密性。 2.SSL协议的工作流程 (1)接通阶段:客户通过网络向服务商发送连接信息,服务商回应; (2)密码交换阶段:客户与服务器之间交换双方认可的密码,一般选用RSA密码算法,也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法; (3)会谈密码阶段:客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器; (4)检验阶段:服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。 (5)客户认证阶段:服务器通过数字签名验证客户的可信度; (6)结束阶段:客户与服务商之间相互交换结束的信息。 SSL协议运行的基点是商家对客户信息保密的承诺。从SSL 协议所提供的服务及其工作流程可以看出,该协议有利于商家而不利于消费者。在这种情况下,Visa和MasterCard 两大信用卡公组织制定了SET协议,为网上信用卡支付提供了全球性的标准。
实验一电子商务安全支付现状调查 [目的要求]了解电子商务安全与支付的现状 [实验内容] 阅读比较CNNIC最新的《中国互联网络发展状况统计报告》中关于安全支付的数据及分析,了解中国电子商务发展的现状,并写出500字的报告一份。 [实验步骤] 1.进入中国互联网络信息中心网站:http://biz.doczj.com/doc/dc3735165.html, 2.点击页面右下方“中国互联网络发展状况统计报告”链接 3.下载最新的和次新的两期报告 4.查找并比较其中关于电子商务安全和支付方面的数据,分析变化的原因,形成并提交报告,500字以内。 [实验软件] Windows XP ,IE 7 ,Adobe reader
2011年上半年,中国网上支付用户数从去年年底的1.37亿增至2011年中的1.53亿,半年增加1607万,用户增长11.7%。 网上支付用户增长原因: 1、总体网民规模增长 截至2011年6月底,我国网民总数达到4.85亿,较2010年底提高1.9个百分点。 (1)家庭电脑宽带上网网民规模达到3.90亿人,较2010年底增加840万人。 (2手机网民达3.18亿,较2010年底增加1495万人。随着手机支付相关标准和政策的明朗化,运营商、银行等各方机构正积极布局手机支付,手机支付在未来取得较大的发展。2、商务交易用户规模增长 (1)网络购物 网络购物用户规模达到1.73亿,较2010年底增长了1215万 (2)团购 中国团购用户数从2010年底的1875万增长至2011年中的4220万,半年增长率达到125.0%。(3)旅行预订 我国旅行预订用户规模为3686万人,较2010年底增长73万 总结:由于总体网民规模的增长,进行网上商务交易的用户也逐渐增长,各金融机构的积极参与、网上支付相关监管体系的完善,运用手机进行支付的用户也逐渐增长,用户商务交易更加便捷,所以电子商务重要支撑的网上支付服务不断增长。
SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上,运行在TCP/IP协议之上而在其他高层协议(如HTTP、Telnet、FTP和IMAP等)之下,如图5-1所示。在建立一次SSL连接之前,首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时,支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己,还允许这两个机器之间建立安全的加密连接,同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议,其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式,它位于一些可靠的传输层协议之上(如TCP),用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上,并被SSL记录协议所封装。它描述建立安全连接的过程,在客户和服务器传送应用层数据之前,该协议允许服务器与客户机之间协商加密算法和会话密钥,完成通信双方的身份验证等功能。
图5-1 SSL协议的分层结构 SSL记录协议 SSL记录协议(Record Protocol)定义了传输的格式,包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示:
图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块,把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快,压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的MAC算法对压缩块计算MAC,用指定的对称加密算法加密压缩块和MAC,形成密文块。 4.对密文块添加SSL记录头,然后送到传输层,传输层受到这个SSL记录层数据单元后,记上TCP报头,得到TCP数据包。
电子商务支付体系中存在的安全问题及对策
电子商务支付体系中存在的安全问题及对策
中文摘要 随着社会进步,计算机、网络和通讯技术日益发展,一种新兴的商务行为模式——电子商务出现了。电子商务的核心——支付方式随着计算机技术在金融领域的应用不断的演变,于是基于互联网的网上支付出现了,电子商务的网上支付问题也就越来越受到人们的重视。目前在国内的网上交易中主要有网下支付和网上支付两种方式。前一种主要通过电话、电报或信件来传递信用卡和账户信息;后一种就是通过网上直接输入信用卡和账户信息进行转账。相比之下网上支付更能体现电子商务的方便性和实用性。 本文从电子商务对经济发展的意义、我国电子商务所面临的问题及解决问题的对策等几方面详细对我国电子商务发展中存在的问题进行了分析。 虽然电子商务在中国已经有十几年的发展时间,但是离深入人心、占据主流还相去甚远,其中一个重要的原因就是人们对于这种新经济模式支付手段的陌生,大多数人对于网上支付的原理和工作方式不甚了解,存在疑惑和神秘感,因此对电子商务网上支付条件和技术进行论述,分析现有的新的网上支付的模式,帮助人们进一步认识电子商务这个新兴事物,从而能够使更多的人接受并主动适应这一新的商务模式。 关键词:电子商务;电子支付;网上支付;安全性;
免责声明:文档在线网中所有的文档资料均由文档在线网会员提供,该文档资料的版权属于提供者所有。文I I . ABSTRACT Develop day by day along with the society progress, calculator, network and communication technique, a kind of newly arisen business behavior pattern-electronic commerce appeared.The core of electronic commerce-pay a way along with the calculator technique in the financial realm of applied continuously turn into, hence according to the net of Internet up paid to appear, pay on the net of electronic commerce the problem also more and more is valued by people.Mainly have a net the bottom to pay in the local net the top the bargain with net currently up pay two kinds of method.Ex-1 kind mainly passes telephone, telegram or letter to deliver credit card and account information;Empress 1 kind is to pass the top of the net to directly input credit card and account information to carry on http://biz.doczj.com/doc/dc3735165.html,pare under the net pay an ability body more now the convenience and function of the electronic commerce. This text is from the electronic commerce to the meaning of economic development, our country electronic commerce face of problem and problem-solving counterplan etc. several aspects in detail to our country the existent problem in the electronic commerce development carried on analysis. Although the electronic commerce has already had development time for more than 10 years in China, leave thorough public, occupy main current still totally different, the important reason of an among those is people to pay means to this kind of lately economic mode of unfamiliar, most people for the principle that the net pay and work the way not and very understands, existence doubt and mysterious feeling, so to electronic commerce net up pay condition and technique to carry on treatise, analyze an existing new net up pay of mode, help people to know electronic commerce this newly arisen thing further, can make more people accept thus and actively adapt this new business mode. Keywords :Electronic commerce; The electronics pay; Pay on the net; Safety;
《电子商务安全与支付》课程教学大纲 课程名称:电子商务安全与支付 课程类别:专业核心课 每学期学分:2 学分 每学期学时:32 学时 适用对象:电子商务专业 先修课程:计算机应用基础 一、课程性质、教学目的 《电子商务安全与支付》课程为计算机信息管理专业电子商务技术方向的职业选修课,是一门理论性强、实践要求较高的课程,是电子商务技术方向学生的基础学习内容,是培养电子商务管理能力的必备课程。 通过本课程的学习,使学生熟悉网络安全技术、安全协议与认证的内容,了解电子商务支付的法律保障,深入系统地了解电子交易与支付的理论与技术,培养其电子商务实践操作和管理能力。 二、理论教学内容与要求 (一)电子商务支付与安全概述
教学内容: 1.电子商务的含义; 2.电子商务的模式和功能; 3.电子交易和支付的内涵; 4.电子商务安全技术。 教学要求: 1.了解电子商务的含义; 2.掌握电子商务模式和功能、电子交易和电子支付的内涵; 3.熟悉电子商务安全技术。 重点: 1. 电子商务模式和功能; 2. 电子交易和电子支付的内涵。 难点: 1.电子商务安全技术。 教学建议: 1. 注意电子商务支付发展成为导致电子商务发展只要要素之一的原因; 2. 特别注意: (1)电子商务发展的数据和教材上面数据的出入。 (二)电子交易与支付 教学内容: 电子交易的含义; 电子交易的模式; 电子支付; 电子支付系统的功能; 电子支付系统的应用。 教学要求: 了解电子交易的含义; 掌握电子交易模式、电子支付、电子支付系统功能、电子支付系统应用。重点: 电子交易与支付流程; 电子交易系统的功能与应用。 难点:
电子支付安全问题分析与对策研究 一、绪论 (一)研究背景及意义 进入21世纪,随着我国电子商务的不断发展,互联网产业链不断做大做强,参与群不断扩大的同时,钓鱼网站、恶意攻击等带来的安全问题也不断见诸报端,大大增加了电子支付机构的防范难度。此外,针对金融行业的移动安全威胁以及 APT的攻击也出现了迅速的增长态势。 由于我国信息安全保障体制机制的不健全,不断发展的电子商务行业也遭遇到了一次“倒春寒“,人们对于电子商务安全的担忧日渐凸显,首当其冲的便是电子支付的安全。可以说,能安全进行电子支付是人们更愿意选择网络进行商贸活动的保障,电子支付安全控制着网上交易的最后一道防线,是电子商务成败的生命线;电子支付安全也成为制约电子商务继续更好发展的瓶颈。因此,对电子支付的安全问题分析与对策研究具有相当大的现实意义和实用价值。 (二)研究思路与方法 本课题研究以应用性、实践性和可操作性为目标,通过对文献等理论知识的学习,摸索出电子商务的现状和发展瓶颈;结合实际生活经验,从电子支付流程可能遇到的各个环节入手,“顺藤摸瓜”地厘清电子支付安全问题的由来、触发机制;在此基础上,结合其他学者在该领域的研究现状和不足,针对具体的安全隐患给出相应措施,并探索了新型支付形式发展过程中可能存在的安全问题和解决办法。 在论文写作过程中综合运用了以下研究方法:概念分析法、文献研究法、定量分析法、经验总结法等。 (三)研究的主要内容 本课题通过对我国电子商务的发展现状进行分析,探讨了电子支付安全对电子商务深入发展的巨大作用,并明确课题的研究意义和价值;在此基础上逐步深入,探讨了电子支付的现状、支付流程和安全问题的由来。重点研究了可能触发电子支付安全问题的原因,并结合现实生活中可能遇到的电子支付问题提出了相应解决之道;同时,本课题积极尝试新的领域,探索了新型电子支付的现状和可能出现的安全问题。
课程名称电子商务安全技术 实验序号 5 实验项目实验5 电子商务支付系统与安全协议 实验地点综合实验楼303 实验学时 4 实验类型操作(上机) 指导教师叶彩虹实验员邓兆熙 专业电子商务班级 2008级 学号 2008334158 姓名张水计 2011年 11 月 19 日 实验5 电子商务支付系统与安全协议 一、实验目的与要求 了解网上银行的使用;了解电子商务网上交易的流程与原理;了解电子商务网上支付所需注意的安全问题;以及电子钱包、
电子信用卡在网上支付中的功能及使用过程,并思考应如何做好网上支付的安全防范;并通过SET电子钱包进行网上购物的体验,加深对SET协议的理解。 二、实验内容 1、了解银行网上业务,分别登录招商银行http://biz.doczj.com/doc/dc3735165.html,、中国银行http://biz.doczj.com/doc/dc3735165.html,、中国工商银行http://biz.doczj.com/doc/dc3735165.html,、中国建设银行http://biz.doczj.com/doc/dc3735165.html,的网站,了解其开展的网上个人业务和企业业务,特别是招商的一网通。 2、了解网络银行如何解决网上支付的安全问题。 3、登录淘宝网,了解支付宝,并上网查询目前主要的第三方支付平台有哪些?大的网上商城采用的有哪些网上支付方式? 4、了解手机银行以及其支付方式。 5、了解SET与SSL协议产品的应用领域与解决方案。 三、实验软件 Windows XP ,IE 7 ,个人网上银行专业版等 四、实验步骤 (一)了解银行网上业务 1、登陆招商银行http://biz.doczj.com/doc/dc3735165.html,、中国银行http://biz.doczj.com/doc/dc3735165.html,、中国工商银行http://biz.doczj.com/doc/dc3735165.html,、中国建设银http://biz.doczj.com/doc/dc3735165.html,行等网址,了解其开展的网上个人业务和企业业务,并通过列表形式比较分析各银行网上业务的特点。 表一银行网上个人业务的比较 分别从:账务查询,网上支付,转账汇款,自助缴费,信用卡,投资理财,证券业务,外汇买卖去比较。 表二银行网上企业业务的比较 分别从存贷款,投资理财,票据,贸易融资,外汇理财,资金划转,资金管理进行比较。 2、试比较以上各家银行的网上业务,哪家最多?各自有什么特色? (二)请仔细浏览各大网络银行的网上支付功能开通的演示,结合你手中所拥有的信用卡(借记卡),亲自体验,叙述个人网络银行支付模式的流程,将重要步骤的截图,贴在实验报告上。