一、电子商务中的安全协议是什么意思
安全协议是基于密码学的消息交换协议 。其目的是在网络环境中提供各种安全服务 。密码学是网络安全的基础,但网络安全不能仅仅依靠安全的密码算法 。安全协议是网络安全的重要组成部分 。我们需要在实体之间进行认证,在实体之间安全地分发密钥或其他秘密,并确认通过安全协议发送和接收的消息的不可否认性 。安全协议是一种基于密码系统的交互式通信协议,它使用密码算法和协议逻辑来实现认证和密钥分发的目的 。安全协议可以用来保证计算机网络信息系统中秘密信息的安全传输和处理,保证网络用户安全、方便、透明地使用系统中的密码资源 。安全协议广泛应用于金融系统、商业系统、政府系统、军事系统和社会生活中,但是安全协议的安全性分析和验证仍然是一个尚未解决的问题 。在现实社会中,很多不安全的协议长期以来被人们当作正确的协议使用 。如果用于军事领域的密码设备,将直接危及军事机密的安全,造成不可估量的损失 。因此,有必要对安全协议进行全面的分析和验证,以确定其是否达到预期的安全目标 。网络安全是电子商务的基础,一个通用、安全、可靠的网络协议是实现电子商务安全交易的关键技术之一,也将对电子商务的整体性能产生很大影响 。SSL协议(SecureSocketsLayer)由美国网景公司开发并倡导,是目前安全电子商务交易中应用最广泛的协议之一,主要包括协议介绍、记录协议、握手协议、协议安全性分析及应用等 。在简要介绍SSL协议的特点和流程的基础上,详细介绍了SSL协议的应用和配置过程 。1.SSL协议介绍SSL作为目前事实上保护Web安全和基于http的电子商务交易安全的方式,得到了许多世界知名厂商的Intranet和Internet网络产品的支持,包括网景、微软、IBM、OpenMarket等公司提供的支持SSL的客户端和服务器产品 。例如IE和网景浏览器、IIS、DominoGoWebServer、网景企业服务器和Appache等 。SSL将对称加密与公共加密结合起来,提供以下三种基本的安全服务:保密性 。通过加密算法和密钥的协商,在SSL客户机和服务器之间建立安全通道 。之后,所有在安全通道中传输的信息都经过了加密,网络中非法窃听者获取的信息将是无意义的密文信息 。正直 。利用SSL密码算法和哈希函数,通过提取传输信息的特征值来保证信息的完整性,使所有要传输的信息都能到达目的地,避免服务器和客户端之间的信息内容被破坏 。认证 。使用证书技术和可信的第三方CA,客户端和服务器可以识别彼此的身份 。为了验证证书持有者是其合法用户(不是冒名顶替用户),SSL要求证书持有者在握手时互相交换数字证书,通过验证确保对方身份的合法性 。SSL协议的实现属于套接字层,它位于应用层和传输层之间 。它由SSL记录协议和SSL握手协议组成 。它的结构如图1所示:SSL可以分为两层,一层是握手层,另一层是记录层 。SSL握手协议描述了建立安全连接的过程 。客户端和服务器在传输应用层数据之前,完成加密算法和会话密钥的确定、双方身份验证等功能 。SSL记录协议定义了数据传输的格式,上层的数据,包括使用SSL握手协议建立安全连接时要传输的数据,通过SSL记录协议传输到下层 。
这样,当应用层通过SSL协议将数据传输到传输层时,就已经是加密数据了 。此时,TCP/IP协议只需要负责将其可靠地传输到目的地,弥补了TCP/IP协议安全性差的弱点 。Netscape已经向公众介绍了SSL的参考实现(称为SSLref) 。另一个免费的SSL实现叫做SSLeay 。SSLref和SSLeay都可以为任何TCP/IP应用提供SSL功能,并提供部分或全部源代码 。互联网号码分配机构(IANA)已经为启用SSL的应用程序分配了固定的端口号 。例如,带SSL的HTTP(HTTPS)分配有端口号443,带SMTP的SMTP(ssmtp)分配有端口号465,带SSL的NNTP(SNNTP)分配有端口号563 。微软推出了SSL版本2的改进版本,称为PCT(私有通信技术) 。它与SSLPCT非常相似 。它们之间的主要区别在于,它们在版本号字段的最高有效位中具有不同的值:SSL位是0,PCT位是1 。经过这种区分,我们可以支持这两个协议 。1996年4月,IETF授权传输层安全(TLS)工作组制定传输层安全协议(TLSP),作为标准提案正式提交给IESG 。TLSP将在许多地方类似SSL 。2.SSL安全目前,几乎所有的Web浏览器(即Netscatp)和流行的WEB服务器(IIS、NetscapeEnterpriseServer等 。)在操作平台上支持SSL协议 。因此,使用这种协议是廉价的,开发成本低 。然而,SSL协议的应用有一些不可忽视的缺点:1 .该系统不符合国务院最近颁布的《商用密码管理条例》关于国外密码算法不得用于商用密码产品的规定,通过国家密码管理委员会的审批将会相当困难 。2.系统安全性差 。SSL协议的数据安全性实际上是建立在RSA等算法的安全性之上的,所以本质上是攻击
破RSA等算法就等同于攻破此协议 。由于美国政府的出口限制,使得进入我国的实现了SSL的产品(Web浏览器和服务器)均只能提供512比特RSA公钥、40比特对称密钥的加密 。目前已有攻破此协议的例子:1995年8月,一个法国学生用上百台工作站和二台小型机攻破了Netscape对外出口版本;另外美国加州两个大学生找到了一个“陷门”,只用了一台工作站几分钟就攻破了Netscape对外出口版本 。但是,一个安全协议除了基于其所采用的加密算法安全性以外,更为关键的是其逻辑严密性、完整性、正确性,这也是研究协议安全性的一个重要方面,如果一个安全协议在逻辑上有问题,那么它的安全性其实是比它所采用的加密算法的安全性低,很容易被攻破 。从目前来看,SSL比较好地解决了这一问题 。不过SSL协议的逻辑体现在SSL握手协议上,SSL握手协议本身是一个很复杂的过程,情况也比较多,因此我们并不能保证SSL握手协议在所有的情况下逻辑上都是正确的,所以研究SSL协议的逻辑正确性是一个很有价值的问题 。另外,SSL协议在“重传攻击”上,有它独到的解决办法 。SSL协议为每一次安全连接产生了一个128位长的随机数——“连接序号” 。理论上,攻击者提前无法预测此连接序号,因此不能对服务器的请求做出正确的应答 。但是计算机产生的随机数是伪随机数,它的实际周期要远比2128小,更为危险的是有规律性,所以说SSL协议并没有从根本上解决“信息重传”这种攻击方法,有效的解决方法是采用“时间戳” 。但是这需要解决网络上所有节点的时间同步问题 。总的来讲,SSL协议的安全性能是好的,而且随着SSL协议的不断改进,更多的安全性能、好的加密算法被采用,逻辑上的缺陷被弥补,SSL协议的安全性能会不断加强 。3、 windows 2000中SSL的配置与应用SSL的典型应用主要有两个方面,一是客户端,如浏览器等;另外一个就是服务器端,如Web服务器和应用服务器等 。目前,一些主流浏览器(如IE和 Netscape等)和IIS、Domino Go WebServer、Netscape Enterprise Server、Appache等Web服务器都提供了对SSL的支持 。要实现浏览器(或其他客户端应用)和Web服务器(或其他服务器)之间的安全SSL 信息传输,必须在Web服务器端安装支持SSL的Web服务器证书,在浏览器端安装支持SSL的客户端证书(可选),然后把URL中的“http://” 更换 。
文章插图
二、电子商务安全协议的定义?伴随着internet的蓬勃发展,电子商务正以其高效、低成本的优势,逐步成为新兴的经营模式和理念,b2b、b2c等经营模式的不断优化和成熟更是推动了世界范围内电子商务的发展 。人们己不再满足于信息浏览和发布,而是渴望着能够享受网络所带来的更多的便利 。为了满足人们的需求,越来越多的网站投身到提供电子商务服务的行列中来,越来越多的企业开始将自己的业务通过internet的形式直接提供给客户,一个基于internet的全球电子商务框架正在形成 。而移动电子商务不仅具备电子商务快速、灵活、方便等特点,更是以其随时随地接入互联网进行商务活动的随时性、可移动性,引发其作为信息时代宠儿的“高温”效应 。但是,由于电子商务本身存在的安全问题以及移动设施引发的新的商务安全隐患,使得其安全问题成为“高温”下的炸弹,直接关系到移动电子商务模式的运行前景 。移动电子商务虽然诞生于电子商务,但是其通过移动终端上网的特性决定了它存在和普通电子商务不同的安全性 。在探讨移动安全的特性时,我们首先要考虑的是移动终端本身的安全性 。只有当移动电子商务赖以依存的移动终端安全了,才可能进一步谈其它的移动安全问题 。如今用于上网的移动终端主要有手提电脑、手机、pda等等,保障这些设备本身的安全以及在使用这些设备时遵循安全操作规范进行操作是移动电子商务安全保障的一个前提 。当设备安全的前提得以保证后,我们就需要保证移动电子商务在应用中的安全,通常我们需要保障以下的一些安全问题:1、无线应用软件效能监控与系统效能管理;2、审核和检测针对移动电子商务的存取是否合法或授权;3、网页做到安全性认证的整合,以确保资料安全以及人员存取合法与保密;4、数字证书或加密管理,实现不可否认性与完整性;5、wireless lan是否有入侵以及数据包中是否隐藏病毒;6、wireless网络的效能以及预测失败或错误预警事件;7、pda等设备在与电脑连接存取时的安全(包括wap、wireless等存取方式);8、gateway主机以及所提供的服务加以监控;9、实网络环境中加强防火墙、入侵侦测和弱点扫描,使企业交易内部的主机得到完全的保护 。这九点中在前面的论述己经提到了一些解决方法,针对移动的特性,可通过vpn来解决移动上网中的安全问题 。vpn一一虚拟专用网就是在公用的internet网络上通过隧道协议建立起安全的私有网络 。它可以满足以下三个安全的需要:1、和你正在通信的人确实是那个你想要通信的人,你可能遇到的安全性问题是,在通信过程中,可能会碰到一个伪装者 。2、没有人能偷听你的通信内容,你的通信信息是保密的 。3、你接收到的通信信息在传输过程中没有被篡改 。这三点用信息的安全术语来说就是第一:认证,确认信息源;第二:信息保密性,传输的信息是加密的;第三:数据完整性,确认数据没有被篡改 。只有当我们达到了这三点要求,才有可能保证移动电子商务在交易过程中的安全 。虚拟专用网主要基于以下技术:1、ipsec,ietf (internet 工程师任务组)制定的ip安全标准;2、通过认证机构(ca)发放数字证书和进行第二方认证,或使用“共享密钥认证”用于小规模的安全虚拟专用网;3、隧道技术,允许公司内部专用ip地址穿越internet 。通过这些技术,再集成上pki(公共密钥体系)就可以说是最完美最严密的vpn解决方案了,它通过密钥管理、安全交换以及隧道协议来实现上述的移动设备的通讯安全 。移动电子商务还有一个显著的特征就是一般通过无线上网来进行商务交易 。目前所用的无线上网技术主要有:无线应用协议(wap)、移动ip技术、蓝牙技术、802.11b协议 。无线应用协议是移动电子商务的核心技术之一,通过wap,手机用户就可以随时随地的接入互联网,真正做到不受时间和地域限制的移动电子商务 。移动ip技术通过在网络层改变ip协议,从而实现notebook在网络中的无逢漫游,进行不间断的电子商务交易 。蓝牙技术是一种取代线缆、实现数字空间的无线互联的一种技术,它可以很方便的和周围的网络设备进行连接,建立一个基于个人空间的无线网络 。802.11b协议是和蓝牙技术类似的一种技术,它实现的功能和蓝牙一样,但是其传输协议和传输距离都要强于蓝牙,它是基于企业的无线网络 。这些无线协议本身的安全直接关系到移动电子商务的安全问题 。假如我们使用的是802.11b技术进行移动上网,那么就等于将无线登陆入口公之于众,并“鼓励”所有拥有与之相匹配的网络适配卡的人登录,这时就需要使用wep(一种资料加密的处理方式)和虚拟专用网共同来保障其安全性 。如果使用手机上网,那么我们就要注意数据传输过程中的加密问题,wap手机是无法进行端到端的加密,因此使用的是wap网关来保障数据的保密性 。但是wap网关在使用过程中极易被黑客攻破,因此要真正实现安全,我们通常把无线传输层协议(wtls)和wap网关配套使用,并针对窄带通信信道进行优化,从而实现以下的功能:1、数据完整性:确保终端和应用程序服务器之间传送数据的正确性 。2、私有性:确保在终端和应用程序服务器之间传送数据的私有性,任何中途试图截获数据流的设备均无法破译 。3、签权:可以在终端和应用程序服务器之间建立签权机制 。4、拒绝服务保护:可以检测和拒绝那些要求重传的数据或未成功检验的数据 。w t l s使许多常见的拒绝服务攻击更难以实现,从而保护了上层协议 。这样我们就可以有效的实现人们在使用手机进行电子商务活动时的安全问题了 。目前,由于蓝牙产品本身的安全性没有得到很好的解决,其安全机制很薄弱,因此在移动电子商务交易过程中我们建议暂时不使用蓝牙产品,待其本身的安全机制得以提高后,那么蓝牙技术在移动电在商务中的运用会逐步增多 。随着无线通讯技术的发展,移动电子商务也展示出更加亮丽的前景,它创造的是一种“无论何时何地”的新概念 。赛博研究机构最近发布的一份题为《中国移动电子商务的现状及未来发展》专业研究报告称,基于无线互联网的移动电子商务(m-commerce)在国内拥有良好的市场前景,其发展将超过电子商务 。在这如此热的领域里,我们还应该清醒的看到移动电子商务中存在的许多安全问题,详细分析其可能出现的情况并加以解决 。只有当我们真正解决了移动电子商务中的安全隐患,排除了这枚炸弹,才可能吸引更多的人使用移动电子商务,才能带动移动电子商务的飞速发展 。
三、通常电子商务信息安全协议有哪些?通常有:1.安全数据交换协议SET,2.安全套接层SSL协议,3.S-HTTP安全超文本传输协议,4.iKP 。
文章插图
四、电子商务安全协议在电子商务系统中的地位和作用?电子商务的安全协议在电子商务系统当中的地位重中之重首先能够保证相应的电子交易订单能够正常进行以及顾客的个人隐私
五、电子商务安全是指什么?简单说就是计算机网络安全和商务交易安全 。网络安全从其本质上来讲就是网络上的信息安全 。它涉及的领域相当广泛 。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁 。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域,包括物理安全、网络安全、传输安全、应用安全、用户安全 。电子商务安全要素体现在:信息的机密性:密码技术信息的完整性:散列函数数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异;数据传输过程中的信息丢失、重复、差异;黑客对信息的篡改和假冒完整性一般可通过提取消息文摘获得,包括两方面:数据传输的完整性完整性检查、上下文检查:内容的差异和语法规则信息的有效性:电子文档的法律确认认证性:身份确认信息的不可抵赖性:数字签名不可修改性:完整性部分告知:交易与支付的部分分离另行确认系统的可靠性计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒、自然灾害等电子商务安全技术主要有:密码技术加密技术是保证电子商务安全的重要手段,是信息安全的核心 。密钥管理技术最棘手的问题:分发和存储数字签名:公钥加密技术网络安全技术操作系统安全、防火墙技术、VPN、漏洞检测、审核技术等
文章插图
六、什么协议是用于开放网络进行信用卡电子支付的安全协议安全电子交易协议 (Secure Electronic Transaction,简称SET协议),是基于信用卡在线支付的电于商务安全协议,它是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范 。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付命令的机密、支付过程的完整、商户及持卡人的合法身份,以及可操作性 。SET通过制定标准和采用各种密码技术手段,解决了当时困扰电子商务发展的安全问题 。SET是在开放网络环境中的卡支付安全协议,它采用公钥密码体制(PKI)和X.509电子证书标准,通过相应软件、电子证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性 。SET协议用以支持B-C这种类型的电子商务模式,即消费者持卡在网上购物与交易的模式 。SET协议的功能SET协议是信用卡在因特网上进行支付的一种开放式安全协议和格式 。解决持卡人、商家和银行之间通过信用卡来进行网上支付的交易,旨在保证支付命令的机密性、支付过程的完整性、商家以及持卡人身份的合法性以及可操作性 。SET协议采用的加密和认证技术SET使用多种密钥技术来达到安全交易的要求,其中对称密钥技术、公钥加密技术和Hash算法是其核心 。综合应用以上三种技术产生了数字签名、数字信封、数字证书等加密与认证技术 。SET标准的应用与局限性SET 1.0版自1997年推出以来推广应用较慢,没有达到预期的效果 。最大的挑战在于定期进行网上购物的消费者极少,原因主要是SET协议为了保证安全性而牺牲了简便性、操作过于复杂、成本较高、具有较大竞争力的SSL协议的广泛应用以及部分经济发达国家的法律规定了持卡人承担较低的信用卡风险等 。SET协议提供了多层次安全保障,复杂程度显著增加;这些安全环节在一定程度上增加了交易的复杂性 。另外,SET协议目前只局限于银行卡的网上支付,对其他方式的支付没有给出很好的解决方案 。SET协议只支持B2C模式的电子商务,而不支持目前最具有前途和影响力的B2B电子商务交易 。SET由于其高度的安全性和规范性,使其逐步发展成为目前安全电子支付的国际标准 。由于SSL协议的成本低、速度快、使用简单,对现有网络系统不需进行大的修改,因而目前取得了广泛的应用 。但随着电子商务规模的扩大,网络欺诈的风险性也在提高,在未来的电子商务中SET协议将会逐步占据主导地位 。
【电商合同有哪些条件组成 什么是电商安全协议,电商顾问协议】
推荐阅读
- 直播平台有哪些啊 做电商直播用什么平台,电商平台有哪些
- 如何做电商 电商直播后要做什么,电商具体是做什么的
- 商水 商水商电公寓居住利弊是什么,投资公寓的好处
- 电商是干嘛的 电商可以做些什么,电商包括哪些方面工作
- 虾皮跨境电商官网 注册虾皮电商需要注意什么,虾皮电商怎么做
- 跨境电商怎么做 电商为什么哭了,电商网
- 什么是电商产品经理 电商类产品有什么用,拍电商产品用什么镜头好
- 最适合做电商三个产品 做电商推荐什么平板,什么品牌平板电脑好用又便宜
- 电商的优势是什么 分享电商有什么好处,电商带来的好处