电子商务安全协议

电子商务安全协议

Xxx

（华中科技大学电子与信息工程系，武汉430074）

摘要：随着人类进入以网络为主的信息时代，Internet 的高速发展带来了商业和经济模式的重大变革。基于 Internet 发展起来的电子商务慢慢成为人们进行商务活动的新模式，但是安全问题成为了制约其发展的重要因素。本文简单介绍了电子商务安全的相关问题以及电子商务中的主流安全协议：SSL协议与SET协议，并对两种协议的优缺点进行了一定的比较分析。

关键词：电子商务，安全协议，SSL，SET

1.电子商务安全概述

随着信息技术的迅速发展，人类正进入以网络为主的信息时代，基于Internet发展起来的电子商务慢慢成为人们进行商务活动的新模式。但是，电子商务的安全问题也是制约其发展的重要因素之一，如何建立一个安全、便捷的电子商务应用环境，保证整个电子商务活动中信息的安全性，使基于Internet的电子交易方式与传统交易方式一样可靠。

1.1.电子商务的定义

电子商务是把现有的计算机软件、硬件设备和网络设施，通过一定的协议连接起来的在电子网络环境下进行各种商品买卖的一种新方式。电子商务改变了传统的面对面交易模式，同时在一定程度上打破了时间和地点的限制。虽然电子商务具有快捷性、方便性、不受时间地点的限制、相对传统交易开销小等诸多优点，但是却存在安全性方面的许多隐患。

1.2.电子商务的安全要素

为了保证电子商务在整个商品交易活动中，可以安全顺利的进行，一般来说，需要电子商务的安全系统必须具备以下几个安全要素：

1)有效性：要求电子商务系统可以对信息，交易实体的有效性进行鉴别

2)机密性：保证信息在存取和传输过程中的安全性

3)数据的完整性：即保护数据的完整性，防止有人没有经过授权就对数

据内容进行修改，同时还要保证数据的一致性

4)可靠性和不可抵赖性：在进行电子商务交易时，交易信息在传输过程

中将为参与交易的个人、企业、国家提供可靠的标识

5)审查能力：过使用电子商务交易系统的日志文件对交易的数据的结果

进行审查、追踪

1.3.电子商务主要安全协议

1)S-HTTP：安全超文本传输协议, 它是一种面向安全信息通信的协议，

它可以和HTTP 结合起来使用。S-HTTP 能与HTTP 信息模型共存并易于与HTTP 应用程序相整合。该协议向www的应用提供可鉴别性、完整性、机密性以及不可否认性等安全措施。

2)iKP：该协议是由IBM公司设计的一种全新的安全电子支付协议，可

以在网上进行安全的交易。该协议最主要的特征是对数据提供密码保护和对解决争端的检查跟踪，可以对客户、商家和银行的网关三方之间进行仲裁。该协议是基于RSA公钥体制的，并能推广到借记卡或电子支票等支付系统中。

3)SSL：安全套接层协议，是Netscape公司率先采用的网络安全协议。

它是传输通信协议（TCP/IP）上实现的一种安全协议，采用公开密钥技术。SSL广泛支持各种类型网络，同时提供三种基本的安全服务。

对于电子商务应用来说，安全套接层协议可以保证信息的完整性、保密性和真实性。但是，安全套协议不能对应用层的消息进行数字签名，因此不能确定交易的不可否认性，这是安全套协议在电子商务中最大的不足。

4)SET：安全电子交易协议，由Visa与Master card两大信用卡组织联合

IBM、HP等公司1997年开发成功，是为了在Internet进行线上交易时保证信用卡支付的安全而设立的一个开放的规范。Set协议在网上购物环境中提供了商家、顾客和银行三者之间的认证，确保了交易数据的安全性、完整性、可靠性和交易的不可否认性，同时还提供了一定的隐私保护，使其获得IETF标准的认可，也是电子商务发展的方向。

SSL 和SET 是当前在电子商务中应用最为广泛的安全协议，在较长时间内SSL 和SET 将作为电子商务安全保证的主流协议，在下文中会主要介绍这两种常用协议。

2.SSL（S ecure Socket Layer）安全套接层协议

S SL协议向基于TCP/IP 的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。

2.1.SSL协议工作流程

服务器认证阶段：

1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；

3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；

4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。

用户认证阶段：

经认证的服务器发送一个提问给客户，客户返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。

从SSL 协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。

图 2.1 SSL握手协议

2.2.SSL协议安全性分析

SSL协议可提供如下安全保证：

1)用户和服务器的合法性认证：用户和服务器都有各自的识别号，采用

公钥技术，在握手阶段进行数字认证，以确保用户的合法性

2)数据加密：采用对称密钥加密传输数据

3)数据的完整性：采用哈希函数等形成数字摘要，保证数据的完整性

但是，SSL协议也存在着一些问题，SSL刚开始并不是为了支持电子商务而设计的。电于商务往往是用户、网站、银行三家协作完成，SSL 协议并不能协调各方面的安全传输和信任关系，并且，SSL并不支持完善的防抵赖功能。

3.SET（Secure Electronic Transaction）安全电子交易协议

SET 协议是针对开放网络上安全、有效的银行卡交易，是由 Visa 和Master card联合研制的一个能保证通过开放网络进行安全资金支付的技术标准。SET 协议采用公开密码体制（PK）和 X509 电子证书标准，通过相应软件、电子证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完善地交换信息、更高的安全性和较少的可欺诈性。

3.1.SET协议关键技术

SET使用多种密钥技术来达到安全交易的要求，其中对称密钥技术、公钥加密技术和Hash算法是其核心。综合应用以上三种技术产生了数字签名、数字信封、数字证书等多种加密与认证技术。

数字签名技术：

数字签名是实现认证的重要工具，在网络中的密钥分配、电子安全交易等方面都有重要应用，它能提供身份认证、数据完整性、不可抵赖等安全服务。数字签名分为签名和认证两部分。

签名过程：首先计算消息M的散列值，即利用哈希函数对代待发信息形成数据摘要H(M)。然后利用私钥加密散列值形成签名S，最后再将消息与签名（M,S）一起发送给接收方。

验证过程：接收方首先要取得发送方的公钥，利用发送方的公钥可以对接收到得签名S进行解密,得到h。计算接收到得明文M的散列值，设为H(M)，假如h=H(M)，则签名有效，反之则签名无效。

数字签名的主要作用：

1)防冒充：其他人不能伪造对消息的签名，因为私有密钥只有签名者自

己知道，所以其他人不可能构造出正确的签名数据。

2)可鉴别身份：在网络环境中，接收方必须能够鉴别发送方所宣称的身

份，即接收者使用发送者的公开密钥对签名报文进行解密运算，如结果为明文，则签名有效，证明对方身份是真实的。

3)防篡改：签名数据和原有文件已形成了一个混合的整体数据，不可能

篡改，从而保证了数据的完整性。

4)防重放：重放即为了获取利益而重复使用已签名的单据，在电子交易

中，付款后要及时毁掉另一方手中的单据，否则，对方可能再次要求付款。在签名电文中添加流水号、时间戳等，就可以防止这种情况发生。

5)防抵赖：数字签名可以鉴别身份，不可能冒充伪造，那么，只要保存

好签名的报文，就好象保存好了手工签署的合同文本，也就是保留了证据，签名者就无法抵赖。

数字签名流程图：

图 3.1 数字签名流程图

数字信封技术：

在数字信封中，信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密（这部分称数字信封）之后，将它和加密后的信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开加密信息。在传递信息时，信息接收方若要解密信息，必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。

数字信封流程图：

图 3.2 数字信封流程图

双重签名技术：

双重签名的目的在连结两个不同接收者消息。在这里，消费者想要发送订单信息OI到特约商店，且发送支付命令PI给银行。特约商店并不需要知道消费者的信用卡卡号，而银行不需要知道消费者订单的详细信息。消费者需要将这两个消息分隔开，而受到额外的隐私保护。

在必要的时候这两个消息必须要连结在一起，才可以解决可能的争议、质疑。这样消费者可以证明这个支付行为是根据他的订单来执行的，而不是其它的货品或服务。

生成双重签名：

图 3.3 双重签名生成过程

双重签名的流程：

首先生成两条消息的摘要（PI和OI），将两个摘要连接起来，生成一个新的摘要（称为双重签名POMD），然后用签发者的私有密钥加密，为了让接收者验证双重签名，还必须将其中一条消息的摘要（PI或OI）一块传过去。

这样，任何一个消息的接收者都可以通过以下方法验证消息的真实性：生成消息摘要，将它和另外一个消息摘要连接起来，生成新的摘要，如果它与解密后的双重签名相等，就可以确定消息是真实的。

3.2.SET协议的交易流程

1）持卡人注册（Cardholder registration）：持卡人必须在发送SET信息给特约商店之前向CA注册

2）特约商店注册（Merchant registration）：特约商店必须在它们和消费者与支付网关交换SET信息之前，向CA申请注册

3）购买请求（Purchase request）：从消费者送出给特约商店的消息，包含给特约商店的订单信息OI,给银行的支付命令摘要PIMD,双重数字签名POMD,包含用户公钥的信用卡持有者认证证书。此外，该消息中还包含由银行支付信息PI，双重签名POMD，特约商店的订单信息摘要OIMD，这些信息利用临时对称公钥和银行公钥形成一个数字信封

4）支付授权（Payment authorization）：在特约商店与支付网关之间的交换，可以对特定账户信用卡持卡人的采购做授权，商户会将接收到的包含银行支付信息PI，双重签名POMD，特约商店的订单信息摘要OIMD的数字信封转发给支付网关

5）支付获得（Payment capture）：让特约商店可以从支付网关请求支支付项。

6）证书询问与状态（Certificate inquiry and status）：如果CA无法快速完成一个证书请求的处理，它会发送一个消息给持卡人或特约商店，表明要请求者稍后再做确认。而持卡人或特约商店会发送证书询问的消息，来确定证书请求的状态，如果请求得到批准就会接收到证书了。7）采购询问（Purchase inquiry）：采购响应消息收到后，持卡人可以询问订单处理状态。

8）记录回复（Capture reversal）：特约商店可以更正在取得请求消息中的错误，如销售员输入错误的交易数量。

一般来说，支付网关需要执行以下工作：

1）核对所有的证书

2）将授权区块的数字信封解密，得到对称密钥，然后就可以对授权区块解密了

3）核对授权区块中的特约商店签名

4）对支付区块的数字信封解密，得到对称密钥后，可以再将支付区块解5）核对支付区块中的双重签名

6）核对从特约商店接收到的交易ID，是否和从消费者接收到的PI内交易ID吻合

7）向发卡银行请求并接受授权

3.3.SET协议安全性分析

SET的鉴别工作必须依赖公开密钥的运作体系（public key infrastructure，PKI），使得系统是否能实际运作必须依赖整体大环境是否成熟而定，例如签证体系的建立等，这将导致系统建设成本的大幅提升。

SET协议使用数字签名与哈希函数技术来达成完整性的要求，运作方式为发送方先将交易信息经过哈希函数的计算产生消息摘要后，再使用发送方的私钥加密产生签名。SET使用的哈希函数算法是SHA-1，其产生的消息摘要长度为160位，而只要更改消息中任一个位，平均来说，将导致一半的消息摘要位改变，故可提升签名的安全性。

SET协议采用了对称性与非对称性的密码系统。每一次交易双方建立新的连接就是一次通信期间的开始，而每次通信期间都会产生新的通信密钥，也就是说每个通信密钥的有效期为通信期间，而这个期间通常都不长；

基于这些特性，相对于长期间都使用同一把密钥加密来说，就算某次的通信密钥遭到破解，也不会影响到其它交易数据的安全性。

SET协议可以利用数字签名技术来产生不可否认的证据，其中双重签名也隐含了这个功能。基于银行对于商店不信任的假设，银行可利用商店转交持卡人的支付信息以及请求授权信息，来防止商店否认交易内容。

SET协议为了提供消费者隐私权的保护，使用了一个重要的创新技术：双重签名。 SET协议是从银行的角度来考虑，所以对于隐私的保护是建立在信任银行的假设上。事实上，银行可能汇集持卡人个别交易的支付信息，如果缺乏适当的防范措施，将导致持卡人隐私泄露的风险。

4.SSL与SET协议的比较

表 4.1 SSL协议与SET的比较

1）协议层比较：

SSL属于传输层的安全技术规范，它不具备电子商务的商务性、协调性和集成性功能。SET协议位于应用层，它不仅规范了整个商务活动的流程，而且制定了严格的加密和认证标准，具备商务性、协调性和集成性功能。

2）安全性比较：

SET协议由于采用了公钥加密、信息摘要和数字签名可以确保信息的保密性、可鉴别性、完整性和不可否认性，且SET协议采用了双重签名来保证各参与方信息的相互隔离SSL协议虽也采用了公钥加密、信息摘要和MAC检测，可以提供保密性、完整性和一定程度的身份鉴别功能，但缺乏一套完整的认证体系，不能提供完备的防抵赖功能。

3）处理速度比较：

SET协议非常复杂、庞大，处理速度慢。一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密，整个交易过程可能需花费1.5至2分钟；

而SSL协议则简单得多，处理速度比SET协议快。

4）用户接口比较：

SSL协议已被浏览器和WEB服务器内置，无需安装专门软件；而SET 协议中客户端需安装专门的电子钱包软件，在商家服务器和银行网络上也需安装相应的软件。

5）认证要求比较：

早期的SSL协议并没有提供身份认证机制，虽然在SSL3.0中可以通过数字签名和数字证书实现浏览器和Web服务器之间的身份验证，但仍不能实现多方认证，而且SSL中只有商家服务器的认证是必须的，客户端认证则是可选的。SET协议的认证要求较高，所有参与SET交易的成员都必须申请数字证书，并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。

6）加密机制比较：

SSL对网上传输的所有信息都加密，因此每次传输速度相对较慢。SET 对网上传输的信息进行加密，是有选择的，它只对敏感性信息加密，比如只对Form中输入的信用卡帐号加密。由于SSL是基于传输层加密，SSL 为高层提供了特定接口，使得应用方无须了解传输层情况，对用户完全透明。SET的加密过程则不同于SSL，在很大程度上加密对它而言只是一种普及的技术手段，而不像SSL中把加密看作一种重要组成部分。SET中广泛使用了数字信封等技术，并采用严密的系统约束来保证数据传输的安全性。

由于SSL协议的成本低、速度快、使用简单，对现有网络系统不需进行大的修改，因而目前取得了广泛的应用。但随着电子商务规模的扩大，网络欺诈的风险性也在提高，在未来的电子商务中SET协议将会逐步占据主导地位。

参考文献：

[1] 王曦杰.电子商务中安全问题的研究——SET协议的完善与改进[D].新疆：电子科

技大学，2009.8.

[2] 陈果.移动电子商务密钥管理协议及加密算法研究[D].湖南：湖南大学，2009.6.

[3] 侯小梅，毛宗源，张波.电子商务中加密方法的理论和应用研究[J].计算机工程与

应用，2000.11（11）

[4] 王秋杰,李振坤,陈平华;专业市场电子商务系统研究[J];现代计算机;2003.09（9）

[5] 王少锋,王克宏;电子商务技术的发展与研究[J];计算机工程与应用;2000.04（4）

[6] 王茜,杨德礼;电子商务的安全体系结构及技术研究[J];计算机工程;2003（01）

电子商务安全协议

电子商务安全协议 Xxx （华中科技大学电子与信息工程系，武汉430074） 摘要：随着人类进入以网络为主的信息时代，Internet 的高速发展带来了商业和经济模式的重大变革。基于 Internet 发展起来的电子商务慢慢成为人们进行商务活动的新模式，但是安全问题成为了制约其发展的重要因素。本文简单介绍了电子商务安全的相关问题以及电子商务中的主流安全协议：SSL协议与SET协议，并对两种协议的优缺点进行了一定的比较分析。 关键词：电子商务，安全协议，SSL，SET 1.电子商务安全概述 随着信息技术的迅速发展，人类正进入以网络为主的信息时代，基于Internet发展起来的电子商务慢慢成为人们进行商务活动的新模式。但是，电子商务的安全问题也是制约其发展的重要因素之一，如何建立一个安全、便捷的电子商务应用环境，保证整个电子商务活动中信息的安全性，使基于Internet的电子交易方式与传统交易方式一样可靠。 1.1.电子商务的定义 电子商务是把现有的计算机软件、硬件设备和网络设施，通过一定的协议连接起来的在电子网络环境下进行各种商品买卖的一种新方式。电子商务改变了传统的面对面交易模式，同时在一定程度上打破了时间和地点的限制。虽然电子商务具有快捷性、方便性、不受时间地点的限制、相对传统交易开销小等诸多优点，但是却存在安全性方面的许多隐患。 1.2.电子商务的安全要素 为了保证电子商务在整个商品交易活动中，可以安全顺利的进行，一般来说，需要电子商务的安全系统必须具备以下几个安全要素： 1)有效性：要求电子商务系统可以对信息，交易实体的有效性进行鉴别 2)机密性：保证信息在存取和传输过程中的安全性 3)数据的完整性：即保护数据的完整性，防止有人没有经过授权就对数 据内容进行修改，同时还要保证数据的一致性

电子商务安全与防护

电子商务安全与防护 电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中，潮起潮落，安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统，其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统，它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略，是由组织的性质与需求所决定的。 1、电子商务信息安全现状 现如今，网上购物已经成为普通消费者的购物选择之一，逐渐成为消费的主流。截至2007年6月，我国互联网用户已经从2001年的2650万户激增到目前的1．62亿户，仅次于美国2．11亿户的网民规模，位居世界第二。可见网上购物拥有很大的一批消费群。在网购盛行的时代，理智的消费者已经逐渐意识到，网上购物为我们带来方便的同时，由于网络安全问题，也带给我们更多危险的可能。电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志《信息安全杂志》披露，从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍，感染病毒、恶意代码的可能性高出9%，被非法入侵的频率高出10%，而被诈骗的可能性更是比一般企业高出2.2倍作为网上购物核心环节的“支付环节”，其安全性、便捷性是买卖双方都想追求的目标。电子商务交易的信用危机也悄然袭来，虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生，这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。 2、主要面临的安全问题 2.1 网络环境安全问题 一般来说，计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面，计算机系统硬件和通信设施极易遭受自然环境的影响（如温度、湿度、电磁场等）以及自然灾害和人为（包括故意破坏和非故意破坏）的物理破坏；另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击；同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作，造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础，涉及的方面较广，如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等，其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器上实现，而专用防火墙提供更加可靠的网络安全控制

电子商务安全(1)

电子商务安全 随着因特网的迅猛发展，电子商务已经逐渐成为人们实行商务活动的一个崭新模式。我们能够把电子商务定义为整个事务活动和贸易活动的电子化。它将信息网络、金融网络和物流网络结合起来，把事务活动和贸易活动中发生关系的各方有机地联系起来，极大地方便了各种网络上的事务活动和贸易活动。电子商务有比传统商务方式更巨大的方便性和灵活性。不过，网络面临的安全问题也随之而来，例如内部窃密和破坏、截收、非法访问、破坏信息的完整性、破坏系统的可用性等等诸多问题。 任何在互联网上展开业务的机构都必须采取积极的步骤，确保系统有充足的安全措施，以防止机密信息泄露和非法侵入所造成的损失。但互联网本身就是基于开放思想设计并逐步发展起来的。要想在互联网上实现绝对安全是困难的。互联网上实现电子商务面临的风险主要来自机密关键数据安全及电子交易安全。 一、电子商务安全的具体技术表现 (一)数据的私有性和安全性 如果不采用特别的保护措施，包括电子邮件等在internet中开放传输的数据都可能被第三者监视和阅读。考虑到巨大的传输量和难以计数的传输途径，想任意窃听一组数据传输是不可能，但是一些设置在web服务器的黑客程序却能够查找和收集特定类型的数据，这些数据包括信用卡、存款的账号和相对应的口令。同时，因为internet的开放性设计，数据私有性和安全性还包括数据传输之外的问题，例如：连入internet的数据存储网络驱动器的安全性。所以，任何存储在web 服务器上的数据必须采取保护措施。 (二)数据的完整性 对完整性的安全威胁也叫主动搭线窃取。当未经授权方改变了信息流时就构成了对完整性的安全威胁。未保护的银行交易很易受到对完整

电子商务安全与管理

1、简述电子商务流程 答：（1）电子商务的基本交易过程：①交易前的准备；②交易谈判和签订合同；③办理交易进行前的手续；④交易合同的履行、服务和索赔。（2）网上商品交易流程：①网上商品直销流程：消费者进入网站、浏览商品；消费者在提供者的网站上填写信息，订购商品；消费者选择付款方式，供应方查看消费者的信息，比如账户余额是否足够；供应方发货，同时银行将款项划入供应方；消费者检查收货。 ②网上商品中介交易流程：交易双方将供需信息发布在网络交易中心；交易双方根据网上商品交易中心提供的信息选择自己的交易对象，网上商品交易中心协助双方合同的签订以及其他的相关手续；交易双方在网络交易中心指定的银行进行付款、转账等手续；商品交易中心送货或由卖方直接送给买方；买方验货收货。 2、概括电子商务模式的类型 答：从参与的主体和实现商务活动的方式的角度考虑，基于Internet电子商务模式可以概括为网上直销型电子商务模式和网上中介型电子商务模式两种。网上直销型电子商务模式分为：（1）企业与企业间网上直销型电子商务模式：①买方集中模式；②卖方集中模式；③专业服务模式。（2）网上零售模式：①实物商品电子商务模式；②无形商品电子商务模式：网上订阅模式，付费浏览模式，广告支付模式，网上赠与模式。（2）网上中介型电子商务模式：①企业与企业间网上中介型电子商务模式；②消费者与消费者间的网上中介型电子商务模式；③网上商城模式。 3、结合自己的亲身经历，思考在电子商务交易中会涉及哪些安全问题？（信息传输风险，信用风险，管理风险，法律风险，网上支付风险） 电子商务所面临的安全问题主要包括以下几个方面。（1）窃取信息。数据信息在未采用加密措施情况下，以明文形式在网络上传送，攻击者在传输信道上对数据进行非法截获、监听，获取通信中的敏感信息，造成网上传输信息泄露。即使数据经过加密，但若加密强度不够，攻击者也可通过密码破译得到信息内容，造成信息泄露。（2）篡改信息。攻击者在掌握了信息格式和规律后，采用各种手段对截取的信息进行篡改，破坏商业信息的真实性和完整性。（3）身份仿冒。攻击者运用非法手段盗用合法用户身份信息，利用仿冒的身份与他人交易，获取非法利益，从而破坏交易的可靠性。（4）抵赖。某些用户对发出或收到的信息进行恶意否认，以逃避应承担的责任。（5）病毒。网络化，特别是Internet的发展，大大加速了病毒的传播，同时病毒的破坏性越来越大，严重威胁着电子商务的发展。（6）其他安全威胁。电子商务的安全威胁种类繁多，有故意的也有偶然的，存在于各种潜在方面。例如：业务流分析，操作人员的不慎重所导致的信息泄露，媒体废弃物所导致的信息泄露等都对电子商务的安全性构成不同程度的威胁。 4、电子商务网络系统自身的安全问题（1）物理实体安全问题（2）计算机软件系统潜在的安全问题（3）网络协议的安全漏洞（4）黑客的恶意攻击（5）计算机病毒攻击（6）安全产品使用不当 5、电子商务交易信息传输过程中面临哪些安全问题？ （1）信息机密性面临的威胁：主要指信息在传输过程中被盗取。（2）信息完整性面临的威胁：主要指信息在传输的过程中被篡改、删除或插入。（3）交易信息的可认性面临的威胁：主要指交易双方抵赖已经做过的交易或传输的信息。（4）交易双方身份真实性面临的威胁：主要指攻击者假冒交易者的身份进行交易。 电子商务企业内部安全管理问题（1）网络安全管理制度问题（2）硬件资源的安全管理问题（3）软件和数据的维护与备份安全管理问题 6、电子商务安全管理方法（了解P19） 从安全技术，安全管理制度和法律制度三个方面7、电子商务安全管理的制度体现在哪些方面？答：电子商务安全管理的制度体现在以下几个方面：（1）人员管理制度。（2）保密制度。（3）跟踪、审计、稽核制度。（4）网络系统的日常维护制度。（5）病毒防范制度。 8、风险分析的目的：风险分析的最终目的是彻底消除风险，保障风险主体安全。具体包括以下几个方面：（1）透彻了解风险主体、查明风险客体以及识别和评估风险因素；（2）根据风险因素的性质，选择、优化风险管理的方法，制定可行的风险管理方案，以备决策；（3）总结从风险分析实践中得出的经验，丰富风险分析理论。 9、风险分析的原则：风险分析的原则是分析人员在进行风险分析时辨别和评估各种风险因素所持的态度以及在分析中采用各种技术的原则它是独立于风险分析的对象（风险主体、风险客体和风险因素等）之外的认知系统遵循的原则。

电商平台服务协议、交易规则

(听风阁论坛）电商平台服务协议、交易规则 【总则】 针对XXX科技有限公司所属电子商务平台“(听风阁论坛）”，以下简称平台。在业务开展过程中制定本服务协议、交易规则。为了保障(听风阁论坛）平台各方主体的合法权益，规范各方主体行为，维护商务市场秩序，遵守和维护国家法律法规，制定本方案。 (听风阁论坛）平台所有电子商务活动，适用本方案。本方案所称电子商务活动，是指通过互联网等信息网络销售商品或者提供服务的经营活动。《中华人民共和国电子商务法》对销售商品或者提供服务有规定的，适用其规定。金融类产品和服务，利用信息网络提供新闻信息、音视频节目、出版以及文化产品等内容方面的服务，根据《中华人民共和国电子商务法》相关规定，不适用本方案。 【服务协议】 1、平台将遵循公开、公平、公正的原则，制定平台服务协议和交易规则，明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务。 2、平台将记录、保存平台上发布的商品和服务信息、交易信息，并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年；法律、行政法规另有规定的，依照其规定。 3、平台将提供明示用户信息查询、更正、删除以及用户注销的方式、程序，不得对用户信息查询、更正、删除以及用户注销设置不合理条件。平台收到用户信息查询或者更正、删除的申请的，应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的，平台应当立即删除该用户的信息；依照法律、行政法规的规定或者双方约定保存的，依照其规定。 4、平台收集、使用其用户的个人信息，应当遵守法律、行政法规有关个人信息保护的规定。

电子商务安全协议及支付安全

5.1.1 SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上，运行在TCP/IP协议之上而在其他高层协议（如HTTP、Telnet、FTP和IMAP等）之下，如图5-1所示。在建立一次SSL连接之前，首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时，支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己，还允许这两个机器之间建立安全的加密连接，同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议：SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议，其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式，它位于一些可靠的传输层协议之上（如TCP），用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上，并被SSL记录协议所封装。它描述建立安全连接的过程，在客户和服务器传送应用层数据之前，该协议允许服务器与客户机之间协商加密算法和会话密钥，完成通信双方的身份验证等功能。 图5-1 SSL协议的分层结构 5.1.2 SSL记录协议 SSL记录协议（Record Protocol）定义了传输的格式，包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示： 图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块，把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快，压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的

MAC算法对压缩块计算MAC，用指定的对称加密算法加密压缩块和MAC，形成密文块。 4.对密文块添加SSL记录头，然后送到传输层，传输层受到这个SSL记录层数据单元后，记上TCP报头，得到TCP数据包。 图5-3 SSL记录协议中数据项的格式 5.1.3 SSL握手协议 图5-4 SSL建立新会话时的握手过程 1）建立新会话时的握手过程 握手协议用于数据传输之前。它可以进行服务器与客户之间的身份鉴别，同时通过服务器和客户协商，决定采用的协议版本、加密算法，并确定加密数据所需的对称密钥，随后采用公钥加密技术产生共享机密信息（例如对称密钥）。每次连接，握手协议都要建立一个会话。会话中包含了一套可在多次会话中使用的加密安全参数，从而减轻了每次建立会话的负担。然而，必须指出的是，SSL中的每次连接时，在握手协议中产生的对称密钥都是独特的，这种每次更换密钥的方法显然在更大程度上确保了系统的不易攻破性。 根据是否验证对方的证书，SSL的握手过程可以分为以下三种验证模式：客户和服务器都被验证；只验证客户机，不验证服务器，这是Internet上使用最广泛的形式；客户和服务器都不验证，也称为完全匿名模式。SSL握手协议建立一个新的会话的过程如图5-4所示，具体如下： 阶段1：确定一些相关参数，包括协议版本、会话ID、加密规格、压缩算法和初始随机数 （1）客户端发送client_hello消息给服务器，向服务器传送客户端支持的SSL协议的版

电子商务安全试题

一、简答： 1.简述电子商务的安全需求。 答:电子商务的安全需求主要包括:机密性,指信息在传送过程中不被他人窃取;完整性, 指保护信息不被未授权的人员修改;认证性, 指网络两端传送信息人的身份能够被确认；不可抵赖性，指信息的接受方和发送方不能否认自己的行为；不可拒绝性，指保证信息在正常访问方式下不被拒绝；访问的控制性，指能够限制和控制对主机的访问。 2．简述VPN中使用的关键技术。 答: VPN中使用的关键技术：隧道技术、加密技术、QOS技术。加密技术和隧道技术用来连接并加密通讯的两端，QOS技术用来解决网络延迟与阻塞问题。 3.简述入侵检测的主要方法QOS。 答:入侵检测的主要方法有：静态配置分析法；异常性检测方法；基于行为的检测方法；智能检测法。 4.简述PKI的基本组成。 答: PKI的基本组成有：认证机构CA；数字证书库；密钥备份与恢复系统；证书作废系统；应用程序接口部分。 5.简述木马攻击必须具备的条件。 答:木马攻击必须具备三个基本条件，要有一个注册程序，要有一个注册程序可执行程序，可执行程序必须装入内存并运行；要有一个端口。 6.简述CA的基本组成。 答:CA的基本组成：注册服务器；CA服务器；证书受理与审核机构RA；这三个部分互相协调，缺一不可。 7．简述对称密钥加密和非对称密钥加密的区别。 答: 对称密钥算法是指使用同一个密钥来加密和解密数据。密钥的长度由于算法的不同而不同，一般位于40~128位之间。 公钥密码算法:是指加密密钥和解密密钥为两个不同密钥的密码算法。 公钥密码算法不同于单钥密码算法,它使用了一对密钥:一个用于加密信息,另一个则用于解密信息,通信双方无需事先交换密钥就可进行保密。 8．简述安全防范的基本策略。 答:安全防范的基本内容有：物理安全防范机制，访问权限安全机制，信息加密安全机制，黑客防范安全机制；风险管理与灾难恢复机制。 9．简述VPN中使用的关键技术。 答:VPN中使用的关键技术：隧道技术、加密技术、QOS技术。加密技术和隧道技术用来连接并加密通讯的两端，QOS技术用来解决网络延迟与阻塞问题。 10．简述数字签名的使用原理。 答:发送方使用HASH函数处理原文，得到数字摘要；使用接受方的公钥对明文和数字摘要加密并通过网络发送；接受方使用私钥解密；接受方使用HASH函数重新得到数字摘要；对比数字摘要。 11．简述密钥的生命周期。

电子商务安全问题的现状与未来

电子商务安全问题的现状与未来 摘要：在全球信息化影响下，电子商务需要不断完善。针对电子商务现状制定实施恰当的产业政策十分必要。本文从电子商务技术发展环境、存在的问题、发展趋势探讨分析了我国电子商务发展的现状。 关键词：电子商务;发展趋势;教育产业;应用前景 电子商务源于英文ELECTRONIC COMMERCE，简写为EC。内容包含两方面，一是电子方式，二是商贸活动。一般指利用电子信息网络等电子化手段进行的商务活动以及商务活 动的电子化与网络化。电子商务还包括政府机构、企事业单位各种内部业务的电子化。电子商务是一种现代化商业和行政方法，通过改善产品和服务质量、提高服务传递速度，通过计算机网络加快信息交流以支持决策。 一、我国电子商务面临的困境与问题 1. 消费观念问题。我国金融体系的呆板和服务意识的淡漠，直接造成中国的消费市场缺乏信用消费概念支持，信用体系一直缺乏完善的保障机制与信用机制，货币电子化进程缓慢。银行与银行之间、银行与消费者之间画地为牢，迫使那些想尝试信用消费的人必须为此付出额外的精神和财力 代价。于是当电子商务这种新型商业模式出现时，众多消费

者只能是裹足不前，电子商务模式依然远不足与现实生活中的传统商业模式相匹敌。 2. 搜索技术与标准问题。搜索引擎看起来很简单：用户输入一个查询关键词，搜索引擎就按照关键词语到数据库去查找，并返回最合适的WEB页链接。但根据NEC研究所与INKTOMI公司最近研究结果表明，目前在互联网上至少10 亿网页需要建立索引。而现在搜索引擎仅仅能对5亿网页建立索引，仍然有一半不能索引。这主要不是由于技术原因，而是由于在线商家希望保护商品价格的隐私权。因此当用户在网上购物时，不得不一个网站一个网站搜索下去，直到找到满意价格的物品为止。各国电子商务的交易方式和手段存在差异，面对无国界、全球贸易，需要在电子商务交易过程中建立相关的统一标准，以解决电子商务活动的相互操作问题。 3. 电子商务的安全与管理问题。电子商务的安全问题仍是影响电子商务发展的主要因素。在开放的网络上处理交易，如何保证传输数据的安全成为电子商务能否普及的最重要 的因数之一。调查公司曾对电子商务的应用前景进行过在线调查，当问到为什么不愿意在线购物时，绝大多数人的问题是担心遭到黑客的侵袭而导致信用卡信息丢失。因此，有一部分人或企业因担心安全问题而不愿意使用电子商务，安全成为电子商务发展中最大的障碍。管理的概念应该涵盖商务

电子商务安全保障体系

目的要求：通过学习了解电子商务环境中的安全威胁后解决安全威胁的技术手段和方案 重点难点：解决安全威胁的技术手段和方案 组织教学：点名考勤；复习；引入新课；讲解理论知识；实例演示；指导学生练习；总结 总结复习导入新课：。 提问：1、什么是电子商务？ 教学方式、手段、媒介：讲授、多媒体；媒介：教材 教学内容： 第一节电子商务 一、公钥基础设施 公钥基础设施是由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成，管理密钥和证书的系统或平台。 用于解决电子商务中安全问题的PKI 技术。PKI(Public Key Infrastructure）是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI 的核心组成部分 CA(Certification Authority），即认证中心，它是数字证书的签发机构。数字证书，有时被称为数字身份证，是一个符合一定格式的电子文件，用来识别电子证书持有者的真实身份。 1、认证中心 认证中心（Certificate Authority, 简称CA），也称之为电子认证中心，是电子商务的一个核心环节，是在电子交易中承担网上安全电子交易认证服务，签发数字证书，确认用户身份，与具体交易行为无关权威第三方权威机构。 为安全电子交易中之重要单位，为一公正、公开的代理组织，接受持卡人和特约商店的申请，会同发卡及收单银行核对其申请资料是否一致，并负责电子证书之发放、管理及取消等事宜。是在线交易的监督者和担保人。主要进行电子证书管理、电子贸易伙伴关系建立和确认、密钥管理、为支付系统中的各参与方提供身份认证等。CA类似于现实生活中公证人的角色，具有权威性，是一个普遍可信的第三方。 认证中心可官方将某个公钥授权给用户。如果一个公司在内部或同可靠的商业伙伴交往时使用了数字证书，就可能会出现这样一个机构。Netscape和Xcert提供了用于管理数字证书的证明服务器。 当很多用户共用一个证明权威时，证明权威应该是个受到大家信赖的可靠方。证明权威甚至可以是个规模更大、公用程度更高的实体，比如GTE、Nortel或Verisign，它们在验证身份和签发数字证书上的严谨态度早已众口皆碑。

学习电子商务安全与管理心得体会

学习电子商务安全与管理心得体会 随着经济的发展，电子商务也越来越普及，越来越多的公司、个人在网上来交易，电子商务在人们的心中越来越不可缺少。但是，随着网络的普及，各种木马病毒、网上欺骗事件越来越多，阻碍了电子商务的发展。所以，电子商务安全与合理的管理是电子商务发展的保障。 一、安全交易标准的制定 近年来，IT业界与金融行业一起，推出不少更有效的安全交易标准。主要有： 1、安全超文本传输协议：依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。 2、安全套接层协议：是由网景公司推出的一种安全通信协议，是对计算机之间整个会话进行加密的协议，提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器，用以完成需要的安全交易操作。在SSL中，采用了公开密钥和私有密钥两种加密方法。 3、安全交易技术协议：由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。 4、安全电子交易协议:SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。 二、目前安全电子交易的手段 1、密码技术 采用密码技术息加密，是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种： （1）公共密钥和私用密钥 这一加密方法亦称为RSA编码法，是由Rivest、Shamir和Adlernan三人所研究发明的。在加密应用时，某个用户总是将一个密钥公开，让需发信的人员将信息用其公共密钥加密后发给该用户，而一旦信息加密后，只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份的人员的公共密钥可在网上查到，亦可在请对方发信息时主动将公共密钥传给对方，这样保证在Internet上传输信息的保密和安全。

电子商务安全体系结构

安全体系结构 （一）安全体系结构图 如图3所示，电子商务安全体系由四层组成，由下至上分别是：安全协议层、安全认证层、加密技术层、网络安全层。 图3 电子商务网站安全体系结构 （二）安全体系分层 整个电子商务网站安全体系由下至上分为四层：安全协议层、安全认证层、加密技术层、网络安全层。这四个安全层包含了从安全交易协议到入侵攻击预防的整个防御及安全策略体系。下面就来看一下每一层分别有哪些作用。 （1）网络安全层 网络安全层包含了防御攻击的VPN技术、漏洞扫描技术、入侵检测技术、反

病毒技术、防火墙技术、安全审计技术等，通过一系列的技术防御保证网络被访问时的安全，防止漏洞被攻击、网络被入侵。 （2）加密技术层 加密技术主要保障信息在传输过程中的安全性，防止信息在传输过程中被窃取或篡改。加密技术一般分为对称加密技术与非对称加密技术。 （3）安全认证层 安全认证层涉及到数字签名、数字时间、数字信封、信息摘要、数字凭证、认证机构等。安全认证层可以验证交易双方数据的完整性、真实性及有效性。（4）安全协议层 安全协议层置于电子商务安全体系的最下层，也是电子交易中非常关键的一个部分，通过协议层完成交易。一般电子商务中使用的安全协议有SSL协议和SET协议。 访问控制技术 访问控制是指对网络中的某些资源的访问要进行控制，只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证资源不被非法使用和非法访问。常用的访问控制技术有：入网访问控制，网络的权限控制，目录级安全控制，防火墙控制，网络服务器控制，网络监测和锁定控制等。 数字认证技术 数字认证也称数字签名，即用电子方式来证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过)，甚至数据媒体的有效性(如录音、照片等)。 数字签名又称电子加密，可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输，特别是电子商务是极其重要的，一般要采用一种称为摘要的技术，摘要技术主要是采用HASH函数将一段长的报文通过函数变换，转换为一段定长的报文。

论电子商务安全交易协议(一)

论电子商务安全交易协议(一) 摘要]由于因特网的开放性，在电子商务的发展中，网上交易安全问题成为制约电子商务发展的瓶颈。目前国际上通用的电子商务安全支付协议主要有两个，即SSL协议和SET协议。本文对两种电子支付安全协议进行了详细的介绍，对协议的特点、功能、安全性进行了对比，阐述了两种协议保障电子商务交易安全的过程。 关键词]电子商务安全安全套接层协议安全电子交易协议 在电子商务过程中，买卖双方是通过网络来联系的，因而建立交易双方的安全和信任关系是相当困难的。这样使得电子商务交易双方都面临不同的安全威胁。而电子商务的主要特征是在线支持，为了加强电子商务交易的安全性，需要采用数据加密和身份认证技术，以便营造一种可信赖的电子交易环境。目前有两种安全支付协议被采用，即安全套接层SSL协议和安全电子交易SET协议。 一、安全套接层协议 安全套接层协议SSL(SecureSocketsLayer)是Netscape公司1995年推出的一种安全通信协议。SSL提供了两台计算机之间的安全连接，对计算机整个会话进行了加密，从而保证了信息传输的安全，实现浏览器与Web服务器之间的安全通信，在Internet上广泛应用于处理与金融有关的敏感信息。 SSL协议是一种保护Web通信的工业标准，能够对信用卡和个人信息、电子商务提供较强的加密保护。 1.SSL协议提供安全连接的基本特点 （1）连接是保密的：对于每个连接都有一个惟一的会话密钥，采用对称密码体制（如DES、RC4等）来加密数据； （2)连接是可靠的：消息的传输采用MAC算法（如MD5、SHA等）进行完整性检验；（3)对端实体的鉴别采用非对称密码体制（如RSA、DSS等）进行认证。 2.SSL协议提供的服务 （1)数据和服务器的合法认证。使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号，由公开密钥编排。为了验证用户，SSL协议要求在握手交换数据中做数字认证，以此来确保用户的合法性。 （2)加密数据以便隐藏被传送的数据。SSL协议采用的加密技术既有对称密钥也有公开密钥。具体来说，就是客户机与服务器交换数据之前，先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术，以保证数据的机密性，防止非法用户破译。 （3)维护数据的完整性。SSL协议采用Hash函数和机密共享的方法，提供完整信息性的服务，来建立客户机与服务器之间的安全通道，使经过处理的业务在传输过程中能够完整、准确地到达目的地。 3.SSL协议的构成 SSL协议分为两层：SSL握手协议和SSL记录协议。 （1)SSL握手协议。SSL握手协议用于在通信双方建立安全传输通道,是在客户机与服务器之间交换信息强化安全性的协议。具体实现以下功能: ①在客户端验证服务器,SSL协议采用公钥方式进行身份认证; ②在服务器端验证客户（可选的）； ③客户端和服务器之间协商双方都支持的加密算法和压缩算法。 ④产生对称加密算法的会话密钥； ⑤建立加密SSL连接。 SSL握手协议最终使双方建立起合适的会话状态信息要素，包括对话标识、对等证书、压缩方法、加密说明、会话密钥等信息。

电子商务安全

密码安全——通信安全的最核心部分。 计算机安全——一种确定的状态，使计算机化数据和程序文件不致被非授权人员、计算机或其程序访问、获取或修改。 网络安全——包括所有保护网络的措施。 信息安全—保护信息财富，使之免遭偶发的或有意的非授权泄露、修改、破坏或处理能力的丧失。 电子商务安全要素 1 数据有效性 2 认证性 3 数据机密性 4 数据完整性 5 防御性 6 访问性 7 不可修改性 8 不可否认性 9 审查能力 所谓加密，就是用基于数学方法的程序和保密的密钥对信息进行编码，把计算机数据变成一堆杂乱无章难以理解的字符串，也就是把明文变成密文。 单钥密码体制 对称加密过程： 1）发送方用自己的私有密钥对要发送的信息进行加密 2）发送方将加密后的信息通过网络传送给接收方 3）接收方用发送方进行加密的那把私有密钥对接收到的加密信息 进行解密，得到信息明文 双钥密码体制 加密模式过程： 1）发送方用接收方公开密钥对要发送的信息进行加密 2）发送方将加密后的信息通过网络传送给接收方 3）接收方用自己的私有密钥对接收到的加密信息进行解密，得 到信息明文. 验证模式过程1）发送方用自己的私有密钥对要发送的信息进行加密 2）发送方将加密后的信息通过网络传送给接收方 3）接收方用发送方公开密钥对接收到的加密信息进行解密，得到 信息明文 PGP：PGP(Pretty Good Privacy)，是一个基于RSA公匙加密体系的邮件加密软件。 特点： 1）源代码是免费的，可以消减系统预算 2）加密速度快 3）可移植性出色 PGP的加密算法 构成： 一个私钥加密算法（IDEA） 一个公钥加密算法（RSA） 一个单向散列算法（MD5） 一个随机数产生器 过程： PGP是以一个随机生成密钥（每次加密不同）由IDEA算法对明文加密，

电子商务安全与管理实验报告

实验一系统安全设置 ［实验目的和要求］ 1、掌握本地安全策略的设置 2、掌握系统资源的共享及安全的设置技术 3、掌握管理安全设置的技术 ［实验容］ 1、本地安全策略 2、资源共享 3、管理安全设置 ［实验步骤］ 一、本地安全策略 “控制面板”---“管理工具”---“本地安全策略”，如图1-1。 图1-1 本地安全设置图1-2 拒绝本地登录在“用户权利指派”中查看：哪些用户不可以在本地登录？哪些用户可以从网络访问计算机？哪些用户可以关闭计算机？ 答：分别见图1-2,1-3和1-4。

图1-3从网络访问计算机图1-4 关闭系统 在“安全选项”中查看：如何使计算机在登录前必须按“CTRL+ALT+DEL”？未签名驱动程序的安装是如何设置的？如何禁止网络用户访问CD-ROM？ 答：找到“交互式登录：不需要按CTRL+ALT+DEL”，双击打开，选择“已禁用(S)”后单击“确定”按钮。 找到“设备：未签名驱动程序的安装操作”，在下拉菜单中选择“允许安装但发出警告”，单击“确定”按钮即可。 找到“设备：只有本地登录的用户才能访问CD-ROM”，打开选择“已启用(E)”，点击“确定”按钮即可。 二、文件共享 如何设置共享文件，并通过网上邻居访问共享文件？ 设置共享文件: 方法一：“工具－－文件夹选项－－查看－－使用简单文件夹共享”。这样设置后，其他用户只能以Guest用户的身份访问你共享的文件或者是文件夹。 方法二：“控制面板－－管理工具－－计算机管理”，在“计算机管理”这个对话框中，依次点击“文件夹共享－－共享”，然后在右键中选择“新建共享”即可。 选择你要共享的文件，右击选择“属性”，打开如图1-5显示的窗口。勾选“在网络上共享这个文件夹”即可在网络邻居访问这个文件。 图1-5 文件夹属性 三、管理安全设置 1、对“Internet选项”中的“安全”设置进行分析。为了保证浏览网页的方便，你认为哪些设置必需放开？而哪些设置又可能引起安全问题？ 我认为对于网络的大部分设置应设为启用可方便浏览网页；对于ActiveX控间和插件的设置若设置为禁用可能会引起安全问题。 2、windows防火墙中的“例外”是什么意思？如何让某个应用程序不受防火墙限制？

电子商务安全与管理复习总结

电子商务安全与管理总结 名词解释 密文：是明文经加密变换后的结果即消息被加密处理后的形式通常用c表示。 加密算法：是将明文变换为密文的变换函数，相应的变换过程称为加密，即编码的过程，通常用E表示即c=Ek(p) 对称密码体制 的基本特征是加密密钥与解密密钥相同。 Hash函数：Hash简单点讲就是把任意一段数据经过某种算法生成一段唯一的固定长题 误用检测：也叫特征检测，它假设入侵者活动可以用一种模式来表示，然后将观察对象与之比较，判别是否符合这些模式。 数字证书：就是互联网通信中标志通信各方身份信息的一系列数据，提供了一种在Internet 上验证匿名身份的方式。 CA： 简答题 1.防火墙应五大基本任务： 过滤进出网络的数据包； 管理进出网络的访问行为； 封堵某些禁止的访问行为； 记录通过防火墙的信息内容和活动； 对网络攻击进行检测和告警 2.防火墙有哪些局限性： 不能防范恶意的知情者； 防火墙不能防范不通过它的连接； 防火墙不能防备全部的威胁； 防火墙不能防范病毒； ①限制有用的网络服务②防火墙防外不防内③Internet防火墙无法防范通过防火墙以外的其他途径的攻击④防火墙不能完全防止传送感染病毒的软件或文件⑤防火墙不能防止新的网络安全问题 3.评估防火墙的抗攻击能力 抗IP 假冒攻击； 抗特洛伊木马攻击； 抗口令字探寻攻击； 抗网络安全性分析； 4.PKI技术可运用领域 即公钥基础设施，包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。PKI技术可运用于众多领域，其中包括虚拟专用网络VPN，安全电子邮件，Web交互安全及倍受瞩目的电子商务安全领域。 5.在Internet上进行欺骗有哪些模式 采用假的服务器来欺骗用户的终端； 采用假的用户来欺骗服务器； 在信息的传输过程中截取信息； 在Web服务器及Web用户之间进行双方欺骗。 6.SET支付消息包括哪些？

电子商务安全协议及支付安全

SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上，运行在TCP/IP协议之上而在其他高层协议（如HTTP、Telnet、FTP和IMAP等）之下，如图5-1所示。在建立一次SSL连接之前，首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时，支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己，还允许这两个机器之间建立安全的加密连接，同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议：SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议，其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式，它位于一些可靠的传输层协议之上（如TCP），用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上，并被SSL记录协议所封装。它描述建立安全连接的过程，在客户和服务器传送应用层数据之前，该协议允许服务器与客户机之间协商加密算法和会话密钥，完成通信双方的身份验证等功能。

图5-1 SSL协议的分层结构 SSL记录协议 SSL记录协议（Record Protocol）定义了传输的格式，包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示：

图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块，把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快，压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的MAC算法对压缩块计算MAC，用指定的对称加密算法加密压缩块和MAC，形成密文块。 4.对密文块添加SSL记录头，然后送到传输层，传输层受到这个SSL记录层数据单元后，记上TCP报头，得到TCP数据包。

电子商务安全 名词概念及简答

1.简述信息安全的属性 信息安全的属性：保密性、完整性、可用性、可控性、不可否认性。 含义：保密性：保证信息不泄露给未经授权的人。 完整性：防止信息被未经授权的人（实体）篡改，保证真实的信息从真实的信源无失真地到达真实的信宿。 可用性：保证信息及信息系统确实为授权使用者所用，防止由于计算机病毒或其他人为因素造成的系统拒绝服务或为敌手所用。 可控性：对信息及信息系统实施安全监控督管理。 不可否认性：保证信息行为人不能否认自己的行为。 2.简述密钥生命周期的各阶段 密钥生命周期: 分为初始化—颁发—取消三个阶段 3.简述公钥密码体制得概念 公开密钥密码体制的概念是1976年由美国密码学专家狄匪（Diffie）和赫尔曼（Hellman）提出的，有两个重要的原则：第一，要求在加密算法和公钥都公开的前提下，其加密的密文必须是安全的；第二，要求所有加密的人和把握私人秘密密钥的解密人，他们的计算或处理都应比较简单，但对其他不把握秘密密钥的人，破译应是极困难的。随着计算机网络的发展，信息保密性要求的日益提高，公钥密码算法体现出了对称密钥加密算法不可替代的优越性。 近年来，公钥密码加密体制和PKI、数字签名、电子商务等技术相结合，保证网上数据传输的机密性、完整性、有效性、不可否认性，在网络安全及信息安全方面发挥了巨大的作用。 本文具体介绍了公钥密码体制常用的算法及其所支持的服务。 4.防火墙不能解决的问题有哪些？ 答：（1）如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。（2）防火墙无法防范通过防火墙以外的其他途径的攻击。（3）防火墙不能防止来自内部变节者和不经心的用户带来的威胁。（4）防火墙也不能防止传送已感染病毒的软件或文件。（5）防火墙无法防范数据驱动型的攻击。 5．简述电子商务系统可能遭受攻击的类型？ 系统穿透；违反授权原则；植入；通信监视；通信窜扰；中断；拒绝服务；否认；病毒 6.简述ISO的八大类安全机制 八大类安全机制包括加密机制、数据签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制、公正机制。 1.加密机制：是确保数据安全性的基本方法，在OSI安全体系结构中应根据加密所在的层次及加密对象的不同，而采用不同的加密方法。 2.数字签名机制：是确保数据真实性的基本方法，利用数字签名技术可进行用户的身份认证和消息认证，它具有解决收、发双方纠纷的能力。 3访问控制机制：从计算机系统的处理能力方面对信息提供保护。访问控制按照事先确定的规则决定主体对客体的访问是否合法，当以主题试图非法使用一个未经给出的报警并记录日志档案。 4.数据完整性机制：破坏数据完整性的主要因素有数据在信道中传输时受信道干扰影响而产生错误，数据在传输和存储过程中被非法入侵者篡改，计算机病毒对程序和数据的传染等。纠

电子商务的安全与管理

关于“电子商务的安全与管理”文献检索报告 一、分析课题 随着互联网的不断发展，在世界范围内掀起了一场电子商务的热潮。电子商务代表着未来贸易方式的发展方向，其应用和推广将给社会和经济带来极大的效益。但是电子商务的安全问题是困扰电子商务发展的一个大问题,但解决电子商务的安全问题只靠技术是不够的,必须将技术与管理相结合才能真正产生实效。 电子商务的英文翻译为electronic commerce，电子商务的安全与管理的英文翻译为e-commerce security and management ，其涉及的学科为经济学。 该课题涉及的主题词有：电子商务、安全、管理，根据课题情况，确定的核心词为：电子商务、安全与管理。确定的中文检索词为：电子商务、安全与管理；英文索词为：electronic commerce、E-commerce security and management、safety、management。 涉及的文献类型有：期刊论文、专利文献、学位论文、科技报告等等，检索年限为1999年至今。 二、选择检索工具 涉及该学科领域的检索工具中，我订购的有：维普中文科技期刊、万方学术会议论文全文数据库、中国优秀博硕士论文数据库、中国国家知识产权、外文期刊数据库、国外专利使用esp@cent等等。

针对该课题特点，中文检索系统中:我们选用维普中文科技期刊、万方学术会议论文全文数据库、CNKI中的中国优秀博硕士论文数据库、中国知识产权局的专利检索系统；外文检索系统中，我们选用：外文期刊数据库、国外专利使用esp@cent等等。 三、各数据库的检索情况 1、在《维普中文科技期刊》中，我们利用其快速检索，选择“任意字段”，限定检索年限为2000-2006年，检索式为：“电子商务*(安全*管理）”，检出4816篇文献，从中选出相关文献4篇，点击“下载题录”下载所选记录，点击文摘格式中的题名保存全文。 2、在《万方学术会议论文全文数据库》中，选择学科分类检索，输入检索式：“电子商务*(安全*管理）”，检出(全部论文)相关文献11565篇，选出其中4篇文献点击“下载题录”下载所选记录，点击文摘格式中的题名保存全文。 3、在《中国优秀博硕士论文数据库》中，选择高级检索，在第一个检索输入框中输入“电子商务”,第二个检索输入框中输入“安全”,第三个检索输入框中输入“管理”，均选择“中文文摘”字段，各检字段的逻辑关系为“逻辑与”，限定检索年代为：2000-2010年，检出相关文献70篇，在检索结果界面的二次检索中，输入“双面”，选择“全文”字段，点击“二次检索”检出文献4篇，点击“在线浏览”阅读全文。 4、外文期刊数据库检索系统中，采用检索式：“e-commerce*(security *management)”，限定检索年限为