如何实现安全的电子商务交易,如何实现电子商务的安全
来源:整理 编辑:问船数据网 2023-03-02 15:05:36
1,如何实现电子商务的安全
在电子商务中交易中的安全性是通过如下途径实现的:
使用数字签名和数字证书实现对各方的认证;
使用加密算法对信息进行加密;
使用信息摘要以保证信息传输的完整性;
使用交易的不可抵赖性;
使用双联签字等技术处理多方贸易业务的多边支付问题。
2,如何保证电子商务中的安全问题
1、保护网络安全。制定网络安全的管理措施,使用防火墙,尽可能记录网络上的一切活动,注意对网络设备的物理保护,检验网络平台系统的脆弱性,建立可靠的识别和鉴别机制。2、保护应用安全。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。3、保护系统安全。在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。技术与管理相结合,使系统具有最小穿透风险性。4、加密技术加密技术为电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。扩展资料电子商务的所有活动都需要安全体系的有力支持,缺乏严格的制度对硬件、软件、数据库、密码和用户权限进行科学管理,因而发生安全意外或为某些内部人员造成可乘之机。电子商务网络系统的安全威胁主要为以下几个方面:即软件系统存在潜在安全隐患、安全产品使用不当、缺少严格的网络安全管理制度。保证交易数据的安全性是电子商务的关键问题。由于网络本身所具有的开放性特点,电子商务面临着各种各样的威胁,这对电子商务的安全性提出了更高的要求。
3,如何实施安全电子商务
电子商务这方面的东西多的,一下子也说不完,我只能大概的说一下,如果对我的回答不满意,我给你一个网站,里面有详细介绍电子商务安全、流程、施行方案等等,在最下面的参考资料里。一、电子商务的分类nbsp;nbsp;nbsp;电子商务按电子商务交易涉及的对象、电子商务交易所涉及的商品内容和进行电子业务的nbsp;企业所使用的网络类型等对电子商务进行不同的分类。nbsp;nbsp;(一)按参与交易的对象分类nbsp;按参与电子商务交易涉及的对象分类,电子商务可以分为以下三种类型:nbsp;nbsp;1.企业与消费者之间的电子商务(Businessnbsp;tonbsp;Customer即Bnbsp;TOnbsp;C)。这是消费者利用因特网nbsp;直接参与经济活动的形式,类同于商业电子化的零售商务。随着万维网(WWW)的出现,网上销nbsp;售迅速地发展起来。目前,在因特网上有许许多多各种类型的虚拟商店和虚拟企业,提供各种与nbsp;商品销售有关的服务。通过网上商店买卖的商品可以是实体化的,如书籍、鲜花、服装、食品、nbsp;汽车、电视等等;也可以是数字化的,如新闻、音乐、电影、数据库、软件及各类基于知识的商nbsp;品;还有提供的各类服务,有安排旅游、在线医疗诊断和远程教育等。nbsp;nbsp;2.企业与企业之间的电子商务(Businessnbsp;tonbsp;Businessnbsp;即Bnbsp;TOnbsp;B)。Bnbsp;TOnbsp;B方式是电子商务应nbsp;用最重和最受企业重视的形式,企业可以使用Internet或其他网络对每笔交易寻找最佳合作伙伴,nbsp;完成从定购到结算的全部交易行为,包括向供应商订货、签约、接受发票和使用电子资金转移、nbsp;信用证、银行托收等方式进行付款,以及在商贸过程中发生的其他问题如索赔、商品发送管理和nbsp;运输跟踪等。企业对企业的电子商务经营额大,所需的各种硬软件环境较复杂,但在EDI商务成功nbsp;的基础上发展得最快。nbsp;nbsp;nbsp;3.企业与政府方面的电子商务(Businessnbsp;tonbsp;Governmentnbsp;Bnbsp;TOnbsp;G)。这种商务活动覆盖企业与nbsp;政府组织间的各项事务。例如企业与政府之间进行的各种手续的报批,政府通过因特网发布采购nbsp;清单、企业以电子化方式响应:政府在网上以电子交换方式来完成对企业和电子交易的征税等,nbsp;这成为政府机关政务公开的手段和方法。nbsp;nbsp;nbsp;(二)按交易涉及的商品内容分类nbsp;如果按照电子商务交易所涉及的商品内容分类,电子商务主要包括两类商业活动。nbsp;nbsp;nbsp;1.间接电子商务nbsp;电子商务涉及商品是有形货物的电子订货,如鲜花、书籍、食品、汽车等,交易的商品需要nbsp;通过传统的渠道如邮政业的服务和商业快递服务来完成送货,因此,间接电子商务要依靠送nbsp;货的运输系统等外部要素。nbsp;nbsp;nbsp;2.直接电子商务nbsp;电子商务涉及商品是无形的货物和服务,如计算机软件、娱乐内容的联机订购、付款和交付,nbsp;或者是全球规模的信息服务。直接电子商务能使双方越过地理界线直接进行交易,充分挖掘nbsp;全球市场的潜力。目前我国大部分的农业网站都属于这一类,但这还是真正意义上的直接电子nbsp;商务。nbsp;nbsp;nbsp;(三)按电子商务使用的网络类型分类nbsp;根据开展电子商务业务的企业所使用的网络类型框架的不同,电子商务可以分为如下三种形式:nbsp;nbsp;1.EDI网络电子商务(Electronicnbsp;Datanbsp;Interchange,电子数据交换)。EDI是按照一个公认nbsp;的标准和协议,将商务活动中涉及的文件标准化和格化式,通过计算机网络,在贸易伙伴的计nbsp;算机网络系统之间进行数据交换和自动处理。EDI主要应用于企业与企业、企业与批发商、批发nbsp;商与零售商之间的批发业务。EDI电子商务在90年代已得到较大的发展,技术上也较为成熟,但nbsp;是因为开展EDI对企业有较高的管理、资金和技术的要求,因此至今尚不太普及。nbsp;nbsp;nbsp;2.因特网电子商务(Internet网络)。是指利用连通全球的Internet网络开展的电子商务nbsp;活动,在因特网上可以进行各种形式的电子商务业务,所涉及的领域广泛,全世界各个企业nbsp;和个人都可以参与,正以飞快的速度在发展,其前景十分诱人,是目前电子商务的主要形式。nbsp;nbsp;nbsp;3.内联网络电子商务(Intranet网络)。是指在一个大型企业的内部或一个行业内开展的电nbsp;子商务活动,形成一个商务活动链,可以大大提高工作效率和降低业务的成本。nbsp;例如中华人民共和国专利局的主页,客户在该网站上可以查询到有关中国专利的所有信息和nbsp;业务流程,这是电子商务在政府机关办公事务中的应用;已经开通的上海网上南京路一条街
4,电子交易中如何保证电子商务的安全性
电子商务面临的威胁的出现导致了对电子商务安全的需求,也是真正实现一个安全电子商务系统所要求做到的各个方面,主要包括机密性、完整性、认证性和不可抵赖性。 1. 机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的(尤其Internet 是更为开放的网络),维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术来对传输的信息进行加密处理来实现。 2. 完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息消息摘要的方式来获得。 3. 认证性。由于网络电子商务交易系统的特殊性,企业或个人的交易通常都是在虚拟的网络环境中进行,所以对个人或企业实体进行身份性确认成了电子商务中得很重要的一环。对人或实体的身份进行鉴别,为身份的真实性提供保证,即交易双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定的身份时,鉴别服务将提供一种方法来验证其声明的正确性,一般都通过证书机构CA和证书来实现。 4. 不可抵赖性。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方这一问题则是保证电子商务顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的"白纸黑字"。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。不可抵赖性可通过对发送的消息进行数字签名来获取。 5. 有效性。电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。 电子商务安全中的主要技术 电子商务安全是信息安全的上层应用,它包括的技术范围比较广,主要分为网络安全技术和密码技术两大类,其中密码技术可分为加密、数字签名和认证技术等。 1. 网络安全技术 网络安全是电子商务安全的基础,一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全所涉及到的方面比较,如操作系统安全、防火墙技术、虚拟专用网VPN技术和各种反黑客技术和漏洞检测技术等。其中最重要的就是防火墙技术。 防火墙是建立在通信技术和信息安全技术之上,它用于在网络之间建立一个安全屏障,根据指定的策略对网络数据进行过滤、分析和审计,并对各种攻击提供有效的防范。主要用于Internet接入和专用网与公用网之间的安全连接。 目前国内使用的需到防火墙产品都是国外一些大厂商提供的,国内在防火墙技术方面的研究和产品开发方面相对比较簿弱,起步也晚。由于国外对加密技术的限制和保护,国内无法得到急需的安全而实用的网络安全系统和数据加密软件。因此即使国外优秀的防火墙产品也不能完全在国内市场上使用,同时由于政治、军事、经济上的原因,我国也应研制开发并采用自己的防火墙系统和数据加密软件,以满足用户和市场的巨大需要,也对我国的信息安全基础设施建设有巨大的作用。 VPN 也使一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其各地的分支机构就可以互相之间安全传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。 2. 加密技术 加密技术是保证电子商务安全的重要手段,许多密码算法现已成为网络安全和商务信息安全的基础。密码算法利用密秘密钥(secret keys)来对敏感信息进行加密,然后把加密好的数据和密钥(要通过安全方式)发送给接收者,接收者可利用同样的算法和传递来的密钥对数据进行解密,从而获取敏感信息并保证了网络数据的机密性。利用另外一种称为数字签名(digital signature)的密码技术可同时保证网络数据的完整性和真实性。利用密码技术可以达到对电子商务安全的需求,保证商务交易的机密性、完整性、真实性和不可否认性等。 密码技术虽然在第二次世界大战期间才开始流行,在当前才广泛应用于网络安全和电子商务安全之中,但其起源可追溯到几千年前,其思想目前还在使用,只是在处理过程中增加了数学上的复杂性。 加密技术包括私钥加密和公钥加密。私钥加密,又称对称密钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据,目前常用的私钥加密算法包括DES和 IDEA等。对称加密技术的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。对称加密技术要求通信双方事先交换密钥,当系统用户多时,例如,在网上购物的环境中,商户需要与成千上万的购物者进行交易,若采用简单的对陈密钥加密技术,商户需要管理成千上万的密钥与不同的对象通信,除了存储开销以外,密钥管理是一个几乎不可能解决的问题;另外,双方如何交换密钥?通过传统手段?通过因特网?无论何者都会遇到密钥传送的安全性问题。另外,环境中,密钥通常会经常更换,更为极端的是,每次传送都使用不同的密钥,对称技术的密钥管理和发布都是远远无法满足使用要求的。 公钥密钥加密,又称不对称密钥加密系统,它需要使用一对密钥来分别完整家密和解密操作,一个公开发布,称为公开密钥(Public-Key);另一个由用户自己秘密保存,称为私有密钥(Private-Key)。信息发送者人用公开密钥去加密,而信息接收者则用私有密钥去解密。通过数学的手段保证加密过程是一个不可逆过程,即用公钥加密的信息只能是用与该公钥配对的私有密钥才能解密。常用的算法是RSA、ElGamal等。公钥机制灵活,但加密和解密速度却比对称密钥加密慢的多 为了充分利用公钥密码和对称密码算法的优点,克服其缺点,解决每次传送更换密钥的问题,提出混合密码系统,即所谓的电子信封(envelope)技术。发送者自动生成对称密钥,用对称密钥加密钥发送的信息,将生成的密文连同用接收方的公钥加密后的对称密钥一起传送出去。收信者用其秘密密钥解密被加密的密钥来得到对称密钥,并用它来解密密文。这样保证每次传送都可由发送方选定不同密钥进行,更好的保证了数据通信的安全性。 使用混合密码系统可同时提供机密性保障和存取控制。利用对称加密算法加密大量输入数据可提供机密性保障,然后利用公钥加密对称密钥。如果想使多个接收者都能使用该信息,可以对每一个接收者利用其公钥加密一份对称密钥即可,从而提供存取控制功能。 3. 数字签名 数字签名中很常用的就是散列(HASH)函数,也称消息摘要(Message Digest)、哈希函数或杂凑函数等,其输入为一可变长输入,返回一固定长度串,该串被称为输入的散列值(消息摘要) 日常生活中,通常通过对某一文档进行签名来保证文档的真实有效性,可以对签字方进行约束,防止其抵赖行为,并把文档与签名同时发送以作为日后查证的依据。在网络环境中,可以用电子数字签名作为模拟,从而为电子商务提供不可否认服务。 把 HASH函数和公钥算法结合起来,可以在提供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的HASH,而不是由其他人假冒。而把这两种机制结合起来就可以产生所谓的数字签名(Digital Signature)。 将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要(Mes-sage Digest)值。在数学上保证:只要改动报文的任何一位,重新计算出的报文摘要就会与原先值不符。这样就保证了报文的不可更改。然后把该报文的摘要值用发送者的私人密钥加密,然后将该密文同原报文一起发送给接收者,所产生的报文即称数字签名。 接收方收到数字签名后,用同样的HASH算法对报文计算摘要值,然后与用发送者的公开密钥进行解密解开的报文摘要值相比较。如相等则说明报文确实来自发送者,因为只有用发送者的签名私钥加密的信息才能用发送者的公钥解开,从而保证了数据的真实性。 数字签名相对于手写签名在安全性方面具有如下好处:数字签名不仅与签名者的私有密钥有关,而且与报文的内容有关,因此不能将签名者对一份报文的签名复制到另一份报文上,同时也能防止篡改报文的内容。 4. 认证机构和数字证书 对数字签名和公开密钥加密技术来说,都会面临公开密钥的分发问题,即如果把一个用户的公钥以一种安全可靠的方式发送给需要的另一方。这就要求管理这些公钥的系统必须是值得信赖的。在这样的系统中,如果Alice想要给Bob发送一些加密数据,Alice需要知道Bob的公开密钥;如果Bob想要检验 Alice发来的文档的数字签名,Bob需要知道Alice的公开密钥。 电子商务中的安全措施包括有下述几类: (1)保证交易双方身份的真实性:常用的处理技术是身份认证,依赖某个可信赖的机构(CA认证中心)发放证书,并以此识别对方。目的是保证身份的精确性,分辨参与者身份的真伪,防止伪装攻击。 (2)保证信息的保密性:保护信息不被泄露或被披露给未经授权的人或组织,常用的处理技术是数据加密和解密,其安全性依赖于使用的算法和密钥长度。常见的加密方法有对称式密钥加密技术(如DES算法)和公开密钥加密技术(如RSA算法)。 (3)保证信息的完整性:常用数据杂凑等技术来实现。通过散列算法来保护数据不被未授权者(非法用户)建立、嵌入、删除、篡改、重放。典型的散列算法为美国国家安全局开发的单向散列算法之一。 (4)保证信息的真实性:常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈,如发送用户对他所发送信息的否认、接收用户对他已收到信息的否认等,而不是对付未知的攻击者,其基础是公开密钥加密技术。目前,可用的数字签名算法较多,如RSA数字签名、ELGamal数字签名等。 (5)保证信息的不可否认性:通常要求引入认证中心(CA)进行管理,由CA发放密钥,传输的单证及其签名的备份发至CA保存,作为可能争议的仲裁依据。 (6)保证存储信息的安全性:规范内部管理,使用访问控制权限和日志,以及敏感信息的加密存储等。当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术保护内部网络的安全性。
文章TAG:
如何实现安全的电子商务交易如何 实现 安全