电子商务安全(1)
电子商务的安全问题及安全防范措施
电子商务的安全问题及安全防范措施第一章电子商务的安全问题随着互联网技术的飞速发展,电子商务已经成为了现代商业中不可或缺的一部分。
然而,随着电子商务的普及,越来越多的人们开始担忧电子商务的安全问题。
电子商务中存在哪些安全问题呢?1.1 数据安全问题由于电商平台涉及大量用户信息,如个人资料、银行卡信息、交易信息等,因此数据的安全性是电商平台必须保障的重要因素。
但是,在实际操作中,数据安全问题依然存在。
一方面,黑客入侵可能会导致数据的泄露;另一方面,电商平台员工泄露用户隐私信息也是一个重大问题。
1.2 交易安全问题购物过程中出现的欺诈行为是电子商务交易中的另一个安全问题。
例如,网上购物时,一些不法分子可能会伪造商品信息、假装卖家诈骗消费者的钱财,导致不必要的交易纠纷。
此外,一些不规范的电商公司会将消费者的敏感信息出售给第三方,从而引发隐私泄露的问题。
第二章安全防范措施既然存在安全问题,那么如何才能有效保障电子商务的安全呢?本章主要从防范黑客攻击、保护数据隐私等方面探讨电子商务的安全防范措施。
2.1 防范黑客攻击防范黑客攻击是网站安全的重中之重。
为了保障网站的安全,可以采取以下措施:(1)针对攻击首先应该做好备份。
如果遇到了恶意攻击,网站可以尽快将备份数据恢复到正式网站中。
(2)采用高强度密码,以及加密技术防范登录信息的泄露,同时,还需要定期更改密码。
(3)及时更新软件和升级版本,保证远程桌面软件和操作系统在零时刻得到更新。
2.2 保护数据隐私保护用户数据隐私是电商公司必须履行的职责。
以下是几个保护数据隐私的建议:(1)建立严格的访问控制,对于不同权限的员工应该控制不同的访问权限。
(2)建立信息保密机制,对于需要保密的信息应该采取加密技术。
(3)做好防病毒工作,采用实时更新的防病毒软件,同时要定期对计算机进行杀毒。
2.3 其他防范措施此外,还可以通过以下方法增强电子商务的安全性:(1)通过推出优惠券和赠品等方式吸引消费者购买,从而增加用户忠诚度。
电子商务概论安全技术(1)
2020/11/27
电子商务概论安全技术(1)
一、加密技术
密码学
密码编码学 密码分析学
电子商务概论安全技术(1)
所谓加密就是通过密码算术对数据 进行转化,使之成为没有正确密钥任何 人都无法读懂的报文。
加密
加密算法
加密密钥
实现这种转化的算法标准,据不完 全统计,到现在为止已经有近200多种。
电子商务概论安全技术(1)
HASH
SKA
明文 摘要 密文
发送方A
HASH
PKA密文Fra bibliotek密文明文
接收方B
电子商务概论安全技术(1)
四、认证技术
认证中心 (CA)
商家 客户 物流中心 银行
电子商务概论安全技术(1)
证书发放
证书更新
认证中心职能
证书撤销
证书验证
电子商务概论安全技术(1)
五、数字时间戳
在电子商务交易文件中,时间是十分重要的 信息。在书面合同中,文件签署的日期和签名 一样均是十分重要的防止文件被伪造和篡改的 关键性内容。数字时间戳服务(DTSS:digital time stamp service)是网上电子商务安全服务 项目之一,能提供电子文件的日期和时间信息 的安全保护,由专门的机构提供。
1、RSA签名
SKA
明文
密文
发送方A
PKA
密文
明文
接收方B
电子商务概论安全技术(1)
RSA签名和非对称加密技术的结合
PKB、SKA
明文
密文
发送方A
SKB、PKA
密文
明文
接收方B
电子商务概论安全技术(1)
电子商务自主招生考试复习:电子商务安全试题(一)
电子商务安全试题一、填空题。
(每空两分,共二十分)1.电子商务安全协议主要有和两个协议。
2.电子商务系统的安全需求可分为的安全性、的安全性、的安全性和的安全性四个方面。
3.黑客攻击电子商务系统的手段有、、和。
4.是确保电子商务系统中数据的安全性、真实性和完整性的重要手段。
5.DES机密过程中,密钥长度是比特串,其中位是密钥。
6.传统密钥密码体制中,密码按加密方式不同可以分为和。
7.P2DR模型包含4个主要部分:、、和。
8.防火墙根据防范的方式和侧重点不同,可以分成三大类:、、和。
9.防火墙按构成方式的不同,可以分为:、和。
10.是公用网和金融专用网之间的接口。
11.电子支付系统可以分为三大类,分别是:、和。
12.身份证明系统由三方组成,分别是:、和。
13.电子商务CA体系包括两大部分,符合SET标准的认证体系和基于X.509的体系。
14.SET使用多种密钥技术,其中技术、技术和算法是其核心。
15.SSL协议由和两个协议构成。
二、选择题,四中选一作为正确答案。
(每题两分,共二十分)1.保证实现安全电子商务所面临的任务中不包括( )。
A.数据的完整性B.信息的保密性C.操作的正确性D.身份认证的真实性2. SET用户证书不包括( )。
A.持卡人证书B.商家证书C.支付网关D.企业证书3.按( )划分,可将加密体制划分为对称加密体制和不对称加密体制。
A. 加密与解密算法是否相同B. 加密与解密算法是否可逆C. 加密与解密密钥是否相同D. 加密与解密密钥的长度是否相同4.数字证书不包含以下哪部分信息()。
A. 用户公钥B. 用户身份信息C. CA签名D. 工商或公安部门签章5.电子商务安全协议SET主要用于()。
A. 信用卡安全支付B. 数据加密B. 交易认证 D. 电子支票支付6.PKI最核心的组成是()。
A. 认证中心B. 浏览器C. Web服务器D. 数据库7.电子商务安全需求一般不包括()。
A. 保密性B. 完整性C. 真实性D. 高效性8.黑客攻击电子商务系统的手段中,窃听这种手段攻击的是系统的()。
电子商务安全第1章 电子商务安全概述
用加密技术和数字摘要技术来实现。 ⑶身份和信息认证技术 安全认证技术是保证电子商务交易安全的一项重要技术。安
全认证主要包括身份认证和交易信息认证。前者用于鉴别用 户身份,保证交易双方身份的真实性,后者用于保证通信双 方的不可抵赖性和交易信息的完整性。 ⑷电子商务安全支付技术 在电子商务中如何才能进行安全的网上支付,是用户、商家 及金融机构(银行与发卡机构)最为关注的问题之一。
1.2 电子商务面临的安全问题
1.2.3电子商务企业内部安全管理问题
⑴网络安全管理制度问题 ⑵硬件资源的安全管理问题 ⑶软件和数据的维护与备份安全管理问题
1.2.4电子商务安全法律保障问题
主要涉及的法律主要有国际加密问题、网络链接问题、 网络隐私问题、域名侵权纠纷问题、电子商务的税收问 题,还有电子商务交易中提供参与方合法身份认证的CA 中心涉及的法律问题,电子合同签订涉及的法律问题, 交易后电子记录的证据力问题及网络知识产权涉及的法 律问题等。
电子商务系统是依赖网络实现的商务系统,需要利用 Internet基础设施和标准,所以构成电子商务安全框架的 底层是网络服务层,它提供信息传送的载体和用户接入 的手段,是各种电子商务应用系统的基础,为电子商务 系统提供了基本、灵活的网络服务。
1.4电子商务安全基础
1.4.3电子商务安全服务规范
1.网络层安全服务标准 2.传输层的安全服务
1.5电子商务安全管理
2.电子商务安全管理制度
⑴人员管理制度 ⑵保密制度 ⑶跟踪、审计、稽核制度 ⑷网络系统的日常维护制度
①硬件的日常管理和维护。 ②软件的日常管理和维护。 ③数据备份度。
1.5电子商务安全管理
⑸病毒防范制度
①给自己的计算机安装防病毒软件。 ②不打开陌生地址的电子邮件。 ③认真执行病毒定期清理制度。 ④控制权限。 ⑤高度警惕网络陷阱。
《电子商务安全》教案
《电子商务安全》教案一、教学目标1、让学生了解电子商务安全的重要性和面临的主要威胁。
2、使学生掌握电子商务安全的基本概念、技术和措施。
3、培养学生的电子商务安全意识和防范能力。
二、教学重难点1、重点(1)电子商务安全的主要威胁及防范措施。
(2)加密技术、数字签名、认证技术等的原理和应用。
2、难点(1)理解复杂的加密算法和数字签名的实现过程。
(2)如何将理论知识应用于实际的电子商务场景中,进行有效的安全防范。
三、教学方法1、讲授法:讲解电子商务安全的基本概念、原理和技术。
2、案例分析法:通过实际的电子商务安全案例,引导学生分析问题和解决问题。
3、小组讨论法:组织学生进行小组讨论,共同探讨电子商务安全的策略和应对方法。
四、教学过程(一)导入(约 10 分钟)通过提问引导学生思考电子商务中的安全问题,例如:“大家在进行网上购物时,有没有担心过个人信息泄露或者支付安全的问题?”然后讲述一些因电子商务安全漏洞导致的严重后果的案例,如用户信息被窃取、资金被盗刷等,引起学生对电子商务安全的重视。
(二)知识讲解(约 40 分钟)1、电子商务安全概述(1)介绍电子商务的概念和发展现状,强调其在现代商业中的重要地位。
(2)讲解电子商务安全的定义、目标和范围,让学生明白保障电子商务安全的重要意义。
2、电子商务安全面临的威胁(1)网络攻击:如黑客攻击、病毒和恶意软件的传播等。
(2)信息泄露:包括用户个人信息、交易信息等的泄露。
(3)交易欺诈:如虚假交易、支付欺诈等。
(4)系统漏洞:操作系统、应用软件等存在的安全漏洞。
3、电子商务安全技术(1)加密技术①对称加密算法和非对称加密算法的原理和特点。
②举例说明常见的加密算法,如 AES、RSA 等。
(2)数字签名①数字签名的作用和原理。
②如何通过数字签名保证信息的完整性和不可否认性。
(3)认证技术①身份认证的方法,如口令认证、数字证书认证等。
②介绍 CA 认证机构的作用和工作原理。
电子商务安全问题及技术防范措施
电⼦商务的安全是⼀个复杂系统⼯程,仅从技术⾓度防范是远远不够的,还必须完善电⼦商务⽅⾯的⽴法,以规范飞速发展的电⼦商务现实中存在的各类问题,从⽽引导和促进我国电⼦商务快速健康发展。
那么,下⾯是由店铺为⼤家分享电⼦商务安全问题及技术防范措施,欢迎⼤家阅读浏览。
电⼦商务安全问题及技术防范措施篇1 ⼀、电⼦商务存在的安全性问题 (⼀)电⼦商务安全的主要问题 1.⽹络协议安全性问题:由于TCP/IP本⾝的开放性,企业和⽤户在电⼦交易过程中的数据是以数据包的形式来传送的,恶意攻击者很容易对某个电⼦商务⽹站展开数据包拦截,甚⾄对数据包进⾏和假冒。
2.⽤户信息安全性问题:⽬前最主要的电⼦商务形式是/S(Browser/Server)结构的电⼦商务⽹站,⽤户使⽤浏览器登录⽹络进⾏交易,由于⽤户在登录时使⽤的可能是公共计算机,那么如果这些计算机中有恶意⽊马程序或病毒,这些⽤户的登录信息如⽤户名、⼝令可能会有丢失的危险。
3.电⼦商务⽹站的安全性问题:有些企业建⽴的电⼦商务⽹站本⾝在设计制作时就会有⼀些安全隐患,服务器操作系统本⾝也会有漏洞,不法攻击者如果进⼊电⼦商务⽹站,⼤量⽤户信息及交易信息将被窃取。
(⼆)电⼦商务安全问题的具体表现 1.信息窃取、篡改与破坏。
电⼦的交易信息在⽹络上传输的过程中,可能会被他⼈⾮法、删除或重放,从⽽使信息失去了真实性和完整性。
包括⽹络硬件和软件的问题⽽导致信息传递的丢失与谬误;以及⼀些恶意程序的破坏⽽导致电⼦商务信息遭到破坏。
2.⾝份假冒。
如果不进⾏⾝份识别,第三⽅就有可能假冒交易⼀⽅的⾝份,以破坏交易,败坏被假冒⼀⽅的声誉或盗窃被假冒⼀⽅的交易成果等。
3.诚信安全问题。
电⼦商务的在线⽀付形式有电⼦⽀票、电⼦钱包、电⼦现⾦、信⽤卡⽀付等。
但是采⽤这⼏种⽀付⽅式,都要求消费者先付款,然后商家再发货。
因此,诚信安全也是影响电⼦商务快速发展的⼀个重要问题。
4.交易抵赖。
电⼦商务的交易应该同传统的交易⼀样具有不可抵赖性。
电子商务安全第1次作业(1)
考生答题情况作业名称:电子商务安全第1次作业(1) 出卷人:SA作业总分:100 通过分数:60标准题总分:100 标准题得分:100详细信息:题号:1 题型:单选题(请在以下几个选项中选择唯一正确答案)本题分数:6.67内容:电子商务应用的支柱不包括()。
A、公共政策B、技术手段C、网络安全D、法律规范学员答案:B本题得分:6.67题号:2 题型:单选题(请在以下几个选项中选择唯一正确答案)本题分数:6.67内容:在一个IE浏览器中,以下哪一个标识表明该页面支持SSL协议()。
A、浏览器地址栏的协议是HTTPB、浏览器地址栏的协议是HTTPSC、浏览器地址栏的协议是SSLD、浏览器地址栏的协议是SET学员答案:B本题得分:6.67题号:3 题型:单选题(请在以下几个选项中选择唯一正确答案)本题分数:6.67内容:网络安全在多网合一时代的脆弱性体现在 ( )。
A、管理的脆弱性B、应用的脆弱性C、软件的脆弱性D、网络的脆弱性学员答案:D本题得分:6.67题号:4 题型:单选题(请在以下几个选项中选择唯一正确答案)本题分数:6.67内容:按照在加密过程中是否注入了客观随机因素,可分为确定型密码体制和()。
A、单钥密码体制B、概率密码体制C、分组密码体制D、序列密码体制学员答案:B本题得分:6.67题号:5 题型:单选题(请在以下几个选项中选择唯一正确答案)本题分数:6.67内容:在DES加密算法中,每一个数据加密分组的长度是( )。
A、64位B、32位C、48位D、56位学员答案:A本题得分:6.67题号:6 题型:单选题(请在以下几个选项中选择唯一正确答案)本题分数:6.67内容:证书使用者使用证书中公钥加密消息,传送给证书持有者,证书持有者收到加密后的消息,用相应的私钥解密,这属于()。
A、数据的完整性B、身份鉴别C、数据保密性D、不可否认性学员答案:C本题得分:6.67题号:7 题型:单选题(请在以下几个选项中选择唯一正确答案)本题分数:6.67内容:在开始配置防火墙之前,必须将什么配置到位()。
电子商务的安全问题与解决办法
电子商务的安全问题与解决办法随着互联网技术的飞速发展,电子商务作为其中一个热点领域也逐渐兴起。
消费者可以不出门,仅通过电子平台购买所需商品,大大方便了我们的生活。
但是电子商务也随之带来了一些安全问题,如何解决这些问题,成为了电子商务发展的关键。
本文将针对电子商务安全问题进行探讨,并提供相应的解决办法。
一、支付安全问题支付安全问题是电子商务的重大难题。
在电子支付过程中,消费者的个人信息和账户信息都需要输入,如果未加密或数据不安全的话,就很容易被恶意攻击者盗取。
因此,支付安全是保障电子商务运作的基础。
解决办法:(1)网站和应用程序的安全性需要尽可能提高。
特别是前端页面,需要保证代码安全,防止遭受SQL注入攻击。
此外,应该在网站和应用程序上启用SSL证书,以确保用户数据通信的安全性。
(2)支付过程必须采取多种验证方式,比如短信验证、邮箱验证等。
这样可以提高支付安全系数,防止支付诈骗等行为发生。
(3)借助第三方支付工具。
第三方支付工具在支付安全方面具有出色的表现,如支付宝、微信支付等。
这些第三方支付工具系统安全,采用多种安全措施保障支付安全。
二、数据安全问题随着电子商务的发展,数据处理量也随之大幅增加。
而众所周知,数据泄露是一种非常严重的隐私泄露问题。
如果消费者个人信息泄露,如姓名、联系方式等,这将是非常危险的。
解决办法:(1)数据处理过程安全。
数据处理需要设计到数据库加密技术,对于关键数据要进行严格的加密,防止敏感信息泄露。
(2)网站安全。
电子商务网站需要定期检查安全漏洞并及时修复,确保网站数据安全,防止黑客入侵。
(3)用户信息的安全。
在采集用户个人信息时,需要告知用户本站保障他们信息安全,并尽可能保持网站的安全性。
此外,建议消费者加强个人信息保护,不轻易泄露个人信息。
三、网上交易安全问题随着服务提供商的迅速增加,诈骗行为也层出不穷。
因为有人模仿正规商家进行诈骗,吃掉了消费者的欲望,让消费者的无助感加剧了。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子商务安全随着因特网的迅猛发展,电子商务已经逐渐成为人们实行商务活动的一个崭新模式。
我们能够把电子商务定义为整个事务活动和贸易活动的电子化。
它将信息网络、金融网络和物流网络结合起来,把事务活动和贸易活动中发生关系的各方有机地联系起来,极大地方便了各种网络上的事务活动和贸易活动。
电子商务有比传统商务方式更巨大的方便性和灵活性。
不过,网络面临的安全问题也随之而来,例如内部窃密和破坏、截收、非法访问、破坏信息的完整性、破坏系统的可用性等等诸多问题。
任何在互联网上展开业务的机构都必须采取积极的步骤,确保系统有充足的安全措施,以防止机密信息泄露和非法侵入所造成的损失。
但互联网本身就是基于开放思想设计并逐步发展起来的。
要想在互联网上实现绝对安全是困难的。
互联网上实现电子商务面临的风险主要来自机密关键数据安全及电子交易安全。
一、电子商务安全的具体技术表现(一)数据的私有性和安全性如果不采用特别的保护措施,包括电子邮件等在internet中开放传输的数据都可能被第三者监视和阅读。
考虑到巨大的传输量和难以计数的传输途径,想任意窃听一组数据传输是不可能,但是一些设置在web服务器的黑客程序却能够查找和收集特定类型的数据,这些数据包括信用卡、存款的账号和相对应的口令。
同时,因为internet的开放性设计,数据私有性和安全性还包括数据传输之外的问题,例如:连入internet的数据存储网络驱动器的安全性。
所以,任何存储在web 服务器上的数据必须采取保护措施。
(二)数据的完整性对完整性的安全威胁也叫主动搭线窃取。
当未经授权方改变了信息流时就构成了对完整性的安全威胁。
未保护的银行交易很易受到对完整性的攻击。
当然,破坏了完整性也就意味着破坏了保密性,因为能改变信息的窃取者肯定能阅读此信息。
完整性和保密性间的差别在于:对保密性的安全威胁是指某人看到了他不应看到的信息。
而对完整性的安全威胁是指某人改动了关键的传输。
破坏他人网站就是破坏完整性的例子。
破坏他人网站是指以电子方式破坏某个网站的网页。
破坏他人网站的行为相当于破坏他人财产或在公共场所涂鸦。
当某人用自己的网页替换某个网站的正常内容时,就说发生了破坏他人网站的行为。
因为internct的开放体系,如果具备了特定的知识和工具,则完全能够更改传输中的数据。
同时,要采取适当的存取访问控制,以保证数据存取系统的安全。
在电子商务中务必保存数据最初的格式和内容。
(三)认证在猖獗的网络欺诈或者反悔中,网络交易者隐身在电脑屏幕背后,身份难以识别的问题是其重要渊源。
建立有效的网上交易身份认证机制,提升交易双方的信用度是有效控制网络欺诈的重要途径,对于电子商务的健康发展有着重要作用。
交易方的信用问题已经成为制约电子商务发展的重要瓶颈之一。
在现实社会中,即便有着诸多因素的制约,仍然普遍地存有着信用缺乏的现象,建立完善的信用机制已经成为社会各界的共识。
在电子商务的具体实现中,首先要确认当前的通讯、交易和存取要求是合法的。
例如,internet中的计算机系统的身份是其由IP地址确认的。
黑客通过IP欺骗,使用虚假的IP地址,从而达到隐瞒自己身份盗用他人身份的目的。
在日常电子邮件的使用中能够很容易地发匿名邮件,或者使用不真实的邮件用户名。
所以,在电子商务中必须建立严格的身份认证机制,以确保参加交易各方的身份真实有效。
(四)不可否认性不可否认主要包含数据的原始记录和发送记录,确认数据已经完成发送和接收,防止接收用户更改原始记录,防止用户在已经收到数据以后否认收到数据,并拖延自己的下一步工作。
为了保证交易过程的可操作性,必须采取可靠的方法确保交易过程的真实性,保证参加电子交易的各方承认交易过程的合法性。
简言之,在internet上实现电子商务面临的任务:(1)私有性,即保证只有发送者和接收者能够接触到信息;(2)完整性,即信息在传输过程中未经任何改动;(3)身份认证,即接收方能够确信信息来自发信者,而不是第三者冒名发送,发送方能够确信接收方的身份是真实的,而不至于发往与交易无关的第三方;(4)不可否认性,在交易数据发送完成以后,双方都不能否认自己以前发出或接收过信息。
电子商务面临的上述问题主要是由对系统的非法入侵造成的。
首先是网络黑客,他们通过发现web服务器、操作系统或者主页部件在配置方面的漏洞,攻击网络系统。
其次是内部入侵,这主要是由企业IT部门的员工造成的,保护网络的物理安全(如主控机房)及严格的口令管理制度,是防范该类问题的关键。
还有恶意代码(如计算机病毒),它们在企业的传播会给电子商务系统造成严重的损失。
另外,值得注重的是计算机系统本身的问题,例如,因为电源造成的系统宕机,以及广域网络的通讯,这些都会直接造成服务的突然中止,影响电子商务的形象。
我们还应注重系统管理方面的问题,有时电子商务出现的问题既非黑客也非系统本身的毛病,而是源于对敏感数据处理不善或者是安全系统(如防火墙)的不准确配置。
用户的身份认证是计算机系统安全的基础工作,数字签名加密等技术在这里能够充分起到作用。
二、电子商务安全系统关键技术(一)ssLVPN技术SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。
它处于应用层。
SSL用公钥加密通过SSL连接传输的数据来工作。
SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP协议之间实行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。
SSL协议包括握手协议、记录协议以及警告协议三部分。
握手协议负责确定用于客户机和服务器之间的会话加密参数。
记录协议用于交换应用数据。
警告协议用于在发生错误时终止两个主机之间的会话。
VPN(虚拟专用网)则主要应用于虚拟连接网络,它能够确保数据的机密性并且具有一定的访问控制功能。
VPN是一项非常实用的技术,它能够扩展企业的内部网络,允许企业的员工、客户以及合作伙伴利用Internet访问企业网,而成本远远低于传统的专线接人。
过去,VPN 总是和IPSec联系在一起,因为它是VPN加密信息实际用到的协议。
IPSec运行于网络层,IPSeeVPN则多用于连接两个网络或点到点之间的连接。
所谓的SSLVPN,其实是YPN设备厂商为了与IPsecVPN区别所创造出来的名词,指的是使用者利用浏览器内建的SecureSocketLayer 封包处理功能,用浏览器连回公司内部SSLVPN服务器,然后透过网络封包转向的方式,让使用者能够在远程计算机执行应用程序,读取公司内部服务器数据。
它采用标准的安全套接层(ssL)对传输中的数据包实行加密,从而在应用层保护了数据的安全性。
高质量的SSLVPN解决方案可保证企业实行安全的全局访问。
在持续扩展的互联网Web站点之间、远程办公室、传统交易大厅和客户端间,SSLVPN克服了IPSecVPN的不足,用户能够轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。
而同样在这些地方,设置传统的IPSecVPN非常困难,甚至是不可能的,这是因为必须更改网络地址转换(NAT)和防火墙设置。
(二)加密技术数据加密技术作为一项基本技术,是电子商务的基石,是电子商务最基本的信息安全防范措施。
其实质是对信息实行重新编码,从而达到隐藏信息内容,使非法用户无法获取真实信息的一种技术手段,确保数据的保密性。
基于加/解密所使用的密钥是否相同,可分为对称加密和非对称加密两类。
(1)对称加密。
对称加密的加密密钥和解密密钥相同,即在发送方和接收方实行安全通信之前,商定一个密钥,用这个密钥对传输数据实行加密、解密。
对称加密的突出特点是加解密速度快,效率高,适合对大量数据加密。
缺点是密钥的传输与交换面临安全问题,且若和大量用户通信时,难以安全管理大量密钥。
当前,常用的对称加密算法有DES、3DES、IDEA、Blowfish等。
其中,DES(DataEncryptionStandard)算法由IBM公司设计,是迄今为止应用最广泛的一种算法,也是一种最具代表性的分组加密体制。
DES是一种对二元数据实行加密的算法,数据分组长度为64bit,密文分组长度也是64bit,没有数据扩展,密钥长度为64bit,其中有8bit奇偶校验,有效密钥长度为56bit。
加密过程包括16轮的加密迭代,每轮都采用一种乘积密码方式(代替和移位)。
DES整个体制是公开的,系统的安全性全靠密钥的保密。
DES算法的入口参数有3个:Key、Data、Mode。
其中,Key为8个字节共64位,是DES算法的工作密钥。
Data也是8个字节64位,是需被加密或解密的数据。
Mode为DES的工作方式,分为加密或解密两种。
DES算法的步骤为:如Mode为加密,则用Key去对数据实行加密,生成Data的密码形式(64位)作为DES输出结果。
如Mode为解密,则用Key去把密码形式的数据Data解密,还原为Data的明码形式(64位)作为DES的输出结果。
DES是一种世界公认的较好的加密算法,具有较高的安全性,到当前为止除了用穷举搜索法对DES 算法实行攻击外,尚未发现更有效的方法。
(2)非对称加密。
非对称加密的最大特点是采用两个密钥将加密和解密水平分开。
一个公开作为加密密钥;一个为用户专用,作为解密密钥,通信双方无需事先交换密钥就可实行保密通信。
而要从公开的公钥或密文分析出明文或密钥,在计算上是不可行的。
若以公开钥作为加密密钥,以用户专用钥作为解密密钥,则可实现多个用户加密的信息只能由一个用户解读。
反之,以用户专用钥作为加密密钥而以公开钥作为解密密钥,则可实现由一个用户加密的消息而使多个用户解读,前者可用于保密通信,后者可用于数字签字。
非对称加密体制的出现是密码学史上划时代的事件,为解决计算机信息网中的安全提供了新的理论技术基础。
其优点是很好地解决了对称加密中密钥数量过多难以管理的不足,且保密性能优于对称加密算法;缺点是算法复杂,加密速度不是很理想。
当前,RSA算法是最著名且应用最广泛的公钥算法,其安全性基于模运算的整数因子分解的困难性。
算法内容简要描述如下:①独立选择两大素数p和q,计算n=p×q;其欧拉函数值z=(p-1)×(q-1)。
②随机选一整数e,1≤e因为RSA 涉及大数计算,无论是硬件或软件实现的效率都比较低,不适用对长的明文加密,常用来对密钥加密,即与对称密码体制结合使用。
(三)网上交易身份认证机制网上交易身份认证对于建立电子商务业界的信用机制起着重要作用,所以如何确认网上交易者的身份便成为诸多电子商务网站迫切希望解决的问题。
(1)在当前网络法律制度还不健全的时代,自律机制非常重要,网络交易的有效性和真实性在一定水准上能够反映这个国家的信用机制的完善水准。