您的位置:360文档中心› 电子商务安全策略(一)

电子商务安全策略(一)

合集下载

电子商务安全问题的预防与应对策略

电子商务安全问题的预防与应对策略

电子商务安全问题的预防与应对策略随着互联网的普及和发展,电子商务在全球范围内蓬勃发展,越来越多的企业选择在网上开展业务。

然而,电子商务的快速发展也带来了各种安全问题,包括网络攻击、数据泄露和消费者隐私保护等。

为了保护电子商务的安全,各方需要采取预防和应对策略。

本文将论述电子商务安全问题的预防与应对策略,旨在提供对相关问题的深入了解和指导。

一、预防策略1.建立安全意识:企业和消费者应建立安全意识,了解电子商务安全威胁,并培养良好的网络安全习惯。

企业可以组织员工进行网络安全培训,提高员工的安全意识;消费者则需要学习如何保护自己的个人信息,避免受到网络诈骗的损害。

2.使用可靠的电子商务平台:企业在选择电子商务平台时应选择可靠的平台,确保平台具有安全的交易和支付系统。

平台应提供数据加密、身份验证和支付安全等功能,以保障业务的安全性和可靠性。

3.加强网络安全防护:企业应加强网络安全防护措施,包括防火墙、入侵检测系统和安全认证等。

同时,及时更新和升级软件、操作系统和防病毒软件,以提高系统的安全性。

4.加强数据保护:企业需要建立健全的数据保护机制,包括备份数据、加密文件和限制数据访问权限等。

此外,还应制定应急预案,以应对数据泄露或丢失等突发事件。

二、应对策略1.及时发现和阻止网络攻击:企业应监控网络活动,及时发现并阻止网络攻击。

当发生网络攻击时,应迅速采取应对措施,尽量减少损失并修复系统漏洞。

2.建立投诉和纠纷解决机制:企业应建立完善的投诉和纠纷解决机制,及时处理消费者的投诉和纠纷。

通过及时回应和解决问题,可以维护消费者的信任和声誉。

3.加强合规和监管:政府部门应加强对电子商务的合规和监管,建立相关法律法规和标准,在电子商务领域明确规定安全要求和责任。

同时,加强与企业和消费者的沟通和协作,共同推动电子商务的健康发展。

综上所述,电子商务安全是一个复杂而重要的问题,需要各方共同努力来预防和应对。

企业应加强安全意识培养、选择可靠的电子商务平台,加强网络安全防护和数据保护。

电子商务平台安全保障与风险控制策略

电子商务平台安全保障与风险控制策略

电子商务平台安全保障与风险控制策略第一章电子商务平台安全保障概述 (2)1.1 电子商务平台安全重要性 (3)1.2 电子商务平台安全发展趋势 (3)第二章电子商务平台技术安全策略 (4)2.1 数据加密技术 (4)2.1.1 加密技术概述 (4)2.1.2 对称加密技术 (4)2.1.3 非对称加密技术 (4)2.1.4 混合加密技术 (4)2.2 身份认证与授权 (4)2.2.1 身份认证技术 (4)2.2.2 密码认证 (4)2.2.3 数字证书认证 (5)2.2.4 生物识别认证 (5)2.2.5 授权策略 (5)2.3 网络安全防护 (5)2.3.1 防火墙技术 (5)2.3.2 入侵检测与防护系统 (5)2.3.3 安全漏洞修复 (5)2.3.4 数据备份与恢复 (5)2.3.5 安全审计 (5)第三章电子商务平台交易安全策略 (6)3.1 支付系统安全 (6)3.2 订单处理安全 (6)3.3 交易数据完整性 (7)第四章电子商务平台信息安全策略 (7)4.1 信息隐私保护 (7)4.2 信息安全审计 (8)4.3 信息防篡改与备份 (8)第五章电子商务平台法律法规保障 (9)5.1 法律法规概述 (9)5.2 法律责任与纠纷处理 (9)5.2.1 法律责任 (9)5.2.2 纠纷处理 (9)5.3 消费者权益保护 (9)5.3.1 消费者权益保护原则 (9)5.3.2 消费者权益保护措施 (10)第六章电子商务平台风险管理 (10)6.1 风险识别与评估 (10)6.1.1 风险识别 (10)6.1.2 风险评估 (10)6.2 风险防范与控制 (11)6.2.1 技术风险防范与控制 (11)6.2.2 法律法规风险防范与控制 (11)6.2.3 市场风险防范与控制 (11)6.2.4 信用风险防范与控制 (11)6.2.5 操作风险防范与控制 (11)6.3 风险监测与预警 (11)6.3.1 建立风险监测体系 (11)6.3.2 风险预警机制 (12)第七章电子商务平台用户教育与培训 (12)7.1 用户安全意识培养 (12)7.2 用户操作培训 (12)7.3 用户隐私保护教育 (13)第八章电子商务平台安全事件应急响应 (13)8.1 应急预案制定 (13)8.1.1 制定背景与目的 (13)8.1.2 应急预案内容 (13)8.2 应急响应流程 (14)8.2.1 启动阶段 (14)8.2.2 处置阶段 (14)8.2.3 恢复阶段 (14)8.2.4 总结阶段 (14)8.3 应急资源保障 (14)第九章电子商务平台安全监管与评估 (15)9.1 安全监管体系 (15)9.1.1 监管背景与意义 (15)9.1.2 监管体系构成 (15)9.1.3 监管措施与手段 (15)9.2 安全评估指标与方法 (15)9.2.1 安全评估指标 (16)9.2.2 安全评估方法 (16)9.3 安全评估结果应用 (16)9.3.1 评估结果公示 (16)9.3.2 改进措施制定 (16)9.3.3 激励与惩罚机制 (16)9.3.4 安全监管与评估体系完善 (16)第十章电子商务平台安全保障未来发展趋势 (16)10.1 技术创新与应用 (16)10.2 国际合作与交流 (17)10.3 安全产业发展趋势 (17)第一章电子商务平台安全保障概述1.1 电子商务平台安全重要性互联网技术的飞速发展,电子商务已经成为现代经济体系中的重要组成部分。

保证电子商务安全的措施

保证电子商务安全的措施

保证电子商务安全的措施电子商务的快速发展为人们的生活带来了极大的便利,然而同时也引发了一系列的安全隐患和风险。

在保证电子商务的安全上,采取一系列的措施至关重要。

本文将从技术、管理和教育三个方面,阐述一些重要的安全措施,以确保电子商务的安全进行。

1. 技术措施1.1 加密技术加密技术是保证电子商务安全的基础,通过使用公钥和私钥来对交互数据进行加密和解密,确保只有合法的用户才能访问敏感信息。

常用的加密技术包括SSL (Secure Socket Layer)和TLS(Transport Layer Security)等,通过建立安全的通信通道来保护交换的数据。

同时,持续更新加密算法和密钥管理系统,以抵御不断发展的安全威胁。

1.2 认证和授权认证和授权是电子商务安全的关键环节。

采用多因素认证的方式,如使用密码、生物识别技术和硬件令牌等,确保用户的身份真实性和合法性。

同时,建立严格的授权机制,对用户的权限进行明确和管理,以避免未经授权的用户访问和操作敏感数据。

1.3 防火墙和入侵检测系统防火墙和入侵检测系统是保护电子商务平台免受网络攻击的重要手段。

通过策略限制和监控网络流量,防止恶意攻击和非法访问。

及时发现和阻止入侵行为,减少安全事件对系统造成的损害。

同时,与安全公司建立合作,定期进行安全巡检和漏洞修复,保持系统的安全性。

2. 管理措施2.1 安全策略和规范制定明确的安全策略和规范是确保电子商务安全的基础。

明确安全责任和权限,并分配专门的人员负责安全管理工作。

同时,建立完善的安全管理制度,包括对员工进行安全培训、合规检查和安全事件报告等,提高员工的安全意识和能力。

2.2 定期风险评估定期进行风险评估是了解系统安全状况、发现潜在威胁并制定相应防范措施的重要手段。

它可以帮助企业评估电子商务系统的安全状况,发现可能的安全漏洞和风险,并及时采取相应的补救措施,防止安全事件的发生。

2.3 数据备份与恢复建立有效的数据备份与恢复机制,对电子商务系统的数据进行定期备份,确保数据的完整性和可用性。

电子商务安全复习

电子商务安全复习

电子商务安全复习在当今数字化的时代,电子商务已经成为我们生活中不可或缺的一部分。

从在线购物到金融交易,从社交媒体到数字服务,电子商务的触角几乎延伸到了我们生活的每一个角落。

然而,随着电子商务的迅速发展,安全问题也日益凸显。

对于电子商务从业者和消费者来说,了解电子商务安全的相关知识,掌握有效的防范措施,是至关重要的。

接下来,让我们一起对电子商务安全进行一次全面的复习。

一、电子商务安全的重要性电子商务安全不仅仅是技术问题,更是关系到企业的生存和发展,以及消费者的信任和权益。

对于企业来说,如果其电子商务平台遭受攻击,导致客户数据泄露、交易中断或者资金损失,不仅会面临巨大的经济损失,还可能损害企业的声誉,失去客户的信任,从而在激烈的市场竞争中处于不利地位。

对于消费者来说,个人信息的泄露可能导致身份盗窃、信用卡欺诈等问题,给生活带来极大的困扰和损失。

因此,保障电子商务安全是维护市场秩序、促进经济发展、保护消费者权益的必然要求。

二、电子商务面临的安全威胁1、网络攻击网络攻击是电子商务面临的最常见的安全威胁之一。

包括黑客攻击、病毒和恶意软件感染、拒绝服务攻击(DoS)等。

黑客可以通过攻击电子商务网站,窃取用户数据、篡改交易信息或者破坏系统正常运行。

病毒和恶意软件则可能潜伏在用户的设备中,窃取敏感信息或者监控用户的操作。

DoS 攻击则通过大量的无效请求导致网站瘫痪,使正常的交易无法进行。

2、数据泄露数据泄露是指未经授权的访问、获取或披露企业或个人的敏感信息。

在电子商务中,用户的个人信息(如姓名、地址、电话号码、信用卡信息等)、交易记录等都是重要的数据。

如果这些数据被泄露,可能被用于欺诈、身份盗窃等非法活动。

3、身份盗窃身份盗窃是指攻击者窃取他人的身份信息,并以其名义进行非法活动。

在电子商务中,攻击者可能通过窃取用户的登录凭证、伪造身份等方式,进行虚假交易、骗取财物等。

4、交易欺诈交易欺诈包括信用卡欺诈、虚假交易、退款欺诈等。

电子商务网站的安全防护技巧

电子商务网站的安全防护技巧

电子商务网站的安全防护技巧随着电子商务的迅速发展,电子商务网站的安全问题日益凸显。

为了保护网站和用户的信息安全,电子商务网站的安全防护技巧变得尤为重要。

本文将介绍一些可行的安全防护技巧,以帮助电子商务网站提高安全性。

1. 使用强密码和双因素身份验证强密码是保护用户账户不被黑客入侵的基本要求。

电子商务网站应该要求用户设置复杂度较高的密码,并定期要求其更换密码。

另外,双因素身份验证是一种有效的技术,通过结合密码和其他身份验证方法(如手机验证码、指纹等)来提高账户的安全性。

2. 加密用户信息和交易数据在电子商务网站上,用户的个人信息和交易数据是最重要的资产。

网站应该采取安全的加密算法,如SSL(Secure Sockets Layer),来保护这些敏感数据的传输。

这种加密技术可以确保数据在传输过程中不被黑客窃取或篡改。

3. 定期备份和更新网站定期备份网站数据是防范数据丢失和黑客攻击的有效手段。

电子商务网站应该建立备份策略,并将备份文件存储在安全的地方。

此外,保持网站的更新也很重要,及时应用安全补丁和更新,以修复现有的漏洞,以及防范已经公开的威胁。

4. 强化网站的访问控制控制网站的访问权限是确保仅授权人员可以访问敏感信息的重要措施。

网站管理员应该采取措施限制对后台管理系统的访问,并使用强大的身份验证技术,比如双因素认证、指纹识别等,以防止黑客入侵。

5. 防范常见的安全威胁许多电子商务网站被黑客利用常见的安全漏洞进行攻击,如SQL注入、跨站脚本攻击(XSS)和跨站请求伪造(CSRF)。

网站管理员应该加强对这些安全威胁的了解,并采取相应的防范措施,如使用输入验证过滤来防止SQL注入攻击,使用安全的会话管理来防止XSS和CSRF攻击。

6. 设立安全警报和监控系统建立安全警报和监控系统可以及时检测和应对潜在的安全威胁。

通过实时监测网站的访问日志、安全日志和网络流量,可以快速发现可疑活动并采取相应的对策。

此外,建立安全响应计划也是必要的,以便在出现安全事件时能够迅速进行应急处理。

电子商务网站安全及策略

电子商务网站安全及策略


行 集 中管理 。各种 通信 线路 尽量 实行 深埋 、穿线 或架 空 , 并设 有 明显标记 , 防止 无意破 坏 。 对于 终端 设备 , 如工作 站 、 型 交换机 、 小 集 线器和 其他 转接设 备要 落 实到人 , 行严格 的管 理 。 进
些重 要 的设 备 , 如各 种服 务器 、 主干交换 机 、路 由器等 尽量 实 全 性 。 () 操作 系统 的安 全 2
从 终端 用户 的程序 到服 务器应 用服 务 , 以及 网络 安全 的很 多 技 术 , 是运 行在 操作 系统 上 的 , 都 因此 , 保证 操 作 系统 的安 全是

() 身份 的安 全对策 2 整 个安 全系统 的根 本 。除 了不 断增 加 安全补 丁之外 , 需要 建立 还 身 份 的 安全 对 策主 要 是 身份 认 证 C 是 英 文 Ceti o e A, rt c t i i f 套对 系统 的监控 系统 , 建立 和实施 有缺 陷 , 1 这是 因为我 国主 要使 用的操 作系统 、计 是一 般企 业无 法按照 这一 安全 要求操 作 , 工都是 一样 的授权 级 员 算 机 语 言、 微处 理 芯 片 等都 需 要 从 国 外进 口 , 安全 隐患 非常 别。这 给企 业的信 息 安全带 来 了很大 的隐患 。 其 大 :) ( 产业 结构 的缺 陷 , 是 因为信息 安全 产业在 整个 信息 产业 2 这
捕获 到 , 而进 行攻 击 。 从
} U

i 氽J 状 安 :
5 、内部 网络 安全 电子 商 务 网站 安 全 维 护主 要 有 两 方 面 : 保证 网站 业 务 系统 为特 定 文件 或 应 用文 件 设 定 密码 保 护能 够 将访 问限 制在 授 的正 常运 行 和保 护 商 务信 息 的秘 密 内 容 。网站 安全 致命 的 缺 陷 权用 户范 围 内。例如 , 售人 员不 能够 浏览 企业人 事信 息等 。但 销

移动电子商务的安全问题及应对策略

移动电子商务的安全问题及应对策略

移动电子商务的安全问题及应对策略移动电子商务作为一种新型便捷的电子商务形式越来越受到人们的青昧,但无线网络体系结构的不安全性,使得移动电子商务比传统电子商务存在更多的威胁,如网络中信息窃取、信息篡改、认证身份假冒等。

本文对移动电子商务当前较突出的安全问题进行了分析,并有针对性地给出了解决策略。

一、移动电子商务利用智能手机等可移动无线终端设备,通过移动网络连接Internet,并进行各种类型的电子商务交易活动,称为移动电子商务。

因其快捷方便、随时交易,它已成为电子商务发展的新趋势。

在中国,传统电子商务与移动电子商务共同发展,但移动电子商务所占份额越来越大。

随着3G等其它无线通信技术的发展与移动用户的进一步壮大,中国移动电子商务将会迅速发展。

二、移动电子商务的安全问题(一)无线网络自身的安全问题移动网络自身存在一定的安全性问题,在移动电子商务给使用者带来方便的同时也隐藏着诸多安全问题,如通信被窃听、通信双方身份欺骗与通信内容被篡改等。

由于通信媒介的不同,信息的传输与转换也可能造成不安全的隐患。

(二)通信终端的安全问题目前手持移动设备的安全成胁主要有:移动设备的物理安全,用户身份、账户信息和认证密钥丢失,SIM卡被复制,RFID被解密等方面。

(三)软件病毒造成的安全威胁目前,手机软件病毒呈加速增长的趋势加重了这种安全威胁,软件病毒会传播非法信息,破坏手机软硬件,导致手机无法正常工作。

主要安全问题表现在用户信息、银行账号和密码等被窃等方面。

(四)运营管理漏洞目前有着众多的移动商务平台,而其明显的特点是平台良莠不齐,用户很难甄别这些运营平台的真伪和优劣。

在平台开发过程中一些控制技术缺少论证,在使用过程中往往出现诸多问题,而服务提供者对平台的运营疏于管理,机制不健全,这些都导致了诸多的安全问题。

三、移动电子商务安全策略安全问题是移动电子商务服务提供者首要考虑的问题,在开发的初期及运营过程中都必须注重移动商务的安全性,安全策略的开发可以借鉴传统电子商务,但不可忽视自身的特点,只有二者兼顾才能更好的为用户提供安全的交易环境,才能促进移动商务的快速发展。

电子商务平台的安全风险识别与防范策略

电子商务平台的安全风险识别与防范策略

电子商务平台的安全风险识别与防范策略随着电子商务的快速发展,越来越多的企业选择在电子商务平台上开展业务,以便更好地满足消费者的需求,并扩大市场份额。

然而,与此同时,电子商务平台也面临着各种安全风险,包括数据泄露、支付风险、网络攻击等问题。

因此,识别和防范这些安全风险就显得至关重要。

本文将探讨电子商务平台的安全风险识别与防范策略。

一、数据泄露风险数据泄露是电子商务平台面临的最大安全威胁之一。

在电子商务平台上,大量的用户数据、交易记录和支付信息都储存在服务器上。

如果这些数据遭到黑客攻击或不当使用,将会给用户和平台带来严重的损失。

为了识别和防范数据泄露风险,电子商务平台应采取以下策略:1. 强化数据保护:加强用户数据和交易信息的加密和存储,确保用户信息的隐私和安全。

同时,应定期进行数据备份,以应对潜在的数据丢失或损坏。

2. 安全审计和监控:建立安全审计和监控机制,定期检查和评估电子商务平台的安全性。

监测异常活动和可疑访问,并及时采取措施加以阻止或报告。

3. 安全意识培训:加强员工的安全意识培训,教育员工关于数据安全和隐私保护的重要性,避免出现人为操作导致的数据泄露。

二、支付风险在电子商务平台上,支付风险也是一项需要关注和防范的安全问题。

电子商务平台通常涉及大量的交易和支付信息,包括信用卡信息、银行账户等。

如果支付过程没有得到很好的保护,将会给用户和平台带来巨大损失。

以下是识别和防范支付风险的策略:1. 采用安全支付系统:选择安全可靠的支付服务提供商,确保支付过程中用户信息和支付数据的加密和保护。

同时,采用多层次的验证机制,如短信验证码、指纹识别等,增加支付的安全性。

2. 监测异常交易:建立风险识别和监测系统,及时检测和阻止异常交易行为,如大额交易、频繁交易等。

通过数据分析和模型建立,识别出潜在的风险并采取相应措施。

3. 加强支付安全合规:严格遵守相关法律法规和支付协议,加强对支付系统的安全性审核和监管,保障用户支付信息的安全。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

电子商务安全策略(一)
摘要:电子商务的实施,其关键是要保证整个商务过程中系统的安全性。

针对这个问题,该文仔细分析了认证系统、SSL协议和SET协议,指出了其应用中的一些局限,另外,还介绍了几种与商务安全有关的其它技术。

关键词:安全、认证、证书、CA、SSL协议、SET协议一引言
近几年,随着互联网的不断发展,在世界范围内掀起了一股电子商务热潮。

许多国家政府部门对电子商务的发展十分重视,把这场以电子商务为标志的信息化革命与十九世纪以蒸汽机为标志的工业化革命相提并论,并纷纷出台了有关政策和举措。

中国对电子商务的发展也给予了应有的重视,考虑到电子商务必然涉及到网上支付、必然涉及到银行支付结算,为了作好前瞻性的研究,1998年6月,人民银行支付科技司组织成立了电子商务课题组,对银行支付在电子商务中的作用和对策进行研究,并在研究基础上,组织各商业银行联合共建金融认证中心,为网上安全支付创造条件。

实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在向基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。

电子商务的安全主要采用数据加密和身份认证技术。

下面分别从认证系统,SSL(SecureSocketsLayer)协议和安全电子交易SET (SecureElectronicTransaction)协议三个方面来加以论述。

二认证系统
电子商务的关键是安全,网上安全交易的基础是数字证书。

证书类似于生活中的身份证,用以在网络上鉴别一个人或组织的真实身份。

证书的颁发机构叫做CertificateAuthority,通常简称CA。

要建立安全的电子商务系统,必须首先建立一个稳固、健全的CA;否则,一切网上的交易都没有安全保障。

2.1认证系统的基本原理
传统的对称密钥算法具有加密强度高、运算速度快的优点,但密钥的传递与管理的问题限制了它的一些应用。

为解决此问题,七十年代密码界出现了公开密钥算法,该算法使用一对密钥即一个私钥和一个公钥,其对应关系是唯一的,公钥对外公开,私钥个人秘密保存。

一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。

算法的加密强度主要取决于选定的密钥长度。

RSA算法是公开密钥算法中研究最为深入,使用最为广泛的算法,为大多数国家地区的官方或非官方所采用。

利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性,可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。

这个可信的第三方认证系统也称为CA,CA为用户发放电子证书,用户之间(比如网银服务器和某客户之间)利用证书来保证信息安全性和双方身份的合法性。

国际邮联ITU在1994年公布了关于证书格式的最新标准,称为X.509协议,在X.509的证书格式中,包含很多域,其中比较重要的有:用户名称、签发者名称、有效期、用户公钥信息、签发者对证书信息的数字签名。

在浏览器和WebServer产品中都已集成了证书申请和证书的验证功能,只要能用符合X.509协议的证书安装在浏览器上和WebServer服务器端,就能实现双方证书的自动验证,从而识别身份。

2.2系统结构
整个系统是一个大的网络环境,系统从功能上基本可以划分为CA、RA和WebPublisher。

核心系统根CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都有严格的规定,并且系统设计为一离线网络。

CA的功能是在收到来自RA的证书请求时,颁发证书。

一般的个人证书发放过程都是自动进行,无须人工干预。

证书的登记机构RegisterAuthority,简称RA,分散在各个网上银行的地区中心。

RA与网银中心有机结合,接受客户申请,并审批申请,把证书正式请求通过建设银行企业内部网发送给CA中心。

RA与CA双方的通信报文也通过RSA进行加密,确保安全。

系统的分布式结构
适于新业务网点的开设,具有较好的扩充性。

通信协议为TCP/IP。

证书的公布系统WebPublisher,简称WP,置于Internet网上,是普通用户和CA直接交流的界面。

对用户来讲它相当于一个在线的证书数据库。

用户的证书由CA颁发之后,CA用E-mail通知用户,然后用户须用浏览器从这里下载证书。

2.3我国认证系统的建设情况
为保证电子商务在中国的顺利开展,必须建立全国统一的金融认证中心。

目前,经"金融系统电子商务联络与研究小组"提议,由人民银行和各家商业银行联合建立金融部门的安全认证体系得到了国内十几家商业银行的支持和响应。

经金融信息化领导小组会议批准,现已决定由人民银行牵头,联合工商银行等11家商业银行,共同出资建立金融认证中心。

金融认证中心工程建设目前正在顺利进行。

它将是面向全国的、金融系统联合共建的统一的认证中心,将支持BtoC和BtoB两种模式的网上交易;在体系结构上,金融认证中心的设计充分考虑了各地方开展电子商务的认证需求,计划在中心城市或某些银行系统内设立若干面对客户的注册机构。

三SSL协议
SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。

它被视为Internet上Web浏览器和服务器的标准安全性措施。

SSL提供了用于启动TCP/IP连接的安全性“信号交换”。

这种信号交换导致客户和服务器同意将使用的安全性级别,并履行连接的任何身份验证要求。

它通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证。

在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。

这种简单加密模式的特点是:
部分或全部信息加密;
采用对称的和非对称的加密技术;
通过数字证书验证身份;
采用防止伪造的数字签名。

SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET 等)以保证应用层数据传输的安全性。

SSL协议独立于应用层协议,因此,在电子交易中被用来安全传送信用卡号码。

SSL协议握手流程由两个阶段组成:服务器认证和用户认证(可选)。

3.1服务器认证阶段
在一次交易过程中,客户的证书首先传送到银行Server方,服务器先验证有效期,再根据签发者(CA)名称找到签发者公钥(在CA的根证书内),验证证书的数字签名的合法性。

Web服务器上的SSL安全性要求步骤如下:
1生成密钥对文件和请求文件。

2从身份验证权限中请求一个证书。

3在服务器上安装证书。

4激活WWW服务文件夹上的SSL安全性。

服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的消息时将包含生成主密钥所需的信息;
客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。

这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。

3.2用户认证阶段(可选)
在此之前,服务器已经过了客户认证,这一阶段主要完成对客户的认证。

相关文档
最新文档