电子商务交易平台协议

甲方：

乙方：

鉴于甲方作为零售商、乙方作为供应商，双方存在商品购销／代销关系；鉴于甲方初步开发建设了电子商务交易平台；鉴于双方同意通过电子商务交易平台进行包括订货、补货、退货、销售及库存等信息查询在内的业务活动。

经过友好协商，双方就下列事宜达成一致意见：

一、电子商务交易平台的使用

1．本协议生效后，在系统运行初期，原来的传真联系方式仍然有效，当系统运行一段时期后，经甲方发出通知，将停止原传真往来模式的使用，完全执行本协议的规定。2．甲方每天定时向乙方传送数据信息，乙方应在甲方传送数据信息后的2－3个小时内立即进行反馈：甲方于每天上午、下午分别两次在电子商务交易平台上发布订单等数据信息；乙方在每天下午的和以前进行两次反馈操作。

二、使用要求

1．甲方负责电子商务交易平台系统的维护、运行，提供每天24小时的不间断服务。2．甲方负责对乙方的系统维护人员进行培训，并对乙方在实际操作与运用中的技术问题提供技术咨询服务。

3．乙方应遵守《》，按照该手册的规定登录平台、维护机构信息、进行订单、退货单、对帐单的网上接收、查询和反馈。

4．甲方更新手册应及时通知乙方，乙方应遵守更新后的使用手册。

5．双方应确保数据信息的准确性与及时性。

三、使用环境

1．乙方必须配备一台可以顺利登录互联网的计算机、并配备一名系统维护人员（具体要求见手册）。

2．乙方使用电子商务交易平台时，甲方向乙方提供用户名、密码，乙方应及时更改初始密码，作好用户信息的保密工作。

四、相关费用的支付

乙方应向甲方支付下列费用：

1．系统开通费：签署本协议时，乙方一次性向甲方支付人民币元。

2．系统服务费与培训费：乙方按人民币元／季的标准，于每季度开始5日内向甲方交纳系统服务费与培训费（系统开通第一年，乙方支付系统开通费后免交第一年系统服务费与培训费）。

3．信息共享与使用费：库存、销售等信息的查询与共享功能开通使用后，乙方按当年交易额％的标准，于每年度终了接到甲方通知后5日内向甲方交纳信息共享与使用费。

五、保密一方对另一方的数据信息负有保密义务，不得泄露给第三方（包括各方内部未被授权的人员），并应采取相应的保密措施保证数据信息不被第三方（包括各方内部未被授权的人员）所知悉。否则，应负责赔偿对方因此受到的一切损失与支出的全部费用。各方承担的保密义务不随本合同的终止而终止。

六、违约责任

1．乙方在接收到甲方数据后，必须进行同意或否决的反馈操作，如未按规定的时间及时反馈，乙方应按该次交易单据金额的2％－3％向甲方支付违约金。

2．乙方及其工作人员不得以任何方式或途径破坏电子商务交易平台系统程序、或妨碍电子商务交易平台系统的正常运行、或对甲方网站进行攻击（包括但不限于对甲方上传内容的删改、释放病毒、造成甲方网络瘫痪等），否则，乙方应向甲方支付

元－

元的违约金，并赔偿甲方受到的一切损失与支出的全部费用。

七、如往来的数据信息不真实或不确切，双方应及时进行沟通，在最短时间内进行协调解决。

八、如因系统发生故障无法正常使用电子商务交易平台，乙方应按甲方另行通知的方法进行订单、退货单、对帐单的接收、反馈与查询。

九、如因本协议发生争议，双方应友好协商解决，协商不成时，任何一方均有权向

人民法院提起诉讼。

十、双方同意以甲方备份的数据库文件作为证明、核实双方之间业务关系的凭证。

十一、《》作为本协议的组成部分，与本协议具有同等法律效力。

十二、本合同的有效期：双方商品购销／代销关系终止，本协议自动终止，乙方应向甲方交回《》。

十三、本协议一式两份，甲乙双方各执一份，经双方签字盖章后生效。

电子商务安全(补充作业3及答案)

《电子商务安全》作业3 一、选择题 1. CA的中文含义是( D )。 A. 电子中心 B. 金融中心 C. 银行中心 D. 认证中心 2. 以下关于身份鉴别叙述不正确的是（B ）。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 3. KDC的中文含义是（D ）。 A. 共享密钥 B. 公钥基础设施 C. 会话密钥 D. 密钥分配中心4．（C ）是一个对称DES加密系统，它使用一个集中式的专钥密码功能，系统的核心是KDC。 A. Ticket B. Grant C. Kerberos D. PKI 5. （B ）负责签发证书、验证证书、管理已颁发证书，以及制定政策和具体步骤来验证、识别用户身份。 A. RA B. CA C. PKI D. LDAP 6. MAC的中文含义是（B ）。 A. 消息鉴别码 B. 消息认证码 C. 消息摘要 D. 媒体存取码 7. PIN的中文含义是（B）。 A. 消息信息码 B. 身份识别码 C. 个人信息码 D. 身份证号码 8. （D）是通信双方判定消息完整性的参数依据，散列函数是计算的重要函数，该函数的输入与输出能够反应消息的特征。 A. 消息信息码 B. 消息验证码 C. 消息加密 D. 消息摘要 9. （C ）是标志网络用户身份信息的一系列数据，用来在网络通信中识别通信对象的身份。 A. 消息验证 B. 身份认证 C. 数字证书 D. 消息摘要 10.“公钥基础设施”的英文缩写是（C）。 A. RA B. CA C. PKI D. MD

电子商务安全协议

电子商务安全协议 Xxx （华中科技大学电子与信息工程系，武汉430074） 摘要：随着人类进入以网络为主的信息时代，Internet 的高速发展带来了商业和经济模式的重大变革。基于 Internet 发展起来的电子商务慢慢成为人们进行商务活动的新模式，但是安全问题成为了制约其发展的重要因素。本文简单介绍了电子商务安全的相关问题以及电子商务中的主流安全协议：SSL协议与SET协议，并对两种协议的优缺点进行了一定的比较分析。 关键词：电子商务，安全协议，SSL，SET 1.电子商务安全概述 随着信息技术的迅速发展，人类正进入以网络为主的信息时代，基于Internet发展起来的电子商务慢慢成为人们进行商务活动的新模式。但是，电子商务的安全问题也是制约其发展的重要因素之一，如何建立一个安全、便捷的电子商务应用环境，保证整个电子商务活动中信息的安全性，使基于Internet的电子交易方式与传统交易方式一样可靠。 1.1.电子商务的定义 电子商务是把现有的计算机软件、硬件设备和网络设施，通过一定的协议连接起来的在电子网络环境下进行各种商品买卖的一种新方式。电子商务改变了传统的面对面交易模式，同时在一定程度上打破了时间和地点的限制。虽然电子商务具有快捷性、方便性、不受时间地点的限制、相对传统交易开销小等诸多优点，但是却存在安全性方面的许多隐患。 1.2.电子商务的安全要素 为了保证电子商务在整个商品交易活动中，可以安全顺利的进行，一般来说，需要电子商务的安全系统必须具备以下几个安全要素： 1)有效性：要求电子商务系统可以对信息，交易实体的有效性进行鉴别 2)机密性：保证信息在存取和传输过程中的安全性 3)数据的完整性：即保护数据的完整性，防止有人没有经过授权就对数 据内容进行修改，同时还要保证数据的一致性

电子商务安全与防护

电子商务安全与防护 电子商务的发展已将全球的商务企业都推进到一场真的商业革命大潮中，潮起潮落，安全问题是关键。电子商务系统是活动在Internet平台上的一个涉及信息、资金和物资交易的综合交易系统，其安全对象是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂系统，它是由商业组织本身(包括营销系统、支付系统、配送系统等)与信息技术系统复合构成的。系统的安全目标与安全策略，是由组织的性质与需求所决定的。 1、电子商务信息安全现状 现如今，网上购物已经成为普通消费者的购物选择之一，逐渐成为消费的主流。截至2007年6月，我国互联网用户已经从2001年的2650万户激增到目前的1．62亿户，仅次于美国2．11亿户的网民规模，位居世界第二。可见网上购物拥有很大的一批消费群。在网购盛行的时代，理智的消费者已经逐渐意识到，网上购物为我们带来方便的同时，由于网络安全问题，也带给我们更多危险的可能。电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志《信息安全杂志》披露，从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍，感染病毒、恶意代码的可能性高出9%，被非法入侵的频率高出10%，而被诈骗的可能性更是比一般企业高出2.2倍作为网上购物核心环节的“支付环节”，其安全性、便捷性是买卖双方都想追求的目标。电子商务交易的信用危机也悄然袭来，虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生，这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。 2、主要面临的安全问题 2.1 网络环境安全问题 一般来说，计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面，计算机系统硬件和通信设施极易遭受自然环境的影响（如温度、湿度、电磁场等）以及自然灾害和人为（包括故意破坏和非故意破坏）的物理破坏；另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击；同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作，造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础，涉及的方面较广，如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等，其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器上实现，而专用防火墙提供更加可靠的网络安全控制

电子商务安全交易的有关标准和实施方法.

电子商务安全交易的有关标准和实施方法 (1、早期曾采用过的地方 在电子商务实施初期,曾采用过一些简易的安全措施,这些措施包括: 部分告知(Partial Order即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。 另行确认(Order Confirmation即当在网上传输交易信息之后,应再用电子邮件对交易作确认,才认为有效。 在线服务(Online Service为了保证信息传输的安全,用企业提供的内部网来提供联机服务。 以上所述的种种方法,均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。 (2、近年推出的安全交易标准 近年来,IT业界与金融行业一起,推出不少更有效的安全交易标准。主要有: 安全超文本传输协议(S-HTTP依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。 安全套按层协议(SSL:Secure Sockets Layer由Netscape公司提出的安全交易协议,提供加密、认证服务和报文完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操作。 安全交易技术协议(STT:Secure Transaction Technology由 Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft将在Internet Explorer中采用这一技术。

安全电子交易协议(SET:Secure Electronic Transaction 1995年,信用卡国际组织、资讯业者及网络安全专业团体等开始组成策略联盟,共同研究开发电子商务(Electronic Commerce的安全交易。 1996年6月,由IBM,Master Card International,Visa International,Microsoft,Netscape,GTE,VeriSign,SAIC,Terisa共同制定的标准SET正式公告,涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准,其交易形态将成为未来"电子商务"的规范。

电子商务安全_电商_第2次课堂作业

信息加密技术与应用 复习题 选择题 下列不是链路加密优点的有(B A、加密对用户是透明的 B、数据在中间节点以明文形式出现 C、每个链路只需要一对密钥 D、提供了信号流安全技术机制 2、网络通信中的加密方式的选择需要考虑以下哪方面(D A、具体的网络环境和应用要求 B、密码体制、加密算法、密钥管理 C、软硬件实现 D、以上都要考虑 3、密码体制一般可分为传统密码和现代密码,以下哪种属于传统密码(B A、序列密码 B、转轮机密码 C、公钥密码 D、分组密码

4、小雪想要加密一封E-mail发给她的朋友小刚。为了只让小刚看到这封信,她需要用什么来加密(C A、她的公钥 B、她的私钥 C、小刚的公钥 D、小刚的私钥 5、根据工业标准,强加密的最小密钥长度是什么(A A、123bit B、56bit C、168bit D、40bit 6、数据加密标准(DES以64bit块加密数据,它被看作是下面的(B A、一种哈希算法 B、一种块密码 C、一个56位的密钥 D、一种词典程序 7、AES是一种密码加密方法,可以对28位的密码块进行处理,密钥的长度是(D A、128bit B、192bit

C、256bit D、以上都可以 8、Diffie-Hellman公钥算法能带来什么好处(C A、加密了两个用户主机之间的公钥 B、加密了两主机之间的私钥 C、提供了一个传输密钥的安全方法 D、加密了两主机之间传输的数据 9、下面哪个算法是对称密钥算法(A A、RC5 B、RSA C、DSA D、Diffie-Hellman 10、PGP软件的用途有(D A、加密重要文件和电子邮件 B、为文件作数字签名,以防止篡改和伪造 C、各种密钥管理功能 D、以上都是 判断题

电子商务安全(1)

电子商务安全 随着因特网的迅猛发展，电子商务已经逐渐成为人们实行商务活动的一个崭新模式。我们能够把电子商务定义为整个事务活动和贸易活动的电子化。它将信息网络、金融网络和物流网络结合起来，把事务活动和贸易活动中发生关系的各方有机地联系起来，极大地方便了各种网络上的事务活动和贸易活动。电子商务有比传统商务方式更巨大的方便性和灵活性。不过，网络面临的安全问题也随之而来，例如内部窃密和破坏、截收、非法访问、破坏信息的完整性、破坏系统的可用性等等诸多问题。 任何在互联网上展开业务的机构都必须采取积极的步骤，确保系统有充足的安全措施，以防止机密信息泄露和非法侵入所造成的损失。但互联网本身就是基于开放思想设计并逐步发展起来的。要想在互联网上实现绝对安全是困难的。互联网上实现电子商务面临的风险主要来自机密关键数据安全及电子交易安全。 一、电子商务安全的具体技术表现 (一)数据的私有性和安全性 如果不采用特别的保护措施，包括电子邮件等在internet中开放传输的数据都可能被第三者监视和阅读。考虑到巨大的传输量和难以计数的传输途径，想任意窃听一组数据传输是不可能，但是一些设置在web服务器的黑客程序却能够查找和收集特定类型的数据，这些数据包括信用卡、存款的账号和相对应的口令。同时，因为internet的开放性设计，数据私有性和安全性还包括数据传输之外的问题，例如：连入internet的数据存储网络驱动器的安全性。所以，任何存储在web 服务器上的数据必须采取保护措施。 (二)数据的完整性 对完整性的安全威胁也叫主动搭线窃取。当未经授权方改变了信息流时就构成了对完整性的安全威胁。未保护的银行交易很易受到对完整

电商平台服务协议、交易规则

(听风阁论坛）电商平台服务协议、交易规则 【总则】 针对XXX科技有限公司所属电子商务平台“(听风阁论坛）”，以下简称平台。在业务开展过程中制定本服务协议、交易规则。为了保障(听风阁论坛）平台各方主体的合法权益，规范各方主体行为，维护商务市场秩序，遵守和维护国家法律法规，制定本方案。 (听风阁论坛）平台所有电子商务活动，适用本方案。本方案所称电子商务活动，是指通过互联网等信息网络销售商品或者提供服务的经营活动。《中华人民共和国电子商务法》对销售商品或者提供服务有规定的，适用其规定。金融类产品和服务，利用信息网络提供新闻信息、音视频节目、出版以及文化产品等内容方面的服务，根据《中华人民共和国电子商务法》相关规定，不适用本方案。 【服务协议】 1、平台将遵循公开、公平、公正的原则，制定平台服务协议和交易规则，明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务。 2、平台将记录、保存平台上发布的商品和服务信息、交易信息，并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年；法律、行政法规另有规定的，依照其规定。 3、平台将提供明示用户信息查询、更正、删除以及用户注销的方式、程序，不得对用户信息查询、更正、删除以及用户注销设置不合理条件。平台收到用户信息查询或者更正、删除的申请的，应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的，平台应当立即删除该用户的信息；依照法律、行政法规的规定或者双方约定保存的，依照其规定。 4、平台收集、使用其用户的个人信息，应当遵守法律、行政法规有关个人信息保护的规定。

电子商务安全协议及支付安全

5.1.1 SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上，运行在TCP/IP协议之上而在其他高层协议（如HTTP、Telnet、FTP和IMAP等）之下，如图5-1所示。在建立一次SSL连接之前，首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时，支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己，还允许这两个机器之间建立安全的加密连接，同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议：SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议，其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式，它位于一些可靠的传输层协议之上（如TCP），用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上，并被SSL记录协议所封装。它描述建立安全连接的过程，在客户和服务器传送应用层数据之前，该协议允许服务器与客户机之间协商加密算法和会话密钥，完成通信双方的身份验证等功能。 图5-1 SSL协议的分层结构 5.1.2 SSL记录协议 SSL记录协议（Record Protocol）定义了传输的格式，包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示： 图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块，把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快，压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的

MAC算法对压缩块计算MAC，用指定的对称加密算法加密压缩块和MAC，形成密文块。 4.对密文块添加SSL记录头，然后送到传输层，传输层受到这个SSL记录层数据单元后，记上TCP报头，得到TCP数据包。 图5-3 SSL记录协议中数据项的格式 5.1.3 SSL握手协议 图5-4 SSL建立新会话时的握手过程 1）建立新会话时的握手过程 握手协议用于数据传输之前。它可以进行服务器与客户之间的身份鉴别，同时通过服务器和客户协商，决定采用的协议版本、加密算法，并确定加密数据所需的对称密钥，随后采用公钥加密技术产生共享机密信息（例如对称密钥）。每次连接，握手协议都要建立一个会话。会话中包含了一套可在多次会话中使用的加密安全参数，从而减轻了每次建立会话的负担。然而，必须指出的是，SSL中的每次连接时，在握手协议中产生的对称密钥都是独特的，这种每次更换密钥的方法显然在更大程度上确保了系统的不易攻破性。 根据是否验证对方的证书，SSL的握手过程可以分为以下三种验证模式：客户和服务器都被验证；只验证客户机，不验证服务器，这是Internet上使用最广泛的形式；客户和服务器都不验证，也称为完全匿名模式。SSL握手协议建立一个新的会话的过程如图5-4所示，具体如下： 阶段1：确定一些相关参数，包括协议版本、会话ID、加密规格、压缩算法和初始随机数 （1）客户端发送client_hello消息给服务器，向服务器传送客户端支持的SSL协议的版

电子商务安全试题

一、简答： 1.简述电子商务的安全需求。 答:电子商务的安全需求主要包括:机密性,指信息在传送过程中不被他人窃取;完整性, 指保护信息不被未授权的人员修改;认证性, 指网络两端传送信息人的身份能够被确认；不可抵赖性，指信息的接受方和发送方不能否认自己的行为；不可拒绝性，指保证信息在正常访问方式下不被拒绝；访问的控制性，指能够限制和控制对主机的访问。 2．简述VPN中使用的关键技术。 答: VPN中使用的关键技术：隧道技术、加密技术、QOS技术。加密技术和隧道技术用来连接并加密通讯的两端，QOS技术用来解决网络延迟与阻塞问题。 3.简述入侵检测的主要方法QOS。 答:入侵检测的主要方法有：静态配置分析法；异常性检测方法；基于行为的检测方法；智能检测法。 4.简述PKI的基本组成。 答: PKI的基本组成有：认证机构CA；数字证书库；密钥备份与恢复系统；证书作废系统；应用程序接口部分。 5.简述木马攻击必须具备的条件。 答:木马攻击必须具备三个基本条件，要有一个注册程序，要有一个注册程序可执行程序，可执行程序必须装入内存并运行；要有一个端口。 6.简述CA的基本组成。 答:CA的基本组成：注册服务器；CA服务器；证书受理与审核机构RA；这三个部分互相协调，缺一不可。 7．简述对称密钥加密和非对称密钥加密的区别。 答: 对称密钥算法是指使用同一个密钥来加密和解密数据。密钥的长度由于算法的不同而不同，一般位于40~128位之间。 公钥密码算法:是指加密密钥和解密密钥为两个不同密钥的密码算法。 公钥密码算法不同于单钥密码算法,它使用了一对密钥:一个用于加密信息,另一个则用于解密信息,通信双方无需事先交换密钥就可进行保密。 8．简述安全防范的基本策略。 答:安全防范的基本内容有：物理安全防范机制，访问权限安全机制，信息加密安全机制，黑客防范安全机制；风险管理与灾难恢复机制。 9．简述VPN中使用的关键技术。 答:VPN中使用的关键技术：隧道技术、加密技术、QOS技术。加密技术和隧道技术用来连接并加密通讯的两端，QOS技术用来解决网络延迟与阻塞问题。 10．简述数字签名的使用原理。 答:发送方使用HASH函数处理原文，得到数字摘要；使用接受方的公钥对明文和数字摘要加密并通过网络发送；接受方使用私钥解密；接受方使用HASH函数重新得到数字摘要；对比数字摘要。 11．简述密钥的生命周期。

电子商务安全(作业3)

《电子商务安全》作业3 一、选择题1. CA的中文含义是( D )。 A. 电子中心 B. 金融中心 C. 银行中心D. 认证中心 2. 以下关于身份鉴别叙述不正确的是（ B）。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 3. KDC的中文含义是（D ）。 A. 共享密钥 B. 公钥基础设施 C. 会话密钥 D. 密钥分配中心 4．（C ）是一个对称DES加密系统，它使用一个集中式的专钥密码功能，系统的核心是KDC。 A. Ticket B. Grant C. Kerberos D. PKI 5. （ B ）负责签发证书、验证证书、管理已颁发证书，以及制定政策和具体步骤来验证、识别用户身份。 A. RA B. CA C. PKI D. LDAP 6. MAC的中文含义是（B ）。 A. 消息鉴别码 B. 消息认证码 C. 消息摘要 D. 媒体存取码7. PIN的中文含义是（ B）。 A. 消息信息码 B. 身份识别码 C. 个人信息码 D. 身份证号码8.（ D）是通信双方判定消息完整性的参数依据，散列函数是计算的重要函数，该函数的输入与输出能够反应消息的特征。 A. 消息信息码 B. 消息验证码 C. 消息加密 D. 消息摘要 9. （C ）是标志网络用户身份信息的一系列数据，用来

在网络通信中识别通信对象的身份。 A. 消息验证B. 身份认证 C. 数字证书 D. 消息摘要10.“公钥基础设施”的英文缩写是（C ）。 A. RA B. CA C. PKI D. MD 11. PKI支持的服务不包括（ D）。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 12. PKI的主要组成不包括（ B ）。 A. 证书授权CA B. SSL C. 注册授权RA D. 证书存储库CR 13. PKI管理对象不包括（A ）。 A. ID和口令 B. 证书 C. 密钥 D. 证书撤消 14. 下面不属于PKI组成部分的是（D ）。 A. 证书主体B. 使用证书的应用和系统 C. 证书权威机构 D. Kerberos 15. PKI能够执行的功能是（A ）。 A. 鉴别计算机消息的始发者 B. 确认计算机的物理位置 C. 访问控制 D. 确认用户具有的安全性特权 16. 对输入消息长度有限制，输出消息摘要是160Bit的算法是（B ）。 A. RSA B. SHA-1 C. MD5 D. DES 17. 确定用户的身份称为（C ）。 B. 识别技术 A. 访问控制 C. 身份认证 D. 审计技术 18. 某些网站的用户登录界面要求输入系统随机产生的验证码，这是为了对付（C ）。 A. 窃听攻击 B. 危及验证码的攻击C. 选择明文攻击 D. 重放攻击 19. 密钥交换的最终

电子商务交易中安全问题分析及对策研究

电子商务交易中安全问题分析及对策研究 摘要：随着互联网不断发展，基于网络资源的电子商务交易渐渐火了,网上购物 在给人们带来众多实惠的同时，也存在诸多安全问题，电子商务交易双方都面临 安全威胁。如果这个核心问题得不到很好解决，将严重影响电子商务的发展。 关键词：电子商务网上交易安全问题安全技术对策 随着电子商务的高速发展，网上犯罪屡屡发生，网购骗局层出不穷。比如在Internet上进行恶意攻击、窃取商业机密、冒用他人的信用卡、篡改名单等犯罪 行为时有发生，人们对电子商务的安全提高了警惕，安全问题已经成为电子商务 发展的关键问题。 一、电子商务交易中存在的安全问题 1.网络系统存在的安全隐患。网络系统和应用软件中通常都会存在一些BUG，别有用心的人利用这些漏洞向买卖双方的电脑发起进攻，导致某个程序或网络丧 失功能。如：计算机病毒的侵袭、黑客非法入侵、线路窃听等很容易使重要数据 在传递过程中泄露，威胁电子商务交易的安全。 2.交易信息存在的安全隐患。(1)是网络交易中用明文传输的数据被非法入侵 者截获并破译之后，进行非法篡改、删除或插入，使信息的完整性遭受破坏；(2) 是网络非法攻击通过假冒合法用户或者模拟虚假信息来实施诈骗行为；(3)是交易 抵赖，包括多个方面，如：购买者下了订单不承认，商家卖出的商品因价格差异 而不承认原有的交易等。 3.信用方面存在的危机。在电子商务交易中存在的信用问题主要表现在以下 几个方面: (1)是来自买方的信用问题，对于消费者来说，可能在网络上利用信用 卡进行恶意透支，或者使用伪造的信用卡来骗取卖方的货物；(2)是来自卖方的信 用问题，卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全根据 合同来履行合同内容，造成买方权益的损害。 4.支付结算方面存在的安全隐患。电子商务交易的核心内容是信息沟通和交流，交易双方通过Internet进行洽谈、支付结算。从交易的结算方式看，已经可 以通过支付宝、网上银行、QQ钱包和微信钱包等多种方式来完成结算。但存在 大量的虚假网站，骗取钱财。 5.物流配送服务方面存在的安全隐患。主要表现为: (1)是当消费者在网上购买的商品在运输过程中出现损毁时，网站、产品供应商、快递公司之间互相推诿，推卸 责任，导致消费者无法获得赔偿; (2)是快递公司规定不按商品的价值，只按运输 费用的几倍赔偿; (3)是快递公司自行规定消费者签字后再验货，验货发现商品缺 失或损坏，又以其已签字为由拒不承担赔偿责任。 二、解决电子商务交易安全问题的对策 1.加强计算机网络安全应采取的措施 （1）使用防火墙技术：防火墙是一种行之有效且应用广泛的网络安全机制， 防止Internet上的不安全因素蔓延到局域网内部。防火墙可以从通信协议的各个 层次以及应用中获取、存储并管理相关的信息，以便实施系统的访问安全决策控制。因此，买卖双方都应很好地使用这一技术，保障网络的安全运行。 （2）使用反病毒技术：计算机病毒的防范是网络安全性建设中重要的一环， 在网络环境下，病毒传播扩散加快，仅用单机版杀毒软件已经很难彻底清除网络 病毒，必须有适合于局域网的全方位杀毒产品。如果在网络内部使用电子邮件进 行信息交换，还需要一套基于邮件服务器平台的邮件防病毒软件。所以最好使用

电子商务安全保障体系

目的要求：通过学习了解电子商务环境中的安全威胁后解决安全威胁的技术手段和方案 重点难点：解决安全威胁的技术手段和方案 组织教学：点名考勤；复习；引入新课；讲解理论知识；实例演示；指导学生练习；总结 总结复习导入新课：。 提问：1、什么是电子商务？ 教学方式、手段、媒介：讲授、多媒体；媒介：教材 教学内容： 第一节电子商务 一、公钥基础设施 公钥基础设施是由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成，管理密钥和证书的系统或平台。 用于解决电子商务中安全问题的PKI 技术。PKI(Public Key Infrastructure）是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI 的核心组成部分 CA(Certification Authority），即认证中心，它是数字证书的签发机构。数字证书，有时被称为数字身份证，是一个符合一定格式的电子文件，用来识别电子证书持有者的真实身份。 1、认证中心 认证中心（Certificate Authority, 简称CA），也称之为电子认证中心，是电子商务的一个核心环节，是在电子交易中承担网上安全电子交易认证服务，签发数字证书，确认用户身份，与具体交易行为无关权威第三方权威机构。 为安全电子交易中之重要单位，为一公正、公开的代理组织，接受持卡人和特约商店的申请，会同发卡及收单银行核对其申请资料是否一致，并负责电子证书之发放、管理及取消等事宜。是在线交易的监督者和担保人。主要进行电子证书管理、电子贸易伙伴关系建立和确认、密钥管理、为支付系统中的各参与方提供身份认证等。CA类似于现实生活中公证人的角色，具有权威性，是一个普遍可信的第三方。 认证中心可官方将某个公钥授权给用户。如果一个公司在内部或同可靠的商业伙伴交往时使用了数字证书，就可能会出现这样一个机构。Netscape和Xcert提供了用于管理数字证书的证明服务器。 当很多用户共用一个证明权威时，证明权威应该是个受到大家信赖的可靠方。证明权威甚至可以是个规模更大、公用程度更高的实体，比如GTE、Nortel或Verisign，它们在验证身份和签发数字证书上的严谨态度早已众口皆碑。

电子商务概论作业答案

《电子商务概论》作业 一、判断题 1、CPU中运算器的主要功能是完成对数据的算术运算、逻辑运算和逻辑判断等操作。（T） 2、与传统的支付方式相比，电子支付具有方便、快捷、高效、经济、安全的优势。（F ） 3、在面向终端的计算机网络通信系统中，网络用户只能共享一台主机中的软、硬件资源。（T ） 4、信息储存的方法主要是根据信息提取的频率和数量，建立一套适合需要的信息库系统。（T ） 5、出于安全的需要,网上银行卡支付系统须在Internet与专用的金融网之间安装支付网关系统（T） 6、电子商务的基础结构中包括“三个层次”和“两个支柱”，其中“两个支柱”是指技术标准和政策法规（T ） 7、广告对商品经济的发展有不可忽视的作用（T ） 8、我国已建成的全国性电子资金转账系统已有10个之多（ F ） 9、数据库安全属于计算机运行环境安全性问题。（F ） 10、邮件列表可以分为公开，封闭，管制三种类型。（T ） 二、单项选择题 1、数据传输速率是Modem的重要技术指标，单位为：。（） A.bps B.GB C.KB D.MB 2、计算机的核心部件指的是：。（） A.存储器 B.基本输入输出设备 C.中央处理器 D. Modem 3、下面不属于传统营销促销形式的是：。（） A.人员推销 B.网络广告 C.销售促进 D.宣传推广 4、效率最高、最保险的杀毒方式是（） A.手工杀毒 B.自动杀毒 C.杀毒软件 D.磁盘格式化 5、下列哪一项不是WWW浏览器提供的通信手段？( ) https://www.360docs.net/doc/af5331229.html,enet新闻组 B.电子邮件 C.HTTP/IP D.FTP 6、信息加工整理的过程为信息的储存，（），信息的加工处理。( ) A.信息的保密 B.信息的纠错 C.信息的传播 D.信息的整理 7、WWW服务器采用超文本链路来链接信息页，本链路由()维持。 A.URL B.html C.HTTP/IP D.端口 8、选择旗帜广告服务提供商时，主要应当考虑（），服务商的设备条件和技术力量配备，服务商的 通信出口速率，服务商的组织背景，服务商的收费标准。（） A.服务商的政府和行政关系 B.服务商提供的便利条件 C.服务商的实力和提供的支持 D.服务商提供的信息服务种类和用户服务支持 9、如果消费者两小时内在同一个网上商店下了3份订单，那么商家为了方便客户和节省送货费用，会采 取以下哪种措施？（）

电子商务安全体系结构

安全体系结构 （一）安全体系结构图 如图3所示，电子商务安全体系由四层组成，由下至上分别是：安全协议层、安全认证层、加密技术层、网络安全层。 图3 电子商务网站安全体系结构 （二）安全体系分层 整个电子商务网站安全体系由下至上分为四层：安全协议层、安全认证层、加密技术层、网络安全层。这四个安全层包含了从安全交易协议到入侵攻击预防的整个防御及安全策略体系。下面就来看一下每一层分别有哪些作用。 （1）网络安全层 网络安全层包含了防御攻击的VPN技术、漏洞扫描技术、入侵检测技术、反

病毒技术、防火墙技术、安全审计技术等，通过一系列的技术防御保证网络被访问时的安全，防止漏洞被攻击、网络被入侵。 （2）加密技术层 加密技术主要保障信息在传输过程中的安全性，防止信息在传输过程中被窃取或篡改。加密技术一般分为对称加密技术与非对称加密技术。 （3）安全认证层 安全认证层涉及到数字签名、数字时间、数字信封、信息摘要、数字凭证、认证机构等。安全认证层可以验证交易双方数据的完整性、真实性及有效性。（4）安全协议层 安全协议层置于电子商务安全体系的最下层，也是电子交易中非常关键的一个部分，通过协议层完成交易。一般电子商务中使用的安全协议有SSL协议和SET协议。 访问控制技术 访问控制是指对网络中的某些资源的访问要进行控制，只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证资源不被非法使用和非法访问。常用的访问控制技术有：入网访问控制，网络的权限控制，目录级安全控制，防火墙控制，网络服务器控制，网络监测和锁定控制等。 数字认证技术 数字认证也称数字签名，即用电子方式来证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过)，甚至数据媒体的有效性(如录音、照片等)。 数字签名又称电子加密，可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输，特别是电子商务是极其重要的，一般要采用一种称为摘要的技术，摘要技术主要是采用HASH函数将一段长的报文通过函数变换，转换为一段定长的报文。

论电子商务安全交易协议(一)

论电子商务安全交易协议(一) 摘要]由于因特网的开放性，在电子商务的发展中，网上交易安全问题成为制约电子商务发展的瓶颈。目前国际上通用的电子商务安全支付协议主要有两个，即SSL协议和SET协议。本文对两种电子支付安全协议进行了详细的介绍，对协议的特点、功能、安全性进行了对比，阐述了两种协议保障电子商务交易安全的过程。 关键词]电子商务安全安全套接层协议安全电子交易协议 在电子商务过程中，买卖双方是通过网络来联系的，因而建立交易双方的安全和信任关系是相当困难的。这样使得电子商务交易双方都面临不同的安全威胁。而电子商务的主要特征是在线支持，为了加强电子商务交易的安全性，需要采用数据加密和身份认证技术，以便营造一种可信赖的电子交易环境。目前有两种安全支付协议被采用，即安全套接层SSL协议和安全电子交易SET协议。 一、安全套接层协议 安全套接层协议SSL(SecureSocketsLayer)是Netscape公司1995年推出的一种安全通信协议。SSL提供了两台计算机之间的安全连接，对计算机整个会话进行了加密，从而保证了信息传输的安全，实现浏览器与Web服务器之间的安全通信，在Internet上广泛应用于处理与金融有关的敏感信息。 SSL协议是一种保护Web通信的工业标准，能够对信用卡和个人信息、电子商务提供较强的加密保护。 1.SSL协议提供安全连接的基本特点 （1）连接是保密的：对于每个连接都有一个惟一的会话密钥，采用对称密码体制（如DES、RC4等）来加密数据； （2)连接是可靠的：消息的传输采用MAC算法（如MD5、SHA等）进行完整性检验；（3)对端实体的鉴别采用非对称密码体制（如RSA、DSS等）进行认证。 2.SSL协议提供的服务 （1)数据和服务器的合法认证。使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号，由公开密钥编排。为了验证用户，SSL协议要求在握手交换数据中做数字认证，以此来确保用户的合法性。 （2)加密数据以便隐藏被传送的数据。SSL协议采用的加密技术既有对称密钥也有公开密钥。具体来说，就是客户机与服务器交换数据之前，先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术，以保证数据的机密性，防止非法用户破译。 （3)维护数据的完整性。SSL协议采用Hash函数和机密共享的方法，提供完整信息性的服务，来建立客户机与服务器之间的安全通道，使经过处理的业务在传输过程中能够完整、准确地到达目的地。 3.SSL协议的构成 SSL协议分为两层：SSL握手协议和SSL记录协议。 （1)SSL握手协议。SSL握手协议用于在通信双方建立安全传输通道,是在客户机与服务器之间交换信息强化安全性的协议。具体实现以下功能: ①在客户端验证服务器,SSL协议采用公钥方式进行身份认证; ②在服务器端验证客户（可选的）； ③客户端和服务器之间协商双方都支持的加密算法和压缩算法。 ④产生对称加密算法的会话密钥； ⑤建立加密SSL连接。 SSL握手协议最终使双方建立起合适的会话状态信息要素，包括对话标识、对等证书、压缩方法、加密说明、会话密钥等信息。

电子商务安全

密码安全——通信安全的最核心部分。 计算机安全——一种确定的状态，使计算机化数据和程序文件不致被非授权人员、计算机或其程序访问、获取或修改。 网络安全——包括所有保护网络的措施。 信息安全—保护信息财富，使之免遭偶发的或有意的非授权泄露、修改、破坏或处理能力的丧失。 电子商务安全要素 1 数据有效性 2 认证性 3 数据机密性 4 数据完整性 5 防御性 6 访问性 7 不可修改性 8 不可否认性 9 审查能力 所谓加密，就是用基于数学方法的程序和保密的密钥对信息进行编码，把计算机数据变成一堆杂乱无章难以理解的字符串，也就是把明文变成密文。 单钥密码体制 对称加密过程： 1）发送方用自己的私有密钥对要发送的信息进行加密 2）发送方将加密后的信息通过网络传送给接收方 3）接收方用发送方进行加密的那把私有密钥对接收到的加密信息 进行解密，得到信息明文 双钥密码体制 加密模式过程： 1）发送方用接收方公开密钥对要发送的信息进行加密 2）发送方将加密后的信息通过网络传送给接收方 3）接收方用自己的私有密钥对接收到的加密信息进行解密，得 到信息明文. 验证模式过程1）发送方用自己的私有密钥对要发送的信息进行加密 2）发送方将加密后的信息通过网络传送给接收方 3）接收方用发送方公开密钥对接收到的加密信息进行解密，得到 信息明文 PGP：PGP(Pretty Good Privacy)，是一个基于RSA公匙加密体系的邮件加密软件。 特点： 1）源代码是免费的，可以消减系统预算 2）加密速度快 3）可移植性出色 PGP的加密算法 构成： 一个私钥加密算法（IDEA） 一个公钥加密算法（RSA） 一个单向散列算法（MD5） 一个随机数产生器 过程： PGP是以一个随机生成密钥（每次加密不同）由IDEA算法对明文加密，

电子商务安全案例分析作业

?北京师范大学是教育部直属重点大学，自1902年创立，已有百年历史。学校共设24个学院、2个系、20个研究院（所、中心）。全日制在校生19500余人，教职工3000余人。 随着校园网应用层次的逐步深入，将会有越来越多的学生、教职工和学校领导通过校园网进行重要数据的传输、资金的交割和各种教务活动的实现。北京师范大学现有的系统包括OA系统、邮件系统、网络计费系统、图书借阅系统、财务系统等，各个系统之间是相互独立，每个系统维护自己的用户帐户，用户管理混乱；同时系统归属于不同的业务部门管理，对于系统权限的制定，没有统一的规则；用户登录时需要分别登录各个系统，登录操作繁琐；“用户名＋口令”的登录方式安全强度低，帐户密码丢失、信息被篡改等情况时有发生。并且基于网络的应用的所有内容都是以数字的形式流转于校园网之上，在这些应用中不可避免地存在着由网络的自由、共享和开放性所带来的信息安全隐患，这对校园网提出了很多安全需求。 ? ?基于以上的需求，天威诚信为北京师范大学建设了一整套完成的CA认证平台，设计了如下的解决方案： 案例2 ?一、支付宝项目 项目背景： 阿里巴巴是全球最领先的网上贸易市场，在阿里巴巴这个虚拟的世界中，来自200个国家的七百万进口商与两百万家中国企业每天聚集在这里进行商业活动。旗下的支付宝（https://www.360docs.net/doc/af5331229.html,）是国内领先的独立第三方支付平台。为中国电子商务提供“简单、安全、快速”的在线支付解决方案。支付宝不仅要从产品上确保用户在线支付的安全，同时让用户通过支付宝在网络间建立起相互信任。 1 随着支付宝业务的发展，其安全性变得越来越重要。一开始使用的单向SSL（SSL： Secure Socket Layer，安全套接字协议）认证方式解决了支付宝网站真实性和防止网络窃取等安全需求，没有真正解决对支付宝用户的身份认证，非法用户仍然可以通过各种途径，盗取或猜测用户的登录Email地址和登录密码，假冒合法用户身份，登录

电子商务安全协议及支付安全

SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上，运行在TCP/IP协议之上而在其他高层协议（如HTTP、Telnet、FTP和IMAP等）之下，如图5-1所示。在建立一次SSL连接之前，首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时，支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己，还允许这两个机器之间建立安全的加密连接，同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议：SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议，其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式，它位于一些可靠的传输层协议之上（如TCP），用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上，并被SSL记录协议所封装。它描述建立安全连接的过程，在客户和服务器传送应用层数据之前，该协议允许服务器与客户机之间协商加密算法和会话密钥，完成通信双方的身份验证等功能。

图5-1 SSL协议的分层结构 SSL记录协议 SSL记录协议（Record Protocol）定义了传输的格式，包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示：

图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块，把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快，压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的MAC算法对压缩块计算MAC，用指定的对称加密算法加密压缩块和MAC，形成密文块。 4.对密文块添加SSL记录头，然后送到传输层，传输层受到这个SSL记录层数据单元后，记上TCP报头，得到TCP数据包。

电子商务安全 名词概念及简答

1.简述信息安全的属性 信息安全的属性：保密性、完整性、可用性、可控性、不可否认性。 含义：保密性：保证信息不泄露给未经授权的人。 完整性：防止信息被未经授权的人（实体）篡改，保证真实的信息从真实的信源无失真地到达真实的信宿。 可用性：保证信息及信息系统确实为授权使用者所用，防止由于计算机病毒或其他人为因素造成的系统拒绝服务或为敌手所用。 可控性：对信息及信息系统实施安全监控督管理。 不可否认性：保证信息行为人不能否认自己的行为。 2.简述密钥生命周期的各阶段 密钥生命周期: 分为初始化—颁发—取消三个阶段 3.简述公钥密码体制得概念 公开密钥密码体制的概念是1976年由美国密码学专家狄匪（Diffie）和赫尔曼（Hellman）提出的，有两个重要的原则：第一，要求在加密算法和公钥都公开的前提下，其加密的密文必须是安全的；第二，要求所有加密的人和把握私人秘密密钥的解密人，他们的计算或处理都应比较简单，但对其他不把握秘密密钥的人，破译应是极困难的。随着计算机网络的发展，信息保密性要求的日益提高，公钥密码算法体现出了对称密钥加密算法不可替代的优越性。 近年来，公钥密码加密体制和PKI、数字签名、电子商务等技术相结合，保证网上数据传输的机密性、完整性、有效性、不可否认性，在网络安全及信息安全方面发挥了巨大的作用。 本文具体介绍了公钥密码体制常用的算法及其所支持的服务。 4.防火墙不能解决的问题有哪些？ 答：（1）如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。（2）防火墙无法防范通过防火墙以外的其他途径的攻击。（3）防火墙不能防止来自内部变节者和不经心的用户带来的威胁。（4）防火墙也不能防止传送已感染病毒的软件或文件。（5）防火墙无法防范数据驱动型的攻击。 5．简述电子商务系统可能遭受攻击的类型？ 系统穿透；违反授权原则；植入；通信监视；通信窜扰；中断；拒绝服务；否认；病毒 6.简述ISO的八大类安全机制 八大类安全机制包括加密机制、数据签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制、公正机制。 1.加密机制：是确保数据安全性的基本方法，在OSI安全体系结构中应根据加密所在的层次及加密对象的不同，而采用不同的加密方法。 2.数字签名机制：是确保数据真实性的基本方法，利用数字签名技术可进行用户的身份认证和消息认证，它具有解决收、发双方纠纷的能力。 3访问控制机制：从计算机系统的处理能力方面对信息提供保护。访问控制按照事先确定的规则决定主体对客体的访问是否合法，当以主题试图非法使用一个未经给出的报警并记录日志档案。 4.数据完整性机制：破坏数据完整性的主要因素有数据在信道中传输时受信道干扰影响而产生错误，数据在传输和存储过程中被非法入侵者篡改，计算机病毒对程序和数据的传染等。纠