电商网络安全默认协议

① 网络安全传输协议都有那些具体意义是什么

熟悉网络传输协议的朋友一定不会对“安全传输协议”陌生，安全传输协议不仅存在与不用之间的数据传输，在用户向服务器发送资源请求时同样在保护数据传输的安全，也保证了不同用户之间数据传输的安全性，因此安全传输协议在每一个正在学习网络通信或者网络工程师的人眼中都是一个重要的内容。

最早出现的安全传输协议是由美国Netspace（网景公司）研究推出的SSL，全称是Secure Sockets Layer，我们从网上获取资源最常用的IE浏览器采用的就是这种安全协议，现在它成为了Internet网上安全通讯与交易的标准。SSL协议使用通信双方的客户证书以及CA根证书，允许客户/服务器应用以一种不能被偷听的方式通讯，在通讯双方间建立起了一条安全的、可信任的通讯通道。

SSL安全协议主要提供三方面的服务：认证用户和服务器, 使得它们能够确信数据将被发送到正确的客户机和服务器上；加密数据以隐藏被传送的数据；维护数据的完整性，确保数据在传输过程中不被改变。

SSL是一个介于HTTP协议与TCP之间的一个可选层，不过现在几乎我们所有的通信都要经过这个协议的加密。SSL协议分为两部分：Handshake Protocol和Record Protocol,。其中Handshake Protocol用来协商密钥，协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。 Record Protocol则定义了传输的格式。

熟悉网络传输协议的朋友一定不会对“安全传输协议”陌生，安全传输协议不仅存在与不用之间的数据传输，在用户向服务器发送资源请求时同样在保护数据传输的安全，也保证了不同用户之间数据传输的安全性，因此安全传输协议在每一个正在学习网络通信或者网络工程师的人眼中都是一个重要的内容。

最早出现的安全传输协议是由美国Netspace（网景公司）研究推出的SSL，全称是Secure Sockets Layer，我们从网上获取资源最常用的IE浏览器采用的就是这种安全协议，现在它成为了Internet网上安全通讯与交易的标准。SSL协议使用通信双方的客户证书以及CA根证书，允许客户/服务器应用以一种不能被偷听的方式通讯，在通讯双方间建立起了一条安全的、可信任的通讯通道。

SSL安全协议主要提供三方面的服务：认证用户和服务器, 使得它们能够确信数据将被发送到正确的客户机和服务器上；加密数据以隐藏被传送的数据；维护数据的完整性，确保数据在传输过程中不被改变。

SSL是一个介于HTTP协议与TCP之间的一个可选层，不过现在几乎我们所有的通信都要经过这个协议的加密。SSL协议分为两部分：Handshake Protocol和Record Protocol,。其中Handshake Protocol用来协商密钥，协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。 Record Protocol则定义了传输的格式。

② 电子商务中的安全协议是什么意思

安全协议是以密码学为基础的消息交换协议，其目的是在网络环境中提供各种安全服务。密码学是网络安全的基础，但网络安全不能单纯依靠安全的密码算法。安全协议是网络安全的一个重要组成部分，我们需要通过安全协议进行实体之间的认证、在实体之间安全地分配密钥或其它各种秘密、确认发送和接收的消息的非否认性等。

安全协议是建立在密码体制基础上的一种交互通信协议，它运用密码算法和协议逻辑来实现认证和密钥分配等目标。

安全协议可用于保障计算机网络信息系统中秘密信息的安全传递与处理，确保网络用户能够安全、方便、透明地使用系统中的密码资源。安全协议在金融系统、商务系统、政务系统、军事系统和社会生活中的应用日益普遍，而安全协议的安全性分析验证仍是一个悬而未决的问题。在实际社会中，有许多不安全的协议曾经被人们作为正确的协议长期使用，如果用于军事领域的密码装备中，则会直接危害到军事机密的安全性，会造成无可估量的损失。这就需要对安全协议进行充分的分析、验证，判断其是否达到预期的安全目标。

网络安全是实现电子商务的基础，而一个通用性强，安全可靠的网络协议则是实现电子商务安全交易的关键技术之一，它也会对电子商务的整体性能产生很大的影响。由美国Netscape公司开发和倡导的SSL协议（Secure Sockets Layer，安全套接层），它是目前安全电子商务交易中使用最多的协议之一，内容主要包括协议简介、记录协议、握手协议、协议安全性分析以及应用等。本文在简单介绍SSL协议特点和流程的基础上，详细介绍了SSL协议的应用和配置过程。

1 、SSL协议简介

SSL作为目前保护Web安全和基于HTTP的电子商务交易安全的事实上的，被许多世界知名厂商的Intranet和Internet网络产品所支持，其中包括Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客户机和服务器产品，如IE和Netscape浏览器，IIS、Domino Go WebServer、Netscape Enterprise Server和Appache等Web Server等。

SSL采用对称密码技术和公开密码技术相结合，提供了如下三种基本的安全服务：秘密性。SSL客户机和服务器之间通过密码算法和密钥的协商，建立起一个安全通道。以后在安全通道中传输的所有信息都经过了加密处理，网络中的非法窃听者所获取的信息都将是无意义的密文信息。

完整性。SSL利用密码算法和hash函数，通过对传输信息特征值的提取来保证信息的完整性，确保要传输的信息全部到达目的地，可以避免服务器和客户机之间的信息内容受到破坏。

认证性。利用证书技术和可信的第三方CA，可以让客户机和服务器相互识别的对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户)，SSL要求证书持有者在握手时相互交换数字证书，通过验证来保证对方身份的合法性。

SSL协议的实现属于SOCKET层，处于应用层和传输层之间，由SSL记录协议（SSL RECORD PROTOCOL）和SSL握手协议（SSL HAND-SHAKE PROTOCOL）组成的，其结构如图1所示：

SSL可分为两层，一是握手层，二是记录层。SSL握手协议描述建立安全连接的过程，在客户和服务器传送应用层数据之前，完成诸如加密算法和会话密钥的确定，通信双方的身份验证等功能；SSL记录协议则定义了数据传送的格式，上层数据包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送。这样，应用层通过SSL协议把数据传给传输层时，已是被加密后的数据，此时TCP/IP协议只需负责将其可靠地传送到目的地，弥补了 TCP/IP协议安全性较差的弱点。

Netscape公司已经向公众推出了SSL的参考实现（称为SSLref）。另一免费的SSL实现叫做SSLeay。SSLref和SSLeay均可给任何TCP/IP应用提供SSL功能，并且提供部分或全部源代码。Internet号码分配当局（IANA）已经为具备SSL功能的应用分配了固定端口号，例如，带SSL的HTTP（https）被分配以端口号443，带SSL的SMTP（ssmtp）被分配以端口号465，带SSL的NNTP （snntp）被分配以端口号563。

微软推出了SSL版本2的改进版本，叫做PCT（私人通信技术）。SSL和PCT非常类似。它们的主要差别是它们在版本号字段的最显着位（The Most Significant Bit）上的取值有所不同：SSL该位取0，PCT该位取1。这样区分之后，就可以对这两个协议都给予支持。

1996年4月，IETF授权一个传输层安全（TLS）工作组着手制订一个传输层安全协议（TLSP），以便作为标准提案向IESG正式提交。TLSP将会在许多地方酷似SSL。

2 、SSL安全性

目前，几乎所有操作平台上的WEB浏览器（IE、Netscatp）以及流行的Web服务器（IIS、Netscape Enterprise Server等）都支持SSL协议。因此使得使用该协议便宜且开发成本小。但应用SSL协议存在着不容忽视的缺点：

1. 系统不符合国务院最新颁布的《商用密码管理条例》中对商用密码产品不得使用国外密码算法的规定，要通过国家密码管理委员会的审批会遇到相当困难。

2. 系统安全性差。SSL协议的数据安全性其实就是建立在RSA等算法的安全性上，因此从本质上来讲，攻破RSA等算法就等同于攻破此协议。由于美国政府的出口限制，使得进入我国的实现了SSL的产品（Web浏览器和服务器）均只能提供512比特RSA公钥、40比特对称密钥的加密。目前已有攻破此协议的例子：1995年8月，一个法国学生用上百台工作站和二台小型机攻破了Netscape对外出口版本；另外美国加州两个大学生找到了一个“陷门”，只用了一台工作站几分钟就攻破了Netscape对外出口版本。

但是，一个安全协议除了基于其所采用的加密算法安全性以外，更为关键的是其逻辑严密性、完整性、正确性，这也是研究协议安全性的一个重要方面，如果一个安全协议在逻辑上有问题，那么它的安全性其实是比它所采用的加密算法的安全性低，很容易被攻破。从目前来看，SSL比较好地解决了这一问题。不过SSL协议的逻辑体现在SSL握手协议上，SSL握手协议本身是一个很复杂的过程，情况也比较多，因此我们并不能保证SSL握手协议在所有的情况下逻辑上都是正确的，所以研究SSL协议的逻辑正确性是一个很有价值的问题。

另外，SSL协议在“重传攻击”上，有它独到的解决办法。SSL协议为每一次安全连接产生了一个128位长的随机数——“连接序号”。理论上，攻击者提前无法预测此连接序号，因此不能对服务器的请求做出正确的应答。但是计算机产生的随机数是伪随机数，它的实际周期要远比2128小，更为危险的是有规律性，所以说SSL协议并没有从根本上解决“信息重传”这种攻击方法，有效的解决方法是采用“时间戳”。但是这需要解决网络上所有节点的时间同步问题。

总的来讲，SSL协议的安全性能是好的，而且随着SSL协议的不断改进，更多的安全性能、好的加密算法被采用，逻辑上的缺陷被弥补，SSL协议的安全性能会不断加强。

3、 windows 2000中SSL的配置与应用SSL的典型应用主要有两个方面，一是客户端，如浏览器等；另外一个就是服务器端，如Web服务器和应用服务器等。目前，一些主流浏览器（如IE和 Netscape等）和IIS、Domino Go WebServer、Netscape Enterprise Server、Appache等Web服务器都提供了对SSL的支持。要实现浏览器（或其他客户端应用）和Web服务器（或其他服务器）之间的安全SSL 信息传输，必须在Web服务器端安装支持SSL的Web服务器证书，在浏览器端安装支持SSL的客户端证书（可选），然后把URL中的“http://” 更换。

③ 电子商务的应用支柱指的是各种技术标准和网络安全协议以及什么

子商务应用的四个支柱：
（1）公共政策。
它是指政府制定的促进电子商务发展的宏观政策，包括互联网络的市场准入管理、内容管理、电信及互联网收费标准的制定以及围绕电子商务的税收制度、信息的定价、信息访问的收费、信息传输成本和隐私问题。
（2）技术标准。
它是信息发布、传递的基础，是网络上信息一致性的保证。技术标准定义了用户接口、传播协议、信息发布标准和安全协议等技术细节。电子商务标准体系包括公共标准、网络标准、应用平台标准和应用技术标准。我国电子商务技术应用标准包含了四个方面：EDI标准、商品编码标准（HS）、通信网络标准和其他相关的标准。
（3）网络安全。
安全问题是电子商务中的核心问题。目前，电子签名、电子认证和防火墙是网上比较成熟的安全手段。同时，人们还制定了一些安全标准，如安全套接层、安全http协议、安全电子交易等。
（4）法律规范。
电子商务的法律规范涵盖了知识产权保护、电子合同、数字签名、网络犯罪等诸多方面。
电子商务网络安全协议

主要是通过加密技术、安全机制、安全协议进行保证的。而安全协议主要采用安全套接层协议SSL(Secure Socket Layer)和安全电子交易协议SET(SecureElectronic TransacTiO2)。

SSL协议简便易行,但它只能保证网络传输的机密性。SET协议是基于信用卡在线支付的电子商务系统的安全协议。SET通过制定标准和采用各种技术手段,解决了当前困扰电子商务发展的安全问题。目前,它己经获得IETF标准的认可,已经成为事实上的工业标准。但这种性能优势的代价是技术实现复杂、系统投资大。并且,当前中国国内并不具备都使用信用卡进行支付的条件。

④ 电子商务安全主要包括网络安全与电商安全，网络安全有哪些主要技术

电子商务安全主要包括网络安全与电商安全，网络安全主要有以下几方面主要技术：
一.虚拟网技术

虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器 网络层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如IP sweep, teardrop, sync-flood, IP spoofing攻击等。
二.防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统 如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施控制对系统的访问 集中的安全管理
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。 记录和统计网络利用数据以及非法使用数据 Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。 策略执行
5、选择防火墙的要点
(1) 安全性：即是否通过了严格的入侵测试。
(2) 抗攻击能力：对典型攻击的防御能力
(3) 性能：是否能够提供足够的网络吞吐能力
(4) 自我完备能力：自身的安全性，Fail-close
(5) 可管理能力：是否支持SNMP网管
(6) VPN支持
(7) 认证和加密特性
(8) 服务的类型和原理
(9)网络地址转换能力
三.病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。 病毒防护的主要技术如下：
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新，并下发到桌面系统。
4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。
四.入侵检测技术
利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。
五.安全扫描技术

网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
六. 认证和数宇签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。 认证技术将应用到企业网络中的以下方面： (1) 路由器认证，路由器和交换机之间的认证。 (2) 操作系统认证。操作系统对用户的认证。 (3) 网管系统对网管设备之间的认证。 (4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。 (7) 电子邮件通讯双方的认证。
七.VPN技术
1、 企业对VPN 技术的需求
企业总部和各分支机构之间采用internet网络进行连接，由于internet是公用网络，因此，必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。 因为VPN利用了公共网络，所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet，暴露出两个主要危险：
来自internet的未经授权的对企业内部网的存取。
当企业通过INTERNET进行通讯时，信息可能受到窃听和非法修改。 完整的集成化的企业范围的VPN安全解决方案，提供在INTERNET上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。 企业网络的全面安全要求保证： 保密-通讯过程不被窃听。
通讯主体真实性确认-网络上的计算机不被假冒。
八.应用系统的安全技术
在利用域名服务时，应该注意到以上的安全问题。
主要的措施有：
(1) 内部网和外部网使用不同的域名服务器，隐藏内部网络信息。
(2) 域名服务器及域名查找应用安装相应的安全补丁。
(3) 对付Denial-of-Service攻击，应设计备份域名服务器。

但Web服务器越来越复杂，其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板，我们需要给予更多的关心：
加强电子邮件系统的安全性，通常有如下办法：
(1) 设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能)。所有出入的电子邮件均通过该中转站中转。
(2) 同样为该服务器安装实施监控系统。
(3) 该邮件服务器作为专门的应用服务器，不运行任何其它业务(切断与内部网的通讯)。
（4) 升级到最新的安全版本。

⑤ 电子商务中的主要安全技术有哪些

1、访问控制技术：这种技术主要采用防火墙，最初是针对Internet网络不安全因素所采取的一种保护措施。是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

2、加密技术：加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。在加和解密的过程中，由加密者和解密者使用的加解密可变参数叫做密钥。目前，获得广泛应用的两种加密技术是对称密钥加密体制和非对称密钥加密体制。

3、数字签名：利用通过某种密码运算生成的一系列符号及代码组成电子密码进行“签名”，来代替书写签名或印章，这种数字化的签名在技术上还可进行算法验证，其验证的准确度是在物理世界中与手工签名和图章的验证是无法相比的。实现电子签名的技术手段目前有多种，比如基于公钥密码技术的数字签名;或用一个独一无二的以生物特征统计学为基础的识别标识。

4、安全认证协议：安全认证协议包括安全电子商务交易协议和安全套接层协议。 安全电子交易协议，是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。

(5)电商网络安全默认协议扩展阅读：

电子商务是因特网爆炸式发展的直接产物，是网络技术应用的全新发展方向。因特网本身所具有的开放性、全球性、低成本、高效率的特点，也成为电子商务的内在特征，并使得电子商务大大超越了作为一种新的贸易形式所具有的价值，它不仅会改变企业本身的生产、经营、管理活动，而且将影响到整个社会的经济运行与结构。以互联网为依托的“电子”技术平台为传统商务活动提供了一个无比宽阔的发展空间，其突出的优越性是传统媒介手段根本无法比拟的。

⑥ 电子商务安全协议的定义

伴随着internet的蓬勃发展，电子商务正以其高效、低成本的优势，逐步成为新兴的经营模式和理念，b2b、b2c等经营模式的不断优化和成熟更是推动了世界范围内电子商务的发展。人们己不再满足于信息浏览和发布，而是渴望着能够享受网络所带来的更多的便利。为了满足人们的需求，越来越多的网站投身到提供电子商务服务的行列中来，越来越多的企业开始将自己的业务通过internet的形式直接提供给客户，一个基于internet的全球电子商务框架正在形成。而移动电子商务不仅具备电子商务快速、灵活、方便等特点，更是以其随时随地接入互联网进行商务活动的随时性、可移动性，引发其作为信息时代宠儿的“高温”效应。但是，由于电子商务本身存在的安全问题以及移动设施引发的新的商务安全隐患，使得其安全问题成为“高温”下的炸弹，直接关系到移动电子商务模式的运行前景。

移动电子商务虽然诞生于电子商务，但是其通过移动终端上网的特性决定了它存在和普通电子商务不同的安全性。在探讨移动安全的特性时，我们首先要考虑的是移动终端本身的安全性。只有当移动电子商务赖以依存的移动终端安全了，才可能进一步谈其它的移动安全问题。如今用于上网的移动终端主要有手提电脑、手机、pda等等，保障这些设备本身的安全以及在使用这些设备时遵循安全操作规范进行操作是移动电子商务安全保障的一个前提。当设备安全的前提得以保证后，我们就需要保证移动电子商务在应用中的安全，通常我们需要保障以下的一些安全问题：

1、无线应用软件效能监控与系统效能管理；
2、审核和检测针对移动电子商务的存取是否合法或授权；
3、网页做到安全性认证的整合，以确保资料安全以及人员存取合法
与保密；
4、数字证书或加密管理，实现不可否认性与完整性；
5、wireless lan是否有入侵以及数据包中是否隐藏病毒；
6、wireless网络的效能以及预测失败或错误预警事件；
7、pda等设备在与电脑连接存取时的安全(包括wap、wireless等存取方式)；
8、gateway主机以及所提供的服务加以监控；
9、实网络环境中加强防火墙、入侵侦测和弱点扫描，使企业交易内部的主机得到完全的保护。

这九点中在前面的论述己经提到了一些解决方法，针对移动的特性，可通过vpn来解决移动上网中的安全问题。vpn一一虚拟专用网就是在公用的internet网络上通过隧道协议建立起安全的私有网络。它可以满足以下三个安全的需要：
1、和你正在通信的人确实是那个你想要通信的人，你可能遇到的安全性问题是，在通信过程中，可能会碰到一个伪装者。
2、没有人能偷听你的通信内容，你的通信信息是保密的。
3、你接收到的通信信息在传输过程中没有被篡改。

这三点用信息的安全术语来说就是第一：认证，确认信息源；第二：信息保密性，传输的信息是加密的；第三：数据完整性，确认数据没有被篡改。只有当我们达到了这三点要求，才有可能保证移动电子商务在交易过程中的安全。
虚拟专用网主要基于以下技术：
1、ipsec，ietf (internet 工程师任务组)制定的ip安全标准；
2、通过认证机构(ca)发放数字证书和进行第二方认证，或使用“共享密钥认证”用于小规模的安全虚拟专用网；
3、隧道技术，允许公司内部专用ip地址穿越internet。通过这些技术，再集成上pki(公共密钥体系)就可以说是最完美最严密的vpn解决方案了，它通过密钥管理、安全交换以及隧道协议来实现上述的移动设备的通讯安全。

移动电子商务还有一个显着的特征就是一般通过无线上网来进行商务交易。目前所用的无线上网技术主要有:无线应用协议(wap)、移动ip技术、蓝牙技术、802.11b协议。无线应用协议是移动电子商务的核心技术之一，通过wap，手机用户就可以随时随地的接入互联网，真正做到不受时间和地域限制的移动电子商务。移动ip技术通过在网络层改变ip协议，从而实现notebook在网络中的无逢漫游，进行不间断的电子商务交易。蓝牙技术是一种取代线缆、实现数字空间的无线互联的一种技术，它可以很方便的和周围的网络设备进行连接，建立一个基于个人空间的无线网络。

802.11b协议是和蓝牙技术类似的一种技术，它实现的功能和蓝牙一样，但是其传输协议和传输距离都要强于蓝牙，它是基于企业的无线网络。这些无线协议本身的安全直接关系到移动电子商务的安全问题。假如我们使用的是802.11b技术进行移动上网，那么就等于将无线登陆入口公之于众，并“鼓励”所有拥有与之相匹配的网络适配卡的人登录，这时就需要使用wep(一种资料加密的处理方式)和虚拟专用网共同来保障其安全性。如果使用手机上网，那么我们就要注意数据传输过程中的加密问题，wap手机是无法进行端到端的加密，因此使用的是wap网关来保障数据的保密性。但是wap网关在使用过程中极易被黑客攻破，因此要真正实现安全，我们通常把无线传输层协议(wtls)和wap网关配套使用，并针对窄带通信信道进行优化，从而实现以下的功能：
1、数据完整性:确保终端和应用程序服务器之间传送数据的正确性。
2、私有性:确保在终端和应用程序服务器之间传送数据的私有性，任何中途试图截获数据流的设备均无法破译。
3、签权:可以在终端和应用程序服务器之间建立签权机制。
4、拒绝服务保护:可以检测和拒绝那些要求重传的数据或未成功检验的数据。w t l s使许多常见的拒绝服务攻击更难以实现，从而保护了上层协议。

这样我们就可以有效的实现人们在使用手机进行电子商务活动时的安全问题了。目前，由于蓝牙产品本身的安全性没有得到很好的解决，其安全机制很薄弱，因此在移动电子商务交易过程中我们建议暂时不使用蓝牙产品，待其本身的安全机制得以提高后，那么蓝牙技术在移动电在商务中的运用会逐步增多。

随着无线通讯技术的发展，移动电子商务也展示出更加亮丽的前景，它创造的是一种“无论何时何地”的新概念。赛博研究机构最近发布的一份题为《中国移动电子商务的现状及未来发展》专业研究报告称，基于无线互联网的移动电子商务(m-commerce)在国内拥有良好的市场前景，其发展将超过电子商务。在这如此热的领域里，我们还应该清醒的看到移动电子商务中存在的许多安全问题，详细分析其可能出现的情况并加以解决。只有当我们真正解决了移动电子商务中的安全隐患，排除了这枚炸弹，才可能吸引更多的人使用移动电子商务，才能带动移动电子商务的飞速发展。

⑦ 电子商务 SSL是什么的简称

SSL 是一个安全协议，它提供使用 TCP/IP 的通信应用程序间的隐私与完整性。因特网的 超文本传输协议 （HTTP）使用 SSL 来实现安全的通信。电子商务不仅需要加密，更重要的是需要增强在线消费者信心，让消费者相信电子商务网站的真实身份，所以严格身份验证的 SSL 证书对于电子商务来讲是至关重要的。

⑧ 安装常用的网络安全协议有哪些

常用的网络安全协议包括：SSL、TLS、IPSec、Telnet、SSH、SET 等

网络安全协议是营造网络安全环境的基础，是构建安全网络的关键技术。设计并保证网络安全协议的安全性和正确性能够从基础上保证网络安全，避免因网络安全等级不够而导致网络数据信息丢失或文件损坏等信息泄露问题。在计算机网络应用中，人们对计算机通信的安全协议进行了大量的研究，以提高网络信息传输的安全性。

网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。

⑨ 画图说明如何保证电子商务的保密性、完整性、不可抵赖性和身份的确定性

电子商务使用各种电子手段实现价值的业务活动主要是依靠网络，特别是互联网，它已经成为一个主要的互联网应用模式是一个必然的趋势和金融和业务。建立一个安全的电子商务应用环境，并提供足够的保护信息已经成为一个电子商务必须面对的一个问题。

重要的的电子商务技术特点是利用网络传输和处理商业信息，因此，电子商业安全主要包括两个方面：网络安全和业务安全以及执行这些安全依靠一些具体的安全技术，遵守安全协议。

1网络安全问题

网络安全主要是指计算机和网络安全可能存在的问题，那就是要保护电子商务平台的可用性和安全性的网络安全是电子商务的基础，问题的表现通常是：

1.1计算机网络安全问题带来了潜在的安全隐患

电脑配置的操作系统还没有涉及到网络安全，不管是什么操作系统，就会存在一定的安全在默认安装条件的问题，但只有操作系统安装后，默认情况下，再配上一个长的密码安全的想法是不可靠的，因为电脑软件的漏洞和“后门”往往是网络攻击的首选目标。

1.2入侵者风险降低的问题引起的网络安全，由于网络的全球性，开放性，共享发展，使任何人都可以自由访问互联网，其中还包括一名黑客，入侵者和病毒制造者的利润增加刺激。他们的攻击方法也越来越威胁到电子商务正变得越来越明显。相对来说，攻击的风险是非常小的，甚至是攻击后消失得无影无踪，使对方几乎没有实现的可能性报复他们的活动更加猖獗。 “雅虎”，“亚马逊”曾受到攻击的事件说明了这一点。 > 1.3安全设备所造成的不当使用网络安全问题

虽然绝大多数与网络安全设备的网站，有的甚至花费巨资，但由于安全设备因素或使用这些设备并没有发挥应有的或预期。许多安全厂商的产品人员的技术背景要求很高，往往超出一般的网络管理人员，甚至是制造商最初做正确安装到用户的技术要求，配置，一旦系统的变化，需要改变的设置与安全有关的设备，很容易产生大量的安全问题。通常意义上的网络管理人员往往不能够进行这样的工作。

因此，在实施网络安全预防措施应做到：第一，加强主机本身的安全性，做好安全配置，及时安装安全补丁，以减少漏洞;安装防杀毒软件和软件防火墙，整体防病毒措施，加强内部网络使用的各种系统漏洞检测软件定期对网络系统的扫描分析，找出可能的安全隐患，并及时修复，建立和提高各级从路由器到用户的访问控制措施，安装防火墙，加强授权管理和认证，相应的数据存储技术，提高了数据备份和恢复措施;敏感的设备和数据，以建立必要的物理或逻辑隔离措施;一定强度的数据加密要在公共网络上传输的敏感信息;创建一个详细的安全审计日志，以便检测并跟踪入侵攻击的同时，充分利用相关交易安全和计算机安全法法规已经公布的电子商务交易保驾护航。此外，在面对一般的网络管理员的技术水平，可以用于联合开发和维护的网络建设和维护，不断提高和完善自己的球队的技术水平经过前期的建设和维护，使其成长逐渐对网络安全主管

网络管理员的高度重视意识形态安全问题是十分必要的技术阶段的一代人的需求具有一定的滞后，并建立和实施了严格的和全面的网络安全系统和战略往往可以暂时无法实现的技术取代，毕竟，这才是真正的网络安全的基础。

通常包含了全方位的计算机网络安全体系结构的网络，访问控制，安全，系统安全，用户安全，信息加密，安全传输和管理安全的物理安全性。这一切的实现依赖于各种各样的国家的最先进的计算机安全技术，身份认证，访问控制，加密技术，防火墙技术，安全审计技术，安全管理，系统漏洞检测技术，黑客跟踪技术与安全核心系统，VPN安全隧道，身份认证，网络底层数据加密和网络入侵主动安全技术越来越先进和复杂，从不同的层面加强计算机网络的整体安全性，多渠道的严密的保安监视应用程序逐步建立防御之间的攻击和保护资源，增加的难度恶意入侵

为了确保电子商务活动的顺利进行，必须提高网络系统的安全性提供了稳定可靠的，强大的支持。

2业务的安全问题

企业安全业务交易体现在网络媒体的安全问题，也就是实现电子商务的保密性信息，完整性，真实性和不可抵赖性。

在早期的电子盘交易中，使用了一些简单的安全措施，如在网上交易最关键的数据，如信用卡号码通过电话告知，以防止泄漏，网上交易量和交易额，然后确认交易等方式来确保其真实性和不可抵赖性。该方法不仅容易操纵，并有一定的局限性，无法实现真正的安全。

2.1企业安全中普遍存在一些安全风险

2.1.1窃取信息

在传输过程中不使用加密或加密强度是不够的，纯文本或几乎明文传输的数据信息在网络上。入侵者通过移动设备或线截取法截取传送的信息的数据包，通过比较，发现它们的格式和窃取的数据参数的分析规则，然后发送的信息的内容，导致泄漏贸易秘密的消费支出，帐户密码和其他信息。

2.1.2篡改信息

当入侵者掌握了信息的格式和规则，信息网络传播截获，然后发送到原先指定的目的地，通过各种技术方法和手段，从而破坏了信息的真实性。入侵者通过信息流的顺序改变，改变的信息内容，删除一些信息，甚至插入一些额外的信息，使接收方做出错误的判断和决策。进一步

2.1.3信息假冒

掌握的数据和信息可以被篡改的格式由攻击者可以冒充合法用户访问和发送消息，远程收件人或发件人通常不容易区分的常见的方式伪造用户和企业订单接收到的文件，或程序的权限。

2.1.4破坏

攻击者已经侵入网络，已收到的权限的信息在网络上，现在网络有机地甚至删除其后果是非常严重的。

2.2业务安全要求

2.2.1业务信息的交易信息的保密性，需要遵循一定的保密规则，因为它的信息往往代表着国家，企业和个人的商业秘密。邮寄包或通过可靠的通信渠道发送商业信息，以达到保密的目的和要求，在传统的基于纸张的贸易和电子商务的一个更为开放的互联网环境，它是依靠网络本身形成基于开放的互联网市场，它获得了电子商务在这个新环境的支持，势必将使用相应的技术和手段，扩大和改善信息的保密性。一般使用加密技术来实现的。

2.2.2信息的完整性

不可否认电子商务的出现到计算机，而不是最复杂的劳动在各个方面对企业的贸易，开放网络的形式，简单的集成信息系统和自动化处理信息，如何保持各方的贸易信息诚信，团结，有一个问题，由于在数据输入的偶然误差（如电脑机，断电等情况自动处理），可能会导致到贸易各方的信息不一致。此外，数据传输过程中人为或自然损耗的信息（如丢包），重复信息或信息传播秩序差（如网络拥塞重发）可能会导致不同的交易方和诚信的贸易各种当事人之间的信息势必会影响到交易的过程中，和业务战略。保持双方的贸易信息的完整性是电子商务的方式来获得应用程序必须完整的基础，一般通过提取信息消息摘要

2.2.3信息将出现在交易的不可抵赖性交易抵赖现象，如发件人发送操作完成后，否认如何确定谁发送消息，或反之亦然，接受接收到的信息是不承认已收到的新闻文章。收到任何在交易过程中交易信息在交易各方是他们的合作伙伴之一，对方是不是假的，和谐的保证成功的电子商务活动。信息可以保证数字签名的邮件发送到获得一般用来确定身份证书机构CA证书。我们不知道，远在千里之外，使他们成为合作伙伴，毕竟不是一件容易的事情。

当然，在电子商务的发展，必然会出现的电子商务活动以及众多的要求，如在签署协议后的交易信息定义的老龄化，是否和相信电子商务技术和法律来规范人们的需求，并帮助他们实现，以确保的电子商务交易和公平的严重性。

电子商务安全技术

加密技术的一个重要手段，确保电子商务，电子商务的安全性，以确保安全使用加密技术的3.1加密技术敏感信息的加密，保证

3.1.1加密技术状态

许多IT技术，加密技术层出不穷，为人们提供了很多电子商务的保密性，完整性，真实性和不可抵赖性服务。的选择，但同时也带来了一个问题 - 兼容性，不同的企业可能使用不同的标准。

另外，加密技术一直由国家控制的，如SSL出口美国的限制，美国国家安全局（NSA），美国的企业一般可以使用128位SSL，但只允许加密出口40以下算法的关键。而40位的SSL加密强度，但它的安全系数明显低于128位SSL很多美国以外的国家，是难以真正充分利用SSL在电子商务中，这不能不说是一个遗憾。目前，中国的上海电子商务安全证书管理中心的128位SSL算法来弥补空缺，在全国，也带来了广阔的前景，为中国的电子商务的安全。

3.1.2常用的加密技术/>对称密钥的加密算法：对称密码系统，而不是从传统的简单的换位密码演变的加密模式序列和块密码可以分为两大类。

非对称加密算法：也被称为公钥算法，其特点是两个关键的公钥和私钥，两人必须成对使用，以完成整个过程的加密和解密的技术，特别适用于加密数据在分布式系统中被广泛使用在网络中的公众。公共密钥，用于加密的数据作为数据源，并接受相应的私钥解密数据托管。

不可逆的加密算法：加密过程不需要密钥和加密数据无法解密，只有输入相同的数据在同一可逆加密算法的比较，得到相同的加密数据。 ，因为它不具有一个键，所以没有密钥的保管和分配方面的问题，但由于其加密计算工作量，比通常仅在有限数量的数据，如在计算机系统中的密码信息进行加密的情况下。

3.1.3电子商务的常用加密技术

数字摘要：也被称为安全散列编码方法的编码方法使用单向散列函数将被加密的明文“摘要”成一串128bit的密文的密文，该字符串也被称为数字指纹，具有固定的长度，并明确表示其结果密文的摘要是不一样的，相同的明文其摘要一致。

数字签名：数字签名是数字摘要，公用密钥算法两种加密方法结合起来使用，它是数据包的发送方从报文文本生成一个128位的散列值（消息摘要）的数字签名作为报文的附件和报文的发送方用自己的私钥对这个散列值进行加密来形成发送方的数字签名，然后一起发送给收件人的第一个数据包都有一个128位的散列值的数据包的接收者从接收到的原始数据包（或消息摘要），然后使用发送方的公共密钥来解密该数字签名的报文附加的计算，如果两个散列值是相同的，那么接收方将能够确认该数字签名的寄件人可实现对原始报文的认证和不可抵赖性的数字签名，有效地防止了拒绝签名，以及非正当签名者假冒

数字时间戳：在交易时所采取的安全措施文件由专门的机构提供的在线安全服务。时间戳的证书加密的文档，其中包括：形成该文件的摘要需要添加一个时间戳，数字的时间标记的服务接收的数字签名，该文件的日期和时间，数字时间戳服务的

数字证书：数字证书，也被称为数字证书来确认用户的身份和对网络资源的访问，通过电子手段，主要是个人证书，企业证书（服务器），软件（开发者）凭证。

3.2认证技术在网络上通过的权威性和公正性的第三方 - 认证中心，应用程序用户的身份信息（如姓名，身份证号等）捆绑他的公钥一起上验证

网络以确定用户的身份。数字时间戳服务和前面提到的发行数字证书认证中心，也通过。

3.3支付网关技术支付网关，通常位于公众之间的网络和传统的银行网络（或终端之间的收费系统），其主要功能：对数据包解密来自公众网络，并在按照与银行系统，内部通讯协议的数据重新打包，银行体系内的接收传回的响应消息，将数据转换成公共网络传输的数据格式，和完整的通信，协议转换和数据加密加密解密功能的支付网关技术，保护银行的内部网络之外，支付网关还具有一键保护和证书管理，和其他功能（一些内部网关还支持存储和打印数据扩展）。

电子商务安全协议技术

SSL协议4.1 SSL（安全套接层协议）也称为安全套接字层协议，面向连接的协议，现在使用的主要协议之一但首先，我不是专为电子商务的协议，使用公开密钥体制和X.509数字证书技术保护信息传输的SSL协议来发送和接收数据在应用层的谈判前的保密性和完整性到应用层的加密算法，连接密钥和认证通信双方，由于其独立性，从应用层协议提供了一种安全的传输通道，往往在电子交易通道上的透明加载任何级别的应用程序协议（如HTTP ，FTP，Telnet等），以确保在应用层的数据传输的安全性。可用于以固定传送信用卡号码，但因为它是一个面向连接的协议，只适合点 - 到 - 点之间转让信息，它可以只提供认证的双方不能满足今天的主流中验证方三方合作的商业模式，因此确保信息的不可抵赖性是有缺陷的。

4.2 SET协议（安全电子交易）

SET协议也称为安全电子交易，电子交易，基于信用卡的应用规则来实现安全的措施相比，SSL协议，并做了一些改进。业务的安全问题常常为他们在交易中的交易信息保密，并不会被窃取，持卡人希望企业要真实有效的客户订单，并在交易过程中，交易双方都希望的身份验证为了防止被骗鉴于这种情况，对方Visa和MasterCard两大信用卡组织，以及微软等公司共同开发的SET协议，谁也不能保证安全资金支付的技术标准，通过一个开放的网络（包括互联网），它采用公钥密码体制和X.509数字证书标准，主要用于保护网上购物的安全性信息。消费由于SET认证，商家和银行来弥补缺乏SSL以确保交易数据的安全性，完整性，可靠性和交易的不可抵赖性，尤其是确保消费者银行卡号暴露给商家的优点，因此它已成为举世公认的信用卡/借记卡网上交易的国际安全标准。

另外安全超文本传输协议（SHTTP）和安全交易技术协议（STT）。电子商务协议规范。

5结束语
安全是电子商务的心脏和灵魂。电子商务网络安全和业务安全，网络安全和业务安全性的双重要求是分不开的计算机网络安全作为基础的商业交易的安全性，如空中楼阁，出了问题，业务安全，即使电脑网络本身再安全，仍然无法达到电子商务的具体的安全要求和电子商务技术和各种协议是可以实现的安全保证。