电子商务安全协议的一种形式化分析方法
第30卷第4期苏 州 大 学 学 报(工 科 版)Vol 30No.4 2010年8月J OUR NAL OF SUZ HOU UN I VERSI TY(ENGI NEER I N G SC I ENCE EDITI ON)Aug.2010
文章编号:1673-047X(2010)-04-0060-06
电子商务安全协议的一种形式化分析方法
王 亮
(苏州大学计算机科学与技术学院,江苏苏州215006)
摘 要:随着网络技术的飞速发展,电子商务已成为大众广泛接受的一种商贸模式,越来越多的密码技术被广泛应用到电子商务安全协议中,形式化方法是一种行之有效的电子商务安全协议分析方法。针对原始串空间模型无法对密码学中一些复杂的操作作出描述和分析,通过扩展串空间模型,并在此基础上又相应扩展了认证测试方法,包括输入测试、输出测试以及自发测试的扩展,提出了一种基于丰富密码学的认证测试方法的扩展;最后分析了电子商务安全协议中的TLS1.0握手协议,验证了协议的认证属性。
关键词:电子商务;安全协议;形式化方法;串空间模型;认证测试方法
中图分类号:TP919 文献标识码:A
0 引 言
电子商务安全协议作为切实保证交易双方信息数据安全,维护双方切身利益的关键因素,其重要性不言而喻。然而随着越来越多的密码技术被应用到电子商务安全协议之中,各种针对安全协议的攻击技术也不断地出现,这就对电子商务安全协议的分析提出了更高的要求。形式化方法是一种行之有效的安全协议分析方法,其中串空间模型及其相关理论的出现大大推动了安全协议的形式化分析研究。
串空间模型是Fabrega、H erzog和Gutt m an在1998年提出的一种安全协议形式化分析方法。认证测试方法是在串空间模型基础上提出的一种安全协议的验证测试方法。认证测试方法[1]与串空间模型相比在验证过程中显得更直观、简洁和清晰。由于串空间模型在最早提出的时候并没有考虑到密码技术中的一些复杂操作,因此在分析电子商务安全协议时需要对串空间模型进行扩展[2]。本文通过串空间模型的扩展相应对认证测试方法也进行了扩展,包括输入测试、输出测试以及自发测试的扩展。最后以TLS1.0握手协议为例,验证了协议的认证性,说明了扩展后方法的正确性。
1 串空间模型的扩展
由于原始的串空间模型无法描述和分析在电子商务安全协议中使用越来越广泛的一些复杂操作,比如DH计算、签名运算和散列函数等。因此,需要对串空间模型进行扩展,主要包含以下部分:消息项扩展、子项关系扩展及入侵者模型扩展。
1.1 消息项的扩展
首先需要在模型的消息项加入散列函数、签名运算以及DH计算的描述并相应地加入一些新的数据集合。设消息项集合为A E,它的元素就是协议中主体之间交换的所有可能的消息,称为项空间。用 +表示发送消息,用 -表示接收消息。用<< 1,a1>,!,< n,a n>>表示集合(?A)*的一个元素,其中,a i#A, i是 ﹢号或 -号,(?A)*表示有符号项的有限序列的集合。
收稿日期:2010-04-10
作者简介:王 亮(1980-),男,硕士研究生,主要研究方向为信息安全、形式化方法。
第4期 王 亮:电子商务安全协议的一种形式化分析方法61
定义1 消息项A E中的原子项集合由下列集合生成:
文本项T(Text ter m s),用t表示;
密钥项K(Key ter m s),用k表示。
计算DH值D,用D表示,包括:
生成元g;
DH计算所得的值,g x,g y,g xy。
其中:T?K?D= ,D是新加入的原子项。
在这些原子项上操作得到密钥项、连接项、散列项、签名项以及DH值,包括:
加密运算encr:K%A&A;
连接运算jo i n:A%A&A;
散列函数hash:A%K&K;
签名运算sign:K%A&A;
DH计算DH:D%D&D。
其中:hash,si g n,DH是新加入的运算。
记:加密运算encr(K,M)={|M|}k,连接运算jo i n(a,b)=ab,散列函数hash(m)=H k(m),签名运算si g n(K,M)=[|M|]k。
证明安全协议正确性时,需要用到自由假设。由于消息项加入了新的数据类型D和新的操作,那么自由假设也需要得到相应的扩展。具体包括如下:
自由加密假设
{m}k={m?}k? m=m?(k=k?;
自由散列假设
H k(m)=H k?(m?) m=m?(k=k?;
自由签名假设
[m]k=[m?]k? m=m?(k=k?;
自由DH计算假设
DH(d1,d2)=D H(d1?,d2?) d1=d1?(d2=d2?。
其中:散列、签名和DH计算是新加入的自由假设。
1.2 子项关系的扩展
子项关系表示以不同的运算从所属消息项中提取子项。随着消息项运算的扩展,子项关系也要相应扩展。其定义如下:
a,t其中t#T,当且仅当a=;t
a,t其中t#K,当且仅当a=;t
a{g}k,当且仅当a g)a{g}k;
a,t其中t#gh,当且仅当a g)a h)a gh;
a[|g|]k,当且仅当a g)a[|g|]k;
a H k(g),当且仅当a g)a H k(g);
a DH(d1,d2),当且仅当a d1)a d2)a DH(d1,d2)。
其中:a为项,后三项是新加入的子项关系。
1.3 入侵者模型的扩展
在串空间模型中,入侵者行为能力由两部分组成,一个是初始知识集I K,另一个是入侵者根据I K和截获的消息动态生成的消息。令K P表示入侵者知道的所有密钥,它包括所有主体的公开密钥、入侵者的私钥、根据协议规则所掌握的其他主体会话的对称密钥,以及与入侵者共享的对称密钥K PX、丢失或被破解的密钥。
D P表示入侵者生成的DH值,M P表示入侵者截获的信息,则I K=K P?K PX?D P?M P。入侵者串的攻击能力
62
苏州大学学报(工科版)第30卷
定义如下:
M.发送消息: <+t>,t#T;
F.接收消息:<-g>,g#A;
T.重放消息:<-g,+g,+g>;
E.加密消息:<-K,-h,+{h}k>,K#K p;
D.解密消息:<-{h}k,-k-1,+h>,K#K p;
C.连接消息:<-g,-h,+gh>,h#A;
S.拆分消息:<-gh,+g,+h>;
K.发送密钥:<+K>,K#K p;
S i.签名:<-k,-h,+[h]k>,k#K,h#A;
H k.计算hash值:<-g,+hash(g)>;
D c.计算DH值:
其中:S i,H k,D c是新加入的入侵者能力。
2 认证测试方法的扩展
认证测试方法是在串空间模型基础上提出的一种形式化方法。由于串空间模型中加入了新的数据类型以及新的操作运算集,因此扩展认证测试方法主要包括:基本概念扩展、输出测试扩展、输入测试扩展以及自发测试扩展。认证测试方法中的测试分量、转换边以及被转换边等基本概念也同样需要扩展。
定义2 令C为一个丛,s为一个串,n1,n2#s,则对于a#A E,
若n1为负结点,n2为正结点,则n1 +n2是转换边;
若n1为正结点,n2为负结点,则n1 +n2是被转换边;a ter m(n)并且n2产生一个新的分量t2,使得a t2。
定义3 t={|h|}k或者t=[|h|]k或者t=H k(|h|)或者t=d是a在n上的测试分量,则:
(1)a,t t是n的分量。
(2)t不是任何一个正常结点n?的子项,n?#。
定义4 若n0 +n1是对a的测试,且k-1!K p,则n0 +n1是a在t={|h|}k或者t=[|h|]k或者t=H k (|h|)或者t=d中的输出测试。其中a仅包含在n0的分量t中,t是a在n0中的测试分量。
针对测试分量中的DH计算,输出测试方法(如图1)扩展如下:
认证测试1:令C为一个丛,n,n?#C,n +n?为a在t中的输出测试,t1是新生成的分量,则:
存在正常结点m,m?#C,使得t是m的分量,且m +m?是a的变换边。
假设a仅存在于m?的分量t1=d中,t1不是任何一个正常分量的真子集,且k-1!K p,则存在一个负的正常结点,t1为该结点的分量。
图1 输出测试扩展图2 输入测试扩展定义5若n1 +n2是对a的测试,且K!K p,则它是a在t={|h|}k或者t=[|h|]k或者t=H k(|h|)或者t=d中的输入测试。其中t1是a在n1中的测试分量。
针对测试分量中的DH计算,输入测试方法(如图2)扩展如下:
认证测试2:令C为一个丛,n,n?#C,n +n?为a在t中的输入测试,t1是新生成的分量,则存在正常结点m,m?#C,使得t是m?分量且m +m?是a的转换边。
第4期 王 亮:电子商务安全协议的一种形式化分析方法63
定义6 若t={|h|}k或者t=[|h|]k或者t=H k(|h|)是任何a在n中的测试分量,且K!K p,则负结点n是t的自发测试。
认证测试3:令C为一个丛,n#C,n是t={|h|}k或者t=[|h|]k或者t=H k(|h|)或者DH(k,d)的一个自发测试,则存在一个正结点m#C,且t是m的一个分量。
3 实例分析
TLS1.0传输层安全协议I E TF(Internet Eng i n eering T ask Force)是在1999年1月推出的,与我们熟知的电子商务安全协议SSL3.0握手协议比较来说,两者有极其相似的地方。首先它其实是建立在SSL3.0的基础之上的,其次同样也是用于为两个通信应用程序之间提供安全性和可靠性的。TLS1.0为C/S通信模式提供的安全性和可靠性依赖于TLS1.0握手协议的安全性,因此分析TLS1.0协议的安全性,主要分析TLS1.0握手协议的安全性,不分析其他层次的协议。
将TLS1.0握手协议简化为:
消息1:C&S:C;
消息2:S&C:S,[|d1|]K s;
消息3:C&S:[|d2|]K c,{|C,S,DH(d1,d2),d1|}k;
消息4:S&C:{|S,C,DH(d1,d2),d1|}k。
3.1 TLS1.0握手协议的串空间构造
首先要构造TLS1.0握手协议的串空间模型,然后验证发起者和响应者能够实现双向认证。
串空间包括合法者串和非法者串集合,TLS1.0握手协议的串空间包括发起者串I n it、响应者Resp和入侵者串P的集合,可表示为=Init?R esp?P。
发起者串S i#I n it[C,S,d1,d2,DH(d1,d2)],其迹具有下述形状:
<< 1,a1>,< 2,a2>,< 3,a3>>=<+C,-{S,[|d1|]K s},+{[|d2|]K c,{|C,S,DH(d1, d2),d1}k},-{|S,C,DH(d1,d2),d1|}k>。所有发起者串的参数和迹都满足以上形式,并且与之相关联的协议主体是C。
响应者串S r#Resp[C,S,d1,d2,DH(d1,d2)],其迹具有下述形状:
<< 1,a1>,< 2,a2>,< 3,a3>>=<-C,+{S,[|d1|]K s},-{[|d2|]K c,{|C,S,DH(d1, d2),d1}k},+{|S,C,DH(d1,d2),d1|}k>。所有响应者串的参数和迹都满足以上形式,并且与之相关联的协议主体是S。
发起者和响应者串空间模型分别如图3和图4所示。
图3 TL S1.0握手协议发起者串空间模型图4 TLS1.0握手协议响应者串空间模型串空间模型中丛描述了安全协议通信模型,代表一轮协议的完整运行。TLS1.0握手协议的串空间模型中包含发起者串和响应者串,设C是TLS1.0握手协议串空间模型中的一个丛,协议运行过程如图5所示。
64
苏州大学学报(工科版)第30卷
图5 TL S1.0握手协议串空间模型
3.2 协议的认证属性验证
认证测试方法验证协议时首先要构造测试分量;其次确定测试类型,并应用相应的测试方法;最后比较串的内容得到结论。在TLS1.0握手协议中,协议的目标是发起者C和响应者S能够实现双向认证,那么验证过程包括两个部分。
有如下基本假设:+K s,K s!K p;,d1和d2唯一产生;?d1.d2。
首先按照协议的目标,发起者验证响应者。验证过程如下:
构造测试分量。由于d1唯一产生于结点n1,因此[|d1|]K s是d1的测试分量,n1 +n2构造了d1在[|d1|] K s中的输出测试。
应用认证测试1得到:由于d1唯一起源于n1,因此存在正常结点m,m?#C,使得ter m(m)=[|d1|]K s并且m +m?是d1在[|d1|]K s的转换边。
定义结点m。由第2步的结果可得,m为负结点。假设m为协议中某个响应者串S?中的结点,S?=R esp [C,S,d1,d2,DH(d1,d2)]m=
比较串的内容。比较ter m(
证明DH(d1,d2)=DH(d1,d2)?,C=C?。应用认证测试1,将t1={|C,S,DH(d1,d2),d1|}k作为m?的分量,因此存在一个正常结点m,m为负结点,ter m(m)=t1。
定义结点m。若结点m为某个发起者串S/中的结点,m=且m为负结点,ter m(m)={|C,S, DH(d1,d2),d1|}k。
比较串S和S/的内容。由于d1唯一产生于初始者串S,由此可知:DH(d1,d2)=DH(d1,d2)?,C=C?。
由此证明了发起者能够成功验证响应者。
其次,按照协议的目标,响应者验证发起者。验证过程如下:
构造测试分量。由于d2唯一产生于结点m2,因此[|d2|]K c是d2的测试分量m2 +m3构造了[|d2|]K c 中的输出测试。
应用认证测试1得到:存在正常结点n,n?#C,使得ter m(n)=[|d2|]K c并且n +n'是d2在[|d2|]K c的转换边。
定义结点n。由第2步的结果可得,n为负结点。假设n为某个发起者串S?中的结点,S?=I n it[C,S, d1,d2,DH(d1,d2)],n=
比较串的内容。比较ter m(
证明DH(d1,d2)=DH(d1,d2)?,S=S?。应用认证测试1,将t1={|C,S,D H(d1,d2),d1|}k作为m?的分量,因此存在一个正常结点m,m为负结点,ter m(m)=t1。
定义结点m。若结点m为某个发起者串S/中的结点,m=且m为负结点,ter m(m)={|C,S, DH(d1,d2),d1|}k。
比较串S和S/的内容。由于d1唯一产生于初始者串S,由此可知:DH(d1,d2)=DH(d1,d2)?,S=S?。
由此证明了响应者能够成功验证发起者。
以上分析了TLS1.0握手协议,说明了基于DH计算的认证测试方法扩展的正确性。
第4期 王 亮:电子商务安全协议的一种形式化分析方法65
4 结 语
本文扩展了串空间模型及其认证测试方法,增强了其对于密码学中一些复杂操作如DH计算、签名运算和散列函数等的描述和分析能力。以电子商务安全协议中的TLS1.0握手协议为例,说明了扩展的串空间模型及其认证测试方法的正确性,验证了协议的认证性。研究表明,扩展后的这种形式化方法,可以更好地描述和分析广泛应用密码技术的电子商务安全协议。
参考文献
[1]杨 明,罗军舟.基于认证测试的安全协议分析[J].软件学报,2006,17(1):148-156.
[2]沈海峰,薛 锐,黄河燕.串空间理论扩展[J].软件学报,2005,16(10):1784-1789.
A M ethod for For m al Analysis of E?Co mm erce Security P rotocol
W ang liang
(S chool of C o mpu ter Science and Technology,Suzhou U n i versit y,Suz h ou215006,Ch i n a)
Abst ract:W ith the rapi d deve l o p m ent o f net w ork technolog i e s,e?co mm erce has beco m e a w i d ely accepted busi n ess m ode.l Therefore,a gro w i n g num ber o f cryptograph ic techn i q ues are w ide ly used i n e?co mm erce security pr o toco,l a?m ong wh ich t h e for m alm ethod is an e ffecti v e w ay of security protoco l analysis.H ow ever,the or i g i n al strand space m ode l canno tm ake analyses and descri p tion of the mo re co m plex operations i n cryptography pri m itives.By expan?di n g i,t w e correspond i n gly expand the authenticati o n testm ethod,inc l u d i n g i n co m ing tes,t outgo ing test and unso?licited tes,t and put for w ar d a w ay to expand t h e authen ticati o n testm e t h od that is based on the rich cryptograph ic pr i m itives.A t las,t w e ana lyzes TLS1.0handshaking pr o toco l of e?co mm erce security protoco ls,and va lidate the authenticati o n pr operties of the protoco.l
K ey W ords:e?co mm erce;security protoco;l for m a lm ethod;strand space mode;l authenticati o n testm ethod
电子商务安全协议
电子商务安全协议 Xxx (华中科技大学电子与信息工程系,武汉430074) 摘要:随着人类进入以网络为主的信息时代,Internet 的高速发展带来了商业和经济模式的重大变革。基于 Internet 发展起来的电子商务慢慢成为人们进行商务活动的新模式,但是安全问题成为了制约其发展的重要因素。本文简单介绍了电子商务安全的相关问题以及电子商务中的主流安全协议:SSL协议与SET协议,并对两种协议的优缺点进行了一定的比较分析。 关键词:电子商务,安全协议,SSL,SET 1.电子商务安全概述 随着信息技术的迅速发展,人类正进入以网络为主的信息时代,基于Internet发展起来的电子商务慢慢成为人们进行商务活动的新模式。但是,电子商务的安全问题也是制约其发展的重要因素之一,如何建立一个安全、便捷的电子商务应用环境,保证整个电子商务活动中信息的安全性,使基于Internet的电子交易方式与传统交易方式一样可靠。 1.1.电子商务的定义 电子商务是把现有的计算机软件、硬件设备和网络设施,通过一定的协议连接起来的在电子网络环境下进行各种商品买卖的一种新方式。电子商务改变了传统的面对面交易模式,同时在一定程度上打破了时间和地点的限制。虽然电子商务具有快捷性、方便性、不受时间地点的限制、相对传统交易开销小等诸多优点,但是却存在安全性方面的许多隐患。 1.2.电子商务的安全要素 为了保证电子商务在整个商品交易活动中,可以安全顺利的进行,一般来说,需要电子商务的安全系统必须具备以下几个安全要素: 1)有效性:要求电子商务系统可以对信息,交易实体的有效性进行鉴别 2)机密性:保证信息在存取和传输过程中的安全性 3)数据的完整性:即保护数据的完整性,防止有人没有经过授权就对数 据内容进行修改,同时还要保证数据的一致性
电子商务安全技术研究
电子商务安全技术研究 董永东葛晓滨 (1. 科大恒星电子商务技术有限公司,安徽合肥230088;2. 安徽财贸职业学院,安徽合肥230601) 摘要电子商务的实施,其关键是要保证整个商务过程中系统的安全性。本文从电子商务系统面临的安全隐患分析入手,系统地剖析了电子商务安全问题,并针对这些问题详细研讨了为保障电子商务安全应采取的安全措施和安全技术。 关键词电子商务;安全;技术 1 引言 电子商务运作过程中,大量的商务活动是通过Internet、Extranet或Intranet网络实现的,商务活动中的支付信息、订货信息、谈判信息、机密的商务往来文件等商务信息在计算机系统中存放,并通过网络传输和处理。与此同时,计算机####、计算机病毒等造成的商务信息被窃、篡改和破坏以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重危害着电子商务系统的安全。尤其是基于因特网之上的电子商务活动,对安全通信提出了前所未有的要求。因此,安全性是影响电子商务健康发展的关键和电子商务运作中最核心的问题,也是电子商务得以顺利进行的保障。电子商务安全包括有效保障通信网络、信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。本文对此进行了探索和研究。 2 电子商务面对的安全问题及其对策 电子商务安全研究的主要内容涉及到安全电子商务的体系结构、现代密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。我们先对电子商务面对安全隐患分析如下。 2.1 电子商务中的安全隐患 电子商务是在开放的网络上进行的,保证商务信息的安全是进行电子商务的前提。电子商务的安全隐患主要来源于以下几个方面: (1)信息的窃取。如果没有采取加密措施或加密强度不够,攻击者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。 (2)信息的篡改。当攻击者掌握了网络信息格式和规律以后,通过各种技术方法和手段对网络传输的信息在中途修改,然后发往目的地,从而破坏信息的完整性。这种破坏手段包括篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个消息或消息的某些部分等。 (3)信息的假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以冒充合法用户发送假冒的信息或主动窃取信息。比如伪造电子邮件,虚开收订货单,窃取商家的商品信息和用户信用后冒用,冒充领导发布命令、调阅密件,冒充他人消费、栽赃,接管合法用户,欺骗系统,占用合法用户的资源等。 (4)交易的抵赖。交易抵赖包括多个方面,如发送方事后否认曾经发送过某条信息或内容;接收方事后否认曾经收到过某条消息或内容;购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。 2.2 电子商务面对的安全问题 2.2.1 计算机安全问题 计算机是电子商务活动中所使用的重要工具,因此计算机的安全对于电子商务安全具
电子商务安全协议及支付安全
5.1.1 SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上,运行在TCP/IP协议之上而在其他高层协议(如HTTP、Telnet、FTP和IMAP等)之下,如图5-1所示。在建立一次SSL连接之前,首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时,支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己,还允许这两个机器之间建立安全的加密连接,同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议,其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式,它位于一些可靠的传输层协议之上(如TCP),用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上,并被SSL记录协议所封装。它描述建立安全连接的过程,在客户和服务器传送应用层数据之前,该协议允许服务器与客户机之间协商加密算法和会话密钥,完成通信双方的身份验证等功能。 图5-1 SSL协议的分层结构 5.1.2 SSL记录协议 SSL记录协议(Record Protocol)定义了传输的格式,包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示: 图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块,把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快,压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的
MAC算法对压缩块计算MAC,用指定的对称加密算法加密压缩块和MAC,形成密文块。 4.对密文块添加SSL记录头,然后送到传输层,传输层受到这个SSL记录层数据单元后,记上TCP报头,得到TCP数据包。 图5-3 SSL记录协议中数据项的格式 5.1.3 SSL握手协议 图5-4 SSL建立新会话时的握手过程 1)建立新会话时的握手过程 握手协议用于数据传输之前。它可以进行服务器与客户之间的身份鉴别,同时通过服务器和客户协商,决定采用的协议版本、加密算法,并确定加密数据所需的对称密钥,随后采用公钥加密技术产生共享机密信息(例如对称密钥)。每次连接,握手协议都要建立一个会话。会话中包含了一套可在多次会话中使用的加密安全参数,从而减轻了每次建立会话的负担。然而,必须指出的是,SSL中的每次连接时,在握手协议中产生的对称密钥都是独特的,这种每次更换密钥的方法显然在更大程度上确保了系统的不易攻破性。 根据是否验证对方的证书,SSL的握手过程可以分为以下三种验证模式:客户和服务器都被验证;只验证客户机,不验证服务器,这是Internet上使用最广泛的形式;客户和服务器都不验证,也称为完全匿名模式。SSL握手协议建立一个新的会话的过程如图5-4所示,具体如下: 阶段1:确定一些相关参数,包括协议版本、会话ID、加密规格、压缩算法和初始随机数 (1)客户端发送client_hello消息给服务器,向服务器传送客户端支持的SSL协议的版
中国电子商务发展现状分析
中国电子商务发体现状分析 一、电子商务的概况 电子商务(EleetrohieCommeree简称EC)是在Internet开放的网络环境下,作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带人一个网络经济、数字化生存的新天地。电子商务,是指实现整个贸易活动的电子化。从涵盖范围方面能够定义为:交易各方以电子方式而不是通过当面交换或直接面谈方式实行的任何形式的商业交易.从技术方面能够定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(如共享数据库、电子公告牌)以及自动捕获数据(如条形码)等。实现消费者的网上购物、商户之间的网上交易和在线电于支付的一种新型的商业运营模式。电子商务减少员工成本、文件处理成本,缩短了商业交易时间,提升服务质量,降低了安全库存量,减少错误信息,增加了贸易机会。综观而论,电子商务与传统贸易相比具有:世界性、直接性、便捷性、均等性等四大特点而得到人们的普遍欢迎。在国际竞争面前,从诸多的层次来看,电子商务为我们创造了崭新的市场机会。 电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成一个不可分割的整体;客户能以非常简捷的方式完成过去较为萦杂的商务活动。电子商务的内涵可认为是:信息内容,集成信息资源,商务贸易,协作交流。 电子商务的发展要以推动BZB(企业对企业)业务为重点,从四个方面人手:一要使企业成为主体,二要以专业切人点,三要展开国际贸易的网上交易,四要建立面向中小企业的中介服务网。1997年7月美国政府在泛征求了产业界、消费团体和In-ternet界的意见之后,指定的一个世界电子商务框架(AFrame-workforGlobalEleetro垃eCommeree)计划,其中体现了政府对电子商务的三项基本政策:(l)让企业在电子商务发展中起主导作用(2)政府参与管理应以积极促动电子商务发展为原则,(3)应在世界范围内促动Inter二t上的电子商务。
电子商务安全保障体系
目的要求:通过学习了解电子商务环境中的安全威胁后解决安全威胁的技术手段和方案 重点难点:解决安全威胁的技术手段和方案 组织教学:点名考勤;复习;引入新课;讲解理论知识;实例演示;指导学生练习;总结 总结复习导入新课:。 提问:1、什么是电子商务? 教学方式、手段、媒介:讲授、多媒体;媒介:教材 教学内容: 第一节电子商务 一、公钥基础设施 公钥基础设施是由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成,管理密钥和证书的系统或平台。 用于解决电子商务中安全问题的PKI 技术。PKI(Public Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI 的核心组成部分 CA(Certification Authority),即认证中心,它是数字证书的签发机构。数字证书,有时被称为数字身份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。 1、认证中心 认证中心(Certificate Authority, 简称CA),也称之为电子认证中心,是电子商务的一个核心环节,是在电子交易中承担网上安全电子交易认证服务,签发数字证书,确认用户身份,与具体交易行为无关权威第三方权威机构。 为安全电子交易中之重要单位,为一公正、公开的代理组织,接受持卡人和特约商店的申请,会同发卡及收单银行核对其申请资料是否一致,并负责电子证书之发放、管理及取消等事宜。是在线交易的监督者和担保人。主要进行电子证书管理、电子贸易伙伴关系建立和确认、密钥管理、为支付系统中的各参与方提供身份认证等。CA类似于现实生活中公证人的角色,具有权威性,是一个普遍可信的第三方。 认证中心可官方将某个公钥授权给用户。如果一个公司在内部或同可靠的商业伙伴交往时使用了数字证书,就可能会出现这样一个机构。Netscape和Xcert提供了用于管理数字证书的证明服务器。 当很多用户共用一个证明权威时,证明权威应该是个受到大家信赖的可靠方。证明权威甚至可以是个规模更大、公用程度更高的实体,比如GTE、Nortel或Verisign,它们在验证身份和签发数字证书上的严谨态度早已众口皆碑。
电子商务安全技术案例分析
第7章电子商务安全技术案例分析 7.4.1 网络病毒与网络犯罪 2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。 2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。 随着中国首例利用网络病毒盗号牟利的“熊猫烧香”案情被揭露,一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。 李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说,该产业的利润率高于目前国内的房地产业。 有了大量盗窃来的游戏装备、账号,并不能马上兑换成人民币。只有通过网上交易,这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币。 李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。据估算,被“熊猫烧香”病毒控制的电脑数以百万计,它们访问按流量付费的网站,一年下来可累计获利上千万元。 有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。根据刑法规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。 通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的。目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全。 根据法律,制造传播病毒者,要以后果严重程度来量刑,但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。 7.4.2 电子签名法首次用于庭审 北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据?2005年6月3日,海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。 2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000,刚回北京做了眼睛手术,不能出门,你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后,杨先生再次收到韩某的短信,又借给韩某6000
电子商务安全体系结构
安全体系结构 (一)安全体系结构图 如图3所示,电子商务安全体系由四层组成,由下至上分别是:安全协议层、安全认证层、加密技术层、网络安全层。 图3 电子商务网站安全体系结构 (二)安全体系分层 整个电子商务网站安全体系由下至上分为四层:安全协议层、安全认证层、加密技术层、网络安全层。这四个安全层包含了从安全交易协议到入侵攻击预防的整个防御及安全策略体系。下面就来看一下每一层分别有哪些作用。 (1)网络安全层 网络安全层包含了防御攻击的VPN技术、漏洞扫描技术、入侵检测技术、反
病毒技术、防火墙技术、安全审计技术等,通过一系列的技术防御保证网络被访问时的安全,防止漏洞被攻击、网络被入侵。 (2)加密技术层 加密技术主要保障信息在传输过程中的安全性,防止信息在传输过程中被窃取或篡改。加密技术一般分为对称加密技术与非对称加密技术。 (3)安全认证层 安全认证层涉及到数字签名、数字时间、数字信封、信息摘要、数字凭证、认证机构等。安全认证层可以验证交易双方数据的完整性、真实性及有效性。(4)安全协议层 安全协议层置于电子商务安全体系的最下层,也是电子交易中非常关键的一个部分,通过协议层完成交易。一般电子商务中使用的安全协议有SSL协议和SET协议。 访问控制技术 访问控制是指对网络中的某些资源的访问要进行控制,只有被授予特权的用户才有资格并有可能去访问有关的数据或程序。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证资源不被非法使用和非法访问。常用的访问控制技术有:入网访问控制,网络的权限控制,目录级安全控制,防火墙控制,网络服务器控制,网络监测和锁定控制等。 数字认证技术 数字认证也称数字签名,即用电子方式来证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。 数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用HASH函数将一段长的报文通过函数变换,转换为一段定长的报文。
电子商务案例分析教案(DOC37页)
第一章电子商务案例分析概述 1.1.1电子商务的定义: 电子商务交易当事人或参与人利用计算机技术和网络技术等现代信息技术所进行的各类商务活动,包括货物贸易、服务贸易和知识产权贸易。 一、对电子商务的理解,可从4方面考虑: 1 电子商务是一种采用最先进信息技术的买卖方式。 2 电子商务实质上形成了一个虚拟的市场交换场所。 3 电子商务是“现代信息技术”和“商务”两个子集的交集。 4 建立在企业全面信息化基础上、通过电子手段对企业的生产、销售、库存、 服务以及人才资源等环节实行全方位控制的电子商务才是真正意义上的电子商务。 二、电子商务的特点: 1 虚拟性 2 成本 3 个性化 4 敏捷性 5 全球性 1.1.2电子商务案例分析的重要性: 1 能够深化所学的理论知识,通过案例分析加深对理论知识的深层次理解。 2 能够使所学的知识转变成技能,理论学习与实践应用有机地结合。 3 在逼真模拟训练中做到教学相长。 1.2.1 电子商务案例的定义及作用: 电子商务案例分析的主要特点是:启迪性与实践性。 1.2.2 电子商务教学中使用的案例分为:
1 已决的问题的案例 包括电子商务活动的状况及问题、解决方法和措施、经验或教训的评估。 2 待解决问题案例 包括管理活动、存在问题的情景叙述和相关因素提示。 3 设想问题案例 包括经济活动的背景材料、发展趋势的相关迹象。 EDI主要应用于: 国际贸易和政府采购,用于企业与企业、企业与批发商、批发商与零售商之间的批发业务。 1.3.1 电子商务案例分析的主要内容: 1 电子商务网站背景资料 2 电子商务网站建设与维护方法分析: 网络平台技术分析、网站安全技术分析、网站维护方法分析。 3 电子商务网站经营特色分析: 内容设计分析、营销方法分析、支付方式分析、物流配送方式分析。 4 电子商务效益分析(全国统考考过多项选择题第21题) 电子商务案例分析的定义: 根据一定的分析目的,采用一种或几种分析方法,按照一定的程序,对通过调查并经过整理的资料进行分组、 汇总、检验和分析等,得到所研究事物或现象本质及规律性,进而指导实践的过程。 1.3.2 电子商务案例综合分析方法分为: 1 科学的逻辑思维方法 分为:形式逻辑思维方法和辩证逻辑思维方法 2 与案例研究有关的各专门学科的方法
电子商务安全技术试卷及答案
电子商务安全技术试卷A 考试时间:120 分钟考试方式:开卷 一、单项选择题(每小题1.5分,共计30分;请将答案填在下面 1.电子商务的安全需求不包括( B ) A.可靠性 B.稳定性 C.匿名性 D.完整性 2.以下哪个不是常用的对称加密算法( D ) A.DES B.AES C.3DES D.RSA 3.访问控制的要素有几种( D ) A.2 B.3 C.4 D.5 4. 下面关于病毒的叙述正确的是( D )。 A.病毒可以是一个程序 B.病毒可以是一段可执行代码 C.病毒能够自我复制 D. ABC都正确 5. 根据物理特性,防火墙可分为( A )。 A. 软件防火墙和硬件防火墙 B.包过滤型防火墙和双宿网关 C. 百兆防火墙和千兆防火墙 D.主机防火墙和网络防火墙 6.目前公认的保障网络社会安全的最佳体系是( A ) A.PKI B.SET C.SSL D.ECC 7.防火墙软件不能对付哪类破坏者? ( C ) A.未经授权的访问者 B.违法者 C.内部用户 D.地下用户 8.数据的备份类型不包括? ( B )
A.完全备份 B.部分备份 C.增量备份 D.差别备份 9.针对木马病毒的防范,以下正确的是( A ) A.设置复杂密码,最好包含特殊符号 B.随意打开不明邮件的附件 C.浏览不健康网站 D.网上下载的软件未经扫描就使用 10.以下那个不是杀毒软件的正确使用方法( A ) A.中毒之后再下载杀毒软件来安装 B.设置开机自动运行杀毒软件 C.定期对病毒库进行升级 D.经常针对电脑进行全盘扫描 11.关于密码学的术语描述错误的是( B ) A.最初要发送的原始信息叫做明文 B.算法是在加密过程中使用的可变参数 C.密文是被加密信息转换后得到的信息 D.解密是将密文转换为明文的过程 12.以下说法错误的是? ( D ) A.电子商务中要求用户的定单一经发出,具有不可否认性 B.电子商务中的交易信息要防止在传输工程中的丢失和重复 C.电子商务系统应保证交易过程中不泄漏用户的个人信息 D.电子商务系统应该完全杜绝系统延迟和拒绝服务的情况发生。 13.使用计算机应遵循的完全原则不包括如下哪一个( D ) A.密码安全原则 B.定期升级系统 C.禁止文件共享 D.允许远程访问 14.HTTPS是使用以下哪种协议的HTTP?( C ) A.SSH B.SET C.SSL D.TCP 15.下列哪一项不属于电子商务使用的主要安全技术( C ) A.加密 B.电子证书 C.实名认证 D.双重签名 16.典型的DES以( A )位为分组对数据进行加密? A.64 B.128 C.256 D.512 17.VPN的含义是( B ) A.局域网 B.虚拟专用网络 C.广域网 D.城域网 18.移动电子商务对系统的安全需求不包括( C ) A.身份认证 B.接入控制 C.数据可靠性 D.不可否认性 19.以下那种情况可以放心的使用在线电子支付系统( D ) A.在单位的公用电脑 B.在网吧 C.在肯德基使用免费WIFI D.在家庭的网络中 20.以下哪种操作可以有效防护智能手机操作系统安全( B ) A.下载安装腾讯QQ B.使用专门软件实时监控手机运行状态 C.给手机设置密码,密码是自己的生日 D.经常打开微信,链接各种网站。
电子商务安全协议及支付安全
SSL协议工作原理 SSL协议处于互联网多层协议集的传输层上,运行在TCP/IP协议之上而在其他高层协议(如HTTP、Telnet、FTP和IMAP等)之下,如图5-1所示。在建立一次SSL连接之前,首先建立TCP/IP连接。SSL协议可以让应用层协议透明地加以应用。运行时,支持SSL协议的服务器可以同一个支持SSL协议的客户机彼此认证自己,还允许这两个机器之间建立安全的加密连接,同时保证信息在传输过程中的完整性。 SSL协议可以分为4个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL记录协议,其中最重要的两个协议是握手协议和记录协议。SSL记录协议定义了数据传送的格式,它位于一些可靠的传输层协议之上(如TCP),用于各种更高层协议的封装。SSL握手协议位于SSL记录协议之上,并被SSL记录协议所封装。它描述建立安全连接的过程,在客户和服务器传送应用层数据之前,该协议允许服务器与客户机之间协商加密算法和会话密钥,完成通信双方的身份验证等功能。
图5-1 SSL协议的分层结构 SSL记录协议 SSL记录协议(Record Protocol)定义了传输的格式,包括记录头和记录数据格式的规定。发送方记录层的工作过程如图5-2所示:
图5-2 记录层的工作过程 1.记录层从上层接收到任意大小的应用层数据块,把数据快分成不超过214字节的分片。 2.记录层用当前的会话状态中给出的压缩算法静分片压缩成一个压缩快,压缩操作是可选的。 3.每个会话都有相应“加密规格”指定了对称加密算法和MAC算法。记录层用指定的MAC算法对压缩块计算MAC,用指定的对称加密算法加密压缩块和MAC,形成密文块。 4.对密文块添加SSL记录头,然后送到传输层,传输层受到这个SSL记录层数据单元后,记上TCP报头,得到TCP数据包。
电子商务安全技术分析
电子商务安全技术分析 摘要: 本文主要针对现在电子商务行业中存在的问题,从安全问题、安全要素、病毒与黑客防范技术、安全技术、安全电子交易等几个方面全面的阐述了电子商务的安全问题,重点分析了安全电子交易规范(SET),并对电子商务安全的未来进行了分析。 一、引言 电子商务为全球客户提供丰富商务信息、快捷的交易服务和低廉交易成本的同时,也给电子商务参与的主体带来了许多安全问题。电子商务所依赖的Internet具有虚拟性、动态性、高度开放性等特点,使电子商务面临众多的威胁与安全隐患,严重制约其进一步发展和应用。目前,电子商务的安全问题已经是制约电子商务广泛应用的主要瓶颈之一,所以电子商务安全技术也成为各界关注、研究的热点。 二、电子商务安全问题 由于电子商务师以计算机网络为基础的,因此它不可避免面临着一系列的安全问题。一般会遇到以下的五种安全问题。 2.1、信息泄露 在电子商务中表现为商业机密的泄露,也就是说电子商务的数据信息在未采用加密措施情况下,以明文形式在网络上传送,攻击者在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成网上传输信息泄露。即使数据经过加密,但若加密强度不够,攻击者也可通过密码破译得到信息内容,造成信息泄露。 2.2、信息篡改 在电子商务中表现为商业信息的真实性和完整性的问题。攻击者在掌握了信息格式和规律后,采用各种手段对截取的信息进行篡改,破坏商业信息的真实性和完整性。 2.3、身份识别问题 如果不进行身份的识别,第三方就有可能假冒用户身份信息,利用仿冒的身
份与他人交易,获取非法利益,从而破坏交易的可靠性。进行识别后就可防止“相互猜忌”的情况。 2.4、病毒 病毒问世二十几年来,各种新型病毒及其变种迅速增加,特别是互联网的发展,大大加速了病毒的传播,同时病毒的破坏性越来越大,严重威胁着电子商务的发展。 2.5、黑客问题 随着各种应用工具的传播,黑客已经大众化了,不想过去那样费计算机的高手不能成为黑客,现在只需要下载几个攻击软件并学会怎么使用,就可以互联网上大干一场,所以黑客问题也严重威胁着电子商务的发展。 三、电子商务的安全要素 3.1、有效性 电子商务以电子形式取代了纸张,那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。 3.2、机密性 电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个开放的网络环境(如Internet)上的,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。 3.3、完整性 电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因
电子商务安全问题及对策分析的论文摘要
摘要:随着计算机信息安全的发展、法律的逐渐完善,我国电子商务中的安全问题得到了有效解决,但是随着技术的发展我国电子商务中又产生了一些新的问题,这里主要征对所出现的新问题进行了深入的研究,并提出了自己的建议、对策。关键词:电子商务;隐私权;定型化契约;加密技术;入侵检测技术 正文:电子商务具有跨越地域范围,不受时间因素制约等优势,随着全球经济一体化进程的不断发展,它将渗透到人们的日常生活中。随着技术水平的提高和发展,电子商务中的基本安全问题得到了解决,但同时也涌现出一些新的安全问题。我们可以通过制定、修善相关法律法规、采用新技术、强化安全管理、加强宣传教育等对策加以有效解决。 一、电子商务安全中的法律问题及对策 在电子商务中,传统交易下所产生的纠纷及风险并没有随着高科技的发展而消失,相反网络的虚拟性、流动性、隐匿性对交易安全及消费者权益保护提出了更多的挑战,因此制定相应的法律法规来约束互联网用户的行为是电子商务的基础。我国政府十分重视电子商务的法律法规的制定,目前制定的有关法律法规有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《中华人民共和国计算机信息网络国际互联网络安全保护管理办法》、《电子签名法》等,它们直接约束了计算机安全和电子商务的安全。这些法律法规在电子商务中发挥着重大的作用,但是这些已经制订的法律法规在实际操作过程中还有很多不够完善的地方,主要存在以下问题: ㈠子商务中信息不对称问题及对策 在电子商务环境中,经营者不仅不愿意充分展露自己商品和服务的真实内容,有些反而常常减少信息的披露,甚至散布虚假伪装的信息欺骗消费者,以实现自身利益的最大化,另一方面消费者不能直接接触到所要购买的商品,其消费依赖于经营者提供的信息。这一种消费者和经营者信息的不对称性造成电子商务环境中经营者侵害消费者权益的现象比传统的商业模式更为严重。其对策是通过修改现有法律法规,强制提高电子商务交易的信息透明度,严格电子商务企业的市场准入制度,加强对电子商务经营者的监管,加大对侵权行为的惩罚力度,设立专门机构对经营者进行身份认证和资产信誉评级。 ㈡消费者个人信息和隐私权的法律保护问题及对策 在电子商务中消费者个人信息甚至隐私权易受侵害。在现实的电子商务活动中,经营者为了降低生产成本,往往未经消费者授权而非法获取和使用消费者的个人信息甚至隐私,极大程度地侵害了消费者的合法权益特别是隐私权。建议在有关法律法规中规定如下基本原则:(1)依法收集和使用个人信息。(2)最低限度原则:经营者为某种合法的目的收集使用消费者个人信息,应在实现其目的的前提下,最低限度地收集和使用消费者个人信息。(3)向消费者说明及告知原则:经营者在收集和使用消费者个人信息前,应就其收集和使用的目的向消费者进行说明,在收集和使用之后,应告知消费者有关情况。(4)保证消费者个人信息安全的原则。 ㈢电子商务中定型化契约的问题及对策 目前在面向消费者的电子商务中大量应用定型化契约,即企业经营者为与不特定多数人订立契约之用而单方预先拟定之契约条款,其特点是经营者拟订好所有条款,消费者只需按下接受或者拒绝键,就决定了该购买合同是否成立。例如:一些经营者在网站上设置如下条款, “按下接受键”表示你已同意以下条件,另外值得注意的是,一些电子商务站点在具体交易流程虽然没有很多格式条款,但是服务条款通常出现在消费者注册为站点用户的程序中,并且消费者要成功注册,就只能按下“接受键”,这些服务条款中一般包含有免除经营者责任或加重消费者责任的条款,且多声明有权随时修改服务条款。为了保护消费者的权益可以在消费者权益保护法中对此作一些补充,规定在电子商务中定型化契约条款如有疑义时,应作有利于消费者的解释;定型化契约中的条款如违反诚信原则或者对消费者显失公平者,无效。 ㈣电子商务中纠纷的诉讼管辖问题及对策 依照传统民事诉讼管辖理论,合同纠纷由合同履行地或者被告住所地法院管辖。在电子商务活动中,大部分合同履行是在线完成,从而让合同履行地管辖变得难以确定,只能依据被告住所地法院。电子商务的跨地域性会让被告住所地法院来选择管辖法院,对原告极为不利。因此有必要根据电子商务的特点,公平地确定管辖法
电子商务安全体系的发展与动态
电子商务安全体系的发展与动态 关键词:商务(Electronic Commerce)是在Internet开放的环境下,基于浏览器/服务器方式,实现消费者的网上购物、商户之间的网上交易和在线电子支付的一种新型的贸易运营模式。Internet上的电子商务可以分为三个方面:信息服务、交易和支付。主要包括:电子商情广告;电子选购和交易、电子交易凭证的交换;电子支付与结算以及售后的网上服务等。主要交易类型有与个人的交易(B to C方式)和企业之间的交易(B to B方式)两种。电子商务是Internet爆炸式的直接产物,是网络技术应用的全新发展方向。Internet本身所具有的开放性、全球性、低本钱、高效率的特点,也成为电子商务的内在特征,并使得电子商务大大超越了作为一种新的贸易形式所具有的价值,它不仅会改变企业本身的生产、经营、治理活动,而且将到整个的运行与结构。现阶段推动电子商务面临的最大是如何保障电子商务过程中的安全性,交易的安全是网上贸易的基础和保障,同时也是电子商务技术的难点。近年来,国际上已实施和制定了一系列的来解决网上交易的安全性题目。近年来,IT业界与行业一起,推出不少更有效的安全交易标准。主要有:(2) 安全套接层协议(SSL协议:Secure Socket Layer)是由网景(Netscape)公司推出的一种安全通讯协议,是对机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它能够对信用卡和个人信息提供较强的保护。SSL被用于Netscape Communicator和Microsoft IE浏览器,用以完成需要的安全交易操纵。在SSL中,采用了公然密钥和私有密钥两种加密方法。公
《电子商务系统分析与设计》03_开发技术
第三章电子商务系统开发技术基础 一.单项选择题 1、下列不属于PHP技术有点的是什么(C)。 A.易于学习、跨平台、有良好数据库交互能 B.与Apache及其数据库结合紧密 C.数据访问接口统一 D.良好的安全性 2、(A)是静态网页开发技术。 3、(A)是浏览器端动态网页开发技术。 4、中间件是位于具体应用和(D)之间的软件。 A.操作系统 B.应用系统 C.硬件 D.底层系统 5、(A)、Web浏览器、HTTP协议、HTML语言。URL网页地址构成了Web系统的5个要素。 服务器 IP 客户端 D.服务器 6、在数据信息处理的发展阶段中,(A)属于高层次发展阶段。 A.数据挖掘 B.知识发现技术 C.联机分析处理技术 D.数据仓库技术 7、OLAP技术核心是(A)。 A.维 B.钻取 C. 切片 D.旋转 8、目前在电子支付中常用的安全协议有SSL和(C)。 A. SAT B. XML C. SET 9、下面不是入侵检测系统主要执行任务的是(D)。 A. 监视、分析用户及系统活动 B. 异常行为模式的统计分析 C. 系统构造和系统审计 D. 限定人们从一个特定的点离开 10、一般把用于入侵检测的软件、硬件合称为(B). A. DBMS B. IDS C. OS
二、多项选择题 1.( ABC )是信息技术的核心。 A.计算机技术 B.网络技术 C.通信技术技术 2. XML的优越性有( ABD )。 A.简单性 B.可拓展性 C.互操作性 D.开放性 3. ASP的缺点有( CB )。 A.安全性与健壮性方面存在不足 B.无法实现跨操作系统应用 C.处理能力受收限制 D.无法采用第三方脚本语言 4.数据库有哪几种模式( ABC )。 A.模式 B.外模式 C.内模式 D.中间模式 的基本多维分析操作有( ABCD )。 A.钻取 B.切块 C.切片 D.旋转 6.下面是常用的数据库开发链接技术的有( ACD )。 A. ODBC B. DBMS C. ADO D. JDBC 7.以下是J2EE框架技术的是( BCD )。 A. .NET B. Hibernate 8.网上支付系统构成包括( ABD)。 A.活动主体 B.支付方式 C.支付工具 D.支付协议 9.电子商务常用的支付工具有( ABD)。 A.信用卡B.电子支票C.电子货币D.电子钱包 10.防火墙有那几类( ABD )。 A.包过滤型 B.代理服务器型 C.分离型 D.监测型 三、判断题 1.制作静态网页只需要利用相关的工具进行图文编辑就可以了,而动态网页的开发必须进行程序设计。(√) 2.在客户端实现的技术主要是一些客户端的脚本,如JavaScript、Applet等;
我国电子商务安全现状概要
分析我国电子商务安全现状 摘要:本文在分析我国电子商务安全现状的基础上,详细阐述了电子商务安全的有关问题,提出了解决电子商务安全问题的对策。 关键词:电子商务安全对策 1我国电子商务安全现状 电子商务是通过信息技术将企业、用户、供应商及其他商贸活动涉及的相关机构结合起来的一种信息技术的应用,是完成信息流、物流和资金流转移的一种行之有效的方法。但由于计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还可能受到计算机病毒感染。几乎所有的网站在建站开始及发展过程中,都似乎朝向便利性、实用性目标,往往忽略网络安全环节,给网络发展埋下了深深的隐患。据公安部的资料,利用计算机网络进行的各类违法行为在中国正以每年30%的速度递增。黑客的攻击方法已超过计算机病毒的种类,总数达近千种。目前已发现的黑客攻击案约占安全事件总数的15%,多数事件由于没有造成严重危害或商家不愿透露而未被曝光。有媒介报道,中国95%的与Internet相连的网络管理中心遭到过境内外黑客的攻击或侵入,其中,银行、金融和证券机构是黑客攻击的重点,金融领域的黑客犯罪案件涉案金额已高达数亿元。故随着电子商务日益普及,网络安全问题显得异常突出,解决安全问题已成为我国电子商务正常发展的当务之急。 2对电子商务安全问题的理解 2.1电子商务安全是一项的系统工程电子商务的基础结构包括电子商务网络基础、电子商务安全基础结构、电子商务支付系统和电子商务业务系统,其中,电子商务的安全体系结构是基于其他各层系统建立起来的。电子商务是多种技术的集合体,包括获得数据、处理数据、交换数据等,需要一个完整的电子商务安全体系作为基础。其安全要素主要包括:有效性、机密性、完整性和不可否认性等。
电子商务安全论文
信息技术学院 浅 谈 电 子 商 务 安 全 姓名:张静 学号:071144038 班级:07级电子商务
目录 一、电子商务安全现状 二、主要面临的安全问题 1.网络环境安全问题 2.系统安全问题 3.交易者身份安全问题 三、电子商务的安全保障 1.建立完善的信用体系 2.开发电子商务的信息安全技术 3.构建良好的电子商务环境 4.强化交易安全保护的法律制度 四、立法分析及对策 1.建立网络防护应急反应机制 2.出台严厉保护制度。 3.加强C4ISR保密系统建设。 五、总结
内容摘要:电子商务所面临的信息安全现状不容乐观。虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。 关键词:电子商务环境安全机制 一、电子商务信息安全现状 现如今,网上购物已经成为普通消费者的购物选择之一,逐渐成为消费的主流。截至2007年6月,我国互联网用户已经从2001年的2650万户激增到目前的1.62亿户,仅次于美国2.11亿户的网民规模,位居世界第二。可见网上购物拥有很大的一批消费群。在网购盛行的时代,理智的消费者已经逐渐意识到,网上购物为我们带来方便的同时,由于网络安全问题,也带给我们更多危险的可能。电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志《信息安全杂志》披露,从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的可能性高出9%,被非法入侵的频率高出10%,而被诈骗的可能性更是比一般企业高出2.2倍作为网上购物核心环节的“支付环节”,其安全性、便捷性是买卖双方都想追求的目标。电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标的、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。 二、主要面临的安全问题 1.网络环境安全问题 一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础,涉及的方面较广,如防火墙技术、网
电子商务安全案例分析
电子商务安全技术案例分析 1. 网络病毒与网络犯罪 2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。 2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。 随着中国首例利用网络病毒盗号牟利的“熊猫烧香”案情被揭露,一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。 李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说,该产业的利润率高于目前国内的房地产业。 有了大量盗窃来的游戏装备、账号,并不能马上兑换成人民币。只有通过网上交易,这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后,网友们通过网上银行将现金转账,
就能获得那些盗来的网络货币。 李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。据估算,被“熊猫烧香”病毒控制的电脑数以百万计,它们访问按流量付费的网站,一年下来可累计获利上千万元。 有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。根据刑法规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。 通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的。目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全。 根据法律,制造传播病毒者,要以后果严重程度来量刑,但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。 2. 电子签名法首次用于庭审 北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以