电子支付及其网络安全研究论文

近年来，Internet的普及也带动了电子商务的迅速发展。在开放的Internet上从事商业、贸易等电子商务活动，安全性问题被摆在了首位。在Internet上或其它开放的网络上进行安全支付处理应满足下列四个基本要求：⑴保密性。在实际的交易环境中必须保护持卡人（顾客）的订购信息及支付信息的安全，使得只有特定的接收方可访问这些信息。⑵完整性。在实际交易过程中，接收到的消息确实是实际发送的信息，不可能在传输过程中被非法篡改，也不可能是一条伪造消息。⑶身份认证。对于网上交易的参与者，系统必须确定其身份，检验其合法性。若交易者非真实，系统将不准进入，以防止假冒事件发生。另外，这里“确定”的含义并不完全意味着确实知道客户的身份，因为有时由于交易匿名性的需要，不能确知客户的准确身份，但应能做到保证是在与一个可靠的对象通信。⑷抗否认性。一旦交易结束，有关各方都不能否认自己参与过这次事务。为了保证上述电子商务活动的安全性，必须有一套有效的安全机制作为保证，这就要建立电子商务信息安全体系。该体系如图1所示。概括起来，信息安全体系可以分为以下几个层次：基本加密算法、安全认证手段和安全应用协议。其中所用的安全技术通常有：加密技术算法（秘密密钥、公开密钥）、公开密钥系统基础设施（PI）、各种认证技术（一次性口令、数字信封、erberos、数字时间戳、CA） 、网络系统各层安协全协议(SSL、SET、IPSEC、PPTP、VPN、TLS) 、防火墙及保密网关技术等。尽管上述保证系统安全的技术手段已经存在，但安全问题是系统性的问题，并非把这些手段简单地结合在一起就可得到安全。电子支付系统目前尚处于不成熟阶段且种类较多。鉴于此，本文对各支付协议做了分析比较，并在此基础上详细分析了SET的支付模型，并做了一些探讨。1 电子支付协议在现实生活中，人们一般有三种支付方式：现金、支票及信用卡。与之相适应，电子支付协议也可分为这三种模式。一个有效的可能成功的电子支付系统必须被广泛认可，该系统必须保证有关各方不易受到欺，另外很重要的一点是必须方便易行。 基于卡的支付协议基于卡的电子支付协议实现了Web的易用性和信用卡的便利性结合。因此该类协议目前构成了电子商务中居统治地位的支付模型。基于卡的支付模式有如下一些方案： 部分告知（partial order）在网上交易中将最关键的数据如信用卡号码及成交金额等略去，然后再用电话、电子邮件、或传真来传送这些信息。这种模式并非真正意义上的网上支付，操作麻烦，不能实现真正的安全可靠性。 First VirtualFirst Virtual的“绿色商务”（GREEN COERCE）支付模型是通过第三方进行交易，它也是Internet上最早的支付模型之一。顾客和商家都在First Virtual上有一个PIN。交易时，双方都采用PIN进行，由First virtual代替他们进行转账。这种方案对顾客的身份认证和联络用E－ail进行，顾客情况不能实时认证。 SSL（Secure Sockets Layer）安全套接层协议SSL提供加密认证服务和报文完整性。它是由Netscape提出的安全交易协议。SSL使用加密的办法建立一个安全的通信通道。以便将客户的信用卡号传送给商家。它等价于用一个安全电话连接将用户信用卡通过电话读给商家。SSL提供三种基本安全服务：①信息保密。SSL客户机和SSL服务器之间的所有业务使用在SSL握手过程中建立的密钥和算法进行加密，这样就防止了某些用户通过使用IP packet sniffer工具非法窃听、破译。②信息完整性。确保SSL业务全部达到目的。SSL利用机密共享和Hash函数数组提供信息完整性服务。③相互认证。即客户机和服务器相互识别的过程。它们的识别号用公开密钥码，并在SSL握手中交换各自的识别号。这样就可防止其它用户冒名顶替。该协议最大的弱点是不能做数字签名，因此不支持不可否认性。另外，它不能对商家进行认证，不能防止网上欺诈行为。 SET（Secure Electronic Transaction）它是Visa和astercard联合开发的一个协议，该协议得到了GTE、I、icrosoft、Netscape、SAIC、Terisa和Verisign的支持。SET是在一些早期协议如astercard的SEPP、Visa／icrosoft的STT以及I的iP协议簇的基础上合并而成的，它定义了交易数据在用户、商家、发卡行、收单行之间的流通过程，也定义了各种支持这些交易的安全功能（数字签名、Hash算法、加密等）。SET 是基于卡的安全支付协议最典型的代表，也是目前世界上公认的最安全的电子支付协议之一。文章将在第5节详细分析SET的支付模型。 基于支票的支付协议支票模型模拟了现实生活中支票的使用。同信用卡模式一样，它也需要支票发行机构如银行等确认支票的有效性。在基于支票的支付协议中，比较有前景的是FSTC组织的echeck建立在现有银行纸支票模型之上，直接使用用户的银行帐号，完全能同现有的支票系统并用。美国政府的第一笔网上支付使用的就是echeck，该电子支票通过电子邮件发送。此类模式的其它支付协议还有：CMU的Netbill系统：Netbill协议涉及客户、商家和Netbill服务器三方。交易包括价格协商、商品传送和支付三个阶段，使用基于erberos的保密密钥加密机制；对能通过网络发送的信息商品，它将商品传送和支付链接到一个单一的原子事务中。 基于现金的支付协议基于现金的支付模式模拟了日常现金的使用，它使交易能匿名进行，即无法对交易过程追踪，交易者可以不暴露身份。这是卡和支票模式无法实现的。大部分电子现金的实现都来自chaum盲签名的原理：盲签名机制可以允许用户自己生成硬币，让银行对这枚硬币标定面值。当用户从银行提款时，他先为硬币随机生成一个很大的编码，然后利用盲签名机制，银行可用代表不同面值的密钥对这枚硬币签名，从而标定硬币的币值。由于编码很大（大于200位数字），重复的概率可以忽略不计，再加上盲签名让银行无法知道硬币编号，从而不能将其记录下来。同时为了防止电子现金的复制，chaum引入一种盲记录机制，第一次使用电子硬币时无法进行跟踪，而如果重复使用，就有足够多的信息能查出使用者的帐户信息，从而采取相应的处罚措施。对电子硬币的检验同普通的签名检验一样，商家收到用户支付的电子硬币时，可以检验该硬币的真实性，之后再将其发给银行去核实其唯一性。目前的电子现金系统有以下几种：⑴DIGICASH的E－Cash：电子货币的先驱之一，用软件方式实现电子硬币。⑵ONDEX：一种基于硬件“钱包”的电子现金模式。以上这些安全支付标准中，目前应用较多的是SSL和SET协议，一般认为SET协议安全性最好，可以推广利用信用卡支付网上交易，必将成为网上交易安全通信协定的产业标准。2 SET的支付模型 SET的特点SET协议可满足文章第2节所述的安全要求。其主要特点如下：⑴信息的保密性。SET的一个重要特点是持卡人的信用卡号码只提供给银行，而商家无法知道信用卡号码。SET利用DES密码算法提供信息的保密性。⑵数据完整性。从持卡人发往商家的支付信息包括订购信息、个人数据及支付指令。SET引入RSA数字签名及Sha－1杂凑函数确保这些消息的内容在传输过程中不被非法更改。⑶持卡人身份的鉴别。SET可以让商家鉴别持卡人是有效信用卡帐号的合法用户。SET采用数字证书和RSA数字签名达到这一目的。⑷商家的鉴别。SET是持卡人可以鉴别商家真实性，而且可以验证商家能否接受信用卡支付。SET同样采用数字证书和RSA数字签名实现这一功能。[page] SET系统的体系结构鉴于上述特点，本文提出一种基于SET协议的电子商务系统体系结构基于SET的电子商务系统由以下六部分组成：·持卡人：指由发卡银行所发行的支付卡的授权持有者。·商家：指出售商品或服务的个人或机构。商家必须与收单银行建立业务联系，以接受支付卡这种付款方式。·发卡银行：指向持卡人提供支付卡的金融机构。·收单银行：指与商家建立业务联系的金融机构。·支付网关：实现对支付信息从Internet到银行内部网络的转换，并对商家和持卡人进行认证。·认证中心（CA）：在基于SET协议的电子商务体系中起着重要作用。可以为持卡人、商家和支付网关签发数字证书，让持卡人、商家和支付网关通过数字证书进行认证。CA同时要对证书进行管理。 SET的支付模型SET的支付处理过程主要包括：购买请求、支付认证。 购买请求持卡人完成了浏览、选购及订货之后，商家向顾客发送一张完整的订购单，然后持卡人才开始进入购买请求阶段，在此之前的各种处理并没有用到SET。购买请求由四种消息组成：初始请求、初始响应、购买请求、购买响应。为了能向商家发送SET消息，持卡人必须拥有商家和支付网关的数字证书拷贝。持卡人在发向商家的初始请求中，请求得到数字证书的拷贝。初始请求消息包含持卡人所使用信用卡的商标，本次信息交换的标识号及表示时效性的随机数等信息。商家接收初始请求后产生一个响应消息并进行数字签名。该响应消息包含表示时效性的随机数、本次交易的交易号、商家的签名证书及支付网关的密钥交换证书。持卡人接收初始响应后，先验证有关证书有效性，再生成订购信息OI和支付指令PI。接着生成购买请求消息。该消息包含如下信息：·与购买有关的信息。主要组成信息为：PI、双签名、关于OI的消息摘要、数字信封。这部分信息由商家再转送支付网关。·与订购有关的信息。主要组成信息为：OI、双签名、关于PI的消息摘要。·持卡人数字证书。商家和支付网关都要用到该证书。当商家接收购买请求后，先验证持卡人证书的有效性；再验证双签名的有效性，确保订购信息由持卡人签名且在传输过程中未被非法更改；然后处理订购信息并把支付指令传送给支付网关；最后把购买响应消息回传给持卡人。该消息包含用于确认订购的响应数据，这一数据由商家进行数字签名。客户软件收到这一消息后将验证商家的数字签名，然后进行有关的操作，如向持卡人显示有关信息，就订购状态更新数据库等。 支付认证支付认证消息是在商家与支付网关之间交换的信息。支付认证包括支付授权和支付资金清算。⑴支付授权支付授权确保这笔交易是经银行确认的，保证商家能收到钱，据此可向持卡人提供商品或服务。商家首先向支付网关发送授权请求消息。其由三部分组成：①与购买有关的信息。主要来自于客户，包括：PI、双签名、OID和数字信封；②与授权有关的信息。由商家生成，包括：交易标识号，由商家签名并加密的授权数据块以及数字信封；③数字证书，包含持卡人签名证书、商家的签名证书及密钥交换证书。支付网关接收到授权请求后，①验证有关的数字证书；②解开相关数字信封；③验证有关的数字签名、双签名；④验证交易标识号；⑤向发卡银行提交授权请求。得到发卡银行的授权确认后，支付网关向商家返回授权响应消息。其由三部分组成：①与授权有关的信息，包括由支付网关签名及加密的授权数据块和数字信封；②资金清算令牌，这一消息将用于清算支付资金；③数字证书，包含支付网关的签名证书。得到支付网关的授权确认后，商家即可发送货物或提供服务。�⑵支付资金清算商家向支付网关发送清算请求消息。其包括：经商家签名、加密的清算请求数据块，该数据块包含了支付总额和交易标识号；资金清算令牌。支付网关收到清算请求后，解开有关加密的数据块，进行相关的有效性、一致性的检验，然后通过银行内部的资金清算网络把款项从持卡人帐号划到商家的帐号上。接着，支付网关向商家返回清算响应消息以通知商家转帐的结果。商家须保留该响应消息以备日后核对之用。3 结束语电子商务发展过程中关键的问题是电子支付的安全问题。目前大多数支付系统只是传统支付系统的Internet版本，还没有某一种方案明显占有优势。针对现状,本文对安全性较强，但又很复杂的SET协议进行了分析，在此基础上做了一些探讨，有利于相关协议的实现，为进一步对电子商务进行研究提供了便

电子支付产业链 市场火爆，前景难测 电子支付企业的活跃，代表着数字化支付的巨大需求正在显现。“有手机便能支付”“有Email便能收付款”“你敢用，我就敢赔”……支付难题在今年突然变成了强大的市场机会。 年初阿里巴巴CEO马云在瑞士达沃斯世界经济论坛上放言：“2005年将是中国电子商务的安全支付年。”半年后的7月11日，全球最大的电子支付公司PayPal便高调进入中国，在上海建立其全球第14个本地化网站“贝宝”，直接对阵马云旗下淘宝网的“支付宝”。1亿网民、亿手机用户、8亿张银行卡，2005年，由电子支付企业领衔的热潮席卷国内电子商务界。 “有Email便能收付款”的口号由PayPal带到国内。PayPal成立于1998年底，它将用户的信用卡账号与其Email地址绑定，使网上用户只需通过Email地址便可以安全、便捷地收付款。PayPal很快就“混出了头”，一年多后便登陆纳斯达克，2002年更是被eBay以15亿美元的股票收购。目前PayPal已经拥有全球56个国家的7890万用户，2005年第二季度处理的支付总额达到65亿美元。 与此同时，国内也迅速涌现了一大批各类支付公司，比如类Paypal模式的上海快钱公司、专注移动支付的上海捷银(smartpay)公司、卧薪尝胆三年又重新出山的北京Yeepay公司等。一时间，以“pay”为名字后缀的支付公司让人看得眼花缭乱。 群雄争霸 电子支付不是个新概念。从1998年招商银行率先推出网上银行业务之后，人们便开始接触到网上缴费、移动银行业务和网上交易。这个阶段，银行无疑是网上支付的主导力量，但如何扩展不同行业的中小型商户参与网上交易，并非银行的强项，况且银行自身也没有足够的动力去发展主业外的业务。 于是非银行类的企业开始介入支付领域。北京首信、上海环讯、网银在线等诸多具有较强银行接口技术的服务商，在银行基础支付层提供的统一平台和接口的基础上，提供网上支付通道，就像一个插线板一样，前后分别连接商家和银行，通过与银行的二次结算获得分成。这类支付网关型模式是目前国内最成熟的。“但这种模式的价值未来会越来越小，它只是个通道而不是平台的角色，不可能根据商家的需求量身定制服务。”业内人士对此表示忧虑，“一旦商家和银行直连，这种模式会因为附加值低而最容易被抛弃。” 不少人认为通道型支付公司的问题在于“用户”的概念不强，而自身拥有庞大的用户群体的大型电子商务公司，比如eBay易趣、淘宝网、慧聪网等，纷纷自建支付平台，将支付模式推向第二个阶段。早在PayPal进入中国之前，2004年10月，eBay易趣便联合国内多家金融机构推出其诚信支付工具“安付通”。而淘宝网则早在2003年便推出“支付宝”，并成立专门的支付公司来运作。无论是支付宝还是贝宝，都提出了“你敢用，我就敢赔”的口号，对买卖双方实行全额赔付。这种模式的实质便是以支付公司作为信用中介，在买家确认收到商品前，代替买卖双方暂时保管货款。这种担保使得买卖双方的交易风险得到控制，突出解决交易中的安全问题，容易形成消费者忠诚。但无论是贝宝还是支付宝，作为支付平台来讲，服务于母公司主营业务是其第一要义，其发展也取决于母公司平台的大小。“对我们来讲，不管客户使用贝宝还是其他支付工具，只要他愿意在eBay易趣上来交易就好。”廖光宇坦言贝宝的使命。尽管贝宝和支付宝都表示，其支付平台向所有的客户开放，但由于交易信息的敏感性，某家电子商务公司控股的支付平台，不太可能被其他同行采用。 独立的第三方支付公司大批涌现便不足为奇。有第三方垫付模式，即支付公司为买家垫付资金，或如99bill、Yeepay等公司设立虚拟账户的模式。通过买卖双方在交易平台内部开立的账号，以虚拟资金为介质(当然这些虚拟资金也是要用人民币来充值的)完成网上交易款项支付，使支付交易只在支付平台系统内循环。 从支付手段上看，国内的第三方电子支付公司，已经形成了网上支付、电话支付和移动支付多手段的结合。用户可以选择通过拨打固定电话、通过借记卡或者手机短信的形式进行支付。 复杂的竞合 虽然国内支付公司在模式和手段上纷繁多样，但事实上，电子支付公司只是产业链上的一个环节而已，电子支付产业参与主体众多，涉及到银行、客户、商家、系统开发商、电子支付平台服务商、数字认证服务提供机构等。 “中国移动有移动梦网，我们要以YeePay平台作为支撑，以适合用户的服务作为切入点，把银行拉进来，把商家拉进来，组建‘银行梦网’。”YeePay公司CEO唐彬笑称。但在“银行梦网”的链条上，银行是否也占据着类似移动运营商的位置呢？ “银行在电子支付链条上的地位是无可替代的。”上海浦发银行副行长张耀麟的口气毋庸置疑。就目前或今后较长一段时间来看，在网上支付过程中，非银行的企业支付公司从事的支付业务，最终都将通过银行的支付网关完成，并且由银行来进行结算。事实上，支付公司之间的竞争最先反映在和银行关系的竞争上。能否与各大商业银行形成紧密合作，能否在和银行的谈判中将价格谈到最低，成为支付公司竞争的首要手段。 但支付公司和银行之间的关系，并非只有合作。当银行不通过任何第三方支付公司，而直接与商家连接时，第三方支付公司将面临来自银行的强大竞争。“目前银行尚处于跑马圈地的阶段，商业银行的主要收入还来自于存贷差，等有一天网上支付成为银行重要的收入来源时，银行便会过来抢夺商户。”某商业银行内部人士如此评论。 对手机支付公司来讲，移动运营商和商业银行的系统对接，也会导致第三方支付公司的价值缩水。“就手机支付来讲，韩国的电信运营商便是和银行直接合作的。如果市场大到一定程度，试想一旦中国移动和中国工商银行的后端业务系统直接对接，任何第三方支付公司就不存在了。”上海快钱公司CEO关国光这样说道。 但事实是，除了大商户以外，并非所有公司都能做到直接和银行连接，而某一家银行又不可能满足客户对于多种银行卡的消费需求。因此，目前联合多家银行，扩展众多商户的第三方支付平台依然有生存的空间。虽然贝宝和支付宝分别依靠强大的母公司背景，在国内市场磨刀霍霍，但独立第三方公司似乎并不为之所动，“我们的触角可以达到他们达不到的地方。” 第三方支付公司、银行、商家等电子支付产业链上的各个环节，相互之间既合作又竞争，但各自之间又表现为合同关系，形成一个复杂的合同群，只是在产业不同的发展阶段，各自拥有不同分量的谈判砝码而已。 夹缝中生存 虽然理论上，如果银行和商户直连，会使很多提供支付通道的公司前途黯淡。但“我们的空间就在于做银行做不了或无暇做的事情。”首信公司总裁汪旭表示，细分市场的机会依然很大。 “对于银行开设的便民业务，如缴水费、电费等，有人算过一笔账，接收一个人的服务银行便亏损2元钱。”汪旭认为，公用事业缴费虽然零散、繁杂，但却给支付公司带来很多机会。在上海，人们只要通过捷银公司的支付平台，发送手机短信便可以缴纳水煤电费了。 首信公司的主要业务还来自于政府部门对个人的业务，如教育收费。自从国家教育部取消柜台交易之后，研究生考试报名费排长队的现象便一去不返，目前北京市研究生报名便可通过首信易支付进行网上报名。去年首信公司20%的收入来源于教育收费。社区电子商务也是首信公司的未来发展方向，社区电子商务可使人们只需打个电话支付便可享受上门的家政服务、家电维修、小件搬运等160多项社区服务。 数字类产品也是支付公司角逐的一个重要领域。比如游戏点卡、电信充值卡、上网卡等产品，由于产品本身没有实体，交易实时，最适合网上支付。2004年，在上海环讯、首信、银联电子支付公司的收入中，游戏点卡收入占40%，而后两者也都达到了30%。而今年才开始正式运营支付平台的云网、上海快钱、北京YeePay都纷纷将数字类产品作为积极拓展的重要领域。除了游戏点卡以外，新兴的网络游戏虚拟物品交易，也开始进入各家支付公司的视野，eBay和淘宝都专门设立虚拟交易的专区进行交易。而当前美国最大的虚拟物品交易公司IGE中国公司也正在和支付宝商谈合作，一旦合作成功，IGE的交易量将占到支付宝交易量的1/10。 对于移动支付来讲，独立的无线互联网门户成为他们的新目标。“目前无线互联网门户或者手机商城，交易完成后缺乏支付渠道，这个市场是非常大的。”上海捷银公司CEO沈国伟表示，目前正在和一些WAP门户谈合作。“很多SP公司找我们谈手机支付的合作，因为他们觉得以前太依赖于移动运营商，坏账多，成本太高。但通过银行网络，成本很低，而且服务更到位。所以在三年之后，银行梦网对移动梦网在某种程度上分庭抗礼，这是很正常的，也是应该发生的。”YeePay公司CEO唐彬说。 大批第三方支付公司的出现和壮大，还会对以航空机票为主的旅游行业、数字出版行业、远程教育行业的支付产生变革性的影响。“以后人们乘出租车、交停车费等小额支付，只要对手机号码进行充值，便可以不用带现金和银行卡了。”上海捷银CEO沈国伟表示，捷银会坚持按照“有手机便能支付”的路子走下去。

电子商务安全论文5000字篇2 浅析电子商务安全决策原则科技 电子商务安全策略是对企业的核心资产进行全面系统的保护，不断的更新企业系统的安全防护，找出企业系统的潜在威胁和漏洞，识别，控制，消除存在安全风险的活动。电子商务安全是相对的，不是绝对的，不能认为存在永远不被攻破的系统，当然无论是何种模式的电子商务网站都要考虑到为了系统安全所要付出的代价和消耗的成本。 作为一个安全系统的使用者，必须应该综合考虑各方因素合理使用电子商务安全策略技术，作为系统的研发设计者，也必须在设计的同时考虑到成本与代价的因素。在这个网络攻防此消彼长的时代，更应该根据安全问题的不断出现来检查，评估和调整相应的安全策略，采用适合当前的技术手段，来达到提升整体安全的目的。电子商务所带来的巨大商机背后同样隐藏着日益严重的电子商务安全问题，不仅为企业机构带来了巨大的经济损失，更使社会经济的安全受到威胁。 1电子商务面临的安全威胁 在电子商务运作的大环境中，时时刻刻面临着安全威胁，这不仅仅设计技术问题，更重要的是管理上的漏洞，而且与人们的行为模式有着密不可分的联系。电子商务面临的安全威胁可以分为以下几类： 信息内容被截取窃取 这一类的威胁发生主要由于信息传递过程中加密措施或安全级别不够，或者通过对互联网，电话网中信息流量和流向等参数的分析来窃取有用信息。 中途篡改信息 主要破坏信息的完整性，通过更改、删除、插入等手段对网络传输的信息进行中途篡改，并将篡改后的虚假信息发往接受端。 身份假冒 建立与销售者服务器名称相似的假冒服务器、冒充销售者、建立虚假订单进行交易。 交易抵赖 比如商家对卖出的商品因价格原因不承认原有交易，购买者因签订了订单却事后否认。 同行业者恶意竞争 同行业者利用购买者名义进行商品交易，暗中了解买卖流程、库存状况、物流状况。 电子商务系统安全性被破坏 不法分子利用非法手段进入系统，改变用户信息、销毁订单信息、生成虚假信息等。 2电子商务安全策略原则 电子商务安全策略是在现有情况，实现投入的成本与效率之间的平衡，减少电子商务安全所面临的威胁。据电子商务网络环境的不同，采用不同的安全技术来制定安全策略。在制定安全策略时应遵循以下总体原则： 共存原则 是指影响网络安全的问题是与整个网络的运作生命周期同时存在，所以在设计安全体系结构时应考虑与网络安全需求一致。如果不在网站设计开始阶段考虑安全对策，等网站建设好后在修改会耗费更大的人力物力。 灵活性原则 安全策略要能随着网络性能及安全威胁的变化而变化，要及时的适应系统和修改。 风险与代价相互平衡的分析原则 任何一个网络，很难达到绝对没有安全威胁。对一个网络要进行实际分析，并且对网络面临的威胁以及可能遇到的风险要进行定量与定性的综合分析，制定规范的措施，并确定本系统的安全范畴，使花费在网络安全的成本与在安全保护下的信息的价值平衡。 易使用性原则 安全策略的实施由人工完成，如果实施过程过于复杂，对于人的要求过高，对本身的安全性也是一种降低。 综合性原则 一个好的安全策略在设计时往往采用是多种方法综合应用的结果，以系统工程的观点，方法分析网络安全问题，才可能获得有效可行的措施。 多层保护原则 任何单一的安全保护措施都不是能独当一面，绝对安全的，应该建立一个多层的互补系统，那么当一层被攻破时，其它保护层仍然可以安全的保护信息。 3电子商务安全策略主要技术 防火墙技术 防火墙技术是一种保护本地网络，并对外部网络攻击进行抵制的重要网络安全技术之一，是提供信息安全服务，实现网络信息安全的基础设施。总体可以分为：数据包过滤型防火墙、应用级网关型防火墙、代理服务型防火墙等几类。防火墙具有5种基本功能： (1)抵挡外部攻击; (2)防止信息泄露; (3)控制管理网络存取和访问; (4)虚拟专用网功能; (5)自身抗攻击能力。 防火墙的安全策略有两种情形： (1)违背允许的访问服务都是被禁止的; (2)未被禁止的访问服务都是被允许的。 多数防火墙是在两者之间采取折中策略，在安全的情况之下提高访问效率。 加密技术 加密技术是对传输的信息以某种方法进行伪装并隐藏其内容，而达到不被第三方所获取其真实内容的一种方法。在电子商务过程中，采用加密技术将信息隐藏起来，再将隐藏的信息传输出去，这样即使信息在传输的过程中被窃取，非法截获者也无法了解信息内容，进而保证了信息在交换过程中安全性、真实性、能够有效的为安全策略提供帮助。 数字签名技术 是指在对文件进行加密的基础上，为了防止有人对传输过程中的文件进行更改破坏以及确定发信人的身份所采取的手段。在电子商务安全中占有特别重要的地位，能够解决贸易过程中的身份认证、内容完整性、不可抵赖等问题。数字签名过程：发送方首先将原文通过Hash算法生成摘要，并用发送者的私钥进行加密生成数字签名发送给接受方，接收方用发送者的公钥进行解密，得到发送方的报文摘要，最后接收方将收到的原文用Hash算法生成其摘要，与发送方的摘要进行比对。 数字证书技术 数字证书是网络用户身份信息的一系列数据，由第三方公正机构颁发，以数字证书为依据的信息加密技术可以确保网上传输信息的的保密性、完整性和交易的真实性、不可否认性，为电子商务的安全提供保障。标准的数字证书包含：版本号，签名算法，序列号，颁发者姓名，有效日期，主体公钥信息，颁发者唯一标识符，主体唯一标示符等内容。一个合理的安全策略离不开数字证书的支持。 安全协议技术 安全协议能够为交易过程中的信息传输提供强而有力的保障。目前通用的为电子商务安全策略提供的协议主要有电子商务支付安全协议、通信安全协议、邮件安全协议三类。用于电子商务的主要安全协议包括：通讯安全的SSL协议(SecureSocketLayer)，信用卡安全的SET协议(SecureElectronicTransaction)，商业贸易安全的超文本传输协议(S-HTTP)，InternetEDI电子数据交换协议以及电子邮件安全协议S/MIME和PEM等。 4结论 在电子商务飞速发展的过程中，电子商务安全所占的比重越发重要。研究电子商务安全策略，意在于减少由电子商务安全威胁带给人们电子商务交易上的疑虑，以推动电子商务前进的步伐。解除这种疑虑的方法，依赖着安全策略原则的制定和主要技术的不断开发与完善。 猜你喜欢： 1. 电子商务硕士论文5000字左右 2. 电子商务安全论文范文 3. 电子商务安全研究论文范文 4. 浅谈电子商务安全技术论文 5. 电子商务安全技术论文 6. 电子商务安全管理论文