电商网站的保障背后：https加密技术在企业交易安全中的实际应用

电商网站的保障背后：HTTPS加密技术在企业交易安全中的实际应用

一、引言

随着互联网技术的飞速发展，电子商务在全球范围内迅速崛起。

越来越多的人选择在网上购物，享受便捷的服务。

网络安全问题也随之凸显，如何保障电商网站的安全和用户隐私成为业界关注的焦点。

HTTPS加密技术作为当今互联网上最为广泛应用的网络安全协议之一，对于电商企业保障交易安全起着至关重要的作用。

本文将详细介绍HTTPS加密技术在企业交易安全中的实际应用。

二、HTTPS加密技术概述

HTTPS是一种通过计算机网络进行安全通信的开放标准。

它在HTTP上提供了加密通信的能力，并基于SSL（安全套接字层）或TLS（传输层安全性）协议实现。

HTTPS的主要目的是确保网络用户在访问网站或进行在线交易时的隐私和数据安全。

通过使用HTTPS加密技术，电商网站可以确保用户数据在传输过程中的安全性，有效防止数据被第三方窃取或篡改。

三、HTTPS加密技术在企业交易安全中的实际应用

1. 数据传输安全

在电商网站中，用户在进行购物、支付等操作时，需要传输大量敏感信息，如姓名、地址、银行卡号等。

这些信息在传输过程中极有可能被黑客拦截和窃取。

而HTTPS加密技术可以对这些数据进行加密处理，确保数据在传输过程中的安全性。

只有当数据到达目的地时，才能通过正确的密钥进行解密，从而有效防止数据泄露。

2. 身份验证

电商网站在进行交易时，需要对用户身份进行验证，以确保交易双方的合法性和真实性。

HTTPS加密技术可以实现身份认证功能，确保用户在登录电商网站时输入的用户名和密码等信息不会被篡改或冒充。

HTTPS还可以为电商网站提供数字证书，证明网站的合法性和可信度，从而提高用户对网站的信任度。

3. 防止恶意攻击

电商网站面临着各种恶意攻击的风险，如SQL注入、跨站脚本攻击等。

这些攻击可能导致用户数据泄露、网站被篡改等严重后果。

HTTPS加密技术可以通过对数据传输进行加密和对服务器进行身份验证，有效防止这些恶意攻击。

HTTPS还可以配合其他安全技术和策略，如防火墙、入侵检测系统等，共同保护电商网站的安全。

四、HTTPS加密技术的优势与局限性

优势：

1. 数据传输安全性高：HTTPS加密技术可以确保数据在传输过程中的安全性，有效防止数据泄露和篡改。

2. 身份验证能力强：HTTPS加密技术可以实现身份认证功能，确保交易双方的合法性和真实性。

3. 防范恶意攻击：HTTPS加密技术可以配合其他安全技术和策略，共同防范恶意攻击，保护电商网站的安全。

局限性：

1. 加密和解密过程需要消耗计算资源：由于HTTPS加密技术需要对数据进行加密和解密处理，因此需要消耗大量的计算资源，可能导致网站响应速度变慢。

2. 需要投入较多成本：使用HTTPS加密技术需要购买和配置相应的证书和硬件设备，需要投入一定的成本。

五、结论

HTTPS加密技术在企业交易安全中发挥着重要作用。

它可以确保数据在传输过程中的安全性，实现身份验证，防范恶意攻击。

它也存在一些局限性，如需要消耗计算资源和投入成本较高。

因此，电商企业在使用HTTPS加密技术时，需要权衡其安全性和成本效益，以实现最佳的安全保障效果。

---

论文 加密技术在电子商务中的应用 怎么写？

[摘要] 安全问题是企业应用电子商务最担心的问题，而如何保障电子商务活动的安全，将一直是电子商务的核心研究领域。

SET是当前Internet上比较常用的加密方法，本文在SET 协议的交易流程基础上，分析了其安全机制采用的技术和特点。

[关键词] 安全 电子商务 加密技术 SET 一、引言 安全问题是企业应用电子商务最担心的问题，而如何保障电子商务活动的安全，将一直是电子商务的核心研究领域。

作为一个安全的电子商务系统，首先必须具有一个安全、可靠的通信网络，以保证交易信息安全、迅速地传递；其次必须保证数据库服务器绝对安全，防止黑客闯入网络盗取信息。

电子商务（E-business）要求顾客可以在网上进行各种商务活动，不必担心自己的信用卡会被人盗用。

在过去，用户为了防止信用卡的号码被窃取到，一般是通过电话订货，然后使用用户的信用卡进行付款。

现在人们开始使用各种加密技术，提高信用卡交易的安全性，从而使电子商务走向实用成为可能。

二、SET协议 SET是当前Internet上比较常用的加密方法，SET(Secure Electronic Transaction, 安全电子交易)协议是基于信用卡在线支付的电子商务系统的安全协议。

SET协议通过制定标准和采用各种技术手段, 解决了当时困扰电子商务发展的安全问题。

由于得到了很多大公司的支持, 它已形成了事实上的工业标准,已获IETF 标准认可。

SET协议的购物系统由客户、商家、支付网关、收单银行和发卡银行五个部分组成。

当持卡人在网上商店选择了要购买的商品，填写订单并选择付款方式为“在线支付”时，SET协议开始介入工作，它的参与者之间的数据交换过程如图所示。

持卡人发送给商家一个完整的定单及要求付款的指令。

在SET协议中，订单和付款指令由持卡人进行数字签名，同时利用双重签名技术保证商家看不到客户的银行账号信息；商家接受订单后，向为持卡人开户的金融机构发出支付请求；通过支付网关将银行账号传送到收单银行，再到发卡银行进行确认；当发卡银行批准交易后，返回确认信息给商家；商家发送订单确认信息给持卡人；持卡人计算机上的软件可记录交易日志，以备将来查询；商家给持卡人配送货物，完成订购服务，一个购物过程至此结束。

SET协议是适合于B2C模式电子商务的、以信用卡为基础的支付协议， SET 使用多种安全技术来达到安全支付的要求，其中对称密钥技术、非对称加密技术和Hash 算法是核心。

SET采用两种加密算法进行加密、解密处理,其中密钥加密是基础；公钥加密是应用的核心。

密钥加密用同一个密钥来加密和解密数据,主要算法是DES；公开密钥要求使用一对密钥,一个公开发布,另一个由收信人保存。

发信人用公开密钥加密数据,收信人则用私钥去解密,主要算法是RSA。

金融交易要求发送报文数据的同时发送签名数据作为认证。

这种数字签名是一组加密的数字。

SET要求用户在进行交易前首先进行数字签名,然后进行数据发送。

网上交易过程中必须确认用户、商家及所进行的交易本身是否合法可靠。

SET体系中还有一个关键的机构认证中心(CA)，它根据X.509 标准发布和管理数字证书。

SET协议规定CA发给每个持卡人一个数字证书，持卡人选中一个口令，用它对数字证书和私钥、信用卡号以及其他信息加密存储。

这些与一个支持SET 协议的软件一起组成了一个SET电子钱包。

金融交易所使用的密钥必须经常更换,SET使用数字信封来传递更换密钥。

其方法是由发送数据者自动生成专用密钥,用它加密原文,将生成的密文连同密钥本身一起再用公开密钥加密,然后传送出去。

收信人在解密后同时得到专用密钥和用其加密后的密文。

SET协议可以很好地满足电子商务中对信息的安全提出的四项原则：数据的机密性、完整性、个体识别性、不可抵赖性。

SET协议是针对在线支付而设计的支付协议，而采用“货到付款方式”、“邮局汇款”等非在线支付方式则与SET协议无关。

三、结语　在电子商务交易过程中，由于SET提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性等优点，因此成为了目前公认的信用卡或借记卡的网上交易的国际安全标准。

随着电子商务规模的扩大,网络欺诈的风险性也在提高,在未来的电子商务中SET协议将会应用的更加广泛。

谁给我解释一下HTTPS的定义与应用环境？”

HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。

HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。

（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。

）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。

HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。

也就是说它的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。

https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。

即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容请看SSL。

它是一个URI scheme(抽象标识符体系)，句法类同http:体系。

用于安全的HTTP数据传输。

https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。

这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

限制它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。

”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。

并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。

少数罕见攻击在网站传输客户数据时发生，攻击者尝试窃听数据于传输中。

商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关，仅保留传输码(transaction number)。

不过他们常常存储银行卡号在同一个数据库里。

那些数据库和服务器少数情况有可能被未授权用户攻击和损害。

TLS 1.1之前这段仅针对TLS 1.1之前的状况。

因为SSL位于http的下一层，并不能理解更高层协议，通常SSL服务器仅能颁证给特定的IP/端口组合。

这是指它经常不能在虚拟主机(基于域名)上与HTTP正常组合成HTTPS。

这一点已被更新在即将来临的TLS 1.1中—会完全支持基于域名的虚拟主机。

HTTPS应用在什么场景

https应该用于任何场景！https应该用于任何场景！https应该用于任何场景！重要的事情要说4次！！！钓鱼网站？网站背后的公司是否可信？DNS劫持？DNS污染？呵呵，小CASE，这些都可以通过用户自己调查或用技术手段解决。

但运营商如果耍流氓搞http劫持你能怎么办？嵌入广告，或者整个拦截掉，甚至A公司的产品给你重定向到B公司页面，你也是束手无策。

虽然也不是不能申诉？能通过申诉就能根治的问题还是问题吗？就像网上购物卖家正常发货，买家正常收货，但收货后发现包裹受潮，或者商品损坏，甚至买了iPhone变成砖块，个别较真的用户通过各方面的投诉可能得以解决，但更多的都是怕事怕麻烦的用户，在损失并不严重的情况下，都是选择妥协。

正如一个连装软件都不利索的普通家庭主妇，会仅仅因为打不开一个网页，想到要去查出原因然后申诉吗？所以，最低限度，部署https即使只为了加密流量，在当下的国情应该算是大势所趋，虽然考虑到并不便宜的价格、硬件资源开销、用户体验的降低、搜索引擎收录等各种因素而导致普及率还是不高，但最起码目前已经有不少商业公司（如baidu、zhihu等）和个人博客在非金钱交易的场合也开始部署https了。

而明年正式上线的Lets Encrypt项目，就是为了简化签发流程，继而“HTTPS become the default”。

虽然我在另外一个问题曾经表示加密并非SSL证书最主要的目的，即使这种项目正式上线也不会对目前的状况产生根本性的影响，但我并不否认加密是必不可少重要功能。

而且，如果Lets Encrypt起到了鼓动风潮 造成时势的作用，真的推动了“HTTPS become the default”，我也是乐观其成。