對於交易會話的保持需要使用什麼技術

㈠ 電子商務應注意哪些安全方面的問題為什麼

電子商務應注意哪些安全方面的問題?為什麼？

1. 對電子商務活動安全性的要求:(1) 服務的有效性要求。電子商務系統應能防止服務失敗情況的發生,預防由於網路故障和病毒發作等因素產生的系統停止服務等情況,保證交易數據能准確快速的傳送。(2) 交易信息的保密性要求。電子商務系統應對用戶所傳送的信息進行有效的加密,防止因信息被截取破譯,同時要防止信息被越權訪問。(3) 數據完整性要求。數字完整性是指在數據處理過程中,原來數據和現行數據之間保持完全一致。為了保障商務交易的嚴肅和公正,交易的文件是不可被修改的,否則必然會損害一方的商業利益。(4) 身份認證的要求。電子商務系統應提供安全有效的身份認證機制,確保交易雙方的信息都是合法有效的,以免發生交易糾紛時提供法律依據。2. 電子商務的主要安全要素(1) 信息真實性、有效性。電子商務以電子形式取代了紙張,如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式,其信息的有效性和真實性將直接關繫到個人、企業或國家的經濟利益和聲譽。(2) 信息機密性。電子商務作為貿易的一種手段,其信息直接代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網路環境上的,商業防泄密是電子商務全面推廣應用的重要保障。(3) 信息完整性。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護商業信息的完整、統一的問題。由於數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。此外,數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此,電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。(4) 信息可靠性、可鑒別性和不可抵賴性。可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕;不可否認要求即是能建立有效的責任機制,防止實體否認其行為;可控性要求即是能控制使用資源的人或實體的使用方式。在傳統的紙面貿易中,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易夥伴,確定合同、契約、單據的可靠性並預防抵賴行為的發生。在無紙化的電子商務方式下,通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此,要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。在internet上每個人都是匿名的,電子商務系統應充分保證原發方在發送數據後不能抵賴;接收方在接收數據後也不能抵賴。二、電子商務採用的主要安全技術1. 網路節點的安全防火牆是一種由計算機硬體和軟體的組合,使互聯網與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常指區域網或城域網)隔開的屏障。防火牆的應用可以有效的減少黑客的入侵及攻擊,為電子商務的施展提供一個相對更安全的平台。防火牆是在連接Internet和Intranet保證安全最為有效的方法,防火牆能夠有效地監視網路的通信信息,並記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。2. 通訊的安全在客戶端瀏覽器和電子商務WEB伺服器之間採用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前採用的是瀏覽器預設的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和伺服器之間建立安全機制, SSL 首先要求伺服器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰( PKI) 。驗證個人證書是為了驗證來訪者的合法身份,而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時) 。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(RSA)與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。3. 應用程序的安全性即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可) ,程序員認為這個預設的許可是正確的。這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。訪問控制系統中沒有什麼可以檢測到這些問題。只有通過監視系統並尋找違反安全策略的行為,才能發現像這些問題一樣的錯誤。4. 用戶的認證管理(1) 身份認證。電子商務企業用戶身份認證可以通過伺服器CA證書與IC卡相結合實現。CA證書用來認證伺服器的身份, IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用ID號和密碼口令的身份確認機制。(2) CA證書。要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。認證中心(CA)就是承擔網上安全交易認證服務,能簽發數字證書,並能確認用戶身份的服務機構。認證中心通常是企業性的服務機構,主要任務是受理數字證書的申請、簽發及對數字證書的管理。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核後,為其發放數字證書,證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書。(3) 安全套接層SSL協議。安全套接層SSL協議是Netscape公司在網路傳輸層與應用層之間提供的一種基於RSA和保密密鑰的用於瀏覽器與Web伺服器之間的安全連接技術。SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構(CA,Certificate Authority)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書發布者的名稱、證書所有者的公開密鑰、證書發布者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證後,雙方就可以用保密密鑰進行安全的會話了。SSL協議在應用層收發數據前,協商加密演算法、連接密鑰並認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明載入任何高層應用協議(如Ht2tp、Ftp、Telnet等)以保證應用層數據傳輸的安全性。SSL協議握手流程由兩個階段組成:伺服器認證和用戶認證。因為目前涉及的電子交易主要通過Internet網進行，而當初設計Internet的目的是為使用者提供一種彈性、快速的通訊方式，並不具備商業交易需要的安全性。所以，隨著Internet逐漸發展成為電子交易的最佳載體，必須在本質上對其進行重新設計。電子商務的發展需要解決安全性和可靠性問題。計算機安全技術本身的發展就存在一個時滯的問題。病毒的感染、黑客的侵襲更使人們對計算機的安全性，特別是網路上電子商務運行的安全性產生懷疑。這種情況對電子商務的推行造成了極為不利的影響。使公眾在電子商務前裹足不前。有關部門應組織一隻精乾的安全技術研究隊伍，集中力量盡快解決電子商務的安全技術問題，包括密碼技術、防火牆技術、認證技術、留痕技術等，井能夠隨著計算機和電子商務技術的發展而不斷改進這些技術。為保證網路交易的安全，應著手建立相應的國家級的安全控制中心系統。這一系統應包括國際出入口(信息海關)監控；電子交易證書授權、密鑰管理、安全產品評測認證、病毒檢測和防治、系統攻擊與反攻擊等分中心。通過各種安全控制分中心的協調作用，將電子商務交易風險降低到最小限度。電子商務是通過信息網絡傳輸商務信息和進行貿易的，與傳統的有紙貿易相比減少了直接的票據傳遞和確認的商業交易活動，因此要求電子商務比有紙貿易更安全、更可靠。這里一方面需要技術上的保證，如電子簽名、電子識別等技術手段的採用；另一方面需要通過標準的形式把這些技術手段確定下來。

㈡ 交易的會話保持需要使用什麼技術

需要用到session技術。

伺服器技術，利用這個技術可以保存用戶的會話信息，我們可以把信息或者數據放在session中。

什麼是Session：

伺服器會給每一個用戶（瀏覽器）創建一個Session對象。

一個Session獨佔一個瀏覽器，只要瀏覽器沒有關閉，那麼Session就一直存在。

用戶登錄之後，整個網站都可以訪問–>保存用戶的信息。

Session和Cookie的區別：

Cookie是把用戶的數據寫給用戶瀏覽器，瀏覽器保存（可以保存多個）。

Session是吧用戶的數據寫到用戶獨占的Session中，伺服器端保存（保存重要信息，減少瀏覽器資源的浪費）。

Session對象由服務創建。

Session在創建的時候做了什麼：

創建了一個key為JSESSIONID，value為sessionID的cookie。

然後將這個cookie添加給客戶端。

Session使用場景：

保存一個登陸用戶的信息。

購物車信息。

在整個網站中，經常會使用的數據，我們將它保存在Session中。

Session也採用了key-value的存儲形式，不同的是Cookie的value只能為String，而Session的value為Object類型，也就是說可以存儲對象等各種類型。

㈢ 交易的會話保持需要什麼技術

交易的會話保持需要保持清醒的頭腦，理性的思維，眼疾手快，讓別人信任你的能力。

會話保持是指在負載均衡器上的一種機制，可以識別客戶端與伺服器之間交互過程的關連性，在作負載均衡的同時還保證一系列相關連的訪問請求都會分配到一台機器上。通俗表述就是：在一次會話過程中發起的多個請求都會落到同一台機器上。

交易是指雙方以貨幣及服務為媒介的價值的交換。常以貨幣或服務為媒介的。交易，又稱貿易、交換，是買賣雙方對有價物品及服務進行互通有無的行為。它可以是以貨幣為交易媒介的一種過程，也可以是以物易物，例如一隻黃牛交換三隻豬。

會話是一個客戶與伺服器之間的不中斷的請求響應序列。對客戶的每個請求，伺服器能夠識別出請求來自於同一個客戶。當一個未知的客戶向Web應用程序發送第一個請求時就開始了一個會話。當客戶明確結束會話或伺服器在一個預定義的時限內不從客戶接受任何請求時，會話就結束了。