浅析电子商务的安全防护体系 毕业论文.doc

福建信息职业技术学院 毕业设计（论文） 论文题目： 浅析电子商务的安全防护体系 系 别： 商贸管理系 专 业： 电子商务 班 级： 电子 0911 学 号： 学生姓名： 指导教师： 目录 1 电子商务与电子商务安全 1 2 电子商务过程中面临的主要安全问题 2 2.1 计算机网络的安全威胁 .2 2.1.1 网络黑客攻击 .2 2.1.2 计算机病毒的攻击 .2 2.1.3 身份识别的真假性 .2 2.1.4 商品信息破坏 .2 2.1.5 破坏企业信息的有效性 .3 2.1.6 泄露个人隐私与企业机密 .3 2.2 从交易角度出发，电子商务面临的安全问题综合起来包括以下几个方面： .3 2.2.1 有效性 .3 2.2.2 真实性 .3 2.2.3 机密性 .3 3 电子商务安全问题的解决措施 4 3.1 加密技术 .4 3.2 数字签名 4 3.3 数字时间戳 5 3.4 数字证书 .5 3.5 安全协议技术 .5 4、结论 .6 参考文献 7 浅析电子商务的安全防护体系 摘要:本文阐述了安全性在电子商务活动中的重要性，对当前电子商务过程中存在的安全问 题做了全面的分析，并针对这些安全隐患提出了几种解决方案，对这些方案在技术原理、适用 环境等方面进行了分析，并对其各种技术方案存在的缺陷进行了说明，这些将对电子商务的安 全防护起到积极的作用。 关键词:电子商务 安全技术 密匙 数字签名 1 电子商务与电子商务安全 电子商务是以电子信息技术为基础的商务运作，是信息技术的发展对社会经济 生活产生巨大影响的一个实例，也是网络新经济迅猛发展的代表。由于电子商务是 在开放的网上进行的贸易，大量的商务信息计算机上存放、传输，从而形成信息传 输风险 ，交易信用风险 等各种风险，为了对付这种风险，从而形成了电子商务安 全体系。电子商务所具有的广阔发展前景，越来越为世人所瞩目。但在 internet 给 人们带来巨大便利的同时，也把人们引进了安全陷阱。 电子商务是利用计算机技术、网络技术和远程通信技术，实现电子化、数字化 和网络化的整个商务过程，简单的说就是利用 internet 进行的交易活动，电子商务： “电子 “+“商务 “，从电子商务的定义可以了解电子商务的安全也就相应的分为两个 方面的安全：一方面是“电子 “方面的安全，就是电子商务的开展必须利用 internet 来进行，而 internet 本身也属于计算机网络，所以电子商务的第一个方面的安全就 是计算机网络的安全，它包括计算机网络硬件的安全与计算机网络软件的安全，计 算机网络存在着很多安全威胁，也就给电子商务带来了安全威胁；另一方面是“商 务“ 方面的安全，把传统的商务活动在 internet 上开展时，大量重要的身份信息、 会计信息、交易信息都需要网上进行传递，而 internet 存着很多安全隐患给电子商 务带来了安全威胁，简称为“商务交易安全威胁“ 。因此安全性问题成了电子商务的 首要问题。 福建信息职业技术学院毕业论文 2 2 电子商务过程中面临的主要安全问题 2.1 计算机网络的安全威胁 电子商务包含“三流“ ：信息流、资金流、物流， “三流“中以信息流为核心为最 重要，电子商务正是通过信息流为带动资金流、物流的完成。电子商务跟传统商务 的最重要的区别就是以计算机网络来传递信息，促进信息流的完成。计算机网络的 安全必将影响电子商务中的“ 信息流“ 的传递，势必影响电子商务的开展，进而计算 机网络存在以下安全威胁： 2.1.1 网络黑客攻击 目前，tcp/ip 协议是应用最广泛的网络协议，但由于 tcp/ip 本身开放性特点， 企业和用户在电子交易过程中的数据是以数据包的形式进行传送，而网络黑客很容 易对某个电子商务网展开数据包拦截，甚至对数据包进行非法地修改、删除或重放 （指只能使用一次的信息被多次使用） ，使信息失去了真实性和完整性。 2.1.2 计算机病毒的攻击 用户运用浏览器登陆网络进行交易，由于用户登陆时使用的可能是公共计算机， 如网吧、办公室的计算机等情况，那么如果这些计算机中存在木马程序或是恶意软 件，这些用户信息如账号、密码可能有丢失的危险，造成一些交易信息泄露，主要 包括两个方面：（1）交易一方进行交易的内容被第三方窃取。 （2）交易一方提供 给另一方使用的文件第三方非法使用。 2.1.3 身份识别的真假性 正是由于电子商务交易中交易两方通过网络来完成交易，双方互不见面、互不 认识，计算机网络的安全威胁与 internet 的安全隐患，也可能使得电子商务交易 中出现身交易身份伪造的问题。 2.1.4 商品信息破坏 计算机网络本身容易遭到一些恶意程序的破坏，如计算机病毒、特洛伊木马程 序、逻辑炸弹等，导致电子商务中的商品信息在传递过程被破坏。 电子商务过程中面临的主要安全问题 3 2.1.5 破坏企业信息的有效性 电子商务中的交易过程中是以电子化的信息代替纸面信息，这些信息我们也必 须保证它的时间的有效与本身信息的有效，必须能确认该信息确是由交易一方签发 的，计算机网络安全威胁与 internet 的安全隐患，使得我们很难保证电子商务中 的信息有效性。 2.1.6 泄露个人隐私与企业机密 隐私权是参与电子商务的个人非常关心的一个问题。参与到电子商务中的个人 或企业就必须提供个人或企业信息，计算机网络安全威胁与 internet 的安全隐患 有可能导致个人或企业信息泄露，破坏到个人隐私或是企业机密，影响用户的正常 生活与企业的正常运营。 2.2 从交易角度出发，电子商务面临的安全问题综合起来包括以下几个方面： 2.2.1 有效性 电子商务以电子形式取代了纸张，那么保证信息的有效性就成为开展电子商务 的前提。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错 误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、 确定的地点是有效的。 2.2.2 真实性 由于在电子商务过程中，买卖双方的所有交易活动都通过网络联系，交易双方 可能素昧平生，相隔万里。要使交易成功，首先要确认对方的身份。对于商家而言， 要考虑客户端不能是骗子，而客户端也会担心网上商店是否是一个玩弄欺诈的黑店， 因此，电子商务的开展要求能够对交易主体的真实身份进行鉴别。 2.2.3 机密性 电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机 密。如信用卡的账号和用户名被人知悉，就可能被盗用而蒙受经济损失；订货和付 福建信息职业技术学院毕业论文设计 4 款信息被竞争对手获悉，就可能丧失商机。因此建立在开放的网络环境电子商 务活动，必须预防非法的信息存取和信息在传输过程中被非法窃取。 3 电子商务安全问题的解决措施 由于电子商务系统把服务商、客户和银行三方通过互联网连接起来，并实现了 具体的业务操作。因此，电子商务安全系统可以由三个安全代理服务器及 ca 认证 系统构成，它们遵循共同的协议，协调工作，实现电子商务交易信息的完整性、保 密性和不可抵赖性等要求。 电子商务采用的安全技术主要有以下几种： 3.1 加密技术 加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算 法,将明文转换成难以识别和理解的密文并进行传输,从而确保数据的保密性。基于 加、解密的密钥是否相同来分类有两种算法:（1) 对称加密算法,又称专用密钥加 密算法或单密钥加密算法，从一个密钥推导出另一个密钥，而且通信双方都要获得 密钥并保持密钥的秘密。 （2) 非对称加密算法,又称公开密钥加密算法。在非对称 加密算法中,密钥被分解为一对,即一个公开密钥和一个专用密钥。该对密钥中的任 何一个都可作为公开密钥公开,而另一把则作为专用密钥保存。这两种方法各有优 缺点，在实际的电子商务系统中，通常采用这两种方法的结合的混合加密体制，即 加解密采用对称加密，密钥传送采用非对称加密。这样既可以保证数据的安全，又 可以提高加密和解密的速度。 3.2 数字签名 数字签名如同手写签名,在电子商务中有如下优点:（1) 发送者事后不能否认 自己发送的报文签名。 （2) 接受者能够核实发送者发送的报文签名。 （3) 接受者不 能伪造发送者的报文签名。 （4) 接受者不能对发送者的报文进行篡改。 （5) 交易中 的某一用户不能冒充另一用户作为发送者或接受者。数字签名也是采用非对称加密 算法,实现方式为:发送方从报文文本中生成一个 128 位的散列值,并用自己的私有 密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报 文的附件和报文一起发送给报文的接受方;报文的接受方首先从接受到的原始报文 参考文献 7 中 计算出 128 位的散列值,再用发送方的公开密钥来对报文附加的数字签名进行 解密。如果两个散列值相同,那么接受方就能确认该数字签名是发送方的。 3.3 数字时间戳 数字时间戳(dts ,digital time-stamp) ,如同传统商务中的日期和时间,在电 子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务 就能提供电子文件发表时间的安全保护。数字时间戳服务（dts）是网络安全服务 项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分 组成:需要加盖时间戳的文件的摘要、dts 收到文件的日期和时间以及 dts 的数字 签名。 3.4 数字证书 数字证书又称数字凭证,是由 ca 发放的,利用电子手段来证实一个用户的身份 及用户对网络资源的访问权限。它包括用户的姓名、公共密钥、公共密钥的有效期、 颁发数字证书的 ca、数字证书的序列号以及用户本人的数字签名。任何信用卡持 有人只有申请到相应的数字证书,才能参加网上的电子商务交易。数字证书一般有 5 种类型:个人数字证书、机构数字证书、网关数字证书、ca 系统数字证书及交叉 证书。 3.5 安全协议技术 目前常用的安全协议主要有两种：ssl 协议（安全套接层协议）和 set 协议 （安全电子交易协议） 。ssl 协议是由 netscape 公司提出的安全交易协议，该协议 主要目的是解决 t c p /i p 协议不能确认用户身份的问题，在 socket 上使用非 对称的加密技术，以保证网络通信服务的安全性。4set 是由 visa 和 mastercard 两大信用卡公司联合 ibm, microsoft, gte ,verisign , sa ic 等公司与 1996 年 6 月共同推出的以信用卡支付为基础的电子商务安全协议,其中涵盖了电子交易中 的交易协定、信息保密、数据完整、数字认证和数字签名等。它采用公钥密码体制 和 x . 5 0 9 数字证书标准，主要应用于保障网上购物信息的安全性。 福建信息职业技术学院毕业论文 6 4、结论 电子商务的本子是商务，技术是电子商务得以实现的手段。没有商务的需求， 技术的研究就失去了价值，没有技术的实现，电子商务就不能得以实施，所以技术 是电子商务的必要条件。而安全则是实现电子上我的必要前提，也是电子商务的必 要手段。本文详细探讨了电子商务安全体系所面临的问题，并提出了安全防护的几 种技术手段，相信随着时间的推移和技术的发展，电子商务安全体系将越来越完善， 足不出户而通过 internet 电子商务系统实现购物、交易和做生意将成为人们生活 的新时尚。 参考文献 7 参考文献： 1徐海来：电子商务的运作与安全j.中国信息导报，2000.6：126 2 吴凌娇. 网上购物安全问题探讨j. 江苏技术师范学院学报, 2006,(04) . 3刘 进：电子商务网上交易系统m.第一版，北京：机械工业出版社，2003：157 4李延昭：电子商务的交易安全j.计算机世界