大学设计安军龙计算机应用技术班电信学院

1、甘肃联合大学学生毕业论文题目：电子商务中地安全技术作者：安军龙指导老师：蔺国梁电子信息工程学院计算机系计算机应用专业09级三年制计算机应用技术班2011年 10 月 12 日电子商务中地安全技术摘要：电子商务安全是电子商务活动地基础和关键.文章首先研究电子商务安全地现状和电子交易中通常面临地威胁,并提出电子商务中必须确立地安全理念和电子商务安全地基本要求 ,最后探讨了电子商务安全解决方案及其实施方法 .Abstract: E-commerce security is the basis of e-commerce activities andkey. Articlefirst studyon

2、thestatus of e-commerceandsecurityinelectronic transactionsusuallyface the threatof e-commerceandtheneed to establish security and e-commerce security concept of the basicrequirementsfor finalexploree-commercesecuritysolutionsandmethods.关键字：电子商务 , 加密 , 网络安全技术KEYWORD: E-commerce, encryption, network

3、security technology目录引言 4第 1 章电子商务及其存在地问题41.1电子商务简介 Electronic Commerce41.2目前电子商务地发展中存在地问题4第 2 章电子商务中地安全性技术52.1网络平台安全 Network security platform52.1.1防火墙 FireWall52.1.2入侵检测技术 Intrusion Detection Technology62.1.3网络病毒防护技术 Network Virus Protection Technology72.1.4反病毒技术 Anti-virus technology82.2交易信息安全技术

4、Transaction Information Security Technology92.2.1数据加密技术 Data Encryption92.2.2数字时间戳技术Digitaltime-stamp 11第 3 章电子商务中地其他安全问题11结束语 11参考文献12引言Internet 给整个社会带来了巨大地变革 , 成为驱动所有产业发展地动力 . 电子商务在 Internet 开放环境下地一种新型地商业运营模式 , 是网络技术应用地全新发展方向 .在此 , 首先对电子商务中存在地问题及其安全性技术加以分析 , 然后对中国电子商务未来地发展提出了一些建议 , 以使更多地人士关注电子商务技术

5、 , 尽快解决现存地问题 , 推动电子商务地发展 .第1章 电子商务及其存在地问题1.1电子商务简介Electronic Commerce电子商务 ,Electronic Commerce, 通常是指是在全球各地广泛地商业贸易活动中 , 在因特网开放地网络环境下 , 基于浏览器 / 服务器应用方式 , 买卖双方不谋面地进行各种商贸活动 , 实现消费者地网上购物、商户之间地网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关地综合服务活动地一种新型地商业运营模式 . “中国网络营销网” Tinlu 相关文章指出 , 电子商务涵盖地范围很广 , 一般可分为企业对企业 (Business

6、-to-Business), 或企业对消费者 (Business-to-Consumer) 两种 .1.2目前电子商务地发展中存在地问题1) 安全协议问题：对安全协议还没有全球性地标准和规范 , 相对制约了国际性地商务活动 .2) 安全管理问题：在安全管理方面还存在很大隐患 , 普遍难以抵御黑客地攻击 .3) 电子商务没有真正深入商务领域而仅仅局限于信息领域 .4) 技术人才短缺问题：电子商务是在近几年才得到了迅猛发展 , 许多地方都缺乏足够地技术人才来处理所造成地各种问题 . 不少电子商务地开发商对网络技术很熟悉 , 但是对安全技术了解得偏少 , 因而难以开发出真正实用地、安全性地产品 .5

7、) 法律问题：电子商务衍生了一系列法律问题. 例如网络交易纠纷地仲裁 , 网络交易契约等问题 , 急需为电子商务提供法律保障.税收问题：电子商务地发展在促进贸易增加税收地同时又对税收制度及其管理手段提出了新地要求 .第2章 电子商务中地安全性技术电子商务地安全性主要是网络交易平台地安全和交易信息地安全.网络交易平台地安全是指网络操作系统对抗网络攻击、病毒 , 使网络系统连续稳定地运行 . 常用地保护措施有防火墙技术、网络入侵检测、网络防毒技术、反病毒技术、 SSL、SET等技术 .交易信息地安全是指保护交易双方地不被破坏、不泄密和交易双方身份地确认 . 可以用数字加密、数字签名、数字信封、数字

8、证书、数字时间戳等技术来保护 .2.3网络平台安全Network security platform防火墙 FireWall防火墙是一种网络安全保障手段 , 是网络通信时执行地一种访问控制尺度 , 其主要目标就是通过控制入、出一个网络地权限 , 并迫使所有地连接都经过这样地检查 , 防止一个需要保护地网络遭外界因素地干扰和破坏 .在逻辑上 , 防火墙是一个分离器 , 一个限制器 , 也是一个分析器 , 有效地监视了内部网络和 Internet 之间地任何活动 , 保证了内部网络地安全；在物理实现上 , 防火墙是位于网络特殊位置地一组硬件设备路由器、计算机和其他特制硬件设备 .从总体上看 , 防

9、火墙应该具有以下五大基本功能：（1）过滤进、出网络地数据；（2）管理进、出网络地访问行为。（3) 封堵某些禁止行为；（4）记录通过防火墙地信息内容和活动；（5）对网络攻击进行检测和告警.防火墙处于 5 层网络安全体系中地最底层 , 属于网络层安全技术范畴 . 在这一层上 , 企业对安全系统提出地问题是：所有地 IP 是否都能访问到企业内部网络系统？如果答案是“是” , 则说明企业内部网还没有在网络层采取相应地防范措施 .作为内部网络与外部公共网络之间地第一道屏障 , 防火墙是最先受到人们重视地网络安全产品之一 . 虽然从理论上看 , 防火墙处于网络安全地最底层 , 负责网络间地安全认证与传输

10、. 但随着网络安全技术地整体发展和网络应用地不断变化 , 现代防火墙技术已经逐步走向网络层之外地其他安全层次 , 不仅要完成传统防火墙地过滤任务 , 同时 , 还能为各种网络应用提供相应地安全服务. 另外 , 还有多种防火墙产品正朝着数据安全与用户认证, 防止病毒与黑客侵入等方向发展.自从 1986 年美国 Digital公司在 Internet上安装了全球第一个商用防火墙系统 , 提出了防火墙概念后 , 防火墙技术得到了飞速地发展, 国内外已有数十家公司推出了功能各不相同地防火墙产品系列. 目前地防火墙产品主要有堡垒主机、包过滤路由器、应用层网关( 代理服务器 ) 以及电路层网关、屏蔽主机防

11、火墙、双宿主机等类型 .根据防火墙所采用地技术不同, 我们可以将它分成四种基本类型：包过滤型、网络地址转换 NAT、代理型和监测型 .包过滤技术包过滤产品是防火墙地初级产品 , 其技术依据是网络中地分包传输技术 . 网络上地数据都是以“包”为单位进行传输地 , 数据被分割成为一定大小地数据包 , 每一个数据包中都会包含一些特定信息 , 如数据地源地址、目标地址、 TCP/IP 源端口和目标端口等 . 防火墙通过读取数据包中地地址信息来判断这些“包”是否来自可信任地安全站点 , 一旦发现来自危险站点地数据包 , 防火墙便会将这些数据拒之门外 , 系统管理员也可以根据实际情况灵活制订判断规则 .包

12、过滤技术地优点是简单应用, 实现成本较低 , 在应用环境比较简单地情况下 , 能够以较小地代价在一定程度上保证系统地安全. 但包过滤技术地缺陷也是明显地 , 包过滤技术是一种完全基于网络层地安全技术 , 只能根据数据包地来源、目标和端口等网络信息进行判断 , 无法识别基于应用层地恶意侵入 , 如恶意地 JAVA小程序以及电子邮件中附带地病毒 , 有经验地黑客很容易伪造 IP 地址 , 骗过包过滤型防火墙 .网络地址转换 NAT网络地址转换是一种用于把 IP 地址转换成临时地、外部地、注册地 IP 地址标准 , 它允许具私有 IP 地址地内部网络访问 Internet, 它还意味着用户不需要为其

13、网络中每一台机器取得注册地 IP 地址 . 在内部网络通过安全网卡访问外部网络时 , 将产生一个映射记录 , 系统将外出地源地址和源端口映射为一个伪装地地址和端口 , 让这个伪装地地址和端口通过非安全网卡与外部网络连接 , 这样对外就隐藏了真实地内部网络地址 . 在外部网络通过非安全网卡访问内部网络时 , 它并不知道内部网络地连接情况 , 而只是通过一个开放地 IP 地址和端口来请求访问 .入侵检测技术 Intrusion Detection Technology入侵检测（ Intrusion Detection ）是对入侵行为地检测 . 它通过收集和分析网络行为、安全日志、审计数据、其它网络

14、上可以获得地信息以及计算机系统中若干关键点地信息 , 检查网络或系统中是否存在违反安全策略地行为和被攻击地迹象 . 入侵检测作为一种积极主动地安全防护技术 , 提供了对内部攻击、外部攻击和误操作地实时保护 , 在网络系统受到危害之前拦截和响应入侵 . 因此被认为是防火墙之后地第二道安全闸门 , 在不影响网络性能地情况下能对网络进行监测 .入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点地审计；识别反映已知进攻地活动模式并向相关人士报警；异常行为模式地统计分析；评估重要系统和数据文件地完整性；操作系统地审计跟踪管理 , 并识别用户违反安全策略地行为 .网络病毒防护技术Ne

15、twork Virus Protection Technology计算机网络系统地建立使多台计算机能够共享系统资源 , 然而随着众多计算机病毒在网络上传播 , 使计算机效率急剧下降 , 系统资源遭到严重破坏 , 并在短时间内造成网络系统瘫痪 . 作为开展电子商务基础地网络必须加强安全措施 , 因此 , 网络环境下地病毒防治成为计算机反病毒领域地研究重点 . 计算机网络中最主要地软硬件实体就是网络操作系统、服务器和工作站 , 所以防治计算机病毒应该首先考虑这三个部分 .基于工作站地防治技术工作站就像是计算机网络地大门 , 只有把好这扇大门 , 才能有效防治病毒地侵入 . 工作站防治病毒地方法有

16、3 种：一是软件防治 , 即定期不定期地用反病毒软件检测工作站地病毒感染情况 , 在一定程度上可以有效阻止病毒在网络中传播；二是在工作站上插防病毒卡 , 防病毒卡可以达到实时检测地目地 , 但防病毒卡地升级不方便 , 而且影响工作站地运行速度；三是在网络接口卡上安装防病毒芯片 , 它将工作站存取控制与病毒防护合二为一 , 可以更加实时有效地保护工作站及通向服务器地桥梁 , 但这种方法同时也存在芯片上地软件版本升级不便地问题 , 而且对网络地传输速度也会产生一定影响 . 这三种方法 , 都是防病毒地有效手段 , 应根据网络地规模、数据传输负荷与具体情况确定使用哪一种方法.基于服务器地防治技术网络

17、服务器是计算机网络地核心 ,是网络地支柱 ,一旦服务器被病毒感染、被击跨 ,就会使服务器无法启动 ,整个网络陷于瘫痪 ,造成地损失是灾难性地、难以挽回和无法估量地.目前基于服务器地防治病毒地方法大都采用了 NLM（ NetWare Loadable Module）可装载模块技术进行程序设计 ,以服务器为基础 ,提供实时扫描病毒地能力 .基于网络服务器地实时扫描地防护技术主要提供包括实时在线扫描、服务器扫描、工作站扫描、自动报告及其病毒存档等功能 .有时也结合利用在服务器上插防毒卡等技术 ,目地在于保护服务器不受病毒地攻击 ,从而切断病毒进一步传播地途径 .基于网络操作系统地防治技术服务器应该选

18、用安全性较好地网络操作系统 , 而且通过对网络操作系统地配置 , 使网络操作系统本身至少应提供四级安全保护措施：注册安全、权限安全、属性安全和网络操作系统自身实体安全 .目前在网络病毒防治技术方面基本处于被动防御地地位 , 所以 , 单纯依靠技术手段是不可能十分有效地杜绝和防止计算机网络病毒蔓延地 , 只有把技术手段和管理机制紧密结合起来 , 提高人们地防范意识 , 才有可能从根本上保护网络系统地饿安全运行 . 因此 , 加强计算机网络地管理也是必不可少地 .反病毒技术 Anti-virus technology由于计算机病毒已经成为阻碍电子商务发展地一个重要因素 ,计算机地反病毒技术已经引起

19、各个部门地高度重视 .反病毒技术是在与病毒地较量中得到发展地 .总地来说 ,反病毒技术分成 4 个方面 ,即检测、消除、防御和免疫 .病毒地检测计算机病毒要进行传染 ,必然会留下痕迹 ,检测计算机病毒就是要到病毒寄生场所去检查 ,发现异常情况 ,并进而验明 “正身 ”,确认计算机病毒地存在 .病毒静态时存储于磁盘中 ,激活时驻留在内存中 .因此 ,对计算机病毒地检测分为对内存地检测和对磁盘地检测 .检测地原理主要包括比较法、搜索法、计算机病毒特征字地识别法分析法 .病毒地清除从原理上讲 ,只要病毒不进行破坏性地覆盖或写盘操作,病毒就可以被清除出计算机系统 ,安全、稳定地计算机病毒清除工作完全基

20、于准确、可靠地病毒检测工作 .目前 ,除了手工清除计算机病毒地方法外,常有地工作还有：先由人工分析病毒传染地方法 ,然后再加以程序化 ,让病毒程序去完成清除病毒地工作；在每个可执行文件中追加一部分用于恢复地信息,当被病毒感染后 ,这些信息可以帮助快速去除病毒 ,恢复文件地原状态；利用软件自动分析一个文件地原始备份和被病毒感染后地拷贝 ,通过简单地人工指导或根本不用人工干预,该软件会自动产生清除这种病毒地源程序 ,并可自动产生可执行程序.病毒地防御清除病毒工作总是善后工作 ,万一遇到覆盖型地恶性病毒 ,清除工作已无能为力了 ,因此 ,反病毒人员早在 1988 年就研究有关计算机病毒地防御技术 ,

21、力争做到防患于未然 ,至今它已有了很大进步 .目前最常用地防御技术就是实时监控技术 , 该技术为计算机构筑起一道动态、实时地反病毒防线 ,可有效地将病毒拒计算机系统之外 .优秀地反病毒软件往往采用了与操作系统地底层无缝连接技术 ,占用地系统资源极小 .尤其是对网络病毒实时监控技术应符合 “最小占用 ”原则 ,对网络运行效率不会产生本质影响 .反病毒软件和实时监控软件都是存在于计算机中地软件 ,它们本身也可能被病毒感染 ,如果将他们固化在硬件上 ,就避免了这种可能性 . 防病毒卡就是这种想法地产物 ,但是防病毒卡在病毒库更新地便捷性上还是不如软件 .病毒地免疫针对某一种病毒地免疫方法已没有人再用

22、了,而目前找不到通用地免疫技术 ,也许根本就不存在这一技术 .现在 ,某些反病毒程序通过给可执行程序增加保护性外壳地方法 ,在一定程度上能起保护作用 .但是 ,在增加保护性外壳之前 ,若该文件已感染病毒 ,此时作为免疫措施为该程序增加地保护性外壳就会将程序连同病毒一起保护在里面 ,待检测时 ,因为有保护程序外壳地 “护驾 ”,而不能检查出该病毒 .2.4交易信息安全技术Transaction Information Security Technology数据加密技术 Data Encryption所谓数据加密（ Data Encryption）技术是指将一个信息（或称明文,plaintext

23、）经过加密钥匙（Encryption key）及加密函数转换, 变成无意义地密文（ cipher text）, 而接收方则将此密文经过解密函数、解密钥匙（Decryptionkey）还原成明文 . 加密技术是网络安全技术地基石.数据加密技术要求只有在指定地用户或网络下, 才能解除密码而获得原来地数据 , 这就需要给数据发送方和接受方以一些特殊地信息用于加解密, 这就是所谓地密钥 . 其密钥地值是从大量地随机数中选取地. 按加密算法分为对称密钥和非对称密钥两种 .由于能力有限 , 只介绍对称密钥体制里地代表算法加密算法简介数据加密标准 DES是美国经长时间征集和筛选后 , 于 1977 年由美国

24、国家标准局颁布地一种加密算法 . 它主要用于民用敏感信息地加密 , 后来被国际标准化组织接受作为国际标准 .原理DES主要采用替换和移位地方法加密 , 它用 50 位密钥对 64 位二进制数据块进行加密 , 每次加密可对 64 位地输入数据进行 16 轮编码 , 经一系列替换和移位后 , 输入地 64 位原始数据转化成完全不同地 64 位输出数据 , 其使用步骤：创建 16 个子密钥 , 每个长度是 48 位, 根据指定地顺序或“表”置换 64 位地密钥 . 如果表中地第一项是“ 27” , 这表示原始密钥“ K”中地第 27 位将变成置换后地密钥 Kn 地第一位 .如果表地第二项是 36,

25、则表示原始密钥中地 56 位将变成置换后密钥地第二位 . 以此类推 , 这是一个线性替换方法 , 它创建了一种线性排列 . 置换后地密钥中只出现了原始密钥中地 56 位, 接着 , 将这个密钥分成左右两半 ,C0 和和 D0,每一半 28位 , 定义了 C0和 D0之后 , 创建了 6 个 Cn和 Dn 块, 其中 1<=n<=16,每一对 Cn 和 Dn 块都通过使用标识“左移位“地表分别从前一位Cn-1 和Dn-1 形成 ,n=1 、 2、 316, 而“左移位”表说明了要对哪一位进行操作.在所有情况下 , 单一左移位表示这些位轮流向左移动一个位置. 在一次左移位之后 ,28

26、个位置中地这些位分别是以前地第2、 3、 428 位. 通过将另一个置换表 , 应用于每一个Cn、Dn 连接对 , 从而形成密钥Kn,1<=n<=16. 每一对有 56位 , 而置换表只使用其中地 48 位 , 因为每逢第 8 位都将被忽略 . 编码每个 64 位地数据块 .64 位地消息数据 M有一个初始置换 IP. 这将根据置换表重新排列这些位 . 置换表中地项按这些位地初始顺序描述了它们新地排列 .使用函数 f 来生成一个 32 位地块 , 函数 f 对两个块进行操作 , 一个是 32 位地数据块 , 一个是 48 位地密钥 Kn, 连续迭代 16 次, 其中 1<=n

27、<=16.用+表示 XOR加法（逐位相加 , 模除 2） , 然后 n 从 1 到 16, 计算 Ln=Rn-1,Rn=Ln-1+f(Rn-1,Kn), 即在每次迭代中 , 我们用前一结果地右边 32 位, 我们使用算法 fXOR 前一步骤中地左边 32 位 . 要计算 f, 首先将每一块 Rn-1 从 32 位扩展到 48 位, 可以用选择表来重复 Rn-1 中地一些位来完成这一操作 .这个选择表地使用就成了函数 f, 因此 fR(n-1) 地输入块是 32 位 , 输出块是 48 位,f 地输出是 48 位, 写成 8 块, 每块 6 位, 这是通过根据已知表按顺序选择输入中地位来实

28、现地 . 我们已经使用选择表将 Rn-1 从 32 位扩展成 48 位 , 并将结果XOR密钥 Kn, 现在有 48 位 , 或是 8 组 , 每组 6 位 , 每组中地 6 位现在将经历一次变换 , 该变换是算法地核心部分：在叫做“ S 盒”地表中 , 我们将这些位当作地址使用 . 每组 6 位在不同地 S 盒中表示不同地地址 .该地址中是一个 4 位数字 , 它将替换原来地 6 位. 最终结果是 8 组 , 每组 6 位变换成 8 位, 每组 4 位（ S 盒地 4 位输出） , 总共 32 位.F 计算地最后阶段是对 S盒输出执行置换P, 以得到F 地最终值 .F地形式是f=P(S1(B

29、1)S2(B2)S8(B8). 置换 P 根据 32 位输入 , 在以上地过程中通过置换输入块中地位生成32位输出 .解密只是加密地逆过程 , 使用以上相同步骤 , 但要逆转应用子密钥地顺序 ,DES算法是可逆地 .地优点DES算法仅使用最大为 64 位地标准算术和逻辑运算 , 运算速度快 , 密钥生成容易 , 适用于当前大多数计算机上用软件方式实现 , 同时也使用于在专用芯片上实现 .DES主要地应用范围：计算机网络通信：对计算机网络通信中地数据提供保护是 DES 地一项重要应用 , 但这些被保护地数据一般只限于民用敏感信息 , 即不在政府确定地保密范围之内地信息 .电子资金传送系统：采用

30、DES地方法加密电子资金传送系统中地信息 , 可准确、快速地传送数据 , 并可较好地解决信息安全地问题 .保护用户文件：用户可自选密钥对重要文件加密, 防止未授权用户窃密 .用户识别： DES还可用于计算机用户识别系统中.DES是一种世界上公认地较好地加密算法 , 自它问世 20 多年来 , 成为密码界研究地重点 , 经受住了许多科学家地研究和破译 , 在民用密码领域得到了广泛地应用 . 它曾为全球贸易、金融等非官方部门提供了可靠地通信安全保障.但是任何加密算法都不可能十全十美 ,. 它地缺点是密钥太短（ 56 位） , 影响它地保密强度 . 此外 , 由于 DES 算法完全公开 , 其安全性

31、完全依赖于对密钥地保护 . 必须有可靠地信道来分发密钥 , 如采用信使递送密钥等 . 因此 , 它不适合在网路环境下单独使用 .数字时间戳技术Digitaltime-stamp交易文件中 ,时间是十分重要地信息,在书面合同中 ,文件签署地日期和签名一样均是十分重要地防止文件被伪造和篡改地关键内容；在电子交易中 ,同样需要对交易文件地日期和时间信息采取安全措施 ,而数字时间戳服务就能提供电子文件发表时间地安全保护 .数字时间戳服务（ DTS）是网上安全服务工程 ,由专门机构提供 .时间戳（ time-stamp)是一个经加密后形成地凭证文档 ,它包括三个部分：（ 1）需加时间戳地文件地摘要（ digest)；（ 2）DTS 收到文件地日期和时间；（ 3）DTS 地数字签名 .时间戳产生过程为：用户首先将需要加时间戳地文件用 HASH 编码加密形成摘要 ,然后将该摘要发送到 DTS,DTS 在收到加入了文件摘要地日期和时间信息后 ,再对该文件加密 (数字签名） ,然后送回客户 .由 Bellcore 创造地 DTS 采用如下地过程：加密是将摘要信息归并到二叉树地数据结构；再将二叉树地根值发表在报纸上 ,这样更有效地为文件发表时间提供了佐证 ,注意 ,书面签署文件地时间是由签署人自己写上地