大学设计安军龙计算机应用技术班电信学院

1、甘肃联合大学学生毕业论文题 目：电子商务中地安全技术作 者：安军龙指导老师：蔺国梁电子信息工程学院 计算机 系计算机应用专业 09级年制计算机应用技术班2011年10月12日电子商务中地安全技术摘要：电子商务安全是电子商务活动地基础和关键 .文章首先研究电子商务安全 地现状和电子交易中通常面临地威胁，并提出电子商务中必须确立地安全理念和 电子商务安全地基本要求，最后探讨了电子商务安全解决方案及其实施方法 .Abstract: E-commerce security is the basis of e-commerce activities andkey. Article first study

2、 on the status of e-commerce and security in electronic transactions usually face the threat of e-commerce and the n eed to establish security and e-commerce security con cept of the basic requirements for final explore e-commerce security solutionsandmethods.关键字：电子商务，加密,网络安全技术KEYWORD: E-commerce, e

3、n cryptio n, n etwork security tech no logy引言4第1 章电子商务及其存在地问题 41.1 电子商务简介 Electro nic Commerce41.2 目前电子商务地发展中存在地问题 4第2章电子商务中地安全性技术 52.1 网络平台安全 Network security platform 52.1.1 防火墙 FireWall 52.1.2 入侵检测技术 In trusi on Detect ionTech no logy 62.1.3 网络病毒防护技术 Network VirusProtection Tech no logy 72.1.4 反病

4、毒技术 An ti-virus tech no logy82.2 交易信息安全技术 Transaction In formati on Security Tech no logy 92.2.1 数据加密技术 Data En crypti on 92.2.2 数字时间戳技术 Digital time-stamp 11第3章电子商务中地其他安全问题 11结束语11参考文献12引言In ternet 给整个社会带来了巨大地变革,成为驱动所有产业发展地动力.电子商 务在In ternet 开放环境下地一种新型地商业运营模式，是网络技术应用地全新 发展方向.在此，首先对电子商务中存在地问题及其安全性技术

5、加以分析 ，然后对中国电子 商务未来地发展提出了一些建议，以使更多地人士关注电子商务技术，尽快解决 现存地问题，推动电子商务地发展.第1章 电子商务及其存在地问题1.1 电子商务简介 Electronic Commerce电子商务，Electronic Commerce,通常是指是在全球各地广泛地商业贸易活 动中,在因特网开放地网络环境下，基于浏览器/服务器应用方式，买卖双方不谋 面地进行各种商贸活动，实现消费者地网上购物、商户之间地网上交易和在线电 子支付以及各种商务活动、交易活动、金融活动和相关地综合服务活动地一种新 型地商业运营模式.“中国网络营销网”Tinlu相关文章指出，电子商务涵盖

6、地范围很广,一般可分为企业对企业（Bus in ess-to-Bus in ess）,或企业对消费者（Bus in ess-to-C on sumer）两种.1.2目前电子商务地发展中存在地问题1）安全协议问题：对安全协议还没有全球性地标准和规范，相对制约了国际性地商务活动.2）安全管理问题：在安全管理方面还存在很大隐患,普遍难以抵御黑客地攻击.3）电子商务没有真正深入商务领域而仅仅局限于信息领域.4）技术人才短缺问题：电子商务是在近几年才得到了迅猛发展，许多地方都缺乏足够地技术人才来处理所造成地各种问题.不少电子商务地开发商对网络 技术很熟悉，但是对安全技术了解得偏少，因而难以开发出真正实用

7、地、安全性地 产品.5）法律问题：电子商务衍生了一系列法律问题.例如网络交易纠纷地仲裁，网络 交易契约等问题，急需为电子商务提供法律保障.税收问题：电子商务地发展在促进贸易增加税收地同时又对税收制度及其管理手段提出了新地要求第2章 电子商务中地安全性技术电子商务地安全性主要是网络交易平台地安全和交易信息地安全网络交易平台地安全是指网络操作系统对抗网络攻击、病毒，使网络系统连续稳定地运行.常用地保护措施有防火墙技术、网络入侵检测、网络防毒技术、反病 毒技术、SSL SET等技术.交易信息地安全是指保护交易双方地不被破坏、不泄密和交易双方身份 地确认.可以用数字加密、数字签名、数字信封、数字证书、

8、数字时间戳等技术 来保护.2.1 网络平台安全 Network security platform2.1.1 防火墙 FireWall防火墙是一种网络安全保障手段，是网络通信时执行地一种访问控制尺度，其主要目标就是通过控制入、出一个网络地权限，并迫使所有地连接都经过这样地检查,防止一个需要保护地网络遭外界因素地干扰和破坏.在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视 了内部网络和In ternet之间地任何活动,保证了内部网络地安全；在物理实现上, 防火墙是位于网络特殊位置地一组硬件设备一一路由器、计算机和其他特制硬件 设备.从总体上看，防火墙应该具有以下五大基本功能：

9、（1）过滤进、出网络地数据；（2）管理进、出网络地访问行为；（3）封堵某些禁止行为；（4）记录通过防火墙地信息内容和活动；（5）对网络攻击进行检测和告警.防火墙处于5层网络安全体系中地最底层，属于网络层安全技术范畴.在这 一层上,企业对安全系统提出地问题是：所有地IP是否都能访问到企业内部网络 系统？如果答案是“是”，则说明企业内部网还没有在网络层采取相应地防范措 施.作为内部网络与外部公共网络之间地第一道屏障，防火墙是最先受到人们重 视地网络安全产品之一.虽然从理论上看，防火墙处于网络安全地最底层，负责网 络间地安全认证与传输.但随着网络安全技术地整体发展和网络应用地不断变化，现代防火墙技术

10、已经逐步走向网络层之外地其他安全层次，不仅要完成传统防火 墙地过滤任务，同时,还能为各种网络应用提供相应地安全服务.另外,还有多种防火墙产品正朝着数据安全与用户认证，防止病毒与黑客侵入等方向发展.自从1986年美国Digital公司在In ternet上安装了全球第一个商用防火 墙系统,提出了防火墙概念后，防火墙技术得到了飞速地发展，国内外已有数十家公司推出了功能各不相同地防火墙产品系列目前地防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、 双宿主机等类型根据防火墙所采用地技术不同，我们可以将它分成四种基本类型：包过滤型、 网络地址转换一一NAT

11、代理型和监测型.2.1.1.1 包过滤技术包过滤产品是防火墙地初级产品，其技术依据是网络中地分包传输技术网 络上地数据都是以“包”为单位进行传输地，数据被分割成为一定大小地数据包， 每一个数据包中都会包含一些特定信息,如数据地源地址、目标地址、TCP/IP源 端口和目标端口等.防火墙通过读取数据包中地地址信息来判断这些“包”是否 来自可信任地安全站点，一旦发现来自危险站点地数据包，防火墙便会将这些数 据拒之门外，系统管理员也可以根据实际情况灵活制订判断规则包过滤技术地优点是简单应用，实现成本较低，在应用环境比较简单地情况 下，能够以较小地代价在一定程度上保证系统地安全但包过滤技术地缺陷也是明显

12、地,包过滤技术是一种完全基于网络层地安全技术，只能根据数据包地来源、 目标和端口等网络信息进行判断,无法识别基于应用层地恶意侵入,如恶意地JAVA小程序以及电子邮件中附带地病毒,有经验地黑客很容易伪造IP地址,骗过 包过滤型防火墙.2.1.1.2 网络地址转换 NAT网络地址转换是一种用于把IP地址转换成临时地、外部地、注册地IP地址 标准,它允许具私有IP地址地内部网络访问In ternet,它还意味着用户不需要为 其网络中每一台机器取得注册地 IP地址.在内部网络通过安全网卡访问外部网 络时,将产生一个映射记录，系统将外出地源地址和源端口映射为一个伪装地地 址和端口，让这个伪装地地址和端口

13、通过非安全网卡与外部网络连接，这样对外就隐藏了真实地内部网络地址在外部网络通过非安全网卡访问内部网络时，它 并不知道内部网络地连接情况，而只是通过一个开放地IP地址和端口来请求访 问2.1.2 入侵检测技术 Intrusion Detection Technology入侵检测(Intrusion Detection )是对入侵行为地检测.它通过收集和分析 网络行为、安全日志、审计数据、其它网络上可以获得地信息以及计算机系统中 若干关键点地信息，检查网络或系统中是否存在违反安全策略地行为和被攻击地 迹象.入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击 和误操作地实时保护，在网

14、络系统受到危害之前拦截和响应入侵.因此被认为是 防火墙之后地第二道安全闸门，在不影响网络性能地情况下能对网络进行监测. 入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点地审计；识别反映已知进攻地活动模式并向相关人士报警；异常行为模式地统 计分析；评估重要系统和数据文件地完整性；操作系统地审计跟踪管理，并识别用户违反安全策略地行为2.1.3 网络病毒防护技术 Network Virus Protection Techno logy计算机网络系统地建立使多台计算机能够共享系统资源，然而随着众多计 算机病毒在网络上传播，使计算机效率急剧下降，系统资源遭到严重破坏，并在短 时间

15、内造成网络系统瘫痪.作为开展电子商务基础地网络必须加强安全措施，因 此,网络环境下地病毒防治成为计算机反病毒领域地研究重点.计算机网络中最主要地软硬件实体就是网络操作系统、服务器和工作站，所以防治计算机病毒应 该首先考虑这三个部分.2.1.3.1 基于工作站地防治技术工作站就像是计算机网络地大门，只有把好这扇大门，才能有效防治病 毒地侵入.工作站防治病毒地方法有3种：一是软件防治，即定期不定期地用反病 毒软件检测工作站地病毒感染情况，在一定程度上可以有效阻止病毒在网络中传 播；二是在工作站上插防病毒卡，防病毒卡可以达到实时检测地目地，但防病毒卡 地升级不方便，而且影响工作站地运行速度；三是在网

16、络接口卡上安装防病毒芯 片,它将工作站存取控制与病毒防护合二为一，可以更加实时有效地保护工作站 及通向服务器地桥梁，但这种方法同时也存在芯片上地软件版本升级不便地问题 而且对网络地传输速度也会产生一定影响.这三种方法，都是防病毒地有效手段, 应根据网络地规模、数据传输负荷与具体情况确定使用哪一种方法2.1.3.2 基于服务器地防治技术网络服务器是计算机网络地核心，是网络地支柱，一旦服务器被病毒感染、被 击跨，就会使服务器无法启动，整个网络陷于瘫痪，造成地损失是灾难性地、难以挽 回和无法估量地.目前基于服务器地防治病毒地方法大都采用了NLM ( NetWareLoadable Module)可装

17、载模块技术进行程序设计，以服务器为基础,提供实时扫描 病毒地能力.基于网络服务器地实时扫描地防护技术主要提供包括实时在线扫 描、服务器扫描、工作站扫描、自动报告及其病毒存档等功能.有时也结合利用在服务器上插防毒卡等技术，目地在于保护服务器不受病毒地攻击，从而切断病毒 进一步传播地途径.2.1.3.3 基于网络操作系统地防治技术服务器应该选用安全性较好地网络操作系统，而且通过对网络操作系统地配 置,使网络操作系统本身至少应提供四级安全保护措施：注册安全、权限安全、 属性安全和网络操作系统自身实体安全.目前在网络病毒防治技术方面基本处于被动防御地地位，所以,单纯依靠技术手段是不可能十分有效地杜绝和

18、防止计算机网络病毒蔓延地，只有把技术手段和管 理机制紧密结合起来，提高人们地防范意识，才有可能从根本上保护网络系统地 饿安全运行.因此,加强计算机网络地管理也是必不可少地.2.1.4 反病毒技术 Anti-virus technology由于计算机病毒已经成为阻碍电子商务发展地一个重要因素，计算机地反病 毒技术已经引起各个部门地高度重视.反病毒技术是在与病毒地较量中得到发展 地.总地来说，反病毒技术分成4个方面，即检测、消除、防御和免疫.2.1.4.1 病毒地检测计算机病毒要进行传染，必然会留下痕迹，检测计算机病毒就是要到病毒寄 生场所去检查，发现异常情况,并进而验明正身”确认计算机病毒地存在

19、.病毒静 态时存储于磁盘中，激活时驻留在内存中.因此，对计算机病毒地检测分为对内存 地检测和对磁盘地检测.检测地原理主要包括比较法、搜索法、计算机病毒特征 字地识别法分析法.2.1.4.2 病毒地清除从原理上讲,只要病毒不进行破坏性地覆盖或写盘操作，病毒就可以被清除 出计算机系统，安全、稳定地计算机病毒清除工作完全基于准确、可靠地病毒检 测工作.目前,除了手工清除计算机病毒地方法外，常有地工作还有：先由人工分析 病毒传染地方法，然后再加以程序化，让病毒程序去完成清除病毒地工作；在每个 可执行文件中追加一部分用于恢复地信息，当被病毒感染后,这些信息可以帮助快 速去除病毒，恢复文件地原状态；利用软

20、件自动分析一个文件地原始备份和被病 毒感染后地拷贝，通过简单地人工指导或根本不用人工干预，该软件会自动产生清 除这种病毒地源程序，并可自动产生可执行程序.2.1.4.3 病毒地防御清除病毒工作总是善后工作，万一遇到覆盖型地恶性病毒，清除工作已无能 为力了，因此，反病毒人员早在1988年就研究有关计算机病毒地防御技术，力争做 到防患于未然，至今它已有了很大进步.目前最常用地防御技术就是实时监控技术 该技术为计算机构筑起一道动态、实时地反病毒防线，可有效地将病毒拒计算机 系统之外.优秀地反病毒软件往往采用了与操作系统地底层无缝连接技术，占用地 系统资源极小.尤其是对网络病毒实时监控技术应符合最小占

21、用”原则，对网络运 行效率不会产生本质影响.反病毒软件和实时监控软件都是存在于计算机中地软 件,它们本身也可能被病毒感染，如果将他们固化在硬件上，就避免了这种可能性. 防病毒卡就是这种想法地产物，但是防病毒卡在病毒库更新地便捷性上还是不如 软件.2.144病毒地免疫针对某一种病毒地免疫方法已没有人再用了 ，而目前找不到通用地免疫技 术,也许根本就不存在这一技术现在，某些反病毒程序通过给可执行程序增加保 护性外壳地方法，在一定程度上能起保护作用但是，在增加保护性外壳之前，若该 文件已感染病毒，此时作为免疫措施为该程序增加地保护性外壳就会将程序连同 病毒一起保护在里面，待检测时，因为有保护程序外壳

22、地 护驾”而不能检查出该 病毒.2.2 交易信息安全技术 Transaction In formatio n Security Tech no logy2.2.1 数据加密技术 Data Encryption所谓数据加密(Data Encryption )技术是指将一个信息(或称明文,plain text )经过加密钥匙(Encryption key )及加密函数转换，变成无意义地密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key) 还原成明文.加密技术是网络安全技术地基石.数据加密技术要求只有在指定地用户或网络下，才能解除密码而获得原来地

23、数据,这就需要给数据发送方和接受方以一些特殊地信息用于加解密，这就是所谓地密钥.其密钥地值是从大量地随机数中选取地.按加密算法分为对称密钥和 非对称密钥两种.由于能力有限，只介绍对称密钥体制里地代表算法DES加密算法2.2.1.1 DES 简介数据加密标准DES是美国经长时间征集和筛选后,于1977年由美国国家标准 局颁布地一种加密算法.它主要用于民用敏感信息地加密，后来被国际标准化组 织接受作为国际标准.2.2.1.2 DES 原理DES主要采用替换和移位地方法加密,它用50位密钥对64位二进制数据块 进行加密,每次加密可对64位地输入数据进行16轮编码,经一系列替换和移位后, 输入地64位

24、原始数据转化成完全不同地 64位输出数据，其使用步骤：创建16 个子密钥，每个长度是48位,根据指定地顺序或“表”置换 64位地密钥.如果表 中地第一项是“ 27” ,这表示原始密钥“ K”中地第27位将变成置换后地密钥Kn 地第一位.如果表地第二项是36,则表示原始密钥中地56位将变成置换后密钥地第二位.以 此类推,这是一个线性替换方法，它创建了一种线性排列.置换后地密钥中只出现 了原始密钥中地56位,接着,将这个密钥分成左右两半,C0和和D0,每一半28位, 定义了 CO和D0之后，创建了 6个Cn和Dn块，其中1<=n<=16,每一对Cn和Dn块都通过使用标识“左移位“地表分

25、别从前一位Cn-1和Dn-1 形成,n=1、2、316,而“左移位”表说明了要对哪一位进行操作.在所有情况下,单一左移位表示这些位轮流向左移动一个位置 .在一次左移 位之后,28个位置中地这些位分别是以前地第 2、3、428位.通过将另一个 置换表,应用于每一个Cn Dn连接对,从而形成密钥Kn,1<=n<=16.每一对有56 位,而置换表只使用其中地48位,因为每逢第8位都将被忽略.编码每个64位地 数据块.64位地消息数据M有一个初始置换IP.这将根据置换表重新排列这些位. 置换表中地项按这些位地初始顺序描述了它们新地排列 .使用函数f来生成一个32位地块,函数f对两个块进行操

26、作，一个是32位地 数据块,一个是48位地密钥Kn,连续迭代16次,其中1<=n<=16.用+表示XOR加法(逐位相加，模除2),然后n从1到16,计算Ln=Rn-1,Rn=Ln-1+f(Rn-1,Kn),即 在每次迭代中，我们用前一结果地右边32位,我们使用算法fXOR前一步骤中地左 边32位.要计算f,首先将每一块Rn-1从32位扩展到48位,可以用选择表来重 复Rn-1中地一些位来完成这一操作.这个选择表地使用就成了函数f,因此fR(n-1)地输入块是32位,输出块是 48位,f地输出是48位，写成8块,每块6位，这是通过根据已知表按顺序选择输 入中地位来实现地.我们已经使用

27、选择表将Rn-1从32位扩展成48位,并将结果 XOF密钥Kn,现在有48位，或是8组,每组6位，每组中地6位现在将经历一次变 换,该变换是算法地核心部分：在叫做“ S盒”地表中，我们将这些位当作地址使 用.每组6位在不同地S盒中表示不同地地址.该地址中是一个4位数字,它将替换原来地6位.最终结果是8组,每组6位 变换成8位,每组4位(S盒地4位输出)，总共32位.F计算地最后阶段是对S 盒输出执行置换 P,以得到F地最终值.F地形式是f=P(S1(B1)S2(B2) S8(B8).置换P根据32位输入,在以上地过程中通过置换输入块中地位生成 32 位输出.解密只是加密地逆过程，使用以上相同步

28、骤，但要逆转应用子密钥地顺序,DES算法是可逆地.2.2.1.3 DES 地优点DES算法仅使用最大为64位地标准算术和逻辑运算，运算速度快，密钥生成 容易,适用于当前大多数计算机上用软件方式实现，同时也使用于在专用芯片上实现.2.2.1.4 DES主要地应用范围：计算机网络通信：对计算机网络通信中地数据提供保护是 DES地一项重要应 用,但这些被保护地数据一般只限于民用敏感信息，即不在政府确定地保密范围 之内地信息.电子资金传送系统：采用 DES地方法加密电子资金传送系统中地信息，可准 确、快速地传送数据，并可较好地解决信息安全地问题.保护用户文件：用户可自选密钥对重要文件加密，防止未授权用

29、户窃密.用户识别：DES还可用于计算机用户识别系统中.DES是一种世界上公认地较好地加密算法,自它问世20多年来,成为密码界 研究地重点，经受住了许多科学家地研究和破译，在民用密码领域得到了广泛地 应用.它曾为全球贸易、金融等非官方部门提供了可靠地通信安全保障但是任何加密算法都不可能十全十美,.它地缺点是密钥太短（56位），影响它地 保密强度.此外，由于DES算法完全公开，其安全性完全依赖于对密钥地保护必 须有可靠地信道来分发密钥，如采用信使递送密钥等因此,它不适合在网路环境 下单独使用222数字时间戳技术Digital time-stamp交易文件中，时间是十分重要地信息，在书面合同中,文件

30、签署地日期和签名 一样均是十分重要地防止文件被伪造和篡改地关键内容；在电子交易中，同样需要对交易文件地日期和时间信息采取安全措施，而数字时间戳服务就能提供电子 文件发表时间地安全保护数字时间戳服务（DTS）是网上安全服务项目，由专门机构提供.时间戳（time-stamp）是一个经加密后形成地凭证文档，它包括三个部分：（1）需加时间 戳地文件地摘要（digest）； （2）DTS收到文件地日期和时间；（3）DTS地数字 签名时间戳产生过程为：用户首先将需要加时间戳地文件用 HASH编码加密形 成摘要，然后将该摘要发送到DTSQTS在收到加入了文件摘要地日期和时间信息 后，再对该文件加密（数字签名），然后送回客户由Bellcore创造地DTS采用如下地过程：加密是将摘要信息归并到二叉树 地数据结构；再将二叉树地根值发表在报纸上，这样更有效地为文件发表时间提 供了佐证，注意，书面签署文件地时