电子商务安全相关知识

1、电子商务安全 【摘要】随着网络技术和信息技术的飞速发展，电子商务得到了越来越广泛的应用，越来越多的企业和个人用户依赖于电子商务的快捷、高效。但电子商务是以计算机网络为基础载体的，大量重要的身份信息、会计信息、交易信息都需要在网上进行传递，在这样的情况下，安全性问题成为首要问题。本文首先论述电子商务安全，介绍电子商务安全的现状，分析电子商务安全存在的主要问题，然后从网络安全技术、数据加密技术、用户认证技术等方面介绍主要的电子安全技术，从而更好的了解电子商务安全的现状及未来的发展趋势。【关键词】电子子商务安全、安安全技术Abstraact wwith nnetworrk tecchnoloogy

2、annd thee rapiid devvelopmment oof infformattion ttechnoology, elecctroniic commmercee havee beenn appllied mmore aand moore, mmore aand moore ennterprrises and iindiviidual user depennds onn e-coommercce fasst andd effiicientt. Butt e-coommercce bassed onn compputer netwoork off carrrier, a lott of

3、 iimporttant iidentiity innformaation, accoountinng infformattion, transsactioon infformattion nneeds in thhe Intternett relaay, inn suchh a caase, aand thhe seccurityy, beccomes the mmain pprobleem. Thhis paaper ffirst discuusses e-commmercee secuurity, intrroducee e-coommercce seccurityy, thee sta

4、ttus quuo andd e-coommercce seccurityy, thee mainn probblems of thhen frrom neetworkk secuurity technnologyy, datta enccryptiion teechnollogy, user autheenticaation technnologyy intrroduceed maiin asppects of ellectroonic ssafetyy techhniquees, annd bettter uundersstandiing off e-coommercce seccurit

5、yy situuationn and futurre devvelopmment ttrend.Key woords e-commmercee secuurity, safeety teechnollogy引言 随着Innterneet技术的迅迅速发展和深深入应用，以以Interrnet作为为交易平台的的电子商务正正逐步得到人人们的认同和和接受。而电电子商务是在在国际化、社社会化、开放放化和个性化化的Inteernet环环境中运作的的，它的应用用可能会出现现金融欺诈，市市场/竞争价价格等秘密信信息的泄露，以以及缺乏可信信性而导致的的商机丢失等等诸如此类的的安全与信任任问题。电子商务安全概概述及

6、现状 信息技术术日新月异的的发展，人类类正在进入以以网络为主的的信息时代，越越来越多的人人通过Intternett进行商务活活动，电子商商务的前景十十分诱人，但但随之而来的的安全问题也也变得越来越越突出。【案例】华硕官官方网站遭黑黑客攻击 公公司被迫关闭闭服务器 2007747Exploitt Prevventioon Labbs的首席技技术官罗杰-汤姆森(RRoger Thomppson)透透露，该攻击击代码隐藏在在网站主页的的一个HTMML元素中，并并试图从另一一台服务器上上下载恶意代代码。截止周周五下午，这这台服务器已已经停止工作作，虽然黑客客们还可转移移攻击目标，不不过此次攻击击的危险

7、性已已经下降。4月6日据外电电报道 电脑脑零部件生产产商华硕的网网站遭到黑客客攻击，黑客客利用本周才才修复的一个个Windoows系统中中的紧急漏洞洞，通过该网网站的服务器器发送恶意代代码。Exploitt Prevventioon Labbs的首席技技术官罗杰-汤姆森(RRoger Thomppson)透透露，该攻击击代码隐藏在在网站主页的的一个HTMML元素中，并并试图从另一一台服务器上上下载恶意代代码。截止周周五下午，这这台服务器已已经停止工作作，虽然黑客客们还可转移移攻击目标，不不过此次攻击击的危险性已已经下降。华硕的营销经理理大卫-雷(Davidd Ray)不能证实网网站是否被黑黑，

8、只称公司司的网站看起起来没有受到到威胁。 此此恶意代码之之所以受到特特别关注，是是因为它利用用了本周才修修复的一个紧紧急的Winndows动动画光标漏洞洞。瞄准该漏漏洞的恶意代代码已经出现现了一个多星星期，在安装装了补丁前如如果用户访问问了华硕网站站，可能会危危及电脑的安安全。Kasperssky Laab也证实了了华硕网站被被黑，同时证证实被黑客利利用的网站在在周五都已关关闭，黑客们们无法下载恶恶意代码。汤汤姆森认为，华华硕网站的被被黑显示出，即即使是人们信信赖的网站也也可能存在安安全隐患。他他表示，如果果像华硕这样样的大公司都都能被黑并感感染上病毒，其其他网站可想想而知。11 案例告诉诉我

9、们，网络络的普及也带带来了安全问问题的升级，而而电子商务将将在虚拟的网网络环境下实实施，因此电电子商务活动动的安全与否否就成为影响响其发展的重重要因素。据权威调查表明明，目前果类类企业发展电电子商务的最最大顾虑也是是网上交易的的安全问题。Interneet之所以能能发展成为今今天的全球性性网络，主要要是依赖于它它的开放性。但但是，这种开开放式的信息息交换方式使使网络安全具具有很大的脆脆弱性，要保保证电子商务务的正常运作作，就必须高高度重视安全全问题。安全全得不到保障障，即使使用用Interrnet再方方便，电子商商务也无法得得到广大用户户的认可。因因此如何建立立一个安全，便便捷的电子商商务应用

10、环境境，保证整个个商务过程中中的信息安全全性，使基于于Interrnet的电电子商务交易易方式与传统统交易方式一一样安全可靠靠，已经成为为电子商务应应用中所关注注的重要技术术问题。22电子商务安全体体系和结构 （一） 电子子商务安全体体系 安全电子商务务系统通过IInternnet将商家家、客户和银银行三方连接接起来，使用用安全代理服服务器和CAA认证系统等等实现电子商商务交易数据据的机密性、完完整性、不可可抵赖性等安安全功能。从从技术角度上上说，电子商商务系统的安安全就是保障障计算机信息息系统的安全全。主要由以以下三个部分分组成： 1、系统实实体安全 系统实体体安全是指保保护计算机设设备、设

11、施（含含网络）以及及其他媒体免免遭地震、水水灾、火灾等等环境事故的的破坏。具体体包括环境安安全、设备安安全、媒体安安全三个方面面。 其中环境安安全是指对电电子商务系统统所在的环境境进行保护，主主要包括受灾灾防护和特定定区域的防护护；设备安全全是指对电子子商务系统的的设备进行安安全保护，主主要包括防盗盗、防毁、防防止电磁信息息泄露、防止止线路截获、炕炕电磁干扰和和电磁保护等等；媒体安全全是指对媒体体数据和媒体体本身实施保保护，包括防防止媒体被毁毁、防止媒体体数据被非法法复制、意外外事故破坏等等等可能使媒媒体数据丢失失的行为。 2、系统运运行安全 系统运行行的安全是指指保障电子商商务系统功能能的安

12、全实现现，提供一套套安全措施保保护信息处理理过程的安全全。具体包括括风险分析、审审计跟踪、备备份与恢复、应应急措施等。 3、信息安安全 信息安全全是指防止信信息财产被故故意或偶然地地非授权泄露露、更改、破破坏，或使信信息被非法的的系统辨识、控控制，即信息息安全就是要要确保信息的的完整性、保保密性、可用用性和可控性性。 信息安全全体系具体包包括操作系统统的安全、数数据库的安全全、网络问题题、病毒防护护安全、访问问控制安全、加加密、鉴别等等。 （二）一个实实用的安全电电子商务系统统必须有机集集成现代计算算机密码学、信信息安全技术术、网络安全全技术和电子子商务安全支支付技术等。 电子商务安安全的体系

13、结结构2 由上图可可知基于健全全的计算机网网络系统和如如上所述的数数据加密、认认证以及网络络安全技术，在在安全的支付付机制和交易易协议支持下下，一个完整整、安全的电电子商务系统统就能够建立立起来，并可可以安全地应应用和服务于于社会，造福福人类。电子商务安全技技术 电子商务务基本的安全全技术主要有有加密技术、认认证技术、安安全电子交易易协议、黑客客防范技术、虚虚拟专网技术术和反病毒技技术。加密技术 所谓“加密密”，简单地说说就是，使用用数学的方法法将原始信息息（明文）重重新组织与变变换成只有授授权用户才能能解读的密码码形式（密文文），而“解密”就是将密文文重新恢复成成明文的过程程。可以说，加加密

14、技术是认认证技术及其其他许多安全全技术的基础础，也是信息息安全的核心心技术。 信息加密技技术主要是对对传输中的信信息进行加密密，从而达到到隐藏信息内内容，使非法法用户无法获获取真实信息息的一种技术术手段，其目目的是确保数数据的保密性性。 基于加密解解密所使用的的密钥是否相相同，可分为为对称加密和和非对称加密密两类。对称加密 对称加密的的加密密钥和和解密密钥相相同，即在发发送方和接收收方进行安全全通信前，商商定的一个密密钥，用这个个密钥对传输输数据进行加加密和解密。对称加密的突出出特点是加密密解密的速度度快，效率高高，适合对大大量数据进行行加密。缺点是密钥的传传输和交换面面临安全问题题，并且若和

15、和大量用户通通信时，难以以安全管理大大量密钥。其中最常见的加加密算法有：DES、33DES、IIDEA、BBlowfiish等。下下面以DESS加密算法为为例，介绍其其原理。初始密码（64位）明文（64位）初始密码（64位）明文（64位）移位变换移位变换移位变换移位变换子密码乘积变换子密码乘积变换密文（64位）移位变换密文（64位）移位变换DES加密算算法图解加解密过程如下下：（1）发送方用用自己的私密密密钥加密要要发送的信息息。（2）加密后的的信息通过网网络传送给接接收方。（3）接收方用用发送方的加加密密钥对收收到的加密信信息解密得到到信息明文。整个加密过程如如图所示：密钥（发送方）=密钥（

16、接收方）密钥（发送方）=密钥（接收方）密钥（接收方）密钥（接收方）Internet明文密文密文明文Internet明文密文密文明文加密解密加密解密 发发送方 接收方方 对称称加解密系统统非对称加密 为了解决决对称密码体体制的密钥分分配问题，以以及满足对数数字签名的需需求，非对称称密码应运而而生，也叫公公钥加密体系系。在这种密密码体制下，人人们把加密过过程和解密过过程设计成不不同的途径。 非对称密密码系统的出出现成功的解解决了对称密密码系统中的的密钥管理问问题。通常都都是用邮箱模模型来解释公公钥密码系统统的思想。邮邮箱代表公钥钥，每个人都都可以向其中中投放信件。而而只有邮箱的的主人才有邮邮箱的钥

17、匙四要，用来来打开邮箱并并取出信件。 非对称密密码加密体制制有两种模型型：一种是加加密墨香，即即采用接收方方公钥加密数数据，而用接接收方的私钥钥解密；另一一种是验证模模型，即采用用发送方的私私钥加密，而而用发送方的的公钥解密。两两者原理相同同，但用途不不同。接收方公钥加密密，接收方私私钥解密的加加密模型如图图 这种以接接收方公钥加加密原文，以以接收方私钥钥来解密的非非对称密码算算法，可以实实现多个用户户加密信息只只能由一个用用户解读，这这就实现了保保密通信。B的公钥明文明文密文A加密 加密模型加密B解密B的私钥B的公钥明文明文密文A加密 加密模型加密B解密B的私钥加密模型发送方私钥加密密，发送

18、方解解密的验证模模型如图所示示。 这种以发发送方私钥加加密原文，发发送方公钥解解密的非对称称密码算法，可可以实现由一一个用户加密密的信息，而而由多个用户户解读，这就就是数字签名名的原理。A的私钥明文明文密文A加密 加密模型加密B解密A的公钥A的私钥明文明文密文A加密 加密模型加密B解密A的公钥 认认证模型认证技术 认证是防防止主动攻击击的重要技术术，对于开放放环境中的各各种信息系统统的安全性有有重要的作用用。认证的主主要技术是：第一，验证证信息的发送送者是真的，此此为实体认证证也称身份认认证；第二，验验证信息的完完整性，此为为信息认证也也称报文认证证。目前，在电子商商务中广泛使使用的认证方方法

19、和手段主主要有数字签签名、数字摘摘要、数字证证书、CA安安全认证体系系，以及其他他一些身份认认证技术和报报文认证技术术。以下以数数字摘要和数数字签名为重重点介绍。数字摘要 数字摘要要是采用单向向Hash函函数对文件中中若干重要元元素进行某种种变换运算得得到固定长度度的摘要码。这这一串摘要码码亦称为数字字指纹，有固固定的长度，不不同的消息其其摘要不同，相相同消息其摘摘要相同。4数字签名 所谓数字签签名就是附加加在信息单元元上的一些数数据，或是对对信息单元所所作的密码变变换，这种数数据或密码变变换允许接收收者确认消息息的来源和信信息单元的完完整性并保护护数据防止他他人伪造。 数字签名名的实现方式式

20、是把信息摘摘要和公开密密钥算法结合合起来。发送送方从报文文文本中生成数数字摘要，并并用自己的私私有密钥对摘摘要进行加密密，形成发送送方的数字签签名，然后将将文字作为保保温的福建和和报文一起发发送给接收方方；接收方首首相从接收到到的原始报文文中计算出数数字摘要，接接着再用发送送方的公开密密钥来对报文文附加的数字字签名进行解解密。若两个个摘要相同，则则接收方能确确认该数字签签名是发送方方的。 数字签名的的过程如下图图所示：Hash函数发送方数字签名发送方私钥加密A摘要Hash函数发送方数字签名发送方私钥加密A摘要消息消息消息消息通过QQ、邮件通过QQ、邮件 发送方 接收方方发送方数字签名发送方公钥

21、解密发送方数字签名发送方公钥解密A摘要A摘要Hash函数Hash函数B摘要消息B摘要消息信息认证相同信息认证相同信息改动不相同信息改动不相同安全电子交易协协议目前电子商务中中有多种安全全体制可以保保证电子商务务交易的安全全性，其中SSLL和SEET是电子商商务中两个最最重要的协议议。相对而言言，SLL协协议使用比较较方便，SEET协议提供供了强大的验验证功能。两两者的功能不不尽相同，更更加全面的确确保电子交易易的安全。【案例】淘宝网网()是国内内首选购物网网站，亚洲最最大购物网站站，由全球最最佳B2B平平台阿里巴巴巴公司投资445亿创办办，致力于成成就全球首选选购物网站。淘淘宝是多用户户商城，

22、区别别于七美网hhttp：cn等。自22003年55月10日成成立以来，淘淘宝网基于诚诚信为本的准准则，从零做做起，在短短短的2年时间间内，迅速成成为国内网络络购物市场的的第一名，占占据了中国网网络购物700左右的市市场份额，创创造了互联网网企业发展的的奇迹。截止止2006年年12月，淘淘宝网注册会会员超30000万人，22006年全全年成交额突突破169亿亿，远超20005年中国国网购整体市市场总量。根根据Alexxa的评测，淘淘宝网为中国国访问量最大大的电子商务务网站，居于于全世界网站站访问量排名名第22位，中中国第7位。淘淘宝网倡导诚诚信、活泼、高高效的网络交交易文化。“宝可不淘，信信不

23、能弃。”淘宝网是CC2C(客户户对客户)的的个人交易网网上平台，是是国内较大的的拍卖网站，由由阿里巴巴公公司投资创办办。淘宝的商商品数目在近近几年内有了了明显的增加加，从汽车、电电脑到服饰、家家居用品，分分类齐全，更更设置了网络络游戏装备交交易区。作为为拍卖网站，淘淘宝突出的一一点是，如果果商品的剩余余时间在1小小时以内，时时间的显示是是动态的，并并且准确显示示到了秒。与与易趣不同的的是，会员在在交易过程中中感觉到轻松松活泼的家庭庭式文化氛围围。会员注册册之后淘宝网网和淘宝旺旺旺的会员名将将通用，如果果用户进入某某一店铺，正正好店主也在在线的话，会会出现“掌柜在线”的图标，可可与店主及时时地发送、接接收消息。淘淘宝网也注重重诚信安全方方面的建设，引引入了实名认认证制，并区区分了个人用用户与商家用用户认证，两两种认证需要要提交的资料料不一样，个个人用户认证证只需提供身身份证明，商商家认证还需需提供营业执执照，而且一一个人不能同同时申请两种种认证。这方方面可以看出出淘宝