电子商务安全技术简述

电子商务安全技术综述班级：电子商务09级2班学号：2009175299姓名：李晓莹2011年10月20日目录TOC\o"1-5"\h\z一、摘要3二、电子商务简介3\o"CurrentDocument"1、电子商务的定义3\o"CurrentDocument"2、电子商务的功能4三、电子商务安全5\o"CurrentDocument"2.1商务安全中普遍存在着的安全隐患7\o"CurrentDocument"2.2电子商务的安全交易主要保证7\o"CurrentDocument"2.3销售者面临的威胁8\o"CurrentDocument"2.4购买者面临的威胁8\o"CurrentDocument"四、电子商务交易中的安全措施8\o"CurrentDocument"五、尾声11、摘要随着Internet的发展，电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务（ElectronicCommerce）就是利用电子数据交换（EDI）、电子邮件（E-mail）、电子资金转账（EFT）及Internet的主要技术在个人间、企业间和国家间进行无纸化的业务信息的交换。随着互联网的全面普及，基于互联网的电子商务也应运而生，成为一种全新的商务模式，被许多经济专家认为是新的经济增长点。利用计算机技术、网络通信技术和英特网实现商务活动的国际化、信息化和无纸化，已成为全球商务发展的趋势。尽管电子商务的发展势头非常惊人，但它在全球贸易额中只占极小的一部分。一个主要的障碍就是如何保证传输数据的安全和交易双方的身份确认。如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，是商家和用户都十分关注的话题。电子商务的发展前景十分诱人，而其安全问题也变得越来越突出，如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为商家和用户都十分关心的话题。关键字：电子商务、网络安全、商务交易、安全技术、CA认证中心、安全协议、对策引言电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此，电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。1988年11月3日，美国数千名计算机系统操作员和系统管理员上班后都发现计算机系统不工作了。不幸的是，这次灾难只是计算机系统受到攻击的漫长历史的开始，这类攻击已经延续到今天的电子商务时代，也影响到了电子商务的发展。在这里，我们从CNNIC发布的《第十三次中国互联网络发展状况调查报告》中摘取一些信息，以便使读者对我国的网络发展有一些感性的认识。用户认为，目前网上交易存在的最大问题是：♦产品质量、售后服务及厂商信用得不到保障（42.1%）♦安全性得不到保障（28.1%）♦送货不及时（7.5%）_可苗若翳务为电介商务交易中的大问题，必须得到很好的解决。1、电子商务的定义电子商务通常是指通过计算机信息网络以及电子数据信息流通的方式在全世界范围内进行并完成的各种商务活动、交易活动，金融活动和相关的综合服务活动。目前我们把电子商务主要分为三个方面：信息服务以及交易和支付。它的主要内容包括：电子商情广告；网络选购和交易、电子交易凭证的交换；电子支付与结算以及售后的网上服务等。主要交易类型有企业对终端客户的交易和企业之间的交易两种。电子商务的参与实体主要有四类：顾客（包括消费个人和企业）、商户（包括产品的制造商、储运商和销售商）、银行（包括发卡行、收单行）及认证中心。现在，我们对电子商务的运作是在一个范围比较广阔的大环境和大系统中进行的，利用目前所拥有的强大的计算机网络技术全面实现了网上交易的电子化的过程。它将参加电子商务活动的各方（包括商店，消费者，运输商，银行和金融机构，信息公司或证券公司以及政府机关等）联系在一起。电子商务交易能够顺利完成的关键在于可以通过计算机网络安全地实现在网上的信息传输和在线支付的功能。我们为了顺利完成电子商务的交易过程，需要建立全社会的电子商务服务系统，建立和发展比较完善的电子商务的规范和法规，安全和实用的电子交易支付方法和机制等，来确保参加电子商务交易的各方和所有的合作伙伴都能够安全可靠地用这种的方式进行全部的商业活动。电子商务是在世界范围内Internet技术跳跃式发展的直接产物，是网络技术比较全面系统应用的全新的发展方向。而Internet本身所具有的开放性、全球性、低成本、高效率的特点，也成为了电子商务本身所有的内在特征，并且使得电子商务大大超越了作为一种新的贸易形式所具有的价值，它不仅会改变企业本身的生产、经营、管理活动，而且将影响到整个社会的经济运行与结构。2、电子商务的功能我们知道电子商务可为参与者提供网上交易和管理等的全过程的服务。依靠互联网技术的特点，使它具有网络商务宣传、网上咨询洽谈、网上定购和支付以及服务传递、意见征询等各项功能。大体我们可以概括为以下几个方面：1、电子商务可以将传统的商务流程电子化、数字化，它在一方面以电子流代替了实物流，从而可以大量减少在传统的商务流程所耗费的人力、物力，有效地降低了成本；另一方面通过互联网的沟通，使得交易活动突破了时间和空间的限制，可以在任何时间、任何地点进行，从而大大提高了效率。2、电子商务通过互联网所具有的开放性和全球性的特点，为企业创造了更多的贸易机会。3、电子商务可以使企业以比较相近的成本进入全球电子化市场，使得大批的中小企业也有可能拥有和其他大企业一样的信息资源，从而提高了中小企业的参与市场竞争能力。4、电子商务给传统的商品交易和流通模式重新定义，它减少了许多传统交易活动中的中间环节，使得生产者和消费者的直接交易成为可能，从而可以在一定程度上改变了整个社会经济运行的方式。5、电子商务可以打破传统交易模式上存在的时间和空间的限制，另一方面它又可以交易方提供丰富的信息资源，为各种社会经济要素的重新组合提供了更多的可能。这也将影响到社会的经济布局和结构。3、电子商务的特性我们依据网络的功能，不难发现，电子商务的特性大体可以归结为以下几点：商务性、方便性、整体性、可扩展性、协调性和安全性。1、商务性。所谓商务，电子商务最基本的特性当然为商务性，即为交易双方提供买卖交易的服务、手段和机会。现在，网上购物的普及已经为客户提供了一种比较方便途径。因而，我们可以说电子商务对任何规模的企业而言，都是一种机遇。我们就电子商务的商务性而言，它可以扩展市场，增加企业产品的客户数量；通过将网络信息连全企业的数据库，企业能记录下每次访问、销售、购买形式和购货动态以及客户对产品的偏爱，这样企业方就可以通过统计这些数据来获知客户最想购买的产品是什么。2、方便性。我们在电子商务环境中，人们可以不再受地域的限制，客户能够以十分简捷的方式完成以前较为繁杂的一些商务活动。如通过网络银行能够没有时间限制地存取资金、查询信息等，同时使得企业对客户的服务质量可以大大提高。3、整体性。通过电子商务，我们能够规范事务处理的工作流程，将人工操作和电子信息处理集合成为一个不可分割的整体，这样不仅能够提高人力和物力的利用率，也可以提高系统运行的严密性。4、可扩展性。我们要使电子商务正常运作，必须确保其可扩展性。我们知道网络上有数以百万计的用户，而在传输过程中，时不时地会出现高峰状况。打个比方，倘若一家企业原来设计企业网站每天可受理40万人次访问，而事实上却有80万，就必须尽快配有一台扩展的服务器，否则客户访问速度将急剧下降，甚至还会拒绝若干次可能带来丰厚利润的客户的来访，给企业带来巨大的经济损失。对于电子商务来说，可扩展的系统才是稳定的系统。如果在出现高峰状况时能及时扩展，就可以使得系统阻塞的可能性大为下降。电子商务中，就算损耗极小的时间也可能导致大量客户流失，因而可扩展性可谓极其重要。5、协调性。商务活动的本身就是一种产品和资源的协调过程，它需要客户与公司内部、产品的生产商、批发商、零售商间的协调，在电子商务环境中，它更要求银行、配送中心、通讯部门、技术服务等多个部门的通力协作，因而电子商务的全过程往往是一气呵成的。6、安全性。在电子商务中，安全性是一个至关重要的核心问题，它要求网络能提供一种一端到另一端的安全解决方案，如加密机制、签名机制、安全管理、三取控制电防若畚雾毒保全等。计算机网络安全包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。1、计算机网络安全1.1计算机网络的潜在安全隐患（1）未进行操作系统相关安全配置不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”是进行网络攻击的首选目标。（2）未进行CGI程序代码审计如果是通用的CGI问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些CGI程序，很多存在严重的CGI问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。（3）拒绝服务（DoS，DenialofService）攻击随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。今年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。（4）安全产品使用不当虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。（5）缺少严格的网络安全管理制度网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。1.2计算机网络安全体系一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术，在攻击者和受保护的资源间建立多道严密的安全防线，极大地增加了恶意攻击的难度，并增加了审核信息的数量，利用这些审核信息可以跟踪入侵者。在实施网络安全防范措施时：首先要加强主机本身的安全，做好安全配置，及时安装安全补丁程序，减少漏洞；其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析，找出可能存在的安全隐患，并及时加以修补；从路由器到用户各级建立完善的访问控制措施，安装防火墙，加强授权管理和认证；利用RAID5等数据存储技术加强数据备份和恢复措施；对敏感的设备和数据要建立必要的物理或逻辑隔离措施；对在公共网络上传输的敏感信息要进行强度的数据加密；安装防病毒软件，加强内部网的整体防病毒措施；建立详细的安全审计日志，以便检测并跟踪入侵攻击等。网络安全技术是伴随着网络的诞生而出现的，但直到80年代末才引起关注，90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视，计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础，支持不同类型的安全硬件产品，屏蔽安全硬件以变化对上层应用的影响，实现多种网络安全协议，并在此之上提供各种安全的计算机网络应用。互联网已经日渐融入到人类社会的各个方面中，网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中，但围绕电子商务安全的防护技术将在未来几年中成为重点，如身份认证、授权检查、数据安全、通信安全等将对电子商务安全产生决定性影响。2、商务交易安全当许多传统的商务方式应用在Internet上时，便会带来许多源于安全方面的问题，如传统的贷款和借款卡支付/保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。电子商务的大规模使用虽然只有几年时间，但不少公司都已经推出了相应的软、硬件产品。由于电子商务的形式多种多样，涉及的安全问题各不相同，但在Internet上的电子商务交易过程中，最核心和最关键的问题就是交易的安全性。2.1商务安全中普遍存在着的安全隐患（1）窃取信息由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。（2）篡改信息当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。（3）假冒由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。（4）恶意破坏由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。2.2电子商务的安全交易主要保证（1）信息保密性交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉，因此在信息传播中一般均有加密的要求。（2）交易者身份的确定性网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。（3）不可否认性由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。不可修改性交易的文件是不可被修改的，否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改，以保障商务交易的严肃和公正。电子商务的安全威胁，在传统交易过程中，买卖双方是面对面的，因此很容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系的，甚至彼此远隔千山万水，因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和购买者)都面临不同的安全威胁。2.3销售者面临的威胁对销售者而言，面临的安全威胁主要有以下几个方面:中央系统安全性被破坏竞争者检索商品递送状况客户资料被竞争者获悉被他人假冒而损害公司的信誉消费者提交订单后不付款(6)虚假订单(7)获取他人的机密数据2.4购买者面临的威胁对购买者而言，面临的安全威胁主要有以下几个方面:虚假订单付款后不能收到商品机密性丧失拒绝服务电子商务交易中的安全措施在早期的电子交易中，曾采用过一些简易的安全措施，包括：部分告知(PartialOrder):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去，然后再用电话告之，以防泄密。另行确认(OrderConfirmation):即当在网上传输交易信息后，再用电子邮件对交易做确认，才认为有效。此外还有其它一些方法，这些方法均有一定的局限性，且操作麻烦，不能实现真正的安全可靠性。近年来，针对电子交易安全的要求，IT业界与金融行业一起，推出不少有效的安全交易标准和技术。1、主要的协议标准有：安全超文本传输协议(S—HTTP)：依靠密钥对的加密，保障Web站点间的交易信息传输的安全性。安全套接层协议(SSL):由Netscape公司提出的安全交易协议，提供加密、认证服务和报文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE浏览器，以完成需要的安全交易操作。安全交易技术协议(STT，SecureTransactionTechnology):由Microsoft公司提出，STT将认证和解密在浏。览器中分离开，用以提高安全控制能力。Microsoft在InternetExplorer中米用这一技术。安全电子交易协议（SET,SecureElectronicTransaction）1996年6月，由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape>GTE、VeriSign、SAIC、Terisa就共同制定的标准SET发布公告，并于1997年5月底发布了SETSpecificationVersion1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET2.0预计今年发布，它增加了一些附加的交易要求。这个版本是向后兼容的，因此符合SET1.0的软件并不必要跟着升级，除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全，确定应用之互通性，并使全球市场接受。所有这些安全交易标准中，SET标准以推广利用信用卡支付网上交易，而广受各界瞩目，它将成为网上交易安全通信协议的工业标准，有望进一步推动Internet电子商务市场。2、主要的安全技术有：2.1虚拟专用网（VPN）这是用于Internet交易的一种专用网络，它可以在两个系统之间建立安全的信道（或隧道），用于电子数据交换（EDI）。它与信用卡交易和客户发送订单交易不同，因为在VPN中，双方的数据通信量要大得多，而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术，只要通信的双方默认即可，没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性，因而能够保证数据的保密性和可用性。2.2数字认证数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性（如一个发票未被修改过），甚至数据媒体的有效性（如录音、照片等）。随着商家在电子商务中越来越多地使用加密技术，人们都希望有一个可信的第三方，以便对有关数据进行数字认证。目前，数字认证一般都通过单向Hash函数来实现，它可以验证交易双方数据的完整性，JavaJDK1.1也能够支持几种单向Hash算法。另外，S/MIME协议已经有了很大的进展，可以被集成到产品中，以便用户能够对通过Email发送的信息进行签名和认证。同时，商家也可以使用PGP（PrettyGoodPrivacy）技术，它允许利用可信的第三方对密钥进行控制。可见，数字认证技术将具有广阔的应用前景，它将直接影响电子商务的发展。2.3加密技术保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现在，一些专用密钥加密（如3DES、IDEA、RC4和RC5）和公钥加密（如RSA、SEEK、PGP和EU）可用来保证电子商务的保密性、完整性、真实性和非否认服务。然而，这些技术的广泛使用却不是一件容易的事情。密码学界有一句名言：加密技术本身都很优秀，但是它们实现起来却往往很不理想。现在虽然有多种加密标准，但人们真正需要的是针对企业环境开发的标准加密系统。加密技术的多样化为人们提供了更多的选择余地，但也同时带来了一个兼容性问题，不同的商家可能会采用不同的标准。另外，加密技术向来是由国家控制的，例如SSL的出口受到美国国家安全局（NSA）的限制。目前，美国的商家一般都可以使用128位的SSL，但美国只允许加密密钥为40位以下的算法出口。虽然40位的SSL也具有一定的加密强度，但它的安全系数显然比128位的SSL要低得多。据报载，最近美国加州已经有人成功地破译了40位的SSL，这已引起了人们的广泛关注。美国以外的国家很难真正在电子商务中充分利用SSL，这不能不说是一种遗憾。上海市电子商务安全证书管理中心推出128位SSL的算法，弥补国内的空缺，并采用数字签名等技术确保电子商务的安全。2.4电子商务认证中心（CA，CertificateAuthority）实行网上安全支付是顺利开展电子商务的前提，建立安全的认证中心（CA）则是电子商务的中心环节。建立CA的目的是加强数字证书和密钥的管理工作，增强网上交易各方的相互信任，提高网上购物和网上交易的安全，控制交易的风险，从而推动电子商务的发展。为了推动电子商务的发展，首先是要确定网上参与交易的各方（例如持卡消费户、商户、收单银行的支付网关等）的身份，相应的数字证书（DC:DigitalCertificate）就是代表他们身份的，数字证书是由权威的、公正的认证机构管理的。各级认证机构按照根认证中心（RootCA）、品牌认证中心（BrandCA）以及持卡人、商户或收单银行（Acquirer）的支付网关认证中心（HolderCardCA，MerchantCA或PaymentGatewayCA）由上而下按层次结构建立的。电子商务安全认证中心（CA）的基本功能是：（1）生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。（2）对数字证书和数字签名进行验证。（3）对数字证书进行管理，重点是证书的撤消管理，同时追求实施自动管理（非手工管理）。（4）建立应用接口，特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。第一代CA是由SETCO公司（由Visa&MasterCard组建）建立的，以SET协议为基础，服务于B□C电子商务模式的层次性结构。由于B□B电子商务模式的发展，要求CA的支付接口能够兼容支持B□B与B□C的模式，即同时支持网上购物、网上银行、网上交易与供应链管理等职能，要求安全认证协议透明、简单、成熟（即标准化），这样就产生了以公钥基础设施（PKI）为技术基础的平面与层次结构混合型的第二代CA体系。近年来，PKI技术无论在理论上还是应用上以及开发各种配套产品上，都已经走向成熟，以PKI技术为基础的一系列相应的安全标准已经由Internet特别工作组（IETF）、国际标准化组织（ISO）和国际电信联盟（ITU）等国际权威机构批准颁发实施。建立在PKI技术基础上的第二代安全认证体系与支付应用接口所使用的主要标准有：由Internet特别工作组颁发的标准：LDAP（轻型目录访问协议）、S/MIME（安全电子邮件协议）、TLC（传输层安全套接层传输协议）、CAT（通用认证技术，CommonAuthenticationTechnology）和GSS—API（通用安全服务接口）等。由国际标准化组织（ISO）或国际电信联盟（ITU）批准颁发的标准为9594—8/X.509（数字证书格式标准）。五、尾声在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上，应该还具备以下特点：1、强大的加密保证；2、使用者和数据的识别和鉴别；3、存储和加密数据的保密；4、联网交易和支付的可靠；5、方便的密钥