电子商务安全实验报告

实验名称：电子商务安全技术2010081126吕吕一、实验目的：通过本实验加深对电子商务安全威胁、重要性的理解，了解电子商务安全的措施及相关技术。二、实验内容：（1）上网搜集电子商务安全威胁的案例，分析电子商务安全的协议及措施。要求搜集的电子商务安全威胁案例不少于3个，了解不同类型电子商务网站所采取的电子商务安全措施和技术。答:电子商务安全的协议有：PKI协议：PKI是PublicKeyInfrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。安全超文本传输协议（S-HTTP）：安全超文本传输协议（S-HTTP）是致力于促进以因特网为基础的电子商务技术发展的国际财团CommerceNet协会提出的安全传输协议，主要利用密钥对加密的方法来保障Web站点上的信息安全。S-HTTP被设计为作为请求/响应的传输协议———HTTP的一种安全扩展版本，正是这一特点使得S-HTTP与SSL有了本质上的区别，因为SSL是一种会话保护协议。S-HTTP的主要功能是保护单一的处理请求或响应的消息，这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。安全套接层协议（SSL）:SSL能使客户机与服务器之间的通信不被攻击者窃听，并且始终保持对服务器进行认证，还可选择对客户进行认证。SSL建立在TCP协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后，应用层协议所传送的数据都会被加密，从而保证了在因特网上通信的机密性。安全电子交易协议（SET）:SET协议采用了对称密钥和非对称密钥体制，把对称密钥的快速、低成本和非对称密钥的有效性结合在一起，以保护在开放网络上传输的个人信息，保证交易信息的隐蔽性。其采用的核心技术包括：电子证书标准与数字签名、报文摘要、数字信封、双重签名等。\电子商务安全的措施有：加密技术:加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法将明文转换成难以识别和理解的密文并进行传输从而确保数据的保密性。数字签名：数字签名如同手写签名,在电子商务中有如下优点:（1)

发送者事后不能否认自己发送的报文签名。（2)

接受者能够核实发送者发送的报文签名。（3)

接受者不能伪造发送者的报文签名。（4)

接受者不能对发送者的报文进行篡改。（5)

交易中的某一用户不能冒充另一用户作为发送者或接受者。数字签名也是采用非对称加密算法,实现方式为:发送方从报文文本中生成一个128位的散列值,并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接受方;报文的接受方首先从接受到的原始报文中计算出128

位的散列值,再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接受方就能确认该数字签名是发送方的。数字时间戳：数字时间戳(DTS

,Digital

time-stamp)

,如同传统商务中的日期和时间,在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间以及DTS

的数字签名数字证书：数字时间戳(DTS

,Digital

time-stamp)

,如同传统商务中的日期和时间,在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间以及DTS

的数字签名安全协议技术：目前常用的安全协议主要有两种：SSL协议（安全套接层协议）和SET协议（安全电子交易协议）。SSL

协议是由Netscape公司提出的安全交易协议，该协议主要目的是解决T

C

P

/I

P

协议不能确认用户身份的问题，在Socket

上使用非对称的加密技术，以保证网络通信服务的安全性。4SET是由Visa

和MasterCard

两大信用卡公司联合IBM,

Microsoft,

GTE

,Verisign

,

SA

IC等公司与1996年6月共同推出的以信用卡支付为基础的电子商务安全协议,其中涵盖了电子交易中的交易协定、信息保密、数据完整、数字认证和数字签名等。它采用公钥密码体制和X

.

5

0

9

数字证

4.使用安全电子交易协议(SET:SecureElectronicTransactions)。是由VISA和MasterCard两大信用卡组织指定的标准。SET用于划分与界定电子商务活动中各方的权利义务关系，给定交易信息传送流程标准。SET协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。阿里巴巴支付机制：阿里巴巴，作为家喻户晓的电子商务网站，它的支付方式也同样的令人耳熟能详：支付宝，就是旗下提供的第三方支付平台，它保证了买卖双方交易的安全性与便捷性。尽管现在支付宝已经得到普及，但是相对那些有在网上购物的欲望但无法使用支付宝的人来说，邮局汇款、银行转账信用卡支付和网上银行支付无非是最好的选择。（4）网上阅读资料，查看电子商务安全交易协议中SET中用到的双重签名技术的过程是如何的。答：双重签名是为了保证在事务处理过程中三方安全传输信息的一种技术，用于三方通信时的身份认证和信息完整性、交易防抵赖的保护。双重数字签名的实现步骤如下：

(1)信息发送者A对发给B的信息1生成信息摘要1。

(2)信息发送者A对发给C的信息2生成信息摘要2。

(3)信息发送者A把信息摘要1和信息摘要2合在一起，对其生成信息摘要3，并使用自己的私钥签名信息摘要3。

(4)信息发送者A把信息1、信息摘要2和信息摘要3的签名发给B，B不能得到信息2。

(5)信息发送者A把信息2、信息摘要1和信息摘要3的签名发给C，C不能得到信息1。

(6)B接收信息后，对信息1生成信息摘要，把这信息摘要和收到的信息摘要2合在一起，并对其生成新的信息摘要，同时使用信息发送者A的公钥对信息摘要3的签名进行验证，以确认信息发送者A的身份和信息是否被修改过。

(7)C接收信息后，对信息2生成信息摘要，把这信息摘要和收到的信息摘要1合在一起，并对其生成新的信息摘要，同时使用信息发送者A的公钥对信息摘要3的签名进行验证，以确认信息发送者A的身份和信息是否被修改过。

（5）以中国工商银行网上银行为例，描述在网银上操作，是如何保障安全的？包括从一登录到交易成功的整个过程。答：网银登录过程：客户端首先要安装网银颁发的数字证书，用于身份认证。进入https安全页面，在客户端产生对称密钥，用服务器的公钥进行加密（公钥由网银颁发的数字证书里获取），同时客户端把会话内容用所产生的对称密钥加密，传送时包括的内容为：银行的数字签名、加密的会话内容、加密的对称密钥。每次会话都通过这种方式保障安全。如果转账时，需要插入usbkey，usbkey里面的内容可以认为是客户端的私钥，相当于客户端秘密持有的信息，插入usbkey后，会把转账内容用客户端私钥加密，用于服务器端再次确认此转账信息是由客户端发出的，客户端不可否认。由于互联网是一个开放的网络，客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生，网上银行系统一般都采用加密传输交易信息的措施，使用最广泛的是SSL数据加密协议。SSL协议是由Netscape首先研制开发出来的，其首要目的是在两个通信间提供秘密而可靠的连接，大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后，用户和服务方之间在网络上传输的所有数据全部用会话密钥加密，直到用户退出系统为止。而