浅析电子商务的安全防护体系 毕业论文.doc

福建信息职业技术学院毕业设计（论文）论文题目： 浅析电子商务的安全防护体系 系 别：商贸管理系 专 业：电子商务 班 级：电子0911 学 号： 学生姓名： 指导教师： 目录1电子商务与电子商务安全12电子商务过程中面临的主要安全问题22.1计算机网络的安全威胁22.1.1网络黑客攻击22.1.2计算机病毒的攻击22.1.3身份识别的真假性22.1.4商品信息破坏22.1.5破坏企业信息的有效性32.1.6泄露个人隐私与企业机密32.2从交易角度出发，电子商务面临的安全问题综合起来包括以下几个方面：32.2.1有效性32.2.2真实性32.2.3机密性33电子商务安全问题的解决措施43.1  加密技术43.2 数字签名43.3 数字时间戳53.4数字证书53.5安全协议技术54、结论6浅析电子商务的安全防护体系摘要:本文阐述了安全性在电子商务活动中的重要性，对当前电子商务过程中存在的安全问题做了全面的分析，并针对这些安全隐患提出了几种解决方案，对这些方案在技术原理、适用环境等方面进行了分析，并对其各种技术方案存在的缺陷进行了说明，这些将对电子商务的安全防护起到积极的作用。关键词:电子商务 安全技术 密匙 数字签名1电子商务与电子商务安全电子商务是以电子信息技术为基础的商务运作，是信息技术的发展对社会经济生活产生巨大影响的一个实例，也是网络新经济迅猛发展的代表。由于电子商务是在开放的网上进行的贸易，大量的商务信息计算机上存放、传输，从而形成信息传输风险 ，交易信用风险 等各种风险，为了对付这种风险，从而形成了电子商务安全体系。电子商务所具有的广阔发展前景，越来越为世人所瞩目。但在Internet给人们带来巨大便利的同时，也把人们引进了安全陷阱。 电子商务是利用计算机技术、网络技术和远程通信技术，实现电子化、数字化和网络化的整个商务过程，简单的说就是利用Internet进行的交易活动，电子商务："电子"+"商务"，从电子商务的定义可以了解电子商务的安全也就相应的分为两个方面的安全：一方面是"电子"方面的安全，就是电子商务的开展必须利用Internet来进行，而Internet本身也属于计算机网络，所以电子商务的第一个方面的安全就是计算机网络的安全，它包括计算机网络硬件的安全与计算机网络软件的安全，计算机网络存在着很多安全威胁，也就给电子商务带来了安全威胁；另一方面是"商务"方面的安全，把传统的商务活动在Internet上开展时，大量重要的身份信息、会计信息、交易信息都需要网上进行传递，而Internet存着很多安全隐患给电子商务带来了安全威胁，简称为"商务交易安全威胁"。因此安全性问题成了电子商务的首要问题。2电子商务过程中面临的主要安全问题2.1计算机网络的安全威胁电子商务包含"三流"：信息流、资金流、物流，"三流"中以信息流为核心为最重要，电子商务正是通过信息流为带动资金流、物流的完成。电子商务跟传统商务的最重要的区别就是以计算机网络来传递信息，促进信息流的完成。计算机网络的安全必将影响电子商务中的"信息流"的传递，势必影响电子商务的开展，进而计算机网络存在以下安全威胁：2.1.1网络黑客攻击目前，TCP/IP协议是应用最广泛的网络协议，但由于TCP/IP本身开放性特点，企业和用户在电子交易过程中的数据是以数据包的形式进行传送，而网络黑客很容易对某个电子商务网展开数据包拦截，甚至对数据包进行非法地修改、删除或重放（指只能使用一次的信息被多次使用），使信息失去了真实性和完整性。2.1.2计算机病毒的攻击用户运用浏览器登陆网络进行交易，由于用户登陆时使用的可能是公共计算机，如网吧、办公室的计算机等情况，那么如果这些计算机中存在木马程序或是恶意软件，这些用户信息如账号、密码可能有丢失的危险，造成一些交易信息泄露，主要包括两个方面：（1）交易一方进行交易的内容被第三方窃取。（2）交易一方提供给另一方使用的文件第三方非法使用。2.1.3身份识别的真假性正是由于电子商务交易中交易两方通过网络来完成交易，双方互不见面、互不认识，计算机网络的安全威胁与Internet的安全隐患，也可能使得电子商务交易中出现身交易身份伪造的问题。2.1.4商品信息破坏计算机网络本身容易遭到一些恶意程序的破坏，如计算机病毒、特洛伊木马程序、逻辑炸弹等，导致电子商务中的商品信息在传递过程被破坏。2.1.5破坏企业信息的有效性电子商务中的交易过程中是以电子化的信息代替纸面信息，这些信息我们也必须保证它的时间的有效与本身信息的有效，必须能确认该信息确是由交易一方签发的，计算机网络安全威胁与Internet的安全隐患，使得我们很难保证电子商务中的信息有效性。2.1.6泄露个人隐私与企业机密隐私权是参与电子商务的个人非常关心的一个问题。参与到电子商务中的个人或企业就必须提供个人或企业信息，计算机网络安全威胁与Internet的安全隐患有可能导致个人或企业信息泄露，破坏到个人隐私或是企业机密，影响用户的正常生活与企业的正常运营。2.2从交易角度出发，电子商务面临的安全问题综合起来包括以下几个方面： 2.2.1有效性 电子商务以电子形式取代了纸张，那么保证信息的有效性就成为开展电子商务的前提。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。 2.2.2真实性 由于在电子商务过程中，买卖双方的所有交易活动都通过网络联系，交易双方可能素昧平生，相隔万里。要使交易成功，首先要确认对方的身份。对于商家而言，要考虑客户端不能是骗子，而客户端也会担心网上商店是否是一个玩弄欺诈的黑店，因此，电子商务的开展要求能够对交易主体的真实身份进行鉴别。2.2.3机密性 电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。如信用卡的账号和用户名被人知悉，就可能被盗用而蒙受经济损失；订货和付款信息被竞争对手获悉，就可能丧失商机。因此建立在开放的网络环境电子商务活动，必须预防非法的信息存取和信息在传输过程中被非法窃取。3电子商务安全问题的解决措施由于电子商务系统把服务商、客户和银行三方通过互联网连接起来，并实现了具体的业务操作。因此，电子商务安全系统可以由三个安全代理服务器及CA认证系统构成，它们遵循共同的协议，协调工作，实现电子商务交易信息的完整性、保密性和不可抵赖性等要求。 电子商务采用的安全技术主要有以下几种：3.1  加密技术加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法,将明文转换成难以识别和理解的密文并进行传输,从而确保数据的保密性。基于加、解密的密钥是否相同来分类有两种算法:（1) 对称加密算法,又称专用密钥加密算法或单密钥加密算法，从一个密钥推导出另一个密钥，而且通信双方都要获得密钥并保持密钥的秘密。（2) 非对称加密算法,又称公开密钥加密算法。在非对称加密算法中,密钥被分解为一对,即一个公开密钥和一个专用密钥。该对密钥中的任何一个都可作为公开密钥公开,而另一把则作为专用密钥保存。这两种方法各有优缺点，在实际的电子商务系统中，通常采用这两种方法的结合的混合加密体制，即加解密采用对称加密，密钥传送采用非对称加密。这样既可以保证数据的安全，又可以提高加密和解密的速度。3.2 数字签名数字签名如同手写签名,在电子商务中有如下优点:（1) 发送者事后不能否认自己发送的报文签名。（2) 接受者能够核实发送者发送的报文签名。（3) 接受者不能伪造发送者的报文签名。（4) 接受者不能对发送者的报文进行篡改。（5) 交易中的某一用户不能冒充另一用户作为发送者或接受者。数字签名也是采用非对称加密算法,实现方式为:发送方从报文文本中生成一个128位的散列值,并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接受方;报文的接受方首先从接受到的原始报文中计算出128 位的散列值,再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接受方就能确认该数字签名是发送方的。3.3 数字时间戳数字时间戳(DTS ,Digital time-stamp) ,如同传统商务中的日期和时间,在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间以及DTS 的数字签名。3.4数字证书数字证书又称数字凭证,是由CA 发放的,利用电子手段来证实一个用户的身份及用户对网络资源的访问权限。它包括用户的姓名、公共密钥、公共密钥的有效期、颁发数字证书的CA、数字证书的序列号以及用户本人的数字签名。任何信用卡持有人只有申请到相应的数字证书,才能参加网上的电子商务交易。数字证书一般有5种类型:个人数字证书、机构数字证书、网关数字证书、CA 系统数字证书及交叉证书。3.5安全协议技术目前常用的安全协议主要有两种：SSL协议（安全套接层协议）和SET协议（安全电子交易协议）。SSL 协议是由Netscape公司提出的安全交易协议，该协议主要目的是解决T C P /I P 协议不能确认用户身份的问题，在Socket 上使用非对称的加密技术，以保证网络通信服务的安全性。4SET是由Visa 和MasterCard 两大信用卡公司联合IBM, Microsoft, GTE ,Verisign , SA IC等公司与1996年6月共同推出的以信用卡支付为基础的电子商务安全协议,其中涵盖了电子交易中的交易协定、信息保密、数据完整、数字认证和数字签名等。它采用公钥密码体制和X . 5 0 9 数字证书标准，主要应用于保障网上购物信息的安全性。4、结论电子商务的本子是商务，技术是电子商务得以实现的手段。没有商务的需求，技术的研究就失去了价值，没有技术的实现，电子商务就不能得以实施，所以技术是电子商务的必要条件。而安全则是实现电子上我的必要前提，也是电子商务的必要手段。本文详细探讨了电子商务安全体系所面临的问题，并提出了安全防护的几种技术手段，相信随着时间的推移和技术的发展，电子商务安全体系将越来越完善，足不出户而通过Internet电子商务系统实现购物、交易和做生意将成为人们生活的新时尚。参考文献：1徐海来：电子商务的运作与安全J.中国信息导报，2000.6：126 2 吴凌娇. 网上购物安全问题探讨J. 江苏技术师范学院学报, 2006,(04) .3刘 进：电子商务网上交易系统M.第一版，北京：机械工业出版社，2003：157 4李延昭：电子商务的交易安全J.计算机世界，2000.9：795陈国章：电子商务数字认证教程M.第一版，北京：机械工业出版社，1999：2376 杨晋. 现代电子商务安全技术研究J. 网络安全技术与应用, 2007,(01)7 林冬梅. 浅析电子商务的安全J. 商场现代化, 2007,(01)8 阚晓初. 浅谈电子商务安全策略与技术J. 商场现代化, 2007,(01) .9 彭银香. 电子商务安全问题及措施研究J. 大众科技, 2005,(11)10 朱辉. 基于电子商务的身份认证攻击研究J. 电脑应用技术, 2007,(02) .