电子商务毕业论文设计模板.docx
《电子商务毕业论文设计模板.docx》由会员分享,可在线阅读,更多相关《电子商务毕业论文设计模板.docx(10页珍藏版)》请在冰豆网上搜索。
电子商务毕业论文设计模板
XXXX学院
毕业论文(设计)
论文(设计)题目:
二级学院:
学科专业:
学号:
姓名:
班级:
指导教师:
论文提交时间:
XXXX学院教务处制
2012年3月15日
毕业论文(设计)内容介绍
论文(设计)
题目
选题时间
完成时间
论文(设计)
字数
关键词
论文(设计)题目的来源、理论和实践意义:
论文(设计)的主要内容及创新点:
附:
论文(设计)
本人签名:
年月日
信息安全技术在电子商务中的应用
摘要:
文章主要针对在电子商务应用中所经常使用到的几种信息安全技术作了系统的阐述,分析了各种技术在应用中的侧重点,强调了在电子商务应用中信息安全技术所具有的重要作用。
确保电子商务正常进行的数据的可靠性、真实性、保密性越来越受到人们的关注。
这些问题都可以归结到信息安全技术之中,本文简要介绍了电子商务及在电子商务中信息安全的基本原理,并指出了目前信息安全技术中的弱点。
关键词:
电子商务 密码技术 安全协议电子签名
一、前言
随着通信网络技术的飞速发展和快速普及,人们的消费观念和整个商务系统也发生了巨大了变化,人们更希望通过网络的便利性来进行网络采购和交易,从而导致了电子商务(ElectronicCommerce)的出现,电子商务的发展给人们的工作和生活带来了新的尝试和便利性,但并没有像人们想象的那样普及和深入,一个很重要的原因就是电子商务的安全性。
美国密执安大学一个调查机构通过对23000名因特网用户的调查显示,超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。
所以,研究和分析电子商务的安全性问题,充分借鉴国外的先进技术和经验,开发和研究出具有独立知识产权的电子商务安全产品,这些都成为目前我国发展电子商务的关键。
二、电子商务中的安全隐患可分为如下几类
(一)信息的截获和窃取
如果没有采用加密措施或加密强度不够,攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上届截获数据等方式,获取输的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,推出有用信息,如消费者的银行企业的商业机密等。
(二).信息的篡改。
当攻击者熟悉了网络信息格式以后,通过各种技术方法和手段对网络传输的信息进行中途修改,并发往目的地,从而破坏信息的完整性。
这种破坏手段主要有三方面:
改变信息流的次序,更改信息的内容,如购买商品的出货地址;删除某个消息或消息的某些部分;在消息中插入一些信息,让收方读不懂或接收错误的信息。
(三)信息假冒。
当攻击者掌握了网络信息数据规律或解密了商务信息以后,主要用两种方式进行欺骗:
一是伪造电子邮件,虚开网站和商店,发大量的电子邮件,窃取商家的商品信息和用户信用等信息。
另一种为假冒他人身份,冒充他人消费或栽赃、冒充网络控制程序套取或修改使用权限、通行字、密钥等信息等。
(四)交易抵赖。
它包括多个方面,如发信者事后否认曾经发送过某条信息或内容、购买者做了定货单不承认、商家卖出的商品因价格差而不承认原有交易等。
三、电子商务安全需求
1.机密性。
电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密,维护商业机密是电子商务全面推广应用的重要保障。
因此,要预防非法的信息存取和信息在传输过程中被非法窃取,一般通过密码技术来对传输的信息进行加密处理来实现。
2.完整性。
在电子商务中由于数据输入时的意外差错或欺诈等行为,可能会影响贸易各方信息的完整性,这将影响到贸易各方的交易和经营策略,因此保持贸易各方信息的完整性是电子商务应用的基础。
完整性一般可通过提取信息消息摘要的方式来获得。
3.认证性。
由于网络电子商务交易系统的特殊性,要求对人或实体的身份进行鉴别,即交易双方能够在相互不见面的情况下确认对方的身份,鉴别服务一般通过证书机构CA和证书来实现。
4.不可抵赖性。
在无纸化的电子商务方式下,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题是保证电子商务顺利进行的关键。
因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
不可抵赖性可通过对发送的消息进行数字签名来获取。
5.有效性。
电子商务作为贸易的一种形式,其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。
因此要对网络故障、硬件故障及计算机病毒所产生的潜在威胁等加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
四、电子商务安全中的主要技术
(一)认证机构和数字证书
认证机构和数字证书。
对数字签名和公开密钥加密技术来说,都会面临公开密钥的分发问题。
必须有一项技术来解决公钥与合法拥有者身份的绑定问题。
数字证书是解决这一问题的有效方法。
它通常是一个签名文档,标记特定对象的公开密钥。
电子证书由一个认证中心(CA)签发,认证中心类似于现实生活中公证人的角色,它具有权威性,是一个普遍可信的第三方。
当通信双方都信任同一个CA时,两者就可以得到对方的公开密钥从而能进行秘密通信、签名和检验。
证书机构CA(CertificationAuthority)是一个可信的第三方实体,其主要职责是保证用户的真实性。
网络用户的电子身份(electronicidentity)是由CA来发布的,也就是说他是被CA所信任的,该电子身份就成为数字证书。
护照颁发机构和证书机构CA都是由策略和物理元素构成。
在护照颁发机构,有一套由政府确定的政策来判定那些人可信任为公民,以及护照的颁发过程。
一个CA系统也可以看成由许多人组成的一个组织,它用于指定网络安全策略,并决定组织中的那些人可以发给一个在网络上使用的电子身份
(二)网络安全技术
网络安全是电子商务安全的基础,它所涉及到最重要的就是防火墙技术。
防火墙是建立在通信技术和信息安全技术之上,它用于在网络之间建立一个安全屏障,根据指定的策略对网络数据进行过滤、分析和审计,并对各种攻击提供有效的防范,主要用于Internet接入和专用网与公用网之间的安全连接。
目前国内使用的防火墙产品都是国外厂商提供的,由于他们对加密技术的限制和保护,国内无法得到急需的安全而实用的网络安全系统和数据加密软件。
因此我国也应研制开发并采用自己的防火墙系统和数据加密软件,以满足用户和市场的巨大需要。
VPN也使一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。
企业只需要租用本地的数据专线,连接上本地的公众信息网,其各地的分支机构就可以互相之间安全传递信息。
使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。
(三)数字签名
在网络环境中,可以用电子数字签名作为模拟,数字签名中很常用的就是散列(HASH)函数,从而为电子商务提供不可否认服务。
把HASH函数和公钥算法结合起来,可以在提供数据完整性的同时,也可以保证数据的真实性。
完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的HASH。
把这两种机制结合起来就可以产生所谓的数字签名(DigitalSignature)。
将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要(Mes-sageDigest)值。
只要改动报文的任何一位,重新计算出的报文摘要就会与原先值不符。
然后把该报文的摘要值用发送者的私人密钥加密,将该密文同原报文一起发送给接收者,所产生的报文即称数字签名。
数字签名相的优点:
它不仅与签名者的私有密钥有关,而且与报文的内容有关,因此不能将签名者对一份报文的签名复制到另一份报文上,同时也能防止篡改报文的内容。
(四)信息认证和访问控制技术
信息认证技术是网络信息安全技术的一个重要方面,用于保证通信双方的不可抵赖性和信息的完整性。
在网络银行、电子商务应用中,交易双方应当能够确认是对方发送或接收了这些信息,同时接收方还能确认接收的信息是完整的,即在通信过程中没有被修改或替换。
①基于私钥密码体制的认证。
假设通信双方为A和B。
A,B共享的密钥为KAB,M为A发送给B的信息。
为防止信息M在传输信道被窃听,A将M加密后再传送。
由于KAB为用户A和B的共享密钥,所以用户B可以确定信息M是由用户A所发出的,这种方法可以对信息来源进行认证,它在认证的同时对信息M也进行了加密,但是缺点是不能提供信息完整性的鉴别。
通过引入单向HASH函数,可以解决信息完整性的鉴别问题。
在上述中,用户A首先对信息M求HASH值H(M),之后将H(M)加密成为m,然后将m。
和M一起发送给B,用户B通过解密ml并对附于信息M之后的HASH值进行比较,比较两者是否一致。
上述中给出的信息认证方案可以实现信息来源和完整性的认证。
基于私钥的信息认证的机制的优点是速度较快,缺点是通信双方A和B需要事先约定共享密钥KAB。
②基于公钥体制的信息认证。
基于公钥体制的信息认证技术主要利用数字签名和哈希函数来实现。
假设用户A对信息M的HASH值H(M)的签名为SA(dA,H(m),其中dA为用户A的私钥),用户A将M//SA发送给用户B,用户B通过A的公钥在确认信息是否由A发出,并通过计算HSAH值来对信息M进行完整性鉴别。
如果传输的信息需要报名,则用户A和B可通过密钥分配中心获得一个共享密钥KAB,A将信息签名和加密后再传送给B。
只有用户A和B拥有共享密钥KAB,B才能确信信息来源的可靠性和完整性。
访问控制是通过一个参考监视器来进行的,当用户对系统内目标进行访问时,参考监视器边查看授权数据库,以确定准备进行操作的用户是否确实得到了可进行此项操作的许可。
而数据库的授权则是一个安全管理器负责管理和维护的,管理器以阻止的安全策略为基准来设置这些授权。
(一)防火墙技术。
防火墙是目前用得最广泛的一种安全技术,是一种由计算机硬件和软件的组合。
它使互联网与内部网之间建立起一个安全网关,可以过滤进出网络的数据包、管理进出网络的访问行为、对某些禁止的访问行为、记录通过防火墙的信息内容和活动及对网络攻击进行检测和告警等。
防火墙的应用可以有效的减少黑客的入侵及攻击,它限制外部对系统资源的非授权访问,也限制内部对外部的非授权访问,同时还限制内部系统之间,特别是安全级别低的系统对安全级别高的系统的非授权访问,为电子商务的施展提供一个相对更安全的平台,具体表现如下:
1防火墙可以强化网络安全策略。
通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。
与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。
2对网络存取和访问进行监控审计。
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作日志记录,同时也能提供网络使用情况的统计数据。
当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
另外,收集一个网络的使用和误用情况也是非常重要的。
首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
3防止内部信息的外泄。
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。
但是Finger显示的信息非常容易被攻击者所获悉。
攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。
防火墙可以同样阻塞有关内部网络中的DNS信息,这样台主机的域名和IP地址就不会被外界所了解。
4网络安全协议。
网络协议是网络上所有设备之间通信规则的集合。
在网络的各层中存在着许多协议,网络安全协议就是在协议中采用了加密技术、认证技术等保证信息安全交换的安全网络协议。
目前,Intemet上对七层网络模型的每一层都已提出了相应的加密协议,在所有的这些协议中,会话层的SSL和应用层的SET与电子商务的应用关系最为密切。
(二)ssL协议(SecureSocketsLayer)安全套接层协议。
SSL使用对称加密来保证通信保密性,使用消息认证码(MAC)来保证数据完整性。
SSL主要使用PKI在建立连接时对通信双方进行身份认证。
SSL协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性。
它主要适用于点对点之间的信息传输,提供基于客户/服务器模式的安全标准,它在传输层和应用层之间嵌入一个子层,在建立连接过程中采用公开密钥,在会话过程中使用私人密钥。
加密的类型和强度则在两端之间建立连接的过程中判断决定。
SSL安全协议是国际上最早应用于电子商务的一种网络安全协议,至今仍然有很多网上商店使用。
在传统的邮购活动中,客户首先寻找商品信息,然后汇款给商家,商家将商品寄给客户。
这里,商家是可以信赖的,所以客户先付款给商家。
在电子商务的开始阶段,商家也是担心客户购买后不付款,或使用过期的信用卡,因而希望银行给予认证。
SSL安全协议正是在这种背景下产生的。
所以,它运行的基点是商家对客户信息保密的承诺。
显然,SSL协议无法完全协调各方间的安全传输和信任关系。
SET协议SecureElectronicTransaction)安全电子交易。
为了克服SSL安全协议的缺点,实现更加完善的即时电子支付,SET协议应运而生。
(五)密码技术
密码是信息安全的基础,现代密码学不仅用于解决信息的保密性,而且也用于解决信息的保密性、完整性和不可抵赖性等,密码技术是保护信息传输的最有效的手段。
密码技术分类有多种标准,若以密钥为分类标准,可将密码系统分为对称密码体制(私钥密码体制)和非对称密码体制(公钥密码体制),他们的区别在于密钥的类型不同。
在对称密码体制下,加密密钥与解密密钥是相同的密钥在传输过程中需经过安全的密钥通道,由发送方传输到接收方。
比较著名的对称密钥系统有美国的DES,欧洲的IDEA,Et本的RC4,RC5等。
在非对称密码体制下加密密钥与解密密钥不同,加密密钥公开而解密密钥保密,并且几乎不可能由加密密钥导出解密密钥,也无须安全信道传输密钥,只需利用本地密钥的发生器产生解密密钥。
比较著名的公钥密钥系统有RSA密码系统、椭圆曲线密码系统ECC等。
,它包括私钥加密和公钥加密。
私钥加密又称对称密钥加密,即信息的发送方和接收方用一个密钥去加密和解密数据,目前常用的私钥加密算法包括DES和IDEA等。
对称加密技术的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
公钥密钥加密,又称不对称密钥加密系统,它需要使用一对密钥来分别完成家密和解密操作,一个公开发布,称为公开密钥(Public-Key);另一个由用户自己秘密保存,称为私有密钥(Private-Key)。
信息发送者人用公开密钥去加密,而信息接收者则用私有密钥去解密,常用的算法是RSA、ElGamal等。
为了充分利用公钥密码和对称密码算法的优点,克服其缺点,提出混合密码系统,即所谓的电子信封(envelope)技术。
发送者自动生成对称密钥,用对称密钥加密钥发送的信息,将生成的密文连同用接收方的公钥加密后的对称密钥一起传送出去。
收信者用其秘密密钥解密被加密的密钥来得到对称密钥,并用它来解密密文。
总结:
通过对电子商务应用中所使用的几种技术的解析,了解到各种技术在实际生活中的应用,从而分析出各种技术在应用中的侧重点。
并且对电子商务信息安全技术在实际生活中的应用所起到的重大作用进行了详细的阐述,从而证实了电子商务正常运行的数据的可靠性.真实性.保密性越来越受到人们的关注。
虽然电子商务的发展给人的生活和工作带来了新的尝试和便捷性,但是并没有像人们想象的那样普及和深入,一个很重要的因素就是电子商务的安全性。
研究和分析电子商务的安全性问题,开发和研究出具有独立知识产权的电子商务安全产品,是以后我国发展电子商务的重中之重。
参考文献:
[1]彭银香,白贞武.电子商务安全问题及措施研究[J].大众科技,2005,(11).
[2]宋苑.影响电子商务发展的网络安全事件分析与对策[J].计算机与信息技术,2006,(Z1).
[3]付灵丽,朱辉.基于电子商务的身份认证攻击研究[J].电脑应用技术,2007,(02).
毕业论文(设计)成绩评议
指导教师意见(包括选题的意义,资料收集或实验方法、数据处理等方面的能力,论证或实验是否合理,主要观点或结果是否正确,有何独到的见解或新的方法,基础理论、专业知识的掌握程度及写作水平等):
成绩:
指导教师签名:
年月日
评阅人意见:
评阅人签名:
年月日
答辩小组意见:
成绩:
答辩小组负责人签名:
年月日
学院审核意见:
负责人签名:
(公章)
年月日
注:
成绩按优、良、中、合格、不合格五级分制计。
升级会员 