电子商务论文Word下载.docx
《电子商务论文Word下载.docx》由会员分享,可在线阅读,更多相关《电子商务论文Word下载.docx(18页珍藏版)》请在冰豆网上搜索。
Keywords:
e-business;
cooperation;
security
目录
摘要I
ABSTRACTI
目录II
第一章问题的提出1
第二章电子商务的协同性2
第三章电子商务的安全性4
3.1主要安全技术4
3.1.1防火墙技术4
3.1.2加解密技术4
3.1.3数字签名6
3.1.4身份认证(CA)6
3.1.5电子商务安全交易标准8
3.2正确看待电子商务的安全问题9
第四章解决方法14
4.1系统设计方案14
4.1.1系统分析14
4.1.2系统结构14
4.1.3系统设计15
4.2安全机制18
4.2.1身份认证安全性——双重认证18
4.2.2数据通信安全性20
结束语23
致谢24
参考文献25
第一章问题的提出
何谓电子商务,有人称之为电子贸易,其实它是指采用网络技术实现数据的交换,并完成一套整个的商业交易过程。
电子商务是近年来兴起的一种新经济模式,最初它是在20世纪90年代的初期从欧美开始的一种新的商业交易方式,它实现了交易的无纸化、自动化,表现出计算机网络所特有的效率。
它快速的数据信息交换,跨越地理界限的便利,推动了传统商业行为在网络时代的变革。
在此之前通过网络进行的电子邮件、视频交换、文件交换、电子数据交换(EDI)等商业行为,现在都可以说是电子商务的某种表现形式。
电子商务包含的内容非常多,不仅包括商业交易,还包括政府职能部门提供电子化服务、电子银行、跨企业共同协作、以及网络购物等等。
1997年7月1日,美国政府发布了“全球电子商务纲要”,其中定义了两大商务类别:
一类是企业与企业(BtoB)之间的电子商务,另一类是企业与个人的电子商务。
企业与个人(BtoC),也就是对消费者而言,电子商务也可以说是电子消费、网上购物等,它也称之为电子商业。
企业与企业之间,多数着重企业的经营效率,利用网络技术整体提高企业的管理、经销、产品推广实力水平,改善传统商业模式的不足。
第二章电子商务的协同性
协同商务需要通过工作流,流程整合。
信息与知识共享(包括internet技术和协同社区等)完成企业内部以及跨企业范围内对上述工作内容的系统化操作,利用各种现有的技术以及对于一些业务的规范设定,组成各个层次的框架,最终利用internetweb集成平台和各种工具来支持协作社区内各个相关企业的协作,除了包括产品协同,制造协同在内的多种业务合作。
在这个架构中,最重要的是基于web的商务平台,流程整合等协作方式都是作为该平台的后台来进行相应支持。
协同商务平台的功能特点是:
协同处理能支持群体人员的协同工作,它提供自动处理业务流程,这样减少了成本和开发周期,其主要内容为:
通信系统:
包括电邮和信息,这常常是一个公司网络应用中的首要内容,人力资源管理,包括雇员的自我服务,如查找公司的聘任政策,了解员工情况及项目组织计划。
企业内部网和企业外部网:
将企业内部各组织紧密地联系在一起,并与制造商,供货方及企业伙伴共享信息和进行流水作业。
完整的一套协同商务系统包括多个模块,每个模块有多个部件,通过整合,它们形成一个完全集成的基于WEB的方案。
包括:
企业信息门户、知识文档管理、客户关系管理、人力资源管理、资产管理、项目管理、财务管理、工作流程管理、供应链管理。
1、企业信息门户InformationPortal
将企业的所有应用和数据集成到一个信息管理平台之上,并以统一的用户界面提供给用户,使用户可以快速地获取个性化的信息。
2、知识文档管理模块e-Document
在一个数据库中存储和管理各种信息和事务,e-Document是存储企业电子数据的基础,知识积累和共享的平台。
3、客户关系管理模块e-CRM
将客户集成到服务、销售、产品和财务等视角中来,真正获得对客户360度的观察。
4、资产产品管理模块e-Logistics
对产品、服务、价格、资产等信息进行管理,并且通过INTERNET以及INTRANT共享这些信息。
5、项目管理模块e-Project
管理与项目相关的信息,安排项目的计划、监督实施、监控项目的资金运转。
6、人力资源管理模块e-HRM
对企业的组织架构、职位构成以及各个员工的相关信息进行管理和维护,对用户在系统的中的角色权限和安全级别进行管理。
7、财务管理模块e-Financials
录入相关的数据,并形成各种报表,供管理层在线分析组织的经营状况和业绩表现。
8、工作流程管理模块e-Workflow
根据企业的组织和业务流程的不同,灵活的定制所需要的工作流程,实现企业运作的规范化、透明化和高效化。
第三章电子商务的安全性
3.1主要安全技术
电子商务是网络时代发展的产物,它将会对人类的社会进步、商业易往来、社会经济的繁荣与发展产生重要影响。
对电子商务安全的威胁与保证安全是同一问题的两个方面。
在电子商务发展的初期,人们已经把重点放在安全问题的解决上。
从Internet无秩序发展的教训中人们已经充分认识到安全的重要性。
目前,电子商务的安全机制已经在数学上、技术上经过严格的证明与检验,并逐渐形成国际行业规范。
构成电子商务安全的主要技术有:
防火墙技术、数字签名技术、身份认证技术等。
3.1.1防火墙技术
防火墙是指在内部网与外部网之间实施安全防范的系统,可以认为它是一种访问控制机制,用于确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。
防火墙的基本类型主要有三种:
(1)包过滤型,
(2)代理服务器型,(3)复合型。
但防火墙也有其局限性,主要表现在以下三个方面:
A、防火墙不能防范不经由防火墙的攻击。
B、防火墙不能防范人为因素的攻击。
C、防火墙不能防止受病毒感染的软件或文件的传输。
。
3.1.2加解密技术
加密的主要目的是防止信息的非授权泄露。
一般用于传输信息和存储信息。
加密是利用信息变换规则把可懂的信息变成不可懂的信息,其中的变换规则称为密码算法。
可懂的信息称为明文,不可懂的信息称为密文。
现代密码学的一个基本原则是:
一切密码属于密钥之中。
在设计加密系统时,总是假设密码算法是公开的,真正需要保密的是密钥。
所以在分发密钥时必须要采用安全方式。
根据密码算法所使用的加密密码和解密密码是否相同、能否由加密密钥推导出解密密钥(或者由后者推出前者),可将密码算法分为对称密码算法和非对称密码算法。
(1)对称加密
如果一个加密系统的加密密钥和解密密钥相同,或者虽然不相同,但是由其中任意一个可以很容易的推导出另一个,所采用的就是对称密码算法。
对称密码算法的密钥必须妥善保管,因为任何人拥有了它就可以解开加密信息。
对称密码算法的优点是计算开销小,加密速度快,是目前用于信息加密的主要算法。
其缺点是存在贸易方之间密钥的安全交换以及无法鉴别贸易发起方或贸易最终方的问题。
(2)非对称加密
如果一个加密系统的加密密钥和解密密钥不相同,并且由加密密钥推导出解密密钥(或者由后者推出前者)是计算上不可行的,所采用的就是非对称加密算法。
在采用非对称密码算法的加密系统中,每个用户有两个密码:
一个是可以告诉信息团体内所有用户的,称为公用密钥(公钥);
一个是由用户自己秘密保存的,称为秘密密钥(私钥)。
由于它具有每对密钥为用户专用,并且其中一个可以公开的特点,所以他非常适用于密钥分发和鉴别。
其缺点是计算量大,不适合信息量大、速度要求快的加密。
现实的电子商务安全加密系统,倾向于组合应用对称密码算法和非对称密码算法。
3.1.3数字签名
数字签名是公开密钥加密技术的另一类应用。
它的主要方式是:
报文的发送方从报文文本中生成一个散列值(或报文摘要),发送方用自己的私钥对这个散列值进行加密来形成发送方的数据签名。
然后,这个数据签名将作为报文的附件和报文一起发送给报文的接收方。
报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公钥来对报文附加的数字签名进行解密。
如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。
通过数字签名能够实现对原始报文完整性的鉴别和不可抵赖性。
3.1.4身份认证(CA)
网上的两个人要谈一笔交易,每一个人都要鉴别对方是否可信。
例如,王先生收到了带有李小姐数字签名的一封信,用属于李小姐的公钥解密,他要确定公钥属于李小姐,而不是在网上冒充李小姐的其他人,一种确定公钥属于李小姐的办法就是通过秘密途径接收由李小姐亲自送来的公钥,显然在实际中,这种办法是不现实的。
另一个可行的办法就是由一个大家都相信的第三方来验证公钥确实属于李小姐,这样的第三方称为“认证中心”(CertificateAuthority)。
(1)证书。
在做交易时,向对方提交一个由CA签发的包含个人身份的证书,使对方相信自己的身份,即数字证书。
在网上的电子交易中,如双方出示了各自的数字凭证,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。
数字凭证可用于电子邮件、电子商务、群件、电子基金转移等各种用途。
数字凭证的内部格式是由CCITTX.509国际标准所规定的,它包含了以下几点:
●凭证拥有者的姓名;
●凭证拥有者的公共密钥;
●公共密钥的有效期;
●颁发数字凭证的单位;
●数字凭证的序列号。
顾客向CA申请证书时,可提交自己的驾驶执照、身份证或护照,经验证后,颁发证书,证书包含了顾客的名字和他的公钥,以此作为网上证明自己身份的依据。
在SET中,最主要的证书是持卡人证书和商家证书。
1)持卡人证书:
它实际上是支付卡的一种电子化的表示。
由于它是由金融机构以数字化形式签发的,因此不能随意改变。
持卡人证书并不包括账号和终止日期信息,取而代之的是用单向哈希算法根据账号、截止日期生成的一个码,如果知道账号、截止日期、密码值,即可导出这个码值,反之不行。
2)商家证书:
用来表示商店可以用什么卡来结算。
它是由金融机构签发的,不能被第三方改变。
在SET环境中,一个商家至少应有一对证书,与一个银行打交道,一个商家也可以有多对证书,表示它与多个银行有合作关系,可以接受多种付款方法。
3)除了持卡人证书和商家证书以外,还有支付网关证书、银行证书、发卡机构证书等。
(2)CA。
CA是提供身份验证的第三方机构,由一个或多个用户信任的组织实体。
例如,持卡人要与商家通信,持卡人从公开媒体上获得了商家的公开密钥,但持卡人无法确定商家不是冒充的(有信誉),于是持卡人请求CA对商家认证,CA对商家进行调查、验证和鉴别后,将包含商家公钥的证书传给持卡人。
同样,商家也可对持卡人进行验证。
证书一般包含拥有者的标识名称和公钥并且由CA进行过数字签名。
(3)证书的树形验证结构。
在两方通信时,通过出示由某个CA签发的证书来证明自己的身份,如果对签发证书的CA本身不信任,则可验证CA的身份,依次类推,一直到公认的权威CA处,就可确信证书的有效性。
SET证书正是通过信任层次来逐级验证的。
每一个证书与数字化签发证书的实体的签名证书关联。
沿着信任一直到一个公认的信任组织,就可确认该证书是有效的。
例如,C的证书是由名称为B的CA签发的,而B的证书又是由名称为A的CA签发的,A是权威的机构,通常称为RootCA。
验证到了RootCA处,就可确信C的证书是合法的。
在网上购物实现中,持卡人的证书与发卡机构的证书关联,而发卡机构证书通过不同品牌卡的证书连接到RootCA,而Root的公共签名密钥对所有的SET软件都是已知的,可以校验每一个证书。
3.1.5电子商务安全交易标准
在国际上,电子商务的安全机制正在走向成熟,并逐渐形成了一些国际规范,比较有代表性的有SSL和SET。
(1)SSL协议
SSL(安全槽层)协议是由Netscape公司研究制定的安全协议。
该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。
该协议在应用程序进行数据交换前通过交换SSL初始握手信息来实现有关安全特性的审查。
SSL协议运行的基点是商家对客户信息保密的承诺。
客户的信息首先传到商家,商家阅读后再传到银行。
这样,客户资料的安全性便受到威胁。
另外,整个过程只有商家对客户的认证,缺少客户对商家的认证。
在电子商务的初始阶段,由于参加电子商务的公司大都信誉较好,这个问题没有引起人们的足够重视。
今后随着越来越多的公司参与电子商务,对商家的认证问题也就越来越突出,SSL的缺点就会逐渐暴露出来,SSL协议也就逐渐被新的SET协议所代替。
(2)SET协议
SET(安全电子交易规范)向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。
它是由Visa国际组织和Mastercard组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。
SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。
由于设计较为合理,得到了诸如微软公司、IBM公司、Netscape公司等大公司的支持,已成为实际上的工业技术标准。
当然,SET协议也由不足之处,主要体现在协议复杂,且只适用于用户安装了“电子钱包”的场合。
根据统计,在一个典型的SET交易过程中,需验证数字证书9次,验证数字签名6次,传送证书7次,进行5次签名、4次对称加密和4次非对称加密,整个交易过程可能会花费1.5-2分钟。
3.2正确看待电子商务的安全问题
在正确看待电子商务的安全问题时,有几个观念值得注意:
其一,安全是一个系统的概念。
安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理。
其二,安全是相对的。
房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。
我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认识:
玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。
同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。
也就是说安全是相对的,而不是绝对的。
其三,安全是有成本和代价的。
无论是现在国外的B2B还是B2C,都要考虑到安全的代价和成本的问题。
如果只注重速度,就必定要以牺牲安全来作为代价,如果能考虑到安全,速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。
如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;
如果牵涉到支付问题,对安全的要求就要高一些,所以安全是有成本和代价的。
作为一个经营者,应该综合考虑这些因素;
作为安全技术的提供者,在研发技术时也要考虑到这些因素。
其四,安全是发展的、动态的。
今天安全,明天就不一定很安全,因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。
没有一劳永逸的安全,也没有一蹴而就的安对电子商务现状的看法
现在,电子商务网站的经营很热闹,但其实也很艰难。
我国的电子商务收益不佳的现状虽然有望改观,但技术和管理方面的问题还依然存在,安全隐患仍令人担忧。
从技术上看:
首先是数据传输的速度太慢;
第二是没有安全、可靠的结账方式,这严重制约着电子商务的发展;
第三是IT技术的发展速度太快,商务模式的形成和人们使用习惯的养成都需要一定的时间,虽然技术不断发展,但社会对技术的认同是有阶段的,这使得用户和经营者都难以消化,难以跟上这种快速发展的步伐;
第四是难以及时处理用户的有关问题,开通一个网站,如果一段时间以后用户的反馈多了,网络的速度就会慢下来,这也许是线路本身的问题,但也存在技术处理的问题,目前尚没有解决的良策。
第五是在安全保障上,难以防范现在的网络犯罪,特别是黑客的攻击。
从管理上看,存在的主要问题有:
1)国内电子商务网站的数目太少、浏览电子商务网站的用户数量没有期望的那么多;
2)电子商务网站的经营收益远低于预期,有网络泡沫之虞;
3)缺乏能适应中国国情的市场技巧。
现在的电子商务网站动作的市场方式基本上是照搬美国的,在造势上不无奢华,但在收效上却无殷实,不充分考虑中国人的商业行为和方式,恐怕是难以成功的。
4)网站运营成本太高。
由于运行成本居高不下,再好的商业模式也不堪重负。
5)收费困难。
除BtoB稍好一点外,BtoC电子商务一直没有找到方便可行的收费方式。
从安全上看,电子商务的隐患,令人担忧,主要表现在:
(1)网络信息安全在全球还没有形成一个完整的体系,我国也不例外。
虽然有关电子商务安全的产品数量不少,但真正通过认证的却相当少。
近两年,有将近20家有关电子商务安全的产品申请认证,但最后通过的非常少,这主要是因为不少安全措施是从网上“down”下来的,另外,不少电子商务安全技术的厂商对网络技术很熟悉,但是对安全技术普遍了解得较少,因而他们很难开发出真正实用的、安全性强的安全技术和产品。
(2)安全技术的强度普遍不够。
国外有关电子商务的安全技术,虽然其结构或加密技术等都不错,但这种算法(无论是对称的还是非对称的)受到了外国密码政策的限制,因此强度普遍不够。
这种技术用在B-to-C方面还勉强可行,但用在B-to-B上就显然不够。
(3)电子商务网站的安全管理存在很大隐患,普遍难以经受黑客的攻击。
这个问题应当引起高度重视,国内电子商务网站被攻击的事件较少并不表示是牢不可破,而是网站本身很小,没有多少可攻的价值。
(4)电子商务仅仅局限于商务信息领域而没有深入真正的电子商务领域,这些因素的存在必将影响我国电子商务进一步的发展。
目前,国内市场需要较大的网络安全产品还是防火墙,从国内外采购的数量来看,防火墙居于首位;
其次是通信保密设备;
第三是现在电子商务里面应用最多的客户机服务器中的安全模式;
第四是局域网或广域网上的安全技术;
第五是Web安全技术;
第六是灾难恢复技术,从银行和金融界的一些情况看,大家对这方面的重视还不够,普遍的电子商务网站对灾难恢复考虑得都不是很好,这也是迫切需要解决的。
对电子商务发展的建议简单地讲是“两高一低”,即:
1)不断提高服务的安全性,否则会制约电子商务的发展;
成为发展的瓶颈;
2)提高通信的速度,否则电子商务就成了纯粹的电子广告而无法将商场搬到里面,许多东西我们无法看到,也更谈不上交易;
3)降低成本,这不仅仅是降低硬件成本,特别是要降低通信成本。
因为电子商务发展的目的本来就是为了降低交易成本,交易成本反而高了就不正常。
许多人都认为花那么大的投入去搞电子商务还不如去面对面地谈生意,打个电话许多货就发过来了,用不着去识别身份什么的。
电子商务虽然在90年代初期兴起于美国等西方国家的商业活动中,但是通过日渐成熟的因特网技术、功能强大的电脑技术的使用,更加统一的国际标准及大量专业人才的涌现,使得全球各国电子商务的发展呈现出迅猛的发展趋势。
从因特网的扩展来看,通过电子货币进行商业结算,通过无纸化的国际范围的信息交流与服务,电子商务必将推动世界各国形成交易市场的新的机制和体系。
电子商务的发展潮流中,世界各大IT厂商如HP、IBM等,相继推出了完整的电子商务解决方案,为电子商务的发展推波助澜。
我国电子商务技术开发较晚,刚刚起步。
对发展中的中国来说,开展电子商务,网络安全更为重要。
一方面,国内几乎所有的主机、交换机、路由器、网络操作系统都来自国外。
另一方面,由于美国对别国采取歧视态度,对中国实行密钥信前控制和限制长密钥产品出口。
因此,我们必须研制自己的加密算法,以保证中国电子商务的正常发展。
第四章解决方法
生物识别技术目前应用前景广泛,而又尤以指纹识别性价比最高、应用最广。
利用指纹具有的唯一性和终身不变性,可以准确、快速和高效地进行安全认证。
而智能卡具有高度的安全性和智能性,它的安全机制是通过密钥鉴别、密码认证、数据加密与解密、文件访问的安全控制等一系列协议完成。
可以把密钥、密码、用户的基本信息、金融信息和交易记录等数据存放在智能卡中。
4.1系统设计方案
4.1.1系统分析
电子商务平台是典型的Internet分布式应用。
基于双方认证的电子商务平台涉及商家和用户(可以是最终消费者或者其他商家),基于三方或多方认证的电子商务平台涉及商家、用户、中间CA机构或银行。
平台的各个组成部分无论是在业务逻辑还是在地理位置上都是独立的和分离的,因而很合采用WindowsDNA(WindowsDistributedinternetApplicationArchitecture)规范。
运用WindowsDNA规范,可构建安全、高效、可管理和可扩展的电子商务平台。
4.1.2系统结构
图1系统逻辑结构
我们的系统采用的是双方认证的方式。
作为一个采用双方认证的电子商务平台,其逻辑结构分为两大部分(如图1):
最终用户部分和商家部分。
最终用户部分要求尽量简化;
商家部分负责处理业务逻辑和管理数据库。
在物理结构上,商家部分又可以分为两块:
总部和远端代理。
总部即商家的数据处理中心,所有用户信息和交易数据都在这里汇总和处理,在总部可以实现所有的用户管理功能。
远端代理是商家在远方的代表,实现了部分用户管理功能。
它应该在靠近用户的地方(如用户小区)以方便最终用户使用。
4.1.3系统设计
通过采用结构化设计,可以实现系统的高内聚、低耦合,提高系统的鲁棒性和可扩展性。
基于系统
升级会员 