电子商务信息安全的方法和实现研究.docx
《电子商务信息安全的方法和实现研究.docx》由会员分享,可在线阅读,更多相关《电子商务信息安全的方法和实现研究.docx(71页珍藏版)》请在冰豆网上搜索。
电子商务信息安全的方法和实现研究
本文由pan276370773贡献
pdf文档可能在WAP端浏览体验不佳。
建议您优先选择TXT,或下载源文件到本机查看。
扬州大学硕士学位论文电子商务信息安全的方法和实现研究姓名:
丁倩倩申请学位级别:
硕士专业:
计算机技术指导教师:
殷新春20100501
摘
要
电子商务作为一种全新的业务和服务方式,为全球用户提供了更丰富的商务信息、更简洁的交易过程和更低廉的交易成本。
随着Intemet用户的迅速增加,网络交易额也在急剧上升。
利用综合信息技术,以提高贸易伙伴间商业运作效率为目标,将一次交易全过程中的数据和资料用电子方式实现,在商业的整个运作过程中实现交易无纸化、直接化。
电子商务可以使贸易各方更紧密地联系,以最小的投入获得最大的效益。
电子商务不仅为企业带来了无限商机,提供了商业竞争的优势,也逐渐地影响到国家整体经济的竞争力。
因此,国内企业与商家纷纷投入新兴的电子商场,政府相关部门积极拟订相关政策和研究各种应对措旌来推动
电子商务在我国的发展。
目前在电子商务的实践过程中,信息安全成为最为敏感和令人头痛的问题。
因此,了解和研究电子商务的信息安全问题及其安全技术有着重要的作用。
本论
文旨在对电子商务的信息安全及安全技术的内容进行研究,探讨电子商务信息安
全技术及其在电子商务领域的应用。
本文在分析现有XML安全技术的基础上,设计并实现了电子商务信息安全系统,在一定程度上克服了传统方法的不足,较好的实现了网络安全目标,具有一
定的现实意义。
论文主要工作如下;
1.详细阐述了各种现有XML安全技术,包括XML加密技术、XML数字签名技术、XML密钥管理等,并深入分析了现有XML安全技术存在的不足;2.设计并实现了优化的基于XML的电子订单安全技术,给出了关键代码,并举例说明了如何将此技术应用于电子订单系统中;
3.搭建了基于W.ebService的PKI系统,以.NET平台为基础,数据库选用SQL2000,给出了具体功能模块设计与部分代码;4.对本文实现的系统做性能测试,并对测试结果进行分析,说明了系统的有效性。
关键词:
电子商务,信息安全,XML安全技术,PKI系统
Abstract
E-commerce
asa
newwayofbusinessandservicesforglobal
users
with
a
richer
businessinformation,processtransactionsmoreconciseandmorelowtransactioncosts.
With
therapidincreaseinIntemet
u峨networktransactionsisalsorisingsharply.Use
businessoperations
a
ofintegratedinformationtechnologytoimprovetheefficiencyof
between
tradingpartners,thegoalwillbe
transactionintheentireprocessofdataand
informationbyelectronicmeanstoachieve,inthe
business
oftheentireoperation
processoftherealizationofpaperlesstrading,directof.E-commerceallowspartiestotradeclosertothe
notonly
mininlminvestmentformaxiinulnbenefit.E-commercehasbrought
opportunities,providing
business
business
a
competitiveadvantage,have
graduallyaffectedthecooun垃y)soveralleconomiccompetitiveness.Thus,thedomesticenterprisesand
businessmenhave
investedtheemergingelectronicmarket,the
relevant
various
governmentdepartments
toactivelydeveloppolicy
and
researchrelatedtothe
responsemesstllestopromotee-.coIilmel'p∞inthiscountry.Thecurrentpracticeofe-commerce,informationsecurityhasbecomethemostsensitivesecurity
and
headache.Therefore,tounderstandandstudytheproblemofinformationsecuritytechnologyplays
an
ande-commerce
importantrole.Thisthesis
study
011
e-c.,Dmmerce
informationsecurityandcontentsecurity
technology
one-commerce
informationsecurityBased
On
technologyand
itsapplicationine-commerce.
on
theanalysisofexistingtechnologiesbased
XMLSecuritydesignand
implementation
ofe-commeroeinformation,informationsecuritysystems,tosome
extentovercometheshortageoftraditional
methods,betternetworksecurityachieved
is
as
thefourtargetswithcertainpractical
1.Elaborates
a
significance.Thesework
XML
key
follows:
varietyofexisting
securitytechnologies,including
XML
encryption,XMLDigitalSignature,XML
management,andin-depthanalysisofthe
existingshortcomingsofXMLsecuritytechnologies;
2.Design
and
implementoptil碰刀。
d
XML-basedelectron/corder
security
technology,givesthekeycode,andexamplesofhowthistachnologyappliedtoelectronicordersystem;3.Build
WebService
a
based
On
thePKIsystemto.NETplatform,thedatabaseused
SQLs~2000,given
specificfunctionmoduledesignandpartofthecode;
4.ForthesystemtodotOachievethisperformancetest,andtestresults锄池analyzedtoillustratetheeffectivenessofthesystem.KEYPKI
WORDS:
electronicoommel'ce)informationsecurity,XMLsecuritytechnology,
systems
丁倩倩:
电子商务信息安全的方法和实现研究
55
扬州大学学位论文原创性声明和版权使用授权书
学位论文原创性声明本人声明:
所呈交的学位论文是在导师指导下独立进行研究工作所取得的研究成果。
除文中已经标明引用的内容外,本论文不包含其他个人或集体已经发表的研究成果。
对本文的研究做出贡献的个人和集体,均已在文中以明确方式标明。
本声明的法律结果由本人承担。
学位论文作者签名:
签字日期:
年
月日
学位论文版权使用授权书本人完全了解学校有关保留、使用学位论文的规定,llp,学校有权保留并向国家有关部门或机构送交学位论文的复印件和电子文档,允许论文被查阅和借阅。
本人授权扬州大学可以将学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。
同时授权中国科学技术信息研究所将本学位论文收录到<中国学位论文全文数据库>,并通过网络向社会公众提供信息服务。
学位论文作者签名:
签字日期:
年月
日
导师签名:
签字日期:
年
月日
(本页为学位论文末页。
如论文为密件可不授权,但论文原创必须声明。
)
丁倩倩:
电子商务信息安全的方法和实现研究
第1章绪论
1.1课题研究背景
随着因特网的飞速发展和信息经济、网络经济等概念的提出,电子商务越来
越受到人们的关注。
电子商务源于英文ElectronicCommerce,简写为EC[2]。
它包
含两个方面,一是电子方式,二是商贸活动。
电子商务指的是利用简单、快捷、
低成本的电子通讯方式,买卖双方可以不见面地进行各种商贸活动。
电子商务可以通过多种电子通讯方式来完成。
现在所探讨的电子商务主要是指以EDI(Electronic
Data
Interchange,电子数据交换)和Interact来完成的。
尤其是随着
Internet技术的日益成熟,电子商务真正的发展将是基于Intemet技术之上的。
电子商务作为一种全新的业务和服务方式,为全球用户提供了更丰富的商务信息、更简洁的交易过程和更低廉的交易成本。
随着Internet用户的迅速增加,网
络交易额也在急刷上升。
由于Internet的诞生并不是出于商业目的,而是为了能方
便地共享资源,因此Intemet的TCP/IP协议及源代码都是开放与共享的。
Intemet的这种全球化、开放性特点,也使得基于Internet的电子商务的安全性问题日益突出。
要想在In'temet上进行安全的电子商务活动,就需要在现有的基础上增加一些
安全技术措施,如:
加密、数字签名、身份认证、防火墙等技术,以保证数据的
保密性、完整性和不可否认性【3】。
由于Internet是~个开放性的计算机网络,任何人都可以使用这个网络。
另一
方面,为了自身的利益,电子商务的参与者希望某些商务信息不被他人所知,更
不应该被他人恶意篡改,这就是电子商务的安全问题。
具体来说,电子商务的安全要求主要有以下几个方面:
①数据的保密性
2
扬州大学工程硕士论文
用于防止非法用户进入系统及合法用户对系统资源的非法使用;通过对一些敏感的数据文件进行加密来保护系统之间的数据交换,防止除接收方之外的第三
方截获数据及即使获取文件也无法得到其内容。
解决这个问题的主要方法是信息加密。
虽说任何一种加密方法在理论上都可以被破译,但多数电子商务信息都有极强的时限性,如果破译时间超过信息的有效期或破译的代价远超过信息本身的
价值,则加密就是成功的。
另一种信息保密的手段是防火墙,成功的防火墙应该
是可以防止非法用户的访问[1】。
②数据的完整性数据在传输时可能会因为计算机网络的技术性故障而引起信息丢失,产生信
息的正确性和完整性问题。
这可以通过改进网络质量,并使用数据校验来解决;另一种引发数据完整性的因素是非法用户对进行交换的数据进行无意或恶意的修
改、插入而造成的数据丢失等。
这方面的安全性问题可以由信息加密技术来保证。
③数据的不可否认性数据的不可否认性是电子商务中一个至关重要的问题。
由于商情的千变万化,交易一旦达成是不能被否认的,否则必然会损害一方的利益。
因此电子交易通信过程的各个环节都必须是不可否认的,以保障商务交易的严肃和公正。
利用身份认证技术和数字签名可以对数据和信息的来源进行验证,以确保数据由合法的用
户发出,防止数据发送方在发出数据后又加以否认,同时防止接收方在收到数据后又否认曾收到过此数据及篡改数据。
数字签名是现代信息社会中广泛应用的一
种专业识别与验证方法,它为电子商务、电子政务和网上公共服务的顺利开展提
供安全保障机制【7】。
随着当前国际上对网络安全技术的不断深入研究和发展,我国的密码学领域
也开始活跃起来。
但由于国外主流的电子商务安全协议在核心密码算法上都有出口限制,而且协议源代码不公开,因此根本无法满足我国电子商务实际应用的安全需求[10.13]。
但是,完全自主的定义和开发一套安全标准体系不是一蹴而就的,并且需要人力、财力、物力的长期投入。
丁倩倩;电子商务信息安全的方法和实现研究
3
1.2国内外研究现状
目前,随着计算机技术及银行信用卡的不断普及,越来越多的人需要使用银行信用卡进行在线交易。
在西方国家,信用卡网络支付方式应用最广,现已投入实际应用的信用卡系统及电子支票系统有:
CyberCash,FirstV'utualHolding,NetBiU,NetCheque等。
用于跨行的资金转账汇兑系统有FEDWIRE(联邦储蓄通信系统),
B砧憾唧(非营利性的私营的电子汇兑系统),CHIPS(国际资金调拨系统),
swift(金融信息通信系统)。
有资料统计,2001年,美国个人购物的50%左右是在网络上进行的,而这些网络交易销售额的80%又是用信用卡进行网络支付的。
西方其他国家的情况与美国相似,特别是在瑞士等银行发达的国家。
一些新兴国家,如韩国、新加坡的网络支付方式发展得也不错【2】。
在我国,电子商务虽然是个新兴的行业,但其发展速度是相当惊人的,可以说市场前景相当可观。
与此同时,网络交易安全问题却成为了电子商务中网络交易发展的瓶颈。
针对这一现状,国内外计算机安全研究领域都已全力投入到研究保护网络交易安全的措施中。
但由于目前较为成功的交易协议SSL及SET在协议出口的同时被一些国家进行了出口限制,其安全强度大为降低。
故国内大量科研机构及企业利用SSL协议较好的源码开放性,实现了网络交易过程的通信安全保障。
在认证企业中,北京国富安电子商务安全认证有限公司就是较为典型的公司,该公司利用PKI技术体系,采用X.509等国际标准,结合经国密办认可的PKI加密设备推出了具有全部自主知识产权的数字证书和密钥管理系统【3】。
像国富安一类的公司在国内各大主流商贸城市已经有了较多,它们为我国的政府、经济、贸易业的安全、持续、稳定的发展做出了巨大的贡献。
它们对我国信息网络安全及电子商务的发展有着举足轻重的作用。
它们的出现,对我国信息网络安全事业起着极大的推进作用,为电子商务的持续发展铺平了道路。
4
扬州大学工程硕士论文
1.3本文研究的主要内容和组织
本论文主要介绍了XML语言特点及加密解密技术的相关知识。
在理论研究的基础上,提出了基于XML的安全电子商务系统的设计理念并予以实施。
第一章,绪论。
本章介绍了本课题的研究背景以及国内外的研究现状,并且
描述了论文结构。
第二章,电子商务概要。
本章分析了电子商务发展背景,交易安全问题和网络环境下的信息安全体系架构。
第三章,信息安全技术分析。
本章详细解析了现代密码技术,对对称加密技术及非对称加密技术做了全面分析和研究;对电子商务安全协议中的SSL协议做了研究与分析,并对PIG原理及数字证书做了研究。
第四章,电子商务信息安全系统的设计。
本章介绍了基于WebService的PIG系统的设计以及优化的XML安全技术的电子订单的设计。
第五章,电子商务信息安全系统的实现。
本章介绍了XML文档生成模块,XML文档数字签名/认证模块以及密钥管理模块的实现,并利用将电子商务的安全方案和传统商务模式进行比较,在安全性方面说明其优势。
第六章,总结与展望。
该部分对本论文的工作进行总结,并指出了需要进一步研究与完善的工作。
丁倩倩:
电子商务信息安全的方法和实现研究
5
第2章电子商务概要
2.1电子商务发展的背景
任何事物的诞生都有其驱动力,电子商务的诞生也不倒外,它有着其深刻的技术驱动力。
自ARPANET的问世,计算机网络和Intemet在20世纪70年代得到了快速的发展,许多企业开始依靠EDI(ElectronicDataInterchange)实现业务处理的自动化。
EDI是指以电子形式在异构系统之间进行数据交换,用以支持商务的事务处理。
EDI重点于合作者之间的事务处理标准化。
它提供了一系列的消息和格式,企业之间用这些标准的消息和格式传送成批的请求来订购产品、接收货物、付账,而这些都是以电子化的形式进行的,但是EDI标准缺乏灵活性和可扩展性。
20世纪80年代初,TCP/IP协议族在ARPANET上全面实现后,随之而来的是Intemet的蓬勃发展,人们开始考虑借助Intemet进行EDI,Intemet的低成本消除了传统EDI的一大障碍。
同时,面向对象的软件开发技术在80年代也取得了长足的发展,方便了EDI应用系统的开发。
但是EDI标准缺乏灵活性和可扩展性这一缺点并未因此而改变。
步入20世纪90年代后,随着web的诞生,许多商家开始采用web系统来支持电子商务,比如网络广告、网络营销、客户关系管理等。
1995年5月,java的问世进一步推动了Internet与网络计算的发展,迎来了网络计算与电子商务时代。
电子商务不局限于书籍和光盘的在线销售,而且还包括企业内部的员工管理、跨越供应链的事务处理和在线采购,还包括公共事业的在线事务处理,如保健、教育和政务。
电子商务的应用也推动了web和java等技术的进一步发展。
随着XML技术的出现和成熟,基于XML的WebServiee技术又为数据交换增添了一种新方
法。
6
扬州大学工程硕士论文
在商业活动中,交易双方所交易的是他们的需求。
在商业活动的发生过程中都必然包含了物资流、资金流和信息流,这是人类社会商业活动所共同遵循的。
在人类社会的商业活动中,自始至终存在着物资流,而资金流是随着货币作为中介服务的机构产生的。
随着货币中介服务的产生,物资流和资金流开始分离,产生了多种交易付款方式,如分期付款、延期付款等。
正是随着商品所有权的转移和物资流的分离,信息流开始表现出来,并且起到了十分重要的作用。
物资流与资金流的分离,使得人类交易活动呈现出丰富而复杂的特性,给人们带来了方便,但也出现了新的商业风险。
比如:
对方的商品质量信息、价格信息、支付能力、支付信誉等。
要规避这些风险,就得获取尽可能多的信息,只有多掌握信息,才能减少不确定因素并监督控制整个交易过程。
正是在这种背景下,信息作为规避风险的有效手段,愈来愈被人们所重视。
正是信息流的重要性与规避商业风险的必需,商业活动中引入了电子手段,从而导致了新的经济模式的产生,并且导致了行业的重组。
电子商务阶段的一个重要特点就是信息流处于极端重要的地位,它站在更高的角度对整个商品交易流通过程进行控制。
因此,不断发展的商业活动呼唤着一个新的经济模式,电子商务由此而诞生。
2.2电子商务交易安全问题
2.2.1电子商务安全概述
电子商务安全从整体上可分两大部分【0】:
计算机网络安全和商务交易安全。
计算机网络安全的内容包括:
计算机网络设备安全、计算机网络系统安全、数据库安全等。
其特征是针对计算机网络本身可能存在的问题,实施网络安全增强方案,以保证计算机网络自身的安全为目标。
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全闯题,在计算机网络安全的基础上,保障以电子交易和电子支付为核心的电子商务过程顺利进行,即实现电子商务保密性、完
丁倩倩:
电子商务信息安全的方法和实现研究
7
整性、可鉴别性、不可伪造性和不可抵赖性。
计算机网络安全与商务交易安全实
际上是密不可分的,两者相辅相成,缺一不可。
电子商务安全是以网络安全为基础的。
但是电子商务安全与网络安全又是有区别的。
从安全等级来说,从下到上有计算机密码安全、局域网安全、广域网安全和信息安全之分,而电子商务安全属于信息安全的范畴,涉及信息的机密性、完整性、认证性等方面。
电子商务安全有其自身的特殊性,既以电子交易安全和电子支付安全为核心,更有复杂的机密性概念,更为严格的身份认证功能,对不可拒绝性有新的要求,需要有法律依据性和货币直接流通性等特点,还要网络设有的其他服务(如数字时间戳服务)等。
电子商务安全具有如下四大特性:
1.电子商务安全是一个系统概念:
电子商务安全不仅仅是个技术性问题,更重要的是管理问题,而且它还与社会道德、行业管理以及人们的行为模式都紧密的联系在一起。
2.电子商务安全是相对的:
任何一个系统的安全都是相对的,而不是绝对的,要想以后的网站永远不受攻击、不出安全问题是不可能的。
3.电子商务安全是有代价的:
电子商务交易活动中,其安全性与速度是一对矛盾体。
如注重安全,就必定要以牺牲速度作为代价;反之亦然。
4.电子商务安全是发展的、动态的:
社会在不断发展,技术在不断进步,没有一劳永逸的安全,也没有一蹴而就的安全。
2.2.2电子商务发展所面临的安全问题及安全需求
随着计算机技术和通讯技术的发展以及因特网的普及和成熟,电子商务正以不可逆转之势席卷全球各行各业。
当今的电子商务,Internet是重要的平台,由于Intemct的全球性、开放性、共享性、无缝连通性、动态发展性,新的威胁和易受攻击等不断出现,从而对网络安全提出了更高的要求。
电子商务的安全可以分为以下四大类;1.信息的截获和窃取:
如果没有采取加密措施或者加密强度不够,攻击者通
3
扬州大学工程硕士论文
过采用一定的技术手段非法获得用户机密的信息。
2.信息的篡改:
攻击者利用各种技术手段对网络中的信息进行中途篡改,并发往日的地,从而破坏了信息的完整性。
3.信息假冒:
攻击者通过掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息来欺骗其它用户。
4.交易抵赖:
指交易单方或双方否认曾经进行的交易行为。
电子商务面临的威胁引发了电子商务安全的需求。
一个电子商务系统要保证交易信息安全需要做到以下几个方面:
1.机密性:
是指信息在传递或存储过程中不被窃取、不被泄露,或者经过加密伪装后,使XX者无法了解其内容。
机密性一般通过密码技术对需要保密的信息进行加密处理来实现。
2.完整性:
完整性又叫真实性,是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被篡