电子商务论文.docx
《电子商务论文.docx》由会员分享,可在线阅读,更多相关《电子商务论文.docx(9页珍藏版)》请在冰豆网上搜索。
电子商务论文
中山大学南方学院
本科生期末论文
电子商务概论
电子商务安全技术综述
系名:
电子通信与软件工程系
专业:
电子信息科学与技术专业
学号:
姓名:
指导教师:
二○一○年六月
摘要
电子商务最早产生于60年代,发展于90年代。
随着计算机的全民普及电子商务也逐具规模,并且伴随着信用卡的普及应用,其方便、快捷、安全等优点成为人们消费支付的重要手段,为电子商务中的网上支付提供了重要途径,使得电子商务大有一发不可收拾之势。
电子商务的实施,其关键在于保证整个商务过程中系统的安全性,即保证基于互连网的电子交易过程与传统交易的方式一样安全可靠。
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题。
在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,成为电子商务发展道路上必须解决的难关。
本文首先分析了电子商务发展背景与电子商务的安全现状。
展示了完整的安全体系结构,再详述了电子商务的安全性需求和实现网络的安全技术措施。
接着分析了数字证书与CA认证、加密技术、数字签名技术和信息摘要技术等电子商务安全技术。
最后探讨了保证交易安全的两个协议,即安全电子交易协议SET和安全套接层协议SSL,并对两种协议做出了相应的分析和比较。
关键词:
电子商务;安全体系;加密;数字证书;安全交易标准
目录
摘要I
目录II
第1章绪论1
1.1电子商务发展背景1
1.2国内外电子商务安全现状1
第2章电子商务安全体系研究2
2.1完整的电子商务安全体系结构2
2.2电子商务的安全性要求2
2.3电子商务安全措施3
第3章电子商务安全技术分析4
3.1数字证书与CA认证4
3.2加密技术4
3.3数字签名技术5
3.4信息摘要技术5
第4章电子商务安全交易标准6
4.1安全套接层SSL协议6
4.2安全电子交易SET协议6
4.3SET协议与SSL协议的比较6
第5章结论8
参考文献9
第1章绪论
1.1电子商务发展背景
随着因特网的迅猛发展,电子商务已经逐渐成为人们进行商务活动的一个崭新的模式。
我们可以把电子商务定义为整个事务活动和贸易活动的电子化。
它将信息网络、金融网络和物流网络结合起来,把事务活动和贸易活动中发生关系的各方有机地联系起来,极大地方便了各种网络上的事务活动和贸易活动。
7月20日,中国互联网络信息中心(CNNIC)在京发布“第十四次中国互联网络发展状况统计报告”。
报告显示,截止到2004年6月30日,我国上网用户总数为8700万,比去年同期增长27.9%,上网计算机达到3630万台。
网络国际出口带宽增长飞速,总数达到53.9G,比去年同期增长190.3%。
互联网的影响正逐步渗透到人们生活的各个角落。
因此电子商务的发展前景十分诱人,而其安全问题也变得越显突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
1.2国内外电子商务安全现状
现今社会,运行在因特网上的电子商务,每天都在进行数以百万次计的各类交易,而由于因特网的高度开放性与电子商务的绝对保密性是矛盾的,因此基于因特网的电子商务安全无疑会受到严重威胁。
不难想象,“黑客”的攻击一旦得逞,将会给国家的经济秩序、经济建设、信息安全造成不可估量的损失。
1997年1月至3月,宁波两名证劵公司技术人员利用计算机网络,非法透支本单位资金3000多万元,进行个人股票交易,给国家造成了巨大损失;1999年4月26日的CIH病毒爆发,使我国4万多台电脑不能正常运行,国内很多企业的数据都或多或少地被破坏。
在国外,网络犯罪的人数呈成倍增长之势。
1997年美国出现了两次大的企业网站瘫痪事件,连美国中央情报局的服务器在1999年也受到过“黑客”的攻击。
著名的美国联机公司因人为操作和技术上的失误,使其计算机系统的600万用户陷入瘫痪10小时。
最近2010年1月份,著名的搜索网站“XX”因国外的域名服务器被“黑客”恶意攻击,导致用户无法登陆“XX”长达11小时之久。
大量事实说明,保证电子商务的正常运作,必须高度重视安全问题。
只有建立起科学、合理的安全体系结构,才能保证电子商务交易的全面安全实施。
第2章电子商务安全体系研究
2.1完整的电子商务安全体系结构
电子商务安全体系可以分为以下三个层次:
基本加密算法、安全认证手段和安全应用协议,如图2-1所示。
电子商务系统
第三层
安全协议SET、SSL、S-HTTP
第二层
认证手段、数字签名、CA体系
第一层
基本加密算法、对称加密、非对称加密
图2-1电子商务安全体系
2.2电子商务的安全性要求
要使电子商务健康、顺利发展,必须解决好以下六种关键的安全性要求:
(1)可靠性要求:
可靠性要求是指为了防止计算机的软件错误、硬件故障、网络中断、计算机病毒和自然灾害等突发事件,采取的一系列控制和预防措施来防止数据信息资源部受破坏的可靠程度。
(2)保密性要求:
信息的存取时在安全的环境中进行,不能被非法窃取、泄露;信息的发送和接收是在安全的网络中进行,交易双方在信息交换过程中没有被窃听的危险,非参与方不能获取交易的信息,保证交易双方的信息安全。
(3)完整性要求:
完整性是指数据在发送、接收和传递过程中,要求保证数据的一致性,防止非法用户对数据的随意生成、修改和删除,同时还要保证数据传递次序的统一。
信息的完整性是从事电子商务交易双方的经营基础。
(4)真实性要求:
从事电子商务的交易双方的身份不能被假冒或伪装,能够有效鉴别、确定交易双份的真实身份。
能否方便而有可靠地确认交易双方身份的真实性,是顺利进行电子商务交易的前提。
(5)不可抵赖性要求:
在电子商务环境下,通过手写签名和个人印章进行交易双方的鉴别已是不可能的了,必须在交易信息的传递过程中参与交易的个人、企业、商家或其他部门提供可靠的标识,有第三方提供有效的数字化过程记录,使交易各方不能事后抵赖。
(6)有效性要求:
在网络交易中,交易双方的信息交流(如双方的购销合同、签名、时间等)都是以数字化的形式出现的,数字化的文件取代了原有的纸张,那么保证这种数字信息的有效性并为交易双方共同认可,就显得格外重要。
一旦签订交易合同后,这项交易就受到法律保护,并防止被篡改或伪造。
2.3电子商务安全措施
电子商务中的安全措施包括如下几类:
(1)保证交易双方身份的真实性:
保证交易双方身份真实性的常
用技术是身份认证。
一般依赖某个可信赖的机构(CA认证中心)发放数字证书,并以此识别对方。
目的是保证身份的真实性,分辨参与者身份的真伪,防止伪装攻击。
(2)保证信息的机密性:
常用数据加密和解密技术来保护信息不被泄露给XX的人或组织,其安全性依赖于使用的算法种类和密钥长度。
常见的加密方法有对称密钥加密技术(如DES、AES算法)和公有密钥加密技术(如RSA、ElGamal算法)。
(3)保证信息的完整性:
常用散列函数(也叫哈希函数)来实现。
通过对信息实行散列算法,以生成的散列码(信息的任意改动散列码都会不一样)来证明数据的完整性。
典型的散列算法为MD5、SHA-1、RIPEMD-160。
(4)保证信息的真实性、不可否认性:
常用的处理手段是数字签名技术。
目的是为了解决通信双方相互之间可能的欺诈,如发送方对他所发送信息的否认、接收方对他已收到信息的否认等,其基础是公有密钥加密技术。
数字签名也可以作为一种简单的身份认证技术实现身份认证。
目前,可用的数字签名算法较多,如RSA数字签名、ElGamal数字签名等。
(5)保证信息存储、传输的安全性:
规范内部管理,使用访问控制和日志,以及敏感信息的加密存储等。
当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术保护内部网络的安全性。
第3章电子商务安全技术分析
3.1数字证书与CA认证
由于电子商务在网络中完成,互相之间不见面,因此为了保证每个人及机构都能惟一且被准确无误地识别,就需要进行身份认证。
身份认证可以通过验证参与各方的数字证书来实现,而数字证书是由认证中心(CA)颁发的。
所谓CA(CertificateAuthority:
证书发行机构),是采用PKI(PublicKeyInfrastructure:
公共密钥体系)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,具有权威性和公正性的第三方信任机构,其作用就像现实生活中颁发证件的机构。
公共密钥体系(PKI)是信息安全基础设施的一个重要组成部分,是一种利用公钥理论和技术建立的提供网络信息安全服务的基础设施。
3.2加密技术
数字加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障安全性。
利用加密技术,可以将某些重要的信息和数据从一个可以理解的明文转换为复杂的、不可理解的密文形式,在线路上传送或在数据库中存储,其他用户再将密文还原为明文。
以下是几种加密的算法:
(1)DES算法,它是美国国家标准化局NBS于1976年底作为官方的联邦标准颁布的。
DES是一种常规密码体制的密码算法,也是一个典型的对称分组密码算法。
(2)RSA算法,它是1977年在美国麻省理工学院开发,1978年首次公布。
它是一种分组加密算法,明文和密文在0~n-1之间(n是一个正整数)。
RSA公钥密码算法是目前网络上进行保密通信和数字签名的最有效的安全算法之一。
3.3数字签名技术
数字签名是密钥加密和信息摘要相结合的技术,用于保证信息的完整性和不可否认性。
签名机制的特征是该签名只有通过签名者的私有信息才能产生,即一个签名者的签名只能惟一地由他自己生成。
当收发双方发生争议时,第三方就能根据消息上的数字签名来裁定这条消息是否由发送方发出,从而实现不可否认服务。
一下是几种签名技术:
(1)RSA签名:
RSA是完整的加密系统,它支持公钥/私钥对的生成、加密以及数字签名。
RSA体制的安全性依赖于n=pq分解的困难性。
(2)ElGamal签名:
该体制由T.ElGamal在1985年给出。
其修正形式已被美国国家标准与技术学会作为数字签名标准,它是Rabin体制的一种变形。
3.4信息摘要技术
密钥加密技术只能解决信息的保密性问题,对信息的完整性则可以使用信息摘要技术来实现。
信息摘要又称为Hash算法,是一种单向加密算法,其加密结果是不能解密的。
通过Hash算法,得到一个固定长度(128位)的散列值,不同的原文产生的信息摘要必不相同,相同的原文产生的信息摘要必定相同。
这样,通过用接收方产生的摘要与发送方发来的摘要比较,若两者相同则表示原文在传输过程中没有被修改,否则说明原文被修改过。
MD5和SHA-1是当前应用最为广泛的两种散列算法。
常见的UNIX系统口令就是经过MD5处理后保存其摘要信息串。
2004年王小云教授在国际密码学会以上宣布Hash算法MD5的碰撞。
在MD5被“碰撞”后,SHA-1算法仍被世界密码学界认为是安全的算法。
SHA-1目前仍是安全的算法,它的应用范围或许比MD5更加广泛,其安全性较MD5要高出很多。
它是美国国家标准技术研究院(NIST)与美国国家安全局(NSA)共同设计的,在一些重要的场合都选择SHA-1来做数字签名。
但近年已提出考虑更换SHA-1算法的说法。
第4章电子商务安全交易标准
要实现安全的电子商务交易,交易双方必须遵照统一的安全标准协议。
当前,电子商务的安全机制正走向成熟,并逐渐形成了一些国际规范,比较有代表性的有安全套接层协议SSL(SecureSocketsLayer)和安全电子交易协议SET(SecureElectronicTransaction)[7]。
4.1安全套接层SSL协议
SSL协议是由Netscape公司研制的安全协议,SSL使用加密的方法建立一个安全的通信通道,以使客户的信用卡号传送给商家,商家再将其转发给银行,银行验证后在通知商家付款成功。
该协议已成为事实上的工业标准,微软、IBM公司都提供基于这种简单加密模式的支付系统。
4.2安全电子交易SET协议
系统控制器程序是放在EELiod270平台运行的,是而EELiod270平台放在用户家里,用来管理家中的设备,因而系统控制器程序可以简称为用户端程序。
用户端程序主要包括数据通信、视频采集和发送控制命令等三个方面,其中数据通信包括与扩展板、GSM模块的RS232通信和与服务器端的无线网络通信;视频数据采集主要包括客户端的视频预览和视频数据传输,发送控制命令则主要根据短信内容、扩展板传感器报警信息发送各种控制命令。
4.3SET协议与SSL协议的比较
(1)SET是一个专门的安全电子支付协议,而SSL本质上是一个网络安全协议,仅在双方间建立起安全连接。
SET是一个多方的消息报文协议,定义了银行、商家和持卡人间必须符合的报文规范,它比SSL在交易过程中的信任度更强。
(2)SSL仅有商家的服务器需要认证,客户端只是选择性认证;而SET在整个交易过程中都受到严密保护,其安全性比SSL高。
(3)SSL协议中若想进行电子商务交易,只需通过浏览器实现,设置成本低廉,其交易只要几十秒就可完成;SET尽管安全性高,但需要专门的软件来实现,客户、商家改造成本高,由于交易过程各方之间进行多次加密传输,每次交易需要数分钟。
综上所述,SSL与SET协议是电子商务中最普遍的两种安全电子支付协议,各有优缺点。
SSL虽然简单快捷,但随着电子商务的发展其缺点凸现出来,需采用更先进的支付系统。
而SET虽有更强的功能和安全性,但过于复杂,使得大面积推广还有很大障碍,并且成本昂贵,所以,在未来一段时间里将会是SSL和SET两种支付方式并存的局面。
第5章结论
随着网络、通信技术的飞速发展,电子商务已经成为经济全球化的助推器,它改变了传统的商业运作模式,给世界范围内的商务交易活动带来了新的契机。
电子商务在提高效率、降低商务交易成本的同时,也遇到了非常严峻的挑战。
电子商务自诞生之日起,安全问题就像幽灵一样如影随形而至,成为制约其进一步发展的重要瓶颈。
毫无疑问,电子商务安全知识及其应用技术已成为电子商务从业人员应了解和掌握的必备知识,也成为众多学者、研究、开发人员、政府人员和管理人员关注的目标。
电子商务的本质是商务,技术是电子商务得以实现的手段。
没有商务需求,技术的研究就失去了应用价值;没有技术实现,电子商务就不能得以实施,所以技术是电子商务的必要条件。
而安全则是实现电子商务技术的前提,也是电子商务的必要条件。
解决电子商务的安全问题不是一个单一的技术问题,它是由一系列工作组成,需要从电子商务安全管理、安全技术体系和法律等多方面开展工作和研究。
参考文献
[1]唐晓东.电子商务中的信息安全.[M].北京交通大学,2006-08.
[2]梁兴琦.电子商务安全保密技术及应用.[M].合肥工业大学,2006-11.
[3]代春艳.电子商务信息安全技术.[M].武汉工业大学,2007-6
[4]宋文官.电子商务概论.[M].清华大学,2009-3.
[5]张爱菊.电子商务安全技术.清华大学,[M].2006-12.
[6]祝凌曦.电子商务安全.北京大学,[M].2006-11.
[7]何胜.电子商务中安全支付协议的对比及应用[J]。
计算机时代,2004(20)
升级会员 