电子商务安全.docx

1、电子商务安全电子商务中的信息安全技术研究学 院： 年 级： 专 业： 姓 名： 学 号： 指导教师： 摘 要电子商务的发展给人们的工作和生活带来了新的尝试和便利性，但并没有像人们想象的那样普及和深入，这是由于Internet本身的开放性，大量的信息在网上传递，大量的资金在网上流动，使得电子商务应用面临严峻的安全挑战。电子商务安全本质上就是信息安全,而信息安全主要涉及以下内容:保密性、完整性、有效性及可靠性或抗抵赖性。拟从密码、信息隐藏、数字化凭证和网络安全等方面阐述确保信息安全的技术问题。关键词:电子商务;信息安全;密码技术;隐藏技术;数字凭证;防火墙目 录摘 要 I一、前言 1二、 信息安全

2、的主要内容 1（一） 信息的保密性 1（二） 信息的完整性 1（三） 信息的有效性 1（四）信息的可靠性或抗抵赖性 1三、信息安全技术的类型 1（一）密码技术 1（二）信息隐藏技术 2（三）数字化凭证 2（四） 网络安全技术 3四、电子商务的信息安全隐患 3（一）电子商务的信息存储安全隐患 3(二)电子商务的信息流动安全隐患 4五、保障电子商务信息安全技术性措施 4（一） 数据加密技术 4（二）身份验证技术 4结 论 6致 谢 7参考文献 8一、前言随着Internet的日益普及,电子商务因其便捷高效也得到迅速发展。然而Internet的开放性和共享性,对电子商务的安全提出了严峻挑战。为保障电

3、子商务的顺利发展,建立人们对电子商务的信心,必须首先解决安全问题。电子商务安全包括电子商务系统的硬件安全、软件安全和电子商务安全立法等,但本质上电子商务安全是指信息安全。本文主要探讨确保信息安全的技术手段。二、 信息安全的主要内容（一） 信息的保密性保密性是指信息在存储或传输过程中不被他人窃取或泄漏。电子商务建立在一个开放的网络环境基础之上,维护商业机密是电子商务全面推广应用的重要保障。（二） 信息的完整性完整性是指信息在传输过程中没有被歪曲、丢失或重复。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。（三） 信息的有效性有效性是指信息接收方

4、得到的是经原发送方确认的信息,发送方不可抵赖。贸易数据在确定的时刻、确定的地点是有效的。电子商务以电子形式取代了纸张,如何保证这种电子贸易信息的有效性是开展电子商务的前提。（四）信息的可靠性或抗抵赖性如何确定要进行交易的贸易方正是所期望的贸易方,是保证电子商务顺利进行的关键。在无纸化的贸易方式下,通过手写签名和加盖印章进行贸易方的鉴别已不可能,因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。三、信息安全技术的类型（一）密码技术为了实现信息的安全,可采用密码技术对信息进行加解密处理。密码技术包括加密和解密两个方面,两者互相依存、互相支持、密不可分。加密是指采用数学方法对

5、原始信息进行加工,使得加密后在网络上公开传输的内容对于非法接收者只是毫无意义的字符,对于合法的接收者,因其掌握正确的密钥,可以通过解密得到原始内容。1.对称密钥技术DES对称密钥技术使用相同的密钥进行加解密信息,即发送者和接收者共享同一个密钥,双方都不能泄露密钥,以保证消息的安全。这种对称性使加密与解密互为逆过程。对称密钥技术保密强度高、计算开销小、处理速度快,但当一贸易方有N个贸易关系时,必须维护N个专用密钥,因而密钥管理困难,且存在密钥安全交换问题,密钥安全交换是对称加密有效性的核心环节。2. 非对称密钥技术RSA非对称密钥技术,密钥分为不同的一对,即公钥和私钥。这对密钥中的任何一把都可作

6、为公钥通过非保密的方式广泛发布,而另一把作为私钥由生成密钥对的贸易方掌握并保存。公钥用于对信息加密,私钥用于对加密信息进行解密。贸易方利用该方案实现机密信息交换。公钥体制管理简单,无须担心传输中私有密钥的泄露,保密性优于对称加密,且可以方便地实现数字签名和验证,但算法复杂,加密数据速率低。在电子商务的实际运用中可将两者结合使用,对于加密量大的应用,使用对称加密算法,非对称加密算法通常用于对对称加密方法中密钥的加密。这样,既保证了数据安全,又提高了加密和解密的速度。（二）信息隐藏技术密码技术可有效的解决电子商务中信息的可靠传输,但加密方法只用于通信的信道中,被加密的数据一旦被非法者破解,则信息就

7、完全变成明文,那就意味着加密技术对信息的保护作用完全消失。而且,由于密文是一堆乱码,容易引起攻击者的注意,攻击者可以监视通信信道,一旦截获到乱码,就可以利用已有的对各种密码体制的攻击方法进行密码破译。在这种背景下出现了信息隐藏技术。信息隐藏就是将机密资料秘密地隐藏于另一非机密信息之中,并使得加入隐藏信息的目标媒体产生最低的可见性质量下降,使人无法觉察到隐藏信息的存在,从而达到保护机密信息不被泄露。1. 隐写术隐写术就是将秘密信息隐藏到另一个看似普通的信息中,从而隐藏真实信息的存在以达到安全通信的目的。由于越来越多的国家限制了高强度的密码的使用,而且即使通信的双方使用了加密技术进行通信,那么他们

8、就泄漏了如下一些信息:通信的源地址和目的地址被暴露,密文信息也可能被截获进而有被破解的可能性。2. 水印技术水印技术利用人类视觉系统和听觉系统的冗余,通过一定的算法将一些机密信息不可见地嵌入到多媒体内容中,但不影响原内容的价值和使用,接收者只有通过专门的检测算法才能提取秘密信息。拦截者无法直接判断他所监视的信息是否含有秘密信息。水印信息可以是用于鉴定内容的真伪,根据由特定算法恢复和提取的水印,可以为接收者提供信息是否被篡改。（三）数字化凭证数字化凭证主要是对数字化信息进行认证的凭证,认证范围包括:信息源身份的认证、信息的完整性、有效性、第三方仲裁等。1.数字摘要由于信道本身的干扰和人为的破坏,

9、接收到的信息可能与所发出的信息不同,采用单向Hash函数,将需要加密的信息生成摘要,这串密文又称数字指纹,对于不同的信息原文,将它摘要成密文之后的结果总是不一样的,而同样的信息原文所形成的摘要总是相同的。因此,将这段摘要加密传输,可以验证通过网络传输收到的是否是文件原文,从而实现信息的保密性和完整性。2. 数字信封或称电子信封是为了解决每次传送更换密钥的问题,结合对称加密技术和非对称加密技术的优点,保证只有规定的收信人才能阅读信件的内容的一种安全认证手段。在数字信封中,发送者自动生成对称密钥,用它加密原文,然后将生成的密文连同密钥本身一起利用RSA算法进行加密,因而被RSA算法加密的部分称之为

10、数字信封。收信者在解密后同时得到对称密钥和用它加密的密文,这样保证每次都可由发送方选定不同密钥进行加密。它保证了在网上传输文件信息的保密性,即使加密文件被他人非法获取,因为截获者无法得到发送方的通信密钥,不可能对文件进行解密。3. 数字签名通过一个单向函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。4. 数字时间戳是网上安全服务项目,由专门的机构提供。它是一个经加密后

11、生成的凭证文档,它包括三个部分:需加时间戳文件的摘要、数字时间戳机构收到文件的数字时间和数字时间戳机构的数字签名。5.数字证书&数字凭证对数字签名和公钥加密技术来说,都会面临公钥的分发问题,即如果把一个用户的公钥以一种安全可靠的方式发送给需要的另一方,这就要求管理这些公钥的系统是值得信赖的。数字证书是解决这一问题的有效方法,它通常是一个签名文档,标记特定对象的公钥,数字证书由一个认证中心签发。6.认证中心不管是数字时间戳还是数字证书,它的发放都不是由交易双方自己来完成的,而需要有一个具有权威性、公正性的第三方来完成,这个第三方类似现实生活中的公证人的角色。CA认证中心就是承担网上安全电子交易认

12、证服务,能签发数字证书并能确认用户身份的服务机构。CA的主要任务是受理数字凭证的申请,签发数字证书及对证书进行管理。（四） 网络安全技术防火墙是Intranet和Internet之间设置的一种过滤器、限制器,负责管理Intranet和Internet之间的访问,根据所设置的安全规则,在保护内部网络安全的前提下,提供内外网络的通信。其实现技术主要有分组过滤和代理服务。四、电子商务的信息安全隐患（一）电子商务的信息存储安全隐患1.内部隐患主要是企业Intranet 的用户故意或无意地非授权调用电子商务信息或未经许可随意增加、删除、修改电子商务信息。2.外部隐患主要是因为软件配置的不当，造成外部人员

13、私自闯人企业Intranet，并对电子商务信息故意或无意地非授权调用或增加、删除、修改。其隐患的主要来源有： 竞争对手的恶意闯入、信息间谍的非法闯入、闲游用户的好奇闯人及黑客的骚扰闯入。(二)电子商务的信息流动安全隐患1窃取商业机密由于电子商务的信息流动大多以明文的方式传输，信息间谍、竞争对手等攻击者，可以较容易的对电子商务信息进行截取和监听，并窃取用户或服务方的商业机密。2实施商务诈骗不法分子或通过Internet 发布虚假商务广告信息骗取钱; 或破解储户密码盗取存款; 或侵犯股民帐户借机炒股; 或盗用信用卡密码恶性透支，使消费者和用户对电子商务产生强烈的不信任感，阻碍了电子商务的顺利发展。

14、3侵犯他人权利不法商贩通过Internet 截取商务订单，收集他人私生活信息并兜售产品，侵犯了消费者的隐私权; 不法之徒通过Internet 盗售他人知识产品，抢注域名侵吞他人无形资产，侵犯了他人的知识产权; 不法企业通过Internet 损害竞争对手形象、贬低竞争对手的产品，侵犯了企业的名誉权；不法商人盗用名人照片通过Internet 宣传、推销产品，侵犯了他人的肖像权。4传播不良信息不法商人为推销自己的产品，在电子商务信息中夹带宣扬色情、暴力、迷信等不良图文信息。某些境外商人可能会有意或无意地在电子商务信息中，宣传西方世界的人生观、价值观、道德观。五、保障电子商务信息安全技术性措施（一）

15、数据加密技术1.常规密钥密码加密所谓常规密钥密码加密，即加密密钥与解密密钥是相同的。2.对称密文加密对称密钥加密又称为秘密密钥加密，即收发双方采用相同的密钥来进行加密和解密，对称密钥加密的最大优点是加解密速度快，适合于进行大量数据加密，但也存在密钥管理、发布困难以及无法进行身份鉴别的缺点。3.非对称密钥加密加密密钥( 公钥) 可以在网络服务器、报刊等场合公开，而解密密钥( 私钥) 则属用户的私有密钥，由公开的加密密钥导出私有的解密密钥在技术上是不可实现的。与对称密钥加密相比，采用非对称密钥加密方式密钥管理较方便，且保密性比较强，但加解密实现速度比较慢，不适用于通信负荷较重的应用。（二）身份验证

16、技术1.认证系统网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证，用于在网络上鉴别个人或组织的真实身份。数字证书的颁发机构叫做Certificate Authority，通常简称为CA。要建立安全的电子商务系统，首先必须建立一个稳固、健全的CA，否则，一切网上的交易都没有安全保障。2.SSL 协议该协议主要目的是解决TCP/IP 协议不能确认用户身份的问题，在Socket 上使用非对称的加密技术，以保证网络通信服务的安全性。3.SET 协议SET 协议提供对消费者、商户和银行的认证，协议本身比较复杂，设计比较严格，安全性高，确保电子交易的机密性、数据完整性、身份的合法性和抗否认性

17、，特别是保证了不会将持卡人的信用卡号泄露给商户。其核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。（三）其它安全技术1.防火墙技术 防火墙主要是用来隔离内部网和外部网，对内部网的应用系统加以保护。2.数字签名 数字签名是公开密钥加密技术的另一种应用，报文的发送方从报文文本中生成一个128 位的散列值，发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名，通过数字签名能够实现对原始报文的鉴别和不可抵赖性。结 论维护电子商务信息的安全性与真实性是非常重要的，它不仅需要法律上的保证，也需要技术上的保障，特别是当法律作为一种相对稳定的规范技术发展并滞后于技术的发展时，我

18、们更应该积极的开展立法研究，确保电子信息文件的安全性。值得一提的是，现在世界上充满了竞争，有时甚至是敌意与战争，我国必须加强具有自主产权的信息安全产品的研究，同时注意加强信息安全人才的培养，政府和国家各职能部门应为企业提供一个用先进的信息技术手段进行平等贸易竞争的环境，必须建立科学合理的电子商务信息安全机制。致 谢大学生活,美好而短暂,本文完成之时,就是即将离校之际,心中不免感慨颇多佳木斯大学陪伴我度过了人生中最为难忘的大学生活,母校给我的点滴培育,待日后慢慢品味。如今，伴随着这篇毕业论文的最终成稿，复杂的心情烟消云散，自己甚至还有一点成就感。其次要感谢我的同学和朋友，在我写论文的过程中帮我查

19、找资料，还在论文的撰写和排版过程中提供热情的帮助。最后，我要感谢大学生活，感谢佳木斯大学的所有老师同学以及我的家人和那些永远也不能忘记的朋友，他们的支持与情感，是我永远的财富。由于我的学术水平有限，所写论文难免有不足之处，恳请各位老师、学者的批评和指正！参考文献1张李义,李枫林.电子商务概论M.武汉:武汉大学出版社,2002.2雷信生,万兆泽,刘玲,别荣芳.电子商务安全技术M.北京:国防工业出版社, 2002.3宁利峰.电子商务中的安全技术 J.计算机与网络, 2004,(3): 51-53.4应向荣.如何建立电子商务安全保障架构 J.计算机安全,2004,(8): 76-79.5沈昌祥.必须建立电子商务信息安全保障体系J.中国电子商务, 2004,(7):44-46.