电子商务安全问题论文.doc

湖南交通职业技术学院目录1、电子商务安全现状1.1计算机病毒.11.2网络病毒的增长.11.3网络病毒的泛滥.21.4网络病毒传播方式的变化.31.5网络环境安全问题.31.6系统安全问题.41.7交易者身份安全问题.42、电子商务安全中的几种技术手段.42.1防火墙(FireWall)技术 .52.2加密技术.52.2.1对称加密.52.2.2非对称加密/公开密钥加密.52.3数字签名.62.3.1主要功能 .62.3.2签名过程.52.3.3个人邮件证书.72.3.4识别病毒.72.3.5原因分析.82.3.6使用方法.92.3.7原理特点.92.4数字证书.102.4.1认证技术.102.4.2认证中心.102.4.3数字证书.102.5消息摘要(Message Digest).11总结.12致谢.13参考文献.14摘要：随着互联网的全面普及，基于Internet 开展的电子商务已逐渐成为人们进行商务活动的新模式,越来越多的企业和个人通过Internet 进行商务活动，电子商务的发展前景十分诱人，而商业信息的安全是电子商务的首要问题。电子商务所面临的信息安全现状不容乐观。虚假交易、假冒行为、合同诈骗、网上拍卖哄抬标、侵犯消费者合法权益等各种违法违规行为屡屡发生，这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康的发展。关键词：电子商务、网络病毒、安全、信息、技术1、电子商务安全现状 目前电子商务的安全问题比较严重，最突出的表现在计算机网络安全i题上。随着网络技术的广泛应用，我国电子商务的安全问题也日益突出。根据“2011年，计算机病毒和互联网安全报告疫情”的数据表明，计算机病毒感染率为70.51%,较去年有所下降,但仍然维持在比较高的水平;其中多次感染病毒的比率为42.71%.  1.1计算机病毒计算机病毒具有如下基本特征。1.1.1潜伏性：计算机病毒潜伏在计算机储存介质或者程序中传播。1.1.2破坏性：对计算机资源具有破坏作用。1.1.3可触发性：当到达一定条件时被激活。当计算机病毒与1983年11月在美国计算机专家的实验室里诞生的时候，计算机网络还只是在科学界使用，直到1994年，计算机网络才真正在美国实现商业化运作。1998年才真正在网络上传播，传播到世界的每一个角落。网络成为了计算机病毒主要传播的载体。1.2网络病毒的增长北京时间2012年2月21日，360安全中心发布2011-2012年度互联网安全报告指出，2011年国内日均有853.1万台电脑受到木马病毒攻击，占开机联网的电脑比例为5.7%。在去年新生网络安全威胁中，BMW木马、黏虫木马、Duqu(超级工厂)等入围“十大木马”。 报告显示，2011年国内共新增木马病毒10.56亿个，相比2010年增加87.7%，360安全产品日均拦截及查杀木马病毒6468.5万个。在木马数量高涨的同时，木马攻击成功率则有所降低。在每天接触木马病毒的853.1万台电脑中，实际染毒比例仅为1%-3%，而且大多为关闭安全软件后使用游戏外挂、盗版视频播放器等诱惑资源的电脑。 360安全中心指出，随着免费安全软件普及和云安全技术成熟，木马攻击手段进一步趋向“顽固化”，深入感染电脑主板Bios的BMW木马就是其中的典型。作为2011年度“毒王”，BMW木马借助游戏外挂传播，使受害电脑无论重装系统、格式化硬盘还是换掉硬盘，都无法将其彻底清除，只能求助于专杀工具。迄今，国内已有超过8万台电脑感染BMW木马。 1.3网络病毒的泛滥电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。随着信息网络的发展，病毒借助与网络传播的更快，如网络蠕虫、木马等，动辄造成数百亿美元的经济损失。还有很多病毒在以商业软件的形式卖钱，如灰鸽子病毒以商业软件的形式买卖了五年之久，年收入过亿，直到2007年才被查封。1.4网络病毒传播方式的变化  过去，传播病毒通过网络进行。目前，通过移动存储介质传播的案例显著增加，存储介质已经成为电子商务网络病毒感染率上升的主要原因。由于U盘和移动存储介质广泛使用，病毒、木马通过autorun.inf文件自动调用执行U盘中的病毒、木马等程序，然后感染用户的计算机系统，进而感染其他U盘。与往年相比，今年通过网络浏览或下载该病毒的比例在下降。不过，从网络监测和用户寻求帮助的情况来看，大量的网络犯罪通过“挂马”方式来实现。“挂马”是指在网页中嵌入恶意代码，当存在安全漏洞的用户访问这些网页时，木马会侵入用户系统，然后盗取用户敏感信息或者进行攻击、破坏。通过浏览网页方式进行攻击的方法具有较强的隐蔽性，用户更难于发现，潜在的危害性也更大。1.5网络环境安全问题一般来说，计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面，计算机系统硬件和通信设施极易遭受自然环境的影响（如温度、湿度、电磁场等）以及自然灾害和人为（包括故意破坏和非故意破坏）的物理破坏；另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击；同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作，造成计算机网络系统内信息的损坏、丢失和安全事故。网络安全是电子商务系统安全的基础，涉及的方面较广，如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等，其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器上实现，而专用防火墙提供更加可靠的网络安全控制方法。1.6系统安全问题对于任何一个系统来说，安全都是相对的。作为网站的管理者要始终保持清醒的头脑，针对出现的隐患和问题不断研究新的安全措施。对敏感的设备和数据要建立必要的物理或逻辑隔离措施；对在公共网络上传输的敏感信息要进行强度的数据加密；安装防病毒软件，加强内部网的整体防病毒措施；建立详细的安全审计日志，以便检测并跟踪入侵攻击等。1.7交易者身份安全问题 1.7.1卖方面临的信息安全威胁主要有：恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息；假冒合法用户名义改变商务信息内容，致使电子商务活动中断，造成商家名誉和用户利益等方面的受损；信息间谍通过技术手段窃取商业秘密；黑客入侵并攻击服务器，产生大量虚假订单挤占系统资源，令其无法响应正常的业务操作。1.7.2买方面临的信息安全威胁主要有：发送的商务信息不完整或被篡改，用户无法收到商品；用户身份证明信息被拦截窃用，以致被要求付帐或返还商品；域名信息被监听和扩散，被迫接收许多无用信息甚至个人隐私被泄露；受虚假广告信息误导购买假冒伪劣商品或被骗钱财；遭黑客破坏，计算机设备发生故障导致信息丢失。 2、电子商务安全中的几种技术手段 2.1防火墙(FireWall)技术 防火墙技术是建立在现代通信网络技术和信息技术基础上的应用性安全技术，在某个机构的网络和不安全的网络(如Internet)之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止专利信息从企业的网络上被非法输出。它被越来越多的应用与专业网络与公用网络的互联环境中，尤以Internet网络为甚。随着科技的发展，防火墙也逐渐被大众所接受。为现实防火墙产品的开发，人们广泛的应用了网络拓扑、计算机操作系统、路由、加密、访问、控制、安全审计等成熟或先进的技术和手段。2.2加密技术 数据加密技术是电子商务中采取的主要安全措施，贸易方可根据需要在信息交换的阶段使用。在网络应用中一般采取两种加密形式：对称加密和非对称加密，采用何种加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来做出判断。 2.2.1对称加密 在对称加密方法中，对信息的加密和解密都使用相同的密钥。也就是说，一把钥匙开一把锁。这种加密算法可简化加密处理过程，贸易双方都不必彼此研究和交换专用的加密算法，如果进行通信的贸易方能够确保私有密钥在交换阶段未曾泄露，那么机密性和报文完整性就可以得到保证。不过，对称加密技术也存在一些不足，如果某一贸易方有n个贸易关系，那么他就要维护n个私有密钥。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享一把私有密钥。目前广泛采用的对称加密方式是数据加密标准(DES)，它主要应用于银行业中的电子资金转账(EFT)领域。DES对64位二进制数据加密，产生64位密文数据。使用的密钥为64位，实际密钥长度为56位(8位用于奇偶校验)。解密时的过程和加密时相似，但密钥的顺序正好相反。 2.2.2非对称加密/公开密钥加密 在Internet中使用更多的是公钥系统，即公开密钥加密。在该体系中，密钥被分解为一对：公开密钥PK和私有密钥SK。这对密钥中的任何一把都可作为公开密钥(加密密钥)向他人公开，而另一把则作为私有密钥(解密密钥)加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能由生成密钥对的贸易方掌握，公开密钥可广泛发布，但它只对应于生成该密钥的贸易方。在公开密钥体系中，加密算法E和解密算法D也都是公开的。虽然SK与PK成对出现，但却不能根据PK计算出SK。常用的公钥加密算法是RSA算法，加密强度很高。具体做法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数字签名，做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名，然后与发送数据一起用接收方密钥加密。这些密文被接收方收到后，接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名，然后用发布方公布的公钥对数字签名进行解密，如果成功，则确定是由发送方发出的。由于加密强度高，而且不要求通信双方事先建立某种信任关系或共享某种秘密，因此十分适合Internet网上使用。 2.3数字签名 数字签名技术是实现交易安全核心技术之一，它实现的基础就是加密技术。以往的书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的报文又如何盖章呢？这就是数字签名所要解决的问题。数字签名必须保证以下几点：接收者能够核实发送者对报文的签名；送者事后不能抵赖对报文的签名；接收者不能伪造对报文的签名。现在己有多种实现数字签名的方法，比如RSA数字签名法、EIGamal数字签名算法、Fist-Shamir数字签名算法、Guillou-Quisquarter数字签名算法、Schnoor数字签名算法、英国的数字签名标准/算法（DSS/DSA）、椭圆曲线数字签名算法以及另外一些不可否认的签名算法、全数字签名算法、盲数字签名算法，采用较多的就是公开密钥算法。 2.3.1主要功能保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。数字签名是个加密的过程，数字签名验证是个解密的过程。2.3.2签名过程“发送报文时，发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密，这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方，接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要，接着再用发送方的公用密钥来对报文附加的数字签名进行解密，如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。数字签名有两种功效：一是能确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征，文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数字签名。 一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。”数字签名：发送方用自己的密钥对报文X进行Encrypt(编码)运算，生成不可读取的密文Dsk，然后将Dsk传送给接收方，接收方为了核实签名，用发送方的公用密钥进行Decrypt(解码)运算，还原报文。2.3.3个人邮件证书具有数字签名功能的个人安全邮件证书是用户证书的一种，是指单位用户收发电子邮件时采用证书机制保证安全所必须具备的证书。个人安全电子邮件证书是符合x.509标准的数字安全证书，结合数字证书和S/MIME技术对普通电子邮件做加密和数字签名处理，确保电子邮件内容的安全性、机密性、发件人身份确认性和不可抵赖性。 具有数字签名功能的 个人安全邮件证书中包含证书持有人的电子邮件地址、证书持有人的公钥、颁发者(CA)以及颁发者对该证书的签名。个人安全邮件证书功能的实现决定于用户使用的邮件系统是否支持相应功能。 MS Outlook 、Outlook Express、Foxmail及CA安全电子邮件系统均支持相应功能。使用个人安全邮件证书可以收发加密和数字签名邮件，保证电子邮件传输中的机密性、完整性和不可否认性，确保电子邮件通信各方身份的真实性。2.3.4识别病毒如何区分数字签名攻击呢？有两个方法：a) 查看数字签名的详细信息，我们应该查看该数字签名的详细信息，点击“详细信息”按钮即可。我们会发现正常EXE和感染（或捆绑木马）后的EXE数字签名的区别。正常EXE的数字签名详细信息。被篡改后的EXE数字签名信息无效。b) 使用数字签名验证程序sigcheck.exe （可以百度一下找这个工具，著名系统工具包Sysinternals Suite的组件之一。）数字签名异常的结果为：C:Documents and Settingslitiejun?modify.exe:Verified: UnsignedFile date: 15:46 2008-5-23Publisher: n/aDescription: n/aProduct: n/aVersion: n/aFile version: n/a数字签名正常的结果为：C:Documents and Settingslitiejun?che.exe:Verified: SignedSigning date: 16:28 2008-4-29Publisher: n/aDescription: n/aProduct: n/aVersion: n/aFile version: n/a2.3.5原因分析a)精心设计的感染当EXE被感染时，是很容易破坏文件的数字签名信息的，如果攻击者感染或破坏文件时，有意不去破坏EXE中有关数字签名的部分，就可能出现感染后，数字签名看上去正常的情况。但认真查看文件属性或校验文件的HASH值，你会发现该EXE程序已经不是最原始的版本了。b)该软件发行商的数字签名文件被盗，攻击者可以把捆绑木马或感染病毒后的EXE程序，也打包上数字签名，这种情况下就更严重了。企业如果申请了数字签名证书，一定要妥善保管，否则后患无穷。2.3.6使用方法你可以对你发出的每一封电子邮件进行数字签名。这不是指落款，普遍把落款讹误成签名。在我国大陆，数字签名是具法律效力的，正在被普遍使用。2000年，中华人民共和国的新合同法首次确认了电子合同、电子签名的法律效力。2005年4月1日起，中华人民共和国首部电子签名法正式实施。2.3.7原理特点每个人都有一对“钥匙”（数字身份），其中一个只有她/他本人知道（密钥），另一个公开的（公钥）。签名的时候用密钥，验证签名的时候用公钥。又因为任何人都可以落款声称她/他就是你，因此公钥必须向接受者信任的人（身份认证机构）来注册。注册后身份认证机构给你发一数字证书。对文件签名后，你把此数字证书连同文件及签名一起发给接受者，接受者向身份认证机构求证是否真地是用你的密钥签发的文件。在通讯中使用数字签名一般基于以下原因：鉴权公钥加密系统允许任何人在发送信息时使用公钥进行加密，数字签名能够让信息接收者确认发送者的身份。当然，接收者不可能百分之百确信发送者的真实身份，而只能在密码系统未被破译的情况下才有理由确信。鉴权的重要性在财务数据上表现得尤为突出。举个例子，假设一家银行将指令由它的分行传输到它的中央管理系统，指令的格式是(a,b)，其中a是账户的账号，而b是账户的现有金额。这时一位远程客户可以先存入100元，观察传输的结果，然后接二连三的发送格式为(a,b)的指令。这种方法被称作重放攻击。完整性传输数据的双方都总希望确认消息未在传输的过程中被修改。加密使得第三方想要读取数据十分困难，然而第三方仍然能采取可行的方法在传输的过程中修改数据。一个通俗的例子就是同形攻击：回想一下，还是上面的那家银行从它的分行向它的中央管理系统发送格式为(a,b)的指令，其中a是账号，而b是账户中的金额。一个远程客户可以先存100元，然后拦截传输结果，再传输(a,b3)，这样他就立刻变成百万富翁了。不可抵赖在密文背景下，抵赖这个词指的是不承认与消息有关的举动（即声称消息来自第三方）。消息的接收方可以通过数字签名来防止所有后续的抵赖行为，因为接收方可以出示签名给别人看来证明信息的来源。2.4数字证书 2.4.1认证技术 认证技术是信息完全理论与技术的一个重要方面。也是电子商务安全的主要实现技术。采用认证技术可以直接满足身份认证、信息完整性、不可否认性和不可修改性等多项网上交易的安全需求，较好的避免了网上交易面临的假冒、篡改、抵赖、伪造等种种危险。一般来说，用户身份认证可通过三种基本方式来实现：a)用户所知道的某种秘密信息，列如，用户知道自己的口令；b)用户特有的秘密信息（硬件），用户必须持有合法的随身携带的物理介质，列如，智能卡中储存用户的个人化参数，访问系统资源时必须要有智能卡；c)用户所具有的某些生物特征，如指纹、声音、DNA图案、视网膜扫描等。2.4.2认证中心 CA认证中心（Certification Authority，CA，证书授权）是电子商务安全认证体系的核心机构。认证中心作为受信任的第三方，需要承担网上安全电子交易的认证服务，主要负责生产分配并管理用户的数字证书。它对电子商务活动中的数据加密、数字签名、防抵赖、数据完整性，以及身份所需要的秘钥和认证实施统一的集中化管理，增强网上交易各方的相互责任，提高网上购物和网上交易的完全，控制交易的风险，从而推动电子商务的发展。2.4.3数字证书 数字证书（digital certificate，digital ID）又称为数字凭证，即用电子手段来证实一个用户的身份和对网络资源的访问权限。数字证书是一种数字标识，也可以说是网络上的安全护照，他提供的是网络上的身份证明。数字证书拥有者可以将其证书提供给其他人、web站点及网络资源，以证实他的合法身份，并且与对方建立加密的、可信任的通信。比如，用户可以通过浏览器使用证书与web服务器建立SSL会话，使浏览器与服务器之间相互验证身份，也可以使数字证书发送加密和签名的电子邮件。人们可以使用数字证书，通过运用对称和非对称密码体制等密码技术，建立起一套严密的认证系统，从而保证信息除发送方和接收方外不会被其他人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对自己的信息不就额抵赖。这样，在网上电子交易中，如果双方出示了各自的数字证书凭证，并用它来进行交易操作，就可以不用担心受骗上当了。 2.5消息摘要(Message Digest) 消息摘要方法也称为Hash编码法或MDS编码法。它是由Ron Rivest所发明的。消息摘要是一个惟一对应一个消息的值。它由单向Hash加密算法对所需加密的明文直接作用，生成一串128bit的密文，这一串密文又被称为“数字指纹”( Finger Print )。所谓单向是指不能被解密，不同的明文摘要成密文，其结果是绝不会相同的，而同样的明文其摘要必定是一致的，因此，这串摘要成为了验证明文是否是“真身”的数字“指纹”了。 总结本文分析了目前电子商务的安全需求，使用的安全技术及仍存在的问题并指出了与电子商务安全有关的协议技术使用范围及其优缺点，但必须强调说明的是，电子商务的安全运行，仅从技术角度防范是远远不够的，还必须完善电子商务立法，以规范飞速发展的电子商务现实中存在的各类问题，从而引导和促进我国电子商务快速健康发展。致谢本人自入学于湖南交通职业技术学院至今，在这两年半的学习中，得到了学院的各位授课老师的悉心指导，使我在电子商务专业知识的学习上受益非浅。现将于明年上半年毕业。为此我非常感谢学院给了我这个良好的学习平台，感谢学院的各位指导老师孜孜不倦的教导，更感谢论文的指导老师肖湘蓉老师。本人的毕业论文能顺利通过，得益肖湘蓉老师悉心的指导。最后，还感谢大学阶段教育和指导过我的各位老师，谢谢他们三年来的关心和帮助。2013-12-1 祝安康！ 此致！参考文献：1舒彤，电子商务概论，长沙：湖南大学出版社 .2003年（12）2蒋汉生，电子商务信息安全，首都经济贸易大学出版社：2010年（1）3熊平，朱平，电子商务的安全技术，清华大学出版社：2006年（12）4 劳帼龄，电子商务安全技术，东北财经大学出版社：2005年（6）13