电子商务安全相关知识bbuy.docx

《电子商务安全相关知识bbuy.docx》由会员分享，可在线阅读，更多相关《电子商务安全相关知识bbuy.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、电子商务安全 【摘要】随着网络技术和信息技术的飞速发展，电子商务得到了越来越广泛的应用，越来越多的企业和个人用户依赖于电子商务的快捷、高效。但电子商务是以计算机网络为基础载体的，大量重要的身份信息、会计信息、交易信息都需要在网上进行传递，在这样的情况下，安全性问题成为首要问题。本文首先论述电子商务安全，介绍电子商务安全的现状，分析电子商务安全存在的主要问题，然后从网络安全技术、数据加密技术、用户认证技术等方面介绍主要的电子安全技术，从而更好的了解电子商务安全的现状及未来的发展趋势。【关键词】电子商务安全、安全技术Abstract with network technology and the

2、rapid development of information technology, electronic commerce have been applied more and more, more and more enterprises and individual user depends on e-commerce fast and efficient. But e-commerce based on computer network of carrier, a lot of important identity information, accounting informati

3、on, transaction information needs in the Internet relay, in such a case, and the security, becomes the main problem. This paper first discusses e-commerce security, introduce e-commerce security, the status quo and e-commerce security, the main problems of then from network security technology, data

4、 encryption technology, user authentication technology introduced main aspects of electronic safety techniques, and better understanding of e-commerce security situation and future development trend.Key words e-commerce security, safety technology一、 引言 随着Internet技术的迅速发展和深入应用，以Internet作为交易平台的电子商务正逐步得

5、到人们的认同和接受。而电子商务是在国际化、社会化、开放化和个性化的Internet环境中运作的，它的应用可能会出现金融欺诈，市场/竞争价格等秘密信息的泄露，以及缺乏可信性而导致的商机丢失等诸如此类的安全与信任问题。二、 电子商务安全概述及现状 信息技术日新月异的发展，人类正在进入以网络为主的信息时代，越来越多的人通过Internet进行商务活动，电子商务的前景十分诱人，但随之而来的安全问题也变得越来越突出。【案例】华硕官方网站遭黑客攻击 公司被迫关闭服务器 200747Exploit Prevention Labs的首席技术官罗杰-汤姆森(Roger Thompson)透露，该攻击代码隐藏在网

6、站主页的一个HTML元素中，并试图从另一台服务器上下载恶意代码。截止周五下午，这台服务器已经停止工作，虽然黑客们还可转移攻击目标，不过此次攻击的危险性已经下降。4月6日据外电报道 电脑零部件生产商华硕的网站遭到黑客攻击，黑客利用本周才修复的一个Windows系统中的紧急漏洞，通过该网站的服务器发送恶意代码。Exploit Prevention Labs的首席技术官罗杰-汤姆森(Roger Thompson)透露，该攻击代码隐藏在网站主页的一个HTML元素中，并试图从另一台服务器上下载恶意代码。截止周五下午，这台服务器已经停止工作，虽然黑客们还可转移攻击目标，不过此次攻击的危险性已经下降。华硕的

7、营销经理大卫-雷(David Ray)不能证实网站是否被黑，只称公司的网站看起来没有受到威胁。 此恶意代码之所以受到特别关注，是因为它利用了本周才修复的一个紧急的Windows动画光标漏洞。瞄准该漏洞的恶意代码已经出现了一个多星期，在安装了补丁前如果用户访问了华硕网站，可能会危及电脑的安全。Kaspersky Lab也证实了华硕网站被黑，同时证实被黑客利用的网站在周五都已关闭，黑客们无法下载恶意代码。汤姆森认为，华硕网站的被黑显示出，即使是人们信赖的网站也可能存在安全隐患。他表示，如果像华硕这样的大公司都能被黑并感染上病毒，其他网站可想而知。1 案例告诉我们，网络的普及也带来了安全问题的升级，

8、而电子商务将在虚拟的网络环境下实施，因此电子商务活动的安全与否就成为影响其发展的重要因素。据权威调查表明，目前果类企业发展电子商务的最大顾虑也是网上交易的安全问题。Internet之所以能发展成为今天的全球性网络，主要是依赖于它的开放性。但是，这种开放式的信息交换方式使网络安全具有很大的脆弱性，要保证电子商务的正常运作，就必须高度重视安全问题。安全得不到保障，即使使用Internet再方便，电子商务也无法得到广大用户的认可。因此如何建立一个安全，便捷的电子商务应用环境，保证整个商务过程中的信息安全性，使基于Internet的电子商务交易方式与传统交易方式一样安全可靠，已经成为电子商务应用中所关

9、注的重要技术问题。2三、 电子商务安全体系和结构 （一） 电子商务安全体系 安全电子商务系统通过Internet将商家、客户和银行三方连接起来，使用安全代理服务器和CA认证系统等实现电子商务交易数据的机密性、完整性、不可抵赖性等安全功能。从技术角度上说，电子商务系统的安全就是保障计算机信息系统的安全。主要由以下三个部分组成： 1、系统实体安全 系统实体安全是指保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾等环境事故的破坏。具体包括环境安全、设备安全、媒体安全三个方面。 其中环境安全是指对电子商务系统所在的环境进行保护，主要包括受灾防护和特定区域的防护；设备安全是指对电子商务系统

10、的设备进行安全保护，主要包括防盗、防毁、防止电磁信息泄露、防止线路截获、炕电磁干扰和电磁保护等；媒体安全是指对媒体数据和媒体本身实施保护，包括防止媒体被毁、防止媒体数据被非法复制、意外事故破坏等等可能使媒体数据丢失的行为。 2、系统运行安全 系统运行的安全是指保障电子商务系统功能的安全实现，提供一套安全措施保护信息处理过程的安全。具体包括风险分析、审计跟踪、备份与恢复、应急措施等。 3、信息安全 信息安全是指防止信息财产被故意或偶然地非授权泄露、更改、破坏，或使信息被非法的系统辨识、控制，即信息安全就是要确保信息的完整性、保密性、可用性和可控性。 信息安全体系具体包括操作系统的安全、数据库的安

11、全、网络问题、病毒防护安全、访问控制安全、加密、鉴别等。 （二）一个实用的安全电子商务系统必须有机集成现代计算机密码学、信息安全技术、网络安全技术和电子商务安全支付技术等。 电子商务安全的体系结构2 由上图可知基于健全的计算机网络系统和如上所述的数据加密、认证以及网络安全技术，在安全的支付机制和交易协议支持下，一个完整、安全的电子商务系统就能够建立起来，并可以安全地应用和服务于社会，造福人类。四、 电子商务安全技术 电子商务基本的安全技术主要有加密技术、认证技术、安全电子交易协议、黑客防范技术、虚拟专网技术和反病毒技术。（一） 加密技术 所谓“加密”，简单地说就是，使用数学的方法将原始信息（明

12、文）重新组织与变换成只有授权用户才能解读的密码形式（密文），而“解密”就是将密文重新恢复成明文的过程。可以说，加密技术是认证技术及其他许多安全技术的基础，也是信息安全的核心技术。 信息加密技术主要是对传输中的信息进行加密，从而达到隐藏信息内容，使非法用户无法获取真实信息的一种技术手段，其目的是确保数据的保密性。 基于加密解密所使用的密钥是否相同，可分为对称加密和非对称加密两类。1、 对称加密 对称加密的加密密钥和解密密钥相同，即在发送方和接收方进行安全通信前，商定的一个密钥，用这个密钥对传输数据进行加密和解密。对称加密的突出特点是加密解密的速度快，效率高，适合对大量数据进行加密。缺点是密钥的传

13、输和交换面临安全问题，并且若和大量用户通信时，难以安全管理大量密钥。其中最常见的加密算法有：DES、3DES、IDEA、Blowfish等。下面以DES加密算法为例，介绍其原理。初始密码（64位）明文（64位）移位变换移位变换子密码乘积变换密文（64位）移位变换DES加密算法图解加解密过程如下：（1）发送方用自己的私密密钥加密要发送的信息。（2）加密后的信息通过网络传送给接收方。（3）接收方用发送方的加密密钥对收到的加密信息解密得到信息明文。整个加密过程如图所示：密钥（发送方）=密钥（接收方）密钥（接收方）Internet明文密文密文明文加密解密 发送方 接收方 对称加解密系统2、 非对称加密

14、 为了解决对称密码体制的密钥分配问题，以及满足对数字签名的需求，非对称密码应运而生，也叫公钥加密体系。在这种密码体制下，人们把加密过程和解密过程设计成不同的途径。 非对称密码系统的出现成功的解决了对称密码系统中的密钥管理问题。通常都是用邮箱模型来解释公钥密码系统的思想。邮箱代表公钥，每个人都可以向其中投放信件。而只有邮箱的主人才有邮箱的钥匙四要，用来打开邮箱并取出信件。 非对称密码加密体制有两种模型：一种是加密墨香，即采用接收方公钥加密数据，而用接收方的私钥解密；另一种是验证模型，即采用发送方的私钥加密，而用发送方的公钥解密。两者原理相同，但用途不同。（1） 接收方公钥加密，接收方私钥解密的加

15、密模型如图 这种以接收方公钥加密原文，以接收方私钥来解密的非对称密码算法，可以实现多个用户加密信息只能由一个用户解读，这就实现了保密通信。B的公钥明文明文密文A加密 加密模型加密B解密B的私钥加密模型（2） 发送方私钥加密，发送方解密的验证模型如图所示。 这种以发送方私钥加密原文，发送方公钥解密的非对称密码算法，可以实现由一个用户加密的信息，而由多个用户解读，这就是数字签名的原理。A的私钥明文明文密文A加密 加密模型加密B解密A的公钥 认证模型（二） 认证技术 认证是防止主动攻击的重要技术，对于开放环境中的各种信息系统的安全性有重要的作用。认证的主要技术是：第一，验证信息的发送者是真的，此为实

16、体认证也称身份认证；第二，验证信息的完整性，此为信息认证也称报文认证。目前，在电子商务中广泛使用的认证方法和手段主要有数字签名、数字摘要、数字证书、CA安全认证体系，以及其他一些身份认证技术和报文认证技术。以下以数字摘要和数字签名为重点介绍。（1） 数字摘要 数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码。这一串摘要码亦称为数字指纹，有固定的长度，不同的消息其摘要不同，相同消息其摘要相同。4（2） 数字签名 所谓数字签名就是附加在信息单元上的一些数据，或是对信息单元所作的密码变换，这种数据或密码变换允许接收者确认消息的来源和信息单元的完整性并保护数据防止

17、他人伪造。 数字签名的实现方式是把信息摘要和公开密钥算法结合起来。发送方从报文文本中生成数字摘要，并用自己的私有密钥对摘要进行加密，形成发送方的数字签名，然后将文字作为保温的福建和报文一起发送给接收方；接收方首相从接收到的原始报文中计算出数字摘要，接着再用发送方的公开密钥来对报文附加的数字签名进行解密。若两个摘要相同，则接收方能确认该数字签名是发送方的。 数字签名的过程如下图所示：Hash函数发送方数字签名发送方私钥加密A摘要消息消息通过QQ、邮件 发送方 接收方发送方数字签名发送方公钥解密A摘要Hash函数B摘要消息信息认证相同信息改动不相同（三） 安全电子交易协议目前电子商务中有多种安全体

18、制可以保证电子商务交易的安全性，其中SLL和SET是电子商务中两个最重要的协议。相对而言，SLL协议使用比较方便，SET协议提供了强大的验证功能。两者的功能不尽相同，更加全面的确保电子交易的安全。【案例】淘宝网()是国内首选购物网站，亚洲最大购物网站，由全球最佳B2B平台阿里巴巴公司投资45亿创办，致力于成就全球首选购物网站。淘宝是多用户商城，区别于七美网http：cn等。自2003年5月10日成立以来，淘宝网基于诚信为本的准则，从零做起，在短短的2年时间内，迅速成为国内网络购物市场的第一名，占据了中国网络购物70左右的市场份额，创造了互联网企业发展的奇迹。截止2006年12月，淘宝网注册会员

19、超3000万人，2006年全年成交额突破169亿，远超2005年中国网购整体市场总量。根据Alexa的评测，淘宝网为中国访问量最大的电子商务网站，居于全世界网站访问量排名第22位，中国第7位。淘宝网倡导诚信、活泼、高效的网络交易文化。“宝可不淘，信不能弃。”淘宝网是C2C(客户对客户)的个人交易网上平台，是国内较大的拍卖网站，由阿里巴巴公司投资创办。淘宝的商品数目在近几年内有了明显的增加，从汽车、电脑到服饰、家居用品，分类齐全，更设置了网络游戏装备交易区。作为拍卖网站，淘宝突出的一点是，如果商品的剩余时间在1小时以内，时间的显示是动态的，并且准确显示到了秒。与易趣不同的是，会员在交易过程中感觉

20、到轻松活泼的家庭式文化氛围。会员注册之后淘宝网和淘宝旺旺的会员名将通用，如果用户进入某一店铺，正好店主也在线的话，会出现“掌柜在线”的图标，可与店主及时地发送、接收消息。淘宝网也注重诚信安全方面的建设，引入了实名认证制，并区分了个人用户与商家用户认证，两种认证需要提交的资料不一样，个人用户认证只需提供身份证明，商家认证还需提供营业执照，而且一个人不能同时申请两种认证。这方面可以看出淘宝在规范商家方面所作出的努力。淘宝同样引入了信用评价体系，点击还可查看该卖家以往所得到的信用评价。对于买卖双方在支付环节上的交易安全问题，淘宝推出了名为“支付宝”的付款发货方式，以此来降低交易的风险。支付宝特别适用

21、于电脑、手机、首饰及其它单价较高的物品交易或者一切希望对安全更有保障的交易。在淘宝使用支付宝目前是免费的。当用户支付商品货款的时候，通过淘宝的工行接口付款，用户不用负担汇费。5 由上述案例可知，电子商务安全问题已引起越来越多的人关注，对于电子商务行业来说，未来的发展前景十分好，但由于电子商务安全发展的相对较慢，电子商务安全问题越来越成为限制电子商务发展的瓶颈，如何在当今局势下更好地去发展电子商务行业，使之不断地走向成熟成为备受关注的问题。五、电子商务未来发展趋势（一）强大的加密保证。（二）使用者和数据的识别和鉴别。（三）存储和加密数据的保密。（四）连网交易和支付可靠。（五）方便的密钥管理。（六）数据的完整、防止抵赖。小结： 随着社会的发展，电子商务慢慢走近了我们的生活，影响着我们的生活，它使我们的视野更加开阔，选择更加丰富。同时，它也存在很多问题，给我们的生活带来了或多或少的烦恼。例如，前段时间的快递“井喷”；支付宝里少了的钱等等。但是我们应该相信，电子商务安全技术的完善是一直进行的，知道我们在使用电子商务时不再出现任何问题。【参考文献】12杨雪雁，电子商务概论，北京大学出版社，2010.023李琪，电子商务安全，重庆大学出版社，2004.064戴建中，电子商务概论，清华大学出版社，2009.095